Quan Tri Mang [email protected]
0904806969
01666688851
0923541789
KHÁI QUÁT VỀ CÔNG NGHỆ MẠNG
Chương 1: Tổng quan về công nghệ
mạng máy tính và mạng cục bộ
Chương này cung cấp các khái niệm, các kiến thức cơ bản nhất về mạng
máy tính và phân loại mạng máy tính. Các nội dung giới thiệu mang tính tổng
quan về mạng cục bộ, kiến trúc mạng cục bộ, phương pháp truy cập trong
mạng cục bộ và các chuẩn vật lý về các thiết bị mạng. Đây là những kiến thức
cơ bản rất hữu ích do phạm vi sử dụng của mạng cục bộ là đang phổ biến hiện
nay. Hầu hết các cơ quan, tổ chức, công ty có sử dụng công nghệ thông tin đều
thiết lập mạng cục bộ riêng.
Các khái niệm, nội dung cơ bản trong chương 1 cần phải nắm vững đối
với tất cả các học viên vì chúng sẽ được sử dụng nhiều trong các chương tiếp
theo.
Mục 1: Mạng máy tính
I. Lịch sử mạng máy tính
Internet bắt nguồn từ đề án ARPANET (Advanced Research Project
Agency Network) khởi sự trong năm 1969 bởi Bộ Quốc phòng Mỹ (American
Department of Defense). Đề án ARPANET với sự tham gia của một số trung
tâm nghiên cứu, đại học tại Mỹ (UCLA, Stanford, . . . ) nhằm mục đích thiết kế
một mạng WAN (Wide Area Network) có khả năng tự bảo tồn chống lại sự phá
hoại một phân mạng bằng chiến tranh nguyên tử. Đề án này dẫn tới sự ra đời
của nghi thức truyền IP (Internet Protocol). Theo nghi thức này, thông tin
truyền sẽ được đóng thành các gói dữ liệu và truyền trên mạng theo nhiều
đường khác nhau từ người gửi tới nơi người nhận. Một hệ thống máy tính nối
trên mạng gọi là Router làm nhiệm vụ tìm đường đi tối ưu cho các gói dữ liệu,
7
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1tất cả các máy tính trên mạng đều tham dự vào việc truyền dữ liệu, nhờ vậy nếu
một phân mạng bị phá huỷ các Router có thể tìm đường khác để truyền thông
tin tới người nhận. Mạng ARPANET được phát triển và sử dụng trước hết
trong các trường đại học, các cơ quan nhà nước Mỹ, tiếp theo đó, các trung tâm
tính toán lớn, các trung tâm truyền vô tuyến điện và vệ tinh được nối vào mạng,
. . . trên cơ sở này, ARPANET được nối với khắp các vùng trên thế giới.
Tới năm 1983, trước sự thành công của việc triển khai mạng
ARPANET, Bộ quốc phòng Mỹ tách một phân mạng giành riêng cho quân đội
Mỹ(MILNET). Phần còn lại, gọi là NSFnet, được quản lý bởi NSF (National
Science Foundation) NSF dùng 5 siêu máy tính để làm Router cho mạng, và
lập một tổ chức không chính phủ để quản lý mạng, chủ yếu dùng cho đại học
và nghiên cứu cơ bản trên toàn thế giới. Tới năm 1987, NSFnet mở cửa cho cá
nhân và cho các công ty tư nhân (BITnet), tới năm 1988 siêu mạng được mang
tên INTERNET.
Tuy nhiên cho tới năm 1988, việc sử dụng INTERNET còn hạn chế
trong các dịch vụ truyền mạng (FTP), thư điện tử(E-mail), truy nhập từ
xa(TELNET) không thích ứng với nhu cầu kinh tế và đời sống hàng ngày.
INTERNET chủ yếu được dùng trong môi trường nghiên cứu khoa học và
giảng dạy đại học. Trong năm 1988, tại trung tâm nghiên cứu nguyên tử của
Pháp CERN(Centre Européen de Recherche Nuclaire) ra đời đề án Mạng nhện
thế giới WWW(World Wide Web). Đề án này, nhằm xây dựng một phương
thức mới sử dụng INTERNET, gọi là phương thức Siêu văn bản (HyperText).
Các tài liệu và hình ảnh được trình bày bằng ngôn ngữ HTML (HyperText
Markup Language) và được phát hành trên INTERNET qua các hệ chủ làm
việc với nghi thức HTTP (HyperText Transport Protocol). Từ năm 1992,
phương thức làm việc này được đưa ra thử nghiêm trên INTERNET. Rất nhanh
chóng, các công ty tư nhân tìm thấy qua phương thức này cách sử dụng
INTERNET trong kinh tế và đời sống. Vốn đầu tư vào INTERNET được nhân
lên hàng chục lần. Từ năm 1994 INTERNET trở thành siêu mạng kinh doanh.
Số các công ty sử dụng INTERNET vào việc kinh doanh và quảng cáo lên gấp
hàng nghìn lần kể từ năm 1995. Doanh số giao dịch thương mại qua mạng
INTERNET lên hàng chục tỉ USD trong năm 1996 . . .
Với phương thức siêu văn bản, người sử dụng, qua một phần mềm truy
đọc (Navigator), có thể tìm đọc tất cả các tài liệu siêu văn bản công bố tại mọi
nơi trên thế giới (kể cả hình ảnh và tiếng nói). Với công nghệ WWW, chúng ta
8
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1bước vào giai đoạn mà mọi thông tin có thể có ngay trên bàn làm việc của
mình. Mỗi công ty hoặc người sử dụng, được phân phối một trang cội nguồn
(Home Page) trên hệ chủ HTTP. Trang cội nguồn, là siêu văn bản gốc, để tự do
có thể tìm tới tất cả các siêu văn bản khác mà người sử dụng muốn phát hành.
Địa chỉ của trang cội nguồn được tìm thấy từ khắp mọi nơi trên thế giới. Vì
vậy, đối với một xí nghiệp, trang cội nguồn trở thành một văn phòng đại diện
điện tử trên INTERNET. Từ khắp mọi nơi, khách hàng có thể xem các quảng
cáo và liên hệ trực tiếp với xí nghiệp qua các dòng siêu liên (HyperLink) trong
siêu văn bản.
Tới năm 1994, một điểm yếu của INTERNET là không có khả năng lập
trình cục bộ, vì các máy nối vào mạng không đồng bộ và không tương thích.
Thiếu khả năng này, INTERNET chỉ được dùng trong việc phát hành và truyền
thông tin chứ không dùng để xử lý thông tin được. Trong năm 1994, hãng máy
tính SUN Corporation công bố một ngôn ngữ mới, gọi là JAVA(cafe), cho
phép lập trình cục bộ trên INTERNET, các chương trình JAVA được gọi thẳng
từ các siêu văn bản qua các siêu liên (Applet). Vào mùa thu năm 1995, ngôn
ngữ JAVA chính thức ra đời, đánh dấu một bước tiến quan trọng trong việc sử
dụng INTERNET. Trước hết, một chương trình JAVA, sẽ được chạy trên máy
khách (Workstation) chứ không phải trên máy chủ (server). Điều này cho
phép sử dụng công suất của tất cả các máy khách vào việc xử lý số liệu.
Hàng triệu máy tính (hoặc vi tính) có thể thực hiện cùng một lúc một
chương trình ghi trên một siêu văn bản trong máy chủ. Việc lập trình trên
INTERNET cho phép truy nhập từ một trang siêu văn bản vào các chương trình
xử lý thông tin, đặc biệt là các chương trình điều hành và quản lý thông tin của
một xí nghiệp. phương thức làm việc này, được gọi là INTRANET. Chỉ trong
năm 1995-1996, hàng trăm nghìn dịch vụ phần mềm INTRANET được phát
triển. Nhiều hãng máy tính và phần mềm như Microsoft, SUN, IBM, Oracle,
Netscape,... đã phát triển và kinh doanh hàng loạt phần mềm hệ thống và phần
mềm cơ bản để phát triển các ứng dụng INTERNET / INTRANET.
9
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1II. Giới thiệu mạng máy tính
I.1. I.Định nghĩa mạng máy tính và mục đích của việc kết nối
mạng
I.1.1. Nhu cầu của việc kết nối mạng máy tính
Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách
quan vì :
- Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về xử
lý hoặc cả hai đòi hỏi có sự kết hợp truyền thông với xử lý hoặc sử dụng
phương tiện từ xa.
- Chia sẻ các tài nguyên trên mạng cho nhiều người sử dụng tại một thời điểm
(ổ cứng, máy in, ổ CD ROM . . .)
- Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính.
- Các ứng dụng phần mềm đòi hòi tại một thời điểm cần có nhiều người sử
dụng, truy cập vào cùng một cơ sở dữ liệu.
I.1.2. Định nghĩa mạng máy tính
Nói một cách ngắn gọn thì mạng máy tính là tập hợp các máy tính độc
lập (autonomous) được kết nối với nhau thông qua các đường truyền vật lý và
tuân theo các quy ước truyền thông nào đó.
Khái niệm máy tính độc lập được hiểu là các máy tính không có máy nào có
khả năng khởi động hoặc đình chỉ một máy khác.
Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý (có
thể là hữu tuyến hoặc vô tuyến).
Các quy ước truyền thông chính là cơ sở để các máy tính có thể "nói chuyện"
được với nhau và là một yếu tố quan trọng hàng đầu khi nói về công nghệ
mạng máy tính.
I.2. Đặc trưng kỹ thuật của mạng máy tính
Một mạng máy tính có các đặc trưng kỹ thuật cơ bản như sau:
10
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.2.1. Đường truyền
Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng để
truyền các tín hiệu điện tử giữa các máy tính. Các tín hiệu điệu tử đó chính là
các thông tin, dữ liệu được biểu thị dưới dạng các xung nhị phân (ON_OFF),
mọi tín hiệu truyền giữa các máy tính với nhau đều thuộc sóng điện từ, tuỳ theo
tần số mà ta có thể dùng các đường truyền vật lý khác nhau
Đặc trưng cơ bản của đường truyền là giải thông nó biểu thị khả năng
truyền tải tín hiệu của đường truyền.
Thông thuờng người ta hay phân loại đường truyền theo hai loại:
- Đường truyền hữu tuyến (các máy tính được nối với nhau bằng các dây cáp
mạng).
- Đường truyền vô tuyến: các máy tính truyền tín hiệu với nhau thông qua các
sóng vô tuyền với các thiết bị điều chế/giải điều chế ớ các đầu mút.
I.2.2. Kỹ thuật chuyển mạch:
Là đặc trưng kỹ thuật chuyển tín hiệu giữa các nút trong mạng, các nút
mạng có chức năng hướng thông tin tới đích nào đó trong mạng, hiện tại có các
kỹ thuật chuyển mạch như sau:
- Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông với nhau
thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đó cho tới khi hai
bên ngắt liên lạc. Các dữ liệu chỉ truyền đi theo con đường cố định đó.
- Kỹ thuật chuyển mạch thông báo: thông báo là một đơn vị dữ liệu của người
sử dụng có khuôn dạng được quy định trước. Mỗi thông báo có chứa các thông
tin điều khiển trong đó chỉ rõ đích cần truyền tới của thông báo. Căn cứ vào
thông tin điều khiển này mà mỗi nút trung gian có thể chuyển thông báo tới nút
kế tiếp trên con đường dẫn tới đích của thông báo
- Kỹ thuật chuyển mạch gói: ở đây mỗi thông báo được chia ra thành nhiều gói
nhỏ hơn được gọi là các gói tin (packet) có khuôn dạng qui định trước. Mỗi gói
tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (người gửi)
và địa chỉ đích (người nhận) của gói tin. Các gói tin của cùng một thông báo có
thể được gởi đi qua mạng tới đích theo nhiều con đường khác nhau.
11
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.2.3. Kiến trúc mạng
Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các
máy tính với nhau và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham
gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt.
Khi nói đến kiến trúc của mạng người ta muốn nói tới hai vấn đề là hình
trạng mạng (Network topology) và giao thức mạng (Network protocol)
- Network Topology: Cách kết nối các máy tính với nhau về mặt hình học mà
ta gọi là tô pô của mạng
Các hình trạng mạng cơ bản đó là: hình sao, hình bus, hình vòng
- Network Protocol: Tập hợp các quy ước truyền thông giữa các thực thể truyền
thông mà ta gọi là giao thức (hay nghi thức) của mạng
Các giai thức thường gặp nhất là : TCP/IP, NETBIOS, IPX/SPX, . . .
I.2.4. Hệ điều hành mạng
Hệ điều hành mạng là một phần mềm hệ thống có các chức năng sau:
- Quản lý tài nguyên của hệ thống, các tài nguyên này gồm:
+ Tài nguyên thông tin (về phương diện lưu trữ) hay nói một cách đơn
giản là quản lý tệp. Các công việc về lưu trữ tệp, tìm kiếm, xoá, copy, nhóm,
đặt các thuộc tính đều thuộc nhóm công việc này
+ Tài nguyên thiết bị. Điều phối việc sử dụng CPU, các ngoại vi... để tối
ưu hoá việc sử dụng
- Quản lý người dùng và các công việc trên hệ thống.
Hệ điều hành đảm bảo giao tiếp giữa người sử dụng, chương trình ứng dụng
với thiết bị của hệ thống.
- Cung cấp các tiện ích cho việc khai thác hệ thống thuận lợi (ví dụ FORMAT
đĩa, sao chép tệp và thư mục, in ấn chung ...)
Các hệ điều hành mạng thông dụng nhất hiện nay là: WindowsNT,
Windows9X, Windows 2000, Unix, Novell.
12
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.3. Phân loại mạng máy tính
Có nhiều cách phân loại mạng khác nhau tuỳ thuộc vào yếu tố chính
được chọn dùng để làm chỉ tiêu phân loại, thông thường người ta phân loại
mạng theo các tiêu chí như sau
- Khoảng cách địa lý của mạng
- Kỹ thuật chuyển mạch mà mạng áp dụng
- Kiến trúc mạng
- Hệ điều hành mạng sử dụng ...
Tuy nhiên trong thực tế nguời ta thường chỉ phân loại theo hai tiêu chí
đầu tiên
I.3.1. Phân loại mạng theo khoảng cách địa lý :
Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng thì ta có mạng
cục bộ, mạng đô thị, mạng diện rộng, mạng toàn cầu.
Mạng cục bộ ( LAN - Local Area Network ) : là mạng được cài đặt trong
phạm vi tương đối nhỏ hẹp như trong một toà nhà, một xí nghiệp...với khoảng
cách lớn nhất giữa các máy tính trên mạng trong vòng vài km trở lại.
Mạng đô thị ( MAN - Metropolitan Area Network ) : là mạng được cài
đặt trong phạm vi một đô thị, một trung tâm văn hoá xã hội, có bán kính tối đa
khoảng 100 km trở lại.
Mạng diện rộng ( WAN - Wide Area Network ) : là mạng có diện tích
bao phủ rộng lớn, phạm vi của mạng có thể vượt biên giới quốc gia thậm chí cả
lục địa.
Mạng toàn cầu ( GAN - Global Area Network ) : là mạng có phạm vi trải
rộng toàn cầu.
I.3.2. Phân loại theo kỹ thuật chuyển mạch:
Nếu lấy kỹ thuật chuyển mạch làm yếu tố chính để phân loại sẽ có:
mạng chuyển mạch kênh, mạng chuyển mạch thông báo và mạng chuyển mạch
gói.
13
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Mạch chuyển mạch kênh (circuit switched network) : Khi có hai thực thể
cần truyền thông với nhau thì giữa chúng sẽ thiết lập một kênh cố định và duy
trì kết nối đó cho tới khi hai bên ngắt liên lạc. Các dữ liệu chỉ truyền đi theo
con đường cố định đó. Nhược điểm của chuyển mạch kênh là tiêu tốn thời gian
để thiết lập kênh truyền cố định và hiệu suất sử dụng mạng không cao.
Mạng chuyển mạch thông báo (message switched network) : Thông báo
là một đơn vị dữ liệu của người sử dụng có khuôn dạng được quy định trước.
Mỗi thông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền
tới của thông báo. Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian
có thể chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích của thông
báo. Như vậy mỗi nút cần phải lưu giữ tạm thời để đọc thông tin điều khiển
trên thông báo, nếu thấy thông báo không gửi cho mình thì tiếp tục chuyển tiếp
thông báo đi. Tuỳ vào điều kiện của mạng mà thông báo có thể được chuyển đi
theo nhiều con đường khác nhau.
Ưu điểm của phương pháp này là :
- Hiệu suất sử dụng đường truyền cao vì không bị chiếm dụng độc quyền mà
được phân chia giữa nhiều thực thể truyền thông.
- Mỗi nút mạng có thể lưu trữ thông tin tạm thời sau đó mới chuyển thông báo
đi, do đó có thể điều chỉnh để làm giảm tình trạng tắc nghẽn trên mạng.
- Có thể điều khiển việc truyền tin bằng cách sắp xếp độ ưu tiên cho các thông
báo.
- Có thể tăng hiệu suất sử dụng giải thông của mạng bằng cách gắn địa
chỉ quảng bá (broadcast addressing) để gửi thông báo đồng thời tới nhiều
đích.
Nhược điểm của phương pháp này là:
- Không hạn chế được kích thước của thông báo dẫn đến phí tổn lưu giữ tạm
thời cao và ảnh hưởng đến thời gian trả lời yêu cầu của các trạm .
Mạng chuyển mạch gói (packet switched network) : ở đây mỗi thông
báo được chia ra thành nhiều gói nhỏ hơn được gọi là các gói tin (packet) có
khuôn dạng qui định trước. Mỗi gói tin cũng chứa các thông tin điều khiển,
14
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1trong đó có địa chỉ nguồn (người gửi) và địa chỉ đích (người nhận) của gói tin.
Các gói tin của cùng một thông báo có thể được gởi đi qua mạng tới đích theo
nhiều con đường khác nhau.
Phương pháp chuyển mạch thông báo và chuyển mạch gói là gần giống
nhau. Điểm khác biệt là các gói tin được giới hạn kích thước tối đa sao cho các
nút mạng (các nút chuyển mạch) có thể xử lý toàn bộ gói tin trong bộ nhớ mà
không phải lưu giữ tạm thời trên đĩa. Bởi vậy nên mạng chuyển mạch gói
truyền dữ liệu hiệu quả hơn so với mạng chuyển mạch thông báo.
Tích hợp hai kỹ thuật chuyển mạch kênh và chuyển mạch gói vào trong
một mạng thống nhất được mạng tích hợp số ISDN (Integated Services Digital
Network).
I.3.3. Phân loại theo kiến trúc mạng sử dụng
Kiến trúc của mạng bao gồm hai vấn đề: hình trạng mạng (Network
topology) và giao thức mạng (Network protocol)
Hình trạng mạng: Cách kết nối các máy tính với nhau về mặt hình học
mà ta gọi là tô pô của mạng
Giao thức mạng: Tập hợp các quy ước truyền thông giữa các thực thể
truyền thông mà ta gọi là giao thức (hay nghi thức) của mạng
Khi phân loại theo topo mạng người ta thường có phân loại thành: mạng
hình sao, tròn, tuyến tính
Phân loại theo giao thức mà mạng sử dụng người ta phân loại thành
mạng : TCP/IP, mạng NETBIOS . ..
Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng cho các
mạng cục bộ.
I.3.4. Phân loại theo hệ điều hàng mạng
Nếu phân loại theo hệ điều hành mạng người ta chia ra theo mô hình
mạng ngang hàng, mạng khách/chủ hoặc phân loại theo tên hệ điều hành mà
mạng sử dụng: Windows NT, Unix, Novell . . .
15
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
I.4. Giới thiệu các mạng máy tính thông dụng nhất
I.4.1. Mạng cục bộ
Một mạng cục bộ là sự kết nối một nhóm máy tính và các thiết bị kết nối
mạng được lắp đặt trên một phạm vị địa lý giới hạn, thường trong một toà nhà
hoặc một khu công sở nào đó.
Mạng cục bộ có các đặc tính sau:
- Tốc độ truyền dữ liệu cao
- Phạm vi địa lý giới hạn
-Sở hữu của một cơ quan/tổ chức
I.4.2. Mạng diện rộng với kết nối LAN TO LAN
Mạng diện rộng bao giờ cũng là sự kết nối của các mạng LAN, mạng diện
rộng có thể trải trên phạm vi một vùng, quốc gia hoặc cả một lục địa thậm chí trên
phạm vi toàn cầu.
- Tốc độ truyền dữ liệu không cao
- Phạm vi địa lý không giới hạn
- Thường triển khai dựa vào các công ty truyền thông, bưu điện và dùng các hệ
thống truyền thông này để tạo dựng đường truyền
- Một mạng WAN có thể là sở hữu của một tập đoàn/tổ chức hoặc là mạng kết
nối của nhiều tập đoàn/tỗ chức
16
WAN Links
LAN
LAN LAN
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.4.3. Liên mạng INTERNET
Với sự phát triển nhanh chóng của công nghệ là sự ra đời của liên mạng INTERNET,
- Là một mạng toàn cầu
- Là sự kết hợp của vô số các hệ thống truyền thông, máy chủ cung cấp thông
tin và dịch vụ, các máy trạm khai thác thông tin
- Dựa trên nhiều nền tảng truyền thông khác nhau, nhưng đều trên nền giao
thức TCP/IP
- Là sở hữu chung của toàn nhân loại
- Càng ngày càng phát triển mãnh liệt
I.4.4. Mạng INTRANET
Thực sự là một mạng INTERNET thu nhỏ vào trong một cơ quan/công ty/tổ
chức hay một bộ/nghành . . ., giới hạn phạm vi người sử dụng, có sử dụng các công
nghệ kiểm soát truy cập và bảo mật thông tin .
Được phát triển từ các mạng LAN, WAN dùng công nghệ INTERNET
II. Mạng cục bộ, kiến trúc mạng cục bộ
II.1. Mạng cục bộ
Tên gọi “mạng cục bộ” được xem xét từ quy mô của mạng. Tuy nhiên,
đó không phải là đặc tính duy nhất của mạng cục bộ nhưng trên thực tế, quy mô
của mạng quyết định nhiều đặc tính và công nghệ của mạng. Sau đây là một số
đặc điểm của mạng cục bộ:
Đặc điểm của mạng cục bộ
- Mạng cục bộ có quy mô nhỏ, thường là bán kính dưới vài km. Đặc điểm này
cho phép không cần dùng các thiết bị dẫn đường với các mối liên hệ phức tạp
- Mạng cục bộ thường là sở hữu của một tổ chức. Điều này dường như có vẻ ít
quan trọng nhưng trên thực tế đó là điều khá quan trọng để việc quản lý mạng
có hiệu quả.
17
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Mạng cục bộ có tốc độ cao và ít lỗi. Trên mạng rộng tốc độ nói chung chỉ đạt
vài Kbit/s. Còn tốc độ thông thường trên mạng cục bộ là 10, 100 Kb/s và tới
nay với Gigabit Ethernet, tốc độ trên mạng cục bộ có thể đạt 1Gb/s. Xác suất
lỗi rất thấp.
II.2. Kiến trúc mạng cục bộ
II.2.1. Đồ hình mạng (Network Topology)
* Định nghĩa Topo mạng:
Cách kết nối các máy tính với nhau về mặt hình học mà ta gọi là tô pô
của mạng
Có hai kiểu nối mạng chủ yếu đó là :
- Nối kiểu điểm - điểm (point - to - point).
- Nối kiểu điểm - nhiều điểm (point - to - multipoint hay broadcast).
Theo kiểu điểm - điểm, các đường truyền nối từng cặp nút với nhau và
mỗi nút đều có trách nhiệm lưu giữ tạm thời sau đó chuyển tiếp dữ liệu đi cho
tới đích. Do cách làm việc như vậy nên mạng kiểu này còn được gọi là mạng
"lưu và chuyển tiếp" (store and forward).
Theo kiểu điểm - nhiều điểm, tất cả các nút phân chia nhau một đường
truyền vật lý chung. Dữ liệu gửi đi từ một nút nào đó sẽ được tiếp nhận bởi tất
cả các nút còn lại trên mạng, bởi vậy cần chỉ ra địa chỉ đích của dữ liệu để căn
cứ vào đó các nút kiểm tra xem dữ liệu đó có phải gửi cho mình không.
* Phân biệt kiểu tô pô của mạng cục bộ và kiểu tô pô của mạng rộng.
Tô pô của mạng rộng thông thường là nói đến sự liên kết giữa các mạng
cục bộ thông qua các bộ dẫn đường (router). Đối với mạng rộng topo của mạng
là hình trạng hình học của các bộ dẫn đường và các kênh viễn thông còn khi
nói tới tô pô của mạng cục bộ người ta nói đến sự liên kết của chính các máy
tính.
a) Mạng hình sao
18
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Mạng hình sao có tất cả các trạm được kết nối với một thiết bị trung tâm
có nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích. Tuỳ theo yêu
cầu truyền thông trên mạng mà thiết bị trung tâm có thể là bộ chuyển mạch
(switch), bộ chọn đường (router) hoặc là bộ phân kênh (hub). Vai trò của thiết
bị trung tâm này là thực hiện việc thiết lập các liên kết điểm-điểm (point-to-
point) giữa các trạm.
Ưu điểm:
Thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng ( thêm, bớt các trạm
), dễ dàng kiểm soát và khắc phục sự cố, tận dụng được tối đa tốc độ truyền của
đường truyền vật lý.
Nhược điểm:
Độ dài đường truyền nối một trạm với thiết bị trung tâm bị hạn chế
(trong vòng 100m, với công nghệ hiện nay).
Hub
Hình 1.1: Kết nối hình sao
b) Mạng trục tuyến tính (Bus):
Trong mạng trục tất cả các trạm phân chia một đường truyền chung
(bus). Đường truyền chính được giới hạn hai đầu bằng hai đầu nối đặc biệt gọi
là terminator. Mỗi trạm được nối với trục chính qua một đầu nối chữ T (T-
connector) hoặc một thiết bị thu phát (transceiver).
Khi một trạm truyền dữ liệu tín hiệu được quảng bá trên cả hai chiều của
bus, tức là mọi trạm còn lại đều có thể thu được tín hiệu đó trực tiếp. Đối với
các bus một chiều thì tín hiệu chỉ đi về một phía, lúc đó các terminator phải
được thiết kế sao cho các tín hiệu đó phải được dội lại trên bus để cho các trạm
trên mạng đều có thể thu nhận được tín hiệu đó. Như vậy với topo mạng trục
dữ liệu được truyền theo các liên kết điểm-đa điểm (point-to-multipoint) hay
quảng bá (broadcast).
19
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.2. Kết nối kiểu bus
Ưu điểm :
Dễ thiết kế, chi phí thấp
Nhược điểm:
Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị ngừng
hoạt động
c) Mạng hình vòng
Trên mạng hình vòng tín hiệu được truyền đi trên vòng theo một chiều
duy nhất. Mỗi trạm của mạng được nối với vòng qua một bộ chuyển tiếp
(repeater) có nhiệm vụ nhận tín hiệu rồi chuyển tiếp đến trạm kế tiếp trên vòng.
Như vậy tín hiệu được lưu chuyển trên vòng theo một chuỗi liên tiếp các liên
kết điểm-điểm giữa các repeater do đó cần có giao thức điều khiển việc cấp
phát quyền được truyền dữ liệu trên vòng mạng cho trạm có nhu cầu.
Để tăng độ tin cậy của mạng ta có thể lắp đặt thêm các vòng dự phòng,
nếu vòng chính có sự cố thì vòng phụ sẽ được sử dụng.
Mạng hình vòng có ưu nhược điểm tương tự mạng hình sao, tuy nhiên
mạng hình vòng đòi hỏi giao thức truy nhập mạng phức tạp hơn mạng hình
sao.
20 Hình 1.3. Kết nối kiểu vòng
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1d) Kết nối hỗn hợp
Là sự phối hợp các kiểu kết nối khác nhau, ví du hình cây là cấu trúc
phân tầng của kiểu hình sao hay các HUB có thể được nối với nhau theo kiểu
bus còn từ các HUB nối với các máy theo hình sao.
Hub
Hub
Bộ ển chuy
đổi cáp
HUB
II.3. Các phương pháp truy cập đường truyền vật lý
Trong mạng cục bộ, tất cả các trạm kết nối trực tiếp vào đường truyền
chung. Vì vậy tín hiệu từ một trạm đưa lên đường truyền sẽ được các trạm khác
“nghe thấy”. Một vấn đề khác là, nếu nhiều trạm cùng gửi tín hiệu lên đường
truyền đồng thời thì tín hiệu sẽ chồng lên nhau và bị hỏng. Vì vậy cần phải có
một phương pháp tổ chức chia sẻ đường truyền để việc truyền thông đựơc đúng
đắn.
Hình 1.4. Một kết nối hỗn hợp
Có hai phương pháp chia sẻ đường truyền chung thường được dùng
trong các mạng cục bộ:
- Truy nhập đường truyền một cách ngẫu nhiên, theo yêu cầu. Đương nhiên
phải có tính đến việc sử dụng luân phiên và nếu trong trường hợp do có nhiều
trạm cùng truyền tin dẫn đến tín hiệu bị trùm lên nhau thì phải truyền lại.
- Có cơ chế trọng tài để cấp quyền truy nhập đường truyền sao cho không xảy
ra xung đột
21
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1II.3.1 Phương pháp đa truy nhập sử dụng sóng mang có phát hiện
xung đột CSMA/CD (Carrier Sense Multiple Access with Collision
Detection)
Giao thức CSMA (Carrier Sense Multiple Access) - đa truy nhập có cảm
nhận sóng mang được sử dụng rất phổ biến trong các mạng cục bộ. Giao thức
này sử dụng phương pháp thời gian chia ngăn theo đó thời gian được chia
thành các khoảng thời gian đều đặn và các trạm chỉ phát lên đường truyền tại
thời điểm đầu ngăn.
Mỗi trạm có thiết bị nghe tín hiệu trên đường truyền (tức là cảm nhận
sóng mang). Trước khi truyền cần phải biết đường truyền có rỗi không. Nếu rỗi
thì mới được truyền. Phương pháp này gọi là LBT (Listening before talking).
Khi phát hiện xung đột, các trạm sẽ phải phát lại. Có một số chiến lược phát lại
như sau:
- Giao thức CSMA 1-kiên trì. Khi trạm phát hiện kênh rỗi trạm truyền
ngay. Nhưng nếu có xung đột, trạm đợi khoảng thời gian ngẫu nhiên rồi truyền
lại. Do vậy xác suất truyền khi kênh rỗi là 1. Chính vì thế mà giao thức có tên
là CSMA 1-kiên trì. (1)
- Giao thức CSMA không kiên trì khác một chút.Trạm nghe đường, nếu
kênh rỗi thì truyền, nếu không thì ngừng nghe một khoảng thời gian ngẫu nhiên
rồi mới thực hiện lại thủ tục. Cách này có hiệu suất dùng kênh cao hơn. (2)
- Giao thức CSMA p-kiên trì. Khi đã sẵn sàng truyền, trạm cảm nhận
đường, nếu đường rỗi thì thực hiện việc truyền với xác suất là p < 1 (tức là
ngay cả khi đường rỗi cũng không hẳn đã truyền mà đợi khoảng thời gian tiếp
theo lại tiếp tục thực hiện việc truyền với xác suất còn lại q=1-p. (3)
• Ta thấy giải thuật (1) có hiệu quả trong việc tránh xung đột vì hai trạm
cần truyền thấy đường truyền bận sẽ cùng rút lui chờ trong những khoảng thời
gian ngẫu nhiên khác nhau sẽ quay lại tiếp tục nghe đường truyền. Nhược điểm
của nó là có thể có thời gian không sử dụng đường truyền sau mỗi cuộc gọi.
• Giải thuật (2) cố gắng làm giảm thời gian "chết" bằng cách cho phép
một trạm có thể được truyền dữ liệu ngay sau khi một cuộc truyền kết thúc.
Tuy nhiên nếu lúc đó lại có nhiều trạm đang đợi để truyền dữ liệu thì khả năng
xẩy ra xung đột sẽ rất lớn.
22
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1• Giải thuật (3) với giá trị p được họn hợp lý có thể tối thiểu hoá được cả
khả năng xung đột lẫn thời gian "chết" của đường truyền.
• Xẩy ra xung đột thường là do độ trễ truyền dẫn, mấu chốt của vấn đề là :
các trạm chỉ "nghe" trước khi truyền dữ liệu mà không "nghe" trong khi truyền,
cho nên thực tế có xung đột thế nhưng các trạm không biết do đó vẫn truyền dữ
liệu.
• Để có thể phát hiện xung đột, CSMA/CD đã bổ xung thêm các quy tắc
sau đây :
- Khi một trạm truyền dữ liệu, nó vẫn tiếp tục "nghe" đường truyền . Nếu phát
hiện xung đột thì nó ngừng ngay việc truyền, nhờ đó mà tiết kiệm được thời
gian và giải thông, nhưng nó vẫn tiếp tục gửi tín hiệu thêm một thời gian nữa
để đảm bảo rằng tất cả các trạm trên mạng đều "nghe" được sự kiện này.(như
vậy phải tiếp tục nghe đường truyền trong khi truyền để phát hiện đụng độ
(Listening While Talking))
- Sau đó trạm sẽ chờ trong một khoảng thời gian ngẫu nhiên nào đó rồi thử
truyền lại theo quy tắc CSMA.
Giao thức này gọi là CSMA có phát hiện xung đột (Carrier Sense Multiple
Access with Collision Detection viết tắt là CSMA/CD), dùng rộng rãi trong LAN và
MAN.
II.3.2. Phương pháp Token Bus
Nguyên lý chung của phương pháp này là để cấp phát quyền truy nhập
đường truyền cho các trạm đang có nhu cầu truyền dữ liệu, một thẻ bài được
lưu chuyển trên một vòng logic được thiết lập bởi các trạm đó. Khi một trạm
nhận được thẻ bài thì sẽ được phép sử dụng đường truyền trong một thời gian
nhất định. Trong khoảng thời gian đó nó có thể truyền một hay nhiều đơn vị dữ
liệu. Khi đã truyền xong dữ liệu hoặc thời gian đã hết thì trạm đó phải chuyển
thẻ bài cho trạm tiếp theo. Như vậy, công việc đầu tiên là thiết lập vòng logic
(hay còn gọi là vòng ảo) bao gồm các trạm đang có nhu cầu truyền dữ liệu
được xác định vị trí theo một chuỗi thứ tự mà trạm cuối cùng của chuỗi sẽ tiếp
liền sau bởi trạm đầu tiên. Mỗi trạm sẽ biết địa chỉ của trạm liền trước và kề
23
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1sau nó. Thứ tự của các trạm trên vòng logic có thể độc lập với thứ tự vật lý.
Các trạm không hoặc chưa có nhu cầu truyền dữ liệu không được vào trong
vòng logic.
A B C D
H G F E
Hình 1.5. Ví dụ về vòng logic
Trong ví dụ trên, các trạm A, E nằm ngoài vòng logic do đó chỉ có thể
tiếp nhận được dữ liệu dành cho chúng.
Việc thiết lập vòng logic không khó nhưng việc duy trì nó theo trạng thái thực
tế của mạng mới là khó. Cụ thể phải thực hiện các chức năng sau:
a) Bổ xung một trạm vào vòng logic : các trạm nằm ngoài vòng logic cần được
xem xét một cách định kỳ để nếu có nhu cầu truyền dữ liệu thì được bổ xung
vào vòng logic.
b) Loại bỏ một vòng khỏi vòng logic : khi một trạm không có nhu cầu truyền
dữ liệu thì cần loại bỏ nó ra khỏi vòng logic để tối ưu hoá việc truyền dữ liệu
bằng thẻ bài.
24
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1c) Quản lý lỗi : một số lỗi có thể xẩy ra như trùng hợp địa chỉ, hoặc đứt vòng
logic.
d) Khởi taọ vòng logic : khi khởi tạo mạng hoặc khi đứt vòng logic cần phải
khởi tạo lại vòng logic.
II.3.2. Phương pháp Token Ring
Phương pháp này cũng dựa trên nguyên tắc dùng thẻ bài để cấp phát
quyền truy nhập đường truyền. Nhưng ở đây thẻ bài lưu chuyển theo theo vòng
vật lý chứ không theo vòng logic như dối với phương pháp token bus.
Thẻ bài là một đơn vị truyền dữ liệu đặc biệt trong đó có một bit biểu
diễn trạng thái của thẻ (bận hay rỗi). Một trạm muốn truyền dữ liệu phải chờ
cho tới khi nhận được thẻ bài "rỗi". Khi đó trạm sẽ đổi bit trạng thái thành
"bận" và truyền một đơn vị dữ liệu đi cùng với thẻ bài đi theo chiều của vòng.
Lúc này không còn thẻ bài "rỗi " nữa do đó các trạm muốn truyền dữ liệu phải
đợi. Dữ liệu tới trạm đích được sao chép lại, sau đó cùng với thẻ bài trở về trạm
nguồn. Trạm nguồn sẽ xoá bỏ dữ liệu đổi bit trạng thái thành "rỗi" và cho lưu
chuyển thẻ trên vòng để các trạm khác có nhu cầu truyền dữ liệu được phép
truyền .
B
C A
D
Hình 1.6. Thẻ bài trong mạng Ring
25
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Sự quay trở lại trạm nguồn của dữ liệu và thẻ bài nhằm tạo khả năng báo nhận
tự nhiên : trạm đích có thể gửi vào đơn vị dữ liệu (phần header) các thông tin
về kết quả tiếp nhận dữ liệu của mình. Chẳng hạn các thông tin đó có thể là:
trạm đích không tồn tại hoặc không hoạt động, trạm đích tồn tại nhưng dữ liệu
không được sao chép, dữ liệu đã được tiếp nhận, có lỗi...
Trong phương pháp này cần giải quyết hai vấn đề có thể dẫn đến phá vỡ
hệ thống đó là mất thẻ bài và thẻ bài "bận" lưu chuyển không dừng trên vòng
.Có nhiều phương pháp giải quyết các vấn đề trên, dưới đây là một phương
pháp được khuyến nghị:
Đối với vấn đề mất thẻ bài có thể quy định trước một trạm điều khiển chủ
động. Trạm này sẽ theo dõi, phát hiện tình trạng mất thẻ bài bằng cách dùng cơ
chế ngưỡng thời gian (time - out) và phục hồi bằng cách phát đi một thẻ bài
"rỗi" mới.
Đối với vấn đề thẻ bài bận lưu chuyển không dừng, trạm điều khiển sử
dụng một bit trên thẻ bài để đánh dấu khi gặp một thẻ bài "bận" đi qua nó. Nếu
nó gặp lại thẻ bài bận với bit đã đánh dấu đó có nghĩa là trạm nguồn đã không
nhận lại được đơn vị dữ liệu của mình do đó thẻ bài "bận" cứ quay vòng mãi.
Lúc đó trạm điều khiển sẽ chủ động đổi bit trạng thái "bận" thành "rỗi" và cho
thẻ bài chuyển tiếp trên vòng. Trong phương pháp này các trạm còn lại trên
mạng sẽ đóng vai trò bị động, chúng theo dõi phát hiện tình trạng sự cố trên
trạm chủ động và thay thế trạm chủ động nếu cần.
III. Chuẩn hoá mạng máy tính
III.1. Vấn đề chuẩn hoá mạng và các tổ chức chuẩn hoá
mạng
Khi thiết kế, các nhà thiết kế tự do lựa chọn kiến trúc mạng cho riêng
mình. Từ đó dẫn tới tình trạng không tương thích giữa các mạng máy tính với
nhau. Nhu cầu trao đổi thông tin càng lớn thúc đẩy việc xây dựng khung
chuẩnvề kiến trúc mạng để làm căn cứ cho các nhà thiết kế và chế tạo thiết bị
mạng .
Chính vì lý do đó, tổ chức tiêu chuẩn hoá quốc tế ISO (Internatinal
Organnization for Standarzation) đã xây dựng mô hình tham chiếu cho việc kết
26
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1nối các hệ thống mở OSI (reference model for Open Systems Interconnection).
Mô hình này là cơ sở cho việc kết nối các hệ thống mở phục vụ cho các ứng
dụng phân tán.
Có hai loại chuẩn cho mạng đó là :
- Các chuẩn chính thức ( de jure ) do các tổ chức chuẩn quốc gia và quốc tế
ban hành.
- Các chuẩn tực tiễn ( de facto ) do các hãng sản xuất, các tổ chức người sử
dụng xây dựng và được dùng rộng rãi trong thực tế
III.2. Mô hình tham chiếu OSI 7 lớp
Khi thiết kế, các nhà thiết kế tự do lựa chọn kiến trúc mạng cho riêng
mình. Từ đó dẫn tới tình trạng không tương thích giữa các mạng máy tính với
nhau. Vấn đề không tương thích đó làm trở ngại cho sự tương tác giữa những
người sử dụng mạng khác nhau. Nhu cầu trao đổi thông tin càng lớn thúc đẩy
việc xây dựng khung chuẩn về kiến trúc mạng để làm căn cứ cho các nhà thiết
kế và chế tạo thiết bị mạng .
Chính vì lý do đó, tổ chức tiêu chuẩn hoá quốc tế ISO (Internatinal
Organnization for Standarzation) đã xây dựng mô hình tham chiếu cho việc kết
nối các hệ thống mở OSI (reference model for Open Systems Interconnection).
Mô hình này là cơ sở cho việc kết nối các hệ thống mở phục vụ cho các ứng
dụng phân tán.
27
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Mô hình OSI được biểu diễn theo hình dưới đây:
Lớp ứng dụng
(application)
Lớp thể hiện
(presentation)
Lớp phiên
(session)
Lớp chuyển vận
(transport)
Lớp mạng
(network)
Lớp liên kết dữ liệu
(data link)
Lớp vật lý
(physical link)
Hình 1.7. Mô hình OSI 7 lớp
a) Lớp vật lý
Lớp này bảo đảm các công việc sau:
- Lập, cắt cuộc nối.
- Truyền tin dạng bit qua kênh vật lý.
- Có thể có nhiều kênh.
b) Lớp liên kết dữ liệu
Lớp này đảm bảo việc biến đổi các tin dạng bit nhận được từ lớp dưới
(vật lý) sang khung số liệu, thông báo cho hệ phát, kết quả thu được sao cho
các thông tin truyền lên cho mức 3 không có lỗi. Các thông tin truyền ở mức 1
có thể làm hỏng các thông tin khung số liệu (frame error). Phần mềm mức hai
28
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1sẽ thông báo cho mức một truyền lại các thông tin bị mất / lỗi. Đồng bộ các hệ
có tốc độ xử lý tính khác nhau, một trong những phương pháp hay sử dụng là
dùng bộ đệm trung gian để lưu giữ số liệu nhận được. Độ lớn của bộ đệm này
phụ thuộc vào tương quan xử lý của các hệ thu và phát. Trong trường hợp
đường truyền song công toàn phần, lớp datalink phải đảm bảo việc quản lý các
thông tin số liệu và các thông tin trạng thái.
c) Lớp mạng
Nhiệm vụ của lớp mạng là đảm bảo chuyển chính xác số liệu giữa các
thiết bị cuối trong mạng. Để làm được việc đó, phải có chiến lược đánh địa chỉ
thống nhất trong toàn mạng. Mỗi thiết bị cuối và thiết bị mạng có một địa chỉ
mạng xác định. Số liệu cần trao đổi giữa các thiết bị cuối được tổ chức thành
các gói (packet) có độ dài thay đổi và được gán đầy đủ địa chỉ nguồn (source
address) và địa chỉ đích (destination address).
Lớp mạng đảm bảo việc tìm đường tối ưu cho các gói dữ liệu bằng các
giao thức chọn đường dựa trên các thiết bị chọn đường (router). Ngoài ra, lớp
mạng có chức năng điều khiển lưu lượng số liệu trong mạng để tránh xảy ra tắc
ngẽn bằng cách chọn các chiến lược tìm đường khác nhau để quyết định việc
chuyển tiếp các gói số liệu.
d) Lớp chuyển vận
Lớp này thực hiện các chức năng nhận thông tin từ lớp phiên (session)
chia thành các gói nhỏ hơn và truyền xuống lớp dưới, hoặc nhận thông tin từ
lớp dưới chuyển lên phục hồi theo cách chia của hệ phát (Fragmentation and
Reassembly). Nhiệm vụ quan trọng nhất của lớp vận chuyển là đảm bảo chuyển
số liệu chính xác giữa hai thực thể thuộc lớp phiên (end-to-end control). Để làm
được việc đó, ngoài chức năng kiểm tra số tuần tự phát, thu, kiểm tra và phát
hiện, xử lý lỗi.Lớp vận chuyển còn có chức năng điều khiển lưu lượng số liệu
để đồng bộ giữa thể thu và phát , tránh tắc nghẽn số liệu khi chuyển qua lớp
mạng. Ngoài ra, nhiều thực thể lớp phiên có thể trao đổi số liệu trên cùng một
kết nối lớp mạng (multiplexing).
e) Lớp phiên
Liên kết giữa hai thực thể có nhu cầu trao đổi số liệu, ví dụ người dùng
và một máy tính ở xa, được gọi là một phiên làm việc. Nhiệm vụ của lớp phiên
là quản lý việc trao đổi số liệu, ví dụ: thiết lập giao diện giữa người dùng và
29
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1máy, xác định thông số điều khiển trao đổi số liệu (tốc độ truyền, số bit trong
một byte, có kiểm tra lỗi parity hay không, v.v.), xác định loại giao thức mô
phỏng thiết bị cuối (terminal emulation), v.v. Chức năng quan trọng nhất của
lớp phiên là đảm bảo đồng bộ số liệu bằng cách thực hiện các điểm kiểm tra.
Tại các điểm kiểm tra này, toàn bộ trạng thái và số liệu của phiên làm việc
được lưu trữ trong bộ nhớ đệm. Khi có sự cố, có thể khởi tạo lại phiên làm
việc từ điểm kiểm tra cuối cùng (không phải khởi tạo lại từ đầu).
f) Lớp thể hiện
Nhiệm vụ của lớp thể hiện là thích ứng các cấu trúc dữ liệu khác nhau
của người dùng với cấu trúc dữ liệu thống nhất sử dụng trong mạng. Số liệu
của người dùng có thể được nén và mã hoá ở lớp thể hiện, trước khi chuyển
xuống lớp phiên. Ngoài ra, lớp thể hiện còn chứa các thư viện các yêu cầu của
người dùng, thư viện tiện ích, ví dụ thay đổi dạng thể hiện của các tệp, nén
tệp...
g) Lớp ứng dụng
Lớp ứng dụng cung cấp các phương tiện để người sử dụng có thể truy
nhập được vào môi trường OSI, đồng thời cung cấp các dịch vụ thông tin phân
tán. Lớp mạng cho phép người dùng khai thác các tài nguyên trong mạng tương tự
như tài nguyên tại chỗ.
III.3. Các chuẩn kết nối thông dụng nhất IEEE 802.X và
ISO 8802.X
Bên cạnh việc chuẩn hoá cho mạng nối chung dẫn đến kết quả cơ bản
nhất là mô hình tham chiếu OSI như đã giới thiệu. Việc chuẩn hoá mạng cục bộ
nói riêng đã được thực hiện từ nhiều năm nay để đáp ứng sự phát triển của
mạng cục bộ.
Cũng như đối với mạng nói chung, có hai loại chuẩn cho mạng cục bộ, đó là :
- Các chuẩn chính thức ( de jure ) do các tổ chức chuẩn quốc gia và quốc tế
ban hành.
- Các chuẩn tực tiễn ( de facto ) do các hãng soản xuất, các tổ chức người sử
dụng xây dựng và được dùng rộng rãi trong thực tế
- Các chuẩn IEEE 802.x và ISO 8802.x
30
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 IEEE là tổ chức đi tiên phong trong lĩnh vực chuẩn hoá mạng cục bộ với
đề án IEEE 802 với kết quả là một loạt các chuẩn thuộc họ IEEE 802.x ra đời .
Cuối những năm 80, tổ chức ISO đã tiếp nhận họ chuẩn này và ban hành thành
chuẩn quốc tế dưới mã hiệu tương ứng là ISO 8802.x.
IEEE 802.: là chuẩn đặc tả kiến trúc mạng, kết nối giữa các mạng và việc quản
trị mạng đối với mạng cục bộ.
IEEE 802.2: là chuẩn đặc tả tầng dịch vụ giao thức của mạng cục bộ.
IEEE 802.3: là chuẩn đặc tả một mạng cục bộ dựa trên mạng Ethernet nổi
tiếng của Digital, Intel và Xerox hợp tác xây dựng từ năm 1980.
Tầng vật lý của IEEE 802.3 có thể dùng các phương án sau để xây dựng:
- 10BASE5 : tốc độ 10Mb/s, dùng cáp xoắn đôi không bọc kim UTP (Unshield
Twisted Pair), với phạm vi tín hiệu lên tới 500m, topo mạng hình sao.
- 10BASE2 : tốc độ 10Mb/s, dùng cáp đồng trục thin-cable với trở kháng 50
Ohm, phạm vi tín hiệu 200m,topo mạng dạng bus.
- 10BASE5 : tốc độ 10Mb/s, dùng cáp đồng trục thick-cable (đường kính
10mm) với trở kháng 50 Ohm, phạm vi tín hiệu 500m, topo mạng dạng bus.
- 10BASE-F: dùng cáp quang, tốc độ 10Mb/s phạm vi cáp 2000m.
IEEE 802.4: là chuẩn đặc tả mạng cục bộ với topo mạng dạng bus dùng thẻ bài
để điều việc truy nhập đường truyền.
IEEE 802.5: là chuẩn đặc tả mạng cục bộ với topo mạng dạng vòng (ring)
dùng thẻ bài để điều việc truy nhập đường truyền.
IEEE 802.6: là chuẩn đặc tả mạng tốc độ cao kết nối với nhiều mạng cục bộ
thuộc các khu vực khác nhau của một đô thị (còn được gọi là mạng MAN -
Metropolitan Area Network)
31
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
IEEE 802.9: là chuẩn đặc tả mạng tích hợp dữ liệu và tiếng nói bao gồm 1
kênh dị bộ 10 Mb/s cùng với 96 kênh 64Kb/s. Chuẩn này được thiết kế cho môi
trường có lượng lưu thông lớn và cấp bách.
IEEE 802.10: là chuẩn đặc tả về an toàn thông tin trong các mạng cục bộ có
khả năng liên tác .
IEEE 802.11: là chuẩn đặc tả mạng cục bộ không dây (Wireless LAN) hiện
đang được tiếp tục phát triển.
IEEE 802.12: là chuẩn đặc tả mạng cục bộ dựa trên công nghệ được đề xuất
bởi AT&T, IBM và HP gọi là 100 VG - AnyLAN. Mạng này có topo mạng
hình sao và một phương pháp truy nhập đường truyền có điều khiển tranh chấp.
Khi có nhu cầu truyền dữ liệu, một trạm sẽ gửi yêu cầu đến hub và trạm chỉ có
truyền dữ liệu khi hub cho phép.
Mục 2: Các thiết bị mạng thông dụng và các
chuẩn kết nối vật lý
I. Các thiết bị mạng thông dụng
II.1. Các loại cáp truyền
II.1.1. Cáp đôi dây xoắn (Twisted pair cable)
Cáp đôi dây xoắn là cáp gồm hai dây đồng xoắn để tránh gây nhiễu cho
các đôi dây khác, có thể kéo dài tới vài km mà không cần khuyếch đại. Giải tần
trên cáp dây xoắn đạt khoảng 300–4000Hz, tốc độ truyền đạt vài kbps đến vài
Mbps. Cáp xoắn có hai loại:
32
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 - Loại có bọc kim loại để tăng cường chống nhiễu gọi là cap STP (
Shield Twisted Pair). Loại này trong vỏ bọc kim có thể có nhiều đôi dây. Về lý
thuyết thì tốc độ truyền có thể đạt 500 Mb/s nhưng thực tế thấp hơn rất nhiều
(chỉ đạt 155 Mbps với cáp dài 100 m)
- Loại không bọc kim gọi là UTP (UnShield Twisted Pair), chất lượng
kém hơn STP nhưng rất rẻ. Cap UTP được chia làm 5 hạng tuỳ theo tốc độ
truyền. Cáp loại 3 dùng cho điện thoại. Cáp loại 5 có thể truyền với tốc độ
100Mb/s rất hay dùng trong các mạng cục bộ vì vừa rẻ vừa tiện sử dụng. Cáp
này có 4 đôi dây xoắn nằm trong cùng một vỏ bọc
Hình 7. Cáp UTP Cat. 5
II.1.2. Cáp đồng trục (Coaxial cable) băng tần cơ sở
Là cáp mà hai dây của nó có lõi lồng nhau, lõi ngoài là lưới kim loại. ,
Khả năng chống nhiễu rất tốt nên có thể sử dụng với chiều dài từ vài trăm met
đến vài km. Có hai loại được dùng nhiều là loại có trở kháng 50 ohm và loại có
trở kháng 75 ohm
Hình 8. Cáp đồng trục
33
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Dải thông của cáp này còn phụ thuộc vào chiều dài của cáp. Với khoảng
cách1 km có thể đạt tốc độ truyền tư 1– 2 Gbps. Cáp đồng trục băng tần cơ sở
thường dùng cho các mạng cục bộ. Có thể nối cáp bằng các đầu nối theo chuẩn
BNC có hình chữ T. ở VN người ta hay gọi cáp này là cáp gầy do dịch từ tên
trong tiếng Anh là ‘Thin Ethernet”.
Một loại cáp khác có tên là “Thick Ethernet” mà ta gọi là cáp béo. Loại
này thường có màu vàng. Người ta không nối cáp bằng các đầu nối chữ T như
cáp gầy mà nối qua các kẹp bấm vào dây. Cứ 2m5 lại có đánh dấu để nối dây
(nếu cần). Từ kẹp đó người ta gắn các tranceiver rồi nối vào máy tính. (Xem
hình 9 )
Hình 9. Kết nối bằng Traceiver
II.1.3. Cáp đồng trục băng rộng (Broadband Coaxial Cable)
Đây là loại cáp theo tiêu chuẩn truyền hình (thường dùng trong truyền
hình cap) có giải thông từ 4 – 300 Khz trên chiều dài 100 km. Thuật ngữ “băng
rộng” vốn là thuật ngữ của ngành truyền hình còn trong ngành truyền số liệu
điều này chỉ có nghĩa là cáp loại này cho phép truyền thông tin tuơng tự
(analog) mà thôi. Các hệ thống dựa trên cáp đồng trục băng rộng có thể truyền
song song nhiều kênh. Việc khuyếch đại tín hiệu chống suy hao có thể làm
theo kiểu khuyếch đại tín hiệu tương tự (analog). Để truyền thông cho máy tính
cần chuyển tín hiệu số thành tín hiệu tương tự.
34
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1II.1.4. Cáp quang
Dùng để truyền các xung ánh sáng trong lòng một sợi thuỷ tinh phản xạ
toàn phần. Môi trường cáp quang rất lý tưởng vì
- Xung ánh sáng có thể đi hàng trăm km mà không giảm cuờng độ sáng.
- Giải thông rất cao vì tần số ánh sáng dùng đối với cáp quang cỡ
khoảng 1014 –1016
- An toàn và bí mật
- Không bị nhiễu điện từ
Chỉ có hai nhược điểm là khó nối dây và giá thành cao.
Hình 10. Truyền tín hiệu bằng cáp quang
Để phát xung ánh sáng người ta dùng các đèn LED hoặc các diod laser.
Để nhận người ta dùng các photo diode , chúng sẽ tạo ra xung điện khi bắt
được xung ánh sáng
Cáp quang cũng có hai loại
- Loại đa mode (multimode fiber): khi góc tới thành dây dẫn lớn đến
một mức nào đó thì có hiện tượng phản xạ toàn phần. Nhiều tia sáng có thể
cùng truyền miễn là góc tới của chúng đủ lớn. Các cap đa mode có đường kính
khoảng 50 µ
- Loại đơn mode (singlemode fiber): khi đường kính dây dẫn bằng bước
sóng thì cáp quang giống như một ống dẫn sóng, không có hiện tượng phản xạ
nhưng chỉ cho một tia đi. Loại nàycó cường kính khoản 8 µ và phải dùng diode
laser. Cáp quang đa mode có thể cho phép truyền xa tới hàng trăm km mà
không cần phải khuyếch đại.
35
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
II.2. Các thiết bị ghép nối
II.2.1. Card giao tiếp mạng (Network Interface Card viết tắt là NIC)
Đó là một card được cắm trực tiếp vào máy tính. Trên đó có các mạch
điện giúp cho việc tiếp nhận (receiver) hoặc/và phát (transmitter) tín hiệu lên
mạng. Người ta thường dùng từ tranceiver để chỉ thiết bị (mạch) có cả hai chức
năng thu và phát. Transceiver có nhiều loại vì phải thích hợp đối với cả môi
trường truyền và do đó cả đầu nối. Ví dụ với cáp gầy card mạng cần có đường
giao tiếp theo kiểu BNC, với cáp UTP cần có đầu nối theo kiểu giắc điện thoại
K5, cáp dày dùng đường nối kiểu AUI , với cáp quang phải có những
transceiver cho phép chuyển tín hiệu điện thành các xung ánh sáng và ngược
lại.
Để dễ ghép nối, nhiều card có thể có nhiều đầu nối ví dụ BNC cho cáp
gầy, K45 cho UTP hay AUI cho cáp béo
Trong máy tính thường để sẵn các khe cắm để bổ sung các thiết bị ngoại
vi hay cắm các thiết bị ghép nối.
II.2.2. Bộ chuyển tiếp (REPEATER )
Tín hiệu truyền trên các khoảng cách lớn có thể bị suy giảm. Nhiệm vụ
của các repeater là hồi phục tín hiệu để có thể truyền tiếp cho các trạm khác.
Một số repeater đơn giản chỉ là khuyếch đại tín hiệu. Trong trường hợp đó cả
tín hiệu bị méo cũng sẽ bị khuyếch đại. Một số repeater có thể chỉnh cả tín
hiệu.
II.2.3. Các bộ tập trung (Concentrator hay HUB)
HUB là một loại thiết bị có nhiều đầu để cắm các đầu cáp mạng. HUB
có thể có nhiều loại ổ cắm khác nhau phù hợp với kiểu giắc mạng RJ45, AUI
hay BCN. Như vậy người ta sử dụng HUB để nối dây theo kiểu hình sao. Ưu
điểm của kiểu nối này là tăng độ độc lập của các máy . Nếu dây nối tới một
máy nào đó tiếp xúc không tốt cũng không ảnh hưởng đến máy khác.
36
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Đặc tính chủ yếu của HUB là hệ thống chuyển mạch trung tâm trong
mạng có kiến trúc hình sao với việc chuyển mạch được thực hiện theo hai
cách: store-and-forward hoặc on-the-fly. Tuy nhiên hệ thống chuyển mạch
trung tâm làm nảy sinh vấn đề khi lỗi xảy ra ở chính trung tâm, vì vậy hướng
phát triển trong suốt nhiều năm qua là khử lỗi để làm tăng độ tin cậy của HUB.
Có loại HUB thụ động (passive HUB) là HUB chỉ đảm bảo chức năng
kết nối hoàn toàn không xử lý lại tín hiệu. Khi đó không thể dùng HUB để tăng
khoảng cách giữa hai máy trên mạng.
HUB chủ động (active HUB) là HUB có chức năng khuyếch đại tín hiệu
để chống suy hao. Với HUB này có thể tăng khoảng cách truyền giữa các máy.
HUB thông minh (intelligent HUB) là HUB chủ động nhưng có khả
năng tạo ra các gói tin mang tin tức về hoạt động của mình và gửi lên mạng để
người quản trị mạng có thể thực hiện quản trị tự động
II.2.4. Switching Hub (hay còn gọi tắt là switch)
Là các bộ chuyển mạch thực sự. Khác với HUB thông thường, thay vì
chuyển một tín hiệu đến từ một cổng cho tất cả các cổng, nó chỉ chuyển tín
hiệu đến cổng có trạm đích. Do vậy Switch là một thiết bị quan trọng trong các
mạng cục bộ lớn dùng để phân đoạn mạng. Nhờ có switch mà đụng độ trên
mạng giảm hẳn. Ngày nay switch là các thiết bị mạng quan trọng cho phép tuỳ
biến trên mạng chẳng hạn lập mạng ảo.
37
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Hình 11. LAN Switch nối hai Segment mạng
Switch thực chất là một loại bridge, về tính năng kỹ thuật, nó là loại
bridge có độ trễ nhỏ nhất. Khác với bridge là phải đợi đến hết frame rồi mới
truyền, switch sẽ chờ cho đến khi nhận được địa chỉ đích của frame gửi tới và
lập tức được truyền đi ngay. Điều này có nghĩa là frame sẽ được gửi tới LAN
cần gửi trước khi nó được switch nhận xong hoàn toàn.
II.2.5. Modem
Là tên viết tắt từ hai từ điều chế (MOdulation) và giải điều chế
(DEModulation) là thiết bị cho phép điều chế để biến đổi tín hiệu số sang tín
hiệu tương tự để có thể gửi theo đường thoại và khi nhận tín hiệu từ đường
thoại có thể biến đổi ngược lại thành tín hiệu số. Tuy nhiên có thể sử dụng nó
theo kiểu kết nối từ xa theo đường điện thoại
II.2.6. Multiplexor - Demultiplexor
Bộ dồn kênh có chức năng tổ hợp nhiều tín hiệu để cùng gửi trên một
đường truyền. Đương nhiên tại nơi nhận cần phải tách kênh.
II.2.7. Router
Router là một thiết bị không phải để ghép nối giữa các thiết bị trong một
mạng cục bộ mà dùng để ghép nối các mạng cục bộ với nhau thành mạng rộng.
Router thực sự là một máy tính làm nhiệm vụ chọn đường cho các gói tin
hướng ra ngoài.
38
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Khác với repeaters và bridges, router là thiết bị kết nối mạng độc lập
phần cứng, nó được dùng để kết nối các mạng có cùng chung giao thức. Chức
năng cơ bản nhất của router là cung cấp một môi trường chuyển mạch gói
(packet switching) đáng tin cậy để lưu trữ và truyền số liệu. Để thực hiện điều
đó, nó thiết lập các thông tin về các đường truyền hiện có trong mạng, và khi
cần nó sẽ cung cấp hai hay nhiều đường truyền giữa hai mạng con bất kỳ tạo ra
khả năng mềm dẻo trong việc tìm đường đi hợp lý nhất về một phương diện
nào đó.
III.3. Một số kiểu nối mạng thông dụng và các chuẩn
III.3.1.Các thành phần thông thường trên một mạng cục bộ gồm có
- Các máy chủ cung cấp dịch vụ (server)
- Các máy trạm cho người làm việc (workstation)
- Đường truyền (cáp nối)
- Card giao tiếp giữa máy tính và đường truyền (network interface card)
- Các thiết bị nối (connection device)
Hình 9. Cấu hình của một mạng cục bộ
39
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hai yếu tố được quan tâm hàng đầu khi kết nối mạng cục bộ là tốc độ
trong mạng và bán kính mạng. Tên các kiểu mạng dùng theo giao thức
CSMA/CD cũng thể hiện điều này. Sau đây là một số kiểu kết nối đó với tốc độ
10 Mb/s khá thông dụng trong thời gian qua và một số thông số kỹ thuật:
Chuẩn IEEE 802.3
Kiểu 10BASE5 10BASE2 10BASE-T
Kiểu cáp Cáp đồng trục Cáp đồng trục Cáp UTP
Tốc độ 10 Mb/s
Độ dài cáp tối đa 500 m/segment 185 m/segment 100 m kể từ HUB
Số các thực thể
truyền thông
100 host /segment 30 host / segment Số cổng của HUB
III.3.2. Kiểu 10BASE5:
Là chuẩn CSMA/CD có tốc độ 10Mb và bán kính 500 m. Kiểu này dùng
cáp đồng trục loại thick ethernet (cáp đồng trục béo) với tranceiver. Có thể kết
nối vào mạng khoảng 100 máy
40
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 10. Kết nối theo chuẩn 10BASE5
Tranceiver:Thiết bị nối giữa card mạng và đường truyền, đóng vai trò là
bộ thu-phát
Hình 10. Nối mạng theo kiểu 10BASE5 với cáp sử dụng tranceiver
Hình 11. Kết nối tối đa 3 phân đoạn mạng
41
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Đặc điểm của chuẩn 10BASE 5
Tốc độ tối đa 10 Mbps
Chiều dài tối đa của đoạn cáp của một
phân đoạn (segment)
500 m
Số trạm tối đa trên mỗi đoạn 100
Khoảng cách giữa các trạm >=2,5 m (bội số của 2,5 m (giảm thiểu
hiện tượng giao thoa do sóng đứng trên
các đoạn ?))
Khoảng cách tối đa giữa máy trạm và
đường trục chung
50 m
Số đoạn kết nối tối đa 2 (=>tối đa có 3 phân đoạn)
Tổng chiều dài tối đa đoạn kết nối (có
thể là một đoạn kết nối khi có hai phân
đoạn, hoặc hai đoạn kết nối khi có ba
phân đoạn)
1000 m
Tổng số trạm + các bộ lặp Repeater Không quá 1024
Chiều dài tối đa 3*500+1000=2500 m
III.3.3. Kiểu 10BASE2:
Là chuẩn CSMA/CD có tốc độ 10Mb và bán kính 200 m. Kiểu này dùng
cáp đồng trục loại thin ethernet với đầu nối BNC. Có thể kết nối vào mạng
khoảng 30 máy
42
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình11. Nối theo chuẩn 10BASE2 với cáp đồng trụcvà đầu nối BNC
Đặc điểm của chuẩn 10BASE 2
Tốc độ tối đa 10 Mbps
Chiều dài tối đa của đoạn cáp của một
phân đoạn (segment)
185 m
Số trạm tối đa trên mỗi đoạn 30
Khoảng cách giữa các trạm >=0,5 m
Khoảng cách tối đa giữa máy trạm và
đường trục chung
0 m
Số đoạn kết nối tối đa 2 (=>tối đa có 3 phân đoạn)
Tổng chiều dài tối đa đoạn kết nối (có
thể là một đoạn kết nối khi có hai phân
đoạn, hoặc hai đoạn kết nối khi có ba
phân đoạn)
1000 m
Tổng số trạm + các bộ lặp Repeater Không quá 1024
43
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
III.3.4. Kiểu 10BASE-T
Là kiểu nối dùng HUB có các ổ nối kiểu K45 cho các cáp UTP. Ta có
thể mở rộng mạng bằng cách tăng số HUB, nhưng cũng không được tăng quá
nhiều tầng vì hoạt động của mạng sẽ kém hiệu quả nếu độ trễ quá lớn .
Hình 12. Nối mạng theo kiểu 10BASE-T với cáp UTP và HUB
Tốc độ tối đa 10 Mbps
Chiều dài tối đa của đoạn cáp nối giữa
máy tính và bộ tập trung HUB
100 m
Hiện nay mô hình phiên bản 100BASE-T bắt đầu được sử dụng nhiều,
tốc độ đạt tới 100 Mbps, với card mạng, cab mạng, hub đều phải tuân theo
chuẩn 100BASE-T.
44
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1III.3.5. Kiểu 10BASE-F
Dùng cab quang (Fiber cab), chủ yếu dùng nối các thiết bị xa nhau, tạo
dựng đường trục xương sống (backborn) để nối các mạng LAN xa nhau (2-10
km)
45
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chương 2 : Giới thiệu giao thức TCP/IP
Chương hai cung cấp các kiến thức liên quan đến TCP/IP và địa chỉ IP.
Giao thức TCP/IP trở thành giao thức mạng phổ biến nhất nhờ sự phát triển
không ngừng của mạng Internet. Các mạng máy tính của các cơ quan, tổ chức,
công ty hầu hết đều sử dụng TCP/IP làm giao thức mạng nhờ tính dễ mở rộng
và qui hoạch của nó. Đồng thời, do sự phát triển của mạng Internet nên nhu cầu
kết nối ra Internet và sử dụng TCP/IP đã trở nên thiết yếu cho mọi đối tượng
Chương này đòi hỏi các học viên phải quen thuộc với các kiến thức cơ
bản về hệ nhị phân, các khái niệm bit, byte, chuyển đổi nhị phân, thập phân.
Các cách biểu diễn cấu trúc gói tin theo dạng trường bit, byte cũng yêu cầu học
viên phải có được hiểu biết cơ sở về kỹ thuật thông tin truyền thông.
I.1. Giao thức IP
I.1.1. Họ giao thức TCP/IP
Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của Internet mà
tiền thân là mạng ARPAnet (Advanced Research Projects Agency) do Bộ
Quốc phòng Mỹ tạo ra. Đây là bộ giao thức được dùng rộng rãi nhất vì tính mở
của nó. Điều đó có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có
thể nối được vào Internet. Hai giao thức được dùng chủ yếu ở đây là TCP
(Transmission Control Protocol) và IP (Internet Protocol). Chúng đã nhanh
chóng được đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công
nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông
mở rộng khắp thế giới mà ngày nay chúng ta gọi là Internet. Phạm vi phục vụ
của Internet không còn dành cho quân sự như ARPAnet nữa mà nó đã mở rộng
lĩnh vực cho mọi loại đối tượng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn
thuộc về giới nghiên cứu khoa học và giáo dục.
Khái niệm giao thức (protocol) là một khái niệm cơ bản của mạng thông
tin máy tính. Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các
qui tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ...) cho
phép các thao tác trao đổi thông tin trên mạng được thực hiện một cách chính
xác và an toàn. Có rất nhiều họ giao thức đang được thực hiện trên mạng thông
46
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1tin máy tính hiện nay như IEEE 802.X dùng trong mạng cục bộ, CCITT X25
dùng cho mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (tổ chức
tiêu chuẩn hóa quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc nối kết
các hệ thống mở. Gần đây, do sự xâm nhập của Internet vào Việt nam, chúng ta
được làm quen với họ giao thức mới là TCP/IP mặc dù chúng đã xuất hiện từ
hơn 20 năm trước đây.
TCP/IP (Transmission Control Protocol/ Internet Protocol) TCP/IP là một họ
giao thức cùng làm việc với nhau để cung cấp phương tiện truyền thông liên
mạng được hình thành từ những năm 70.
Đến năm 1981, TCP/IP phiên bản 4 mới hoàn tất và được phổ biến rộng
rãi cho toàn bộ những máy tính sử dụng hệ điều hành UNIX. Sau này Microsoft
cũng đã đưa TCP/IP trở thành một trong những giao thức căn bản của hệ điều
hành Windows 9x mà hiện nay đang sử dụng.
Đến năm 1994, một bản thảo của phiên bản IPv6 được hình thành với sự cộng
tác của nhiều nhà khoa học thuộc các tổ chức Internet trên thế giới để cải tiến
những hạn chế của IPv4.
Khác với mô hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối
mạng "không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động của
Internet. Cùng với các thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng
IP cho phép kết nối một cách mềm dẻo và linh hoạt các loại mạng "vật lý" khác
nhau như: Ethernet, Token Ring , X.25...
Giao thức trao đổi dữ liệu "có liên kết" (connection - oriented) TCP
được sử dụng ở tầng vận chuyển để đảm bảo tính chính xác và tin cậy việc trao
đổi dữ liệu dựa trên kiến trúc kết nối "không liên kết" ở tầng liên mạng IP.
Các giao thức hỗ trợ ứng dụng phổ biến như truy nhập từ xa (telnet),
chuyển tệp (FTP), dịch vụ World Wide Web (HTTP), thư điện tử (SMTP), dịch
vụ tên miền (DNS) ngày càng được cài đặt phổ biến như những bộ phận cấu
thành của các hệ điều hành thông dụng như UNIX (và các hệ điều hành chuyên
dụng cùng họ của các nhà cung cấp thiết bị tính toán như AIX của IBM, SINIX
của Siemens, Digital UNIX của DEC), Windows9x/NT, Novell Netware,...
47
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
OSI
Application
Presentation
TCP/IP
DNS SMTP
Application
TELNET FTP
Session
UDP TCP
Transprort
RARP
IGMP
ARP
IP
ICMP
Network
Data link
Protocols defined by the underlying networks
Physical
Hình 2.1 Mô hình OSI và mô hình kiến trúc của TCP/IP
Như vậy, TCP tương ứng với lớp 4 cộng thêm một số chức năng của lớp
5 trong họ giao thức chuẩn ISO/OSI. Còn IP tương ứng với lớp 3 của mô hình
OSI.
Trong cấu trúc bốn lớp của TCP/IP, khi dữ liệu truyền từ lớp ứng dụng cho đến
lớp vật lý, mỗi lớp đều cộng thêm vào phần điều khiển của mình để đảm bảo
cho việc truyền dữ liệu được chính xác. Mỗi thông tin điều khiển này được gọi
là một header và được đặt ở trước phần dữ liệu được truyền. Mỗi lớp xem tất
cả các thông tin mà nó nhận được từ lớp trên là dữ liệu, và đặt phần thông tin
điều khiển header của nó vào trước phần thông tin này. Việc cộng thêm vào
các header ở mỗi lớp trong quá trình truyền tin được gọi là encapsulation. Quá
trình nhận dữ liệu diễn ra theo chiều ngược lại: mỗi lớp sẽ tách ra phần header
trước khi truyền dữ liệu lên lớp trên.
48
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Mỗi lớp có một cấu trúc dữ liệu riêng, độc lập với cấu trúc dữ liệu được
dùng ở lớp trên hay lớp dưới của nó. Sau đây là giải thích một số khái niệm
thường gặp.
Stream là dòng số liệu được truyền trên cơ sở đơn vị số liệu là Byte.
Số liệu được trao đổi giữa các ứng dụng dùng TCP được gọi là stream,
trong khi dùng UDP, chúng được gọi là message.
Mỗi gói số liệu TCP được gọi là segment còn UDP định nghĩa cấu trúc
dữ liệu của nó là packet.
Lớp Internet xem tất cả các dữ liệu như là các khối và gọi là datagram.
Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp mạng dưới
cùng, mỗi loại có thể có một thuật ngữ khác nhau để truyền dữ liệu.
Phần lớn các mạng kết cấu phần dữ liệu truyền đi dưới dạng các packets hay là
các frames.
Application Stream
Transport Segment/datagram
Internet Datagram
Network Access Frame
Cấu trúc dữ liệu tại các lớp của TCP/IP
Lớp truy nhập mạng
Network Access Layer là lớp thấp nhất trong cấu trúc phân bậc của
TCP/IP. Những giao thức ở lớp này cung cấp cho hệ thống phương thức để
truyền dữ liệu trên các tầng vật lý khác nhau của mạng. Nó định nghĩa cách
thức truyền các khối dữ liệu (datagram) IP. Các giao thức ở lớp này phải biết
chi tiết các phần cấu trúc vật lý mạng ở dưới nó (bao gồm cấu trúc gói số liệu,
cấu trúc địa chỉ...) để định dạng được chính xác các gói dữ liệu sẽ được truyền
trong từng loại mạng cụ thể.
So sánh với cấu trúc OSI/OSI, lớp này của TCP/IP tương đương với hai
lớp Datalink, và Physical.
49
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Chức năng định dạng dữ liệu sẽ được truyền ở lớp này bao gồm việc
nhúng các gói dữ liệu IP vào các frame sẽ được truyền trên mạng và việc ánh
xạ các địa chỉ IP vào địa chỉ vật lý được dùng cho mạng.
Lớp liên mạng
Internet Layer là lớp ở ngay trên lớp Network Access trong cấu trúc
phân lớp của TCP/IP. Internet Protocol là giao thức trung tâm của TCP/IP và là
phần quan trọng nhất của lớp Internet. IP cung cấp các gói lưu chuyển cơ bản
mà thông qua đó các mạng dùng TCP/IP được xây dựng.
I.1.2. Chức năng chính của - Giao thức liên mạng IP(v4)
Trong phần này trình bày về giao thức IPv4 (để cho thuận tiện ta viết IP
có nghĩa là đề cập đến IPv4).
Mục đích chính của IP là cung cấp khả năng kết nối các mạng con thành
liên mạng để truyền dữ liệu. IP cung cấp các chức năng chính sau:
- Định nghĩa cấu trúc các gói dữ liệu là đơn vị cơ sở cho việc truyền dữ liệu
trên Internet.
- Định nghĩa phương thức đánh địa chỉ IP.
- Truyền dữ liệu giữa tầng vận chuyển và tầng mạng .
- Định tuyến để chuyển các gói dữ liệu trong mạng.
- Thực hiện việc phân mảnh và hợp nhất (fragmentation -reassembly) các gói
dữ liệu và nhúng / tách chúng trong các gói dữ liệu ở tầng liên kết.
I.2. Địa chỉ IP
Sơ đồ địa chỉ hoá để định danh các trạm (host) trong liên mạng được gọi
là địa chỉ IP. Mỗi địa chỉ IP có độ dài 32 bits (đối với IP4) được tách thành 4
vùng (mỗi vùng 1 byte), có thể được biểu thị dưới dạng thập phân, bát phân,
thập lục phân hoặc nhị phân. Cách viết phổ biến nhất là dùng ký pháp thập
phân có dấu chấm để tách giữa các vùng. Mục đích của địa chỉ IP là để định
danh duy nhất cho một host bất kỳ trên liên mạng.
50
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Có hai cách cấp phát địa chỉ IP, nó phụ thuộc vào cách ta kết nối mạng.
Nếu mạng của ta kết nối vào mạng Internet, địa mạng chỉ được xác nhận bởi
NIC (Network Information Center). Nếu mạng của ta không kết nối Internet,
người quản trị mạng sẽ cấp phát địa chỉ IP cho mạng này. Còn các host ID
được cấp phát bởi người quản trị mạng.
Khuôn dạng địa chỉ IP: mỗi host trên mạng TCP/IP được định danh duy
nhất bởi một địa chỉ có khuôn dạng
<Network Number, Host number>
- Phần định danh địa chỉ mạng Network Number
- Phần định danh địa chỉ các trạm làm việc trên mạng đó Host Number
Ví dụ 128.4.70.9 là một địa chỉ IP
Do tổ chức và độ lớn của các mạng con của liên mạng có thể khác nhau,
người ta chia các địa chỉ IP thành 5 lớp ký hiệu A,B,C, D, E với cấu trúc được
xác định trên hình 2.2.
Các bit đầu tiên của byte đầu tiên được dùng để định danh lớp địa chỉ (0-
lớp A; 10 lớp B; 110 lớp C; 1110 lớp D; 11110 lớp E).
- Lớp A cho phép định danh tới 126 mạng (sử dụng byte đầu tiên), với
tối đa 16 triệu host (3 byte còn lại, 24 bits) cho mỗi mạng. Lớp này được dùng
cho các mạng có số trạm cực lớn. Tại sao lại có 126 mạng trong khi dùng 8
bits? Lí do đầu tiên, 127.x (01111111) dùng cho địa chỉ loopback, thứ 2 là bit
đầu tiên của byte đầu tiên bao giờ cũng là 0, 1111111(127). Dạng địa chỉ lớp A
(network number. host.host.host). Nếu dùng ký pháp thập phân cho phép 1 đến
126 cho vùng đầu, 1 đến 255 cho các vùng còn lại.
51
Hình 14. Cách đánh địa chỉ TCP/IP
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
- Lớp B cho phép định danh tới 16384 mạng
(10111111.11111111.host.host), với tối đa 65535 host trên mỗi mạng. Dạng
của lớp B (network number. Network number.host.host). Nếu dùng ký pháp
thập phân cho phép 128 đến 191 cho vùng đầu, 1 đến 255 cho các vùng còn lại
- Lớp C cho phép định danh tới 2.097.150 mạng và tối đa 254 host cho
mỗi mạng. Lớp này được dùng cho các mạng có ít trạm. Lớp C sử dụng 3 bytes
đầu định danh địa chỉ mạng (110xxxxx). Dạng của lớp C (network number.
Network number.Network number.host). Nếu dùng dạng ký pháp thập phân
cho phép 129 đến 233 cho vùng đầu và từ 1 đến 255 cho các vùng còn lại.
- Lớp D dùng để gửi IP datagram tới một nhóm các host trên một mạng.
Tất cả các số lớn hơn 233 trong trường đầu là thuộc lớp D
- Lớp E dự phòng để dùng trong tương lai
Như vậy địa chỉ mạng cho lớp: A: từ 1 đến 126 cho vùng đầu tiên, 127 dùng
cho địa chỉ loopback, B từ 128.1.0.0 đến 191.255.0.0, C từ 192.1.0.0 đến
233.255.255.0
Ví dụ:
192.1.1.1 địa chỉ lớp C có địa chỉ mạng 192.1.1.0, địa chỉ host là 1
200.6.5.4 địa chỉ lớp C có địa chỉ mạng 200.6.5, địa chỉ mạng là 4
150.150.5.6 địa chỉ lớp B có địa chỉ mạng 150.150.0.0, địa chỉ host là
5.6
9.6.7.8 địa chỉ lớp A có địa chỉ mạng 9.0.0.0, địa chỉ host là 6.7.8
128.1.0.1 địa chỉ lớp B có địa chỉ mạng 128.1.0.0, địa chỉ host là 0.1
Subneting
Trong nhiều trường hợp, một mạng có thể được chia thành nhiều
mạng con (subnet), lúc đó có thể đưa thêm các vùng subnetid để định
danh các mạng con. Vùng subnetid được lấy từ vùng hostid, cụ thể đối
với 3 lớp A, B, C như sau:
52
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Netid Subnetid hostid Lớp A
Netid Subnetid hostid
0 7 8 15 16 23 24 31
Lớp B
Netid Subnetid hostid
0 7 8 15 16 23 24 26 27 31
Lớp C
Hình 2.5 Bổ sung vùng subnetid
Ví dụ:
17.1.1.1 địa chỉ lớp A có địa chỉ mạng 17, địa chỉ subnet 1, địa chỉ host
1.1
129.1.1.1 địa chỉ lớp B có địa chỉ mạng 129.1, địa chỉ subnet 1, địa chỉ host 1.
I.3. Cấu trúc gói dữ liệu IP
IP là giao thức cung cấp dịch vụ truyền thông theo kiểu “không liên kết”
(connectionless). Phương thức không liên kết cho phép cặp trạm truyền nhận
không cần phải thiết lập liên kết trước khi truyền dữ liệu và do đó không cần
phải giải phóng liên kết khi không còn nhu cầu truyền dữ liệu nữa. Phương
thức kết nối "không liên kết" cho phép thiết kế và thực hiện giao thức trao đổi
dữ liệu đơn giản (không có cơ chế phát hiện và khắc phục lỗi truyền). Cũng
chính vì vậy độ tin cậy trao đổi dữ liệu của loại giao thức này không cao.
Các gói dữ liệu IP được định nghĩa là các datagram. Mỗi datagram có
phần tiêu đề (header) chứa các thông tin cần thiết để chuyển dữ liệu (ví dụ địa
chỉ IP của trạm đích). Nếu địa chỉ IP đích là địa chỉ của một trạm nằm trên
cùng một mạng IP với trạm nguồn thì các gói dữ liệu sẽ được chuyển thẳng tới
đích; nếu địa chỉ IP đích không nằm trên cùng một mạng IP với máy nguồn thì
các gói dữ liệu sẽ được gửi đến một máy trung chuyển, IP gateway để chuyển
tiếp. IP gateway là một thiết bị mạng IP đảm nhận việc lưu chuyển các gói dữ
liệu IP giữa hai mạng IP khác nhau. Hình 2.3 mô tả cấu trúc gói số liệu IP.
53
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- VER (4 bits) : chỉ Version hiện hành của IP được cài đặt.
- IHL (4 bits) : chỉ độ dài phần tiêu đề (Internet Header Length) của datagram,
tính theo đơn vị word (32 bits). Nếu không có trường này thì độ dài mặc định
của phần tiêu đề là 5 từ.
- Type of service (8 bits): cho biết các thông tin về loại dịch vụ và mức ưu tiên
của gói IP, có dạng cụ thể như sau:
Precedence D T R Unused
Trong đó:
Precedence (3 bits): chỉ thị về quyền ưu tiên gửi datagram, cụ thể là:
111 Network Control (cao nhất) 011- flash
110 Internetwork Control 010 Immediate
101 CRITIC/ECP 001 Priority
100 Flas Override 000 Routine (thấp nhất)
D (delay) (1 bit) : chỉ độ trễ yêu cầu
D=0 độ trễ bình thường, D=1 độ trễ thấp
T (Throughput) (1 bit) : chỉ số thông lượng yêu cầu
T=1 thông lượng bình thường
T=1 thông lượng cao
R (Reliability) (1 bit): chỉ độ tin cậy yêu cầu
R=0 độ tin cậy bình thường
R=1 độ tin cậy cao
- Total Length (16 bits): chỉ độ dài toàn bộ datagram, kể cả phần header (tính
theo đơn vị bytes), vùng dữ liệu của datagram có thể dài tới 65535 bytes.
- Identification (16 bits) : cùng với các tham số khác như (Source Address và
Destination Address) tham số này dùng để định danh duy nhất cho một
datagram trong khoảng thời gian nó vẫn còn trên liên mạng
54
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
VERS HLEN Service type Toltal length
Identification Flags Fragment offset
Time to live Protocol Header checksum
Source IP address
Destination IP address
IP options (maybe none) Padding
IP datagram data (up to 65535 bytes)
Header
Bit 31 Bit 0
- Flags (3 bits) : liên quan đến sự phân đoạn (fragment) các datagram. Cụ thể
Hình 15. Cấu trúc gói dữ liệu TCPIP
O DF MF
Bit 0 : reserved chưa sử dụng luôn lấy giá trị 0
Bit 1 : (DF)= 0 (may fragment)
1 (Don’t Fragment)
Bit 2 : (MF)= 0 (Last Fragment)
1 (More Fragment)
- Fragment Offset (13 bits) : chỉ vị trí của đoạn (fragment) ở trong datagram,
tính theo đơn vị 64 bits, có nghĩa là mỗi đoạn (trừ đoạn cuối cùng) phải chứa
một vùng dữ liệu có độ dài là bội của 64 bits.
- Time To Live (TTL-8 bits) : quy định thời gian tồn tại của một gói dữ liệu
trên liên mạng để tránh tình trạng một datagram bị quẩn trên mạng. Giá trị này
được đặt lúc bắt đầu gửi đi và sẽ giảm dần mỗi khi gói dữ liệu được xử lý tại
những điểm trên đường đi của gói dữ liệu (thực chất là tại các router). Nếu giá
trị này bằng 0 trước khi đến được đích, gói dữ liệu sẽ bị huỷ bỏ.
- Protocol (8 bits): chỉ giao thức tầng kế tiếp sẽ nhận vùng dữ liệu ở trạm đích
(hiện tại thường là TCP hoặc UDP được cài đặt trên IP).
55
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Header checksum (16 bits): mã kiểm soát lỗi sử dụng phương pháp CRC
(Cyclic Redundancy Check) dùng để đảm bảo thông tin về gói dữ liệu được
truyền đi một cách chính xác (mặc dù dữ liệu có thể bị lỗi). Nếu như việc kiểm
tra này thất bại, gói dữ liệu sẽ bị huỷ bỏ tại nơi xác định được lỗi. Cần chú ý là
IP không cung cấp một phương tiện truyền tin cậy bởi nó không cung cấp cho
ta một cơ chế để xác nhận dữ liệu truyền tại điểm nhận hoặc tại những điểm
trung gian. Giao thức IP không có cơ chế Error Control cho dữ liệu truyền đi,
không có cơ chế kiểm soát luồng dữ liệu (flow control).
- Source Address (32 bits): địa chỉ của trạm nguồn.
- Destination Address (32 bits): địa chỉ của trạm đích.
- Option (có độ dài thay đổi) sử dụng trong một số trường hợp, nhưng thực tế
chúng rất ít dùng. Option bao gồm bảo mật, chức năng định tuyến đặc biệt
- Padding (độ dài thay đổi): vùng đệm, được dùng để đảm bảo cho phần header
luôn kết thúc ở một mốc 32 bits
- Data (độ dài thay đổi): vùng dữ liệu có độ dài là bội của 8 bits, tối đa là 65535
bytes.
I.4. Phân mảnh và hợp nhất các gói IP
Các gói dữ liệu IP phải được nhúng trong khung dữ liệu ở tầng liên kết
dữ liệu tương ứng, trước khi chuyển tiếp trong mạng. Quá trình nhận một gói
dữ liệu IP diễn ra ngược lại. Ví dụ, với mạng Ethernet ở tầng liên kết dữ liệu
quá trình chuyển một gói dữ liệu diễn ra như sau. Khi gửi một gói dữ liệu IP
cho mức Ethernet, IP chuyển cho mức liên kết dữ liệu các thông số địa chỉ
Ethernet đích, kiểu khung Ethernet (chỉ dữ liệu mà Ethernet đang mang là của
IP) và cuối cùng là gói IP. Tầng liên kết số liệu đặt địa chỉ Ethernet nguồn là
địa chỉ kết nối mạng của mình và tính toán giá trị checksum. Trường type chỉ ra
kiểu khung là 0x0800 đối với dữ liệu IP. Mức liên kết dữ liệu sẽ chuyển khung
dữ liệu theo thuật toán truy nhập Ethernet.
Một gói dữ liệu IP có độ dài tối đa 65536 byte, trong khi hầu hết các
tầng liên kết dữ liệu chỉ hỗ trợ các khung dữ liệu nhỏ hơn độ lớn tối đa của gói
dữ liệu IP nhiều lần (ví dụ độ dài lớn nhất của một khung dữ liệu Ethernet là
56
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV11500 byte). Vì vậy cần thiết phải có cơ chế phân mảnh khi phát và hợp nhất khi
thu đối với các gói dữ liệu IP.
Độ dài tối đa của một gói dữ liệu liên kết là MTU (Maximum Transmit
Unit). Khi cần chuyển một gói dữ liệu IP có độ dài lớn hơn MTU của một
mạng cụ thể, cần phải chia gói số liệu IP đó thành những gói IP nhỏ hơn để độ
dài của nó nhỏ hơn hoặc bằng MTU gọi chung là mảnh (fragment). Trong phần
tiêu đề của gói dữ liệu IP có thông tin về phân mảnh và xác định các mảnh có
quan hệ phụ thuộc để hợp thành sau này.
Ví dụ Ethernet chỉ hỗ trợ các khung có độ dài tối đa là 1500 byte. Nếu
muốn gửi một gói dữ liệu IP gồm 2000 byte qua Ethernet, phải chia thành hai
gói nhỏ hơn, mỗi gói không quá giới hạn MTU của Ethernet.
Original IP packet 1. fragment 2.fragment
04 05 00 1500
1 1 1 1 1 0 0 0
05 06 checksum
128.82.24.12
192.12.2.5
Data
1480 byte
04 05 00 520
1 1 1 1 0 0 0 0
05 06 checksum
128.82.24.12
192.12.2.5
Data
500 byte
04 05 00 2000
1 1 1 1 0 0 0 0
05 06 checksum
128.82.24.12
192.12.2.5
Data
1980 byte
Hình 16. Nguyên tắc phân mảnh gói dữ liệu
P dùng cờ MF (3 bit thấp của trường Flags trong phần đầu của gói IP) và
trường Flagment offset của gói IP (đã bị phân đoạn) để định danh gói IP đó là
một phân đoạn và vị trí của phân đoạn này trong gói IP gốc. Các gói cùng trong
chuỗi phân mảnh đều có trường này giống nhau. Cờ MF bằng 1 nếu là gói đầu
của chuỗi phân mảnh và 0 nếu là gói cuối của gói đã được phân mảnh.
Quá trình hợp nhất diễn ra ngược lại với quá trình phân mảnh. Khi IP
nhận được một gói phân mảnh, nó giữ phân mảnh đó trong vùng đệm, cho đến
khi nhận được hết các gói IP trong chuỗi phân mảnh có cùng trường định danh.
Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếm thời gian (giá trị
57
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1ngầm định là 15s). IP phải nhận hết các phân mảnh kế tiếp trước khi đồng hồ
tắt. Nếu không IP phải huỷ tất cả các phân mảnh trong hàng đợi hiện thời có
cùng trường định danh.
Khi IP nhận được hết các phân mảnh, nó thực hiện hợp nhất các gói
phân mảnh thành các gói IP gốc và sau đó xử lý nó như một gói IP bình
thường. IP thường chỉ thực hiện hợp nhất các gói tại hệ thống đích của gói.
I.5. Định tuyến IP
Có hai loại định tuyến:
- Định tuyến trực tiếp: Định tuyến trực tiếp là việc xác định đường nối giữa hai
trạm làm việc trong cùng một mạng vật lý.
- Định tuyến không trực tiếp. Định tuyến không trực tiếp là việc xác định
đường nối giữa hai trạm làm việc không nằm trong cùng một mạng vật lý và vì
vậy, việc truyền tin giữa chúng phải được thực hiện thông qua các trạm trung
gian là các gateway.
Để kiểm tra xem trạm đích có nằm trên cùng mạng vật lý với trạm
nguồn hay không, người gửi phải tách lấy phần địa chỉ mạng trong phần địa chỉ
IP. Nếu hai địa chỉ này có địa chỉ mạng giống nhau thì datagram sẽ được truyền
đi trực tiếp; ngược lại phải xác định một gateway, thông qua gateway này
chuyển tiếp các datagram.
Khi một trạm muốn gửi các gói dữ liệu đến một trạm khác thì nó phải
đóng gói datagram vào một khung (frame) và gửi các frame này đến gateway
gần nhất. Khi một frame đến một gateway, phần datagram đã được đóng gói sẽ
được tách ra và IP routing sẽ chọn gateway tiếp dọc theo đường dẫn đến đích.
Datagram sau đó lại được đóng gói vào một frame khác và gửi đến mạng vật lý
để gửi đến gateway tiếp theo trên đường truyền và tiếp tục như thế cho đến khi
datagram được truyền đến trạm đích.
Chiến lược định tuyến: Trong thuật ngữ truyền thống của TCP/IP chỉ có hai
kiểu thiết bị, đó là các cổng truyền (gateway) và các trạm (host). Các cổng
truyền có vai trò gửi các gói dữ liệu, còn các trạm thì không. Tuy nhiên khi một
trạm được nối với nhiều mạng thì nó cũng có thể định hướng cho việc lưu
chuyển các gói dữ liệu giữa các mạng và lúc này nó đóng vai trò hoàn toàn như
một gateway.
58
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Các trạm làm việc lưu chuyển các gói dữ liệu xuyên suốt qua cả bốn lớp,
trong khi các cổng truyền chỉ chuyển các gói đến lớp Internet là nơi quyết định
tuyến đường tiếp theo để chuyển tiếp các gói dữ liệu.
Các máy chỉ có thể truyền dữ liệu đến các máy khác nằm trên cùng một
mạng vật lý. Các gói từ A1 cần chuyển cho C1 sẽ được hướng đến gateway G1
và G2. Trạm A1 đầu tiên sẽ truyền các gói đến gateway G1 thông qua mạng A.
Sau đó G1 truyền tiếp đến G2 thông qua mạng B và cuối cùng G2 sẽ truyền các
gói trực tiếp đến trạm C1, bởi vì chúng được nối trực tiếp với nhau thông qua
mạng C. Trạm A1 không hề biết đến các gateway nằm ở sau G1. A1 gửi các
gói số liệu cho các mạng B và C đến gateway cục bộ G1 và dựa vào gateway
này để định hướng tiếp cho các gói dữ liệu đi đến đích. Theo cách này thì trạm
C1 trước tiên sẽ gửi các gói của mình đến cho G2 và G2 sẽ gửi đi tiếp cho các
trạm ở trên mạng A cũng như ở trên mạng B.
Hình vẽ sau mô tả việc dùng các gateway để gửi các gói dữ liệu:
Application
Transport
Internet
Network
Access Internet
Network
Application
Transport
Internet
Network
Access Internet
Network
Gateway Gateway
Network A Network B Network C
Host A1
Host C1
Hình 17. Định tuyến giữa hai hệ thống
Việc phân mảnh các gói dữ liệu: Trong quá trình truyền dữ liệu, một gói dữ
liệu (datagram) có thể được truyền đi thông qua nhiều mạng khác nhau. Một
gói dữ liệu (datagram) nhận được từ một mạng nào đó có thể quá lớn để truyền
đi trong gói đơn ở trên một mạng khác, bởi mỗi loại cấu trúc mạng cho phép
một đơn vị truyền cực đại (Maximum Transmit Unit - MTU), khác nhau. Đây
chính là kích thước lớn nhất của một gói mà chúng có thể truyền. Nếu như một
gói dữ liệu nhận được từ một mạng nào đó mà lớn hơn MTU của một mạng
59
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1khác thì nó cần được phân mảnh ra thành các gói nhỏ hơn, gọi là fragment. Quá
trình này gọi là quá trình phân mảnh. Dạng của một fragment cũng giống như
dạng của một gói dữ liệu thông thường. Từ thứ hai trong phần header chứa các
thông tin để xác định mỗi fragment và cung cấp các thông tin để hợp nhất các
fragment này lại thành các gói như ban đầu. Trường identification dùng để xác
định fragment này là thuộc về gói dữ liệu nào.
I.6. Một số giao thức điều khiển
I.6.1. Giao thức ICMP
ICMP ((Internet Control Message Protocol) là một giao thức điều khiển
của mức IP, được dùng để trao đổi các thông tin điều khiển dòng số liệu, thông
báo lỗi và các thông tin trạng thái khác của bộ giao thức TCP/IP. Ví dụ:
- Điều khiển lưu lượng dữ liệu (Flow control): khi các gói dữ liệu đến
quá nhanh, thiết bị đích hoặc thiết bị định tuyến ở giữa sẽ gửi một thông điệp
ICMP trở lại thiết bị gửi, yêu cầu thiết bị gửi tạm thời ngừng việc gửi dữ liệu.
- Thông báo lỗi: trong trường hợp địa chỉ đích không tới được thì hệ
thống sẽ gửi một thông báo lỗi "Destination Unreachable".
- Định hướng lại các tuyến đường: một thiết bị định tuyến sẽ gửi một
thông điệp ICMP "định tuyến lại" (Redirect Router) để thông báo với một trạm
là nên dùng thiết bị định tuyến khác để tới thiết bị đích. Thông điệp này có thể
chỉ được dùng khi trạm nguồn ở trên cùng một mạng với cả hai thiết bị định
tuyến.
- Kiểm tra các trạm ở xa: một trạm có thể gửi một thông điệp ICMP
"Echo" để kiểm tra xem một trạm có hoạt động hay không.
Sau đây là mô tả một ứng dụng của giao thức ICMP thực hiện việc định
tuyến lại (Redirect):
Ví dụ: giả sử host gửi một gói dữ liệu IP tới Router R1. Router R1 thực
hiện việc quyết định tuyến vì R1 là router mặc định của host đó. R1 nhận gói
dữ liệu và tìm trong bảng định tuyến và nó tìm thấy một tuyến tới R2. Khi R1
gửi gói dữ liệu tới R2 thì R1 phát hiện ra rằng nó đang gửi gói dữ liệu đó ra
ngoài trên cùng một giao diện mà gói dữ liệu đó đã đến (là giao diện mạng
60
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1LAN mà cả host và hai Router nối đến). Lúc này R1 sẽ gửi một thông báo
ICMP Redirect Error tới host, thông báo cho host nên gửi các gói dữ liệu tiếp
theo đến R2 thì tốt hơn.
Host
R2
(3) ICMP Redirect
(2) IP datagram
R1
Final destination
(1) IP datagram
Host
Tác dụng của ICMP Redirect là để cho mọt host với nhận biết tối thiểu
về định tuyến xây dựng lên một bảng định tuyến tốt hơn theo thời gian. Host đó
có thể bắt đầu với một tuyến mặc định (có thể R1 hoặc R2 như ví dụ trên) và
bất kỳ lần nào tuyến mặc định này được dùng với host đó đến R2 thì nó sẽ
được Router mặc định gửi thông báo Redirect để cho phép host đó cập nhật
bảng định tuyến của nó một cách phù hợp hơn. Khuôn dạng của thông điệp
ICMP redirect như sau:
0 7 8 15 16 31
type (5) Code(0-3) Checksum
Địa chỉ IP của Router mặc định
IP header (gồm option) và 8 bytes đầu của gói dữ liệu IP nguồn
Dạng thông điệp ICMP redirect
61
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Có bốn loại thông báo ICMP redirect khác nhau với các giá trị mã
(code) như bảng sau:
Code Description
0 Redirect cho mạng
1 Redirect cho host
2 Redirect cho loại dịch vụ (TOS) và mạng
3 Redirect cho loại dịch vụ và host
Các loại định hướng lại của gói dữ liệu ICMP
Redirect chỉ xảy ra khi cả hai Router R1 và R2 cùng nằm trên một mạng
với host nhận direct đó.
I.6.2. Giao thức ARP và giao thức RARP
Địa chỉ IP được dùng để định danh các host và mạng ở tầng mạng của
mô hình OSI, chúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các
trạm đó trên một mạng cục bộ (Ethernet, Token Ring,...). Trên một mạng cục
bộ hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau.
Như vậy vấn đề đặt ra là phải thực hiện ánh xạ giữa địa chỉ IP (32 bits) và địa
chỉ vật lý (48 bits) của một trạm. Giao thức ARP (Address Resolution Protocol)
đã được xây dựng để chuyển đổi từ địa chỉ IP sang địa chỉ vật lý khi cần thiết.
Ngược lại, giao thức RARP (Reverse Address Resolution Protocol) được dùng
để chuyển đổi địa chỉ vật lý sang địa chỉ IP. Các giao thức ARP và RARP
không phải là bộ phận của IP mà IP sẽ dùng đến chúng khi cần.
Giao thức ARP
Giao thức TCP/IP sử dụng ARP để tìm địa chỉ vật lý của trạm đích. Ví dụ khi
cần gửi một gói dữ liệu IP cho một hệ thống khác trên cùng một mạng vật lý
Ethernet, hệ thông gửi cần biết địa chỉ Ethernet của hệ thống đích để tầng liên kết dữ
liệu xây dựng khung gói dữ liệu.
62
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Thông thường, mỗi hệ thống lưu giữ và cập nhật bảng thích ứng địa chỉ
IP-MAC tại chỗ (còn được gọi là bảng ARP cache). Bảng thích ứng địa chỉ
được cập nhật bởi người quản trị hệ thống hoặc tự động bởi giao thức ARP sau
mỗi lần ánh xạ được một địa chỉ thích ứng mới. Khuôn dạng của gói dữ liệu
ARP được mô tả trong hình
0 31
Data link type Network type
Hlen plen Opcode
Sender data link (6byte for Ethernet)
Sender network (4 byte for IP)
Tagret data link (6 byte)
Tagret network (4 byte)
Check sume
Mô tả khuôn dạng của gói ARP
- Data link type: cho biết loại công nghệ mạng mức liên kết (ví dụ đối
với mạng Ethernet trường này có giá trị 01).
- Network type: cho biết loại mạng (ví dụ đối với mạng IPv4, trường
này có giá trị 080016).
- Hlen (hardware length): độ dài địa chỉ mức liên kết (6 byte).
- Plen (Protocol length): cho biết độ dài địa chỉ mạng (4 byte)
- Opcode (operation code): mã lệnh yêu cầu: ; mã lệnh trả lời .
- Sender data link: địa chỉ mức liên kết của thiết bị phát gói dữ liệu này.
- Sender network : địa chỉ IP của thiết bị phát.
- Tagret data link: trong yêu cầu đây là địa chỉ mức liên kết cần tìm
(thông thường được điền 0 bởi thiết bị gửi yêu cầu); trong trả lời đây là địa chỉ
mức liên kết của thiết bị gửi yêu cầu.
- Tagret network : trong yêu cầu đây là địa chỉ IP mà địa chỉ mức liên
kết tương ứng cần tìm; trong trả lời đây là địa chỉ IP của thiết bị gửi yêu cầu.
Mỗi khi cần tìm thích ứng địa chỉ IP - MAC, có thể tìm địa chỉ MAC
tương ứng với địa IP đó trước tiên trong bảng địa chỉ IP - MAC ở mỗi hệ
63
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1thống. Nếu không tìm thấy, có thể sử dụng giao thức ARP để làm việc này.
Trạm làm việc gửi yêu cầu ARP (ARP_Request) tìm thích ứng địa chỉ IP -
MAC đến máy phục vụ ARP - server. Máy phục vụ ARP tìm trong bảng thích
ứng địa chỉ IP - MAC của mình và trả lời bằng ARP_Response cho trạm làm
việc. Nếu không, máy phục vụ chuyển tiếp yêu cầu nhận được dưới dạng quảng
bá cho tất cả các trạm làm việc trong mạng. Trạm nào có trùng địa chỉ IP được
yêu cầu sẽ trả lời với địa chỉ MAC của mình. Tóm lại tiến trình của ARP được
mô tả như sau
Tiến trình ARP
129.1.1.1
IP
ARP request
IP
ARP request
IP
ARP request
1
2,5
4
1. IP yêu cầu địa chỉ MAC.
2. Tìm kiếm trong bảng ARP.
3. Nếu tìm thấy sẽ trả lại địa chỉ MAC.
4. Nếu không tìm thấy, tạo gói ARP yêu cầu và gửi tới tất cả các trạm.
5. Tuỳ theo gói dữ liệu trả lời, ARP cập nhật vào bảng ARP và gửi địa
chỉ MAC đó cho IP.
Giao thức RARP
Reverse ARP (Reverse Address Resolution Protocol) là giao thức giải
thích ứng địa chỉ AMC - IP. Quá trình này ngược lại với quá trình giải thích
ứng địa chỉ IP - MAC mô tả ở trên, nghĩa là cho trước địa chỉ mức liên kết, tìm
địa chỉ IP tương ứng.
64
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.2. Giao thức lớp chuyển tải (Transport Layer)
I.2.1. Giao thức TCP
TCP (Transmission Control Protocol) là một giao thức “có liên kết”
(connection - oriented), nghĩa là cần thiết lập liên kết (logic), giữa một cặp thực
thể TCP trước khi chúng trao đổi dữ liệu với nhau.
TCP cung cấp khả năng truyền dữ liệu một cách an toàn giữa các máy
trạm trong hệ thống các mạng. Nó cung cấp thêm các chức năng nhằm kiểm tra
tính chính xác của dữ liệu khi đến và bao gồm cả việc gửi lại dữ liệu khi có lỗi
xảy ra. TCP cung cấp các chức năng chính sau:
1. Thiết lập, duy trì, kết thúc liên kết giữa hai quá trình.
2. Phân phát gói tin một cách tin cậy.
3. Đánh số thứ tự (sequencing) các gói dữ liệu nhằm truyền dữ liệu một
cách tin cậy.
4. Cho phép điều khiển lỗi.
5. Cung cấp khả năng đa kết nối với các quá trình khác nhau giữa trạm
nguồn và trạm đích nhất định thông qua việc sử dụng các cổng.
6. Truyền dữ liệu sử dụng cơ chế song công (full-duplex).
I.2.2 Cấu trúc gói dữ liệu TCP
0 31
Khuôn dạng của TCP segment
Source port Destination port
Sequence number
Acknowledgment number
Data Resersed U A P R S F
Offset R C S S Y I Window
G K H T N N
Checksum Urgent pointer
Options Padding
TCP data
65
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
- Source port (16 bits) : số hiệu cổng của trạm nguồn
- Destination port (16 bits) : số hiệu cổng của trạm đích
- Sequence Number (32 bits): số hiệu của byte đầu tiên của segment trừ khi bit
SYN được thiết lập. Nếu bit SYN được thiết lập thì Sequence Number là số
hiệu tuần tự khởi đầu (ISN) và byte dữ liệu đầu tiên là ISN +1.
- Acknowlegment: vị trí tương đối của byte cuối cùng đã nhận đúng bởi thực
thể gửi gói ACK cộng thêm 1. Giá trị của trường này còn được gọi là số tuần tự
thu. Trường này được kiểm tra chỉ khi bit ACK=1.
- Data offset (4 bits) : số tượng từ 32 bit trong TCP header. Tham số này chỉ ra
vị trí bắt đầu của vùng dữ liệu
- Reserved (6 bits) : dành để dùng trong tương lai. Phải được thiết lập là 0.
- Control bits : các bit điều khiển
- URG : vùng con trỏ khẩn (Urgent Pointer) có hiệu lực.
- ACK : vùng báo nhận (ACK number) có hiệu lực.
- PSH : chức năng Push. PSH=1 thực thể nhận phải chuyển dữ liệu này
cho ứng dụng tức thời.
- RST : thiết lập lại (reset) kết nối.
- SYN : đồng bộ hoá các số hiệu tuần tự, dùng để thiết lập kết nối TCP.
- FIN : thông báo thực thể gửi đã kết thúc gửi dữ liệu.
- Window (16 bits): cấp phát credit để kiểm soát luồng dữ liệu (cơ chế của sổ).
Đây chính là số lượng các byte dữ liệu, bắt đầu từ byte được chỉ ra trong vùng
ACK number, mà trạm nguồn đã sẵn sàng để nhận
- Checksum (16 bits) : mã kiểm soát lỗi (theo phương pháp CRC) cho toàn bộ
segment (header + data)
- Urgent pointer (16 bits) : con trỏ này trỏ tới số hiệu tuần tự của byte đi theo
sau dữ liệu khẩn, cho phép bên nhận biết được độ dài của dữ liệu khẩn. Vùng
này chỉ có hiệu lực khi bit URG được thiết lập
- Options (độ dài thay đổi): khai báo các option của TCP, trong đó có độ dài tối
đa của vùng TCP data trong một segment
66
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Padding (độ dài thay đổi) : phần chèn thêm vào header để bảo đảm phần
header luôn kết thúc ở một mốc 32 bits. Phần thêm này gồm toàn số 0.
- TCP data (độ dài thay đổi) : chứa dữ liệu của tầng trên, có độ dài tối đa ngầm
định là 536 bytes. Giá trị này có thể điều chỉnh bằng cách khai báo trong vùng
options.
Một tiến trình ứng dụng trong một host truy nhập vào các dịch vụ của
TCP cung cấp thông qua một cổng (port) như sau:
Một cổng kết hợp với một địa chỉ IP tạo thành một socket duy nhất trong
liên mạng. TCP được cung cấp nhờ một liên kết logic giữa một cặp socket. Một
socket có thể tham gia nhiều liên kết với các socket ở xa khác nhau. Trước khi
truyền dữ liệu giữa hai trạm cần phải thiết lập một liên kết TCP giữa chúng và
khi kết thúc phiên truyền dữ liệu thì liên kết đó sẽ được giải phóng. Cũng giống
như ở các giao thức khác, các thực thể ở tầng trên sử dụng TCP thông qua các
hàm dịch vụ nguyên thuỷ (service primitives), hay còn gọi là các lời gọi hàm
(function call).
NAP: Network Access Protocol
Cổng truy nhập dịch vụ TCP
I.2.3. Thiết lập và kết thúc kết nối TCP
Thiết lập kết nối
Thiết lập kết nối TCP được thực hiện trên cơ sở phương thức bắt tay ba
bước (Tree - way Handsake) hình 2.11. Yêu cầu kết nối luôn được tiến trình
trạm khởi tạo, bằng cách gửi một gói TCP với cờ SYN=1 và chứa giá trị khởi
1 2 3
TCP
IP
NAP
Userprocess
1 2
TCP
IP
NAP
Userprocess
Host
Host
Internet
67
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1tạo số tuần tự ISN của client. Giá trị ISN này là một số 4 byte không dấu và
được tăng mỗi khi kết nối được yêu cầu (giá trị này quay về 0 khi nó tới giá trị
232
). Trong thông điệp SYN này còn chứa số hiệu cổng TCP của phần mềm
dịch vụ mà tiến trình trạm muốn kết nối (bước 1).
Mỗi thực thể kết nối TCP đều có một giá trị ISN mới số này được tăng
theo thời gian. Vì một kết nối TCP có cùng số hiệu cổng và cùng địa chỉ IP
được dùng lại nhiều lần, do đó việc thay đổi giá trị INS ngăn không cho các kết
nối dùng lại các dữ liệu đã cũ (stale) vẫn còn được truyền từ một kết nối cũ và
có cùng một địa chỉ kết nối.
Khi thực thể TCP của phần mềm dịch vụ nhận được thông điệp SYN, nó
gửi lại gói SYN cùng giá trị ISN của nó và đặt cờ ACK=1 trong trường hợp sẵn
sàng nhận kết nối. Thông điệp này còn chứa giá trị ISN của tiến trình trạm
trong trường hợp số tuần tự thu để báo rằng thực thể dịch vụ đã nhận được giá
trị ISN của tiến trình trạm (bước 2).
Tiến trình trạm trả lời lại gói SYN của thực thể dịch vụ bằng một thông
báo trả lời ACK cuối cùng. Bằng cách này, các thực thể TCP trao đổi một cách
tin cậy các giá trị ISN của nhau và có thể bắt đầu trao đổi dữ liệu. Không có
thông điệp nào trong ba bước trên chứa bất kỳ dữ liệu gì; tất cả thông tin trao
đổi đều nằm trong phần tiêu đề của thông điệp TCP (bước 3).
TCP_A
TCP_B
Syn, Seq=x
Syn, Seq=y
Ack(x+1)
Ack(y+1)
a) thiết lập kết nối
TCP_A
TCP_B
Fin, Seq=x
Ack(x+1)
Fin, Seq=y,
Ack(x+1)
Ack(y+1)
b) Kết thúc kết nối
68
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Quá trình kết nối theo 3 bước
Kết thúc kết nối
Khi có nhu cầu kết thúc kết nối, thực thể TCP, ví dụ cụ thể A gửi yêu
cầu kết thúc kết nối với FIN=1. Vì kết nối TCP là song công (full-duplex) nên
mặc dù nhận được yêu cầu kết thúc kết nối của A (A thông báo hết số liệu gửi)
thực thể B vẫn có thể tiếp tục truyền số liệu cho đến khi B không còn số liệu để
gửi và thông báo cho A bằng yêu cầu kết thúc kết nối với FIN=1 của mình. Khi
thực thể TCP đã nhận được thông điệp FIN và sau khi đã gửi thông điệp FIN
của chính mình, kết nối TCP thực sụ kết thúc.
69
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1PHẦN II
QUẢN TRỊ MẠNG
Quản trị mạng lưới (network administration) được định nghĩa là các
công việc quản lý mạng lưới bao gồm cung cấp các dịch vụ hỗ trợ, đảm bảo
mạng lưới hoạt động hiệu quả, đảm bảo chất lượng mạng lưới cung cấp đúng
như chỉ tiêu định ra.
Quản trị hệ thống (system administration) được định nghĩa là các công
việc cung cấp các dịch vụ hỗ trợ, đảm bảo sự tin cậy, nâng cao hiệu quả hoạt
động của hệ thống, và đảm bảo chất lượng dịch vụ cung cấp trên hệ thống đúng
như chỉ tiêu định ra.
Một định nghĩa khái quát về công tác quản trị mạng là rất khó vì tính
bao hàm rộng của nó. Quản trị mạng theo nghĩa mạng máy tính có thể được
hiều khái quát là tập bao gồm của các công tác quản trị mạng lưới và quản trị
hệ thống.
Có thể khái quát công tác quản trị mạng bao gồm các công việc sau:
Quản trị cấu hình, tài nguyên mạng : Bao gồm các công tác quản lý
kiểm soát cấu hình, quản lý các tài nguyên cấp phát cho các đối tượng sử dụng
khác nhau. Có thể tham khảo các công việc quản trị cụ thể trong các tài liệu,
giáo trình về quản trị hệ thống windows, linux, novell netware ...
Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý
người sử dụng trên hệ thống, trên mạng lưới và đảm bảo dịch vụ cung cấp có
độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đề ra. Có thể tham
khảo các tài liệu, giáo trình quản trị hệ thống windows, novell netware, linux,
unix, quản trị dịch vụ cơ bản thư tín điện tử, DNS...
Quản trị hiệu năng, hoạt động mạng : Bao gồm các công tác quản lý,
giám sát hoạt động mạng lưới, đảm bảo các thiết bị, hệ thống, dịch vụ trên
mạng hoạt động ổn định, hiệu quả. Các công tác quản lý, giám sát hoạt động
của mạng lưới cho phép người quản trị tổng hợp, dự báo sự phát triển mạng
lưới, dịch vụ, các điểm yếu, điểm mạnh của toàn mạng, các hệ thống và dịch vụ
70
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1đồng thời giúp khai thác toàn bộ hệ thống mạng với hiệu suất cao nhất. Có thể
tham khảo các tài liệu, giáo trình về các hệ thống quản trị mạng NMS, HP
Openview, Sunet Manager, hay các giáo trình nâng cao hiệu năng hoạt động
của hệ thống (performance tuning).
Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát
mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép, có
tính phá hoại các hệ thống, dịch vụ, hoặc mục tiêu đánh cắp thông tin quan
trọng của các tổ chức, công ty hay thay đổi nội dung cung cấp lên mạng với
dụng ý xấu. Việc phòng chống, ngăn chặn sự lây lan của các loại virus máy
tính, các phương thức tấn công ví dụ như DoS làm tê liệt hoạt động mạng hay
dịch vụ cũng là một phần cực kỳ quan trọng của công tác quản trị an ninh, an
toàn mạng. Đặc biệt, hiện nay khi nhu cầu kết nối ra mạng Internet trở nên thiết
yếu thì các công tác đảm bảo an ninh, an toàn được đặt lên hàng đầu, đặc biệt là
với các cơ quan cần bảo mật nội dung thông tin cao độ (nhà băng, các cơ quan
lưu trữ, các các báo điện tử, tập đoàn kinh tế mũi nhọn...).
Trong phần 2 của giáo trình này sẽ tập trung nghiên cứu sâu về một số
kiến thức, kỹ năng cơ bản và thông dụng nhất về quản trị mạng. Tuy nhiên, các
nội dung trình bày tại phần 2 sẽ không bao hàm hết được các nội dung đã khái
quát ở trên do sự phức tạp phong phú của bản thân mỗi nội dung cũng như giới
hạn về thời gian biên soạn. Với mục tiêu cung cấp các kỹ năng phổ biến nhất
giúp cho các học viên tiếp cận nhanh chóng vào công tác quản trị mạng để đảm
đương được nhiệm vụ cơ quan, công ty giao cho. Phần 2 của giáo trình sẽ bao
gồm :
- Tổng quan về bộ định tuyến trên mạng
- Hệ thống tên miền DNS
- Dịch vụ truy cập từ xa và dịch vụ proxy
- Firewall và bảo mật hệ thống
Học viên cũng có thể tham khảo bổ sung thêm kiến thức về quản trị
mạng với các giáo trình về mạng cục bộ, giáo trình về thư tín điện tử, giáo trình
về các hệ điều hành Windows, Linux, Unix là các nội dung biên soạn trong bộ
các giáo trình phục vụ đào tạo cho đề án 112.
71
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chương 3 : Tổng quan về bộ định tuyến
Chương ba cung cấp các kiến thức cơ bản về bộ định tuyến trên mạng và
các bộ chuyển mạch lớp 3. Các thiết bị này là một phần thiết yếu của mạng
máy tính hiện đại và là các thiết bị hạ tầng cốt lõi. Các minh họa tường tận về
cấu trúc của các sản phẩm hãng Cisco sẽ giúp học viên nắm vững các lý thuyết
hệ thống đặc biệt là lý thuyết định tuyến. Phần nội dung cũng bổ sung các kỹ
năng cấu hình hoạt động của thiết bị trên các giao thức mạng WAN khác nhau
như Frame Relay, X.25...
Chương ba đòi hỏi các học viên cần có các kiến thức sơ khởi về các giao
thức trên mạng diện rộng như Frame Relay, x.25..., các kiến thức về địa chỉ lớp
2, lớp 3.
I. Lý thuyết về bộ định tuyến
I.1. Tổng quan về bộ định tuyến
Bộ định tuyến là thiết bị được sử dụng trên mạng để thực thi các hoạt
động xử lý truyền tải thông tin trên mạng. Có thể xem bộ định tuyến là một
thiết bị máy tính được thiết kế đặc biệt để đảm đương được vai trò xử lý truyền
tải thông tin trên mạng của nó và do đó nó cũng bao gồm các CPU, trái tim của
mọi hoạt động, bộ nhớ ROM, RAM, các giao tiếp, các bus dữ liệu, hệ điều
hành v.v...
Chức năng của bộ định tuyến là định hướng cho các gói tin được truyền
tải qua bộ định tuyến. Trên cơ sở các thuật toán định tuyến, thông tin cấu hình
và chuyển giao, các bộ định tuyến sẽ quyết định hướng đi tốt nhất cho các gói
tin được truyền tải qua nó. Bộ định tuyến còn có vai trò để xử lý các nhu cầu
truyền tải và chuyển đổi giao thức khác.
Vai trò của bộ định tuyến trên mạng là đảm bảo các kết nối liên thông
giữa các mạng với nhau, tính toán và trao đổi các thông tin liên mạng làm căn
cứ cho các bộ định tuyến ra các quyết định truyền tải thông tin phù hợp với cấu
hình thực tế của mạng. Bộ định tuyến làm việc với nhiều công nghệ đấu nối
mạng diện rộng khác nhau như FRAME RELAY, X.25, ATM, SONET, ISDN,
xDSL... đảm bảo các nhu cầu kết nối mạng theo nhiều các công nghệ và độ
72
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1chuẩn mực khác nhau mà nếu thiếu vai trò của bộ định tuyến thì không thể thực
hiện được.
I.2. Các chức năng chính của bộ định tuyến, tham chiếu mô
hình OSI
Mô hình OSI đã được học ở chương 1 gồm 7 lớp trong đó bao gồm
- 3 lớp thuộc về các lớp ứng dụng
o lớp ứng dụng
o lớp trình bày
o lớp phiên
- 4 lớp thuộc về các lớp truyền thông
o lớp vận chuyển
o lớp mạng
o lớp liên kết dữ liệu
o lớp vật lý
Đối với các lớp truyền thông:
- Lớp vận chuyển: phân chia / tái thiết dữ liệu thành các dòng chảy dữ
liệu. Các chức năng chính bao gồm điều khiển dòng dữ liệu, đa truy nhập, quản
lý các mạch ảo, phát hiện và sửa lỗi. TCP, UDP là hai giao thức thuộc họ giao
thức Internet (TCP/IP) thuộc về lớp vận chuyển này.
- Lớp mạng: cung cấp hoạt động định tuyến và các chức năng liên quan
khác cho phép kết hợp các môi trường liên kết dữ liệu khác nhau lại với nhau
cùng tạo nên mạng thống nhất. Các giao thức định tuyến hoạt đông trong lớp
mạng này.
- Lớp liên kết dữ liệu: cung cấp khả năng truyền tải dữ liệu từ qua môi
trường truyền dẫn vật lý. Mỗi đặc tả khác nhau của lớp liên kết dữ liệu sẽ có
các định nghĩa khác nhau về giao thức và các chuẩn mực kết nối đảm bảo
truyền tải dữ liệu.
73
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Lớp vật lý: định nghĩa các thuộc tính điện, các chức năng, thường trình
dùng để kết nối các thiết bị mạng ở mức vật lý. Một số các thuộc tính được
định nghĩa như mức điện áp, đồng bộ, tốc độ truyền tải vật lý, khoảng cách
truyền tải cho phép...
Trong môi trường truyền thông, các thiết bị truyền thông giao tiếp với
nhau thông qua các họ giao thức truyền thông khác nhau được xây dựng dựa
trên các mô hình chuẩn OSI nhằm đảm bảo tính tương thích và mở rộng. Các
giao thức truyền thông thường được chia vào một trong bốn nhóm: các giao
thức mạng cục bộ, các giao thức mạng diện rộng, giao thức mạng và các giao
thức định tuyến. Giao thức mạng cục bộ hoạt động trên lớp vật lý và lớp liên
kết dữ liệu. Giao thức mạng diện rộng hoạt động trên 3 lớp dưới cùng trong mô
hình OSI. Giao thức định tuyến là giao thức lớp mạng và đảm bảo cho các hoạt
động định tuyến và truyền tải dữ liệu. Giao thức mạng là các họ các giao thức
cho phép giao tiếp với lớp ứng dụng.
Vai trò của bộ định tuyến trong môi trường truyền thông là đảm bảo cho
các kết nối giữa các mạng khác nhau với nhiều giao thức mạng, sử dụng các
công nghệ truyền dẫn khác nhau.
Chức năng chính của bộ định tuyến là:
- Định tuyến (routing)
- Chuyển mạch các gói tin (packet switching)
Định tuyến là chức năng đảm bảo gói tin được chuyển chính xác tới địa
chỉ cần đến. Chuyển mạch các gói tin là chức năng chuyển mạch số liệu, truyền
tải các gói tin theo hướng đã định trên cơ sở các định tuyến được đặt ra. Như
vậy, trên mỗi bộ định tuyến, ta phải xây dựng một bảng định tuyến, trên đó chỉ
rõ địa chỉ cần đến và đường đi cho nó. Bộ định tuyến dựa vào địa chỉ của gói
tin kết hợp với bảng định tuyến để chuyển gói tin đi đúng đến đích. Các gói tin
không có đúng địa chỉ đích trên bảng định tuyến sẽ bị huỷ.
Chức năng đầu tiên của bộ định tuyến là chức năng định tuyến như tên
gọi của nó cũng là chức năng chính của bộ định tuyến làm việc với các giao
thức định tuyến. Bộ định tuyến được xếp vào các thiết bị mạng làm việc ở lớp
3, lớp mạng.
Bảng 3-1:Tương đương chức năng thiết bị trong mô hình OSI
74
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Lớp 3 Lớp mạng
Lớp 2 Lớp liên kết dữ liệu
Lớp 1 Lớp vật lý
Chức năng khác của bộ định tuyến là cho phép sử dụng các phương thức
truyền thông khác nhau để đấu nối diện rộng. Chức năng kết nối diện rộng
WAN của bộ định tuyến là không thể thiếu để đảm bảo vai trò kết nối truyền
thông giữa các mạng với nhau. Chức năng kết nối mạng cục bộ, bất kỳ bộ định
tuyến nào cũng cần có chức năng này để đảm bảo kết nối đến vùng dịch vụ của
mạng. Bộ định tuyến còn có các chức năng đảm bảo hoạt động cho các giao
thức mạng mà nó quản lý.
I.3. Cấu hình cơ bản và chức năng của các bộ phận của bộ
định tuyến
Như đã nói ở phần trước, bộ định tuyến là một thiết bị máy tính được
thiết kế đặc biệt để đảm đương được vai trò xử lý truyền tải thông tin trên
mạng. Nó được thiết kế bao gồm các phần tử không thể thiếu như CPU, bộ nhớ
ROM, RAM, các bus dữ liệu, hệ điều hành. Các phần tử khác tùy theo nhu cầu
sử dụng có thể có hoặc không bao gồm các giao tiếp, các module và các tính
năng đặc biệt của hệ điều hành.
CPU: điều khiển mọi hoạt động của bộ định tuyến trên cơ sở các hệ
thống chương trình thực thi của hệ điều hành.
ROM: chứa các chương trình tự động kiểm tra và có thể có thành phần
cơ bản nhất sao cho bộ định tuyến có thể thực thi được một số hoạt động tối
thiểu ngay cả khi không có hệ điều hành hay hệ điều hành bị hỏng.
RAM: giữ các bảng định tuyến, các vùng đệm, tập tin cấu hình khi chạy,
các thông số đảm bảo hoạt động của bộ định tuyến khác.
Flash: là thiết bị nhớ / lưu trữ có khả năng xoá và ghi được, không mất
dữ liệu khi cắt nguồn. Hệ điều hành của bộ định tuyến được chứa ở đây. Tùy
75
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1thuộc các bộ định tuyến khác nhau, hệ điều hành sẽ được chạy trực tiếp từ
Flash hay được giãn ra RAM trước khi chạy. Tập tin cấu hình cũng có thể được
lưu trữ trong Flash.
Hệ điều hành: đảm đương hoạt động của bộ định tuyến. Hệ điều hành
của các bộ định tuyến khác nhau có các chức năng khác nhau và thường được
thiết kế khác nhau. Mỗi bộ định tuyến có thể chạy rất nhiều hệ điều hành khác
nhau tùy thuộc vào nhu cầu sử dụng cụ thể, các chức năng cần thiết phải có của
bộ định tuyến và các thành phần phần cứng có trong bộ định tuyến. Các thành
phần phần cứng mới yêu cầu có sự nâng cấp về hệ điều hành. Các tính năng
đặc biệt được cung cấp trong các bản nâng cấp riêng của hệ điều hành.
Các giao tiếp: bộ định tuyến có nhiều các giao tiếp trong đó chủ yếu
bao gồm
- Giao tiếp WAN: đảm bảo cho các kết nối diện rộng thông qua các
phương thức truyền thông khác nhau như leased-line, Frame Relay, X.25,
ISDN, ATM, xDSL ... Các giao tiếp WAN cho phép bộ định tuyến kết nối theo
nhiều các giao diện và tốc độ khác nhau: V.35, X.21, G.703, E1, E3, cáp quang
v.v...
- Giao tiếp LAN: đảm bảo cho các kết nối mạng cục bộ, kết nối đến các
vùng cung cấp dịch vụ trên mạng. Các giao tiếp LAN thông dụng: Ethernet,
FastEthernet, GigaEthernet, cáp quang.
II. Giới thiệu về bộ định tuyến Cisco
II.1. Giới thiệu bộ định tuyến Cisco
Sơ lược về bộ định tuyến
Bộ định tuyến Cisco bao gồm nhiều nền tảng phần cứng khác nhau được
thiết kế xây dựng cho phù hợp với nhu cầu và mục đích sử dụng của các giải
pháp khác nhau.
Các chức năng xử lý hoạt động của bộ định tuyến Cisco dựa trên nền
tảng cốt lõi là hệ điều hành IOS.
Tuỳ theo các nhu cầu cụ thể mà một bộ định tuyến Cisco sẽ cần một IOS
có các tính năng phù hợp. IOS có nhiều phiên bản khác nhau, một số loại phần
76
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1cứng mới được phát triển chỉ có thể được hỗ trợ bởi các IOS phiên bản mới
nhất.
Các thành phần cấu thành bộ định tuyến
Hình 3-1:Các thành phần của bộ định tuyến Cisco
- RAM: Giữ bảng định tuyến, ARP Cache, fast-switching cache, packet
buffer, và là nơi chạy các file cấu hình cho bộ định tuyến. Đây chính là nơi lưu
giữ file Running-Config, chứa cấu hình đang hoạt động của Router. Khi ngừng
cấp nguồn cho bộ định tuyến, bộ nhớ này sẽ tự động giải phóng. Tất cả các
thông tin trong file Running-Config sẽ bị mất hoàn toàn.
- NVRAM: non-volatile RAM, là nơi giữ startup/backup configure, không
bị mất thông tin khi mất nguồn vào. File Startup-Config được lưu trong này để
đảm bảo khi khởi động lại, cấu hình của bộ định tuyến sẽ được tự động đưa về
trạng thái đã lưu giữ trong file. Vì vậy, phải thường xuyên lưu file Running-
Config thành file Startup-Config.
- Flash: Là ROM có khả năng xoá, và ghi đợc. Là nơi chứa hệ điều hành
IOS của bộ định tuyến. Khi khởi động, bộ định tuyến sẽ tự đọc ROM để nạp
IOS trước khi nạp file Startup-Config trong NVRAM.
- ROM: Chứa các chng trình tự động kiểm tra.
- Cổng Console: Được sử dụng để cấu hình trực tiếp bộ định tuyến. Tốc
độ dữ liệu dùng cho cấu hình bằng máy tính qua cổng COM là 9600b/s. Giao
diện ra của cổng này là RJ45 female.
77
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Cổng AUX: Được sử dụng để quản lý và cấu hình cho bộ định tuyến
thông qua modem dự phòng cho cổng Console. Giao diện ra của cổng này cũng
là RJ45 female.
- Các giao diện:
o Cổng Ethernet / Fast Ethernet
o Cổng Serial
o Cổng ASYNC ...
II.2. Một số tính năng ưu việt của bộ định tuyến Cisco
- Có khả năng tích hợp nhiều chức năng xử lý trên cùng một sản phẩm
với việc sử dụng các module chức năng thích hợp và IOS thích hợp.
- Dễ dàng trong việc nâng cấp bộ định tuyến Cisco cả về phần mềm lẫn
phần cứng do đó dễ dàng đáp ứng các nhu cầu thay đổi, mở rộng mạng, đáp
ứng các nhu cầu phát triển và ứng dụng công nghệ mới.
- Tương thích và dễ dàng mở rộng cho các nhu cầu về đa dịch vụ ngày
càng gia tăng trên.
- Tính bền vững, an toàn và bảo mật.
II.3. Một số bộ định tuyến Cisco thông dụng
Bộ định tuyến Cisco 2500
- Bộ định tuyến Cisco 2509
- 01 cổng console, 01 AUX
- 02 cổng serial tốc độ tới 2Mbps: kết nối leased-line, X.25, Frame
Relay...
- 01 Ethernet tốc độ 10Mbps giao diện AUI: cần thiết có đầu chuyển
RJ45/AUI khi kết nối vào các mạng switch/hub thông thường.
78
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-2: Bộ định tuyến Cisco 2501
- 01 cổng Async cho phép kết nối đến 08 modem V34/V90. Sử dụng môt
cáp kết nối Octal để kết nối các modem đến bộ định tuyến.
- Bộ định tuyến Cisco 2501
- 01 cổng console, 01 AUX
- 02 cổng serial tốc độ tới 2Mbps: kết nối leased-line, X.25, Frame
Relay...
- 01 Ethernet tốc độ 10Mbps giao diện AUI: cần thiết có đầu chuyển
RJ45/AUI khi kết nối vào các mạng switch/hub thông thường
Cisco đã ngừng sản xuất các bộ định tuyến Cisco dòng 2500.
Bộ định tuyến Cisco 1600
Hình 3-3: Bộ định tuyến Cisco 1601
- Bộ định tuyến Cisco 1601
- 01 cổng console
- 01 cổng serial tốc độ tới 2Mbps: kết nối leased-line, X.25, Frame
Relay...
- 01 Ethernet tốc độ 10Mbps giao diện AUI và RJ48 (Female Socket for
RJ45 connector)
- 01 serial slot: có thể sử dụng cho cổng Serial thứ 2, card ISDN BRI
79
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-4: Bộ định tuyến Cisco 1603
- Bộ định tuyến Cisco 1603
- 01 cổng console
- 01 cổng ISDN BRI giao diện S/T: kết nối ISDN tốc độ 2B+D, khi sử
dụng ở Việt nam cần có thêm một bộ tiếp hợp NT1 để đấu nối vào mạng ISDN.
- 01 Ethernet tốc độ 10Mbps giao diện AUI và RJ48 (Female Socket for
RJ45 connector)
- 01 serial slot: có thể sử dụng cho cổng Serial, card ISDN BRI
Bộ định tuyến Cisco 1700
Hình 3-5: Bộ định tuyến Cisco 1721
- Bộ định tuyến Cisco 1721
- 01 cổng console, 01 AUX
- 01 FastEthernet tốc độ 10/100Mbps giao diện RJ48 (Female Socket for
RJ45 connector)
- 02 WAN slot: có thể sử dụng cho cổng Serial, card ISDN BRI...
80
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-6: Bộ định tuyến Cisco 1751
- Bộ định tuyến Cisco 1751
- 01 cổng console, 01 AUX
- 01 FastEthernet tốc độ 10/100Mbps giao diện RJ48 (Female Socket for
RJ45 connector)
- 02 WAN slot: có thể sử dụng cho cổng Serial, card ISDN BRI...
- 01 Voice slot: chỉ cho phép cắm các card voice
Bộ định tuyến Cisco 2600
Hình 3-7: Bộ định tuyến Cisco 2610
- Bộ định tuyến Cisco 2610
- 01 cổng console, 01AUX
- 01 Ethernet tốc độ 10Mbps giao diện RJ48 (Female Socket for RJ45
connector)
- 02 serial slot: có thể sử dụng cho cổng Serial, card ISDN BRI, card
voice...
- 01 network module slot: có thể sử dụng module Async, Sync/Async,
Channelized E1, PRI ...
81
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-8: Bộ định tuyến Cisco 2621
- Bộ định tuyến Cisco 2621
- 01 cổng console, 01AUX
- 02 FastEthernet tốc độ 10/100Mbps giao diện RJ48 (Female Socket for
RJ45 connector)
- 02 serial slot: có thể sử dụng cho cổng Serial, card ISDN BRI, card
voice...
- 01 network module slot: có thể sử dụng module Async, Sync/Async,
Channelized E1, PRI ...
Bộ định tuyến Cisco 3600
Hình 3-9: Bộ định tuyến Cisco 3620
- Bộ định tuyến 3620
- 01 cổng console, 01AUX
- PCMCIA slot
- 02 network module slot: có thể sử dụng module Async, Sync/Async,
Channelized E1, PRI, Ethernet/FastEthernet, Voice, VPN ...
- Khi kết nối với mạng LAN cần thiết có một Network module có cổng
Ethernet/FastEthernet
82
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-10: Bộ định tuyến Cisco 3661
- Bộ định tuyến 3661
- 01 cổng console, 01AUX
- PCMCIA slot
- 01 FastEthernet tốc độ 100Mbps
- 06 network module slot: có thể sử dụng module Async, Sync/Async,
Channelized E1, PRI, Ethernet/FastEthernet, Voice, VPN ...
- 02 module nguồn, hỗ trợ và dự phòng lẫn nhau, đảm bảo về mặt cung
cấp nguồn điện cho bộ định tuyến. Có thể thay thế module nguồn mà không
cần phải tắt điện toàn bộ bộ định tuyến.
II.4. Các giao tiếp của bộ định tuyến Cisco
- Cổng Console
o Tốc độ có thể 11500Bps, làm việc ở tốc độ 9600Bps
o Dùng cho cấu hình cho bộ định tuyến Cisco
o Sử dụng cáp Console để kết nối
- Cổng AUX
o Tốc độ 11500Bps
o Sử dụng cho quản trị/cấu hình từ xa qua modem V34/V90
o Có thể sử dụng để cấu hình trực tiếp sử dụng cáp Console
83
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Chỉ làm việc sau khi bộ định tuyến Cisco đã khởi động hoàn toàn
o Có thể cấu hình để AUX làm việc như một đường kết nối dự
phòng
- Ethernet/FastEthernet
o Tốc độ 10Mbps/100Mbps giao diện AUI hoặc RJ45
o Dùng cho đấu nối trực tiếp vào mạng LAN
o Tuân theo các chuẩn của IEEE802.3
- Serial
o Tốc độ kết nối tới 2Mbps
o Dùng cho kết nối mạng WAN
o Có khả năng kết nối theo nhiều chuẩn giao diện khác nhau V35,
V24, X21, EIA530... bằng việc sử dụng các cáp nối
- ISDN
o Tốc độ 2B+D
o Dùng cho kết nối mạng ISDN sử dụng cho Dialup Server hoặc
kết nối dự phòng
o Có các giao diện U hoặc S/T, giao diện S/T cần thiết có thiết bị
NT1 để kết nối vào mạng
- Async
o Giao diện truyền số liệu không đồng bộ
o Dùng cho kết nối với các hệ thống modem V34/V90
o Sử dụng cáp kết nối Async (Octal Cable) để nối tới 08 modem.
Octal cable thường có giao diện RJ45 và cần có chuyển đổi RJ45-DB25 để phù
hợp với giao diện của modem
II.5. Kiến trúc module của bộ định tuyến Cisco
Các bộ định tuyến có kiến trúc module
84
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Các bộ định tuyến Cisco thông dụng được giới thiệu ở phần trước hầu
hết là có kiến trúc module trừ bộ định tuyến 2500 đã không được tiếp tục sản
xuất.
Ngoài các bộ định tuyến có kiến trúc module đã được biết, còn có các bộ định
tuyến khác:
- 1600: 1601, 1602, 1603, 1604, 1605
- 1700: 1710, 1720, 1721, 1750, 1751, 1760
- 2600: 2610, 2160XM, 2611, 2611XM, 2612, 2613, 2620, 2620XM,
2621, 2621XM, 2650, 2650XM, 2651, 2651XM, 2691
- 3600: 3620, 3631, 3640, 3661, 3662
- 3700: 3725, 3745
Tính tương thích dùng lẫn và thay thế
Các bộ định tuyến có kiến trúc module của Cisco được thiết kế để sử
dụng chung một kho các card giao tiếp và module chức năng khác nhau.
Các card giao tiếp được sử dụng cho bất kỳ một bộ định tuyến nào có
khe cắm tương thích. Tương thích phổ biến nhất là card giao tiếp Serial. Card
giao tiếp serial có thể sử dụng trên bất kỳ bộ định tuyến nào. Một số card giao
tiếp khác như card voice sẽ yêu cầu về cấu hình phần cứng và phần mềm tối
thiểu. Các card giao tiếp được sử dụng cho các bộ định tuyến 1600, 1700 có thể
sử dụng cho các bộ định tuyến 2600, 3600.
Bộ định tuyến 2600, 3600, 3700 cho phép sử dụng các module chức
năng khác nhau. Một module chức năng có thể chỉ bao gồm một chức năng như
module Async, module Serial, cũng có thể bao gồm nhiều chức năng hay bao
gồm các khe cắm cho card giao tiếp khác như module NM-1E- có 01 cổng
Ethernet và 02 khe cắm cho bất kỳ một loại card tương thích nào. Việc lựa
chọn module tùy thuộc vào nhu cầu sử dụng cụ thể. Các module cùng được sử
dụng giữa các bộ định tuyến. Một số module yêu cầu cấu hình tối thiểu về phần
cứng và phần mềm. Bộ định tuyến 1600 và 1700 không cho phép sử dụng các
module như các bộ định tuyến 2600, 3600.
Một số module thường gặp
85
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-11: Module Ethernet/FastEthernet
Bảng 3-2:Một số loại module Ethernet/FastEthernet
Loại module
Số
cổng
LAN
Số khe cắm WAN
Single-Port Ethernet 1 None
Four-Port Ethernet 4 None
Single-Port Ethernet Mixed Media 1 Two WAN interface card slots
Dual-Port Ethernet Mixed Media 2 Two WAN interface card slots
Single-Port Ethernet and Single-Port
Token Ring
1/1 Two WAN interface card slots
Single Port Fast Ethernet 1 None
86
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-12: Module Ethernet có khe cắm WAN
Bảng 3-3: Một số loại module có khe cắm WAN
Tên module Loại module
NM-1FE2W/NM-1FE2W-V2 1 10/100 Ethernet, 2 khe cắm WAN
NM-2FE2W/NM-2FE2W-V2 2 10/100 Ethernet, 2 khe cắm WAN
NM-1FE1R2W 1 10/100 Ethernet, 1 4/16 Token Ring,
2 khe cắm WAN
NM-2W 2 khe cắm WAN
Bảng 3-4: Giới hạn số lượng module trên các bộ định tuyến
2600 2691 3620 3631 3640 3660 3725 3745
NM-1FE2W/NM-
1FE2W-V2
N/A 1 2 N/A 4 6 2 4
NM-2FE2W/NM-
2FE2W-V2
N/A 1 2 N/A 4 6 2 4
NM-1FE1R2W N/A 1 2 N/A 4 6 2 4
NM-2W 1 1 1 N/A 3 6 2 4
87
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-13: Module 4 cổng serial
- Module 4 cổng serial
- Hỗ trợ tổng lưu lượng 8Mbps: có thể sử dụng tốc độ tối đa 8Mbps trên
một cổng hoặc mỗi 2Mbps cho 4 cổng.
- Kết nối với modem theo các chuẩn V.35, X.21, EIA/TIA-232,
EIA/TIA530... sử dụng các cáp phù hợp
- Sử dụng cho đấu nối leased-line, Frame Relay, X.25 ...
Hình 3-14: Module 8 cổng Sync/Async
- Module 8 cổng Sync/Async
- Tốc độ kết nối trên mỗi cổng thấp (tối đa 128Kbps)
- Có thể sử dụng ở hai chế độ đồng bộ và không đồng bộ. Có thể sử dụng
cho modem quay số.
88
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Kết nối với modem theo các chuẩn V.35, X.21, EIA/TIA-232,
EIA/TIA530... sử dụng các cáp phù hợp
- Sử dụng cho đấu nối leased-line, Frame Relay, X.25, modem quay số...
Hình 3-15: Module 16 cổng Async
- Module 16 cổng Async
- Kết nối không đồng bộ sử dụng cho modem quay số.
- Kết nối với modem theo các chuẩn EIA/TIA-232 sử dụng cáp Octal
Hình 3-16: Module và card ISDN BRI
Bảng 3-5: Một số loại module ISDN BRI tốc độ 2B+D (128+16Kbps)
Loại module Mô tả
NM-4B-S/T 4 cổng ISDN BRI giao diện S/T
NM-4B-U 4 cổng ISDN BRI giao diện U (tích hợp bộ tiếp hợp NT1)
89
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1NM-8B-S/T 8 cổng ISDN BRI giao diện S/T
NM-8B-U 8 cổng ISDN BRI giao diện U (tích hợp bộ tiếp hợp NT1)
Bảng 3-6: Một số loại card giao tiếp ISDN BRI tốc độ 2B+D
(128+16Kbps)
Loại card Mô tả
WIC-1B-S/T-V2 1 cổng ISDN BRI giao diện S/T
WIC 1B-U-V2 1 cổng ISDN BRI giao diện U (tích hợp bộ tiếp hợp NT1)
Hình 3-17: Card giao tiếp Serial
- Card một và hai cổng giao tiếp Serial
- Kết nối đồng bộ tốc độ đến 2Mbps
- Kết nối với modem theo các chuẩn V.35, X.21, EIA/TIA-232,
EIA/TIA530... sử dụng các cáp phù hợp
- Sử dụng cho đấu nối leased-line, Frame Relay, X.25, modem quay số...
III. Cách sử dụng lệnh cấu hình bộ định tuyến
III.1. Giới thiệu giao tiếp dòng lệnh của bộ định tuyến Cisco
Giao tiếp dòng lệnh
Giao tiếp dòng lệnh CLI (Command Line Interface) khác với các giao
tiếp đồ họa GUI (Graphic User Interface) là giao tiếp đặc biệt được Cisco thiết
90
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1kế cho phép người dùng, người quản trị làm việc với các thiết bị của Cisco
thông qua các dòng lệnh trực tiếp.
Với giao tiếp dòng lệnh, người dùng, người quản trị có thể trực tiếp
xem, cấu hình các thiết bị của Cisco thông qua các lệnh phù hợp. Để có thể sử
dụng được giao tiếp dòng lệnh, người dùng phải nắm vững được các lệnh, các
tham số lệnh và cách sử dụng các lệnh.
Mỗi thiết bị của Cisco đều có rất nhiều các lệnh, các bộ lệnh đi kèm tuy
nhiên người sử dụng, người quản trị không nhất thiết phải hiểu hết toàn bộ các
lệnh trong mỗi thiết bị mà chỉ cần hiểu, nắm vững một số lệnh cần thiết cho các
mục đích sử dụng cụ thể.
Giao tiếp dòng lệnh của Cisco cung cấp cho người dùng khả năng sử
dụng trợ giúp trực tuyến. Điều đó có nghĩa là trong quá trình làm việc với thiết
bị thông qua giao tiếp dòng lệnh, người dùng có thể liệt kê các lệnh, xem lại ý
nghĩa sử dụng của nó hay thậm chí xem các thông số lệnh.
Lưu ý: khi sử dụng giao tiếp dòng lệnh để cấu hình thiết bị, sau khi lệnh
được thực thi (ấn phím Enter) các hoạt động của bộ định tuyến sẽ ảnh hưởng
ngay lập tức bởi lệnh thực thi đó. Một cho những ví dụ là khi đang thực hiện
cấu hình từ xa thông qua telnet, nếu thay đổi địa chỉ của bộ định tuyến, sẽ lập
tức mất kết nối đến bộ định tuyến và chỉ có thể thực hiện cấu hình bộ định
tuyến trực tiếp từ cổng console. Điều này có nghĩa cần thiết phải rất cẩn thận và
chắc chắn cũng như thực hiện đúng trình tự mỗi khi thực hiện cấu hình bộ định
tuyến.
Router#config terminal
Router(config)#interface s0/0
Router(config-if)#encapsolution ppp
Router(config-if)#ip address 192.168.100.5 255.255.255.0
Router(config-if)#
Hình 3-18: Ví dụ về giao tiếp dòng lệnh
Các khả năng thực hiện cấu hình bộ định tuyến Cisco
- Cấu hình bộ định tuyến trực tiếp từ cổng console: là phương pháp sử
dụng một cáp console thông qua một phần mềm kết nối trực tiếp cổng COM
như HyperTerminal của WINDOWS để truy nhập vào bộ định tuyến sau đó cấu
hình bộ định tuyến theo giao thức dòng lệnh. Phương pháp cấu hình này được
91
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1sử dụng nhiều nhất và trong hầu hết các trường hợp. Các bộ định tuyến sử dụng
lần đầu cũng phải được cấu hình bằng phương pháp này.
- Cấu hình bộ định tuyến thông qua truy nhập từ xa telnet: truy nhập từ xa
tới bộ định tuyến với telnet chỉ có thể thực hiện được khi bộ định tuyến đã
được cấu hình với ít nhất một địa chỉ mạng, có mật khẩu bảo vệ và máy tính sử
dụng để cấu hình bộ định tuyến phải có khả năng kết nối được với bộ định
tuyến thông qua môi trường mạng. Sau khi kết nối được tới bộ định tuyến, sử
dụng giao diện dòng lệnh để cấu hình bộ định tuyến.
- Cấu hình bộ định tuyến sử dụng tập tin cấu hình lưu trữ trên máy chủ
TFTP: trong một số trường hợp, tập tin cấu hình cho bộ định tuyến có thể được
lưu trữ trên máy chủ TFTP, bộ định tuyến được cấu hình sao cho sau khi khởi
động sẽ tìm kiếm tập tin cấu hình trên máy chủ TFTP thay vì sử dụng tập tin
cấu hình lưu trữ trong NVRAM. Có thể sử dụng lệnh copy để tải tập tin cấu
hình từ máy chủ TFTP về bộ định tuyến.
- Cấu hình bộ định tuyến thông qua giao diện WEB: chỉ thực hiện được
sau khi bộ định tuyến đã được cấu hình với địa chỉ IP và cho phép cấu hình qua
giao thức http.
Sử dụng giao tiếp dòng lệnh
Để thực hiện việc kết nối máy tính với bộ định tuyến, người ta dùng cáp
console của Cisco, một đầu cắm trực tiếp vào cổng CONSOLE của bộ định
tuyến, đầu kia cắm vào cổng COM của máy tính, có thể sử dụng các đầu
chuyển đổi DB9/RJ45 hoặc DB25/RJ45 khi cần thiết.
Phần mềm giao tiếp giữa máy tính và bộ định tuyến thông dụng nhất là
HyperTerminal được cài đặt sẵn trong các phiên bản WINDOWS.
92
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-19:Sử dụng phần mềm HyperTerminal để kết nối đến bộ định
tuyến
Chọn đúng cổng COM kết nối với cáp console để tiến hành cài đặt các
thông số làm việc. Tốc độ kết nối thông qua cổng COM của máy tính và cổng
CONSOLE của bộ định tuyến là 9600b/s (hình 3-20). Chọn OK, bấm phím
Enter, cửa sổ làm việc xuất hiện dấu lớn hơn ">" sau tên của của bộ định tuyến,
nghĩa là việc kết nối đã hoàn tất (hình 3-21).
93
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hình 3-20: Xác lập các tham số cho kết nối
Hình 3-21: Kết nối tới bộ định tuyến thành công
Sau khi đã kết nối thành công, sử dụng các lệnh của bộ định tuyến để
xem, kiểm tra, cấu hình và bắt lỗi các hoạt động của bộ định tuyến.
Sử dụng dấu ? để truy cập thông tin trợ giúp
- Đánh dấu ? ngay sát sau câu lệnh chưa hoàn chỉnh sẽ hiện thị các lệnh
có thể bắt đầu từ các từ chưa hoàn chỉnh đã gõ
- Đánh dấu ? sau câu lệnh một ký tự trắng sẽ hiển thị các tham số có thể
của câu lệnh
- Khi câu lệnh không có sẽ hiển thị một báo lỗi
Sử dụng TAB ngay sát sau câu lệnh chưa hoàn chỉnh sẽ hiển thị câu lệnh
hoàn chỉnh
III.2. Làm quen với các chế độ cấu hình
Chế độ người dùng
Bao gồm các tác vụ phổ biến chủ yếu gồm những lệnh kiểm tra trạng
thái hoạt động của bộ định tuyến, trạng thái các giao tiếp, các bảng định tuyến
v.v... và một số lệnh để kiểm tra kết nối mạng như ping, traceroute, telnet v.v....
Ở chế độ này không được phép thay đổi các cấu hình bộ định tuyến. Chế độ
94
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1người dùng không cho phép xem xét sâu đến các hoạt động của bộ định tuyến
mà trong quá trình khai thác, vận hành, người quản trị phải cần thiết sử dụng
chế độ quản trị để thực hiện. Biểu hiện của chế độ người dùng là dấu lớn hơn,
>, sau tên bộ định tuyến.
Router>
Router>?
Exec commands:
<1-99> Session number to resume
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
----- các lệnh đã được bỏ bớt -----
ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
resume Resume an active network connection
rlogin Open an rlogin connection
show Show running system information
slip Start Serial-line IP (SLIP)
systat Display information about terminal lines
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD
95
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-22: Chế độ người dùng
Chế độ quản trị
Bao gồm hầu hết các lệnh của chế độ người dùng và các lệnh chỉ dành
cho người quản trị. Chỉ có thể cấu hình bộ định tuyến ở chế độ này. Trong quá
trình khai thác, vận hành, để hiểu rõ hoặc khi có sự cố xảy ra, người quản trị có
thể sử dụng các lệnh debug để làm rõ thêm thông tin cần thiết. Đặc trưng cho
chế độ quản trị là biểu hiện của dấu thăng, #.
Router>en
Password:
Router#
Router#?
Exec commands:
<1-99> Session number to resume
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
archive manage archive files
bfe For manual emergency modes setting
cd Change current directory
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also 'undebug')
----- các lệnh đã được bỏ bớt -----
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
undebug Disable debugging functions (see also 'debug')
96
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 upgrade Upgrade firmware
verify Verify a file
where List active connections
write Write running configuration to memory, network, or
terminal
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD
Hình 3-23: Chế độ quản trị
Chế độ cấu hình toàn cục
Là chế độ cấu hình các tham số toàn cục cho bộ định tuyến.
Có rất nhiều các cấu hình toàn cục như cấu hình tên bộ định tuyến, cấu hình tên
và mật khẩu người dùng, cấu hình định tuyến toàn cục, cấu hình danh sách truy
nhập v.v... Biểu hiện của chế độ cấu hình toàn cục xem hình 3-24.
Router#
Router#config terminal
Router(config)#hostname RouterA
RouterA(config)#
Hình 3-24: Chế độ cấu hình toàn cục
Chế độ cấu hình giao tiếp
Chế độ cấu hình giao tiếp là chế độ cấu hình cho các giao tiếp của bộ
định tuyến như giao tiếp Serial, giao tiếp Ethernet, giao tiếp Async...
Chế độ cấu hình giao tiếp cho phép người quản trị mạng thiết lập các
tham số hoạt động cho mỗi giao tiếp như các giao thức mạng được sử dụng trên
giao tiếp, địa chỉ mạng của giao tiếp, gán các danh sách truy nhập cho giao tiếp
v.v... Một ví dụ về chế độ cấu hình giao tiếp xem hình 3-25.
Router#
Router#config terminal
97
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Router(config)#interface s0/0
Router(config-if)#encapsolution ppp
Router(config-if)#ip address 192.168.100.5 255.255.255.0
Router(config-if)#
Hình 3-25: Chế độ cấu hình giao tiếp
Chế độ cấu hình định tuyến
Là chế độ cấu hình các tham số cho các giao thức định tuyến. Các giao
thức định tuyến được cấu hình độc lập với nhau và đều được thực hiện ở chế độ
cấu hình định tuyến như ví dụ trên hình 3-26.
Router#
Router#config terminal
Router(config)#router rip
Router(config-router)#network 192.168.0.0
Router(config-if)#
Hình 3-26: Chế độ cấu hình định tuyến
Chế độ cấu hình đường kết nối
Chế độ cấu hình đường kết nối là một chế độ cấu hình đặc biệt sử dụng
để thiết lập các tham số mức thấp cho giao tiếp logic trong đó điển hình là các
tham số thiết lập cho các kết nối modem quay số.
Router#config terminal
Router(config)#line 33 48
Router(config-line)#modem inout
Router(config-line)#modem autoconfig discovery
Router(config-line)#
Hình 3-27: Chế độ cấu hình đường kết nối
Bảng 3-7:Một số chế độ cấu hình và thể hiện
98
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chế độ cấu hình Thể hiện
Global Router(config)#
Interface Router(config-if)#
Subinterface Router(config-subif)#
Controller Router(config-controller)#
Map-list Router(config-map-list)#
Map-class Router(config-map-class)#
Line Router(config-line)#
Router Router(config-router)#
Route-map Router(config-route-map)#
III.3. Làm quen với các lệnh cấu hình cơ bản
Enable: dùng để vào chế độ quản trị. Sau khi thực hiện lệnh enable,
người dùng phải cung cấp mật khẩu quản trị đúng để thực sự được làm việc ở
chế độ quản trị, mật khẩu không được phép nhập sai quá 3 lần.
Router>
Router>en
Password:
Password:
Password:
% Bad secrets
Router>en
Password:
Router#
99
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Router#
Router#disa
Router>
Hình 3-28: Sử dụng lệnh enable và disable
Disable: thoát khỏi chế độ quản trị về chế độ người dùng.
Setup: thực hiện khởi tạo lại cấu hình của bộ định tuyến ở chế độ cấu
hình hội thoại. Sau đây, hình 3-29, là một ví dụ về sử dụng lệnh setup. Chế độ
hội thoại này cũng được thực hiện tự động đối với các bộ định tuyến chưa hề có
tập tin cấu hình hay nói cách khác có NVRAM không chứa thông tin.
Router#setup
--- System Configuration Dialog ---
Continue with configuration dialog? [yes/no]: y
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system
Would you like to enter basic management setup? [yes/no]: n
First, would you like to see the current interface summary? [yes]: n
Configuring global parameters:
Enter host name [Router]:
The enable secret is a password used to protect access to
100
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret [<Use current secret>]:
The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password []:123456
The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password: 654321
Configure SNMP Network Management? [yes]:
Community string [public]:
Configure IP? [yes]:
Configure IGRP routing? [yes]: n
Configure RIP routing? [no]:
Configure bridging? [no]:
Async lines accept incoming modems calls. If you will have
users dialing in via modems, configure these lines.
Configure Async lines? [yes]: n
Configuring interface parameters:
Do you want to configure FastEthernet0/0 interface? [yes]: n
Do you want to configure Serial0/0 interface? [yes]: n
Do you want to configure Serial0/1 interface? [no]: y
Some supported encapsulations are
ppp/hdlc/frame-relay/lapb/x25/atm-dxi/smds
101
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Choose encapsulation type [hdlc]: ppp
No serial cable seen.
Choose mode from (dce/dte) [dte]:
Configure IP on this interface? [no]: y
IP address for this interface: 192.168.100.5
Subnet mask for this interface [255.255.255.0] :
Class C network is 192.168.100.0, 24 subnet bits; mask is /24
The following configuration command script was created:
hostname Router
enable secret 5 $1$EuXV$Yhj/OYkz/U1R5VABqXsMC0
enable password 7 123456
line vty 0 4
password 7 654321
snmp-server community public
!
ip routing
no bridge 1
!
interface FastEthernet0/0
shutdown
no ip address
!
interface Serial0/0
shutdown
no ip address
!
interface Serial0/1
no shutdown
encapsulation ppp
ip address 192.168.100.5 255.255.255.0
dialer-list 1 protocol ip permit
102
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1dialer-list 1 protocol ipx permit
!
end
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.
Hình 3-29: Lệnh setup
Config: cho phép thực hiện các lệnh cấu hình bộ định tuyến. Sau lênh
config, quản trị mạng mới có thể thực hiện các lệnh cấu hình bộ định tuyến.
Trình tự thực hiện cấu hình cho một bộ định tuyến có thể được thể hiện như sau
- Đặt tên cho bộ định tuyến
Router#config terminal
Router(config)#
Router(config)#hostname RouterABC
RouterABC(config)#
- Đặt tên mật khẩu bí mật dành cho người quản trị
RouterABC(config)#enable secret matkhaubimat
RouterABC(config)#
- Đặt tên mật khẩu cho chế độ quản trị. Mật khẩu này chỉ sử dụng khi cấu
hình bộ định tuyến không có mật khẩu bí mật dành cho quản trị.
RouterABC(config)#enable password matkhau
RouterABC(config)#
- Cấu hình cho phép người dùng truy cập từ xa đến bộ định tuyến
RouterABC(config)#line vty 0 4
RouterABC(config-line)#login
RouterABC(config-line)#password telnet
RouterABC(config-line)#
- Cấu hình các giao tiếp
RouterABC(config)#interface ethernet 0
RouterABC(config-if)#ip address 192.168.2.1 255.255.255.0
103
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1RouterABC(config-if)#no shutdown
RouterABC(config-if)#
- Cấu hình định tuyến
RouterABC(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
RouterABC(config)#
Copy: lệnh copy cho phép thực hiện các sao chép cấu hình của bộ định
tuyến đi/đến máy chủ TFTP, sao chép, lưu trữ, nâng cấp các tập tin IOS của bộ
định tuyến từ / tới máy chủ TFTP.
Để có thể lưu bản sao cấu hình hiện hành lên máy chủ TFTP, sử dụng lệnh
copy rumng-config tftp như được trình bày trên hình 3-30. Hình 3-31 là tiến
trình ngược lại với việc tải tập tin cấu hình từ máy chủ TFTP về bộ định tuyến.
- Nhập lệnh copy runing-config tftp
- Nhập địa chỉ IP của máy chủ TFTP nơi dùng để lưu tập tin cấu hình
- Nhập tên ấn định cho tập tin cấu hình
- Xác nhận chọn lựa với trả lời yes
Router#copy running-config tftp
Address or name of remote host []? 192.168.1.5
Name of configuration file to write [Router-config]?cisco.cfg
Write file cisco.cfg to 192.168.1.5? [confirm] y
Writing cisco.cfg !!!!! [OK]
Router#
Hình 3-30: Lệnh copy dùng để lưu tập tin cấu hình lên máy chủ
Router#copy tftp running-config
Address or name of remote host []? 192.168.1.5
Source filename []? cisco.cfg
Destination filename [running-config]?
Hình 3-31: Lệnh copy dùng để tải tập tin cấu hình từ máy chủ
104
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Show: là lênh được dùng nhiều và phổ biến nhất.
Lệnh show dùng để xác định trạng thái hiện hành của bộ định tuyến. Các lệnh
này giúp cho phép có được các thông tin quan trọng cần biết khi kiểm tra và
điều chỉnh các hoạt động của bộ định tuyến.
- show version: hiển thị cấu hình phần cứng hệ thống, phiên bản phần
mềm, tên và nguồn của các tập tin cấu hình, và ảnh chương trình khởi động.
- show processes: hiển thị thông tin các quá trình hoạt động của bộ định
tuyến.
- show protocols: hiển thị các giao thức được cấu hình.
- show memory: thống kê về bộ nhớ của bộ định tuyến.
- show stacks: giám sát việc sử dụng stack của các quá trình, các thủ tục
ngắt và hiển thị nguyên nhân khởi động lại hệ thống lần cuối cùng.
- show buffers: cung cấp thống kê về các vùng bộ đệm trên bộ định tuyến.
- show flash: thể hiện thông tin về bộ nhớ Flash.
- show running-config: hiển thị tập tin cấu hình đang hoạt động của bộ
định tuyến.
- show startup-config: hiển thị tập tin cấu hình được lưu trữ trên NVRAM
và được đưa vào bộ nhớ để hoạt động khi bật nguồn bộ định tuyến. Thông
thường running-config và startup-config là giống nhau. Khi thực hiện các lệnh
cấu hình, running-config và startup-config sẽ không còn giống nhau, cấu hình
hoạt động (running-config) cần phải được ghi trở lại NVRAM sau khi kết thúc
cấu hình bộ định tuyến.
- show interfaces: thống kê các giao tiếp của bộ định tuyến. Đây là một
trong các lệnh được sử dụng nhiều nhất cho biết trạng thái hoạt động của các
giao tiếp, số liệu thống kê lưu lượng, số lượng các gói tin lỗi v.v...
105
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-32: Lệnh show
Router#show interface s0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Description: 2M link to the Internet
Internet address is 192.168.100.5/24
MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec,
reliability 255/255, txload 248/255, rxload 84/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/12/0 (size/max/drops/flushes); Total output
drops: 2383688
Queueing strategy: weighted fair
Output queue: 24/1000/64/2383671 (size/max total/threshold/drops)
Conversations 5/184/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 677000 bits/sec, 161 packets/sec
5 minute output rate 1996000 bits/sec, 395 packets/sec
106754998 packets input, 2930909441 bytes, 0 no buffer
Received 68850 broadcasts, 0 runts, 0 giants, 0 throttles
51143 input errors, 30726 CRC, 20248 frame, 0 overrun, 0
ignored, 169 abort
106
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 319791176 packets output, 1669977392 bytes, 0 underruns
0 output errors, 0 collisions, 125 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Hình 3-33: Lệnh show interface
Router# show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.1(2), RELEASE
SOFTWARE (fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Tue 09-May-00 23:34 by linda
Image text-base: 0x80008088, data-base: 0x807D2544
ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Router uptime is 1 week, 1 day, 1 minute
System returned to ROM by power-on at 13:29:57 Hanoi Thu Jul 31 2003
System restarted at 20:24:22 Hanoi Tue Sep 2 2003
System image file is "flash:c2600-i-mz.121-2.bin"
cisco 2620 (MPC860) processor (revision 0x102) with 26624K/6144K
bytes of memory
.
Processor board ID JAD04340ID8 (2733840160)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
107
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Configuration register is 0x2102
Hình 3-34: Lệnh show version
Write: lệnh write sử dụng để ghi lại cấu hình hiện đang chạy của bộ
định tuyến. Nhất thiết phải dùng lệnh write memory để ghi lại cấu hình của bộ
định tuyến vào NVRAM mỗi khi có thay đổi về cấu hình.
Router#write ?
erase Erase NV memory
memory Write to NV memory
network Write to network TFTP server
terminal Write to terminal
<cr>
Hình 3-35: Lệnh write
III.4. Cách khắc phục một số lỗi thường gặp
Lỗi kết nối đến cổng console sử dụng Hyper Terminal
- Kiểm tra lại xem đã sử dụng chính xác loại cáp dùng để cấu hình bộ
định tuyến chưa. Cáp console dùng để cấu hình bộ định tuyến là cáp 8 sợi có
hai đầu RJ45 có sơ đồ đấu nối như bảng 3-8 và sử dụng đầu chuyển đổi
DB9/RJ45 được cung cấp kèm theo bộ định tuyến.
- Kiểm tra xem đã sử dụng đúng cổng kết nối COM của máy tính để nối
tới bộ định tuyến.
Bảng 3-8: Sơ đồ đấu nối cáp console
Console Cáp console DB9/RJ45 COM
Tín hiệu RJ45 RJ45 DB9 Tín hiệu
RTS 1 8 8 CTS
108
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1DTR 2 7 6 DSR
TxD 3 6 2 RxD
GND 4 5 5 GND
GND 5 4 5 GND
RxD 6 3 3 TxD
DSR 7 2 4 DTR
CTS 8 1 7 RTS
- Kiểm tra các tham số kết nối như hình 3-20. Tốc độ kết nối phải là 9600
cho kết nối qua cổng console.
Lỗi kết nối sử dụng telnet
Khi sử dụng telnet để cấu hình từ xa bộ định tuyến, người dùng có thể không
kết nối được đến bộ định tuyến. Một trong các lỗi sau cần được kiểm tra:
- Máy tính dùng để cấu hình bộ định tuyến không có kết nối mạng với bộ
định tuyến. Kiểm tra lại khả năng kết nối mạng từ máy tính đến bộ định tuyến.
Có thể dùng lệnh ping để kiểm tra.
- Khi cấu hình bộ định tuyến lần đầu, người quản trị mạng đã quên không
thiết lập mật khẩu cho truy nhập từ xa. Khi cố gắng truy nhập từ xa, người
dùng sẽ nhận được thông báo về việc mật khẩu truy nhập chưa được thiết lập.
Trường hợp này cần sử dụng cáp console để thiết lập mật khẩu theo trình tự
như trình bày dưới đây
Router#config terminal
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password 123456
Router(config-line)#end
Router#write memory
109
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Kiểm tra về việc có hay không có các hạn chế telnet sử dụng các danh
sách kiểm soát truy nhập (access-list).
IV. Cấu hình bộ định tuyến Cisco
IV.1. Cấu hình leased-line
Giới thiệu leased-line
Leased-line, hay còn được gọi là kênh thuê riêng, là một hình thức kết
nối trực tiếp giữa các node mạng sử dụng kênh truyền dẫn số liệu thuê riêng.
Kênh truyền dẫn số liệu thuê riêng thông thường cung cấp cho người sử
dụng sự lựa chọn trong suốt về giao thức đấu nối hay nói cách khác, có thể sử
dụng các giao thức khác nhau trên kênh thuê riêng như PPP, HDLC, LAPB
v.v...
Về mặt hình thức, kênh thuê riêng có thể là các đường cáp đồng trực tiếp
kết nối giữa hai điểm hoặc có thể bao gồm các tuyến cáp đồng và các mạng
truyền dẫn khác nhau. Khi kênh thuê riêng phải đi qua các mạng truyền dẫn
khác nhau, các quy định về giao tiếp với mạng truyền dẫn sẽ được quy định bởi
nhà cung cấp dịch vụ. Do đó, các thiết bị đầu cuối CSU/DSU cần thiết để kết
nối kênh thuê riêng sẽ phụ thuộc và nhà cung cấp dịch vụ. Một số các chuẩn
kết nối chính được sử dụng là HDSL, G703, 2B1Q v.v...
Khi sử dụng kênh thuê riêng, người sử dụng cần thiết phải có đủ các
giao tiếp trên các bộ định tuyến sao cho có một giao tiếp kết nối WAN cho mỗi
một kết nối kênh thuê riêng tại mỗi node. Điều đó có nghĩa là, tại điểm node có
kết nối kênh thuê riêng đến 10 điểm khác nhất thiết phải có đủ 10 giao tiếp
WAN để phục vụ cho các kết nối kênh thuê riêng. Đây là một vấn đề hạn chế
về đầu tư thiết bị ban đầu, không linh hoạt trong mở rộng, phát triển, phức tạp
trong quản lý, đặc biệt là chi phí thuê kênh lớn đối với các yêu cầu kết nối xa
về khoảng cách địa lý.
Các giao thức sử dụng với đường lease-line
Hai giao thức sử dụng với leased-line là HDLC, PPP và LAPB. Trong đó:
110
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- HDLC: là giao thức được sử dụng với họ các bộ định tuyến Cisco hay
nói cách khác chỉ có thể sử dụng HDLC khi cả hai phía của kết nối leased-line
đều là bộ định tuyến Cisco.
- PPP: là giao thức chuẩn quốc tế, tương thích với tất cả các bộ định tuyến
của các hãng sản xuất khác nhau. Khi đấu nối kênh leased-line giữa một phía là
thiết bị của Cisco và một phía là thiết bị của hãng thứ 3 thì nhất thiết phải dùng
giao thức đấu nối này. PPP là giao thức lớp 2 cho phép nhiều giao thức mạng
khác nhau có thể chạy trên nó do vậy nó được sử dụng phổ biến.
- LAPB: là giao thức truyền thông lớp hai tương tự như giao thức mạng
X.25 với đầy đủ các thủ tục, quá trình kiểm soát truyền dẫn, phát hiện và sửa
lỗi. LAPB ít được sử dụng.
Mô hình kết nối lease-line
Ethernet
Server
Workstation
Ethernet
C2621 C3620
Server
Workstation
Hình 3-36: Mô hình kết nối leased-line
Cấu hình kết nối lease-line cơ bản
- Phân định địa chỉ
o Việc phân định địa chỉ cho các mạng và cho các kết nối giữa các
bộ định tuyến là rất quan trọng, đảm bảo cho việc liên lạc thông suốt giữa các
mạng, đảm bảo cho vấn đề qui hoặch địa chỉ, nhóm gọn các định tuyến ...
o Khi thực hiện xây dựng một mạng dùng riêng, điều cần thiết phải
ghi nhớ là chỉ được dùng các địa chỉ trong nhóm các địa chỉ dành cho mạng
dùng riêng:10.x.x.x, 172.16.x.x – 172.31.x.x, 192.168.x.x
111
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Để đảm bảo không bị trùng lặp và giảm thiểu các vấn đề phát
sinh, các kết nối mạng WAN theo kiểu leased-line cần được sắp xếp trên lớp
mạng nhỏ nhất. Các kết nối mạng WAN trong trường hợp này được thực hiện
trên các lớp mạng gồm 4 địa chỉ.
o Các lớp mạng khác tuỳ theo yêu cầu cụ thể và số lượng các địa
chỉ có thể mà phân chia cho phù hợp.
- Để bắt đầu cấu hình mạng:
o Router> enable
o Password: ******
o Router# config terminale
o Router(config)#
- Thực hiện đặt tên, các mật khẩu, cấu hình cho phép telnet và các điều
kiện cần thiết trước khi cấu hình các giao diện
- Cấu hình
o Router2621(config)# interface serial 0
- Lựa chọn giao thức sử dụng
o Router2621(config-if)# encapsolation HDLC
- Đặt địa chỉ IP cho giao tiếp kết nối leased-line
o Router2621(config-if)# ip address 192.168.113.5
255.255.255.252
- Luôn phải đưa giao tiếp vào sử dụng bằng lệnh no shutdown
o Router2621(config-if)# no shutdown
o Router2621(config-if)# interface serial 1
- Lựa chọn giao thức PPP sử dụng cho một giao tiếp khác
o Router2621(config-if)# encapsolation PPP
o Router2621(config-if)# ip address 192.168.113.9
255.255.255.252
o Router2621(config-if)# no shutdown
o Router2621(config-if)# exit
- Sử dụng định tuyến tĩnh với cú pháp: ip route [địa chỉ mạng đích]
[netmask] [địa chỉ next hop]
112
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Router2621(config)# ip route 0.0.0.0 0.0.0.0
192.168.113.6
- Luôn phải ghi lại cấu hình khi đã cấu hình xong
o Router2621# write memory
- Thực hiện các phần việc còn lại tại các bộ định tuyến khác, chú ý về
giao thức được sử dụng kiểm tra, giám sát các kết nối.
o Dùng lệnh show interface để kiểm tra trạng thái của giao tiếp
o show interface: xem trạng thái tất cả các giao tiếp
o show interface serial 0: xem trạng thái cổng serial 0
o Serial 0 is admininistrative down line protocole is down: thể hiện
trạng thái đang bị cấu hình là không làm việc, sử dụng lệnh no shutdown trong
Interface mode để đưa giao tiếp serial 0 vào làm việc
o Serial 0 is down line protocole is down: kiểm tra lại đường truyền
o Serial 0 is up line protocole is down: kiểm tra lại các giao thức
được sử dụng tại hai phía
o Serial 0 is up line protocole is up: là trạng thái làm việc
Cấu hình bộ định tuyến 2621
!
hostname 2621
!
!
interface FastEthernet0/0
ip address 10.0.5.1 255.255.255.0
!
!
interface Serial0/0
ip address 192.168.113.5 255.255.255.252
encapsulation ppp
!
!
113
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1ip route 0.0.0.0 0.0.0.0 192.168.113.6
!
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-37: Cấu hình của bộ định tuyến 2621
Cấu hình bộ định tuyến 3620
!
hostname 3620
!
!
interface FastEthernet0/0
ip address 10.0.6.1 255.255.255.0
!
!
interface Serial1/0
ip address 192.168.113.6 255.255.255.252
encapsulation ppp
!
!
ip route 0.0.0.0 0.0.0.0 192.168.113.5
!
!
line con 0
exec-timeout 0 0
transport input none
114
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1line aux 0
line vty 0 4
login
!
end
Hình 3-38: Cấu hình của bộ định tuyến 3620
IV.2. Cấu hình X.25 & Frame Relay
Giới thiệu X.25 và Frame Relay
X25: Năm 1978 ISO thay đổi thêm HDLC và CCITT thêm một số thông
số để sinh ra LAPB “Link Access Procedure – Balanced Mode”. LAPB định
nghĩa một số quy luật cho mức Frame của X.25 như các loại khung đặc biệt
như RR (Receive Ready), REJ (Reject) . . .
Hình 3-39: Chuyển mạch gói X.25
X.25 cung cấp các kết nối diện rộng thông qua môi trường chuyển mạch
gói. Mỗi thuê bao X.25 có một địa chỉ xác định duy nhất được đánh số gồm các
phần mã quốc gia, nhà cung cấp dịch vụ và địa chỉ của thuê bao trực thuộc nhà
cung cấp dịch vụ.
115
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 3-40: Cấu trúc địa chỉ X.25
Khi có nhu cầu kết nối truyền dữ liệu, các thiết bị đầu cuối X.25 sẽ phát
khởi tạo một VC (virtual circuit) tới địa chỉ đích. Sau khi VC được thiết lập, dữ
liệu sẽ được truyền tải giữa hai điểm thông qua VC đó. Nếu nhu cầu dữ liệu lớn
hơn, thiết bị đầu cuối sẽ khởi tạo thêm các VC mới. Khi hết giữ liệu, các VC sẽ
được giải phóng cho các nhu cầu truyền tải khác.
X.25 qui định một số tham số xác định bao gồm:
- Độ lớn gói tin (ips/ops): là giá trị kích thước gói tin được quy định bởi
nhà cung cấp dịch vụ.
- Độ lớn cửa sổ điều khiển luồng (win/wout): X.25 sử dụng cơ chế điều
khiển luồng bằng cửa số để đảm bảo tốc độ gửi nhận tin phù hợp không làm
mất mát thông tin. Với tham số cửa sổ bằng 7, X.25 cho phép gửi tối đa 7 gói
tin khi chưa nhận được phúc đáp.
- Số lượng kênh VC tối đa cho chiều đến / hai chiều / chiều đi
(hic/htc/hoc): Số lượng kênh VC được cung cấp cho mỗi thuê bao X.25 đã
được xác định bởi nhà cung cấp. Thuê bao chỉ có thể truyền tải dữ liệu với số
lượng các VC tối đa cho phép đã được xác định. Không thể thực hiện được yêu
cầu truyền tải nếu có yêu cầu truyền tải tới các điểm mới khi số lượng VC đã
hết. Khi các thiết bị đầu cuối X.25 thực hiện truyền tải dữ liệu nó phải tuân
theo các quy tắc:
o Cuộc gọi ra được thực hiện từ VC lớn nhất còn trống. Điều đó có
nghĩa là, nếu chưa hề có cuộc gọi nào và số VC được cung cấp cho một thuê
bao là 16 thì cuộc gọi ra đầu tiên sẽ khởi tạo VC số 16 để thực hiện yêu cầu kết
nối.Trong trường hợp đã dùng hết 3 VC gọi ra thì cuộc gọi ra thứ 4 sẽ sử dụng
VC số 13 để thực hiện.
116
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Cuộc gọi tới được thực hiện từ VC nhỏ nhất còn trống. Tương tự
như cuộc gọi ra, cuộc gọi vào đầu tiên sẽ nhận được trên VC số 1 và cuộc gọi
vào thứ 10 sẽ nhận được trên VC số 10.
o Quá trình khởi tạo VC sẽ dừng lại khi không còn VC trống.
o Với các quy tắc này, yêu cầu cần thiết phải xác lập một cách
chính xác các tham số cho thiết bị đầu cuối X.25 thì mới có thể thực hiện được
các kết nối truyền tải dữ liệu.
Về đặc điểm của X.25
- Tốc độ truyền tải hạn chế, tại Việtnam tốc độ cung cấp tối đa là
128Kbps.
- Độ trễ lớn, không phù hợp cho các ứng dụng có yêu cầu cao về độ trễ.
- Khả năng mở rộng dễ dàng, chi phí không cao.
- An toàn và bảo mật, vẫn được sử dụng trong các giao dịch ngân hàng.
Frame Relay: Frame Relay ra đời trên nền tảng hạ tầng viễn thông ngày càng
được cải thiện, không cần có quá nhiều các thủ tục phát hiện và sửa lỗi như
X.25. Frame relay có thể chuyển nhận các khung lớn tới 4096 byte trong khi đó
gói tiêu chuẩn của X.25 khuyến cáo dùng là 128 byte. Frame Relay rất thích
hợp cho tryền số liệu tốc độ cao và cho kết nối LAN to LAN và cả cho âm
thanh, nhưng điều kiện tiên quyết để sử dụng công nghệ Frame relay là chất
lượng mạng truyền dẫn phải cao.
Bảng 3-9:So sánh giữa X.25 và Frame Relay
TT Chức năng của mạng X25 Frame relay
1 Phúc đáp khung thông tin nhận được √
2 Phúc đáp gói tin nhận được √
3 Dịch địa chỉ của gói tin √ √
4 Cất giữ gói tin vào vùng đệm để chờ phúc
đáp
√
5 Phát hiện gói tin sai thứ tự √
117
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV16 Huỷ gói tin bị lỗi √ √
7 Đảm bảo khung tin có giá trị N(s) là hợp lệ √
8 Thiết lập và huỷ bỏ kết nối logical √
9 Thiết lập và huỷ bỏ kênh ảo √
10 Điền các bit cờ vào giữa các khung √
11 Điều khiển luồng dữ liệu ở lớp liên kết logic √
12 Tạo và kiểm tra FCS √ √
13 Tạo và nhận dạng bit cờ √ √
14 Tạo ra khung báo chưa sẵn sàng √
15 Tạo ra khung báo đã sẵn sàng √
√16 Tạo ra khung báo khung bị từ chối √
17 Quản lý các bit D, M, Q trong gói tin √
18 Quản lý các khung ở mức liên kết dữ liệu √
19 Quản lý các bộ định thời ở mức 3 √
20 Quản lý các bit Poll/Final trong khung √
21 Quản lý các bộ đếm số thứ tự của khung và
gói tin
√
22 Ghép các kênh logic √
23 Quản lý các thủ tục khởi động ở mức 2 và 3 √
24 Nhận dạng các khung không hợp lệ √ √
25 Trả lời các khung và gói tin báo chưa sẵn √
118
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1sàng
26 Trả lời các khung và gói tin báo đã sẵn sàng √
27 Trả lời các khung và gói tin báo từ chối
khung
√
28 Đánh dấu số lần phải truyền lại √
29 Chèn thêm và bỏ các bit 0 vào số liệu √ √
Bảng chức năng trên cho thấy Frame relay đã giảm rất nhiều các công
việc không cần thiết cho thiết bị chuyển mạch do đó giảm gánh nặng cũng như
thời gian xử lý công việc cho các nút mạng, nhờ vậy mà làm giảm thời gian trễ
cho các khung thông tin khi truyền trên mạng.
Hình 3-41: Mô hình mạng Frame Relay
Cơ sở để tạo được mạng Frame relay là các thiết bị truy nhập mạng
FRAD (Frame Relay Access Device), các thiết bị mạng FRND (Frame Relay
Network Device), đường nối giữa các thiết bị và mạng trục Frame Relay.
Thiết bị FRAD có thể là các LAN bridge, LAN Router v.v...
Thiết bị FRND có thể là các Tổng đài chuyển mạch khung (Frame) hay
tổng đài chuyển mạch tế bào (Cell Relay - chuyển tải tổng hợp các tế bào của
các dịch vụ khác nhau như âm thanh, truyền số liệu, video v.v..., mỗi tế bào độ
dài 53 byte, đây là phương thức của công nghệ ATM). Đường kết nối giữa các
thiết bị là giao diện chung cho FRAD và FRND, giao thức người dùng và mạng
hay gọi F.R UNI (Frame Relay User Network Interface). Mạng trục Frame
Relay cũng tương tự như các mạng viễn thông khác có nhiều tổng đài kết nối
với nhau trên mạng truyền dẫn, theo thủ tục riêng của mình.
119
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Công nghệ Frame Relay có một ưu điểm đặc trưng rất lớn là cho phép
người sử dụng dùng tốc độ cao hơn mức họ đăng ký trong một khoảng thời
gian nhất định, có nghĩa là Frame Relay không cố định độ rộng băng cho từng
cuộc gọi một mà phân phối băng thông một cách linh hoạt điều mà X.25 và
thuê kênh riêng không có. Ví dụ người sử dụng hợp đồng sử dụng với tốc độ
64Kbps, khi họ chuyển đi một lượng thông tin quá lớn, Frame Relay cho phép
truyền chúng ở tốc độ cao hơn 64Kbps. Hiện tượng này được gọi là bùng nổ
Bursting.
Các đặc điểm của Frame Relay:
- Cung cấp các kết nối thông qua các kênh ảo cố định PVC. Khi có nhu
cầu kết nối giữa 2 điểm, nhà cung cấp dịch vụ sẽ thiết lập các thông số trên các
node Frame Relay tạo ra các kênh ảo cố định giữa 2 điểm. Không như X.25,
hướng kết nối Frame Relay là cố định và không thể khởi tạo bởi người dùng.
Khi có nhu cầu kết nối đến điểm đích khác, khách hàng phải thuê mới PVC đến
điểm đích mới đó.
- CIR (Committed Information Rate): là tốc độ truyền dữ liệu mà nhà
cung cấp dịch vụ cam kết sẽ đảm bảo cho khách hàng, điều đó có nghĩa là
khách hàng sẽ được đảm bảo cung cấp đường truyền với đúng tốc độ yêu cầu.
CIR được gắn liền với với các PVC và độc lập giữa các PVC khác nhau. Nếu
tắc nghẽn xảy ra thì khách hàng vẫn truyền được với tốc độ yêu cầu khi ký kết
hợp đồng.
- Frame Relay hỗ trợ truyền số liệu khi có bùng nổ số liệu hay còn gọi là
“bursty”, có nghĩa là lượng thông tin được gửi đi trong thời gian ngắn và với
dung lượng lớn hơn dung lượng bình thường. Nói cách khác, khi có một nhu
cầu truyền tải khối lượng dữ liệu lớn, mạng Frame Relay cho phép được thực
hiện truyền tải dữ liệu với tốc độ lớn hơn tốc độ CIR đã mua của nhà cung cấp
dịch vụ. Điều này đảm bảo cho khách hàng tiết kiệm được chi phí mà vẫn đảm
bảo truyền dữ liệu với khối lượng lớn trong những điều kiện cần thiết đảm bảo
lưu thông thông tin. Truyền dữ liệu bursty chỉ thực hiện được khi không có tắc
nghẽn trên mạng.
- Frame Relay không sử dụng địa chỉ định danh như X.25. Để phân biệt
các PVC, Frame Relay sử dụng DLCI, mỗi một PVC được gắn liền với một
DLCI. DLCI chỉ có tính chất cục bộ có nghĩa là chỉ có ý nghĩa quản lý trên
cùng một chuyển mạch. Nói cách khác số DLCI chỉ cần là duy nhất cho mỗi
120
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1PVC trên một chuyển mạch còn có thể có cùng số DLCI đó trên một chuyển
mạch khác.
- Frame Relay sử dụng giao thức LMI (Local Manegment Interface) là
giao thức quản lý và trao đổi thông tin quản trị giữa các thiết bị mạng FRND và
các thiết bị kết nối FRAD.
- Cũng như X.25, Frame Relay là môi trường mạng đa truy nhập không
quảng bá (multiaccess nonbroadcast media). Vấn đề này cần được chú ý khi sử
dụng với các giao thức định tuyến.
Các mô hình kết nối của X.25 và Frame Relay
Khi sử dụng phương thức truyền thông X.25, mô hình kết nối cơ bản là
điểm-đa điểm (point-to-multipoint) dựa trên tính chất cơ bản của X.25 là sử
dụng các VC cho các nhu cầu truyền tải dữ liệu.
Hình 3-42: Mô hình kết nối X.25
Frame Relay đa dạng hơn về các mô hình kết nối. Frame Relay sử dụng
các PVC định trước để thực hiện truyền tải dữ liệu giữa hai điểm, người ta chia
Frame Relay thành các cấu hình kết nối mạng như mô tả trong hình 3-40.
Trong đó:
- Full mesh: là mô hình kết nối mà trong đó bất cứ hai node mạng nào
cũng có một PVC liên kết giữa chúng. Mô hình này đảm bảo tính sẵn sàng cho
toàn bộ hệ thống mạng, nếu có một hoặc một vài PVC có sự cố, các PVC còn
lại vẫn có thể đảm bảo cho kết nối mạng giữa các node mạng. Yếu điểm của
mô hình mạng này là chi phí thuê các PVC quá lớn.
121
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1FRAME RELAY FRAME RELAY
FULL MESH HUB-SPOKE
FRAME RELAY
FULL MESH
Hình 3-43: Mô hình kết nối Frame Relay
- Hub-Spoke: là mô hình có một điểm tập trung mọi kết nối Frame Relay
tới các điểm khác, các trao đổi dữ liệu giữa 2 điểm bất kỳ đều phải đi qua điểm
tập trung. Mô hình này có chi phí giảm thiểu nhất nhưng có yếu điểm về việc
tập trung mọi gánh nặng lên điểm tập trung và nếu có bất kỳ sự cố trên một
PVC nào thì sẽ mất khả năng truyền tải dữ liệu với điểm thuộc về PVC bị sự cố
đó.
- Partial mesh: là mô hình được sử dụng nhiều nhất, nó là sự lai ghép giữa
hai mô hình trên, đảm bảo chi phí và dự phòng cho các điểm thiết yếu.
Cấu hình X.25 cơ bản
Các lưu ý trong cấu hình X.25
- X.25 là một môi trường đa truy nhập không broadcast (multi access non
broadcast media) do đó phải lưu ý khi sử dụng với định tuyến động
- X.25 làm việc với sự khởi tạo các VC do đó khi thực hiện cấu hình phải
thực hiện các thủ tục liên kết (map) và định tuyến theo địa chỉ
- Các tham số cần lưu ý
o Độ lớn gói tin (ips/ops)
o Độ lớn cửa sổ điều khiển luồng (win/wout)
o Số lượng kênh VC tối đa cho chiều đến / hai chiều / chiều đi
(hic/htc/hoc)
o Số lượng VC dành cho một kết nối (nvc). Nên hạn chế số lượng
VC cho phép kết nối đến một điểm trong giới hạn hợp lý để tổng số VC cần
thiết không vượt quá số VC tối đa hiện có (HTC)
o Khi thực hiện các liên kết (map) phải thực hiện map địa chỉ IP
của phía đối phương tới địa chỉ X25 của họ
122
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Khi thực hiện định tuyến, phải thực hiện định tuyến với địa chỉ IP
next hop
o Cấu hình mạng đấu nối X25 là cấu hình đa điểm, địa chỉ đấu nối
phải nằm trong lớp mạng con đủ cho số lượng các điểm
Hình 3-44: Mô hình kết nối X.25 cơ bản
Cấu hình bộ định tuyến 7000
!
interface Serial1/1
ip address 10.1.1.2 255.255.255.0
encapsulation x25
no ip mroute-cache
!--- Địa chỉ X.121 của gán cho bộ định tuyến 7000
x25 address 4522973407000
!--- Các dòng lệnh dưới là các tham số X.25
x25 ips 256
x25 ops 256
x25 htc 16
x25 win 7
x25 wout 7
!--- Dòng lệnh này dùng để gán địa chỉ IP của bộ định tuyến 2500 với
!địa chỉ X.121 của nó
x25 map ip 10.1.1.1 4522973402500
!
!
Hình 3-45: Cấu hình của bộ định tuyến 7000
Cấu hình bộ định tuyến 2500
123
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1!
hostname 2500
!
interface Serial0
ip address 10.1.1.1 255.255.255.0
no ip mroute-cache
encapsulation x25
bandwidth 56
!--- Địa chỉ X.121 của gán cho bộ định tuyến 7000
x25 address 4522973402500
!--- Các dòng lệnh dưới là các tham số X.25
x25 ips 256
x25 ops 256
x25 htc 16
x25 win 7
x25 wout 7
!--- Dòng lệnh này dùng để gán địa chỉ IP của bộ định tuyến 7000 với
!địa chỉ X.121 của nó
x25 map ip 10.1.1.1 4522973407000
!
Hình 3-46: Cấu hình của bộ định tuyến 2500
- Giám sát:
o Show interfaces serial 0: dùng để kiểm tra trạng thái
o Show x25 vc: hiển thị thông tin kết nối X.25
o Show x25 map: hiển thị các liên kết hiện có của FR
Cấu hình Frame Relay cơ bản
Các lưu ý trong cấu hình Frame Relay:
- Frame Relay là một môi trường đa truy nhập không broadcast (multi
access non broadcast media) do đó phải lưu ý khi sử dụng với định tuyến động
- Khi sử dụng định tuyến động giao thức định tuyến vector như RIP,
IGRP phải để ý đến luật Split Horizon. Luật Split Horizon là luật không cho
124
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1phép các thông tin định tuyến vừa đi vào một giao tiếp đi trở ra chính giao tiếp
đó để tránh việc cập nhật sai các thông tin về định tuyến dẫn đến việc vòng đi
vòng lại của các thông tin định tuyến. Vấn đề này được đặt ra do có nhiều PVC
cùng chạy trên một giao tiếp vật lý.
- Giám sát:
o Show interfaces serial 0: dùng để kiểm tra DLCI, LMI
o Show frame-relay lmi: hiển thị thông tin tổng hợp về LMI
o Show frame-relay map: hiển thị các liên kết hiện có của FR
o Show frame-relay pvc: hiển thị các thông số của PVC
o Show frame-relay traffic: hiển thị traffic
Hình 3-47: Mô hình kết nối Frame Relay cơ bản
- Để bắt đầu cấu hình mạng:
o Router> enable
o Password: ******
o Router# config terminale
o Router(config)#
- Thực hiện đặt tên, các mật khẩu, cấu hình cho phép telnet và các điều
kiện cần thiết trước khi cấu hình các giao diện
- Cấu hình
o Spicey(config)# interface serial 0
- Lựa chọn giao thức sử dụng
o Spicey(config-if)# encapsolation frame-relay
- Xác định giao thức quản trị LMI. Giao thức quản trị LMI nhất thiết phải
có để đảm bảo việc trao đổi thông tin hai chiều giữa thiết bị đầu cuối và thiết bị
mạng Frame Relay. LMI hoạt động như một thông báo keepalive.
o Spicey(config-if)# frame-relay lmi-type cisco
125
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Gán DLCI được cấp cho giao tiếp.
o Spicey(config-if)# frame-relay interface-dlci 140
- Đặt địa chỉ IP cho giao tiếp kết nối leased-line
o Spicey(config-if)# ip address 3.1.3.1 255.255.255.0
- Luôn phải đưa giao tiếp vào sử dụng bằng lệnh no shutdown
o Spicey(config-if)# no shutdown
o Spicey(config-if)# exit
- Sử dụng định tuyến động RIP
o Spicey(config)# router rip
o Spicey(config-router)# network 3.0.0.0
o Spicey(config-router)# network 124.0.0.0
o Spicey(config-router)# end
- Luôn phải ghi lại cấu hình khi đã cấu hình xong
o Spicey# write memory
- Thực hiện các phần việc còn lại tại các bộ định tuyến khác, chú ý về
giao thức được sử dụng kiểm tra, giám sát các kết nối.
Cấu hình bộ định tuyến Spicey
Current configuration : 1705 bytes
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Spicey
!
interface Ethernet0
ip address 124.124.124.1 255.255.255.0
!
interface Serial0
126
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 ip address 3.1.3.1 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 140
!
!
router rip
network 3.0.0.0
network 124.0.0.0
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-48: Cấu hình của bộ định tuyến Spicey
Cấu hình bộ định tuyến Prasit
Current configuration : 1499 bytes
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Prasit
!
!
!
interface Ethernet0
ip address 123.123.123.1 255.255.255.0
127
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1!
!
interface Serial1
ip address 3.1.3.2 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 150
!
!
router rip
network 3.0.0.0
network 123.0.0.0
!
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-49: Cấu hình của bộ định tuyến Prasit
Hình 3-50: Mô hình kết nối Frame Relay Hub-Spoke
- Cấu hình
o Spicey(config)# interface serial 0
128
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Lựa chọn giao thức sử dụng
o Spicey(config-if)# encapsolation frame-relay
- Xác định giao thức quản trị LMI. Lưu ý trong ví dụ này có sử dụng một
chuẩn kết nối LMI khác. Chuẩn kết nối LMI không có giá trị toàn cục mà chỉ
có giá trị tại giao tiếp của thiết bị đầu cuối với mạng Frame Relay. Trong cấu
hình của các bộ định tuyến khác vẫn sử dụng LMI chuẩn cisco.
o Spicey(config-if)# frame-relay lmi-type ansi
- Luôn phải đưa giao tiếp vào sử dụng bằng lệnh no shutdown
o Spicey(config-if)# no shutdown
- Trong ví dụ này, sử dụng giao tiếp con, subinterface, nên không đặt địa chỉ
cho giao tiếp thực, physical interface.
- Cấu hình giao tiếp con. Giao tiếp con phải sử dụng một trong hai lựa chọn
là point-to-point hoặc multipoint, ở đây sử dụng point-to-point cho giao tiếp
con s0.1 và multipoint cho giao tiếp con s0.2.
o Spicey(config-if)# interface serial 0.1 point-to-point
- Hoặc
o Spicey(config-if)# exit
o Spicey(config)# interface serial 0.1 point-to-point
- Gán DLCI được cấp cho giao tiếp. DLCI 140 là DLCI gắn với PVC nối
giữa Spicey và Prasit, còn DLCI 130 gắn với PVC nối tới Aton.
o Spicey(config-if)# frame-relay interface-dlci 140
- Xác lập địa chỉ IP cho giao tiếp con thứ nhất
o Spicey(config-subif)# ip address 4.0.1.1 255.255.255.0
o Spicey(config-subif)# exit
- Cấu hình giao tiếp con thứ hai tới Aton
o Spicey(config)# interface serial 0.2 multipoint
- Gán DLCI được cấp cho giao tiếp là DLCI 130
o Spicey(config-if)# frame-relay interface-dlci 130
- Xác lập địa chỉ IP cho giao tiếp con thứ 2
o Spicey(config-subif)# ip address 3.1.3.1 255.255.255.0
o Spicey(config-subif)# exit
129
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Sử dụng định tuyến động RIP
o Spicey(config)# router rip
o Spicey(config-router)# network 3.0.0.0
o Spicey(config-router)# network 4.0.0.0
o Spicey(config-router)# network 124.0.0.0
o Spicey(config-router)# end
- Luôn phải ghi lại cấu hình khi đã cấu hình xong
o Spicey# write memory
- Thực hiện các phần việc còn lại tại các bộ định tuyến khác, chú ý về giao
thức được sử dụng kiểm tra, giám sát các kết nối.
Cấu hình bộ định tuyến Spicey
Spicey#show running-config
Building configuration...
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Spicey
!
!
interface Ethernet0
ip address 124.124.124.1 255.255.255.0
!
interface Serial0
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
130
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1interface Serial0.1 point-to-point
ip address 4.0.1.1 255.255.255.0
frame-relay interface-dlci 140
!
interface Serial0.2 multipoint
ip address 3.1.3.1 255.255.255.0
frame-relay interface-dlci 130
!
router igrp 2
network 3.0.0.0
network 4.0.0.0
network 124.0.0.0
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-51: Cấu hình của bộ định tuyến Spicey
Cấu hình bộ định tuyến Prasit
Prasit#show running-config
Building configuration...
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
131
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1hostname Prasit
!
interface Ethernet0
ip address 123.123.123.1 255.255.255.0
!
interface Serial1
no ip address
encapsulation frame-relay
!
!--- LMI cisco là mặc định nên không thể hiện trong cấu hình
!--- Prasit và Spicey đã sử dụng 2 kiểu LMI khác nhau
!--- Bộ định tuyến tại Prasit sử dụng giao tiếp con point-to-point
interface Serial1.1 point-to-point
ip address 4.0.1.2 255.255.255.0
frame-relay interface-dlci 150
!
router igrp 2
network 4.0.0.0
network 123.0.0.0
!
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-52: Cấu hình của bộ định tuyến Prasit
Cấu hình bộ định tuyến Aton
Aton#show running-config
132
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
!
hostname Aton
!
!
!
interface Ethernet0
ip address 122.122.122.1 255.255.255.0
!
interface Serial1
ip address 3.1.3.3 255.255.255.0
encapsulation frame-relay
frame-relay lmi-type q933a
!--- Aton có kiểu LMI khác hai bộ định tuyến kia
!--- Aton không sử dụng giao tiếp con. Giao tiếp con cần xác định
!là point-to-point hay multipoint ở bộ định tuyến trung tâm
!còn ở các bộ định tuyến còn lại có thể dùng giao tiếp con
!point-to-point hay giao tiếp thực, physical interface
frame-relay interface-dlci 160
!
router igrp 2
network 3.0.0.0
network 122.0.0.0
!
line con 0
exec-timeout 0 0
transport input none
133
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1line aux 0
line vty 0 4
login
!
end
Hình 3-53: Cấu hình của bộ định tuyến Aton
IV.3. Cấu hình Dial-up
Giới thiệu quay số
Kết nối quay số cho phép sử dụng đường điện thoại để kết nối trao đổi
dữ liệu. Tốc độ của kết nối quay số là không cao và chỉ có thể đáp ứng được
cho các ứng dụng không yêu cầu về băng thông cũng như thời gian trễ.
Kết nối quay số sử dụng modem V34, V90 là phổ biến. Tốc độ truyền
dữ liệu lên mạng và tải dữ liệu về tối đa là 33,6Kbps. Để có thể thực hiện tải về
với tốc độ lớn hơn, tới 56Kbps, bộ định tuyến đóng vai trò điểm truy nhập phải
có kết nối thuê bao dạng số và dùng modem số.
Đối với các doanh nghiệp nhỏ, việc xác thực người dùng có thể thực
hiện bằng cách khai báo dữ liệu trực tiếp trên bộ định tuyến. Cách sử dụng này
không thích hợp cho các doanh nghiệp vừa và lớn hay các doanh nghiệp cần có
sự quản lý chặt chẽ người dùng một cách hệ thống. Lúc này cần thiết có các hệ
thống quản lý người dùng. Các bộ định tuyến của Cisco cho phép sử dụng hai
chuẩn xác thực TACACS+ và RADIUS.
Mô hình sử dụng quay số
134
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hình 3-54: Cấu hình của bộ định tuyến Aton
Cấu hình quay số cơ bản
Danh mục công việc:
- Cấu hình giao tiếp không đồng bộ Async
- Cấu hình giao tiếp điều khiển modem
- Cấu hình xác thực
- Giám sát
o Router#show interface Async 1
o Router#show line 1
o Router#debug ppp authentication
Cấu hình quay số cơ bản
Current configuration : 1251 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname cisco3640
!
boot system flash:c3640-i-mz.122-8.T
enable secret 5 <đã xóa>
!
! –-- Tên truy nhập cho xác thực người dùng cục bộ
username abc password 0 abc
!
ip subnet-zero
!
no ip domain-lookup
ip domain-name cisco.com
135
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1!
! –-- Xác định địa chỉ máy chủ DNS cho các máy trạm quay số
async-bootp dns-server 5.5.5.1 5.5.5.2
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet2/0
ip address 20.20.20.1 255.255.255.0
half-duplex
!
! <<--các giao tiếp không dùng được bỏ đi
!
!--- Giao tiếp Group-Async1 cấu hình cho tất cả các các modem
!--- không cần cấu hình riêng rẽ từng modem
interface Group-Async1
ip unnumbered Loopback0
encapsulation ppp
dialer in-band
!--- Xác lập thời gian không sử dụng là 10 phút
!--- sau thời gian này, bộ định tuyến sẽ tự động cắt kết nối
dialer idle-timeout 600
!--- Định nghĩa các loại hình dữ liệu được dùng
!--- thông qua cấu hình dialer-group và dialer-list
dialer-group 1
!--- Chế độ interative cho phép người dùng sử dụng nhiều giao thức
!--- để không cho phép người dùng thiết lập các kết nối đến bộ định
tuyến sử dụng chế độ dedicated
async mode interactive
!--- Các máy trạm khi quay số vào sẽ được cấp địa chỉ IP
!--- được qui định trong DIALIN
peer default ip address pool DIALIN
ppp authentication chap
136
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1!--- Xác lập các modem từ line 1 đến line 8 thuộc về nhóm này
group-range 1 8
!
ip local pool DIALIN 10.1.1.1 10.1.1.10
ip classless
ip route 0.0.0.0 0.0.0.0 20.20.20.100
ip http server
ip pim bidir-enable
!
!--- Dòng lệnh sau cho phép giao thức IP là giao thức hoạt động
!--- nếu không có các dữ liệu IP đi qua sau khoảng thời gian 10 phút
!--- đường kết nối sẽ bị cắt
dialer-list 1 protocol ip permit
!
line con 0
password abc
line 1 8
!--- Dòng lệnh dưới cho phép modem quay vào và quay ra
modem InOut
transport input all
autoselect ppp
flowcontrol hardware
line aux 0
line vty 0 4
login
!
!
end
Hình 3-55: Cấu hình quay số cơ bản
137
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1IV.4. Định tuyến tĩnh và động
Sơ lược về định tuyến
Chức năng xác định đường dẫn cho phép bộ định tuyến ước lượng các
đường dẫn khả thi để đến đích và thiết lập sự kiểm soát các gói tin. Bộ định
tuyến sử dụng các cấu hình mạng để đánh giá các đường dẫn mạng. Thông tin
này có thể được cấu hình bởi người quản trị mạng hay được thu thập thông qua
quá trình xử lý động được thực thi trên mạng.
Lớp mạng dùng bảng định tuyến IP để gửi các gói tin từ mạng nguồn
đến mạng đích. Bộ định tuyến dựa vào các thông tin được giữ trong bảng định
tuyến để quyết định truyền tải các gói tin theo các giao tiếp thích hợp.
Hình 3-56: Sử dụng bảng định tuyến để truyền tải các gói tin
Một bảng định tuyến IP bao gồm các địa chỉ mạng đích, địa chỉ của
điểm cần đi qua, giá trị định tuyến và giao tiếp để thực hiện việc truyền tải. Khi
không có thông tin về mạng đích, bộ định tuyến sẽ gửi các gói tin theo một
đường dẫn mặc định được cấu hình trên bộ định tuyến, nếu đường dẫn không
tồn tại, bộ định tuyến tự động loại bỏ gói tin.
Có hai phương thức định tuyến là:
- Định tuyến tĩnh (static routing): là cách định tuyến không sử dụng các giao
thức định tuyến. Các định tuyến đến một mạng đích sẽ được thực hiện một
cách cố định không thay đổi trên mỗi bộ định tuyến. Mỗi khi thực hiện việc
thêm hay bớt các mạng, phải thực hiện thay đổi cấu hình trên mỗi bộ định
tuyến.
- Định tuyến động (dynamic routing): là việc sử dụng các giao thức định
tuyến để thực hiện xây dựng nên các bảng định tuyến trên các bộ định tuyến.
Các bộ định tuyến thông qua các giao thức định tuyến sẽ tự động trao đổi các
138
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1thông tin định tuyến, các bảng định tuyến với nhau. Mỗi khi có sự thay đổi về
mạng, chỉ cần khai báo thông tin mạng mới trên bộ định tuyến quản lý trực tiếp
mạng mới đó mà không cần phải khai báo lại trên mỗi bộ định tuyến. Một số
giao thức định tuyến động được sử dụng là RIP, RIPv2, OSPF, EIGRP v.v...
Giá trị định tuyến được xây dựng tùy theo các giao thức định tuyến khác
nhau. Giá trị định tuyến của các kết nối trực tiếp và định tuyến tĩnh có giá trị
nhỏ nhất bằng 0, đối với định tuyến động thì giá trị định tuyến được tính toán
tùy thuộc và từng giao thức cụ thể. Giá trị định tuyến được thể hiện trong bảng
định tuyến là giá trị định tuyến tốt nhất đã được bộ định tuyến tính toán và xây
dựng nên trên cơ sở các giao thức định tuyến được cấu hình và giá trị định
tuyến của từng giao thức.
Các giao thức định tuyến động được chia thành 2 nhóm chính:
- Các giao thức định tuyến khoảng cách véc tơ (distance-vecto, sau đây
được gọi tắt là định tuyến vectơ): dựa vào các giải thuật định tuyến có cơ sở
hoạt động là khoảng cách véc tơ.
Theo định kỳ các bộ định tuyến chuyển toàn bộ các thông tin có trong
bảng định tuyến đến các bộ định tuyến láng giềng đấu nối trực tiếp với nó và
cũng theo định kỳ nhận các bảng định tuyến từ các bộ định tuyến láng giềng.
Sau khi nhận được các bảng định tuyến từ các bộ định tuyến láng giềng, bộ
định tuyến sẽ so sánh với bảng định tuyến hiện có và quyết định về việc xây
dựng lại bảng định tuyến theo thuật toán của từng giao thức hay không. Trong
trường hợp phải xây dựng lại, bộ định tuyến sau đó sẽ gửi bảng định tuyến mới
cho các láng giềng và các láng giềng lại thực hiện các công việc tương tự. Các
bộ định tuyến tự xác định các láng giềng trên cơ sở thuật toán và các thông tin
thu lượm từ mạng.
Từ việc cần thiết phải gửi các bảng định tuyến mới lại cho các láng
giềng và các láng giềng sau khi xây dựng lại bảng định tuyến lại gửi trở lại
bảng định tuyến mới, định tuyến thành vòng có thể xảy ra nếu sự hội về trạng
thái bền vững của mạng diễn ra chậm trên một cấu hình mới. Các bộ định tuyến
sử dụng các kỹ thuật bộ đếm định thời để đảm bảo không nảy sinh việc xây
dựng một bảng định tuyến sai. Có thể diễn giải điều đó như sau:
o Khi một bộ định tuyến nhận một cập nhật từ một láng giềng chỉ rằng
một mạng có thể truy xuất trước đây, nay không thể truy xuất được nữa, bộ
139
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1định tuyến đánh dấu tuyến là không thể truy xuất và khởi động một bộ định
thời.
o Nếu tại bất cứ thời điểm nào mà trước khi bộ định thời hết hạn một cập
nhật được tiếp nhận cũng từ láng giềng đó chỉ ra rằng mạng đã được truy xuất
trở lại, bộ định tuyến đánh dấu là mạng có thể truy xuất và giải phóng bộ định
thời.
o Nếu một cập nhật đến từ một bộ định tuyến láng giềng khác với giá trị
định tuyến tốt hơn giá trị định tuyến được ghi cho mạng này, bộ định tuyến
đánh dấu mạng có thể truy xuất và giải phóng bộ định thời. Nếu giá trị định
tuyến tồi hơn, cập nhật được bỏ qua.
o Khi bộ định thời được đếm về 0, giá trị định tuyến mới được xác lập, bộ
định tuyến có bảng định tuyến mới.
- Các giao thức định tuyến trạng thái đường (link-state, gọi tắt là định
tuyến trạng thái): Giải thuật cơ bản thứ hai được dùng cho định tuyến là giải
thuật 1ink-state. Các giải thuật định tuyến trạng thái, cũng được gọi là SPF
(shortest path first, chọn đường dẫn ngắn nhất), duy trì một cơ sở dừ liệu phức
tạp chứa thông tin về cấu hình mạng.
- Trong khi giải thuật vectơ không có thông tin đặc biệt gì về các mạng ở
xa và cũng không biết các bộ định tuyến ở xa, giải thuật định tuyến trạng thái
biết được đầy đủ về các bộ định tuyến ở xa và biết được chúng liên kết với
nhau như thế nào.
Giao thức định tuyến trạng thái sử dụng:
o Các thông báo về trạng thái liên kết: LSA (Link State Advertisements).
o Một cơ sở dữ liệu về cấu hình mạng.
o Giải thuật SPF, và cây SPF sau cùng.
o Một bảng định tuyến liên hệ các đường dẫn và các cổng đến từng mạng.
Hoạt động tìm hiểu khám phá mạng trong định tuyến trạng thái được thực
hiện như sau:
o Các bộ định tuyến trao đổi các LSA cho nhau. Mỗi bộ định tuyến bắt
đầu với các mạng được kết nối trực tiếp để lấy thông tin.
140
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1o Mỗi bộ định tuyến đồng thời với các bộ định tuyến khác tiến hành xây
dựng một cơ sở dữ liệu về cấu hình mạng bao gồm tất cả các LSA đến từ liên
mạng.
o Giải thuật SPF tính toán mạng có thể đạt đến. Bộ định tuyến xây dựng
cấu hình mạng luận lý này như một cây, tự nó là gốc, gồm tất cả các đường dẫn
có thể đến mỗi mạng trong toàn bộ mạng đang chạy giao thức định tuyến trạng
thái. Sau đó, nó sắp xếp các đường dẫn này theo chiến lược chọn đường dẫn
ngắn nhất.
o Bộ định tuyến liệt kê các đường dẫn tốt nhất của nó, và các cổng dẫn
đến các mạng đích, trong bảng định tuyến của nó. Nó cũng duy trì các cơ sở dữ
liệu khác về các phần tử cấu hình mạng và các chi tiết về hiện trạng của mạng.
Khi có thay đổi về cấu hình mạng, bộ định tuyến đầu tiên nhận biết được sự
thay đổi này gửi thông tin đến các bộ định tuyến khác hay đến một bộ định
tuyến định trước được gán là tham chiếu cho tất cả các các bộ định tuyến trên
mạng làm căn cứ cập nhật.
o Theo dõi các láng giềng của nó, xem xét có hoạt động hay không, và giá
trị định tuyến đến láng giềng đó.
o Tạo một gói LSA trong đó liệt kê tên của tất cả các bộ định tuyến láng
giềng và các giá trị định tuyến đối với các láng giềng mới, các thay đổi trong
giá trị định tuyến, và các liên kết dẫn đến các láng giềng đã được ghi.
o Gửi gói LSA này đi sao cho tất cả các bộ định tuyến đều nhận được.
o Khi nhận một gói LSA, ghi gói LSA vào cơ sở dữ liệu để sao cho cập
nhật gói LSA mới nhất được phát ra từ mỗi bộ định tuyến.
o Hoàn thành bản đồ của liên mạng bằng cách dùng dữ liệu từ các gói
LSA tích lũy được và sau đó tính toán các tuyến dần đến tất cả các mạng khác
sử dụng thuật toán SPF.
Có hai vấn đề lưu ý đối với giao thức định tuyến trạng thái:
o Hoạt động của các giao thức định tuyến trạng thái trong hầu hết các
trường hợp đều yêu cầu các bộ định tuyến dùng nhiều bộ nhớ và thực thi nhiều
hơn so với các giao thức định tuyến theo vectơ. Các yêu cầu này xuất phát từ
việc cần thiết phải lưu trữ thông tin của tất cả các láng giềng, cơ sở dữ liệu
mạng đến từ các nơi khác và việc thực thi các thuật toán định tuyến trạng thái.
141
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Người quản lý mạng phải đảm bảo rằng các bộ định tuyến mà họ chọn có khả
năng cung cấp các tài nguyên cần thiết này.
o Các nhu cầu về băng thông cần phải tiêu tốn để khởi động sự phát tán
gói trạng thái. Trong khi khởi động quá trình khám phá, tất cả các bộ định
tuyến dùng các giao thức định tuyến trạng thái để gửi các gói LSA đến tất cả
các bộ định tuyến khác. Hành động này làm tràn ngập mạng khi mà các bộ định
tuyến đồng loạt yêu cầu băng thông và tạm thời làm giảm lượng băng thông
khả dụng dùng cho lưu lượng dữ liệu thực được định tuyến. Sau khởi động phát
tán này, các giao thức định tuyến trạng thái thường chỉ yêu cầu một lượng băng
thông tối thiểu để gửi các gói LSA kích hoạt sự kiện không thường xuyên nhằm
phản ánh sự thay đổi của cấu hình mạng.
- Và một nhóm giao thức thứ 3 là nhóm các giao thức định tuyến lai
ghép giữa 2 nhóm trên hay nói cách khác có các tính chất của cả hai nhóm giao
thức trên.
Các giao thức định tuyến
Bảng 3-10:Các giao thức định tuyến
Các đặc trưng RIPv1 RIPv2 IRGP EIGRP OSPF
Khoảng cách vectơ x x x x
Trạng thái đường x
Tự động tóm tắt định
tuyến
x x x x
Hỗ trợ VLSM1
x x x
Tương thích với sản
phẩm thứ ba
x x x
Thích hợp Nhỏ Nhỏ Vừa Lớn Lớn
1
VLSM (Vary Length Subnet Mask): hỗ trợ định tuyến cho các mạng con subnetmask có độ dài
thay đổi hay nói cách khác thông tin về subnetmask bao gồm trong bảng định tuyến
142
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Thời gian hội tụ về
trạng thái cân bằng
Chậm Chậm Chậm Nhanh Nhanh
Giá trị định tuyến hop
count
2
hop
count
~
BW3
+D4
~
BW+D
~
10E8/BW
Giới hạn hop count 15 15 100 100
Cân bằng tải cùng giá
trị định tuyến
x x x x x
Cân bằng tải không
cùng giá trị định tuyến
x x
Thuật toán Bellman-
Ford
Bellman-
Ford
Bellman-
Ford
DUAL Dijkstra
Cấu hình định tuyến động cơ bản với RIP
Một số lưu ý khi cấu hình định tuyến động với RIP
- RIP gửi các thông tin cập nhật theo các chu kỳ định trước, giá trị mặc
định là 30 giây, và khi có sự thay đổi bảng định tuyến.
- RIP sử dụng số đếm các node (hop count) để làm giá trị đánh giá chất
lượng của định tuyến (metric). RIP chỉ giữ duy nhất định tuyến có giá trị định
tuyến thấp nhất.
- Giá trị hop count tối đa cho phép là 15.
- RIP sử dụng các bộ đếm thời gian cho việc thực hiện gửi các thông tin
cập nhật, xoá bỏ một định tuyến trong bảng cũng như để điều khiển các quá
trình tạo lập bảng định tuyến, tránh loop vòng.
- RIPv1: Classfull: không có thông tin về subnetmask
- RIPv2: Classless: có thông tin về subnetmask
2
Hop count: được tính bằng số các điểm node mạng mà gói tin phải đi qua từ điểm này đến điểm
kia hay chính bằng số các bộ định tuyến mà gói tin phải đi qua
3
BW (bandwitch): băng thông
4
D (delay): trễ
143
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Cấu hình định tuyến với RIP:
- Cho phép giao thức định tuyến RIP hoạt động trên bộ định tuyến.
o Router(config)#router rip
- Thiết lập các cấu hình mạng. Network là nhóm mạng tính theo lớp mạng cơ
bản đang có các giao tiếp trực tiếp trên bộ định tuyến.
o Router(config-router)#network 192.168.100.0
o Router(config-router)#network 172.25.0.0
o Router(config-router)#network 10.0.0.0
- Trong trường hợp sử dụng RIP với các mạng không phải là mạng broadcast
như X.25, Frame Relay cần thiết cấu hình RIP với các địa chỉ Unicast là các địa
chỉ mà RIP sẽ gửi tới các thông tin cập nhật
o Router(config-router)#neighbor 192.168.113.1
o Router(config-router)#neighbor 192.168.113.5
- Tuỳ theo điều kiện cụ thể về hạ tầng mạng có thể thay đổi chu kỳ cập nhật
thông tin, các định nghĩa thời gian khác cho phù hợp.
o Router(config-router)# timers basic update invalid holddown flush
[sleeptime]
- Các thay đổi khác.
o Router(config-router)# version {1 | 2}
o Router(config-router)# ip rip authentication key-chain name-of-
chain
o Router(config-router)# ip rip authentication mode {text | md5}
- Giám sát.
o show ip interfaces
o show ip rip
Cấu hình bộ định tuyến với RIP
Current configuration : 1499 bytes
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
144
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1no service password-encryption
!
hostname Prasit
!
!
interface Ethernet0
ip address 123.123.123.1 255.255.255.0
!
!
interface Serial1
ip address 3.1.3.2 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 150
!
!
router rip
network 3.0.0.0
network 123.0.0.0
!
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
login
!
end
Hình 3-57: Cấu hình của bộ định tuyến với RIP
145
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1V. Bài tập thực hành sử dụng bộ định tuyến Cisco
Bài 1: Thực hành nhận diện thiết bị, đấu nối thiết bị
Yêu cầu:
- Nhận diện đúng các chủng loại thiết bị
- Nhận diện các giao tiếp của bộ định tuyến, ý nghĩa và mục đích sử dụng
- Biết cách sử dụng các loại cáp với từng loại thiết bị, giao tiếp khác nhau
- Biết đấu nối bộ định tuyến với nhau và với các thiết bị modem khác
- Sử dụng phần mềm HyperTerminal kết nối với bộ định tuyến
Bài 2: Thực hành các lệnh cơ bản
- Các lệnh show
- Lệnh config
Yêu cầu:
- Nắm vững ý và sử dụng thành thạo các lệnh kiểm tra và các lệnh cấu hình
cơ bản
Bài 3: Cấu hình bộ định tuyến với mô hình đấu nối leased-line
- Cấu hình Interface
- Cấu hình giao thức
- Cấu hình định tuyến
Yêu cầu:
- Sử dụng thiết bị phòng lab để cấu hình một kết nối leased-line cho phép kết
nối 2 mạng với nhau.
- Vận dụng các kiến thức đã học kiểm soát và xử lý sự cố.
146
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Bài 4: Cấu hình bộ định tuyến với Dial-up
- Cấu hình line vật lý
- Cấu hình async interface
- Cấu hình định tuyến
- Cấu hình xác thực
Yêu cầu:
- Sử dụng thiết bị phòng lab để cấu hình một điểm truy nhập gián tiếp quay
số qua thoại.
- Vận dụng các kiến thức đã học kiểm soát và xử lý sự cố.
Thiết bị phòng lab
- 02 bộ định tuyến 2509 (leased-line và async) hoặc tương đương
- 02 modem leased-line CSU/DSU dùng cho kết nối leased-line
- 02 cáp V.35 DTE
- 04 modem dial-up 56kbps
- 02 cáp Async dùng cho kết nối modem 56kbps
- Phần mềm giả lập bộ định tuyến (router simulator)
- 02 máy tính dùng để cấu hình trực tiếp các bộ định tuyến
- các máy tính để thực hành trên phần mềm giả lập bộ định tuyến
- 04 đường điện thoại
Chương 4 : Hệ thống tên miền DNS
Chương 4 sẽ tập trung nghiên cứu về hệ thống tên miền là một hệ thống
định danh phổ biến trên mạng TCP/IP nói chung và đặc biệt là mạng Internet.
147
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hệ thống tên miền tối quan trọng cho sự phát triển của các ứng dụng phổ biến
như thư tín điện tử, web...Cấu trúc hệ thống tên miền, cấu trúc và ý nghĩa của
các trường tên miền cũng như các kỹ năng cơ bản được cung cấp sẽ giúp cho
người quản trị có thể hoạch định được các nhu cầu liên quan đến tên miền cho
mạng lưới, tiến hành thủ tục đăng ký chính xác (nếu đăng ký tên miền Internet)
và đảm nhận được các công tác tạo mới, sửa đổi ... hay nói chung là các công
việc quản trị hệ thống máy chủ tên miền DNS
Chương 4 đòi hỏi các học viên phải quen thuộc với địa chỉ IP, việc soạn
thảo quản trị các tiến trình trên các hệ thống linux, unix, windows.
I. Giới thiệu
I.1. Lịch sử hình thành của DNS
Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mỹ rất nhỏ và dễ
dàng quản lý các liên kết vài trăm máy tính với nhau. Do đó mạng chỉ cần một
file HOSTS.TXT chứa tất cả thông tin cần thiết về máy tính trong mạng và
giúp các máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất cả
máy tính trong mạng ARPanet một cách dễ dàng. Và đó chính là bước khởi đầu
của hệ thống tên miền gọi tắt là DNS ( Domain name system)
Như khi mạng máy tính ARPanet ngày càng phát triển thì việc quản lý
thông tin chỉ dựa vào một file HOSTS.TXT là rất khó khăn và không khả thi.
Vì thông tin bổ xung và sửa đổi vào file HOSTS.TXT ngày càng nhiều và nhất
là khi ARPanet phát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến
sự phát triển tăng vọt của mạng máy tính:
− Lưu lượng và trao đổi trên mạng tăng lên
− Tên miền trên mạng và địa chỉ ngày càng nhiều
− Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càng khó
khăn
Đến năm 1984 Paul Mockpetris thuộc viện USC's Information Sciences
Institute phảt triển một hệ thống quản lý tên miền mới (miêu tả trong chuẩn
RFC 882 - 883) gọi là DNS (Domain Name System) và ngày này nó ngày càng
148
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1được phát triển và hiệu chỉnh bổ xung tính năng để đảm bảo yêu cầu ngày càng
cao của hệ thống (hiện nay dns được tiêu chuẩn theo chuẩn RFC 1034 - 1035)
1.2.Mục đích của hệ thống DNS
Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IP
xác định. Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính có thể
xác định đường đi đến một máy tính khác một cách dễ dàng. Như đối với người
dùng thì địa chỉ IP là rất khó nhớ. Do vậy cần phải sử dụng một hệ thống để
giúp cho máy tính tính toán đường đi một cách dễ dàng và đồng thời cũng giúp
người dùng dễ nhớ. Do vậy hệ thống DNS ra đời nhằm giúp cho người dùng có
thể chuyển đổi từ địa chỉ IP khó nhớ mà máy tính sử dụng sang một tên dễ nhớ
cho người sử dụng và đồng thời nó giúp cho hệ thống Internet dễ dàng sử dụng
để liên lạc và ngày càng phát triển.
Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp
hình cây do đó việc quản lý sẽ dễ dàng và cũng rất thuận tiện cho việc chuyển
đổi từ tên miền sang địa chỉ IP và ngược lại. Cũng giống như mô hình quản lý
cá nhân của một đất nước mỗi cá nhân sẽ có một tên xác định đồng thời cũng
có địa chỉ chứng minh thư để giúp quản lý con người một cách dễ dàng hơn
(nhưng khác là tên miền không được trùng nhau còn tên người thì vấn có thể
trùng nhau)
Mỗi cá nhấn đều có một số căn cước để quản lý
Mỗi một địa chỉ IP tương ứng với một tên miền
149
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Vậy tóm lại tên miền là (domain name) gì ? những tên gợi nhớ như
home.vnn.vn hoặc www.cnn.com thì được gọi là tên miền (domain name hoặc
dns name). Nó giúp cho người sử dụng dễ dàng nhớ vì nó ở dạng chữ mà người
bình thường có thể hiểu và sử dụng hàng ngày.
Hệ thống DNS đã giúp cho mạng Internt thân thiện hơn với người sử
dụng do đó mạng internet phát triển bùng nổ một vài năm lại đây. Theo thống
trên thế giới vào thời điểm tháng 7/2000 số lượng tên miền được đăng ký là
93.000.000
Tóm lại mục đích của hệ thống DNS là:
− Địa chỉ IP khó nhớ cho người sử dụng nhưng dễ dàng với máy tính
− Tên thì dễ nhớ với người sử dụng như không dùng được với máy tính
− Hệ thống DNS giúp chuyển đổi từ tên miền sang địa chỉ IP và ngược lại
giúp người dùng dễ dàng sử dụng hệ thống máy tính
II. DNS server và cấu trúc cơ sở dữ liệu tên
miền
II.1.Cấu trúc cơ sở dữ liệu
Cơ sở dữ liệu của hệ thống DNS là hệ thống cơ sở dữ liệu phân tán và
phân cấp hình cây. Với .Root server là đỉnh của cây và sau đó các domain được
phân nhánh dần xuống dưới và phần quyền quản lý. Khi một client truy vấn
một tên miền nó sẽ lần lượt đi từ root phân cấp lần lượt xuống dưới để đến dns
quản lý domain cần truy vấn.
150
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Cấu trúc của dữ liệu được phân cấp hình cây root quản lý toàn bộ sơ đồ
và phân quyền quản lý xuống dưới và tiếp đó các tên miền lại được tiếp tục
chuyên xuống cấp thấp hơn (delegate) xuống dưới.
Zone
Hệ thống dns cho phép phân chia tên miền để quản lý và nó chia hệ
thống tên miền ra thành zone và trong zone quản lý tên miền tên miền được
phân chia đó và nó chứa thông tin về domain cấp thấp hơn và có khả năng chia
thành các zone cấp thấp hơn và phân quyền cho các dns server khác quản lý.
Ví dụ: zone “.com” thì dns server quản lý zone “.com” chưa thông tin về các
bản ghi có đuôi là “.com” và có khả năng chuyển quyền quản lý (delegate) các
zone cấp thấp hơn cho các dns khác quản lý như “.microsoft.com” là vùng
(zone) do microsoft quản lý.
Root Server
9 Là server quản lý toàn bộ cấu trúc của hệ thống dns
9 Root server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà
nó chỉ chuyển quyền (delegate) quản lý xuống cho các server cấp thấp hơn và
do đó root server có khả năng xác định đường đến của một domain tại bất cứu
đâu trên mạng
151
9 Hiện nay trên thế giới có khoảng 13 root server quản lý toàn bộ hệ thống
Internet (vị trí của root server như trên hình vẽ dưới)
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hệ thống cơ sở dữ liệu của dns là hệ thống dữ liệu phân tán hình cây như cấu
trúc đó là cấu trúc logic trên mạng Internet
Về mặt vật lý hệ thống DNS nằm trên mạng Internet không có có cấu
trúc hình cây nhưng nó được cấu hình phân cấp logic phân cấp hình cây phân
quyền quản lý.
Một DNS server có thể nằm bất cứ vị trí nào trên mạng Internet nhưng được
cấu hình logic để phân cấp chuyển tên miền cấp thấp hơn xuống cho các dns
server khác nằm bất cứ vị trí nào trên mạng Internet (về nguyên tắc ta có thể
đặt DNS tại bất cứ vị trí nào trên mạng Internet. Nhưng tốt nhất là đặt DNS tại
vị trí nào gần với các client để dễ dàng truy vấn đến đồng thời cũng gần với vị
trí của dns server cấp cao hơn trực tiếp của nó).
Mỗi một tên miền đều được quản lý bởi ít nhất một DNS server và trên
đó ta khai các bản ghi của tên miền trên DNS server. Các bản ghi đó sẽ xác
định địa chỉ IP của tên miền hoặc các dịch vụ xác định trên Internet như web,
thư điệnt tử ...
Sau đây là các bản ghi trên dns
Tên trường Tên đầy đủ Mục đích
SOA Start of Authority Xác định máy chủ DNS có thẩm
152
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1quyền cung cấp thông tin về tên
miền xác định trên DNS
NS Name Server Chuyển quyền quản lý tên miền
xuống một DNS cấp thấp hơn
A Host Ánh xạ xác định địa chỉ IP của một
host
MX Mail Exchanger Xác định host có quyền quản lý thư
điện tử cho một tên miền xác định
PTR Pointer Xác định chuyển từ địa chỉ IP sang
tên miền
CNAME Canonical NAME Thường xử dụng xác định dịch vụ
web hosting
Cấu trúc của một tên miền
− Domain sẽ có dạng : lable.lable.label...lable
− Độ dài tối đa của một tên miền là 255 ký tự
− Mỗi một Lable tối đa là 63 ký tự
− Lable phải bắt đầu bằng chữ hoặc số và chỉ được phép chứa chữ, số, dấu
trừ(-), dấu chấm (.) mà không được chứa các ký tự khác.
Phân loại tên miền
Hầu hết tên miền được chia thành các loại sau:
− Arpa : tên miền ngược (chuyển đổi từ địa chỉ IP sang tên miền reverse
domain)
− Com : các tổ chức thương mại
− Edu : các cơ quan giáo dục
− Gov : các cơ quan chính phủ
− Mil : các tổ chức quân sự, quốc phòng
153
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1− Net : các trung tâm mạng lớn
− Org : các tổ chức khác
− Int : các tổ chức đa chính phủ (ít được sử dụng)
Ngoài ra hiện nay trên thế giới sử dụng loại tên miền có hai ký tự cuối để
xác định tên miền thuộc quốc gia nào (được xác định trong chuẩn ISO3166)
Loại tên Miêu tả Ví dụ
Gốc
(domain root)
Nó là đỉnh của nhánh cây
của tên miền. Nó xác định
kết thúc của domain (fully
qualified domain names
FQDNs).
Đơn giản nó chỉ là dấu chấm (.) sử
dụng tại cuối của tên ví như
"example.microsoft.com."
Tên miền cấp
một
(Top-level
domain)
Là hai hoặc ba ký tự xác
định nước/khu vực hoặc các
tổ chức.
".com", xác định tên sử dụng trong
xác định là tổ chức thương mại .
Tên miền cấp
hai
(Second-level
domain)
Nó rất đa dạng trên internet,
nó có thể là tên của một
công ty, một tổ chức hay
một cá nhân .v.v. đăng ký
trên internet.
"microsoft.com.", là tên miền cấp
hai đăng ký là công ty Microsoft.
Tên miền cấp
nhỏ hơn
Chia nhỏ thêm ra của tên
miên cấp hai xuống thường
được sử dụng như chi
"example.microsoft.com." là phần
quản lý tài liệu ví dụ của microsof
154
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1(Subdomain) nhánh, phong ban của một
cơ quan hay một chủ đề nào
đó.
Một số chú ý khi đặt tên miền:
− Tên miền nên đặt giới hạn từ từ cấp 3 đến cấp 4 hoặc cấp 5 vì nếu nhiều
hơn nữa việc quản trị là khó khăn.
− Sử dụng tên miền là phải duy nhất trong mạng internet
− Nên đặt tên đơn giản gợi nhớ và tránh đặt tên quá dài
II.2. Phân loại DNS server và đồng bộ dư liệu giữa các
DNS server
Có ba loại DNS server sau:
Primary server
Nguồn xác thực thông tin chính thức cho các domain mà nó được phép
quản lý quản lý
Thông tin về tên miền do nó được phân cấp quản lý thì được lưu trữ tại đây
và sau đó có thể được chuyển sang cho các secondary server.
Các tên miền do primary server quản lý thì được tạo và sửa đổi tại primary
server và sau đó được cập nhập đến các secondary server.
Secondary server
DNS được khuyến nghị nên sử dụng ít nhất là hai DNS server để lưu cho
mỗi một zone. Primary DNS server quản lý các zone và secondary server được
sử dụng để lưu trữ dự phòng cho zone cho primary server. Secondary DNS
server được khuyến nghị dùng nhưng không nhất thiết phải có. Secondary
server được phép quản lý domain nhưng dữ liệu về domain không phải tạo tại
secondary server mà nó được lấy về từ primary server.
Secondary server có thể cung cấp hoạt động ở chế độ không có tải trên
mạng. Khi lượng truy vấn zone tăng cao tại primary server nó sẽ chuyển bớt tải
155
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1sang secondary server hoặc khi primary server bị sự cố thì secondary sẽ hoạt
động thay thế cho đến khi primary server hoạt động trở lại
Secondary server nên được sử dụng tại nới gần với client để có thể phục vụ
cho việc truy vấn tên miền một cách dễ dàng. Nhưng không nên cài đặt
secondary server trên cùng một subnet hoặc cùng một kết nối với primary
server. Vì điều đó sẽ là một giải pháp tốt để sử dụng secondary server để dự
phòng cho primary server vì có thể kết nối đến primary server bị hỏng thì cũng
không ảnh hưởng gì đến secondary server.
Primary server luôn luôn duy trì một lượng lớn dữ liệu và thường xuyên
thay đổi hoặc thêm vào các zone. Do đó DNS server sử dụng một cơ chế cho
phép chuyển các thông tin từ primary server sang secondary server và lưu giữ
nó trên đĩa. Các thông tin nhận dữ liệu về các zone có thể sử dụng giải pháp lấy
toàn bộ (full) hoặc lấy phần thay đổi (incremental)
Nhiều secondary DNS server sẽ tăng độ ổn định hoạt động của mạng và
việc lưu trữ thông tin của tên miền một cách đảm bảo như một điều cần quan
tâm là dữ liệu của zone được chuyển trên mạng từ primary server đến các
secondary server sẽ làm tăng lưu lượng đường truyền và yêu cầu thời gian để
đồng bộ dữ liệu trên các secondary server.
Caching-only server
Mặc dù tất cả các DNS server đều có khả năng lưu trữ dữ liệu trên bộ nhớ
cache của máy để trả lời truy vấn một cách nhanh chóng. Caching-only server
là loại DNS server chỉ sử dụng cho việc truy vấn, lưu giữ câu trả lời dữa trên
thông tin trên cache của máy và cho kết quả truy vấn. Chúng không hề quản lý
một domain nào và thông tin mà nó chỉ giới hạn những gì được lưu trên cache
của server.
Khi nào thì sử dụng caching-only server ?. Khi mà server bắt đầu chạy thì
nó không có thông tin lưu trong cache. Thông tin sẽ được cập nhập theo thời
gian khi các client server truy vấn dịch vụ DNS. Nếu bạn sử dụng kết nối mạng
WAN tốc độ thấp thì việc sử dụng caching-only DNS server là một giải pháp
tốt nó cho phép giảm lưu lượng thông tin truy vấn trên đường truyền.
Chú ý
• Caching-only DNS server không chưa zone nào và cũng không quyền
quản lý bất kỳ domain nào. Nó sử dụng bộ nhớ cache của mình để lưu các truy
156
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1vấn dns của client. Thông tin sẽ được lưu trong cache để trả lời cho các truy
vấn đến của client
• Caching-only DNS có khả năng trả lời các truy vấn như không quản lý
hoặc tạo bất cứ zone hoặc domain nào
• DNS server nói trung được khuyến nghị là được cấu hình sử dụng
TCP/IP và dùng địa chỉ IP tĩnh.
Đồng bộ dữ liệu giữa các DNS server (zone transfer)
Truyền toàn bộ zone
Bởi vì tầm quan trọng của hệ thống DNS và việc quản lý các domain thuộc
zone phải được đảm bảo. Do đó thường một zone thì thường được đặt trên hơn
một DNS server để tránh lỗi khi truy vấn tên miền thuộc zone đó. Nói cách
khác nếu chỉ có một server quản lý zone và khi server không trả lời truy vấn thì
các tên miền trong zone đó sẽ không được trả lời và không còn tồn tại trên
Internet. Do đó ta cần có nhiều DNS server cùng quản lý một zone và có cơ chế
để chuyển dữ liệu của các zone và đồng bộ nó từ một DNS server này đến các
DNS server khác
Khi một DNS server mới được thêm vào mạng thì nó được cấu hình như
một secondary server mới cho một zone đã tồn tại. Nó sẽ tiến hành nhận toàn
bộ (full) zone từ DNS server khác. Như DNS server thế hệ đầu tiên thường
dùng giải pháp lấy toàn bộ cơ sở dữ liệu về zone khi có các thay đổi trong zone.
Truyền phần that đổi (Incremental zone)
Truyền chỉ những thay đổi (incremental zone transfer) của zone được miêu
tả chi tiết trong tiêu chuẩn RFC 1995. Nó là phần bổ xung cho chuẩn sao chép
dns zone. Incremental transfer thì đươc hỗ trợ bởi cả DNS server là nguồn lấy
thông tin và DNS server nhận thông tin về zone, nó cung cấp giải pháp hiệu
quả cho việc đồng bộ nhưng thay đổi hoặc thêm bớt zone.
Giải pháp ban đầu cho DNS yêu cầu cho việc thay đổi dữ liệu về zone là
truyền toàn bộ dữ liệu của zone sử dụng truy vấn AXFR. Với việc chỉ truyển
các thay đổi (incremental transfer) sẽ sử dụng truy vấn (IXFR) được sử dụng
thay thế cho AXFR. Nó cho phép secondary server chỉ lấy về như zone thay
đổi để đồng bộ dữ liệu.
157
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Với trao đổi IXFR zone, thì sự khác nhau giữa versions của nguồn dữ liệu
và bản sao của nó. Nếu cả hai bản đều có cùng version ( xác định bởi số serial
trong khai báo tại phần đầu của zone SOA "start of authority") thì việc truyền
dữ liệu của zone sẽ không được thực hiện.
Nếu số serial cho dữ liệu nguồn lớn hơn số serial của secondary server thì
nó sẽ thực hiện chuyển những thay đổi với các bản ghi nguồn (Resource record
- RR) của zone. Để truy vấn IXFR thực hiện thành công và các thay đổi được
gửi thì tại DNS server nguồn của zone phải lưu gữi các phần thay đổi để sử
dụng truyền đến nơi yêu cầu của truy vấn IXFR. Incremental sẽ cho phép lưu
lượng truyền dữ liệu là ít và thực hiện nhanh hơn.
@ IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
1999082802 ; serial number
1800 ; refresh every 30 mins
3600 ; retry every hour
86400 ; expire after 24 hours
6400 ; minimum TTL 2 hours
)
IN NS vdc-hn01.vnn.vn.
IN NS hcm-server1.vnn.vn.
Zone transfer sẽ xẩy ra khi có nhưng hành động sau xẩy ra:
• Khi quá trình làm mới của zone kết thúc (refresh expire)
• Khi secondary server được thông báo zone đã thay đổi tại server nguồn
quản lý zone
• Khi dịch vụ DNS bắt đầu chạy tại secondary server
• Tại secondary server yêu cầu chuyển zone
Sau đây là các bước yêu cầu từ secondary server đến DNS server chứa zone
để yêu cầu lấy dữ liệu về zone mà nó quản lý.
1. Trong khi cấu hình mới DNS server. Thì nó sẽ gửi truy vấn yêu cầu gửi
toàn bộ zone ("all zone" transfer (AXFR) request) đến DNS server quản lý
chính dữ liệu của zone
2. DNS server chính quản lý dữ liệu của zone sẽ trả lời và truyển toàn bộ
dữ liệu về zone đến secondary (destination) server mới cấu hình.
158
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1zone thì được chuyển đến DNS server yêu cầu căn cứ vào version được xác
định bằng số Serial tại phần khai báo (start of authority SOA). Tại phần SOA
cũng có chứa các thông số xác định thời gian làm mới lại zone ...
3. Khi thời gian làm mới (refresh interval) của zone hết, thì DNS server
nhận dữ liệu sẽ truy vấn yêu cầu làm mới zone tới DNS server chính chưa dữ
liệu zone.
4. DNS server chính quản lý dữ liệu sẽ trả lời truy vấn và gửi lại dữ liệu.
Trả lời sẽ bao gồm cả số serial của zone hiện tại tại dns server chính.
5. DNS server nhận dữ liệu về zone sẽ kiểm tra số serial trong trả lời và
quyết định sẽ làm thế nào với zone
Nếu giá trị của số serial bằng với số hiện tại tại DNS server nhận trả lời thì
nó sẽ kết luận rằng sẽ không cần chuyển dữ liệu về zone đến. Và nó sẽ thiết lập
lại với các thông số cũ và thời gian để làm mới lại bắt đầu.
Nếu giá trị của số serial tại dns server chính lớn hơn giá trị hiện tại tại dữ
liệu dns nới nhận thì nó kết luận rằng zone cần phải được cập nhập và việc
chuyển zone là cần thiết.
6. Nếu DNS server nơi nhận kết luận rằng zone cần phải thay đổi và nó sẽ
gửi truy vấn IXFR tới DNS server chính để yêu cầu gửi zone
7. DNS server chính sẽ trả lời với việc gửi những thay đổi của zone hoặc
toàn bộ zone
Nếu DNS server chính có hỗ trợ việc gửi những thay đổi của zone thì nó sẽ
gửi những phần thay đổi (incremental zone transfer (IXFR) of the zone.). Nếu
nó không hỗ trợ thì nó sẽ gửi toàn bộ zone (full AXFR transfer of the zone)
III. Hoạt động của hệ thống DNS
Hệ thống DNS hoạt động động tại lớp 4 của mô hình OSI nó sử dụng
truy vấn bằng giao thức UDP và mặc định là sử dụng cổng 53 để trao đổi thông
tin về tên miền.
159
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Họat động của hệ thống DNS là chuyển đổi tên miền sang địa chủ IP và
ngược lại. Hệ thống cơ sở dữ liệu của DNS là hệ thống cơ sở dữ liệu phân tán,
các dns server được phân quyền quản lý các tên miền xác định và chúng liên
kết với nhau để cho phép người dùng có thể truy vấn một tên miền bất kỳ (có
tồn tại) tại bất cứ điểm nào trên mạng một các nhanh nhất
–G ¹ T1 ¹ T2
Như đã trình bầy các dns server phải biết ít nhất một cách để đến được
root server và ngược lại. Như trên hình vẽ muốn xác định được tên miền
mit.edu thì root server phải biết dns server nào được phân quyền quản lý tên
miền mit.edu để chuyển truy vấn đến.
Nói tóm lại tất cả các dns server đều được kết nối một cách logic với nhau:
Tất cả các dns server đều được cấu hình để biết ít nhất một cách đến root
server
Một máy tính kết nối vào mạng phải biết làm thế nào để liên lạc với ít
nhất là một DNS server
Họat động của DNS
Khi DNS client cần xác định cho một tên miền nó sẽ truy vấn DNS.
Truy vấn dns và trả lời của hệ thống dns cho client sử dụng thủ tục UDP cổng
53, UPD hoạt động ở mức thứ 3 (network) của mô hình OSI, UDP là thủ tục
phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thường bạn cho
thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.
160
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Mỗi một message truy vấn được gửi đi từ client bao gồm ba phần thông tin :
Tên của miền cần truy vấn (tên đầy đủ FQDN)
Xác định loại bản ghi là mail, web ...
Lớp tên miền (phần này thường được xác định là IN internet, ở đây
không đi sâu vào phần này)
Ví dụ : tên miền truy vấn đầy đủ như
"hostname.example.microsoft.com.", và loại truy vấn là địa chỉ A. Client truy
vấn DNS hỏi "Có bản ghi địa chỉ A cho máy tính có tên là
"hostname.example.microsoft.com" khi client nhận được câu trả lời của DNS
server nó sẽ xác định địa chỉ IP của bản ghi A.
Có một số giải pháp để trả lời các truy vấn DNS. Client có thể tự trả lời
bằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từ
những truy vấn trước đó. DNS server có thể sử dụng các thông tin được lưu trữ
trong cache của nó để trả lời hoặc dns server có thể hỏi một dns server khác lấy
thông tin đó để trả lời lại client.
Nói chung các bước của một truy vấn gồm có hai phần như sau:
• Truy vấn sẽ bắt đầu ngay tại client computer để xác định câu trả lời
• Khi ngay tại client không có câu trả lời, câu hỏi sẽ được chuyển đến
DNS server để tìm câu trả lời.
Tự tìm câu trả lời truy vấn
Bước đầu tiên của quá trình sử lý một truy vấn. Tên miền sử dụng một
chương trình trên ngay máy tính truy vấn để tìm câu trả lời cho truy vấn. Nếu
truy vấn có câu trả lời thì quá trình truy vấn kết thúc
Ngay tại máy tính truy vấn thông tin được lấy từ hai nguồn sau:
• Trong file HOSTS được cấu hình ngay tại máy tính. Các thông tin ánh
xạ từ tên miền sang địa chỉ được thiết lập ở file này được sử dụng đầu tiên. Nó
được tải ngay lên bộ nhớ cache của máy khi bắt đầu chạy dns client.
• Thông tin được lấy từ các câu trả lời của truy vấn trước đó. Theo thời
gian các câu trả lời truy vấn được lưu giữ trong bộ nhớ cache của máy tính và
nó được sử dụng khi có một truy vấn lặp lại một tên miền trước đó.
161
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Truy vấn DNS server
Khi DNS server nhận được một truy vấn. Đầu tiên nó sẽ kiểm tra câu trả
lời liệu có phải là thông tin của bản ghi mà nó quản lý trong các zone của
server. Nếu truy vấn phù hợp với bản ghi mà nó quản lý thì nó sẽ sử dụng
thông tin đó để trả lời trả lời (authoritatively answer) và kết thúc truy vấn.
Nếu không có thông tin về zone của nó phù hợp với truy vấn. Nó sẽ
kiểm tra các thông tin được lưu trong cache liệu có các truy vấn tương tư nào
trước đó phù hợp không nếu có thông tin phù hợp nó sẽ sử dụng thông tin đó để
trả lời và kết thúc truy vấn.
Nếu truy vấn không tìm thấy thông tin phù hợp để trả lời từ cả cache và
zone mà dns server quản lý thì truy vấn sẽ tiếp tục. Nó sẽ nhờ DNS server khác
để trả lời truy vấn đển khi tìm được câu trả lời.
162
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Các cách để dns server liên lạc với nhau xác định câu trả lời
Trường hợp Root server kết nối trực tiếp với server tên miền cần truy vấn
1
5
4
3
2
6
Ab c .c om
PC A Ww w .a b c .c om
V d c .com .vn
R oot se rve r
Trong trường hợp root server biết được dns server quản lý tên miền cần
truy vấn. Thì các bước của truy vấn sẽ như sau:
Bước 1 : PC A truy vấn DNS server tên miền vdc.com.vn. (là local name
server) tên miền www.abc.com.
Bước 2 : DNS server tên miền vdc.com.vn không quản lý tên miền
www.abc.com do vậy nó sẽ chuyển truy vấn lên root server.
Bước 3 : Root server sẽ xác định được rằng dns server quản lý tên miền
www.abc.com là server dns.abc.com và nó sẽ chuyển truy vấn đến dns server
dns.abc.com để trả lời
Bước 4 : DNS server dns.abc.com sẽ xác định bản ghi www.abc.com và trả lời
lại root server
Bước 5 : Root server sẽ chuyển câu trả lời lại cho server vdc.com.vn
Bước 6 : DNS server vdc.com.vn sẽ chuyển câu trả lời về cho PC A và từ đó
PC A có thể kết nối đến PC B (quản lý www.abc.com)
163
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Trường hợp root server không kết nối trực tiếp với server tên miền cần truy vấn
1
7
6
3
2
8
PC A W ww.ab c.com.sg
Vdc.com.vn
Root server
Dns.abc.com.sg
Dns.com.sg
4 5
Trong trường hợp không kết nối trực tiếp thì root server sẽ hỏi server
trung gian (phân lớp theo hình cây) để xác định được đến server tên miền quản
lý tên miền cần truy vấn
Bước 1 - PC A truy vấn DNS server vdc.com.vn (local name server) tên miền
www.acb.com.sg.
Bước 2 - DNS server vdc.com.vn không quản lý tên miền www.abc.com.sg vậy
nó sẽ chuyển lên root server.
Bước 3 - Root server sẽ không xác định được dns server quản lý trực tiếp tên
miền www.abc.com.sg nó sẽ căn cứ vào cấu trúc của hệ thống tên miền để
chuyển đến dns quản lý cấp cao hơn của tên miền abc.com.sg đó là com.sg và
nó xác định được rằng dns server dns.com.sg quản lý tên miền com.sg.
Bước 4 - dns.com.sg sau đó sẽ xác định được rằng dns server dns.abc.com.sg
có quyền quản lý tên miền www.abc.com.sg.
Bước 5 - dns.abc.com.sg sẽ lấy bản ghi xác định cho tên miền www.abc.com.sg
để trả lời dns server dns.com.sg.
Bước 6 - dns.com.sg sẽ lại chuyển câu trả lời lên root server.
Bước 7 - Root server sẽ chuyển câu trả lời trở lại dns server vdc.com.vn.
Bước 8 - Và dns server vdc.com.vn sẽ trả lời về PC A câu trả lời và PC A đã
kết nối được đến host quản lý tên miền www.abc.com.sg.
164
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Khi các truy vấn lặp đi lặp lại thì hệ thống dns có khả năng thiết lập
chuyển quyền trả lời đến dns trung gian mà không cần phải qua root server và
nó cho phép thời gian truy vấn được giảm đi.
1
3
7
4 2
8
PC A Www.abc.com.sg
Vdc.com.vn
Root server
Dns.abc.com.sg
Dns.com.sg
5 6
Hoạt động của DNS cache
Khi DNS server sử lý các truy vấn của client và sử dụng các truy vấn lặp
lại. Nó sẽ xác định và lưu lại các thông tin quan trọng của tên miền mà client
truy vấn. Thông tin đó sẽ được ghi lại trong bộ nhớ cache của dns server.
Cache lưu giữ thông tin là giải pháp hữu hiệu tăng tốc độ truy vấn thông
tin cho các truy vấn thường xuyên của các tên miền hay được sử dụng và làm
giảm lưu lượng thông tin truy vấn trên mạng.
DNS server khi thực hiện các truy vấn đệ quy cho client thì dns server sẽ
tạm thời lưu trong cache bản ghi thông tin ( resource record - RR) lấy được từ
dns server lưu trữ thông tin về truy vấn đó. Sau đó một client khác truy vấn yêu
cầu thông tin của đúng bản ghi đó thì nó sẽ lấy thông tin ban ghi (RR) lưu trong
cache để trả lời.
Khi thông tin được lưu trong cache. Thì các bản ghi RR được ghi trong
cache sẽ được cung cấp thời gian sống (TTL - Time-To-Live). Thời gian sống
của một bản ghi trong cache là thời gian mà nó tồn tại trong cache và được
dùng để trả lời cho các truy vấn của client khi truy vấn tên miền trong bản ghi
đó. Thời gian sống (TTL) được khai khi cấu hình cho các zone. Giá trị mặc
định nhỏ nhất của thời gian sống (Minimum TTL) là 3600 giây (1 giờ) như giá
165
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1trị này ta có thể thay đổi khi cấu hình zone. Hết thời gian sống bản ghi sẽ được
xóa khỏi bộ nhớ cache.
IV.Cài đặt DNS Server cho Window 2000
IV.1. Mở cửa sổ quản lý DNS
Bước 1: Mở của sổ quản lý DNS
Bấm vào mune Start chọn Programs và sau đó là "Administrative tools" Chọn
"DNS Manager"
Bước 2: Cửa sổ quản lý DNS server sẽ xuất hiện
Tại cửa số quản lý DNS server bạn có thể khai báo các tính năng của DNS
IV.2 Thêm trường (zone)
166
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
zone là tên miền (domain name) mà server quản lý. Tại cửa sổ quản lý DNS tại
phần server quản lý bấm chuột phải để hiện menu và chọn "new zone" như
hình trên
Bấm và "new zone" sẽ hiện cửa sổ cho phép chọn kiểu dữ liệu mà zone quản lý.
Standard Primary là loại dữ liệu của zone được khai báo và quản lý ngay tại
server. Còn Stardard Secondary là loại zone mà dữ liệu được lấy về từ
Standard Primary và dữ liệu cũng nằm trên server . Standard Primary thường
sử dụng để dự phòng cho các zone đã tồn tại. Bấm Next để tiếp tục
167
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Sẽ xuất cửa sổ như trên. Forward lookup zone là loại zone quản lý việc chuyển
đổi từ domain name sang địa chỉ IP. Còn phần Reverse lookup zone quản lý
việc chuyển đổi từ IP sang Domain name. Bấm Next tiếp tục
Tại cửa sổ này điền zone (domain name) mà sẽ quản lý. Bấm Next tiếp tục
Điền tên của file để lưu trữ zone tại "Create a new file with this file name"
hoặc sử dụng file có sẵn tại "Use this existing file" Và bấm Next cho đến khi
xuất hiện nút finish để kết thúc tạo zone
IV.3.Thêm tên miên (domain name)
Tại của sổ quản lý domain chọn vào server và bấm chuột phải hiện lên
menu và chọn "New Domain..." để điền một domain mới .
168
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Sau khi bấm vào "New Domain" nó sẽ xuất hiện cửa sổ cho phép bạn
điền tên miền mà server được phép quản lý. Sau khi điền bấm "OK" để kết thúc
IV.4 Thêm một host mới
Tại cửa sổ quản lý DNS chọn zone đã tạo và bấm chuột phải chọn "new
host"
Xuất hiện cửa sổ cho phép ta khai báo host mới
169
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Bạn điền tên của host mà muốn tạo. Tên của host sẽ được tự động điền
thêm phần domain để thành tên đầy đủ của host.
Ví dụ: như trên đây là vùng quản lý zone (location) là ktm.vnn.vn. Vậy
khi bạn điền Name là www và IP address là 203.162.0.100 thì sẽ tương ứng với
định nghĩa domain www.ktm.vnn.vn. trỏ đến địa chỉ IP 203.162.0.100
www.ktm.vnn.vn. IN A 203.162.0.100
IV.5 Tạo một bản ghi web (tạo bí danh)
Tại cửa sổ quản lý Domain và tên miền vừa tạo và bấm chuột phải và
chọn "New Alias" để tạo một CNAME đến một host.
Bấm và "New Alias..." sẽ xuất hiện cửa sổ cho phép khai báo Alias
170
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Tại phần "Alias name" điền tên tạo alias và tại phần "Fully qualified
name for target host" điền tên đầy đủ của một host mà muốn tạo bí danh (
thường được sử dụng cho webhosting)
Ví dụ : www.ktm.vnn.vn. IN CNAME ktm.vnn.vn.
Ta sẽ có trang web www.ktm.vnn.vn đặt trên server web có tên là ktm.vnn.vn.
IV. 6 Tạo một bản ghi thư điện tử (MX)
Tại cửa sổ quản lý DNS tại tên miền muốn tạo bản ghi MX bấm chuột
phải
171
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Sau khi bấm vào"New Mail Exchanger.." sẽ xuất hiện cửa sổ cho phép
tạo các thông số cho bản ghi mx
Điền tại "Host or domain" điền tên hoặc để trống tên này kết hợp với
phần zone "Parent domain" để tạo thành domain đầy đủ của bản ghi thư điện
tử. Tại "Mail server" điền tên của server thư điện tử và tại "Mail server
priority" điền mức độ ưu tiên của server thư điện tử (độ lớn càng nhỏ mức ưu
tiên càng cao)
172
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Ví dụ trên hình ta có:
mail.ktm.vnn.vn IN MX 10 mr-hn.vnn.vn.
Ta có tên miền thư điện tử mail.ktm.vnn.vn. ( ta có thể tạo được các hộp
thư [email protected] ) được chứa tại server thư điện tử mr-hn.vnn.vn với
mức ưu tiên là 10
IV. 7 Chuyển quyền quản lý têm miền (delegate)
Tại cửa sổ quản lý DNS tại domain muốn chuyển quyền quản lý bấm
chuột phải.
Bấm vào "New Delegation..." để hiện cửa sổ cho phép chuyển quyền
quản lý tên miền
173
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Điền phần domain mà bạn muốn chuyển quyền quản lý vào "Delegated
domain"
Ví dụ ở đây điền là abc nghĩa là bạn muốn chuyển quyền quản lý
domain abc.ktm.vnn.vn. Bấm "Next" để tiếp tục
174
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Hiện cửa sổ điền vào "Server name" tên của dns server sẽ được phép
quản lý tên miền abc.ktm.vnn.vn. Bấm "Resolve" để xác định địa chỉ IP của dns
server. Sau đó bấm "Ok" để kết thúc.
Ví dụ abc.ktm.vnn.vn. IN NS vdc-hn01.vnn.vn.
Tương ứng tên miền abc.ktm.vnn.vn. sẽ được chuyển quyền về dns
server vdc-hn01.vnn.vn để quản lý.
V. Cài đặt, cấu hình dns cho Linux
Hiện tại trên Internet rất nhiều nhà cung cấp phần mềm miễn phí cho
DNS. Nhưng phần mền sử dụng dns cho unix được sử dụng phổ biến hiện này
là gói phần mềm cho dns là Bind
Bind được phát triển bởi một tổ chức phi lợi nhuận là Internet Software
Consortium (www.isc.org) và nó cung cấp phần mền bind miễn phí.
Hiện tại phần mềm bind có version là 9.2.2
Phần mền Bind còn cung cấp tiện ích nslookup là công cụ rất tiện lợi
cho việc kiểm tra tên miền
Khai báo DNS cho client/server
Với client sử dụng linux hoặc unix ta vào file /etc/resolv.conf
9 Client chỉ lấy thông tin về các domain
9 Client chỉ gửi query tới server và nhận trả lời
Cấu hình dns server
9 Cấu bình resolver như của (dns client)
9 Cấu hình Bind cho name server (named)
9 Xây dự cơ sở dữ liệu cho dns (cho các zone file)
Cấu hình cho dns client /etc/resolv.conf
Các từ khóa Miêu tả
nameserver địa chỉ Địa chỉ IP của dns server sẽ gửi truy vấn đến để lấy
thông tin về domain
175
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1domain name xác định domain mặc định của client
Với dns client chỉ cần cấu hình file resolv.conf
Cài đặt dns server.
Ta có thể lấy chương trình cài đặt bind cho dns tại www.isc.org lấy về
server
cd /usr/src
mkdir bind-9.xx
cd bind-9.xx
Lấy chương trình cài đặt dns về đây bind-9.xx-src.tar.gz
gunzip bind-9.xx-src.tar.gz
tar xf bind-9.xx-src.tar
rm bind-9.xx-src.tar
cd src
make clean
make depend
make install
Vậy là ta đã cài xong phần mền named cho dns và các zone file sẽ được chứa
trong /var/named còn file cấu hình nằm trong /usr/local/etc vậy ta phải tạo và
đặt file cấu hình và zone file vào các thư mục trên và chạy
176
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1#/usr/local/sbin/named
Vậy là server đã sẵn sàng cho truy vấn dns
Cấu trúc file cơ sở dữ liệu (zone file)
Các file cơ sở dữ liệu zone được chỉ làm hai loại cho domain (có dạng
db.domain hoặc domain.root) và các domain ngược ( db.address ) và nó nằm
trong thư mục /var/named của dns server.
Các dữ liệu nằm trong file cơ dữ liệu được gọi là DNS resource record.
Các loại resource record trong file dữ liệu bao gồm:
SOA record
Chỉ rõ domain ở cột quản lý bởi name server ghi sau trường SOA. Trong
trường hợp file db.domain
@ IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
1999082802 ; serial number
1800 ; refresh every 30 mins
3600 ; retry every hour
86400 ; expire after 24 hours
6400 ; minimum TTL 2 hours
)
IN NS vdc-hn01.vnn.vn.
IN NS hcm-server1.vnn.vn.
Khai báo zone ngược db.203.162.0
@ IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
1999082301 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
177
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 86400 ) ; Minimum TTL of 1 day
; name servers
IN NS vdc-hn01.vnn.vn.
IN NS hcm-server1.vnn.vn.
6 IN PTR ldap.vnn.vn.
7 IN PTR hanoi-server1.vnn.vn.
8 IN PTR hanoi-server2.vnn.vn.
9 IN PTR mail.vnn.vn.
Trong mỗi zone chỉ khai một trường SOA. Như ví dụ trên trong trường
hợp file db.com.vn, chữ @ biể thị các tất cả các domain trong file quản lý bởi
name server vdc-hn01.vnn.vn và địa chỉ mail của admin mạng là
postmaster.vnn.vn. Ngoài ra trong phần SOA có 5 thông số cần quản tâm sau:
Serial number : Thông số này có tác dụng với tất cả các dữ liệu trong file. Khi
secondary server yêu cầu primary server các thông tin về domain mà nó quản
lý thì đầu tiên nó sẽ so sánh serial number của secondary và primary server.
Nếu serial number của secondary server nhỏ hơn của primary server thì dữ liệu
của domain sẽ được cập nhập lại cho secondary server từ secondary server.
Mỗi khi ta thay đổi nội dung của file db.domain thì ta cần phải thay đổi
serial number và thường ta đánh serial number theo nguyên tắc sau:
Serial number : yyyymmddtt
trong đó : yyyy là năm
mm là tháng
dd là ngày
tt là số lần sử đổi trong ngày
Refresh : là chu kỳ thời gian mà secondary server sẽ sánh và cập nhập lại dữ
liệu của nó với primary server
Retry: nếu secondary server không kết nối được với primary server thì cứ sau
một khoảng thời gian thì nó sẽ kết nối lại
Expire : là khoảng thời gian mà domain sẽ hết hiệu lực nếu secondary không
kết nối được với primary server.
178
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1TTL (time to live) : khi một server bất kỳ yêu cầu thông tin về dữ liệu nào đó từ
primary server, và dữ liệu đó sẽ được lưu giữ tại server đó và có hiệu lực trong
khoảng thời gian của TTL. Hết khoảng thời gian đó nếu tiếp tục cần thì nó lại
phải truy vấn lại primary server.
Các bản ghi thường dùng trong DNS server
NS (name server) : Còn bản ghi NS để xác định dns server nào sẽ quản lý tên
miền. Như ví dụ ở trên là dns server vdc-hn01.vnn.vn. và hcm-server1.vnn.vn.
A (address) : Bản ghi dạng A cho tương ứng một domain name với một địa chỉ
IP. Chỉ cho phép khai báo một bản ghi A cho một địa chỉ IP.
Ví dụ:
Tên miền Internet Loại bản
ghi
Địa chỉ
mr.vnn.vn. IN A 203.162.4.148
mr-hn.vnn.vn. IN A 203.162.0.24
mail.vnn.vn. IN A 203.162.0.9
fmail.vnn.vn. IN A 203.162.4.147
hot.vnn.vn. IN A 203.162.0.23
home.vnn.vn. IN A 203.162.0.12
www.vnn.vn. IN A 203.162.0.16
CNAME (canonical name) : là tên phụ cho một host có sẵn tên miền dạng A.
Nó thường được sử dụng cho các server web, ftp
Ví dụ : các domain có dạng CNAME được chỉ tới các máy chủ web
Tên miền Internet Loại bản ghi Server
www.gpc.com.vn. IN CNAME home.vnn.vn.
www.huonghai.com.vn. IN CNAME home.vnn.vn.
179
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1www.songmayip.com.vn. IN CNAME hot.vnn.vn.
www.covato2.com.vn. IN CNAME hot.vnn.vn.
MX (mail exchange): là tên phụ cho các dịch vụ mail trên các máy chủ
đã có tên miền dạng A. Bản ghi này cho phép máy chủ có thể cung cấp dịch vụ
mail cho các domain khác nhau. Có thể khai báo nhiều domain khác nhau cùng
chỉ tới một server hoặc một domain trỏ tới nhiều server khác nhau ( sử dụng
backup) trong trường hợp này giá trị ưu tiên phải đặt khác nhau. Với số ưu tiên
càng nhỏ thì mức độ ưu tiên càng cao.
Ví dụ
Tên miền Internet Loại bản
ghi
mức ưu
tiên
Server
mrvn.vnn.vn. IN MX 10 mr.vnn.vn.
clipsalvn.vnn.vn. IN MX 10 mr-hn.vnn.vn.
dbqnam.vnn.vn. IN MX 10 mr-hn.vnn.vn.
thangloi.vnn.vn. IN MX 50 mail.netnam.vn.
IN MX 100 fallback.netnam.vn.
PTR (Pointer) : là bản ghi tương ứng địa chỉ IP với domain. Các file dạng
db.address. Ví dụ db.203.162.0 cho tương ứng với các địa chỉ IP tương ứng với
mạng 203.162.0.xxx
Chú ý :
Trước mỗi phần khai báo domain thường có dòng
$ORIGIN domain.
Để khai báo giá trị mặc định của domain. Cho phép trong phần khai báo giá trị
không phải khai báo lặp lại phần domain mặc định.
Ví dụ :
vdc.com.vn. IN A 203.162.0.49
hoặc
180
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 $ORIGIN com.vn.
vdc IN A 203.162.0.49
Dấu ";" được sử dụng làm ký hiệu dòng chú thích, các phần sau dấu “;” đều
không có tác dụng.
Định nghĩa cấu hình (name.conf)
Khi các file cơ sở dữ liệu (zone file) thì cần phải cấu hình để dns server
đọc các zone file đó. Đối với hệ thống BIND cơ chế chỉ dẫn name server đọc
các zone file được khai trong file named.conf nó được nằm trong thư mục /etc
hoặc /usr/local/etc
Ví dụ : khai báo file db trong file named.conf:
; khai báo cho zone file domain.vn
zone "vn." in {
type master;
file "db.vn";
};
;khai báo cho zone file domain.gov.vn
zone "gov.vn." in {
type master;
file "db.gov.vn";
};
;khai báo cho zone ngược 203.162.0.xxx
zone "0.162.203.in-addr.arpa" in {
type master;
file "db.203.162.0";
};
;khai báo cho zone ngược 203.162.1.xxx
zone "1.162.203.in-addr.arpa" in {
181
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 type master;
file "db.203.162.1";
};
Chú ý: sau mỗi lần thay đổi dữ liệu để sửa đổi có tác dụng thì cần phải làm
động tác để dns server cập nhập thay đổi
%su
%password:
# ps -ef | grep named
root 17413 1 5 Sep 07 ? 189:52 /usr/local/sbin/named
# kill -HUP 17413
Còn để chạy dns server
#/usr/local/sbin/named
Hướng dẫn sử dụng nslookup
nslookup - là công cụ trên internet cho phép truy vấn tên miền và địa chỉ IP một
cách tương tác.
Cấu trúc câu lệnh
nslookup [ -option ... ] [ host-to-find | - [ server ]]
Miêu tả các lệnh của nslookup
server domain & lserver domain Change the default server to domain.
Lserver uses the initial server to look up information about domain while
server uses the current default server. If an authoritative answer can't be
found, the names of servers that might have the answer are returned.
root Thay đổi server mặc định sẽ làm root cho domain truy vấn.
ls [option] domain [>> filename]
Hiện danh sách thông tin của domain. Mặc định là hiện tên của host và địa chỉ
IP. Ta có thể sử dụng các lựa chọn để hiện nhiều thông tin hơn:
-t querytype hiện danh sách tất cả bản ghi xác định bởi loại querytype
182
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 -a hiện danh sách các bí danh (aliaes) của domain host (tương tự như -t
CNAME)
-d hiện danh sách các bản ghi của domain (tương tự như -t ANY)
-h hiện danh sách thông tin về CPU và thông tin về hệ điều hành của
domain. (tương tự như -t HINFO)
? hiện danh sách các câu lệnh.
exit thoát khỏi chương trình.
set keyword[=value] câu lệnh dùng để thay đổi trạng thái thông tin mà có ảnh
hưởng đến truy vấn. Các từ khoá:
all cho phép hiện tất cả các loại bản ghi
[no]debug bật chế độ tìm lỗi. Cho hiện rất nhiều loại thông tin cho phép
xác định lỗi truy vấn đến domain. (mặc định=nodebug, viết tắt = [no]deb)
[no]d2 Bật chế độ tìm lỗi mức cao hơn. Tất cả các gói tin truy vấn đều
được xuất hiện. (mặc định=nod2)
domain=name Thay đổi domain mặc định vào tên. Khi truy vấn một tên nó
sẽ tự động điền thêm domain vào sau.
port=value Chuyển cổng mặc định sử dụng cho TCP/UDP name server
thành cổng được thiết lập bởi giá trị này (mặc định= 53, viết tắt = po)
querytype=value
type=value Chọn loại truy vấn thông tin. Có các loại sau:
A truy vấn host ( khai báo địa chỉ IP).
CNAME (canonical name) tạo tên bí danh ( thường dùng cho web)
HINFO truy vấn loại CPU và hệ điều hành của server.
MINFO thông tin vê hộp thư hoặc mail list.
MX truy vấn về mail exchanger.
NS truy vấn về named zone.
PTR truy vấn chuyển từ địa chỉ IP sang domain.
SOA Thông tin về người quản lý về zone.
TXT Các thông tin khác.
183
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 UINFO Thông tin về người dùng.
WKS Hỗ trợ cho các dịch vụ khác.
Các loại khác (ANY, AXFR, MB, MD, MF, NULL) được miêu tả chi tiết
trong tiêu chuẩn RFC-1035 . (Mặc định = A, viết tắt = q, ty)
[no]recurse Yêu cầu name server truy vấn tới một server khác nếu nó
không có thông tin về domain cần tìm. (mặc định = recurse, viết tắt = [no]rec)
retry=number Thiết lập số lần truy vấn. Khi truy vấn mà không nhận được
trả lời trong khoảng thời gian nhất định (thiết lập bằng lệnh set timeout). Khi
thời gian hết thì yêu cầu truy vấn sẽ được gửi lại. Và thiết lập ở đây để điều
khiển số lần sẽ gửi lại trước khi từ bỏ truy vấn. (Mặc định = 4, viết tắt = ret)
root=host Đổi root server cho host
timeout=number Thiết lập thời gian timeout cho một quá trìn truy vấn tính
bằng giây. (mặc định = 5 giây, viết tắt = ti)
[no]vc sử dụng một virtual circuit để gửi yêu cầu truy vấn đến server.
(mặc định là = novc, viết tắt = [no]v)
Phân tích lỗi
Nếu truy vấn lookup không thành công thì một thông tin về lỗi sẽ được hiện ra.
Và các lỗi có thể là :
Timed out
Server không trả lời truy vấn sau một khoảng thời gian ( khoảng thời gian có
thể thay đổi bằng câu lệnh set timeout=value) và and a certain number of
retries (changed with set retry=value).
No response from server
Không có name server đang chạy tại server mà client chỉ đến.
No records
Server không có bản ghi tương ứng loại mà truy vấn cho host đa tồn tại. Loại
truy vấn được thiết lập bằng câu lệnh "set querytype" .
Non-existent domain
Host hoặc domain name không tồn tại.
Connection refused
184
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Network is unreachable
Kết nối tới name server hoặc finger server không thể được tại thời điển này.
Lệnh này thường xuất hiện với các yêu cầu của câu lện ls và finger.
Server failure
Name server tìm thấy lỗi trong dữ liệu về domain và không thể đưa ra câu trả
lời đúng.
Refused
Name server từ chối yêu cầu trả lời.
Format error
Name server thấy rằng các gói tin yêu cầu không đúng định dạng. Nó có thể là
lỗi của chương trình nslookup.
Ví dụ :
Truy vấn dns sử
dụng bản ghi a
cho domain
home.vnn.vn có
địa chỉ IP là
203.162.0.12
Default Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
> set querytype=a
> home.vnn.vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
Name: home.vnn.vn
Address: 203.162.0.12
>
Truy vấn bản nghi
mx (mail) cho
domain hn.vnn.vn
nó trỏ đến các host
mu13.vnn.vn có
địa chỉ
203.162.0.55 và
> set querytype=mx
> hn.vnn.vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
185
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1mu14.vnn.vn có
địa chỉ
203.162.0.64
hn.vnn.vn MX preference = 20, mail exchanger =
mu13.vnn.vn
hn.vnn.vn MX preference = 10, mail exchanger =
mu14.vnn.vn
vnn.vn nameserver = vdc-hn01.vnn.vn
vnn.vn nameserver = hcm-server1.vnn.vn
mu13.vnn.vn internet address = 203.162.0.55
mu14.vnn.vn internet address = 203.162.0.64
vdc-hn01.vnn.vn internet address = 203.162.0.11
hcm-server1.vnn.vn internet address = 203.162.4.1
>
Truy vấn loại ns
(name server) cho
domain vn do các
server nào quản lý
sẽ cho ta một danh
sách các
nameserver quản
ly các domain có
đuôi vn
> set querytype=ns
> vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
Non-authoritative answer:
vn nameserver = dns-hcm01.vnnic.net.vn
vn nameserver = ns.ripe.net
vn nameserver = dns1.vn
vn nameserver = ns1.gip.net
vn nameserver = ns2.gip.net
vn nameserver = ns3.rip.net
vn nameserver = dns1.vnnic.net.vn
vn nameserver = cheops.anu.edu.au
dns-hcm01.vnnic.net.vn internet address = 203.162.87.66
ns.ripe.net AAAA IPv6 address = 2001:610:240:0:53:0:0:193
ns.ripe.net internet address = 193.0.0.193
dns1.vn internet address = 203.162.3.235
186
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1ns1.gip.net internet address = 204.59.144.222
ns2.gip.net internet address = 204.59.1.222
dns1.vnnic.net.vn internet address = 203.162.57.105
cheops.anu.edu.au internet address = 150.203.224.24
>
187
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chương 5 : Dịch vụ truy cập từ xa và Dịch
vụ Proxy
Chương 5 cung cấp các kiến thức cơ bản của hai nội dung dịch vụ phổ
biến trên mạng máy tính: dịch vụ truy cập từ xa và dịch vụ proxy.
Việc truy cập từ xa là nhu cầu thiết yếu mở rộng phạm vi hoạt động
mạng của các tổ chức, công ty. Nội dung truy cập từ xa giới thiệu trong chương
này là truy cập qua mạng thoại PSTN. Đây là hình thức truy cập từ xa cho tốc
độ truy cập thấp vừa phải nhưng lại có tính phổ biến rộng rãi và dễ thiết lập
nhất.
Dịch vụ proxy trên mạng được phát triển cho các mục đích tăng cường
tốc độ truy nhập cho khách hàng trong mạng, tiết kiệm được tài nguyên mạng
(địa chỉ IP) và đảm bảo được an toàn cho mạng lưới khi bắt buộc phải cung cấp
truy nhập ra mạng ngoài hay ra mạng Internet. Thiết lập dịch vụ proxy là công
tác mọi quản trị hệ thống mạng cần biết vì các nhu cầu kết nối liên mạng và kết
nối Internet càng ngày càng trở nên không thể thiếu cho bất kỳ tổ chức, công ty
nào.
Chương 5 yêu cầu các học viên nên trang bị các kiến thức cơ bản về
mạng điện thoại PSTN, kiến thức về các giao thức mạng WAN PPP, SLIP...
các giao thức xác thực như RADIUS...Trong phần proxy, học viên cần làm
quen với khái niệm chuyển đổi địa chỉ NAT, hoạt động của các giao thức
TCP/IP.
Mục 1 : Dịch vụ truy cập từ xa (Remote Access)
I. Các khái niệm và các giao thức.
I.1. Tổng quan về dịch vụ truy cập từ xa.
Dịch vụ truy nhập từ xa (Remote Access Service) cho phép người dùng
từ xa có thể truy cập từ một máy tính qua một môi trường mạng truyền dẫn (ví
dụ mạng điện thoại công cộng) đến một mạng dùng riêng như thể máy tính đó
188
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1được kết nối trực tiếp trong mạng đó. Người dùng từ xa kết nối tới mạng đó
thông qua một máy chủ dịch vụ gọi là máy chủ truy cập (Access server). Khi
đó người dùng từ xa có thể sử dụng tài nguyên trên trên mạng như là một máy
tính kết nối trực tiếp trong mạng đó. Dịch vụ truy nhập từ xa cũng cung cấp khả
năng tạo lập một kết nối WAN thông qua các mạng phương tiện truyền dẫn giá
thành thấp như mạng thoại công cộng. Dịch vụ truy cập từ xa cũng là cầu nối
để một máy tính hay một mạng máy tính thông qua nó được nối đến Internet
theo cách được coi là hợp lý với chi phí không cao, phù hợp với các doanh
nghịêp, tổ chức qui mô vừa và nhỏ. Khi lựa chọn và thiết kế giải pháp truy cập
từ xa, chúng ta cần thiết phải quan tâm đến các yêu cầu sau:
− Số lượng kết nối tối đa có thể để phục vụ người dùng từ xa.
− Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập.
− Công nghệ, phương thức và thông lượng kết nối. Ví dụ, các kết nối có
thể sử dụng modem thông qua mạng điện thoại công cộng PSTN, mạng số hoá
tích hợp các dịch vụ ISDN...
− Các phương thức an toàn cho truy cập từ xa, phương thức xác thực
người dùng, phương thức mã hoá dữ liệu
− Các giao thức mạng sử dụng để kết nối.
I.2. Kết nối truy cập từ xa và các giao thức sử dụng trong
truy cập từ xa
1.Kết nối truy cập từ xa
Tiến trình truy cập từ xa được mô tả như sau: người dùng từ xa khởi tạo
một kết nối tới máy chủ truy cập. Kết nối này được tạo lập bằng việc sử dụng
một giao thức truy cập từ xa (ví dụ giao thức PPP- Point to Point Protocol).
Máy chủ truy cập xác thực người dùng và chấp nhận kết nối cho tới khi kết
thúc bởi người dùng hoặc người quản trị hệ thống. Máy chủ truy cập đóng vai
trò như một gateway bằng việc trao đổi dữ liệu giữa người dùng từ xa và mạng
nội bộ. Bằng việc sử dụng kết nối này, người dùng từ xa gửi và nhận dữ liệu từ
máy chủ truy cập. Dữ liệu được truyền trong các khuôn dạng được định nghĩa
bởi các giao thức mạng (ví dụ giao thức TCP/IP) và sau đó được đóng gói bởi
189
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1các giao thức truy cập từ xa. Tất cả các dịch vụ và các nguồn tài nguyên trong
mạng người dùng từ xa đều có thể sử dụng thông qua kết nối truy cập từ xa này
(hình 5.1)
Hình 5.1
2. Giao thức truy cập từ xa
SLIP (Serial Line Interface Protocol), PPP và Microsoft RAS là các giao
thức truy cập để tạo lập kết nối được sử dụng trong truy cập từ xa. SLIP là giao
thức truy cập kết nối điểm-điểm và chỉ hỗ trợ sử dụng với giao thức IP, hiện
nay hầu như không còn được sử dụng. Microsoft RAS là giao thức riêng của
Microsoft hỗ trợ sử dụng cùng với các giao thức NetBIOS, NetBEUI và được
sử dụng trong các phiên bản cũ của Microsoft.
PPP giao thức truy cập kết nối điểm-điểm với khá nhiều tính năng ưu
việt, là một giao thức chuẩn được hầu hết các nhà cung cấp hỗ trợ. RFC 1661
định nghĩa về PPP. Chức năng cơ bản của PPP là đóng gói thông tin giao thức
lớp mạng thông qua các liên kết điểm – điểm.
Cơ chế làm việc và vận hành của PPP như sau: Để thiết lập truyền
thông, mỗi đầu cuối của liên kết PPP phải gửi các gói LCP (Link Control
Protocol) để thiết lập và kiểm tra liên kết dữ liệu. Sau khi liên kết được thiết lập
với các tính năng tùy chọn được sắp đặt và thỏa thuận giữa hai đầu liên kết,
PPP gửi các gói NCP (Network Control Protocol) để lựa chọn và cấu hình một
hoặc nhiều giao thức lớp mạng. Mỗi lần một giao thức lớp mạng lựa chọn đã
được cấu hình, lưu lượng từ mỗi giao thức lớp mạng có thể gửi qua liên kết
190
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1này. Liên kết tồn tại cho đến khi các gói LCP hoặc NCP đóng kết nối hoặc đến
khi một sự kiện bên ngoài xẩy ra (chẳng hạn như một sự kiện hẹn giờ hay một
sự can thiệp của người quản trị). Nói cách khác PPP là một con đường mở đồng
thời cho nhiều giao thức.
PPP khởi đầu được phát triển trong môi trường mạng IP, tuy nhiên nó
thực hiện các chức năng độc lập với các giao thức lớp 3 và có thể được sử dụng
cho các giao thức lớp mạng khác nhau. Như đã đề cập, PPP đóng gói các thủ
tục lớp mạng đã được cấu hình để chuyển qua một liên kết PPP. PPP có nhiều
các tính năng khiến nó rất mềm dẻo và linh hoạt, bao gồm:
- Ghép nối với các giao thức lớp mạng
- Lập cấu hình liên kết
- Kiểm tra chất lượng liên kết
- Nhận thực
- Nén các thông tin tiếp đầu
- Phát hiện lỗi
- Thỏa thuận các thông số liên kết
PPP hỗ trợ các tính năng này thông qua việc cung cấp LCP có khả năng
mở rộng và NCP để thỏa thuận các thông số và các chức năng tùy chọn giữa
các đầu cuối. Các giao thức, các tính năng tùy chọn, kiểu xác thực người dùng
tất cả đều được truyền thông trong khi khởi tạo liên kết giữa hai điểm.
PPP có thể hoạt động trong bất kỳ giao diện DTE/DCE nào, PPP có thể
hoạt động ở chế độ đồng bộ hoặc không đồng bộ. Ngoài những yêu cầu khác
của các giao diện DTE/DCE, PPP không có hạn chế nào về tốc độ truyền dẫn.
Trong hầu hết các công nghệ mạng WAN, mô hình lớp được đưa ra để
có những điểm liên hệ với mô hình OSI và để diễn tả vận hành của các công
nghệ cụ thể. PPP không khác nhiều so với các công nghệ khác. PPP cũng có
mô hình lớp để định nghĩa các cấu trúc và chức năng (hình 5.2)
191
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1LCP (Link Control Protocol)
HDLC (High Level Data Link Control)
Physical Layer
(eia/tia-232, v24, v35,isdn)
NCP (Network Control Protocol)
Upper-layer protocols
(IP,IPX,AppleTalk)
OSI layer
3
2
1
Hình 5.2
Cũng như hầu hết các công nghệ, PPP có cấu trúc khung, cấu trúc này
cho phép đóng gói bất cứ giao thức lớp 3 nào. Dưới đây là cấu trúc khung PPP
(hình 5.3)
Hình 5.3
Các trường của khung PPP như sau:
Cờ: độ dài 1 byte sử dụng để chỉ ra rằng đây là điểm bắt đầu hay kết thúc một
khung, trường này là một dãy bit 01111110
Địa chỉ: độ dài 1 byte bao gồm dãy bit 11111111, là địa chỉ quảng bá chuẩn.
PPP không gán từng địa chỉ riêng.
192
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Giao thức: độ dài 2 byte, nhận dạng giao thức đóng gói. Giá trị cập nhật của
trường này được chỉ ra trong RFC 1700
Dữ liệu: có độ dài thay đổi, có thể 0 hoặc nhiều byte là các dữ liệu cho kiểu
giao thức cụ thể đựoc chỉ ra trong trường giao thức. Phần cuối cùng của trường
dữ liệu được nhận biết bằng cách đặt cờ và tiếp sau nó là 2 byte FCS. Giá trị
ngầm định của trường này là 1500 byte. Tuy vậy giá trị lớn hơn có thể được sử
dụng để tăng độ dài cho trường dữ lliệu.
FCS: thường là 2 byte, có thể sử dụng 4 byte FCS để tăng khả năng phát hiện
lỗi.
LCP có thể thỏa thuận để chấp nhận sự thay đổi cấu trúc khung PPP
chuẩn giữa hai đầu cuối của liên kết. Các khung đã thay đổi luôn luôn dễ nhận
biết hơn so với các khung chuẩn. LCP cung cấp phương pháp để thiết lập, cấu
hình, duy trì và kết thúc một kết nối điểm-điểm. LCP thực hiện các chức năng
này thông qua bốn giai đoạn. Đầu tiên, LCP thực hiện thiết lập và thỏa thuận
cấu hình giữa liên kết điểm điểm. Trước khi bất kỳ đơn vị dữ liệu lớp mạng nào
được chuyển, LCP đầu tiên phải mở kết nối và thỏa thuận các thông số thiết
lập. Quá trình này được hoàn thành khi một khung nhận biết cấu hình đã được
gửi và nhận. Tiếp theo, LCP xác định chất lượng liên kết. Liên kết được kiểm
tra để xác định xem liệu chất lượng có đủ để khởi tạo các giao thức lớp mạng
không. Việc truyền dẫn của giao thức lớp mạng bị đình lại cho đến khi giai
đoạn này hoàn tất. LCP cho phép đây là một tùy chọn sau giai đoạn thiết lập và
thỏa thuận cấu hình của liên kết. Sau đó LCP thực hiện thỏa thuận cấu hình
giao thức lớp mạng. Các giao thức lớp mạng có thể được cấu hình riêng rẽ bới
NCP thích hợp và được khởi tạo hay dỡ bỏ vào bất kỳ thời điểm nào. Cuối
cùng, LCP kết thúc liên kết khi xuất hiện yêu cầu từ người dùng hoặc theo các
bộ định thời gian, do lỗi truyền dẫn hay do các yếu tố vật lý khác.
Ba kiểu khung LCP được sử dụng để hoàn thành các công việc đối với
từng giai đoạn: khung thiết lập liên kết được sử dụng để thiết lập và cấu hình
một liên kết, khung kết thúc liên kết được sử dụng để kết thúc một liên kết,
khung duy trì liên kết được sử dụng để quản lý và gỡ rối liên kết.
3.Các giao thức mạng sử dụng trong truy cập từ xa.
193
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng thường được
sử dụng là giao thức TCP/IP, IPX, NETBEUI.
TCP/IP là một bộ giao thức gồm có giao thức TCP và giao thức IP cùng
làm việc với nhau để cung cấp phương tiện truyền thông trên mạng. TCP/IP là
một bộ giao thức cơ bản, làm nền tảng cho truyền thông liên mạng là bộ giao
thức mạng được sử dụng phổ biến nhất hiện nay. Với khả năng định tuyến và
mở rộng, TCP/IP hỗ trợ một cách linh hoạt và phù hợp cho các tất cả các mạng.
IPX (Internet Packet Exchange) là giao thức được sử dụng cho các mạng
Novell NetWare. IPX là một giao thức có khả năng định tuyến và thường được
sử dụng với các hệ thống mạng trước đây.
NetBEUI là giao thức dùng cho mạng cục bộ LAN của Microsoft.
NetBEUI cho ta nhiều tiện ích và hầu như không phải làm gì nhiều với
NetBEUI. Thông qua NetBEUI ta có thể truy cập tất cả các tài nguyên trên
mạng. NETBEUI là một giao thức không có khả năng định tuyến và chỉ thích
hợp với mô hình mạng nhỏ, đơn giản.
I.3. Modem và các phương thức kết nối vật lý.
1. Modem.
Máy tính làm việc với dữ liệu dạng số, khi truyền thông trên môi trường
truyền dẫn với các dạng tín hiệu khác (ví dụ như với mạng điện thoại công
cộng làm việc với các tín hiệu tương tự) ta cần một thiết bị để chuyển đổi tín
hiệu số thành tín hiệu thích nghi với môi trường truyền dẫn, thiết bị đó là gọi là
Modem (Modulator/demodulator). Như vậy Modem là một thiết bị chuyển đổi
tín hiệu số sang dạng tín hiệu phù hợp với môi trường truyền dẫn và ngược lại.
Hình dưới là một kết nối sử dụng modem qua mạng điện thoại điển hình (hình
5.4).
194
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 5.4
Các modem sử dụng các phương pháp nén dữ liệu nhằm mục đích tăng
tốc độ truyền dữ liệu. Hiệu suất nén dữ liệu phụ thuộc vào dữ liệu, có hai giao
thức nén thường được sử dụng là V.42bis và MNP 5. hiệu suất nén của V.42bis
và MNP 5 có thể thay đổi từ 0 đến 400 % hay cao hơn phụ thuộc vào dữ liệu tự
nhiên
Chuẩn modem V.90 cho phép các modem nhận dữ liệu với tốc độ 56 Kbps qua
mạng điện thoại công cộng (PSTN). V.90 xem mạng PSTN như là một mạng
số và chúng sẽ mã hóa dòng dữ liệu xuống theo kỹ thuật số thay vì điều chế để
gửi đi như các chuẩn điều chế trước đây. Trong khi đó theo hướng ngược lại từ
khách hàng đến nhà cung cấp dịch vụ dòng dữ liệu lên vẫn được điều chế theo
các nguyên tắc thông thường và tốc độ tối ta đạt được là 33.6 Kbps, giao thức
hướng lên này dựa trên chuẩn V.34
Sự khác nhau giữa tín hiệu số ban đầu với tín hiệu số được phục hồi tại
đầu nhận gọi là tạp âm lượng tử hóa (nhiễu lượng tử), chính tạp âm này đã hạn
chế tốc độ truyền dữ liệu. Giữa các modem đầu cuối có một cấu trúc hạ tầng
cho việc kết nối đó là mạng thoại công cộng. Các chuẩn modem trước đây đều
giả sử cả hai đầu của kết nối giống nhau là có một kết nối tương tự vào mạng
điện thoại công cộng, công nghệ V.90 đã lợi dụng ưu điểm của tổ chức mạng
mà một đầu kết nối giữa hệ thống truy cập từ xa và mạng thoại công cộng là
dạng số hoàn toàn còn đầu kia vẫn được kết nối vào mạng PSTN theo dạng
tương tự nhờ đó tận dụng được các ưu điểm của liên kết số tốc độ cao, vì chỉ có
quá trình biến đổi A/D mới gây ra tạp âm với các kết nối số thì không có lượng
tử hóa do đó nhiễu lượng tử rất ít trong cấu trúc mạng này.
195
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Định luật shanon nói rằng đường dây điện thoại tương tự hạn chế tốc độ
truyền dữ liệu ở khoảng 35 kbps mà không xem xét đến một thực tế là một đầu
của truyền thông đã được số hóa nên giảm nhỏ lượng tạp âm gây ra sự chậm trễ
trong việc truyền dữ liệu. Nhiễu lượng tử đã giới hạn chuẩn truyền thông V.34
ở tốc độ 33.6 kbps, nhưng nhiễu lượng tử chỉ có ảnh hưởng khi chuyển đổi
tương tự - số mà không có ảnh hưởng khi chuyển đổi số-tương tự và đây chính
là chìa khóa cho công nghệ V.90 đồng thời cũng giải thích được vì sao tốc độ
download có thể đạt được 56 kbps còn khi upload tốc độ chỉ đạt 33.6 kbps. Dữ
liệu chuyển đi từ modem số V.90 qua mạng PSTN là một dòng số với tốc độ 64
Kbps nhưng tại sao V.90 chỉ hỗ trợ tốc độ đến 56 Kbps, vì các lí do sau: Thứ
nhất mặc dù nhiễu lượng tử đã được bỏ qua nhưng nhiễu mức thấp do bộ
chuyển đổi số - tương tự là không tuyến tính, do ảnh hưởng của vòng loop nội
hạt. Lý do thứ hai là các tổ chức quốc tế có qui định chặt chẽ về mức năng
lượng tín hiệu nhằm hạn chế nhiễu xuyên âm giữa các dây dẫn đặt gần kề nhau,
và qui định này tương ứng với mức năng lượng tối đa trên đường dây điện
thoại tương ứng là 56 kbps
Để xây dựng một hệ thống truy cập từ xa qua mạng thoại công cộng đạt
được tốc độ 56 kbps giữa hai đầu kết nối cần hội đủ ba điều kiện sau: thứ nhất,
một đầu của kết nối (thường là đầu trung tâm mạng) phải là kết nối số tới mạng
PSTN. Thứ hai, chuẩn modem V.90 hỗ trợ tại hai đầu cuối của nối kết. Thứ ba,
chỉ có một chuyển đổi duy nhất số-tương tự trên mạng thoại giữa hai đầu của
kết nối
Khi vận hành modem V.90 thăm dò đường thoại để quyết định xem nó
sẽ làm việc theo tiêu chuẩn nào, nếu phát hiện ra bất kỳ một chuyển đổi số-
tương tự nào thì nó đơn giản chỉ làm việc ở chuẩn V.34 và cũng cố gắng kết nối
ở chuẩn này nếu modem đầu xa không hỗ trợ chuẩn V.90.
2.Các phương thức kết nối vật lý cơ bản:
Một phương thức phổ biến và sẽ được dùng nhiều đó là kết nối qua
mạng điện thoại công cộng (PSTN). Máy tính được nối qua một modem lắp đặt
bên trong (Internal modem) hoặc qua cổng truyền số liệu nối tiếp COM port.
Tốc độ truyền tối đa hiện nay có thể có được bằng phương thức này có thể lên
đến 56 Kbps cho chiều lấy dữ liệu xuống và 33,6Kbps cho chiều truyền dữ liệu
hướng lên với các chuẩn điều chế tín hiệu phổ biến V90, K56Flex, X2. Ta cũng
196
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1có thể sử dụng modem có yêu cầu về hạ tầng cơ sở thấp hơn với chuẩn điều chế
V.24, V.32Bis, V.32...
Phương thức thứ hai là sử dụng mạng truyền số liệu số đa dịch vụ ISDN.
Phương thức này đòi hỏi chi phí cao hơn và ngày càng được phổ biến rộng rãi.
Ta có được khá nhiều các lợi ích từ việc sử dụng mạng ISDN mà một trong số
đó là tốc độ. Ta có thể sử dụng các lựa chọn ISDN 2B+D BRI (2x64Kbps dữ
liệu + 16Kbps dùng cho điều khiển) hoặc 23B+D PRI (23x64Kbps + 64Kbps)
thông qua thiết bị TA (Terminal Adapter) hay các card ISDN.
Một phương thức khác nhưng ít được sử dụng là qua mạng truyền số
liệu X.25, tốc độ không cao nhưng an toàn và bảo mật cao hơn. Yêu cầu cho
người sử dụng trong trường hợp này là phải có sử dụng card truyền số liệu
X.25 hoặc một thiết bị được gọi là PAD (Packet Asssembled Disassembled).
Ta cũng có thể sử dụng các kết nối trực tiếp qua cáp modem, phương thức này
cho ta các kết nối tốc độ cao nhưng phải thông qua các modem truyền số liệu
có giá thành cao.
II. An toàn trong truy cập từ xa
II.1. Các phương thức xác thực kết nối
1.Qúa trình nhận thực.
Tiến trình nhận thực với các giao thức xác thực được thực hiện khi
người dùng từ xa có các yêu cầu xác thực tới máy chủ truy cập, một thỏa thuận
giữa người dùng từ xa và máy chủ truy cập để xác định phương thức xác thực
sẽ sử dụng. Nếu không có phương thức nhận thực nào được sử dụng, tiến trình
PPP sẽ khởi tạo kết nối giữa hai điểm ngay lập tức.
Phương thức xác thực có thể được sử dụng với các hình thức kiểm tra cơ
sở dữ liệu địa phương (lưu trữ các thông tin về username và password ngay trên
máy chủ truy cập) xem các thông tin về username và password được gửi đến có
trùng với trong cơ sở dữ liệu hay không. Hoặc là gửi các yêu cầu xác thực tới
một server khác để xác thực thường sử dụng là các RADIUS server (sẽ được
trình bày ở phần sau)
197
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 198
Sau khi kiểm tra các thông tin gửi trả lại từ cơ sở dữ liệu địa phương
hoặc từ RADIUS server. Nếu hợp lệ, tiến trình PPP sẽ khởi tạo một kết nối, nếu
không yêu cầu kết nối của người dùng sẽ bị từ chối. (hình 5.5)
. .
H Hì ìn nh h 5 5. .5 5
2.Giao thức xác thực PAP
PAP là một phương thức xác thực kết nối không an toàn, nếu sử dụng
một chương trình phân tích gói tin trên đường kết nối ta có thể nhìn thấy các
thông tin về username và password dưới dạng đọc được. Điều này có nghĩa là
các thông tin gửi đi từ người dùng từ xa tới máy chủ truy cập không được mã
hóa mà được gửi đi dưới dạng đọc được đó chính là lý do PAP không an toàn.
Hình dưới mô tả quá trình xác thực PAP, sau khi thỏa thuận giao thức xác thực
PAP trên liên kết PPP giữa các đầu cuối, nguời dùng từ xa gửi thông tin
(username:nntrong, password:ras123) tới máy chủ truy cập từ xa, sau khi kiểm
tra các thông tin này trong cơ sở dữ liệu của mình, máy chủ truy cập từ ra sẽ
quyết định xem liệu yêu cầu kết nối có được thực hiện hay không (hình 5.6)
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
H Hì ìn nh h 5 5. .6 6
3.Giao thức xác thực CHAP
Sau khi thỏa thuận giao thức xác thực CHAP trên liên kết PPP giữa các
đầu cuối, máy chủ truy cập gửi một “challenge” tới người dùng từ xa. Người
dùng từ xa phúc đáp lại một giá trị được tính toán sử dụng tiến trình xử lý một
chiều (hash). máy chủ truy cập kiểm tra và so sánh thông tin phúc đáp với giá
trị hash mà tự nó tính được. Nếu các giá trị này bằng nhau việc xác thực là
thành công, ngược lại kết nối sẽ bị hủy bỏ. Như vậy CHAP cung cấp cơ chế an
toàn thông qua việc sử dụng giá trị challenge thay đổi, duy nhất và không thể
đoán được. Các thông tin về username và password không được gửi đi dưới
dạng đọc được trên mạng và do đó chống lại các truy cập trái phép bằng hình
thức lấy trộm password trên đường kết nối (hình 5.7).
H Hì ìn nh h 5 5. .7 7
199
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV14.Giao thức xác thực mở rộng EAP
Ngoài các giao thức kiểm tra tính xác thực cơ bản PAP, CHAP, trong
Microsoft Windows 2000 hỗ trợ thêm một số giao thức cho ta các khả năng
nâng cao độ an toàn, bảo mật và đa truy nhập đó là giao thức xác thực mở rộng
EAP (Extensible Authentication Protocol).
EAP cho phép có được một cơ cấu xác thực tuỳ ý để công nhận một kết nối
gọi vào. Người sử dụng và máy chủ truy nhập từ xa sẽ trao đổi để tìm ra giao
thức chính xác được sử dụng. EAP hỗ trợ các hình thức sau:
− Sử dụng các card vật lý dùng để cung cấp mật khẩu. Các card này dùng
một số các phương thức xác thực khác nhau như sử dụng các đoạn mã thay đổi
theo mỗi lượt sử dụng.
− Hỗ trợ MD5-CHAP, giao thức mã hoá tên người sử dụng, mật khẩu sử
dụng thuật toán mã hoá MD5 (Message Digest 5).
− Hỗ trợ sử dụng cho các thẻ thông minh. Thẻ thông minh bao gồm thẻ và
thiết bị đọc thẻ. Các thông tin xác thực về cá nhân người dùng được ghi lại
trong các thẻ này.
− Các nhà phát triển phần mềm độc lập sử dụng giao diện chương trình
ứng dụng EAP có thể phát triển các module chương trình cho các công nghệ áp
dụng cho thẻ nhận dạng, thẻ thông minh, các phần cứng sinh học như nhận
dạng võng mạc, các hệ thống sử dụng mật khẩu một lần.
II.2. Các phương thức mã hóa dữ liệu.
Dịch vụ truy cập từ xa cung cấp cơ chế an toàn bằng việc mã hóa và
giải mã dữ liệu truyền giữa người dùng truy cập từ xa và máy chủ truy
cập. Có hai phương thức mã hóa dữ liệu thường được sử dụng đó là
mã hóa đối xứng và mã hóa phi đối xứng.
Phương thức mã hoá đối xứng, thông tin ở dạng đọc được, được mã hoá
sử dụng khóa bí mật (khoá mà chỉ có người mã hoá mới biết được) tạo thành
thông tin đã được mã hoá. ở phía nhận, thông tin mã hoá được giải mã cùng với
khóa bí mật thành dạng gốc ban đầu. Điểm chú ý của phương pháp mã hoá này
là việc sử dụng khoá bí mật cho cả quá trình mã hoá và quá trình giải mã. Do
200
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1đó, nhược điểm chính của phương thức này là cần có quá trình trao đổi khoá bí
mật, dẫn đến tình trạng dễ bị lộ khoá bí mật.
Phương pháp mã hoá phi đối xứng, để khắc phục điểm hạn chế của
phương pháp mã hoá đối xứng là quá trình trao đổi khoá bí mật, người ta đã sử
dụng phương pháp mã hoá phi đối xứng sử dụng một cặp khoá tương ứng với
nhau gọi là phương thức mã hoá phi đối xứng dùng khoá công khai. Phương
thức mã hóa này sử dụng hai khóa là khóa công khai và khóa bí mật có các
quan hệ toán học với nhau. Trong đó khóa bí mật được giữ bí mật và không có
khả năng bị lộ do không cần phải trao đổi trên mạng. Khóa công khai không
phải giữ bí mật và mọi người đều có thể nhận được khoá này. Do phương thức
mã hóa này sử dụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mã
hóa phi đối xứng. Mặc dù khóa bí mật được giữ bí mật, nhưng không giống với
"secret Key" được sử dụng trong phương thức mã hóa đối xứng sử dụng khoá
bí mật do khóa bí mật không được trao đổi trên mạng. Khóa công khai và khóa
bí mật tương ứng của nó có quan hệ toán học với nhau và được sinh ra sau khi
thực hiện các hàm toàn học; nhưng các hàm toán học này luôn thoả mãn điều
kiện là sao cho không thể tìm được khóa bí mật từ khóa công cộng và ngược
lại. Do có mối quan hệ toán học với nhau, thông tin được mã hóa bằng khóa
công khai chỉ có thể giải mã được bằng khóa bí mật tương ứng.
Giao thức thường được sử dụng để mã hóa dữ liệu hiện nay là giao thức
IPsec. Hầu hết các máy chủ truy cập dựa trên phần cứng hay mềm hiện nay đều
hỗ trợ IPSec. IPSec là một giao thức bao gồm các chuẩn mở bảo đảm các vấn
đề bảo mật, an toàn và toàn vẹn dữ liệu cho các kết nối qua mạng sử dụng giao
thức IP bằng các biện pháp mã hoá. IPSec bảo vệ chống lại các hành động phá
hoại từ bên ngoài. Các client khởi tạo một mối liên quan bảo mật hoạt động
tương tự như khoá công khai để mã hoá dữ liệu.
Ta có thể sử dụng các chính sách áp dụng cho IPSec để cấu hình nó. Các
chính sách cung cấp nhiều mức độ và khả năng để bảo đảm an toàn cho từng
loại dữ liệu. Các chính sách cho IPSec sẽ được thiết lập cho phù hợp với từng
người dùng, từng nhóm người dùng, cho một ứng dụng, một nhóm miền hay
toàn bộ hệ thống mạng.
201
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1III. Triển khai dịch vụ truy cập từ xa
III.1. Kết nối gọi vào và kết nối gọi ra
Cấu hình máy chủ truy cập để tạo lập các kết nối gọi vào cho phép
người dùng từ xa truy cập vào mạng. Các thông số cơ bản thường được cấu
hình khi tạo lập các kết nối gọi vào bao gồm xác định các phương thức xác
thực người dùng, mã hóa hay không mã hóa dữ liệu, các phương thức mã hóa
dữ liệu nếu yêu cầu, các giao thức mạng sẽ được sử dụng cho truy nhập từ xa,
các thiết đặt về chính sách và các quyền truy nhập của người dùng từ xa, mức
độ được phép truy nhập như thế nào, xác định phương thức cấp phát địa chỉ IP
cho máy truy nhập từ xa, các yêu cầu cấu hình để tạo lập các kết nối VPN…
Kết nối gọi ra có thể được thiết lập để gọi ra tới một mạng dùng riêng
hoặc tới một ISP. Trong windows 2000 hỗ trợ các hình thức kết nối sau:
Nối tới mạng dùng riêng, ta sẽ phải cung cấp số điện thoại nơi sẽ nối
đến. Có thể là số điện thoại của ISP, của mạng dùng riêng hay của máy tính
phía xa. Xác định quyền sử dụng kết nối này. .
Nối tới Internet, hai lựa chọn có thể là sử dụng truy cập qua đường thoại
và sử dụng truy cập qua mạng LAN. Sử dụng đường thoại, các vấn đề ta cần
quan tâm là số điện thoại truy nhập, tên và mật khẩu được cung cấp bởi ISP. Sử
dụng LAN, ta sẽ phải quan tâm đến proxy server và một số thiết đặt khác.
Tạo lập kết nối VPN, VPN là một mạng sử dụng các kết nối dùng
giao thức tạo đường hầm (PPTP, L2TP, IPSEC,...) để tạo được các kết
nối an toàn, bảo đảm thông tin không bị xâm phạm khi truyền tải qua
các mạng công cộng. Tương tự như khi tạo lập một kết nối gọi ra, Nếu
cần thiết phải thông qua một ISP trung gian trước khi nối tới mạng
dùng riêng, lựa chọn một kết nối gọi ra. Cung cấp địa chỉ máy chủ, địa
chỉ mạng nơi mà ta đang muốn nối tới. Các thiết lập khác là thiết đặt
các quyền sử dụng kết nối.
Tạo lập kết nối trực tiếp với máy tính khác, lựa chọn này được sử dụng
để kết nối trực tiếp hai máy tính với nhau thông qua một cáp được thiết kế cho
nối trực tiếp hai máy tính. Một trong hai máy tính được lựa chọn là chủ và máy
tính kia được lựa chọn là tớ. Lựa chọn thiết bị cổng nơi hai máy tính nối với
nhau.
202
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
III.2. Kết nối sử dụng đa luồng(Multilink)
Multilink là sự kết hợp nhiều liên kết vật lý trong một liên kết logic duy
nhất nhằm gia tăng băng thông cho kết nối. Multilink cho phép sử dụng hai
hoặc nhiều hơn các cổng truyền thông như là một cổng duy nhất có tốc độ cao.
Điều này có nghĩa là ta có thể sử dụng hai modem để kết nối Internet với tốc độ
cao gấp đôi so với việc sử dụng một modem. Multilink gia tăng băng thông và
giảm độ trễ giữa các hệ thống bằng cơ chế chia các gói dữ liệu và gửi đi trên
các mạch song song. Multilink sử dụng giao thức MPPP cho việc quản lý các
kết nối của mình. Để sử dụng, MPPP cần phải được hỗ trợ ở cả hai phía của kết
nối (hình 5.8).
Hình 5.8
Hình vẽ mô tả kết nối sử dụng Multilink, khi người dùng từ xa sử dụng
hai modem và hai đường thoại kết nối với máy chủ truy cập, mỗi kết nối là việc
theo chuẩn V.90 có tốc độ 56 kbps sử dụng kỹ thuật Multilink cho phép đạt tốc
độ 112 Kbps giữa máy truy cập từ xa và máy chủ truy cập.
III.3. Các chính sách thiết lập cho dịch vụ truy nhập từ xa
Chính sách truy nhập từ xa là tập hợp các điều kiện và các thiết đặt cho
phép người quản trị mạng gán cho mỗi người dùng từ xa các quyền truy cập và
mức độ sử dụng các nguồn tài nguyên trên mạng. Ta có thể dùng các chính
sách để có được nhiều các lựa chọn phù hợp với từng mức độ người dùng, tăng
tính mềm dẻo, tính năng động khi cấp quyền truy nhập cho người dùng.
203
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Một chính sách truy nhập từ xa thông thường bao gồm ba thành phần
nhằm cung cấp các truy nhập an toàn có kiểm soát đến máy chủ truy cập.
Các điều kiện (Conditions): là một danh sách các tham số như ngày
tháng, nhóm người dùng, mã người gọi, địa chỉ IP phù hợp với máy trạm đang
nối đến máy chủ truy cập. Bộ chính sách điều kiện đầu tiên này tương ứng với
các thông số của yêu cầu kết nối gọi đến được xử lý đối với sự cho phép truy
cập và cấu hình.
Sự cho phép (Permission): Các kết nối truy nhập từ xa được cho phép và
gán trực tiếp tới mỗi người dùng bởi các thiết đặt trong các chính sách truy
nhập từ xa. Ví dụ một chính sách có thể gán tất cả người dùng trong một nhóm
nào đấy quyền truy cập chỉ trong giờ làm việc hành chính từ 8:00 A.M đến
5:00 P.M, hay đồng thời gán cho một nhóm người dùng khác quyền truy cập
liên tục 24/24.
Profile: Mỗi chính sách đều bao gồm một thiết đặt của profile áp dụng
cho kết nối như là các thủ tục xác thực hay mã hóa. Các thiết đặt trong profile
được thi hành ngay tới các kết nối. Ví dụ: nếu một profile thiết đặt cho một kết
nối mà người dùng chỉ được phép sử dụng trong 30 phút mỗi lần thì người
dùng sẽ bị ngắt kết nối tới máy chủ truy cập trong sau 30 phút.
Quá trình thực thi các chính sách truy cập từ xa được mô tả bằng hình
dưới (hình 5.9)
204
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 5.9
Các điều kiện được gửi tới để tạo một kết nối, nếu các điều kiện gửi tới
này không thích hợp truy cập bị từ chối, nếu thích hợp các điều kiện này được
sử dụng để xác định sự truy cập. Tiếp theo máy chủ truy cập kiểm tra các cho
phép quay số vào người dùng sẽ bị từ chối nếu thiết đặt này là Deny và được
phép truy cập nếu là Allow, nếu thiết đặt là sử dụng các chính sách truy cập để
xác định quyền truy cập thì sự cho phép của các chính sách sẽ quyết định
quyền truy cập của người dùng. Nếu các chính sách này từ chối truy cập người
dùng sẽ bị ngắt kết nối, nếu là cho phép sẽ chuyển tới để kiểm tra các chính
sách trong profile là bước cuối cùng để xác định quyền truy cập của người
dùng.
III.4. Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập
từ xa
Khi thiết lập một máy chủ truy cập để cho phép người dùng từ xa truy
cập vào mạng, ta có thể lựa chọn phương thức mà các máy từ xa có thể nhận
được địa chỉ IP.
205
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Với phương thức cấu hình địa chỉ IP tĩnh ngay trên các máy trạm, người
dùng phải cấu hình bằng tay địa chỉ IP trên mỗi máy truy cập. Sử dụng phương
thức này phải đảm bảo rằng các thông tin cấu hình địa chỉ IP là hợp lệ và chưa
được sử dụng trên mạng. Đồng thời các thông tin về default gateway,
DNS…cũng phải được cấu hình bằng tay một cách chính xác.Vì lí do này
khuyến nghị không nên sử dụngphương pháp này cho việc gán IP cho các máy
truy cập từ xa.
Máy chủ truy cập có thể gán động một địa chỉ IP cho các máy truy cập
từ xa. Địa chỉ IP này thuộc trong khoảng địa chỉ mà ta đã cấu hình trên máy
chủ truy cập. Sử dụng phương pháp này ta cần phải đảm bảo rằng khoảng địa
chỉ IP này được dành riêng để cấp phát cho các máy truy cập từ xa.
Phương thức sử dụng DHCP server, máy chủ truy cập nhận địa chỉ IP từ
DHCP server và gán cho các máy truy cập từ xa. Phương thức này rất linh hoạt,
không cần phải dành riêng một khoảng địa chỉ IP dự trữ cho máy truy cập từ xa
và thường được sử dụng trong một mạng có tổ chức và đa dạng trong các hình
thức kết nối. Địa chỉ IP được cấp phát cho các máy truy cập từ xa một cách tự
động, các thông tin cấu hình khác (Gateway, DNS server…) cũng được cung
cấp tập trung, chính xác tới từng máy truy cập đồng thời các máy truy cập cũng
không cần thiết phải cấu hình lại khi có các thay đổi về cấu trúc mạng.
Hoạt động của DHCP được mô tả như sau: Mỗi khi DHCP client khởi
động, nó yêu cầu một địa chỉ IP từ DHCP server. Khi DHCP server nhận yêu
cầu, nó chọn một địa chỉ IP trong khoảng IP đã được định nghĩa trong cơ sở dữ
liệu của nó. DHCP server cấp phát địa chỉ IP tới DHCP client Nếu DHCP client
chấp nhận địa chỉ IP này, DHCP server cho thuê địa chỉ IP này trong một
khoảng thời gian cụ thể (tùy theo thiết đặt). Các thông tin về địa chỉ IP được
gửi từ DHCP server tới DHCP client thường bao gồm các thành phần sau: địa
chỉ IP, subnet mask, các giá trị lựa chọn khác (default gateway, địa chỉ DNS
server).
III.5. Sử dụng Radius server để xác thực kết nối cho truy
cập từ xa.
1. Hoạt động của Radius server
RADIUS là một giao thức làm việc theo mô hình client/server. RADIUS
cung cấp dịch vụ xác thực và tính cước cho mạng truy nhập gián tiếp. Radius
206
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1client là một máy chủ truy cập tiếp nhận các yêu cầu xác thực từ người dùng từ
xa và chuyển các yêu cầu này tới Radius server. Radius server nhận các yêu
cầu kết nối của người dùng xác thực và sau đó trả về các thông tin cấu hình cần
thiết cho Radius client để chuyển dịch vụ tới người sử dụng (hình 5.10).
Hình 5.10
Quá trình hoạt động được mô tả như sau:
1. Người sử dụng từ xa khởi tạo quá trình xác thực PPP tới máy chủ truy
cập
2. Máy chủ truy cập yêu cầu người dùng cung cấp thông tin về username
và password bằng các giao thức PAP hoặc CHAP.
3. Người dùng từ xa phúc đáp và gửi thông tin username và password tới
máy chủ truy cập.
4. Máy chủ truy cập (Radius client) gửi chuyển tiếp các thông tin username
và password đã được mã hóa tới Radius server
5. Radius server trả lời với các thông tin chấp nhận hay từ chối. Radius
client thực hiện theo các dịch vụ và các thông số dịch vụ đi cùng với các phúc
đáp chấp nhận hay từ chối từ Radius server
2. Nhận thực và cấp quyền
Khi Radius server nhận yêu cầu truy cập từ Radius client, Radius server
tìm kiếm trong cơ sở dữ liệu các thông tin về yêu cầu này. Nếu username
không có trong cơ sở dữ liệu này thì hoặc một profile mặc định được chuyển
hoặc một thông báo từ chối truy cập được chuyển tới Radius client.
207
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Trong RADIUS nhận thực và cấp quyền đi đôi với nhau, nếu username
có trong cơ sở dữ liệu và password được xác nhận là đúng thì Radius server gửi
trả về thông báo truy cập được chấp nhận, thông báo này bao gồm một danh
sách các cặp đặc tính- giá trị mô tả các thông số được sử dụng cho phiên làm
việc. Các thông số điển hình bao gồm: kiểu dịch vụ, kiểu giao thức, địa chỉ gán
cho người dùng (động hoặc tĩnh), danh sách truy cập được áp dụng hay một
định tuyến tĩnh được cài đặt trong bẳng định tuyến của máy chủ truy cập.
Thông tin cấu hình trong Radius server sẽ xác định những gì sẽ được cài đặt
trên máy chủ truy cập. Hình vẽ dưới đây mô tả quá trình nhận thực và cấp
quyền của Radius server (hình 5.11)
Hình 5.11
3.Tính cước
Các vấn đề về xử lý cước của RADIUS hoạt động độc lập với nhận thực
và cấp quyền. Chức năng tính cước cho phép ghi lại dữ liệu được gửi tại thời
điểm bắt đầu và kết thúc của một phiên làm việc và đưa ra các con số về mặt sử
dụng tài nguyên như (thời gian, số gói, số byte...) được sử dụng trong phiên
làm việc đó.
III.6. Mạng riêng ảo và kết nối sử dụng dịch vụ truy cập từ
xa.
VPN (Virtual Private Network) là một mạng riêng được xây dựng trên
nền tảng hạ tầng mạng công cộng (ví dụ mạng Internet), sử dụng mạng công
cộng cho việc truyền thông riêng tư.
Giải pháp VPN cho phép người dùng làm việc tại nhà hoặc đang đi công
tác ở xa có thể thực hiện một kết nối tới trụ sở chính bằng việc sử dụng hạ tầng
208
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1mạng là một mạng công cộng như là Internet, Như vậy thay vì phải thực hiện
một kết nối đường dài tới trụ sở chính người sử dụng chỉ cần tạo lập một kết
nối nội hạt tới một ISP khi đó bằng công nghệ VPN một kết nối VPN sẽ được
thiết lập giữa người dùng với mạng trung tâm. Kết nối VPN cũng cho phép các
tổ chức kết nối liên mạng giữa các địa điểm ở xa khác nhau thông qua các kết
nối trực tiếp (leased line) từ các địa điểm đó tới một ISP. Như vậy kết nối VPN
cho phép một tổ chức giảm chi phí gọi đường dài qua Dialup hay chi phí thuê
đường leadline cho khoảng cách xa thay vì như vậy chỉ cần các kết nối nội hạt
và điều này là tiết kiệm được chi phí. VPN gửi dữ liệu giữa các đầu cuối, dữ
liệu được đóng gói, với các Header cung cấp thông tin định tuyến cho phép
chuyển dữ liệu qua một liên kết hoặc một liên mạng công cộng tới đích. Dữ
liệu chuyển đi được mã hoá để đảm bảo an toàn, các gói dữ liệu truyền thông
trên mạng là không thể đọc mà không có khoá giải mã. Liên kết mà trong đó dữ
liệu được đóng gói và mã hoá là một kết nối VPN.
Các hình thức kết nối: Có hai kiểu kết nối VPN, kết nối VPN truy cập từ
xa và kết nối Site-to-site. Một kết nối VPN truy cập từ xa được thiết lập bởi
một máy tính PC tới một mạng dùng riêng. VPN gateway cung cấp truy cập tới
các tài nguyên của mạng dùng riêng. Các gói dữ liệu gửi qua kết nối VPN
được khởi tạo từ các client. VPN client thực hiện việc xác thực tới VPN
gateway. Kết nối site-to-site, được thiết lập bởi các VPN gateway và kết nối hai
phần của một mạng dùng riêng. (hình 5.12).
Hình 5.12
209
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Tunnel: là một phần quan trọng trong việc xây dựng một mạng VPN.
Các chuẩn truyền thông sử dụng để quản lý các tulnnel và đóng gói dữ liệu của
VPN bao gồm các giao thức làm việc ở lớp 2 như PPTP (Point-to-Point
Tunlling Protocol) được phát triển bởi Microsoft hỗ trợ trong môi trường mạng
Windows, L2TP (Layer 2 Tunnelling Protocol) được phát triển bởi Cisco. IPsec
là một giao thức làm việc ở lớp 3, IPsec được phát triển bởi IETF và ngày càng
được sử dụng rộng rãi.
L2TP và PPTP có mục đích là cung cấp các đường hầm dữ liệu thông
qua mạng truyền dữ liệu công cộng. L2TP khác với PPTP ở chỗ nó tạo lập
đường hầm nhưng không mã hoá dữ liệu. L2TP cung cấp các đường hầm bảo
mật khi cùng hoạt động với các công nghệ mã hoá khác như IPSec. IPSec
không yêu cầu phải có L2TP nhưng các chức năng mã hoá của nó đưa đến cho
L2TP khả năng cung cấp các kênh thông tin bảo mật, cung cấp các giải pháp
VPN. L2TP và PPTP cùng sử dụng PPP để đóng gói, thêm bớt thông tin tiếp
đầu và truyền tải dữ liệu qua mạng.
Các kết nối VPN có các đặc trưng sau: đóng gói (Encapsulation), xác
thực (Authentication) và mã hoá dữ liệu (Data encryption)
Đóng gói dữ liệu: Công nghệ VPN sử dụng một phương thức đóng gói
dữ liệu trong đó cho phép dữ liệu truyền được qua mạng công cộng qua các
giao thức tạo đường hầm.
Xác thực: Khi một kết nối VPN được thiết lập,VPN gateway sẽ xác thực
VPN client đang yêu cầu kết nối và nếu được được phép kết nối được thực
hiện. Nếu sự xác thực kết nối là qua lại được sử dụng, thì VPN client sẽ thực
hiện việc xác thực lại VPN gateway, để đảm bảo rằng đấy chính là server mà
mình cần gọi. Xác thực dữ liệu và tính toàn vẹn của dữ liệu: để xác nhận rằng
dữ liệu đang được gửi từ một đầu của kết nối khác mà không bị thay đổi trong
quá trình truyền, dữ liệu phải bao gồm một trường kiểm tra bằng mật mã dự
trên một khoá mã hoá đã biết chỉ giữa người gửi và người nhận
Mã hóa dữ liệu: để đảm bảo dữ liệu truyền trên mạng, dữ liệu phải được
mã hoá tại đầu gửi và giải mã tại đầu nhận. Việc mã hoá và giải mã dữ liệu phụ
thuộc và người gửi và người nhận đang sử dụng phương thức mã hoá và giải
mã nào.
210
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
III.7. Sử dụng Network and Dial-up Connection.
Network and Dial-up Connection (NDC) là một công cụ được Microsoft
phát triển để hỗ trợ việc tạo lập các kết nối trong đó bao gồm các kết nối cho
truy cập từ xa. Với việc sử dụng NDC ta có thể truy cập tới các tài nguyên dù
đang ở trong mạng hay ở một địa điểm ở xa. Các kết nối được khởi tạo, thiết
lập cấu hình, lưu giữ và quản lý bởi NDC. Mỗi một kết nối bao gồm một bộ các
đặc tính được sử dụng để thiết lập liên kết giữa một máy tính tới máy tính hoặc
mạng khác. Các kết nối gọi ra được liên lạc với một máy chủ truy cập ở xa
bằng các hình thức truy cập gián tiếp thương là qua các mạng truyền dẫn mạng
thoại công cộng, mạng ISDN. NDC cũng hỗ trợ việc thiết lập các kết nối gọi
vào có nghĩa là đóng vai trò như một máy chủ truy cập.
Bởi vì tất cả các dịch vụ và các phương thức truyền thông đều được thiết
lập trong kết nối nên không cần phải sử dụng các công cụ khác để cấu hình cho
kết nối. Ví dụ để thiết lập cho một kết nối dial-up bao gồm các đặc tính được sử
dụng trước, trong và sau khi kết nối. Các thông số này bao gồm: modem sẽ
quay số, kiểu mã hóa password được sử dụng và các giao thức mạng sẽ sử dụng
sau kết nối. Trạng thái kết nối bao gồm thời gian và tốc độ cũng được chính kết
nối hiển thị mà không cần bất cứ một công cụ nào khác.
III.8. Một số vấn đề xử lý sự cố trong truy cập từ xa.
Các vấn đề liên quan đến sự cố trong truy cập từ xa, thường bao gồm:
Giám sát truy cập từ xa: giám sát máy chủ truy cập là phương pháp tốt
nhất thường sử dụng để tìm ra nguồn gốc của các vấn đề xảy ra sự cố. Mỗi một
chương trình phần mềm hay thiết bị phần cứng máy chủ truy cập bao giờ cũng
có các công cụ sử dụng để giám sát và ghi lại các sự kiện xảy ra (trong các file
log) đối với mỗi phiên truy cập từ xa.
Theo dõi các kết nối truy cập từ xa: khả năng theo dõi các kết nối truy
cập từ xa của một Máy chủ truy cập cho ta xử lý các vấn đề phức tạp về sự cố
mạng. Các thông tin theo dõi một kết nối từ xa thường rất phức tạp và khá chi
tiết do đó để phân tích và xử lý cần thiết người quản trị mạng phải có kinh
nghiệm và trình độ về hệ thống mạng.
211
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Xử lý các sự cố về phần cứng: bao gồm các thiết bị truyền thông tại
người dùng và tại máy chủ truy cập. Đối với các thiết bị tại người dùng (thường
là các modem, cạc mạng...), hãy xem tài liệu về sản phẩm đó hay hỏi nhà cung
cấp thiết bị về sản phẩm của họ về các cách kiểm tra và xác định lỗi của sản
phẩm này. Nếu kết nối sử dụng modem, hãy kiểm tra rằng modem đã được cài
đặt đúng chưa. Trong Windows 2000 các bước kiểm tra như sau:
o Trong Control Panel, kích Phone and Modem Options
o Trong trang modem, kích tên modem, sau đó kích Properties
o Kích Diagnostics, sau đó kích Query Modem.
Nếu modem đã được cài đặt đúng, bộ các thông số về modem sẽ được hiển thị,
ngược lại hãy kiểm tra và cài đặt lại modem, trong trường hợp cuối cùng hãy
hỏi nhà sản xuất thiết bị này. Để nhận thêm các thông tin về modem trong khi
đang cố gắng tạo lập một kết nối, hãy xem thông tin trong log file để tìm ra
nguyên nhân gạp sự cố. Để ghi các thông tin vào log file thực hiện theo các
bước sau:
o Trong Control Panel, kích Phone and Modem Options
o Trong trang modem, kích tên modem, sau đó kích Properties
o Kích Diagnostics, sau đó kích lựa chọn Record a log, sau đó kích
OK.
Đối với thiết bị truyền thông tại máy chủ truy cập: Kiểm tra các thiết bị
phần cứng tương tự như trong trường hợp thiết bị tại người dùng, đồng thời
kiểm tra log file về các sự kiện xẩy ra với hệ thống để tìm ra nguyên nhân sự
cố. Một cách khác để kiểm tra modem tại máy chủ truy cập là sử dụng một
đường điện thoại và gọi tới modem đó sau đó nghe xem modem đó có trả lời và
cố gắng tạo một kết nối hay không. Nếu không có tín hiệu tạo kết nối từ
modem đó thì có thể kết luận rằng đang có một vấn đề lỗi về modem tại máy
chủ truy cập
Xử lý các sự cố về đường truyền thông: Thường là do cáp được đấu sai
hay vì nguyên nhân từ nhà cung cấp dịch vụ điện thoại. Hãy kiểm tra đường
điện thoại từ người dùng tới máy chủ truy cập bằng cách gọi điện thoại thông
thường, thông qua chất lượng cuộc gọi ta cũng có thể phần nào dự đoán được
chất lượng của đường truyền.
212
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Xử lý các thiết đặt về cấu hình: Sau khi xác định rằng các vấn đề về
phần cứng cũng như đường truyền thông đều tốt, bước tiếp theo ta kiểm tra các
thiết đặt về cấu hình, bao gồm:
Các thiết đặt về mạng: lỗi cấu hình về mạng xảy ra khi đã tạo kết nối
thành công nhưng vẫn không thể truy cập được các nguồn tài nguyên trên
mạng, các lỗi thường xẩy ra như việc phân giải tên chưa hoạt động, các lỗi về
định tuyến...khi lỗi về cấu hình mạng xảy ra, trước tiên ta kiểm tra rằng các
máy kết nối trực tiếp (không thông qua dịch vụ truy cập từ xa) có thể truy cập
được vào các nguồn tài nguyên trên mạng. Sau đó kiểm tra các cấu hình về
TCP/IP bằng việc sử dụng lệnh ipconfig /all trên máy client. Kiểm tra rằng các
thông số như DNS, địa chỉ IP, các thông số về định tuyến đã được thiết đặt
đúng chưa. Sử dụng lệnh ping để kiểm tra kết nối mạng đã làm việc.
Các thiết đặt Máy chủ truy cập: Các thiết đặt trên máy chủ truy cập với
các thông sô sai khi tạo lập kết nối có thể là nguyên nhân người dùng không thể
truy cập vào các nguồn tài nguyên trên mạng. Để hỗ trợ cho việc xác định
nguyên nhân gây lỗi, kiểm tra các sự kiện đã ghi log trên máy chủ truy cập và
client, trong một số trường hợp cần thiết phải theo dõi (tracing) các kết nối trên
máy chủ truy cập.
Các thiết đặt trên máy người dùng từ xa: kiểm tra các giao thức mạng
làm việc trên client, các giao thức mạng làm việc trên client phải được hỗ trợ
bởi máy chủ truy cập. Ví dụ, nếu người dùng từ xa thiết đặt trên client các giao
thức NWLink, IPX/SPX và máy chủ truy cập chỉ hỗ trợ sử dụng TCP/IP, thì kết
nối sẽ không thành công.
IV. Bài tập thực hành.
Yêu cầu về Phòng học lý thuyết: Số lượng máy tính theo số lượng học
viên trong lớp học đảm bảo mỗi học viên có một máy tính, cấu hình máy tối
thiểu như sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x).
Máy tính đã cài đặt Windows 2000 advance server. Các máy tính đã được nối
mạng chạy giao thức TCP/IP.
Thiết bị thực hành: Đĩa cài phần mềm Windows 2000 Advance Server.
Mỗi máy tính có 01 Modem V.90 và 01 đường điện thoại. 01 account truy cập
internet
213
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Bài 1.
Thiết lập dialup networking để tạo ra kết nối Internet. truy cập Internet và giới
thiệu các dịch vụ cơ bản
9 Đăng nhập vào hệ thống với quyền Administrator.
9 Kích Start, trỏ settings, sau đó kích Network and Dial-up Connections
9 Trong Network and Dial-up Connections, kích đúp vào Make New
Connection.
9 Trong Network Connection Wizard, kích Next, có hai lựa chọn có thể sử
dụng là Dial-up to private network hoặc Dial-up to the Internet.
9 Nếu chọn Dial-up to private network, đưa vào số điện thoại truy cập của
nhà cung cấp.
9 Nếu chọn Dial-up to the Internet, lúc đó Internet Connection Wizard sẽ
bắt đầu, làm theo các bước chỉ dẫn.
9 Nếu muốn tất cả người dùng đều có thể sử dụng kết nối này thì lựa chọn,
For all users, sau đó kích Next. Nếu muốn chỉ người dùng hiện tại sử dụng thì
lựa chọn Only for myself, sau đó kích Next.
9 Nếu đã lựa chọn Only for myself thì chuyển đến bước cuối cùng, Nếu
lựa chọn For all users và muốn các máy tính khác trên mạng có thể chia sẻ kết
nối này hãy lựa chọn Enable Internet Connection Sharing for this connection.
9 Thiết đặt ngầm định là bất kỳ mày tính nào cũng có thể khởi tạo kết nối
này một cách tự động, nếu muốn bỏ ngầm định này hãy xóa lựa chọn Enable
on-demand dialing, sau đó kích next
9 Đưa vào tên của kết nối và kích Finish.
Bài 2
Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập
vào mạng trên hệ điều hành Windows 2000 server.
Bước 1:
Cài đặt máy chủ dịch vụ truy cập từ xa
9 Đăng nhập vào hệ thống với quyền Administrator
214
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Mở Routing and Remote Access từ menu Administrator Tools
9 Kích chuột phải vào tên Server sau đó chọn Configure and Enable
Routing and remote Access.
9 Kịch bản Routing and Remote Access Server Setup xuất hiện, kích next
9 Trong trang common Configuration, chọn Remote access server, sau đó
kích next
9 Trong trang Remote Client Protocol, xác định các giao thức sẽ hỗ trợ
cho truy cập từ xa, sau đó kích next
9 Trong trang Network Selection, lựa chọn kết nối mạng sẽ gán cho các
máy truy cập từ xa, sau đó kích next
9 Trong trang IP Address Asignment, lựa chọn Automaticlly hoặc From
specified range of addresses cho việc gán các đị chỉ IP tới các máy truy cập từ
xa
9 Trong trang Managing Multiple Remote Acccess Servers cho phép lựa
chọn cấu hình RADIUS, kích next
9 Kích Finish để kết thúc.
Bước 2:
Thiết đặt tài khoản cho người dùng từ xa. Thiết lập một tài khoản có tên
RemoteUser
9 Đăng nhập với quyền Administrator
9 Mở Active Directory Users and Computers từ menu Administrator
Tools
9 Kích chuột phải vào Users, chọn new và kích vào User
9 Trong hộp thoại New Object-User, điền RemoteUser vào First name
9 Trong hộp User logon name, gõ RemoteUser
9 Thiết đặt Password cho tài khoản này, kích next sau đó kích Finish.
9 Kích chuột phải vào RemoteUser sau đó kích Properties
9 Trong trang Dial-In tab, kích Allow access, sau đó click OK
Thiết lập một Global group tên là RemoteGroup, sau đó thêm tài khoản người
dùng vừa thiết lập vào nhóm này
215
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Kích chuột phải vào Users, chọn new sau đó kích Group
9 Trong hộp thoại New Object-Group, mục Group name gõ vào
RemoteGroup
9 Trong mục Group scope kiểm tra Global đã được lựa chọn, trong mục
Group type kiểm tra rằng Security đã được lựa chọn, sau đó kích OK
9 Mở hộp thoại Properties của RemoteGroup
9 Trong trang Member, kích Add
9 Trong hộp thoại Select Users, Contacts, Computers, hoặc Group, Look
in box, kiểm tra domain đã được hiển thị
9 Trong danh sách các đối tượng, kích RemoteUser, kích Add sau đó kích
OK
9 Kích OK để đóng hộp thoại RemoteGroup Properties
Bước 3:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại.
Bước 4:
Cấu hình cho phép tài khoản RemoteUser truy cập vào mạng được điều khiển
truy cập bởi các chính sách truy cập từ xa (Remote access policy)
9 Mở lại Active Directory Users and Computers từ menu Administrator
Tools
9 Mở hộp thoại Properties của tài khoản RemoteUser
9 Trong trang Dial-in tab, kích Control access though Remote Policy sau
đó kích OK, lư u ý rằng điều khiển vùng (Domain Controler) phải chạy ở chế
độ Native.
9 Thu nhỏ cửa sổ Active Directory Users and Computers
Bước 5:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. Thông báo
lỗi xuất hiện, kết nối không được thiết lập.
216
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Bước 6:
Sử dụng RRAS để thiết lập một chính sách mới đối với người dùng từ xa, tên
chính sách này là Allow RemoteGroup Access cho phép người dùng trong
nhóm RemoteGroup truy cập.
9 Mở Routing and Remote Access từ menu Administrator Tools
9 Mở rộng tên máy chủ đang cấu hình, kích chuột phải vào Remote
Access Policy sau đó chọn New Remote Access Policy
9 Trong trang Policy Name, gõ vào Allow RemoteGroup Access sau đó
kích Next
9 Trong trang Condition, kichs Add trong hộp thoại Select Attribute kích
Windows-Groups sau đó kích Add
9 Trong hộp thoại Groups kích Add
9 Trong hộp thoại Select Groups, trong danh sách Look in, kích vào tên
domain
9 Trong hộp thoại Select Groups,dưới Name kích RemoteGroups kích
Add sau đó kích OK
9 Trong hộp thoại Groups kích OK
9 Trong trang Condition kích Next
9 Trong trang Permissions kích Grant remote access permission sau đó
kích Next
9 Trong trang User Profile kích Finish
9 Trong trang Routing and Remote Access kích Remote Access Policies
sau đó kích chuột phải Allow RemoteGroup access sau đó kích Move Up
Bước 7:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại.
Bước 8:
Cấu hình để default policy được thi hành trước:
217
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Mở trang Routing and Remote Access, kích chuột phải RemoteGroup
sau đó kích Move Down.
9 Đóng cửa sổ Routing and Remote Access
Bước 9:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. Thông báo
lỗi xuất hiện, kết nối không được thiết lập.
Bước 10:
Cấu hình cho phép truy cập sử dụng Properties của RemoteUser
9 Mở lại Active Directory Users and Computers từ menu Administrator
Tools
9 Mở Properties của RemoteUser
9 Trong trang Dial-in, kích Allow access sau đó kích OK
9 Đóng Active Directory Users and Computers.
Bước 11:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại
Bài 3
Cấu hình VPN server và thiết lập VPN Client, kiểm tra kết nối từ VPN Client
tới VPN server
Bước 1:
Cấu hình cho kết nối VPN gọi vào
9 Đăng nhập vào hệ thống với quyền Administrator
9 Mở Routing and Remote Access từ menu Administrator Tools
9 Kích chuột phải vào tên Server (Server là tên máy chủ đang cấu hình)
9 Kịch bản thiết lập Routing and Remote Access xuất hiện, kích next
218
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong trang Network Selection, mục Name kiểm tra tên đã lựa chọn sau
đó Click next
9 Trong trang IP Address Assigment, kích From a specified range of
addresses
9 Trong trang Address Range Assignment, kích New
9 Điền địa chỉ IP vào ô Start IP address và điền vào số địa chỉ vào ô
Number of Address
9 Kích OK, sau đó kích next
9 Trong trang Managing Multiple Remote Access Servers, lựa chọn No, I
don’t want to set up this server to use RADIUS now, kích next sau đó kích
Finish
9 Kích OK để đóng hộp thoại Routing and Remote Access.
Cấu hình cho phép tài khoản Administrator truy cập vào mạng
9 Mở Active Directory Users and Computers từ menu Administrator
Tools.
9 Mở rộng tên domain kích Users, kích đúp chuột vào Administrator
9 Trong mục Dial-in, chọn Allow acces sau đó kích OK.
9 Đóng của sổ Active Directory Users and Computers
Bước 2:
Cấu hình cho kết nối VPN gọi ra. Để kiểm tra dịch vụ truy cập từ xa đã làm
việc phục vụ cho những người dùng từ xa, ta thiết lập một nối kết tới VPN
server.
9 Kích chuột phải vào My Network Places, sau đó kích Properties
9 Trong của sổ Network Dialup Connections, kích đúp chuột vào Make
new connection
9 Trong trang Network Connection Type, kích Connect to a private
network through the Internet, sau đó kích next
9 Trong trang Destination Address page, gõ vào địa chỉ IP của máy cài đặt
VPN server, sau đó kích next
219
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong trang Connection Availability, kích Only for my self, kích next
sau đó kích Finish
9 Khởi tạo kết nối tới VPN server
9 Trong hộp thoại Connect Virtual Private Connection, kiểm tra tài khoản
đăng nhập là Administrator và Password sau đó kích connect
9 Kích OK để đóng thông báo Connnection Complete
9 Đống của sổ Network Dialup Connections.
Sử dụng tiện ích Ipconfig để xác nhận rằng bạn đã thiết lập được một kết nối
VPN và nhận được địa IP cho kết nối này lưu ý rằng đại chỉ IP cho kết nối
VPN này là dãy địa chỉ tĩnh mà VPN server cấp phát
Đóng kết nối
9 Kích đúp vào biểu tượng Connection trong khay hệ thống
9 Trong hộp thoại Vitual Private Connection Status, kích disconnect
9 Đóng tất cả các cửa sổ lại
220
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Mục 2 : Dịch vụ Proxy - Giải pháp cho việc kết nối
mạng dùng riêng ra Internet
I. Các khái niệm.
I.1. Mô hình client server và một số khả năng ứng dụng.
Mô hình chuẩn cho các ứng dụng trên mạng là mô hình client-server.
Trong mô hình này máy tính đóng vai trò là một client là máy tính có nhu cầu
cần phục vụ dịch vụ và máy tính đóng vai trò là một server là máy tính có thể
đáp ứng được các yêu cầu về dịch vụ đó từ các client. Khái niệm client-server
chỉ mang tính tương đối, điều này có nghĩa là một máy có thể lúc này đóng vai
trò là client và lúc khác lại đóng vai trò là server. Nhìn chung, client là một
máy tính cá nhân, còn các Server là các máy tính có cấu hình mạnh có chứa các
cơ sở dữ liệu và các chương trình ứng dụng để phục vụ một dịch vụ nào đấy từ
các yêu cầu của client (hình 6.1).
Hình 6.1
Cách thức hoạt động của mô hình client-server như sau: một tiến trình
trên server khởi tạo luôn ở trạng thái chờ yêu cầu từ các tiến trình client tiến
trình tại client được khởi tạo có thể trên cùng hệ thống hoặc trên các hệ thống
khác được kết nối thông qua mạng, tiến trình client thường được khởi tạo bởi
các lênh từ người dùng. Tiến trình client ra yêu cầu và gửi chúng qua mạng tới
server để yêu cầu được phục vụ các dịch vụ. Tiến trình trên server thực hiện
việc xác định yêu cầu hợp lệ từ client sau đó phục vụ và trả kết quả tới client và
tiếp tục chờ đợi các yêu cầu khác. Một số kiểu dịch vụ mà server có thể cung
221
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1cấp như: dịch vụ về thời gian (trả yêu cầu thông tin về thời gian tới client), dịch
vụ in ấn (phục vụ yêu cầu in tại client), dịch vụ file (gửi, nhận và các thao tác
về file cho client), thi hành các lệnh từ client trên server...
Dịch vụ web là một dịch vụ cơ bản trên mạng Internet hoạt động theo
mô hình client-server. Trình duyệt Web (Internet Explorer, Netscape...) trên các
máy client sử dụng giao thức TCP/IP để đưa ra các yêu cầu HTTP tới máy
server. Trình duyệt có thể đưa ra các yêu cầu một trang web cụ thể hay yêu cầu
thông tin trong các cơ sở dữ liệu. Máy server sử dụng phần mềm của nó phân
tích các yêu cầu từ các gói tin nhận được kiểm tra tính hợp lệ của client và thực
hiện phục vụ các yêu cầu đó cụ thể là gửi trả lại client một trang web cụ thể hay
các thông tin trên cơ sở dữ liệu dưới dạng một trang web. Server là nơi lưu trữ
nội dung thông tin các website, phần mềm trên server cho phép server xác định
được trang cần yêu cầu và gửi tới client. Cơ sở dữ liệu và các ứng dụng tương
tự khác trên máy chủ được khai thác và kết nối qua các chương trình như CGI
(Common Gateway Interface), khi các máy server nhận được yêu cầu về tra
cứu trong cơ sở dữ liệu , nó chuyển yêu cầu tới server có chứa cơ sở dữ liệu
hoặc ứng dụng để xử lý qua CGI.
I.2. Socket.
Một kết nối được định nghĩa như là một liên kết truyền thông giữa các
tiến trình, như vậy để xác định một kết nối cần phải xác định các thành phần
sau: {Protocol, local-addr, local-process, remote-addr, remote-process}
Trong đó local-addr và remote-addr là địa chỉ của các máy địa phương và máy
từ xa. local-process, remote-process để xác định vị trí tiến trình trên mỗi hệ
thống. Chúng ta định nghĩa một nửa kết nối là {Protocol, local-addr, local-
process} và {Protocol, remote-addr, remote-process} hay còn gọi là một
socket.
Chúng ta đã biết để xác đinh một máy ta dựa vào địa chỉ IP của nó,
nhưng trên một máy có vô số các tiến trình ứng dụng đang chạy, để xác định vị
trí các tiến trình ứng dụng này người ta định danh cho mỗi tiến trình một số
hiệu cổng, giao thức TCP sử dụng 16 bit cho việc định danh các cổng tiến trình
và qui ước số hiệu cổng từ 1-1023 được sử dụng cho các tiến trình chuẩn (như
FTP qui ước sử dụng cổng 21, dịch vụ WEB qui ước cổng 80, dịch vụ gửi thư
222
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1SMTP cổng 25...) số hiệu cổng từ 1024- 65535 dành cho các ứng dụng của
người dùng. Như vậy một cổng kết hợp với một địa chỉ IP tạo thành một socket
duy nhất trong liên mạng. Một kết nối TCP được cung cấp nhờ một liên kết
logic giữa một cặp socket. Một socket có thể tham gia nhiều liên kết với các
socket ở xa khác nhau. Trước khi truyền dữ liệu giữa hai trạm cần phải thiết lập
một liên kết TCP giữa chúng và khi kết thúc phiên truyền dữ liệu thì liên kết đó
sẽ được giải phóng.
Hình 6.2
Quá trình thiết lập một socket với các lời gọi hệ thống được mô tả như
sau: server thiết lập một socket với các thông số đặc tả các thủ tục truyền thông
như (TCP, UDP, XNS...) và các kiểu truyền thông (SOCK_STREAM,
SOCK_DGRAM...), sau đó liên kết tới socket này các thông số về địa chỉ như
IP và các cổng TCP/UDP sau đó server ở chế độ chờ và chấp nhận kết nối đến
từ client.
223
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
I.3. Phương thức hoạt động và đặc điểm của dịch vụ Proxy.
1. Phương thức hoạt động
Dịch vụ proxy được triển khai nhằm mục đích phục vụ các kết nối từ các
máy tính trong mạng dùng riêng ra Internet. Khi đăng ký sử dụng dịch vụ
internet tới nhà cung cấp dịch vụ, khách hàng sẽ được cấp hữu hạn số lượng địa
chỉ IP từ nhà cung cấp, số lượng IP nhận được không đủ để cấp cho các máy
tính trạm. Mặt khác với nhu cầu kết nối mạng dùng riêng ra Internet mà không
muốn thay đổi lại cấu trúc mạng hiện tại đồng thời muốn gia tăng khả năng thi
hành của mạng qua một kết nối Internet duy nhất và muốn kiểm soát tất cả các
thông tin vào ra, muốn cấp quyền và ghi lại các thông tin truy cập của người sử
dụng… Dịch vụ proxy đáp ứng được tất cả các yêu cầu trên. Hoạt động trên cơ
sở mô hình client-server. Quá trình hoạt động của dịch vụ proxy theo các bước
như sau:
Hình 6.3
1 Client yêu cầu một đối tượng trên mạng Internet
1 Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ cũng như thực hiện
việc xác thực client nếu thỏa mãn proxy server gửi yêu cầu đối tượng này tới
server trên Internet.
1 Server trên Internet gửi đối tượng yêu cầu về cho proxy server.
1 Proxy server gửi trả đối tượng về cho client
224
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Ta có thể thiết lập proxy server để phục vụ cho nhiều dịch vụ như dịch
vụ truyền file, dịch vụ web, dịch vụ thư điện tử…Mỗi một dịch vụ cần có một
proxy server cụ thể để phục vụ các yêu cầu đặc thù của dịch vụ đó từ các client.
Proxy server còn có thể được cấu hình để cho phép quảng bá các server
thuộc mạng trong ra ngoài Internet với mức độ an toàn cao. Ví dụ ta có thể thiết
lập một web server thuộc mạng trong và thiết lập các qui tắc quảng bá web trên
proxy server để cho phép quảng bá web server này ra ngoài Internet. Tất cả các
yêu cầu truy cập web đến được chấp nhận bởi proxy server và proxy server sẽ
thực hiện việc chuyển tiếp yêu cầu tới web server thuộc mạng trong (hình 6.4)
Hình 6.5
Các client được tổ chức trong một cấu trúc mạng gọi là mạng trong
(Inside network) hay còn gọi là mạng dùng riêng. IANA (Internet Assigned
Numbers Authority) đã dành riêng 3 khoảng địa chỉ IP tương ứng với 3 lớp
mạng tiêu chuẩn cho các mạng dùng riêng đó là:
10.0.0.0 - 10.255.255.255 (lớp A)
172.16.0.0 - 172.31.255.255 (lớp B)
192.168.0.0 - 192.168.255.255 (lớp C)
Các địa chỉ này sử dụng cho các client trong mạng dùng riêng mà không
được gán cho bất cứ máy chủ nào trên mạng Internet. Trong việc thiết kế và
cấu hình mạng dùng riêng khuyến nghị nên sử dụng các khoảng địa chỉ IP này.
225
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Khái niệm mạng ngoài (Outside network) là để chỉ vùng mà các server
thuộc vào. Các địa chỉ sử dụng trên mạng này là các địa chỉ IP được đăng ký
hợp lệ của nhà cung cấp dịch vụ Internet.
Proxy server sử dụng hai giao tiếp, giao tiếp mạng trong và giao tiếp
ngoài. Giao tiếp trong điển hình là các cạc mạng sử dụng cho việc kết nối giữa
proxy server với mạng dùng riêng và có địa chỉ được gán là địa chỉ thuộc mạng
dùng riêng. Tất cả các thông tin giữa client thuộc mạng dùng riêng và proxy
server được thực hiện thông qua giao tiếp này. Giao tiếp ngoài thường bằng các
hình thức truy cập gián tiếp qua mạng điện thoại công cộng và qua cạc mạng
bằng kết nối trực tiếp tới mạng ngoài. Giao tiếp ngoài được gán địa chỉ IP
thuộc mạng ngoài được cung cấp hợp lệ bởi nhà cung cấp dịch vụ Internet.
2. Đặc điểm
Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu và
cũng cho phép các máy tính trên mạng internet có thể truy cập các tài nguyên
trong mạng dùng riêng.
Proxy Server tăng cường khả năng kết nối ra Internet của các máy tính
trong mạng dùng riêng bằng cách tập hợp các yêu cầu truy cập Internet từ các
máy tính trong mạng và sau khi nhận được kết quả từ Internet sẽ trả lời lại cho
máy có yêu cầu ban đầu.
Ngoài ra proxy server còn có khả năng bảo mật và kiểm soát truy cập
Internet của các máy tính trong mạng dùng riêng. Cho phép thiết đặt các chính
sách truy cập tới từng người dùng.
Proxy server lưu trữ tạm thời các kết quả đã được lấy từ Internet về
nhằm trả lời cho các yêu cầu truy cập Internet với cùng địa chỉ. Việc lưu trữ
này cho phép các yêu cầu truy cập Internet với cùng địa chỉ sẽ không cần phải
lấy lại kết quả từ Internet, làm giảm thời gian truy cập Internet, tăng cường hoạt
động của mạng và giảm tải trên đường kết nối Internet. Các công việc lưu trữ
này gọi là quá trình cache.
226
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.4. Cache và các phương thức cache.
Nhằm tăng cường khả năng truy cập Internet từ các máy tính trạm trong
mạng sử dụng dịch vụ proxy ta sử dụng các phương thức cache. Dịch vụ proxy
sử dụng cache để lưu trữ bản sao của các đối tượng đã được truy cập trước đó.
Tất cả các đối tượng đều có thể được lưu trữ (như hình ảnh và các tệp tin), tuy
nhiên một số đối tượng như yêu cầu xác thực (Authenticate) và sử dụng SSL
(Secure Socket Layer) không được cache. Như vậy với các đối tượng đã được
cache, khi một yêu cầu từ một máy tính trạm tới proxy server, proxy server
thay vì kết nối tới địa chỉ mà máy tính trạm yêu cầu sẽ tìm kiếm trong cache
các đối tượng thoã mãn và gửi trả kết quả về máy tính trạm. Như vậy cache cho
phép cải thiện hiệu năng truy cập Internet của các máy trạm và làm giảm lưu
lượng trên đường kết nối Internet. Vấn đề gặp phải khi sử dụng cache là khi các
đối tượng được cache có sự thay đổi từ nguồn, các máy tính trạm yêu cầu một
đối tượng tới proxy server, proxy server lấy đối tượng trong cache để phục vụ
và như vậy thông tin chuyển tới các máy tính trạm là thông tin cũ so với nguồn,
để giải quyết vấn đề này cần phải có các chính sách để cache các đối tượng
đồng thời các đối tượng phải liên tục được cập nhật mới. Ví dụ: thông thường
một địa chỉ WEB thì các đối tượng về hình ảnh ít có sự thay đổi còn nội dung
text thường có sự thay đối do đó ta có thể thiết đặt chỉ cache những đối tượng
hình ảnh, những đối tượng có nội dung text thì không cache, điều này không
ảnh hưởng tới hiệu suất truy cập vì các tập tin về hình ảnh thường có kính
thước rất lớn so với các đối tượng có nội dung text, việc cập nhật các đối tượng
như thế nào phụ thuộc vào các phương thức cache mà ta sẽ trình bày dưới đây.
Proxy server thực thi cache cho các đối tượng được yêu cầu một cách có
chu kỳ để tăng hiệu suất của mạng. Ta có thể thiết lập cache để đảm bảo rằng
nó bao gồm những dữ liệu thường hay các client sử dụng nhất. Proxy server có
thể sử dụng cho phép thông tin giữa mạng dùng riêng và Internet, việc thông tin
có thể là client trong mạng truy cập Internet-trong trường hợp này proxy server
thực hiện Forward caching, cũng có thể là client ngoài truy cập tói mạng trong
(tới các server được quảng bá)-trong trường hợp này proxy server thực hiện
reverse caching. Cả hai trường hợp đều có được từ khả năng của proxy server
là lưu trữ thông tin (tạm thời) làm cho việc truyền thông thông tin được nhanh
hơn, sau đây là các tính chất của cache proxy server:
227
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Phân cache: khi cài đặt một mảng các máy proxy server ta sẽ thiết lập được
việc phân phối nội dung cache. Proxy server cho phép ghép nhiều hệ thống
thành một cache logic duy nhất.
- Cache phân cấp: Khả năng phân phối cache còn có thể chuyên sâu hơn bằng
cách cài đặt chế độ cache phân cấp liên kết một loạt các máy proxy server với
nhau để client có thể truy cập tới gần chúng nhất.
- Cache định kỳ: sử dụng cache định kỳ nội dung download đối với các yêu cầu
thường xuyên của các client
- Reverse cache: proxy server có thể cache các nội dung của các server quảng bá
do đó tăng hiệu suất và khả năng truy cập, mọi đặc tính cache của proxy server
đều có thể áp dụng cho nội dung trên các server quảng bá.
Proxy server có thể được triển khai như một Forward cache nhằm cung
cấp tính năng cache cho các client mạng trong truy cập Internet. Proxy server
duy trì bộ cache tập trung của các đối tượng Internet thường được yêu cầu có
thể truy cập từ bất kỳ trình duyệt từ mày client. Các đối tượng phục vụ cho các
yêu cầu từ các đĩa cache yêu cầu tác vụ xử lý nhỏ hơn đáng kế so với các đối
tượng từ Internet, việc này tăng cường hiệu suất của trình duyệt trên client,
giảm thời gian hồi đáp và giảm việc chiếm băng thông cho kết nối Internet.
Hình vẽ sau mô tả proxy server xử lý các yêu cầu của người dùng ra sao (hình
6.6)
Hình 6.6
228
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 Hình trên mô tả quá trình các client trong mạng dùng riêng truy cập ra
ngoài Internet nhưng tiến trình này cũng tương tự đối với các cache reverse
(khi người dùng trên Internet truy cập vào các Server quảng bá) các bước bao
gồm;
1 Client 1 yêu cầu một đối tượng trên mạng Internet
2 Proxy server kiểm tra xem đối tượng có trong cache hay không. Nếu đối
tượng không có trong cache của proxy server thì proxy server gửi yêu cầu đối
tượng tới server trên Internet.
3 Server trên Internet gửi đối tượng yêu cầu về cho proxy server .
4 proxy server gĩư bản copy của đối tượng trong cache của nó và trả đối
tượng về cho client1
5 Client 2 gửi một yêu cầu về đối tượng tương tự
6 Proxy server gửicho client 2 đối tượng từ cache của nó chứ không phải
từ Internet nữa.
Ta có thể triển khai dịch vụ proxy để quảng bá các server trong mạng
dùng riêng ra ngoài Internet. Với các yêu cầu đến, proxy server có thể đòng vai
trò như là một server bên ngoài, đáp ứng các yêu cầu của client từ các nội dung
web trong cache của nó. Proxy server chuyển tiếp các yêu cầu cho server chỉ
khi nào cache của nó không thể phục vụ yêu cầu đó (Reverse cache).
Lựa chọn các phương thức cache dựa trên các yếu tố: không gian ổ cứng
sử dụng, đối tượng nào được cache và khi nào các đối tượng này sẽ được cập
nhật. Về cơ bản ta có hai phương thức cache thụ động và chủ động.
Phương thức Cache thụ động (passive cache): Cache thụ động lưu trữ
các đối tượng chỉ khi các máy tính trạm yêu cầu tới đối tượng. Khi một đối
tượng được chuyển tới máy tính trạm, máy chủ Proxy xác định xem đối tượng
này có thể cache hay không nếu có thể đối tượng sẽ được cache. Các đối tượng
chỉ được cập nhật khi có nhu cầu. Đối tượng sẽ bị xoá khỏi cache dựa trên thời
điểm gần nhất mà các máy tính trạm truy cập tới đối tượng. Phương thức này
có lợi ích là sử dụng ít hơn bộ xử lý nhưng tốn nhiều không gian ổ đĩa hơn
Phương thức Cache chủ động (active cache): Cũng giống như phương
thức cache thụ động, Cache chủ động lưu trữ các đối tượng khi các máy tính
trạm ra yêu cầu tới một đối tượng máy chủ Proxy đáp ứng yêu cầu và lưu đối
tượng này vào Cache. Phương thức này tự động cập nhật các đối tượng từ
229
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Internet dựa vào: số lượng yêu cầu đối với các đối tượng, đối tượng thường
xuyên thay đối như thế nào. Phương thức này sẽ tự động cập nhật các đối tượng
khi mà máy chủ Proxy đang phục vụ ở mức độ thấp và do đó không ảnh hưởng
đến hiệu suất phục vụ các máy tính trạm. Đối tượng trong cache sẽ bị xoá dựa
trên các thông tin header HTTP, URL.
II. Triển khai dịch vụ proxy
II.1. Các mô hình kết nối mạng
Đối tượng phục vụ của proxy server khá rộng, từ mạng văn phòng nhỏ,
mạng văn phòng vừa tới mạng của các tập đoàn lớn. Với mỗi quy mô tổ chức
sẽ có một cấu trúc mạng sử dụng proxy server cho phù hợp. Sau đây chúng ta
sẽ xem xét một số mô hình cơ bản đối với mạng cỡ nhỏ, mạng cỡ trung bình và
mạng tập đoàn lớn. Trong đó chúng ta sẽ đi sâu vào mô hình thứ nhất dành cho
mạng văn phòng nhỏ bởi nó phù hợp quy mô tổ chức của các công ty vừa và
nhỏ tại Việt nam.
Mô hình mạng văn phòng nhỏ
c tính ca mng vn phòng nh nh sau:
- Bao gồm một mạng LAN độc lập.
- Sử dụng giao thức IP.
- Kết nối Internet bằng đường thoại (qua mạng điện thoại công cộng bằng các
hình thức quay dial-up hay sử dụng công nghệ ADSL) hoặc đường trực tiếp
(Leased Line).
- ít hơn 250 máy tính trạm.
Mô hình kết nối mạng như hình vẽ (hình 6.7)
230
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 6.7
Theo mô hình này, với mỗi phương thức kết nối Internet Proxy server sử dụng
02 giao tiếp như sau:
- Kết nối Internet bằng đường thoại qua mạng PSTN:
• 01 giao tiếp với mạng nội bộ thông qua card mạng.
• 01 giao tiếp với Internet thông qua Modem.
- Kết nối Internet bằng đường trực tiếp (Leased Line)
• 01 giao tiếp với mạng nội bộ thông qua card mạng
• 01 giao tiếp với Internet thông qua card mạng khác. Lúc này bảng địa chỉ nội
bộ (LAT-Local Address Table) được xây dựng dựa trên danh sách địa chỉ IP
mạng nội bộ.
Mô hình kết nối mạng cỡ trung bình
Đặc trưng của mạng văn phòng cỡ trung bình như sau:
- Văn phòng trung tâm với một vài mạng LAN
- Mội văn phòng chi nhánh có một mạng LAN.
- Sử dụng giao thức IP.
- Kết nối bằng đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm.
- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường thoại hoặc đường
trực tiếp (Leased Line).
231
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- ít hơn 2000 máy tính trạm
Mô hình mạng như hình 6.8. Theo mô hình này, văn phòng chi nhánh sử
dụng một máy chủ Proxy cung cấp khả năng lưu trữ thông tin nội bộ (local
caching), quản trị kết nối và kiểm soát truy cập tới văn phòng trung tâm. Tại
văn phòng trung tâm, một số máy chủ Proxy hoạt động theo kiến trúc mảng
(array) cung cấp khả năng bảo mật chung cho toàn mạng, cung cấp tính năng
lưu trữ thông tin phân tán (distributed caching) và cung cấp kết nối ra Internet.
Hình 6.8
Mô hình kết nối mạng tập đoàn lớn
Mạng của các tập đoàn lớn có đặc trưng như sau:
- Văn phòng trung tâm có nhiều mạng LAN và có mạng trục LAN.
- Có vài văn phòng chi nhánh, mỗi văn phòng chi nhánh có một mạng LAN.
- Sử dụng giao thức mạng IP.
- Kết nối bằng đường thoại từ các văn phòng chi nhánh tới văn phòng trung tâm.
232
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường đường trực tiếp
(Leased Line).
- Có nhiều hơn 2000 máy tính trạm.
Mô hình mạng như hình 6.9. Theo mô hình này mạng tại các văn phòng
chi nhánh cũng cấu hình tương tự như đối với mô hình các văn phòng cỡ trung
bình. Các yêu cầu kết nối Internet không được đáp ứng bởi cache nội bộ tại
máy chủ Proxy của văn phòng chi nhánh sẽ được chuyển tới một loạt máy chủ
Proxy hoạt động theo kiến trúc mảng tại văn phòng trung tâm. Tại văn phòng
trung tâm các máy chủ Proxy sử dụng 02 giao tiếp mạng (card mạng) trong đó
01 card mạng giao tiếp với mạng trục LAN và 01 card mạng giao tiếp với mạng
LAN thành viên.
Hình 6.9
II.2. Thiết lập chính sách truy cập và các qui tắc
1..Các qui tắc.
Ta có thể thiết lập proxy server để đáp ứng các yêu cầu bảo mật và vận
hành bằng cách thiết lập các qui tắc để xác định xem liệu người dùng, máy tính
hoặc ứng dụng có được quyền truy cập và truy cập như thế nào tới máy tính
233
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1trong mạng hay trên Internet hay không. Thông thường một proxy server định
nghĩa các loại qui tắc sau: Qui tắc về chính sách truy nhập, qui tắc về băng
thông, qui tắc về chính sách quảng bá, các đặc tính lọc gói và qui tắc về định
tuyến và chuỗi (chaining).
Khi một client trong mạng yêu cầu một đối tượng proxy server sẽ xử lý
các qui tắc để xác định xem yêu cầu đó có được xác định chấp nhận hay không.
Tương tự khi một client bên ngoài (Internet) yêu cầu một đối tượng từ một
server trong mạng, proxy server cững xử lý các bộ qui tắc xem yêu cầu có được
cho phép không.
Các qui tắc của chính sách truy nhập:Ta có thể sử dụng proxy server để
thiết lập chính sách bao gồm các qui tắc về giao thức, qui tắc về nội dung. Các
qui tắc giao thức định nghĩa giao thức nào có thể sử dụng cho thông tin giữa
mạng trong và Internet. Qui tắc giao thức sẽ được xử lý ở mức ứng dụng. Ví dụ
một qui tắc giao thức có thể cho phép các Client sử dụng giao thức HTTP. Các
qui tắc về nội dung qui định những nội dung nào trên các site nào mà client có
thể truy nhập. Các qui tắc nội dung cùng được xử lý ở mức ứng dụng. Ví dụ
một qui tắc về nội dung có thể cho phép các client truy nhập tới bất kỳ địa chỉ
nào trên Internet.
Qui tắc băng thông: Qui tắc băng thông xác định kết nối nào nhận được
quyền ưu tiên.Trong việc điều khiển băng thông thường thì proxy server không
giới hạn độ rộng băng thông. Hơn nữa nó cho biết chất lượng dịch vụ (QoS)
được cấp phát ưu tiên cho các kết nối mạng như thế nào. Thường thì bất kỳ kết
nối nào không có qui tắc về băng thông kèm theo sẽ nhận được quyền ưu tiên
ngầm định và bất kỳ kết nối nào có qui tắc băng thông đi kèm sẽ được sắp xếp
với quyền ưu tiên hơn quyền ưu tiên ngầm định.
Các qui tắc về chính sách quảng bá: Ta có thể sử dụng proxy server để
thiết lập chính sách quảng bá, bao gồm các qui tắc quảng bá server và qui tắc
quảng bá web. Các qui tắc quảng bá server và web lọc tất cả các yêu cầu đến từ
các yêu cầu của client ngoài mạng (internet) tới các server trong mạng. Các qui
tắc quảng bá server và web sẽ đưa các yêu cầu đến cho các server thích hợp
phía sau proxy server.
Đặc tính lọc gói: Đặc tính lọc gói của proxy server cho phép điều khiển
luồng các gói IP đến và đi từ proxy server. Khi lọc gói hoạt động thì mọi gói
trên giao diện bên ngoài đều bị rớt lại, trừ khi chúng được hoàn toàn cho phép
234
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1hoặc là một cách cố định bằng các bộ lọc gói IP, hoặc là một cách động bằng
các chính sách truy cập hay quảng bá. Thậm chí nếu bạn không để lọc gói hoạt
động thì truyền thông giữa mạng Internet và mạng cục bộ được cho phép khi
nào bạn thiết lập rõ ràng các qui tắc cho phép truy cập. Trong hầu hết các
trường hợp, việc mở các cổng động thường được sử dụng hơn. Do đó, người ta
thường khuyến nghị rằng bạn nên thiết lập các qui tắc truy cập cho phép client
trong mạng truy nhập vào Internet hoặc các qui tắc quảng bá cho phép client
bên ngoài truy nhập vào các server bên trong. Đó là do các bộ lọc gói IP mở
một cách cố định những chính sách truy nhập và qui tắc quảng bá lại mở các
cổng kiểu động. Giả sử bạn muốn cấp quyền cho mọi người dùng trong mạng
truy cập tới các site HTTP. Bạn không nên thiết lập một bộ lọc gói IP để mở
cổng 80. Nên thiết lập qui tắc về site, nội dung và giao thức cần thiết để cho
phép việc truy nhập này. Trong một vài trường hợp ta sẽ phải sử dụng các lọc
gói IP, ví dụ nên thiết lập các lọc gói IP nếu ta muốn quảng bá các Server ra
bên ngoài.
Qui tắc định tuyến và cấu hình chuỗi proxy (chaining): thường là qui tắc
được áp dụng sau cùng để định tuyến các yêu cầu của client tới một server đã
được chỉ định để phục vụ các yêu cầu đó.
2. Xử lý các yêu cầu đi
Một trong các chức năng chính của proxy server là khả năng kết nối
mạng dùng riêng ra Internet trong khi bảo vệ mạng khỏi những nội dung có ác
ý. Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo ra
một chính sách truy cập cho phép các client truy cập tới các server trên Internet
cụ thể, chính sách truy cập cùng với các qui tắc định tuyến quyết định các
client truy cập Internet như thế nào.
Khi proxy server xử lý một yêu cầu đi, proxy server kiểm tra các qui tắc
định tuyến các qui tắc về nội dung và các qui tắc giao thức để xem xét việc truy
cập có được phép hay không. Yêu cầu chỉ được cho phép nếu cả quy tắc giao
thức, qui tắc nội dung và site cho phép và nếu không một qui tắc nào từ chối
yêu cầu.
Một vài qui tắc có thể được thiết lập để áp dụng cho các client cụ thể.
Trong trường hợp này, các client có thể được chỉ định hoặc là bằng địa chỉ IP
hoặc bằng user name. Proxy server xử lý các yêu cầu theo cách khác nhau phụ
thuộc vào kiểu yêu cầu của client và việc thiết lập proxy server.Với một yêu
235
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1cầu, các qui tắc được xử lý theo thứ tự như sau: qui tắc giao thức, qui tắc nội
dung, các lọc gói IP, qui tắc định tuyến hoặc cấu hình chuỗi proxy.
Hình dưới đưa ra quá trình xử lý đối với một yêu cầu đi (hình 6.10)
Hình 6.10
Trước tiên, proxy server kiểm tra các qui tắc giao thức, proxy server
chấp nhận yêu cầu chỉ khi một qui tắc giao thức chấp nhận một cách cụ thể yêu
cầu và không một qui tắc giao thức nào từ chối yêu cầu đó.
Sau đó, proxy server kiểm tra các qui tắc về nội dung. Proxy server chỉ
chấp nhận yêu cầu nếu một qui tắc về nội dung chấp nhận yêu cầu và không có
một qui tắc về nội dung nào từ chối nó.
Tiếp đến proxy server kiểm tra xem liệu có một bộ lọc gói IP nào được
thiết lập để loại bỏ yêu cầu không để quyết định xem liệu yêu cầu có bị từ chối.
Cuối cùng, proxy server kiểm tra qui tắc định tuyến để quyết định xem yêu cầu
được phục vụ như thế nào.
Giả sử cài đặt một proxy server trên một máy tính với hai giao tiếp kết
nối, một kết nối với Internet và một kết nối vào mạng dùng riêng. Ta sẽ cho các
236
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1chỉ dẫn để cho phép tất cả client truy cập vào tất cả các site. Trong trường hợp
này, chính sách truy nhập chỉ là các qui tắc như sau: một qui tắc về giao thức
cho phép tất cả các client sử dụng mọi giao thức tại tất cả các thời điểm .Một
qui tắc về nội dung cho phép tất cả mọi người truy cập tới mọi nội dung trên tất
cả các site ở tất cả các thời điểm nào. Lưu ý rằng qui tắc này cho phép các
client truy cập Internet nhưng không cho các client bên ngoài truy cập vào
mạng của bạn.
3. Xử lý các yêu cầu đến
Proxy server có thể được thiết lập để các Server bên trong có thể truy
cập an toàn đến từ các client ngoài. Ta có thể sử dụng proxy server để thiết lập
một chính sách quảng bá an toàn cho các Server trong mạng. Chính sách quảng
bá (bao gồm các bộ lọc gói IP, các qui tắc quảng bá Web, hoặc qui tắc quảng
bá Server, cùng với các qui tắc định tuyến) sẽ quyết định các Server được
quảng bá như thế nào.
Khi proxy server xử lý một yêu cầu xuất phát từ một client bên ngoài, nó
sẽ kiểm tra các bộ lọc gói IP, các qui tắc quảng bá và các qui tắc định tuyến để
quyết định xem liệu yêu cầu có được thực hiện hay không và Server trong nào
sẽ thực hiện các yêu cầu đó.
237
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hình 6.11
Giả sử rằng đã cài đặt proxy server với hai giao tiếp kết nối, một kết nối
tới Internet và một kết nối vào mạng dùng riêng. Nếu lọc gói hoạt động và sau
đó, bộ lọc gói IP từ chối yêu cầu thì yêu cầu sẽ bị từ chối. Nếu các qui tắc
quảng bá web từ chối yêu cầu thì yêu cầu cũng bị loại bỏ. Nếu một qui tắc định
tuyến được thiết lập yêu cầu được định tuyến tới một Server upstream hoặc một
site chủ kế phiên thì Server được xác định đó sẽ xử lý yêu cầu. Nếu một qui tắc
định tuyến chỉ ra rằng các yêu cầu được định tuyến tới một Server cụ thể thì
web Server trong sẽ trả về đối tượng.
II.3. Proxy client và các phương thức nhận thực
Chính sách truy nhập và các qui tắc quảng bá của Proxy server có thể
được thiết lập để cho phép hoặc từ chối một nhóm máy tính hay một nhóm các
người dùng truy nhập tới một server nào đó. Nếu qui tắc được áp dụng riêng
với các người dùng, Proxy server sẽ kiểm tra các đặc tính yêu cầu để quyết
định người dùng được nhận thực như thế nào.
Ta có thể thiết lập các thông số cho các yêu cầu thông tin đi và đến để
người dùng phải được proxy server nhận thực trước khi xử lý các qui tắc. Việc
này đảm bảo rằng các yêu cầu chỉ được phép nếu người dùng đưa ra các yêu
cầu đã được xác thực. Bạn cũng có thể thiết lập các phương pháp nhận thực
được sử dụng và có thể thiết lập các phương pháp nhận thực cho các yêu cầu đi
và yêu cầu đến khác nhau. Về cơ bản một Proxy server thường hỗ trợ các
phương pháp nhận thực sau đây: phương thức nhận thực cơ bản., nhận thực
Digest, nhận thực tích hợp Microsoft windows, chứng thực client và chứng
thực server.
Đảm bảo rằng các chương trình proxy client phải hỗ trợ một trong các
phương pháp nhận thực mà proxy server đã đưa ra. Trình duyệt IE 5 trở lên hỗ
trợ hầu hết các phương pháp nhận thực, một vài trình duyệt khác có thể chỉ hỗ
trợ phương pháp nhận thực cơ bản. Đảm bảo rằng các trình duyệt client có thể
hỗ trợ ít nhất một trong số các phương pháp nhận thực mà Proxy server hỗ trợ.
1. Phương pháp nhận thực cơ bản.
238
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Phương pháp nhận thực này gửi và nhận các thông tin về người dùng là
các ký tự text dễ dàng đọc được. Thông thường thì các thông tin về user name
và password sẽ được mã hoá thì trong phương pháp này không có sự mã hoá
nào được sử dụng. Tiến trình nhận thực được mô tả như sau, proxy client nhắc
người dùng đưa vào username và password sau đó thông tin này được client
gửi cho proxy server. Cuối cùng username và password được kiểm tra như là
một tài khoản trên proxy server.
2. Phương pháp nhận thực Digest.
Phương pháp này có tính chất tương tự như phương pháp nhận thực cơ
bản nhưng khác ở việc chuyển các thông tin nhận thực. Các thông tin nhận thực
qua một tiến trình xử lý một chiều thường được biết với cái tên là "hashing".
Kết quả của tiến trình này gọi là hash hay message digest và không thể giải mã
chúng. Thông tin gốc không thể phục hồi từ hash. Các thông tin được bổ sung
vào password trước khi hash nên không ai có thể bắt được password và sử dụng
chúng để giả danh người dùng thực. Các giá trị được thêm vào để giúp nhận
dạng người dùng. Một tem thời gian cũng được thêm vào để ngăn cản người
dùng sử dụng một password sau khi nó đã bị huỷ. Đây là một ưu điểm rõ ràng
so với phương pháp nhận thực cơ bản bởi vì người dùng bất hợp pháp không
thể chặn bắt được password.
3. Phương pháp nhận thực tích hợp.
Phương pháp này được sử dụng tích hợp trong các sản phẩm của
Microsoft. Đây cũng là phương pháp chuẩn của việc nhận thực bởi vì username
và password không được gửi qua mạng. Phương pháp này sử dụng hoặc giao
thức nhận thực V5 Kerberos hoặc giao thức nhận thực challenge/response của
nó.
4. Chứng thực client và chứng thực server
Ta có thể sử dụng các đặc tính của SSL để nhận thực. Chứng thực được
sử dụng theo hai cách khi một client yêu cầu một đối tượng từ server: server
nhận thực chính nó bằng cách gửi đi một chứng thực server cho client. Server
yêu cầu client nhận thực chính nó (Trong trường hợp này client phải đưa ra một
chứng thực client phù hợp tới server).
SSL nhận thực bằng cách kiểm tra nội dung của một chứng thực số được
mã hoá do proxy client đệ trình lên trong quá trình đăng nhập (Các người dùng
239
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1có thể có được các chứng thực số từ một tổ chức ngoài có độ tin tưởng cao).
Các chứng thực về server bao gồm các thông tin nhận biết về server. Các chứng
thực về client thường gồm các thông tin nhận biết về người dùng và tổ chức
đưa ra chứng thực đó
Chứng thực client: Nếu chứng thực client được lựa chọn là phương thức
xác thực thì proxy server yêu cầu client gửi chứng thực đến trước khi yêu cầu
một đối tượng. Proxy server nhận yêu cầu và gửi một chứng thực cho client.
Client nhận chứng thực này và kiểm tra xem có thực là thuộc về proxy server .
Client gửi yêu cầu của nó cho proxy server, tuy nhiên proxy server yêu cầu một
chứng thực từ client mà đã được đưa ra trước đó. Proxy server kiểm tra xem
chứng thực có thực sự thuộcc về client được phép truy cập không.
Chứng thực server: Khi một client yêu cầu một đối tượng SSL từ một
server, client yêu cầu server phải nhận thực chính nó. Nếu proxy server kết
thúc một kết nối SSL thì sau đó proxy server sẽ phải nhận thực chính nó cho
client. Ta phải thiết lập và chỉ định các chứng thực về phía server để sử dụng
khi nhận thực server cho client
5. Nhận thực pass-though
Nhận thực pass-though chỉ đến khả năng của proxy server chuyển thông
tin nhận thực của client cho server đích. Proxy server hỗ trợ nhận thực cho cả
các yêu cầu đi và đến. Hình vẽ sau mô tả trường hợp nhận thực pass-though.
Hình 6.12
Client gửi yêu cầu lấy một đối tượng trên một web server cho proxy
server. Proxy server chuyển yêu cầu này cho web server, bắt đầu từ đây việc
nhận thực qua các bước sau:
240
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV11 Webserver nhận được yêu cầu lấy đối tượng và đáp lại rằng client cần phải
nhận thực. Web server cũng chỉ ra các kiểu nhận thực được hỗ trợ.
2 Proxy server chuyển yêu cầu nhận thực cho client
3 Client tiếp nhận yêu cầu và trả các thông tin nhận thực cho proxy server
4 Proxy server chuyển lại thông tin đó cho web server
5 Từ lúc này client liên lạc trực tiếp với web server
6. SSL Tunneling.
Với đường hầm SSL, một client có thể thiết lập một đường hầm qua
proxy server trực tiếp tới server yeu cầu với các đối tượng yêu cầu là HTTPS.
Bất cứ khi nào client yêu cầu một đối tượng HTTPS qua proxy server nó sử
dụng đường hầm SSL. Đường hầm SSL làm việc bởi sự ngầm định các yêu cầu
đi tới các cổng 443 và 563.
Hình 6.13
Tiến trình tạo đường hầm SSL được mô tả như sau:
1 Khi client yêu cầu một đối tượng HTTPS từ một web server trên
Internet, proxy server gửi một yêu cầu kết nối https://URL_name
2 Yêu cầu tiếp theo được gửi tới cổng 8080 trên máy proxy server
CONNECT URL_name:443 HTTP/1.1
3 Proxy server kết nối tới Web server trên cổng 443
241
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV14 Khi một kết nối TCP được thiết lập, proxy server trả lại kết nối đã được
thiết lập HTTP/1.0 200
5 Từ đây, client thông tin trực tiếp với Web server bên ngoài
7. SSL bridging.
SSL bridging đề cập đến khả năng của proxy server trong việc mã hóa
hoặc giải mã các yêu cầu của client và chuyển các yêu cầu này tới server đích.
Ví dụ, trong trường hợp quảng bá (hoặc reverse proxy), proxy server có thể
phục vụ một yêu cầu SSL của client bằng cách chấm dứt kết nối SSL với client
và mở lại một kết nối mới với web server. SSL bridging được sử dụng khi
proxy server kết thúc hoặc khởi tạo một kết nối SSL.
Khi một client yêu cầu một đối tượng HTTP. Proxy server mã hóa yêu
cầu và chuyển tiếp nó cho web server. Web server trả về đối tượng đã mã hóa
cho proxy server. Sau đó proxy server giải mã đối tượng và gửi lại cho client.
Nói một cách khác các yêu cầu HTTP được chuyển tiếp như các yêu cầu SSL.
Khi client yêu cầu một đối tượng SSL. Proxy server giải mã yêu cầu, sau
đó mã hóa lại một lần nữa và chuyển tiếp nó tới Web server. Web server trả về
đối tượng mã hóa cho proxy server. Proxy server giải mã đối tượng và sau đó
gửi nó cho client. Nói một cách khác các yêu cầu SSL được chuyển tiếp như là
các yêu cầu SSL.
Khi client yêu cầu một đối tượng SSL. Proxy server giải mã yêu cầu và
chuyển tiếp nó cho web server. Web server trả về đối tượng HTTP cho proxy
server. Proxy server mã hóa đối tượng và chuyển nó cho client. Nói cách khác
các yêu cầu SSL được chuyển tiếp như các yêu cầu HTTP.
SSL bridging có thể được thiết lập cho các yêu cầu đi và đến. Tuy nhiên
với các yêu cầu đi client phải hỗ trợ truyền thông bảo mật với proxy server.
II.4. NAT và proxy server
Khái niệm NAT (Network Addresss Tranlation).
NAT là một giao thức cho ta khả năng bản đồ hóa một một vùng địa chỉ
IP sử dụng trong mạng dùng riêng ra mạng ngoài và ngược lại. NAT thường
242
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1được thiết lập trên các bộ định tuyến là ranh giới giữa mạng dùng riêng và
mạng ngoài (ví dụ như mạng công cộng Internet). NAT chuyển đổi các địa chỉ
IP trên mạng dùng riêng thành các địa chỉ IP được đăng ký hợp lệ trước khi
chuyển các gói từ mạng dùng riêng tới Internet hoặc tới mạng ngoài khác.
Trong phần này chúng ta sẽ chỉ tìm hiểu sự vận hành của NAT khi NAT được
thiết lập để cung cấp các chức năng chuyển đổi các địa chỉ mạng dùng riêng
trong việc phục vụ cho việc kết nối truy cập ra mạng ngoài như thế nào. Để làm
việc này, NAT dùng tiến trình các bước theo hình vẽ dưới đây.
Hình 6.14
1. Người dùng tại máy 10.1.1.25 muốn mở một kết nối ra ngoài tới server
203.162.0.12
2. Khi gói dữ liệu đầu tiên tới NAT router, NAT router thực hiện việc kiểm
tra trong bảng NAT. Nếu sự chuyển đổi địa chỉ đã có trong bảng, NAT router
thực hiện bước thứ 3. Nếu không có sự chuyển đổi nào được tìm thấy, NAT
router xác định rằng địa chỉ 10.1.1.25 phải được chuyển đổi. NAT router xác
định một địa chỉ mới và cấu hình một chuyển đổi đối với địa chỉ 10.1.1.25 tới
địa chỉ hợp lệ ngoài mạng (Internet) từ dãy địa chỉ động đã được định nghĩa từ
trước ví dụ 203.162.94.163.
3. NAT router thay thế địa chỉ 10.1.1.25 bằng địa chỉ 203.162.94.163 sau
đó gói được chuyển tiếp tới đích.
243
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV14. Server 203.162.0.12 trên Internet nhận gói và phúc đáp trở lại NAT
router với địa chỉ 203.162.94.163.
5. Khi NAT router nhận được gói phúc đáp từ Server với địa chỉ đích đến
là 203.162.94.163, nó thực hiện việc tìm kiếm trong bảng NAT. Bảng NAT chỉ
ra rằng địa chỉ mạng trong 10.1.1.25 (tương ứng được ánh xạ tới địa chỉ
203.162.94.163 ở mạng ngoài) sẽ nhận được gói tin này. NAT router thực hiện
việc chuyển đổi địa chỉ đích trong gói tin là 10.1.1.25 và chuyển gói tin này tới
đích (10.1.1.25). Máy 10.1.1.25 nhận gói và tiếp tục thực hiện với các gói tiếp
theo với các bước tuần tự như trên.
Trong trường hợp muốn sử dụng một địa chỉ mạng ngoài cho nhiều địa
chỉ mạng trong. NAT router sẽ duy trì các thông tin thủ tục mức cao hơn trong
bảng NAT đối với các số hiệu cổng TCP và UDP để chuyển đổi địa chỉ mạng
ngoài trở lại chính xác tới các địa chỉ mạng trong.
Như vậy NAT cho phép các client trong mạng dùng riêng với việc sử
dụng các địa chỉ IP dùng riêng truy cập vào một mạng bên ngoài như mạng
Internet.Cung cấp kết nối ra ngoài Internet trong các mạng không được cung
cấp đủ các địa chỉ Internet có đăng ký. Thích hợp cho việc chuyển đổi địa chỉ
trong hai mạng Intranet ghép nối nhau. Chuyển đổi các địa chỉ IP nội tại được
ISP cũ phân bố thành các địa chỉ được phân bố bởi ISP mới mà không cần thiết
lập thủ công các giao diện mạng cục bộ.
NAT có thể được sử dụng một cách cố định hoặc động. Chuyển đổi cố
định xảy ra khi ta thiết lập thủ công một bảng địa chỉ cùng các địa chỉ IP. Một
địa chỉ cụ thể ở bên trong mạng sử dụng một địa chỉ IP (được thiết lập thủ công
bởi người quản trị mạng) để truy cập ra mạng ngoài. Các thiết lập động cho
phép người quản trị thiết lập một hoặc nhiều các nhóm địa chỉ IP dùng chung
đã đăng ký. Những địa chỉ trong nhóm này có thể được sử dụng bởi các client
trên mạng dùng riêng để truy cập ra mạng ngoài. Việc này cho phép nhiều
client trong mạng sử dụng cùng một địa chỉ IP.
NAT cũng có một số nhược điểm như làm tăng độ trễ của các gói tin
trên mạng. NAT phải xử lý mọi gói để quyết định xem liệu các header được
thay đổi như thế nào. Không phải bất kỳ ứng dụng nào cũng có thể chạy được
với NAT. NAT hỗ trợ nhiều giao thức truyền thông và cũng rất nhiều giao thức
không được hỗ trợ. Các giao thức được NAT hỗ trợ như:TCP,UDP, HTTP,
244
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1TFTP, FTP…Các thông tin không được hỗ trợ như: IP multicast, BOOTP,
DNS zone transfer, SNMP…
Proxy và NAT
Như đã phân tích cả dịch vụ NAT và dịch vụ Proxy đều có thể là một
giải pháp để kết nối các mạng dùng riêng ra Internet, tuy nhiên mỗi dịch vụ lại
có các ưu điểm và nhược điểm riêng.
Dịch vụ proxy cho khả năng thi hành và tốc độ cao hơn nhờ tính năng
cache, tuy nhiên sử dụng cache có thể đưa ra các đối tượng đã quá hạn cần phải
có các chính sách cache hợp lý đề đảm bảo tính thời sự của các đối tượng.
Chính vì sử dụng cache nên giảm tải trên kết nối truy cập Internet. NAT không
có tính năng cache.
Dịch vụ proxy phải được triển khai đối với từng ứng dụng, trong khi
NAT là một tiến trình trong suốt hơn. Hầu hết các ứng dụng đều có thể làm
việc được với NAT. NAT dễ cài đặt và vận hành, dường như không phải làm gì
nhiều với NAT sau khi cài đặt.
Tại các client, đối với NAT không phải thiết đặt gì nhiều ngoài việc cấu
hình tham số default gateway tới Server NAT. Trong khi sử dụng dịch vụ
proxy, cần phải có các chương trình proxy client để làm việc với proxy server.
Dịch vụ proxy cho phép thiết đặt các chính sách tới người dùng, với
NAT việc sử dụng các tính năng này có hạn chế rất nhiều, có thể nói sử dụng
dịch vụ proxy là cách truy cập an toàn nhất để kết nối mạng dùng riêng ra ngoài
Internet.
III. Các tính năng của phần mềm Microsoft ISA
server 2000
III.1. Các phiên bản.
ISA server bao gồm hai phiên bản được thiết kế để phù hợp với từng
nhu cầu của người sử dụng đó là ISA server Standard và ISA server Enterprise.
245
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- ISA server Standard cung cấp khả năng an toàn firewall và khả năng
web cache cho một môi trường kinh doanh, các nhóm làm việc hay văn phòng
nhỏ. ISA server Standard cung cấp việc bảo mật chặt chẽ, truy cập web nhanh,
quản lý trực quan, giá cả hợplý và khả năng thi hành cao.
- ISA server Enterprise được thiết kế đẻ đáp ứng các nhu cầu về hiệu
suất, quản trị và cân bằng trong các môi trường Internet tốc độ cao với sự quản
lý server tập trung, chính sách truy cập đa mức và các khả năng chống lỗi cao.
ISA server Enterprisecung cấp sự bảo mật, truy cập Internet nhanh cho các môi
trường có sự đòi hỏi khắt khe.
III.2. Lợi ích
ISA server là một trong các phần mềm máy chủ thuộc dòng .NET
Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các
server ứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản
lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại
một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản
lý.
1. Truy cập Web nhanh với cache hiệu suất cao.
- Người dùng có thể truy cập web nhanh hơn bằng các đối tượng tại chỗ
trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy
cơ tắc nghẽn.
- Giảm giá thành băng thông nhờ giảm lưu lượng từ Internet
- Phân tán nội dung của các Web server và các ứng dụng thương mại điện
tử một cách hiệu quả, đáp ứng được nhu cầu khách hàng trên toàn cầu (khả
năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)
2. Kết nối Internet an toàn nhờ Firewall nhiều lớp.
- Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cách giám sát lưu
lượng mạng tại nhiều lớp
- Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công
từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an
toàn các yêu cầu đến
246
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Lọc lưu lượng mạng đi và đến để đảm bảo an toàn.
- Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng
nội tại nhờ sử dụng mạng riêng ảo (VPN)
3. Quản lý thống nhất với sự quản trị tích hợp.
- Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu
lực của các chính sách vận hành.
- Tăng hiệu suất nhờ việc giới hạn truy cập sử dụng Internet đối với một
số các ứng dụng và đích đến.
- Cấp phát băng thông để phù hợp với các ưu tiên.
- Cung cấp các công cụ giám sát và các báo cáo để chỉ ra kết nối Internet
được sử dụng như thế nào.
- Tự động hóa các nhiệm vụ bằng việc sử dụng các script
4. Khả năng mở rộng.
- Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server Softwware
Development Kit (SDK) với sự phát triển các thành phần bổ sung.
- Chức năng quản lý và an toàn mở rộng cho các nhà sản xuất thứ ba
- Tự động các tác vụ quản trị với các đối tượng Script COM (Component
Object Model)
III.3. Các chế độ cài đặt
ISA server có thể được cài đặt ở ba chế độ khác nhau: Cache, Firewall và
Integrated
1. Chế độ cache: Trong chế độ này ta có thể nâng cao hiệu suất truy cập và
tiết kiệm băng thông bằng cách lưu trữ các đối tượng web thường được truy
xuất từ người dùng. Ta cũng có thể định tuyến các yêu cầu của người dùng tới
cache server khác đang lưu giữ các đối tượng đó.
2. Chế độ firewall: Trong chế độ này cho phép ta đảm bảo an toàn lưu
lượng mạng nhờ sự thiết lập các qui tắc điều khiển thông tin giữa mạng trong
và Internet. Ta cũng có thể quảng bá các server trong để chia sẻ dữ liệu trên
mạng với các đối tác và khách hàng.
247
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV13. Chế độ tích hợp: Trong chế độ này ta có thể tích hợp các dịch vụ cache
và firewall trên một server.
III.4. Các tính năng của mỗi chế độ cài đặt
Các tính năng khác nhau tùy thuộc vào chế độ mà ta cài đặt, bảng sau liệt kê
các tính năng có trong chế độ firewall và cache, chế độ tích hợp có tất cả các
tính năng đó
Tính năng Mô tả Chế độ
firewall
Chế độ
cache
Chính sách truy cập Định nghĩa các giao thức và nội
dung Internet mà người dùng có thể
sử dụng và truy cập
Có Chỉ có
HTTP
và FTP
Cache Lưu trữ định kỳ các đối tượng web
vào RAM và đĩa cứng của ISA
server
Không Có
VPN Mở rộng mạng riêng nhờ sử dụng
các đường liên kết qua các mạng
được chia sẻ hay mạng công cộng
như Internet
Có Không
Lọc gói Điều khiển dòng gói IP đi và đến Có Không
Lọc ứng dụng Thực thi các tác vụ của hệ thống
hoặc của giao thức chỉ định, như là
nhận thực để cung cấp một lớp bảo
vệ bổ sung cho dịch vụ firewall
Có Không
Quảng bá Web Quảng bá web trong mạng để người
dùng trong mạng có thể truy cập
Không Có
Quảng bá Server Cho phép các Server ứng dụng có Có Không
248
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1thể phục vụ các client bên ngoài
Giám sát thời gian
thực
Cho phép giám sát tập trung các hoạt
động của ISA server bao gồm các
cảnh báo, giám sát các phiên làm
việc và các dịch vụ
Có Có
Cảnh báo Báo cho ta biết các sự kiện đặc biệt
xuất hiện và thực thi các hoạt động
phù hợp
Có Có
Báo cáo Tổng hợp và phân tích hoạt động
trên một hoặc nhiều máy ISA server
Có Có
IV. Bài tập thực hành.
Yêu cầu về Phòng học lý thuyết: Số lượng máy tính theo số lượng học
viên trong lớp học đảm bảo mỗi học viên có một máy tính, cấu hình máy tối
thiểu như sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x).
Máy tính đã cài đặt Windows 2000 advance server. Các máy tính đã được nối
mạng chạy giao thức TCP/IP.
Thiết bị thực hành: Đĩa cài phần mềm Windows 2000 Advance Server,
đĩa cài phần mềm ISA Server 2000. Mỗi máy tính có 01 Modem V.90 và 01
đường điện thoại. 01 account truy cập internet
Bài 1:
Các bước cài đặt cơ bản phần mềm ISA server 2000.
Bước 1:
Các bước cài đặt cơ bản.
9 Đăng nhập vào hệ thống với quyền Administrator
249
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Đưa đĩa cài đặt Microsoft Internet Security and Acceleration Server
2000 Enterprise Edition vào ổ CD-ROM.
9 Cửa sổ Microsoft ISA Server Setup mở ra. Nếu cửa sổ này không tự
động xuất hiện, sử dụngWindows Explorer để chạy x:\ISAAutorun.exe (với x
là tên ổ đĩa CD-ROM).
9 Trong cửa sổ Microsoft ISA Server Setup, kích Install ISA Server.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích
Continue.
9 Vào CD Key sau đó kích OK hai lần.
9 Trong hộp thoại Microsoft ISA Server Setup kích I Agree.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích
Custom Installation.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom
Installation kích Add-in services sau đó kích Change Option.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Add-in
services kiểm tra lựa chọn Install H.323 Gatekeeper Service đã được chọn,
chọn Message Screener sau đó kích OK.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) –
CustomInstallation kích Administration tools sau đó kích Change Option.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) –
Administration tools, kiểm tra lựa chọn ISA Management đã được chọn, chọn
H.323 Gatekeeper Administration Tools sau đó kíchOK.
9 Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom
Installation kích Continue. Hộp thoại Microsoft Internet Security and
Acceleration Server Setup xuất hiện, lưu ý bạn rằng máy tính không thể tham
gia vào array. Bạn sẽ cấu hình máy tính này là một stand-alone server.
9 Kích Yes để cấu hình máy tính này là một stand-alone server.
9 Trong hộp thoại Microsoft ISA Server Setup đọc mô tả các mode cài đặt
đảm bảo rằng mode Integrated đã được lựa chọn sau đó kích Continue.
250
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong hộp thoại Microsoft Internet Security and Acceleration Server
Setup đọc thông báo về IIS publishing sau đó kích OK để biết rằng ISA Server
Setup đang dừng dịch vụ IIS publishing.
9 Kích OK và đặt ngầm định các giá trị thiết đặt cho cache.
Bước 2:
Cấu hình LAT để khai báo địa chỉ cho mạng riêng.
9 Trong hộp thoại Microsoft Internet Security and Acceleration Server
2000 Setup kích Construct Table. Lưu ý rằng khi bạn thêm vào không đúng địa
chỉ IP vào LAT, ISA server sẽ chuyển tiếp sai các gói tin do đó các máy client
sẽ không thể truy cập Internet
9 Trong hộp thoại Local Address Table, kích để xóa Add the following
private ranges: 10.x.x.x, 192.168.x.x and 172.16.x.x-172.31.x.x
9 Chọn adapter ip_address (với tên cạc mạng và địa chỉ IP là địa chỉ mạng
riêng), sau đó kích OK.
9 Trong thông báo Setup Message, kích OK.
9 Trong Internal IP Ranges, kích 10.255.255.255-10.255.255.255, sau đó
kích Remove.
9 Kiểm tra rằng Internal IP Ranges chỉ chứa IP addresses trong mạng
trong của bạn sau đó kích OK.
9 Kết thúc việc cài đặt ISA Server và khởi tạo cấu hình ISA Server.
9 Trong hộp thoại Launch ISA Management Tool, kích để xóa
9 Start ISA Server Getting Started Wizard check box, sau đó kích OK.
9 Trong hộp thông báo Microsoft ISA Server (Enterprise Edition) Setup
kích OK.
9 Đóng cửa sổ Microsoft ISA Server Setup.
9 Lấy đĩa Microsoft Internet Security and Acceleration Server Enterprise
Edition từ ổ đĩa CD-ROM.
Bước 3:
9 Cấu hình Default Web Site trong Internet Information Services sử dụng
cổng 8008, sau đó khởi động Default Web Site.
251
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Mở Internet Services Manager từ Administrative Tools.
9 Trong Internet Information Services, mở rộng server(server là tên máy
tính của bạn), sau đó kích DefaultWeb Site (Stopped).
9 Kích chuột phải Default Web Site (Stopped), sau đó kích Properties. Vì
ISA Server sử dụng các cổng 80 and 8080, bạn phải cấu hình IIS để phục vụ
các kết nối từ các client tới trên cổng khác. Bạn sẽ cấu hình IIS để phục cụ các
yêu cầu này trên cổng TCP 8008.
9 Trong hộp thoại Default Web Site (Stopped) Properties, trong hộp TCP
Port, gõ 8008 sau đó kích OK.
9 Kích chuột phải Default Web Site (Stopped), sau đó kích Start.
Bài 2:
Cấu hình ISA Server 2000 cho phép một mạng nội bộ có thể truy cập, sử dụng
các dịch vụ cơ bản trên Internet qua 01 modem kết nối qua mạng PSTN.
Bước 1:
Cấu hình và quản trị cấu hình cho ISA server sử dụng Getting Started
Với Getting Started Wizard, có các lựa chọn cấu hình sau:
Hình 6.15
252
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
9 Select Policy elements, cấu hình ngầm định chọn tất cả các thành phần để có
thể sử dụng khi tạo các qui tắc.
9 Configure Schedules, cấu hình ngầm định có hai lịch là Weekends và Work
Hours, ta có thể sửa các lịch này hoặc tạo các lịch mới.
9 Configure Client sets, các máy tính Client có thể tạo thành nhóm với nhau
bằng các địa chỉ IP sử dụng cho mục đích tạo các qui tắc ứng với từng nhóm
client
9 Configure Protocol Rule, đưa ra các qui tắc giao thức để các client sử dụng
truy nhập Internet
9 Configure Destination Sets, cho phép thiết lập các máy tính trên mạng
Internet thành nhóm bởi tên hay địa chỉ IP, Destination Sets được sử dụng để
tạo ra các qui tắc, áp dụng các qui tắc cho một hay nhiều Destination Sets
9 Configure Site and Content Rules, cấu hình các qui tắc về nội dung.
9 Secure Server cho phép bạn có thể đặt các mức độ bảo vệ thích hợp cho
mạng.
9 Configure Filewall Protection, Packet Fitering bảo đảm cho ISA server sẽ lọc
không có packet nào qua trừ khi được phép
9 Cofigure Dial-Up Entries, cho phép chọn giao diện để kết nối với Internet
9 Configure Routing for filewall and secureNat client.
9 Configure Routing for Web browser Appilications cho phép tạo các qui tắc
định tuyến, xác định rõ yêu cầu từ Web Proxy Client được gửi trực tiếp tới
Internet hay tới Upstream server
9 Configure Cache policy, cấu hình các chính sách về cache.
Bước 2:
Cấu hình ISA server cho phép các client sử dụng được các dịch vụ của Internet
qua mạng thoại công cộng
9 Tạo một Dial-Up Entries, để kết nối với InternetBước 2: Tạo một qui tắc giao
thức.
9 Mở ISA Management, kích Servers and arrays, sau đó kích tên máy chủ ISA.
253
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Kích Access Policy, kích chuột phải vào Protocol Rule, sau đó chọn New -->
Rule.
9 Đặt tên của Protocol Rule, sau đó kích Next.
9 Kiểm tra rằng Allow đã được chọn, kích Next, sau đó chọn All IP traffic,
kích Next Chọn Always, kích Next sau đó chọn Any Request, kích Next, sau
đó kích Finish.
Bước 3:
Cấu hình Web Proxy Client: cấu hình Internet Explorer để sử dụng ISA server
đối với các yêu cầu truy cập dịch vụ Web.
9 Mở trình duyệt Internet Explorer.
9 Trong Internet Connection Wizard, kích Cancel.
9 Trong hộp thoại Internet Connection Wizard, chọn Do not show the Internet
Connection wizard in the future, sau đó kích Yes.
9 Trong Internet Explorer, trong ô Address , gõ http://vdc.com.vn sau đó chọn
ENTER. Internet Explorer không thể kết nối tới trang web này.
9 Trong menu Tools, kích Internet Options.
9 Trong hộp thoại Internet Options, trong Connections kích LAN Settings.
9 Trong hộp thoại Local Area Network (LAN) Settings , kích để bỏ lựa chọn
Automatically detect settings. Chọn Use a proxy server, trong ô Address gõ vào
địa chỉ IP của ISA Server .
9 Trong hộp Port, gõ 8080
9 Kiểm tra rằng lựa chọn Bypass proxy server for local addresses đã bỏ, sau
đó kích OK hai lần.
Bài 3:
Thiết đặt các chính sách cho các yêu cầu truy cập và sử dụng các dịch vụ trên
mạng internet.
I.Thiết lập các thành phần chính sách
Bước 1: Thiết lập lịch trình
254
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Đăng nhập vào hệ thống với quyền administrator
9 Mở ISA Management từ thực đơn Microsoft ISA Server.
9 Trong ISA Management, mở rộng Servers and Arrays, mở rộng server
(server là tên của ISA Server ), mở rộng Policy Elements, sau đó kích
Schedules.
9 Kích Create a Schedule để thiết lập một lịch trình.
9 Trong hộp thoại New schedule trong mục Name đưa vào một tên lịch trình
ví dụ schedule1.
9 Trong mục Description gõ vào Daily period of most network utilization
9 Kéo để lựa chọn toàn bộ lịch trình sau đó kích Inactive.
9 Kéo để lựa chọn vùng từ thời điểm hiện tại tới 2 h tiếp theo đối với tất cả
các ngày trong tuần sau đó kích active ví dụ, nếu thời điểm hiện tại là 3:15
P.M., thì lựa chọn vùng từ 3:00 P.M. tới 5:00 P.M. cho tất cả các ngày trong
tuần.
9 Kích OK.
Bước 2: Thiết lập destination set
9 Trong ISA Management, kích Destination Sets.
9 Kích Create a Destination Set.
9 Trong hộp thoại New Destination Set trong mục Name cho vào một tên cho
thiết lập mới này ví dụ set1.
9 Trong mục Description box, gõ vào một nội dung mô tả cho thiết lập mới
này
9 Kích Add.
9 Trong hộp thoại Add/Edit Destination trong mục Destination gõ
home.vnn.vn
Bước 3: Thiết lập client address set
9 Trong ISA Management kích Client Address Sets.
9 Kích Create a Client Set.
9 Trong hộp thoại Client Set trong mục Name gõ vào một tên cho thiết lập
mới ví dụ Accounting Department.
255
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong mục Description gõ nội dung mô tả cho thiết lập mới này sau đó kích
Add.
9 Trong hộp thoại Add/Edit IP Addresses trong mục From gõ vào địa chỉ bắt
đầu thuộc nhóm địa chỉ thuộc mạng dùng riêng .
9 Trong mục To gõ vào địa chỉ kết thúc thuộc nhóm địa chỉ thuộc mạng dùng
riêng kích OK hai lần.
Bước 4: Thiết lập protocol definition (sử dụng cổng UDP 39000 cho kết nối
chính gọi ra và cổng TCP 39000 cho kết nối thứ hai )
9 Trong ISA Management kích Protocol Definitions.
9 Kích Create a Protocol Definition.
9 Trong New Protocol Definition Wizard trong mục Protocol definition
9 name gõ vào một tên cho thiết đặt mới sau đó kích Next.
9 Trong trang Primary Connection Information trong mục Port number
9 gõ vào 39000
9 Trong danh sách Protocol type kích UDP.
9 Trong danh sách Direction kích Send Receive sau đó kích Next.
9 Trong trang Secondary Connections kích Yes sau đó kích New.
9 Trong hộp thoại New/Edit Secondary Connection trong mục From và mục
To gõ 39000
9 Trong danh sách Protocol type kiểm tra rằng TCP đã được lựa chọn, trong
mục Direction
9 kích Outbound sau đó kích OK.
9 Kích Next sau đó trong trang Completing the New Protocol Definition
9 Wizard kích Finish.
II.Thiết lập các qui tắc giao thức
Bước 1:
Thiết lập một qui tắc giao thức cho phép HTTP, HTTP-S và FTP đối với mọi
người dùng truy cập Internet tại mọi thời điểm bằng việc sử dụng các giao thức
HTTP, HTTP-S và FTP .
256
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Mở trình duyệt Internet Explorer tại một máy trạm, trong ô Address gõ
http://home.vnn.vn nhấn ENTER. Trình duyệt Internet Explorerkhông thể kết
nối tới Web site vì ISA Server từ chối yêu cầu.
9 Đóng Internet Explorer.
9 Trong ISA Management mở rộng Access Policy sau đó kích Protocol Rules.
9 Kích Create a Protocol Rule for Internet Access.
9 Trong New Protocol Rule Wizard, trong mục Protocol rule name gõ Allow
HTTP, HTTP-S, and FTP sau đó kích Next.
9 Trong trang Protocols kiểm tra rằng Selected protocols đã được chọn, kích
để xóa Gopher check box sau đó kích Next.
9 Trong trang Schedule kiểm tra rằng Always đã được lựa chọn sau đó kích
Next.
9 Trong trang Client Type kiểm tra rằng Any request đã được chọn, sau đó
kích Next.
9 Trong trang Completing the New Protocol Rule Wizard kích Finish.
9 Mở Internet Explorer tại một máy tính trạm, trong mục Address gõ
http://home.vnn.vn sao đó ấn ENTER. Kiểm tra rằng trình duyệt kết nối thành
công nội dung trang web được hiển thị
9 Đóng Internet Explorer.
Bước 2:
Thiết lập một qui tắc giao thức cho phép người dùng trong nhóm Domain
Admins truy cập Internet sử dụng tất cả các giao thức.
9 Trong ISA Management kích Create a Protocol Rule.
9 Trong New Protocol Rule Wizard, trong mục Protocol rule name gõ Allow
All Access for Administrators sau đó kích Next.
9 Trong trang Rule Action kiểm tra rằng Allow đã được chọn sau đó kích
Next.
9 Trong trang Protocols, trong danh sách Apply this rule to kiểm tra rằng All
IP traffic đã được chọn sau đó kích Next.
257
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong trang Schedule, kiểm tra rằng Always đã được chọn sau đó kích
Next.
9 Trong trang Client Type, kích Specific users and groups, sau đó kích Next.
9 Trong trang Users and Groups, kích Add.
9 Trong hộp thoại Select Users or Groups, kích Domain Admins, kích Add,
sau đó kích OK.
9 Trong trang Users and Groups, kích Next.
9 Trong trang Completing the New Protocol Rule Wizard kích Finish.
Bước 3:
Thiết lập một qui tắc giao thức từ chối người dùng trong nhóm Accounting
Department đã định nghĩa trong client set truy cập Internet.
9 Trong ISA Management, kích Create a Protocol Rule.
9 Trong New Protocol Rule Wizard, trong mục Protocol rule name gõ vào
Deny Access from Accounting Department , sau đó kích Next.
9 Trong trang Rule Action, kích Deny, sau đó kích Next.
9 Trong trang Protocols, trong danh sách Apply this rule to, kiểm tra rằng All
IP traffic đã được lựa chọn, sau đó kích Next.
9 Trong trang Schedule, kiểm tra rằng Always đã được lựa chọn, sau đó kích
Next.
9 Trong trang Client Type, kích Specific computers (client address
9 sets), sau đó kích Next.
9 Trong trang Client Sets, kích Add.
9 Trong hộp thoại Add Client Sets, kích Accounting Department, kích Add,
sau đó kíchOK.
9 Trong trang Client Sets, kích Next.
9 Trong trang Completing the New Protocol Rule Wizard, kích Finish.
9 Kiểm tra để xác nhận việc truy cập không thành công từ nhóm nhóm
Accounting Department
Bước 4:
258
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Xóa qui tắc giao thức từ chối người dùng trong nhóm Accounting Department
9 Trong In ISA Management, kích Deny Access from Accounting
Department
9 Kích Delete a Protocol Rule.
9 Trong hộp thoại Confirm Delete, kích Yes.
III.Thiết lập các qui tắc nội dung
Bước 1:
Thiết lập một qui tắc nội dung để từ chối truy cập tới nội dung đã được định
nghĩa trong destination set và với lịch trình đã thiết lập ở mục 1
9 Trong ISA Management, kích Site and Content Rules.
9 Kích Create a Site and Content Rule.
9 Trong New Site and Content Rule Wizard, trong mục Site and content rule
9 name, gõ vào một tên ví dụ Deny Access Rule sau đó kích Next.
9 Trong trang Rule Action, kiểm tra rằng Deny đã được chọn, sau đó kích
Next.
9 Trong trang Destination Sets, trong danh sách Apply this rule to, kích
Specified destination set.
9 Trong danh sách Name, lựa chọn set1 (đã thiết lập ở phần trên), sau đó kích
Next.
9 Trong trang Schedule, chọn schedule1 (đã thiết lập ở phần trên), sau đó kích
Next.
9 Trong trang Client Type, kiểm tra rằng Any request đã được chọn, sau đó
kích Next.
9 Trong trang Completing the New Site and Content Rule Wizard, kích
Finish.
Bước 2:
Kiểm tra qui tắc vừa thiết lập
9 Mở trình duyệt Internet Explorer.
259
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV19 Trong ô Address, gõ http://home.vnn.vn sau đó ấn ENTER. kiểm tra rằng
trang web này không được hiển thị, vì qui tắc nội dung đã thiết lập ở trên đã có
hiệu lực
9 Đóng trình duyệt Internet Explorer.
260
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Chương 6 : Bảo mật hệ thống và
Firewall
Chương 6 tập trung vào các nội dung quan trọng về bảo mật hệ thống và
mạng lưới. Nội dung của phần thứ nhất chương 6 cung cấp cho các học viên
khái niệm về các hình thức tấn công mạng, các lỗ hổng, điểm yếu của mạng
lưới. Các kỹ năng cơ bản trong phần một của chương 6 giúp người quản trị
quản lý và xây dựng các chính sách bảo mật tương ứng cho các thành phần
mạng, hệ thống hay dịch vụ ngay từ lúc bắt đầu hoạt động.
Phần 2 của chương 6 tập trung giới thiệu về thiết bị bảo mật mạnh và
thông dụng trên mạng. Đó là thiết bị bức tường lửa (firewall). Học viên sẽ có
được các kiến thức về cấu trúc firewall, các chức năng cơ bản và cách phân loại
cũng như ưu nhược điểm của các loại firewall hoạt động theo các nguyên lý
khác nhau. Những kỹ năng thiết lập cấu hình, luật, quản trị firewall với mô
hình firewall checkpoint sẽ giúp cho các học viên hiểu cụ thể và các công việc
quản trị và bảo mật hệ thống mạng
Chương 6 yêu cầu các học viên trang bị rất nhiều các kiến thức cơ bản
như nắm vững các kiến thức quản trị hệ thống OS windows, linux, unix. Học
viên cần hiểu sâu về giao thức TCP/IP, hoạt động của IP hay UDP, TCP. Học
viên cần có hiểu biết về các port, socket của các giao thức dịch vụ như SMTP,
POP3, WWW...Các kiến thức được trang bị trong các giáo trình quản trị hệ
thống hoặc các tài liệu, sách giáo khoa về nội dung trên học viên nên tham
khảo trước khi học chương 6 này.
I. Bảo mật hệ thống
I.1. Các vấn đề chung về bảo mật hệ thống và mạng
Do đặc điểm của một hệ thống mạng là có nhiều người sử dụng và phân
tán về mặt địa lý nên việc bảo vệ các tài nguyên (mất mát, hoặc sử dụng không
hợp lệ) trong môi trường mạng phức tạp hơn nhiều so với môi trường một máy
tính đơn lẻ, hoặc một người sử dụng.
261
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin
trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo
mạng hoạt động ổn định, không bị tấn công bởi những kẻ phá hoại.
Có một thực tế là không một hệ thống mạng nào đảm bảo là an toàn
tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc
bị vô hiệu hoá bởi những kẻ có ý đồ xấu.
I.1.1. Một số khái niệm và lịch sử bảo mật hệ thống
Trước khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và
các biện pháp bảo vệ cũng như thiết lập các chính sách về bảo mật, ta sẽ tìm
hiểu một số khái niệm liên quan đến bảo mật thông tin trên mạng Internet.
I.1.1.1. Một số khái niệm:
a) Đối tượng tấn công mạng (Intruder):
Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và
các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ
hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt
tài nguyên mạng trái phép.
Một số đối tượng tấn công mạng là:
- Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng
các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy
nhập trên hệ thống.
- Masquerader: Là những kẻ giả mạo thông tin trên mạng. Có một số
hình thức như giả mạo địa chỉ IP, tên miền, định danh người dùng ...
- Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử
dụng các công cụ sniffer; sau đó dùng các công cụ phân tích và debug để lấy
được các thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau
như: ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có
chủ định, hoặc cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các
chương trình không kiểm tra cẩn thận ...
262
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1b) Các lỗ hổng bảo mật:
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa
trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực
hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp.
Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi
của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu
kém không hiểu sâu sắc các dịch vụ cung cấp ...
Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ
ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng
nghiêm trọng tới toàn bộ hệ thống ...
c) Chính sách bảo mật:
Là tập hợp các qui tắc áp dụng cho mọi đối tượng có tham gia quản lý
và sử dụng các tài nguyên và dịch vụ mạng.
Mục tiêu của chính sách bảo mật giúp người sử dụng biết được trách
nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên mạng , đồng
thời giúp các nhà quản trị thiết lập các biện pháp bảo đảm hữu hiệu trong quá
trình trang bị, cấu hình, kiểm soát hoạt động của hệ thống và mạng
Một chính sách bảo mật được coi là hoàn hảo nếu nó xây dựng gồm các
văn bản pháp qui, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp
người quản trị phát hiện, ngăn chặn các xâm nhập trái phép.
I.1.1.2. Lịch sử bảo mật hệ thống:
Có một số sự kiện đánh dấu các hoạt động phá hoại trên mạng, từ đó nảy
sinh các yêu cầu về bảo mật hệ thống như sau:
- Năm 1988: Trên mạng Internet xuất hiện một chương trình tự nhân
phiên bản của chính nó lên tất cả các máy trên mạng Internet. Các chương trình
này gọi là "sâu". Tuy mức độ nguy hại của nó không lớn, nhưng nó đặt ra các
vấn đề đối với nhà quản trị về quyền truy nhập hệ thống, cũng như các lỗi phần
mềm.
- Năm 1990: Các hình thức truyền Virus qua địa chỉ Email xuất hiện phổ
biến trên mạng Internet.
- Năm 1991: Phát hiện các chương trình trojans.
263
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Cùng thời gian này sự phát triển của dịch vụ Web và các công nghệ liên
quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về bảo mật liên
quan như: các lỗ hổng cho phép đọc nội dung các file dữ liệu của người dùng,
một số lỗ hổng cho phép tấn công bằng hình thức DoS, spam mail làm ngưng
trệ dịch vụ.
- Năm 1998: Virus Melisa lan truyền trên mạng Internet thông qua các
chương trình gửi mail của Microsoft, gây những thiết hại kinh tế không nhỏ.
- Năm 2000: Một loạt các Web Site lớn như yahoo.com và ebay.com bị
tê liệt, ngừng cung cấp dịch vụ trong nhiều giờ do bị tấn công bởi hình thức
DoS.
I.1.2. Các lỗ hổng và phương thức tấn công mạng chủ yếu
I.1.2.1. Các lỗ hổng
Như phần trên đã trình bày, các lỗ hổng bảo mật trên một hệ thống là
các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người
sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ
hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp ...
Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong
Windows NT, Windows 95, UNIX hoặc trong các ứng dụng mà người sử dụng
thường xuyên sử dụng như word processing, các hệ databases...
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc
biêt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên
một hệ thống được chia như sau:
- Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương
thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy
hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián
đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất
hợp pháp.
- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các
quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ nên có thể
dẫn đến mất mát hoặc lộ thông tin yêu cầu bảo mật. Mức độ nguy hiểm trung
bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống.
264
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1 - Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho
thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể
làm phá hủy toàn bộ hệ thống.
Hình sau minh họa các mức độ nguy hiểm và loại lỗ hổng tương ứng:
Hình 1.1: Các loại lỗ hổng bảo mật và mức độ ngưy hiểm
Sau đây ta sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên
mạng và hệ thống.
a) Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người
sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin
được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên
265
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ
client gửi tới.
Các dịch vụ có lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể
được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung
cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ
hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng
và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng
này.
Ví dụ điển hình của phương thức tấn công DoS là các cuộc tấn công vào
một số Web Site lớn làm ngưng trệ hoạt động của web site này như:
www.ebay.com và www.yahoo.com.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C,
ít nguy hiểm vì chúng chỉ làm gián đoạn sự cung cấp dịch vụ của hệ thống
trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công
cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch
vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng
cuối. Chủ yếu hình thức tấn công này là sử dụng dịch vụ Web. Giả sử trên một
Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc
JavaScripts, làm "treo" hệ thống của người sử dụng trình duyệt Web của
Netscape bằng các bước sau:
- Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape.
- Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số
các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau.
Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống trong
khoảng thời gian 40 giây (đối với máy client có 64 MB RAM). Đây cùng là
một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có
thể khởi động lại hệ thống.
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là
không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các
hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư
điện tử là lưu và chuyển tiếp. Một số hệ thống mail không có các xác thực khi
người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các
266
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1máy chủ mail này để thực hiện spam mail. Spam mail là hành động nhằm làm
tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các message
tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm
những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Các message
có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.
b) Các lỗ hổng loại B:
Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không
hợp pháp.
Ví dụ trên hình 12, lỗ hổng loại B có thể có đối với một hệ thống UNIX
mà file /etc/passwd để ở dạng plaintext; không sử dụng cơ chế che mật khẩu
trong UNIX (sử dụng file /etc/shadow)
Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ
thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ
thống với một số quyền hạn nhất định.
Một loại các vấn đề về quyền sử dụng chương trình trên UNIX cũng
thương gây nên các lô hổng loại B. Vì trên hệ thống UNIX một chương trình có
thể được thực thi với 2 khả năng:
- Người chủ sở hữu chương trình đó kích hoạt chạy.
- Người mang quyền của người sở hữu file đó kích hoạt chạy.
Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã
nguồn viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng
đệm - một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những
người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một
khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết
chương trình nhập trường tên người sử dụng, qui định trường này dài 20 ký tự.
Do đó họ sẽ khai báo:
char first_name [20];
Khai báo này sẽ cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi
nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập
vào 35 ký tự sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ
nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những kẻ tấn
công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi
267
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi
dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp
lệ.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn
chế được các lỗ hổng loại B.
c) Các lỗ hổng loại A:
Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và
bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống
quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là
Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy
các script là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động
của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước version
1.1), có dòng sau trong file test-cgi:
echo QUERY_STRING = $QUERY_STRING
Biến môi trường QUERY_STRING do không được đặt trong có dấu "
(quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến
gồm một số ký tự đặc biệt; ví dụ ký tự "*", web server sẽ trả về nội dung của
toàn bộ thư mục hiện thời (là các thư mục chứa các script cgi). Người sử dụng
có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống
server.
Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên
hệ điều hành Novell: các web server này có một scripts là convert.bas, chạy
scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên
phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm
sử dụng sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo
của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này.
Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại
A như: FTP, Gopher, Telnet, Sendmail, ARP, finger...
268
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1I.1.2.2. Một số phương thức tấn công mạng phổ biến
a) Scanner
Scanner là một chương trình tự động rà soát và phát hiện những điểm
yếu về bảo mật trên một trạm làm việc cục bộ hoặc trên một trạm ở xa. Với
chức năng này, một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện
ra những lỗ hổng về bảo mật trên một server ở xa.
Các chương trình scanner thường có một cơ chế chung là rà soát và phát
hiện những port TCP/UDP được sử dụng trên một hệ thống cần tấn công từ đó
phát hiện những dịch vụ sử dụng trên hệ thống đó. Sau đó các chương trình
scanner ghi lại những đáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà
nó phát hiện ra. Dựa vào những thông tin này, những kẻ tấn công có thể tim ra
những điểm yếu trên hệ thống.
Những yếu tố để một chương trình Scanner có thể hoạt động như sau:
- Yêu cầu về thiết bị và hệ thống: Một chương trình Scanner có thể hoạt
động được nếu môi trường đó có hỗ trợ TCP/IP (bất kể hệ thống là UNIX, máy
tính tương thích với IBM, hoặc dòng máy Macintosh).
- Hệ thống đó phải kết nối vào mạng Internet.
Tuy nhiên không phải đơn giản để xây dựng một chương trình Scanner,
những kẻ phá hoại cần có kiến thức sâu về TCP/IP, những kiến thức về lập
trình C, PERL và một số ngôn ngữ lập trình shell. Ngoài ra người lập trình
(hoặc người sử dụng) cần có kiễn thức là lập trình socket, phương thức hoạt
động của các ứng dụng client/server.
Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo
mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống
mạng. Đối với người quản trị mạng những thông tin này là hết sức hữu ích và
cần thiết; đối với những kẻ phá hoại những thông tin này sẽ hết sức nguy hiểm.
b) Password Cracker
Password cracker là một chương trình có khả năng giải mã một mật
khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của
một hệ thống.
Để hiểu cách thức hoạt động của các chương trình bẻ khoá, chúng ta cần
hiểu cách thức mã hoá để tạo mật khẩu. Hầu hết việc mã hoá các mật khẩu
269
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1được tạo ra từ một phương thức mã hoá. Các chương trình mã hoá sử dụng các
thuật toán mã hoá để mã hoá mật khẩu.
Quá trình hoạt động của các chương trình bẻ khoá được minh hoạ trong
hình sau:
Hình 1.2: Hoạt động của các chương trình bẻ khóa
Theo sơ đồ trên, một danh sách các từ được tạo ra và được mã hoá đối
với từng từ. Sau mỗi lần mã hoá, chương trình sẽ so sánh với mật khẩu đã mã
hoá cần phá. Nếu không thấy trùng hợp, quá trình lại quay lại. Phương thức bẻ
khoá này gọi là bruce-force.
Yếu tố về thiết bị phần cứng: Trong hình trên máy tính thực hiện các
chương trình phá khoấ là một máy PC 66MHz hoặc cấu hình cao hơn. Trong
thực tế yêu cầu các thiết bị phần cứng rất mạnh đối với những kẻ phá khoá
270
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1chuyên nghiệp. Một phương thức khác có thể thay thế là thực hiện việc phá
khoá trên một hệ thống phần tán; do vậy giảm bớt được các yêu cầu về thiết bị
so với phương pháp làm tại một máy.
Nguyên tắc của một số chương trình phá khoá có thể khác nhau. Một vài
chương trình tạo một một danh sách các từ giới hạn, áp dụng một số thuật toán
mã hoá, từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một
danh sách khác theo một lôgic của chương trình, cách này tuy không chuẩn tắc
nhưng khá nhanh vì dựa vào nguyên tắc khi đặt mật khẩu người sử dụng
thường tuân theo một số qui tắc để thuận tiện khi sử dụng.
Đến giai đoạn cuối cùng, nếu thấy phù hợp với mật khẩu đã được mã
hoá, kẻ phá khoá sẽ có được mật khẩu dạng text thông thường. Trong hình trên,
mật khẩu dạng text thông thường được ghi vào một file.
Để đánh giá khả năng thành công của các chương trình bẻ khoá ta có
công thức sau:
P = L x R /S
Trong đó:
P: Xác suất thành công
L: Thời gian sống của một mật khẩu
R: Tốc độ thử
S: Không gian mật khẩu = AM (M là chiều dài mật khẩu)
Ví dụ, trên hệ thống UNIX người ta đã chứng minh được rằng nếu mật
khẩu dài quá 8 ký tự thì xác suất phá khoá gần như = 0. Cụ thể như sau:
Nếu sử dụng khoảng 92 ký tự có thể đặt mật khẩu, không gian mật khẩu
có thể có là S = 928
Với tốc độ thử là 1000 mật khẩu trong một giây có R = 1000/s
Thời gian sống của một mật khẩu là 1 năm
Ta có xác suất thành công là :
P = 1x 365 x 86400 x 1000/928
= 1/1.000.000
271
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Như vậy việc dò mật khẩu là không thể vì sẽ mất khoảng 100 năm mới
tìm ra mật khẩu chính xác.
Thông thường các chương trình phá khoá thường kết hợp một số thông
tin khác trong quá trình dò mật khẩu như:
- Các thông tin trong tập tin /etc/passwd
- Một số từ điển
- Từ lặp và các từ liệt kê tuần tự, chuyển đổi cách phát âm của một từ ...
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng
một chính sách bảo vệ mật khẩu đúng đắn.
c) Trojans
Dựa theo truyền thuyết cổ Hy lạp "Ngựa thành Trojan", trojans là một
chương trình chạy không hợp lệ trên một hệ thống với vai trò như một chương
trình hợp pháp. Những chương trình này thực hiện những chức năng mà người
sử dụng hệ thống thường không mong muốn hoặc không hợp pháp. Thông
thường, trojans có thể chạy được là do các chương trình hợp pháp đã bị thay
đổi mã của nó bằng những mã bất hợp pháp.
Các chương trình virus là một loại điển hình của Trojans. Những
chương trình virus che dấu các đoạn mã trong các chương trình sử dụng hợp
pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu
sẽ được thực thi để thực hiện một số chức năng mà người sử dụng không biết.
Một định nghĩa chuẩn tắc về các chương trình Trojans như sau: chương
trình trojans là một chương trình thực hiện một công việc mà người sử dụng
không biết trước, giống như ăn cấp mật khẩu hay copy file mà người sử dụng
không nhận thức được.
Những tác giả của các chương trình trojan xây dựng một kết hoạch. Xét
về khía cạnh bảo mật trên Internet, một chương trình trojan sẽ thực hiện 1 trong
những công việc sau:
- Thực hiện một vài chức năng hoặc giúp người lập trình phát hiện
những thông tin quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một
vài thành phần của hệ thống đó
272
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Che dấu một vài chức năng hoặc giúp người lập trình phát hiện những
thông tin quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài
thành phần của hệ thống đó
Một vài chương trình trojan có thể thực hiện cả 2 chức năng này. Ngoài
ra, một số chương trình trojans còn có thể phá huỷ hệ thống bằng cách phá hoại
các thông tin trên ổ cứng (ví dụ trưòng hợp của virus Melisa lây lan qua đường
thư điện tử).
Hiện nay với nhiều kỹ thuật mới, các chương trình trojan kiểu này dễ
dàng bị phát hiện và không có khả năng phát huy tác dụng. Tuy nhiên trong
UNIX việc phát triển các chương trình trojan vẫn hết sức phổ biến.
Các chương trình trojan có thể lây lan qua nhiều phương thức, hoạt động
trên nhiều môi trường hệ điều hành khác nhau (từ Unix tới Windows, DOS).
Đặc biệt trojans thường lây lan qua một số dịch vụ phổ biến như Mail, FTP...
hoặc qua các tiện ích, chương trình miễn phí trên mạng Internet.
Việc đánh giá mức độ ảnh hưởng của các chương trình trojans hết sức
khó khăn. Trong một vài trường hợp, nó chỉ đơn giản là ảnh hưởng đến các truy
nhập của khách hàng như các chương trình trojans lấy được nội dung của file
passwd và gửi mail tới kẻ phá hoại. Cách thức sửa đơn giản nhất là thay thế
toàn bộ nội dung của các chương trình đã bị ảnh hưởng bởi các đoạn mã trojans
và thay thế các password của người sử dụng hệ thống.
Tuy nhiên với những trường hợp nghiêm trọng hơn, là những kẻ tán
công tạo ra những lỗ hổng bảo mật thông qua các chương trình trojans. Ví dụ
những kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng nó để phá huỷ
toàn bộ hoặc một phần của hệ thống. Chúng dùng quyền root để thay đổi
logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát
hiện. Trong trường hợp này, mức độ ảnh hưởng là nghiêm trọng và người quản
trị hệ thống đó chỉ còn cách là cài đặt lại toàn bộ hệ thống
d) Sniffer
Đối với bảo mật hệ thống sniffer được hiểu là các công cụ (có thể là
phần cứng hoặc phần mềm) "bắt" các thông tin lưu chuyển trên mạng và từ các
thông tin "bắt" được đó để lấy được những thông tin có giá trị trao đổi trên
mạng.
273
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hoạt động của sniffer cũng giống như các chương trình "bắt" các thông
tin gõ từ bàn phím (key capture). Tuy nhiên các tiện ích key capture chỉ thực
hiện trên một trạm làm việc cụ thể còn đối với sniffer có thể bắt được các thông
tin trao đổi giữa nhiều trạm làm việc với nhau.
Các chương trình sniffer (sniffer mềm) hoặc các thiết bị sniffer (sniffer
cứng) đều thực hiện bắt các gói tin ở tầng IP trở xuống (gồm IP datagram và
Ethernet Packet). Do đó, có thể thực hiện sniffer đối với các giao thức khác
nhau ở tầng mạng như TCP, UDP, IPX, ...
Mặt khác, giao thức ở tầng IP được định nghĩa công khai, và cấu trúc
các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn.
Mục đích của các chương trình sniffer đó là thiết lập chế độ
promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin
trao đổi trong mạng - từ đó "bắt" được thông tin.
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng
là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet.
Trên hệ thống mạng không dùng hub, dữ liệu không chuyển đến một
hướng mà được lưu chuyển theo mọi hướng. Ví dụ khi một trạm làm việc cần
được gửi một thông báo đến một trạm làm việc khác trên cùng một segment
mạng, một yêu cầu từ trạm đích được gửi tới tất cả các trạm làm việc trên mạng
để xác định trạm nào là trạm cần nhận thông tin (trạm đích). Cho tới khi trạm
nguồn nhận được thông báo chấp nhận từ trạm đích thì luồng dữ liệu sẽ được
gửi đi. Theo đúng nguyên tắc, những trạm khác trên segment mạng sẽ bỏ qua
các thông tin trao đổi giữa hai trạm nguồn và trạm đích xác định. Tuy nhiên,
các trạm khác cũng không bị bắt buộc phải bỏ qua những thông tin này, do đó
chúng vẫn có thể "nghe" được bằng cách thiết lập chế độ promiscous mode trên
các card mạng của trạm đó. Sniffer sẽ thực hiện công việc này.
Một hệ thống sniffer có thể kết hợp cả các thiết bị phần cứng và phần
mềm, trong đó hệ thống phần mềm với các chế độ debug thực hiện phân tích
các gói tin "bắt" được trên mạng.
Hệ thống sniffer phải được đặt trong cùng một segment mạng (network
block) cần nghe lén.
Hình sau minh hoạ vị trí đặt sniffer:
274
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.3: Các vị trí đặt sniffer trên 1 segment mạng
Phương thức tấn công mạng dựa vào các hệ thống sniffer là rất nguy
hiểm vì nó được thực hiện ở các tầng rất thấp trong hệ thống mạng. Với việc
thiết lập hệ thống sniffer cho phép lấy được toàn bộ các thông tin trao đổi trên
mạng. Các thông tin đó có thể là:
- Các tài khoản và mật khẩu truy nhập
- Các thông tin nội bộ hoặc có giá trị cao...
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần
phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu
về kiến trúc, các giao thức mạng.
Mặc khác, số lượng các thông tin trao đổi trên mạng rất lớn nên các dữ
liệu do các chương trình sniffer sinh ra khá lớn. Thông thường, các chương
trình sniffer có thể cấu hình để chỉ thu nhập từ 200 - 300 bytes trong một gói
tin, vi thường những thông tin quan trọng như tên người dùng, mật khẩu nằm ở
phần đầu gói tin.
Trong một số trường hợp quản trị mạng, để phân tích các thông tin lưu
chuyển trên mạng, người quản trị cũng cần chủ động thiết lập các chương trình
sniffer, với vai trò này sniffer có tác dụng tốt.
Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt
động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch
275
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1vụ hệ thống đó cung cấp. Một số biện pháp sau chỉ có tác dụng kiểm tra hệ
thống như:
- Kiểm tra các tiến trình đang thực hiện trên hệ thống (bằng lệnh ps trên
Unix hoặc trình quản lý tài nguyên trong Windows NT). Qua đó kiểm tra các
tiến trình lạ trên hệ thống; tài nguyên sử dụng, thời gian khởi tạo tiến trình... để
phát hiện các chương trình sniffer.
- Sử dụng một vài tiện ích để phát hiện card mạng có chuyển sang chế
đố promiscous hay không. Những tiện ích này giúp phát hiện hệ thống của bạn
có đang chạy sniffer hay không.
Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá
khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
- Không cho người lạ truy nhập vào các thiết bị trên hệ thống
- Quản lý cấu hình hệ thống chặt chẽ
- Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá.
I.1.3. Một số điểm yếu của hệ thống
I.1.3.1. Deamon fingerd:
Một lỗ hổng của deamon fingerd là cơ hội để phương thức tấn công
worm "sâu" trên Internet phát triển: đó là lỗi tràn vùng đệm trong các tiến trình
fingerd (lỗi khi lập trình). Vùng đệm để lưu chuỗi ký tự nhập được giới hạn là
512 bytes. Tuy nhiên chương trình fingerd không thực hiện kiểm tra dữ liệu
đầu vào khi lớn hơn 512 bytes. Kết quả là xảy ra hiện tượng tràn dữ liệu ở vùng
đệm khi dữ liệu lớn hơn 512 bytes. Phần dữ liệu dư thừa chứa những đoạn mã
để kích một script khác hoạt động; scripts này tiếp tục thực hiện finger tới một
host khác. Kết quả là hình thành một mắt xích các "sâu" trên mạng Internet.
I.1.3.2. File hosts.equiv:
Nếu một người sử dụng được xác định trong file host.equiv cũng với địa
chỉ máy của người đó, thì người sử dụng đó được phép truy nhập từ xa vào hệ
thống đã khai báo. Tuy nhiên có một lỗ hổng khi thực hiện chức năng này đó là
nó cho phép người truy nhập từ xa có được quyền của bất cứ người nào khác
trên hệ thống. Ví dụ, nếu trên máy A có một file /etc/host.equiv có dòng định
danh B julie, thì julie trên B có thể truy nhập vào hệ thống A và có bất được
276
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1quyền của bất cứ ngưới nào khác trên A. Đây là do lỗi của thủ tục ruserok()
trong thư viện libc khi lập trình.
I.1.3.3. Thư mục /var/mail
Nếu thư mục /var/mail được set là với quyền được viết (writeable) đối
với tất cả mọi người trên hệ thống, thì bất cứ ai có thể tạo file trong thư mục
này. Sau đó tạo một file với tên của một người đã có trên hệ thống rồi link tới
một file trên hệ thống, thì các thư tới người sử dụng có tên trùng với tên file
link sẽ được gán thêm vào trong file mà nó link tới.
Ví dụ, một người sử dụng tạo link từ /var/mail/root tới /etc/passwd, sau
đó gửi mail bằng tên một người mới tới root thì tên người sử dụng mới này sẽ
được gán thêm vào trong file /etc/passwd; Do vậy thư mục /var/mail không bao
giờ được set với quyền writeable.
I.1.3.4. Chức năng proxy của FTPd:
Chức năng proxy server của FTPd cho phép một người sử dụng có thể
truyền file từ một ftpd này tới một ftpd server khác. Sử dụng chức năng này sẽ
có thể bỏ qua được các xác thực dựa trên địa chỉ IP.
Nguyên nhân là do người sử dụng có thể yêu cầu một file trên ftp server
gửi một file tới bất kỳ địa chỉ IP nào. Nên người sử dụng có thể yêu cầu ftp
server đó gửi một file gồm các lệnh là PORT và PASV tới các server đang
nghe trên các port TCP trên bất kỳ một host nào; kết quả là một trong các host
đó có ftp server chạy và tin cậy người sử dụng đó nên bỏ qua được xác thực địa
chỉ IP.
I.1.4. Các mức bảo vệ an toàn mạng
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử
dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối
với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo
vệ thông tin cất giữ trong các máy tính, đặc biệt là trong các server của mạng.
Hình sau mô tả các lớp rào chắn thông dụng hiện nay để bảo vệ thông tin tại
các trạm của mạng:
277
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Information
Access rights
login/password
data encrytion
Physical protection
firewalls
Hình 1.4: Các mức độ bảo vệ mạng
Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
- Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài
nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực hiện những
thao tác gì) trên tài nguyên đó. Hiện nay việc kiểm soát ở mức này được áp
dụng sâu nhất đối với tệp.
- Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký
tên và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó
đơn giản, ít tốn kém và cũng rất có hiệu quả. Mỗi người sử dụng muốn truy
nhập được vào mạng sử dụng các tài nguyên đều phải có đăng ký tên và mật
khẩu. Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát mọi hoạt động
của mạng và xác định quyền truy nhập của những người sử dụng khác tuỳ theo
thời gian và không gian.
- Lớp thứ ba là sử dụng các phương pháp mã hoá (encryption). Dữ liệu
được biến đổi từ dạng clear text sang dạng mã hoá theo một thuật toán nào đó.
- Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản các
truy nhập vật lý bất hợp pháp vào hệ thống. Thường dùng các biện pháp truyền
thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ
thống khoá trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào
hệ thống ...
278
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Lớp thứ năm: Cài đặt các hệ thống bức tường lửa (firewall), nhằm
ngăn chặn các thâm nhập trái phép và cho phép lọc các gói tin mà ta không
muốn gửi đi hoặc nhận vào vì một lý do nào đó.
I.2. Các biện pháp bảo vệ mạng máy tính
I.2.1. Kiểm soát hệ thống qua logfile
Một trong những biện pháp dò tìm các dấu vết hoạt động trên một hệ
thống là dựa vào các công cụ ghi logfile. Các công cụ này thực hiện ghi lại nhật
ký các phiên làm việc trên hệ thống. Nội dung chi tiết thông tin ghi lại phụ
thuộc vào cấu hình người quản trị hệ thống. Ngoài việc rà soát theo dõi hoạt
động, đối với nhiều hệ thống các thông tin trong logfile giúp người quản trị
đánh giá được chất lượng, hiệu năng của mạng lưới.
I.2.1.1. Hệ thống logfile trong Unix:
Trong Unix, các công cụ ghi log tạo ra logfile là các file dưới dạng text
thông thường cho phép người sử dụng dùng những công cụ soạn thảo file text
bất kỳ để có thể đọc được nội dung. Tuy nhiên, một số trường hợp logfile được
ghi dưới dạng binary và chỉ có thể sử dụng một số tiện ích đặc biệt mới có thể
đọc được thông tin.
a) Logfile lastlog:
Tiện ích này ghi lại những lần truy nhập gần đây đối với hệ thống. Các
thông tin ghi lại gồm tên người truy nhập, thời điểm, địa chỉ truy nhập ... Các
chương trình login sẽ đọc nội dung file lastlog, kiểm tra theo UID truy nhập
vào hệ thống và sẽ thông báo lần truy nhập vào hệ thống gần đây nhất. Ví dụ
như sau:
Last login: Fri Sep 15 2000 14:11:38
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
No mail.
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
279
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1/export/home/ptthanh
b) Logfile UTMP
Logfile này ghi lại thông tin về những người đang login vào hệ thống,
thường nằm ở thư mục /etc/utmp. Để xem thông tin trong logfile có thể sử dụng
các tiện ích như who, w, finger, rwho, users. Ví dụ nội dung của logfile dùng
lệnh who như sau:
/export/home/vhai% who
root console Aug 10 08:45 (:0)
ptthanh pts/4 Sep 15 15:27 (203.162.0.87)
ptthanh pts/6 Sep 15 15:28 (203.162.0.87)
root pts/12 Sep 7 16:35 (:0.0)
root pts/13 Sep 7 11:35 (:0.0)
root pts/14 Sep 7 11:39 (:0.0)
c) Logfile WTMP
Logfile này ghi lại các thông tin về các hoạt động login và logout vào hệ
thống. Nó có chức năng tương tự với logfile UTMP. Ngoài ra còn ghi lại các
thông tin về các lần shutdown, reboot hệ thống, các phiên truy nhập hoặc ftp và
thường nằm ở thư mục /var/adm/wtmp. Logfile này thường được xem bằng
lệnh "last". Ví dụ nội dung như sau:
280
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
/export/home/vhai% last | more
ptthanh pts/10 203.162.0.85 Mon Sep 18 08:44 still logged in
ptthanh pts/10 Sat Sep 16 16:52 - 16:52 (00:00)
vtoan pts/10 203.162.0.87 Fri Sep 15 15:30 - 16:52 (1+01:22)
vtoan pts/6 203.162.0.87 Fri Sep 15 15:28 still logged in
vtoan pts/4 Fri Sep 15 15:12 - 15:12 (00:00)
d) Tiện ích Syslog
Đây là một công cụ ghi logfile rất hữu ích, được sử dụng rất thông dụng
trên các hệ thống UNIX. Tiện ích syslog giúp người quản trị hệ thống dễ dàng
trong việc thực hiện ghi logfile đối với các dịch vụ khác nhau. Thông thường
tiện ích syslog thường được chạy dưới dạng một daemon và được kích hoạt khi
hệ thống khởi động. Daemon syslogd lấy thông tin từ một số nguồn sau:
- /dev/log: Nhận các messages từ các tiến trình hoạt động trên hệ thống
- /dev/klog: nhận messages từ kernel
- port 514: nhận các messages từ các máy khác qua port 514 UDP.
Khi syslogd nhận các messages từ các nguồn thông tin này nó sẽ thực
hiện kiểm tra file cấu hình của dịch vụ là syslog.conf để tạo log file tương ứng.
Có thể cấu hình file syslog.conf để tạo một message với nhiều dịch vụ khác
nhau.
Ví dụ nội dung một file syslog.conf như sau:
281
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
# This file is processed by m4 so be careful to quote ('') names
# that match m4 reserved words. Also, within ifdef's, arguments
# containing commas must be quoted.
#
*.err;kern.notice;auth.notice /dev/console
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
*.alert;kern.err;daemon.err operator
*.alert root
*.emerg *
# if a non-loghost machine chooses to have authentication messages
Trong nội dung file syslog.conf chỉ ra, đối với các message có dạng
*.emerg (message có tính khẩn cấp) sẽ được thông báo tới tất cả người sử dụng
trên hệ thống; Đối với các messages có dạng *.err, hoặc kern.debug và những
hoạt động truy cập không hợp pháp sẽ được ghi log trong file
/var/adm/messages.
Mặc định, các messages được ghi vào logfile /var/adm/messages.
e) Tiện ích sulog
Bất cứ khi nào người sử dụng dùng lệnh "su" để chuyển sang hoạt động
hệ thống dưới quyền một user khác đều được ghi log thông qua tiện ích sulog.
Những thông tin logfile này được ghi vào logfile /var/adm/sulog. Tiện ích này
cho phép phát hiện các trường hợp dùng quyền root để có được quyền của một
user nào khác trên hệ thống.
Ví dụ nội dung của logfile sulog như sau:
282
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
# more /var/adm/sulog
SU 01/04 13:34 + pts/1 ptthanh-root
SU 01/04 13:53 + pts/6 ptthanh-root
SU 01/04 14:19 + pts/6 ptthanh-root
SU 01/04 14:39 + pts/1 ptthanh-root
f) Tiện ích cron
Tiện ích cron sẽ ghi lại logfile của các hoạt động thực hiện bởi lệnh
crontabs. Thông thường, logfile của các hoạt động cron lưu trong file
/var/log/cron/log. Ngoài ra, có thể cấu hình syslog để ghi lại các logfile của
hoạt động cron.
Ví dụ nội dung của logfile cron như sau:
# more /var/log/cron/log
! *** cron started *** pid = 2367 Fri Aug 4 16:32:38 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg
> ptthanh 2386 c Fri Aug 4 16:34:01 2000
< ptthanh 2386 c Fri Aug 4 16:34:02 2000
> CMD: /export/home/mrtg/getcount.pl
> ptthanh 2400 c Fri Aug 4 16:35:00 2000
< ptthanh 2400 c Fri Aug 4 16:35:10 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg
283
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1g) Logfile của sendmail
Hoạt động ghi log của sendmail có thể được ghi qua tiện ích syslog.
Ngoài ra chương trình sendmail còn có lựa chọn "-L + level security" với mức
độ bảo mật từ "debug" tới "crit" cho phép ghi lại logfile. Vì sendmail là một
chương trình có nhiều bug, với nhiều lỗ hổng bảo mật nền người quản trị hệ
thống thường xuyên nên ghi lại logfile đối với dịch vụ này.
h) Logfile của dịch vụ FTP
Hầu hết các daemon FTP hiện nay đều cho phép cấu hình để ghi lại
logfile sử dụng dịch vụ FTP trên hệ thống đó. Hoạt động ghi logfile của dịch vụ
FTP thường được sử dụng với lựa chọn "-l", cấu hình cụ thể trong file
/etc/inetd.conf như sau:
# more /etc/inetd.conf
ftp stream tcp nowait root /etc/ftpd/in.ftpd in.ftpd -l
Sau đó cấu hình syslog.conf tương ứng với dịch vụ FTP; cụ thể như sau:
# Logfile FTP
daemon.info ftplogfile
Với lựa chọn này sẽ ghi lại nhiều thông tin quan trọng trong một phiên
ftp như: thời điểm truy nhập, địa chỉ IP, dữ liệu get/put ... vào site FTP đó. Ví
dụ nội dung logfile của một phiên ftp như sau:
284
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Sun Jul 16 21:55:06 2000 12 nms 8304640
/export/home/ptthanh/PHSS_17926.depot b _ o r ptthanh ftp 0 * c
Sun Jul 16 21:56:45 2000 96 nms 64624640
/export/home/ptthanh/PHSS_19345.depot b _ o r ptthanh ftp 0 * c
Sun Jul 16 21:57:41 2000 4 nms 3379200
/export/home/ptthanh/PHSS_19423.depot b _ o r ptthanh ftp 0 * c
Sun Jul 16 22:00:38 2000 174 nms 130396160
/export/home/ptthanh/PHSS_19987.depot b _ o r ptthanh ftp 0 * c
i) Logfile của dịch vụ Web:
Tùy thuộc vào Web server sử dụng sẽ có các phương thức và cấu hình
ghi logfile của dịch vụ Web khác nhau. Hầu hết các web server thông dụng
hiện nay đều hỗ trợ cơ chế ghi log. Ví dụ nội dung logfile của dịch vụ Web sử
dụng Web server Netscape như sau:
202.167.123.170 - - [03/Aug/2000:10:59:43 +0700] "GET /support/cgi-
bin/search.pl HTTP/1.0" 401 223
203.162.46.67 - - [03/Sep/2000:22:50:52 +0700] "GET http://www.geocities.com/
HTTP/1.1" 401 223
203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl
HTTP/1.0" 401 223
203.162.0.85 - ptthanh [15/Sep/2000:07:43:22 +0700] "GET /support/cgi-
bin/search.pl HTTP/1.0" 404 207
203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl
HTTP/1.0" 401 223
285
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
I.2.1.2. Một số công cụ hữu ích hỗ trợ phân tích logfile:
Đối với người quản trị, việc phân tích logfile của các dịch vụ là hết sức
quan trọng. Một số công cụ trên mạng giúp người quản trị thực hiện công việc
này dễ dàng hơn, đó là:
- Tiện ích chklastlog và chkwtmp giúp phân tích các logfile lastlog và
WTMP theo yêu cầu người quản trị.
- Tiện ích netlog giúp phân tích các gói tin, gồm 3 thành phần:
+ TCPlogger: log lại tất cả các kết nối TCP trên một subnet
+ UDPlogger: log lại tất cả các kết nối UDP trên một subnet
+ Extract: Xử lý các logfile ghi lại bởi TCPlogger và UDBlogger.
- Tiện ích TCP wrapper: Tiện ích này cho phép người quản trị hệ thống
dễ dàng giám sát và lọc các gói tin TCP của các dịch vụ như systat, finger,
telnet, rlogin, rsh, talk ...
I.2.1.3. Các công cụ ghi log thường sử dụng trong Windows NT và
2000:
Trong hệ thống Windows NT 4.0 và Windows 2000 hiện nay đều hỗ trợ
đầy đủ các cơ chế ghi log với các mức độ khác nhau. Người quản trị hệ thống
tùy thuộc vào mức độ an toàn của dịch vụ và các thông tin sử dụng có thể lựa
chọn các mức độ ghi log khác nhau. Ngoài ra, trên hệ thống Windows NT còn
hỗ trợ các cơ chế ghi logfile trực tiếp vào các database để tạo báo cáo giúp
người quản trị phân tích và kiểm tra hệ thống nhanh chóng và thuận tiện. Sử
dụng tiện ích event view để xem các thông tin logfile trên hệ thống với các mức
độ như Application log; Security log; System log. Các hình dưới đây sẽ minh
hoạ một số hoạt động ghi logfile trên hệ thống Windows:
Ví dụ: Để ghi lại hoạt động đọc, viết, truy nhập.... đối với một file/thư
mục là thành công hay không thành công người quản trị có thể cấu hình như
sau:
Chọn File Manager - User Manager - Security - Auditing. Ví dụ hình
sau minh họa các hoạt động có thể được ghi log trong Windows 2000:
286
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.5: Ghi log trong Windows 2000
- Sử dụng tiện ích Event View cho phép xem những thông tin logfile
như sau:
287
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.6: Công cụ Event View của Windows 2000
Xem chi tiết nội dung một message:
288
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.7: Chi tiết 1 thông báo lỗi trong Windows 2000
Thông báo này cho biết nguyên nhân, thời điểm xảy ra lỗi cũng như
nhiều thông tin quan trọng khác.
Có thể cấu hình Event Service để thực hiện một action khi có một thông
báo lỗi xảy ra như sau:
289
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 1.8: Cấu hình dịchvụ ghi log trong Windows 2000
Ngoài ra, cũng giống như trên UNIX, trong Windows NT cũng có các
công cụ theo dõi logfile của một số dịch vụ thông dụng như FTP, Web. Tùy
thuộc vào loại server sử dụng có các phương pháp cấu hình khác nhau.
I.2.2. Thiếp lập chính sách bảo mật hệ thống
Trong các bước xây dựng một chính sách bảo mật đối với một hệ thống,
nhiệm vụ đầu tiên của người quản trị là xác định được đúng mục tiêu cần bảo
mật. Việc xác định những mục tiêu của chính sách bảo mật giúp người sử dụng
biết được trách nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên
mạng, đồng thời giúp các nhà quản trị thiết lập các biện pháp đảm bảo hữu
290
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống.
Những mục tiêu bảo mật bao gồm:
I.2.2.1. Xác định đối tượng cần bảo vệ:
Đây là mục tiêu đầu tiên và quan trọng nhất trong khi thiết lập một chính
sách bảo mật. Người quản trị hệ thống cần xác định rõ những đối tượng nào là
quan trọng nhất trong hệ thống cần bảo vệ và xác định rõ mức độ ưu tiên đối
với những đối tượng đó. Ví dụ các đối tượng cần bảo vệ trên một hệ thống có
thể là: các máy chủ dịch vụ, các router, các điểm truy nhập hệ thống, các
chương trình ứng dụng, hệ quản trị CSDL, các dịch vụ cung cấp ...
Trong bước này cần xác định rõ phạm vi và ranh giới giữa các thành
phần trong hệ thống để khi xảy ra sự cố trên hệ thống có thể cô lập các thành
phần này với nhau, dễ dàng dò tìm nguyên nhân và cách khắc phục. Có thể chia
các thành phần trên một hệ thống theo các cách sau:
- Phân tách các dịch vụ tùy theo mức độ truy cập và độ tin cậy.
- Phân tách hệ thống theo các thành phần vật lý như các máy chủ
(server), router, các máy trạm (workstation)...
- Phân tách theo phạm vi cung cấp của các dịch vụ như: các dịch vụ bên
trong mạng (NIS, NFS ...) và các dịch vụ bên ngoài như Web, FTP, Mail ...
I.2.2.2. Xác định nguy cơ đối với hệ thống
Các nguy cơ đối với hệ thống chính là các lỗ hổng bảo mật của các dịch
vụ hệ thống đó cung cấp. Việc xác định đúng đắn các nguy cơ này giúp người
quản trị có thể tránh được những cuộc tấn công mạng, hoặc có biện pháp bảo
vệ đúng đắn. Thông thường, một số nguy cơ này nằm ở các thành phần sau trên
hệ thống:
a) Các điểm truy nhập:
Các điểm truy nhập của hệ thống bất kỳ (Access Points) thường đóng
vai trò quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà người sử
dụng cũng như những kẻ tấn công mạng quan tâm tới. Thông thường các điểm
truy nhập thường phục vụ hầu hết người dùng trên mạng, không phụ thuộc vào
quyền hạn cũng như dịch vụ mà người sử dụng dùng. Do đó, các điểm truy
nhập thường là thành phần có tính bảo mật lỏng lẻo. Mặt khác, đối với nhiều hệ
291
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1thống còn cho phép người sử dụng dùng các dịch vụ như Telnet, rlogin để truy
nhập vào hệ thống, đây là những dịch vụ có nhiều lỗ hổng bảo mật.
b) Không kiểm soát được cấu hình hệ thống
Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong
số các lỗ hổng bảo mật. Ngày nay, có một số lượng lớn các phần mềm sử dụng,
yêu cầu cấu hình phức tạp và đa dạng hơn, điều này cũng dẫn đến những khó
khăn để người quản trị nắm bắt được cấu hình hệ thống. Để khắc phục hiện
tượng này, nhiều hãng sản xuất phần mềm đã đưa ra những cấu hình khởi tạo
mặc định, trong khi đó những cấu hình này không được xem xét kỹ lưỡng trong
một môi trường bảo mật. Do đó, nhiệm vụ của người quản trị là phải nắm được
hoạt động của các phần mềm sử dụng, ý nghĩa của các file cấu hình quan trọng,
áp dụng các biện pháp bảo vệ cấu hình như sử dụng phương thức mã hóa
hashing code (MD5).
c) Những bug phần mềm sử dụng
Những bug phần mềm tạo nên những lỗ hổng của dịch vụ là cơ hội cho
các hình thức tấn công khác nhau xâm nhập vào mạng. Do đó, người quản trị
phải thường xuyên cập nhật tin tức trên các nhóm tin về bảo mật và từ nhà cung
cấp phần mềm để phát hiện những lỗi của phần mềm sử dụng. Khi phát hiện có
bug cần thay thế hoặc ngừng sử dụng phần mềm đó chờ nâng cấp lên phiên bản
tiếp theo.
d) Những nguy cơ trong nội bộ mạng
Một hệ thống không những chịu tấn công từ ngoài mạng, mà có thể bị
tấn công ngay từ bên trong. Có thể là vô tình hoặc cố ý, các hình thức phá hoại
bên trong mạng vẫn thường xảy ra trên một số hệ thống lớn. Chủ yếu với hình
thức tấn công ở bên trong mạng là kẻ tấn công có thể tiếp cận về mặt vật lý đối
với các thiết bị trên hệ thống, đạt được quyền truy nhập bất hợp pháp tại ngay
hệ thống đó. Ví dụ nhiều trạm làm việc có thể chiếm được quyền sử dụng nếu
kẻ tấn công ngồi ngay tại các trạm làm việc đó.
I.2.2.3. Xác định phương án thực thi chính sách bảo mật
Sau khi thiết lập được một chính sách bảo mật, một hoạt động tiếp theo
là lựa chọn các phương án thực thi một chính sách bảo mật. Một chính sách
292
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1bảo mật là hoàn hảo khi nó có tình thực thi cao. Để đánh giá tính thực thi này,
có một số tiêu chí để lựa chọn đó là:
- Tính đúng đắn
- Tính thân thiện
- Tính hiệu quả
I.2.2.4. Thiết lập các qui tắc/thủ tục
a) Các thủ tục đối với hoạt động truy nhập bất hợp pháp
Sử dụng một vài công cụ có thể phát hiện ra các hành động truy nhập bất
hợp pháp vào một hệ thống. Các công cụ này có thể đi kèm theo hệ điều hành,
hoặc từ các hãng sản xuất phần mềm thứ ba. Đây là biện pháp phổ biến nhất để
theo dõi các hoạt động hệ thống.
- Các công cụ logging: hầu hết các hệ điều hành đều hỗ trợ một số lượng
lớn các công cụ ghi log với nhiều thông tin bổ ích. Để phát hiện những hoạt
động truy nhập bất hợp pháp, một số qui tắc khi phân tích logfile như sau:
+ So sánh các hoạt động trong logfile với các log trong quá khứ. Đối
với các hoạt động thông thường, các thông tin trong logfile thường có chu kỳ
giống nhau như thời điểm người sử dụng login hoặc log out, thời gian sử dụng
các dịch vụ trên hệ thống...
+ Nhiều hệ thống sử dụng các thông tin trong logfile để tạo hóa đơn cho
khách hàng. Có thể dựa vào các thông tin trong hóa đơn thanh toán để xem xét
các truy nhập bất hợp pháp nếu thấy trong hóa đơn đó có những điểm bất
thường như thời điểm truy nhập, số điện thoại lạ ...
+ Dựa vào các tiện ích như syslog để xem xét, đặc biệt là các thông báo
lỗi login không hợp lệ (bad login) trong nhiều lần.
+ Dựa vào các tiện ích kèm theo hệ điều hành để theo dõi các tiến trình
đang hoạt động trên hệ thống; để phát hiện những tiến trình lạ, hoặc những
chương trình khởi tạo không hợp lệ ...
- Sử dụng các công cụ giám sát khác: Ví dụ sử dụng các tiện ích về
mạng để theo dõi các lưu lượng, tài nguyên trên mạng để phát hiện những điểm
nghi ngờ.
293
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1b) Các thủ tục bảo vệ hệ thống
- Thủ tục quản lý tài khoản người sử dụng
- Thủ tục quản lý mật khẩu
- Thủ tục quản lý cấu hình hệ thống
- Thủ tục sao lưu và khôi phục dữ liệu
- Thủ tục báo cáo sự cố
I.2.2.5. Kiểm tra, đánh giá và hoàn thiện chính sách bảo mật
Một hệ thống luôn có những biến động về cấu hình, các dịch vụ sử
dụng, và ngay cả nền tảng hệ điều hành sử dụng, các thiết bị phần cứng .... do
vậy người thiết lập các chính sách bảo mật mà cụ thể là các nhà quản trị hệ
thống luôn luôn phải rà sóat, kiểm tra lại chính sách bảo mật đảm bảo luôn phù
hợp với thực tế. Mặt khác kiểm tra và đánh giá chính sách bảo mật còn giúp
cho các nhà quản lý có kế hoạch xây dựng mạng lưới hiệu quả hơn.
a) Kiểm tra, đánh giá
Công việc này được thực hiện thường xuyên và liên tục. Kết quả của
một chính sách bảo mật thể hiện rõ nét nhất trong chất lượng dịch vụ mà hệ
thống đó cung cấp. Dựa vào đó có thể kiểm tra, đánh giá được chính sách bảo
mật đó là hợp lý hay chưa. Ví dụ, một nhà cung cấp dịch vụ Internet có thể
kiểm tra được chính sách bảo mật của mình dựa vào khả năng phản ứng của hệ
thống khi bị tấn công từ bên ngoài như các hành động spam mail, DoS, truy
nhập hệ thống trái phép ...
Hoạt động đánh giá một chính sách bảo mật có thể dựa vào một số tiêu
chí sau:
- Tính thực thi.
- Khả năng phát hiện và ngăn ngừa các hoạt động phá hoại.
- Các công cụ hữu hiệu để hạn chế các hoạt động phá hoại hệ thống.
b) Hoàn thiện chính sách bảo mật:
Từ các hoạt động kiểm tra, đánh giá nêu trên, các nhà quản trị hệ thống
có thể rút ra được những kinh nghiệm để có thể cải thiện chính sách bảo mật
294
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1hữu hiệu hơn. Cải thiện chính sách có thể là những hành động nhằm đơn giản
công việc người sử dụng, giảm nhẹ độ phức tạp trên hệ thống ...
Những hoạt động cải thiện chính sách bảo mật có thể diễn ra trong suốt
thời gian tồn tại của hệ thống đó. Nó gắn liền với các công việc quản trị và duy
trì hệ thống. Đây cũng chính là một yêu cầu trong khi xây dựng một chính sách
bảo mật, cần phải luôn luôn mềm dẻo, có những thay đổi phù hợp tùy theo điều
kiện thực tế.
II. Tổng quan về hệ thống firewall
II.1. Giới thiệu về Firewall
II.1.1. Khái niệm Firewall
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng
ngoài vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và
phần mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo
các luật đối với các địa chỉ khác nhau.
II.1.2. Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng
cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập
đã đợc thiết lập.
- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài
vào trong.
- Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng.
- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewalls là một biện pháp khá hữu hiệu, nó cho phép bảo vệ
và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các
biện pháp bảo vệ mạng. Thông thường, một hệ thống firewall là một cổng
(gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại
295
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1II.1.3. Mô hình mạng sử dụng Firewall
Kiến trúc của hệ thống có firewall như sau:
Hình 2.1: Kiến trúc hệ thống có firewall
296
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Nhìn chung, mỗi hệ thống firewall đều có các thành phần chung như
sau:
Hình 2.2: Các thành phần của hệ thống firewall
Firewall có thể bao gồm phần cứng hoặc phần mềm nhưng thường là cả
hai. Về mặt phần cứng thì firewall có chức năng gần giống một router, nó cho
phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép bạn xác
định được các địa chỉ nào được phép và các địa chỉ IP nào không được phép kết
nối.
Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt
đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn.
Theo hình trên các thành phần của một hệ thống firewall bao gồm:
- Screening router: Là chặng kiểm soát đầu tiên cho LAN.
- DMZ: Khu "phi quân sự", là vùng có nguy cơ bị tấn công từ Internet.
- Gateway: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên
lạc, thực thi các cơ chế bảo mật.
- IF1: Interface 1: Là card giao tiếp với vùng DMZ.
297
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- IF2: Interface 2: Là card giao tiếp với vùng mạng LAN.
ng DMZ. Các
truy cậ
net giữa mạng LAN và Internet.
Giống
ổng giao tiếp, nhận diện
các y
II.1.4. Phân loại Firewall
all, mỗi loại có những ưu và nhược điểm riêng.
Tuy nh
ệ thống firewall cho phép chuyển thông tin giữa hệ
thống
ống firewall thực hiện các kết nối
thay ch
- FTP gateway: Kiểm soát truy cập FTP giữa LAN và vù
p ftp từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi
hỏi xác thực thông qua Authentication Server.
- Telnet Gateway: Kiểm soát truy cập tel
như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào
yêu cầu phải xác thực qua Authentication Server
- Authentication Server: được sử dụng bởi các c
êu cầu kết nối, dùng các kỹ thuật xác thực mạnh như one-time
password/token (mật khẩu sử dụng một lần). Các máy chủ dịch vụ trong mạng
LAN được bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các
thông tin trao đổi đều được kiểm soát qua gateway.
Có khá nhiều loại firew
iên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm 2 loại
chính:
- Packet filtering: là h
trong và ngoài mạng có kiểm soát.
- Application-proxy firewall: là hệ th
o các kết nối trực tiếp từ máy khách yêu cầu.
II.1.4.1. Packet Filtering:
Kiểu firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI.
Firewa
iểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi
chúng
ll mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi
là router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên
mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet
filtering).
Ở k
xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra
với các luật đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định
rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng microsoft.com
298
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao
giờ đến được mạng trong.
Các firewall hoạt động ở lớp mạng (tương tự như một router) thường
cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có
một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để
xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị trả giá bởi tính tin
cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo
ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy
nó sẽ có được một số mức truy nhập vào mạng trong của bạn.
Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc
gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet
filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router
mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên
firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử
dụng, port ...
Firewall kiểu Packet Filtering có thể được phân thành 2 loại:
a) Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI
hay lớp IP trong mô hình giao thức TCP/IP.
299
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Hình 2.3: Packet filtering firewall
b) Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình
OSI hay lớp TCP trong mô hình giao thức TCP/IP.
Hình 2.4: Circuit level gateway
II.1.4.2. Application-proxy firewall
Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một
người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn
lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết
nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng
được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa
hai node với nhau.
Ưu điểm của kiểu firewall loại này là không có chức năng chuyển tiếp
các gói tin IP, hơn nữa ta có thể điểu khiển một cách chi tiết hơn các kết nối
thông qua firewall. Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lại các
quá trình kết nối. Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vì tất cả
các kết nối cũng như các gói tin chuyển qua firewall đều được kiểm tra kỹ
300
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1lưỡng với các luật trên firewall và rồi nếu được chấp nhận sẽ được chuyển tiếp
tới node đích.
Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một
yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo ra một
lỗ hổng cho các kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu firewall hoạt động dựa trên ứng dụng là phải tạo
cho mỗi dịch vụ trên mạng một trình ứng dụng uỷ quyền (proxy) trên firewall
ví dụ như phải tạo một trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch
vụ http... Như vậy ta có thể thấy rằng trong kiểu giao thức client-server như
dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho hai máy ngoài
mạng và trong mạng có thể kết nối được với nhau. Khi sử dụng firewall kiểu
này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi. Ví dụ như đối với
dịch vụ telnet thì các máy client có thể thực hiện theo hai phương thức: một là
bạn telnet vào firewall trước sau đó mới thực hiện việc telnet vào máy ở mạng
khác; cách thứ hai là bạn có thể telnet thẳng tới đích tuỳ theo các luật trên
firewall có cho phép hay không mà việc telnet của bạn sẽ được thực hiện. Lúc
này firewall là hoàn toàn trong suốt, nó đóng vai trò như một cầu nối tới đích
của bạn.
Firewall kiểu Application-proxy có thể được phân thành 2 loại:
a) Application level gateway: tính năng tương tự như loại circuit-level
gateway nhưng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP.
301
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 2.5: Application level gateway
b) Stateful multilayer inspection firewall: đây là loại kết hợp được các
tính năng của các loại firewall trên: lọc các gói tại lớp mạng và kiểm tra nội
dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp
giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không
trong suốt" của firewall kiểu Application gateway. Stateful multilayer
inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với
các end users.
302
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 2.6: Stateful multilayer inspection firewall
II.2. Một số phần mềm Firewall thông dụng
II.2.1. Packet filtering:
Kiểu lọc gói tin này có thể đựơc thực hiện mà không cần tạo một
firewall hoàn chỉnh, có rất nhiều các công cụ trợ giúp cho việc lọc gói tin trên
Internet (kể cả phải mua hay được miễn phí). Sau đây ta có thể liệt kê một số
tiện ích như vậy
II.2.1.1. TCP_Wrappers
TCP_Wrappers là một chương trình được viết bởi Wietse Venema.
Chương trình hoạt động bằng cách thay thế các chương trình thường trú của hệ
thống và ghi lại tất cả các yêu cầu kết nối, thời gian yêu cầu, và địa chỉ nguồn.
Chương trình này cũng có khả năng ngăn chặn các địa chỉ IP hay các mạng
không được phép kết nối.
303
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1II.2.1.2. NetGate
NetGate được đưa ra bởi Smallwork là một hệ thống dựa trên các luật về
lọc gói tin. Nó được viết ra để sử dụng trên các hệ thống Sun Sparc OS 4.1.x.
Tương tự như các kiểu packet filtering khác, NetGate kiểm tra tất cả các gói tin
nó nhận được và so sánh với các luật đã được tạo ra.
II.2.1.3. Internet Packet Filter
Phần mềm này hoàn toàn miễn phí, được viết bởi Darren Reed. Đây là
một chương trình khá tiện lợi, nó có khả năng ngăn chặn được việc tấn công
bằng địa chỉ IP giả. Một số ưu điểm của chương trình là nó không chỉ có khả
năng huỷ bỏ các gói tin TCP không đúng hoặc chưa hoàn thiện mà còn không
gửi lại bản tin ICMP lỗi. Chương trình này cho phép bạn có thể kiểm tra thử
các luật bạn ra trước khi sử dụng chúng.
II.2.2. Application-proxy firewall
II.2.2.1. TIS FWTK
TIS FWTK (Trusted information Systems Firewall Tool Kit) là một
phần mềm đầu tiên đầy đủ tính năng của firewall và đặc trưng cho kiểu firewall
hoạt động theo phương thức ứng dụng. Những phiên bản đầu tiên của phần
mềm này là miễn phí và bao gồm nhiều thành phần riêng rẽ. Mỗi thành phần
phục vụ cho một kiểu dịch vụ trên mạng. Các thành phần chủ yếu bao gồm:
Telnet, FTP, rlogin, sendmail và http.
Phần mềm này là một hệ thống toàn diện, tuy nhiên nó không có khả
năng bảo vệ mạng ngay sau khi cài đặt vì việc cài đặt và cấu hình không phải là
dễ dàng. Khi cấu hình phần mềm này bạn phải thực sự hiểu mình đang làm gì
bởi có thể với các luật bạn tạo ra thì mạng của bạn không thể được kết nối với
bất kỳ mạng nào khác thậm chí ngay cả những mạng quen thuộc. Điểm đặc
trưng nhất của phần mềm này là nó có sẵn nhiều tiện ích giúp bạn điều khiển
được truy nhập đối với toàn mạng, một phần mạng hay thậm chí chỉ riêng một
địa chỉ.
II.2.2.2. Raptor
Raptor là phần mềm firewall cung cấp đầy đủ các tính năng của một
firewall chuyên nghiệp với hai giao diện quản lý, một trên hệ đều hành Unix
(RCU) và một trên hệ điều hành Windows (RMC). Raptor có thể được cấu hình
để bảo vệ mạng theo bốn phương thức: Standard Proxies, Generic Service
304
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Passer, Virtual Private Network tunnels và Raptor Mobile. Tuy việc cấu hình
cho Raptor khá phức tạp với việc tạo các route, định nghĩa các entity, user và
group, thiết lập các authorization rule ... nhưng bù lại ta có thể sử dụng được rất
nhiều tính năng ưu việt do Raptor cung cấp đề tuỳ biến các mức bảo vệ đối với
mạng của mình.
II.3. Thực hành cài đặt và cấu hình firewall Check Point
v4.0 for Windows
II.3.1. Yêu cầu phần cứng:
- Cấu hình tối thiểu đối với máy cài GUI Client
Hệ điều hành Windows 95, Windows NT, X/Motif
Dung lượng đĩa trống 20 Mbytes
Bộ nhớ 16 Mbytes
Card mạng Các loại card được hệ điều hành hỗ trợ
Thiết bị khác CD-ROM
- Cấu hình tối thiểu đối với máy cài Management Server
Hệ điều hành Windows NT (Intel x86 và Pentium)
Dung lượng đĩa trống 20 Mbytes
Bộ nhớ tối thiểu 16MB, nên dùng 24MB
Card mạng Các loại card được hệ điều hành hỗ trợ
Thiết bị khác CD-ROM
305
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1- Cấu hình tối thiểu đối với máy cài Modul Firewall
Hệ điều hành Windows NT (Intel x86 và Pentium)
Dung lượng đĩa
trống
20 Mbytes
Bộ nhớ 16 Mbytes
Card mạng
Tối thiểu phải có 3 card mạng thuộc các loại card được hệ
điều hành hỗ trợ.
Thiết bị khác CD-ROM
II.3.2. Các bước chuẩn bị trước khi cài đặt:
- Thắt chặt an ninh cho máy chủ cài firewall và các module của firewall
như GUI Client và Management Server (tắt các dịch vụ không cần thiết, update
các patch sửa lỗi của hệ điều hành ...).
- Kiểm tra các kết nối mạng trên các giao diện mạng, đảm bảo từ máy
chủ cài Module Firewall có thể ping được các IP trên các giao diện mạng (sử
dụng lệnh ifconfig , ping ...).
- Kiểm tra bảng Routing (sử dụng lệnh netstat -rn ...).
- Kiểm tra dịch vụ DNS (sử dụng lệnh nslookup).
- Lập sơ đồ mạng thử nghiệm, đối với máy chủ có 3 giao diện mạng có
thể lập sơ đồ như sau:
306
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Hình 2.7: Sơ đồ mạng thử nghiệm đối với máy chủ có 3 giao diện mạng
II.3.3. Tiến hành cài đặt:
Login dưới quyền Administrator và cài đặt hệ thống Firewall
Checkpoint trên các máy theo trình tự sau:
- Cài đặt GUI Client và Management Server.
- Cài đặt Module Firewall.
II.3.3.1. Cài đặt GUI Client và Management Server
Đưa đĩa CD Checkpoint và chạy lệnh setup trong thư mục Windows,
chọn Account Management Client và FireWall-1 User Interface trong cửa sổ
Select Components:
307
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Chọn Next, màn hình sẽ hiện ra như sau:
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
308
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Chọn Next rồi chọn các thành phần trong cửa sổ Select Components:
309
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Next để bắt đầu quá trình cài đặt.
Sau khi cài xong GUI Client, màn hình sẽ tự động hiện ra phần cài đặt Account
Management Client With Encryption Installation:
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
310
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Next rồi chọn Folder trong cửa sổ Select Program Folder:
Chọn Next để bắt đầu quá trình cài đặt
II.3.3.2. Cài đặt Module Firewall:
Chọn FireWall-1 trong cửa sổ Select Components ban đầu:
311
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Next, màn hình sẽ hiện ra như sau:
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
312
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Next rồi chọn FireWall-1 FireWall Module trong cửa sổ Selecting
Product Type:
Chọn Next rồi tùy theo phiên bản Checkpoint đăng ký để chọn số license phù
hợp:
313
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Next để bắt đầu quá trình cài đặt.
Sau khi cài xong, màn hình cài đặt license sẽ hiện lên như sau:
Chọn Add rồi nhập license vào cửa sổ sau :
314
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn hostname của Management Server:
Chọn chế độ IP Forwarding:
315
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
Đặt các tham số cho SMTP Security Server:
316
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1Chọn Finish để kết thúc quá trình cài đặt rồi Restart lại máy.
317
Giáo trình đào tạo Quản trị mạng và các thiết bị mạng
Trung tâm Điện toán Truyền số liệu KV1
318
Sharing knowledge website
Website chia sẻ tri thức
1
LỜI NÓI ĐẦU
Cuốn sách “Giáo trình hệ tính CCNA 2” được biện soạn dựa trên chương trình đào
tạo chuyên viên mạng của Cisco. Lần xuất bản thứ nhất đã được bạn đọc nhiệt tình
đón nhận. Đây là chương trình học có tính thực tế cao. Trong bối cảnh công nghệ
phát triển liên tục nên giáo trình cần được cập nhật để bám sát thực tiễn. Đó chính
là lý do chúng tôi giới thiệuđến bạn cuốn giáo trình mới trong lần xuất bản này.
Giáo trình này tương ứg với kỳ học thứ hai trong chương trình đào tạo CCNA của
Cisco. Sách gồm có 11 chương, các chủ đề được trình bày có hệ thống và cô đọng.
Nội dung chính của tập hai là khảo sát thành phần cấu trúc và hoạt động của router,
đồng thời hướng dẫn người đọc cấu hình cơ bản cho router. So với phiên bản cũ,
phiên bản mới có đề cập thêm hai phần mới là: Giao thức thông điệp điều khiển
Internet (ICMP) và danh sách kiểm tra truy nhập (Access Control List). Bên cạnh
đó, các phần về cấu trúc router, cấu hình router và xử lý sự cố cho router cũng
được bổ sung thêm nhiều chi tiết mới so với phiên bản cũ.
Cuốn sách không chỉ là một giáo trình hữu ích cho các học viên mạng CCNA mà
còn là tài liệu bổ ích cho các bạn đọc muốn trở thành những nhà networking
chuyên nghiệp.
Mặc dù đã cố gắng sửa chữa, bổ sung cho cuốn sách được hoàn thiện hơn song
chắc rằng không tránh khởi những thiếu sót, hạn chế. Nhóm biên soạn mong nhận
được cá ý kiến đóng góp quý báu của bạn đọc.
MK.PUB
www.minhkhai.com.vn
2
LỜI NGỎ
Kính thưa quý bạn đọc gần xa, Ban xuất bản MK.PUB trước hết xin bày tỏ lòng
biết ơn và niềm vinh hạnh trước nhiệt tình của đông đảo Bạn đọc đối với tủ sách
MK.PUB trong thời gian qua.
Khẩu hiệu chúng tôi là:
* Lao động khoa học nghiêm túc.
* Chất lượng và ngày càng chất lượng hơn.
* Tất cả vì Bạn đọc.
Rất nhiều Bạn đọc đã gửi mail cho chúng tôi đóng góp nhiều ý kiến quý báu
cho tủ sách.
Ban xuất bản MK.PUB xin được kính mời quý Bạn đọc tham gia cùng nâng cao
chất lượng tủ sách của chúng ta.
Trong quá trình đọc, xin các Bạn ghi chú lại các sai sót (dù nhỏ, lớn) của cuốn
sách hoặc các nhận xét của riêng Bạn. Sau đó xin gửi về địa chỉ:
E-mail: [email protected] – [email protected]
Hoặc gửi về: Nhà sách Minh Khai
249 Nguyễn Thị Minh Khai, Q.I, Tp. Hồ Chí Minh
Nếu Bạn ghi chú trực tiếp lên cuốn sách, rồi gửi cuốn sách đó cho chúng tôi thì
chúng tôi sẽ xin hoàn lại cước phí bưu điện và gửi lại cho bạn cuốn sách khác.
Chúng tôi xin gửi tặng một cuốn sách của ủ sách MK.PUB ty chọn lựa của Bạn
theo một danh mục thích hợp sẽ được gửi tới Bạn.
Với mục đích ngày càng nâng cao chất lượng của tủ sách MK.PUB, chúng
tôi rất mong nhận được sự hợp tác của quý Bạn đọc gần xa.
“MK.PUB và Bạn đọc cùng làm !”
3
MK.PUB
MỤC LỤC
LỜI NÓI ĐẦU .................................................................................................3
MỤC LỤC.........................................................................................................3
CHƯƠNG 1: WAN VÀ ROUTER...................................................................5
GIỚI THIỆU...................................................................................................13
1.1. WAN....................................................................................................13
1.1.1. Giới thiệu về WAN ...................................................................13
1.1.2. Giới thiệu về router trong mạng WAN .....................................15
1.1.3. Router LAN và WAN ...............................................................17
1.1.4. Vai trò của router trong mạng WAN .........................................19
1.1.5. Các bài thực hành mô phỏng .....................................................21
1.2. Router .................................................................................................21
1.2.1. Các thành phần bên trong router ...............................................21
1.2.2. Đặc điểm vật lý của router.........................................................24
1.2.3. Các loại kết nối bên ngoài của router ........................................25
1.2.4. Kết nối vào cổng quản lý trên router .........................................25
1.2.5. Thiết lập kết nối vào cổng console ............................................26
1.2.6. Thực hiện kết nối với cổng LAN ..............................................28
1.2.7. Thực hiện kết nối với cổng WAN .............................................29
TỔNG KẾT ....................................................................................................31
4
CHƯƠNG 2: GIỚI THIỆU VỀ ROUTER ....................................................33
GIỚI THIỆU ..................................................................................................33
2.1. Phần mềm hệ điều hành Cisco IOS ....................................................33
2.1.1. Mục đích của phần mềm Cisco IOS...........................................33
2.1.2. Giao diện người dùng của router ...............................................33
2.1.3. Các chế độ cấu hình router ........................................................34
2.1.4. Các đặc điểm của phần mềm Cisco IOS ...................................35
2.1.5. Hoạt động của phần mềm Cisco IOS ........................................38
2.2. Bắt đầu với router ...............................................................................40
2.2.1. Khởi động router .......................................................................40
2.2.2. Đèn LED báo hiệu trên router ...................................................42
2.2.3. Khảo sát quá trình khởi động router ..........................................43
2.2.4. Thiết lập phiên kết nối bằng HyperTerminal ............................45
2.2.5. Truy cập vào router ...................................................................45
2.2.6. Phím trợ giúp trong router CLI .................................................46
2.2.7. Mở rộng thêm về cách viết câu lệnh .........................................48
2.2.8. Gọi lại các lệnh đã sử dụng .......................................................49
2.2.9. Xử lý lỗi câu lệnh.......................................................................50
2.2.10. Lệnh show version ...................................................................51
TỔNG KẾT CHƯƠNG..................................................................................52
5
CHƯƠNG 3: CẤU HÌNH ROUTER............................................................. 53
GIỚI THIỆU ..................................................................................................53
3.1. Cấu hình router ...................................................................................54
3.1.1. Chế độ giao tiếp dòng lệnh CLI ................................................54
3.1.2. Đặt tên cho router ......................................................................55
3.1.3. Đặt mật mã cho router ...............................................................55
3.1.4. Kiểm tra bằng các lệnh show ....................................................56
3.1.5. Cấu hình cổng serial ..................................................................58
3.1.6. Thêm bớt, dịch chuyển và thay đổi tập tin cấu hình .................59
3.1.7. Cấu hình cổng Ethernet .............................................................60
3.2. Hoàn chỉnh cấu hình router ................................................................61
3.2.1. Tầm quan trọng của việc chuẩn hoá tập tin cấu hình ................61
3.2.2. Câu chú thích cho các cổng giao tiếp ........................................61
3.2.3. Cấu hình câu chú thích cho cổng giao tiếp ...............................62
3.2.4. Thông điệp đăng nhập................................................................63
3.2.5. Cấu hình thông điệp đăng nhập (MOTD) .................................63
3.2.6. Phân giải tên máy ......................................................................64
3.2.7. Cấu hình bằng host ....................................................................65
3.2.8. Lập hồ sơ và lưu dự phòng tập tin cấu hình ..............................65
3.2.9. Cắt, dán và chỉnh sửa tập tin cấu hình .......................................66
6
TỔNG KẾT CHƯƠNG .................................................................................67
CHƯƠNG 4: CẬP NHẬT THÔNG TIN TỪ CÁC THIẾT BỊ KHÁC .........69
GIỞI THIỆU ..................................................................................................69
4.1. Kết nối và khám phá các thiết bị lân cận ............................................70
4.1.1. Giới thiệu về CDP .....................................................................70
4.1.2. Thông tin thu nhân được từ CDP...............................................71
4.1.3. Chạy CDP, kiểm tra và ghi nhận các thông tin CDP ................72
4.1.4. Xây dựng bản đồ mạng .............................................................76
4.1.5. Tắt CDP .....................................................................................76
4.1.6. Xử lý sự cố của CDP .................................................................77
4.2. Thu thập thông tin về các thiết bị ở xa ...............................................77
4.2.1. Telnet .........................................................................................77
4.2.2. Thiết lập và kiểm tra quá trình khởi động router ......................78
4.2.3. Ngắt, tạm ngưng phiên Telnet ...................................................79
4.2.4. Mở rộng thêm về hoạt động Telnet ...........................................80
4.2.5. Các lệnh kiểm tra kết nối khác ..................................................81
4.2.6.Xử lý sự cố về địa chỉ IP ...........................................................84
TỔNG KẾT ....................................................................................................84
CHƯƠNG 5: QUẢN LÝ PHẦN MỀM CISCO IOS ....................................85
GIỚI THIỆU ..................................................................................................85
5.1. Khảo sát và kiểm tra hoạt động router ...............................................86
7
5.1.1. Các giai đoạn khởi động router khi bắt đầu bật điện.....................86
5.1.2. Thiết bị Cisvo tìm và tải IOS như thế nào.....................................86
5.1.3. Sử dụng lệnh boot system..............................................................87
5.1.4. Thanh ghi cấu hình……………………………………….............88
5.1.5. Xử lý sự cố khi khởi động IOS…………………………..............89
5.2. Quản lý tập tin hệ thống Cisco………………………….......................91
5.2.1. Khái quát về tập tin hệ thốn IOS…………………........................91
5.2.2. Quy ước tên IOS……………………….........................................94
5.2.3. Quản lý tập tin cấu hình bằng TFTP………..................................95
5.2.4. Quản lý tập tin cấu hình bằng cách cắt-dán………........................99
5.2.5. Quản lý Cisco IOS bằng TFTP………………………..................100
5.2.6. Quản lý IOS bằng Xmodem………………...................................103
5.2.7. Biến môi trường………………………………..............................105
5.2.8. Kiểm tra tập tin hệ thống………………………………………....106
TỔNG KẾT .............................................................................................106
CHƯƠNG 6: ĐỊNH TUYẾN VÀ CÁC GIAO THỨC ĐỊNH TUYẾN ............107
GIỚI THIỆU ……………………………………………..................................107
6.1. Giới thiệu về định tuyến tĩnh .................................................................108
6.1.1. Giới thiệu về định tuyến tĩnh..........................................................108
6.1.2. Hoạt động của định tuyến tĩnh........................................................108
8
6.1.3. Cấu hình đường cố định.................................................................110
6.1.4. Cấu hình đường mặc định cho router chuyển gói đi......................112
6.1.5. Kiểm tra cấu hình ...........................................................................114
6.1.6. Xử lý sự cố......................................................................................114
6.2. Tổng quát về định tuyến.........................................................................116
6.2.1. Giới thiệu về giao thức định tuyến.................................................116
6.2.2. Autonomous system (AS) (Hệ thống tự quản)...............................117
6.2.3. Mục đích của giao thức định tuyến và hệ thống tự quản...............117
6.2.4. Phân loại các giao thức định tuyến.................................................118
6.2.5. Đặc điểm của giao thức định tuyến theo vector khoảng cách.......118
6.2.6. Đặc điểm của giao thức định tuyến theo trạng thái đường liên kết121
6.3. Tổng quát về giao thức định tuyến.........................................................121
6.3.1. Quyết định chọn đường đi..............................................................123
6.3.2. Cấu hình định tuyến........................................................................123
6.3.3. Các giao thức định tuyến................................................................ 126
6.3.4. Hệ tự quản, IGP và EGP.................................................................128
6.3.5. Trạng thái đường liên kết...............................................................130
TỔNG KẾT.........................................................................................................132
CHƯƠNG 7: GIAO THỨC ĐỊNH TUYẾN THEO VECTOR KHOẢNG CÁCH....133
GIỚI THIỆU.......................................................................................................133
9
7.1. Định tuyến theo vector khoảng cách ......................................................134
7.1.1. Cập nhật thông tin định tuyến .......................................................134
7.1.2. Lỗi định tuyến lặp...........................................................................135
7.1.3. Định nghĩa giá trị tối đa..................................................................136
7.1.4. Tránh định tuyến lặp vòng bằng split horizon................................137
7.1.5. Router poisoning.............................................................................138
7.1.6. Tránh định tuyến lặp vòng bằng cơ chế cập nhật tức thời.............140
7.1.7. Trành lặp vòng với thời gian holddown.........................................140
7.2. RIP..........................................................................................................142
7.2.1. Tiến trình của RIP...........................................................................142
7.2.2. Cấu hình RIP...................................................................................142
7.2.3. Sử dụng lênh ip classless................................................................144
7.2.4. Những vấn đề thường gặp khi cấu hình RIP..................................146
7.2.5. Kiểm tra cấu hình RIP....................................................................149
7.2.6. Xử lý sự cố về hoạt động cập nhật của RIP...................................151
7.2.7. Ngăn không cho router gửi thông tin định tuyến ra một cổng giao tiếp
..................................................................................................................153
7.2.8. Chia tải với RIP ..............................................................................154
7.2.9. Chia tải cho nhiều đường ...............................................................156
7.2.10. Tích hợp đường cố định với RIP..................................................158
10
7.3. IGRP.......................................................................................................160
7.3.1. Đặc điểm của IGRP........................................................................160
7.3.7. Kiểm tra cấu hình IGPR.................................................................171
7.3.8. Xử lý sự cố của IGPR.....................................................................171
TỔNG KẾT ........................................................................................................173
CHƯƠNG 8: THÔNG ĐIỆP ĐIỀU KHIỂN VÀ BÁO LỖI CỦA TCP/IP........175
GIỚI THIỆU.......................................................................................................175
8.1. Tổng quát về thông điệp báo lỗi của TCP/IP......................................176
8.1.1. Giao thức Thông Điệp Điều Khiển Internet (IMCP)....................176
8.1.3. Truyền thông điệp IMCP................................................................177
8.1.4. Mạng không đến được....................................................................177
8.1.5. Sử dụng lệnh ping để kiểm tra xem địa chỉ đích có đến được hay
không ........................................................................................................178
8.1.6. Phát hiện đường dài quá giới hạn...................................................179
8.1.7. Thông điệp echo .............................................................................180
8.1.8. Thông điệp “Destination Unreachable”..........................................181
8.1.9. Thông báo các loại lỗi khác............................................................182
8.2. Thông điệp điều khiển của TCP/IP......................................................183
8.2.1. Giới thiệu về thông điệp điều khiển...............................................183
8.2.2. Thông điệ ICMP redirect/change request.......................................184
11
8.2.3. Đồng bộ đồng hồ và ước tính thời gian truyền dữ liệu..................186
8.2.4. Thông điệp Information request và reply.......................................187
8.2.6. Thông điệp để tìm router................................................................189
8.2.7. Thông điệp Router solicitation.......................................................189
8.2.8. Thông điệp báo nghẽn và điều khiển luồng dữ liệu.......................190
TỔNG KẾT.........................................................................................................191
CHƯƠNG 9: CƠ BẢN VỀ XỬ LÝ SỰ CỐ ROUTER..................................... 193
GIỚI THIỆU.......................................................................................................193
9.1. Kiểm tra bảng định tuyến..........................................................................194
9.1.1. Lệnh show ip route.........................................................................194
9.1.2. Xác định gateway...........................................................................196
9.1.3. Chọn đường để chuyển gói từ nguồn đến đích...............................197
9.1.4. Xác định địa lớp 2 và lớp 3............................................................198
9.1.5. Xác định chỉ số tincậy của các con đường ....................................198
9.1.6. Xác định thông số định tuyến......................................................... 199
9.1.7. Xác định trạm kế tiếp......................................................................201
9.1.8. Kiểm tra thông tin định tuyến được cập nhật mới nhất..................202
9.1.9. Sử dụng nhiều đường đến cùng một đích.......................................203
9.2. Kiểm tra kết nối mạng...............................................................................205
9.2.1. Giới thiệu về việc kiểm tra kết nối mạng.......................................205
12
9.2.2. Các bước tiến hành xử lý sự cố ......................................................206
9.2.3. Xử lý sự cố theo lớp của mô hình OSI...........................................208
9.2.4. Sử dụng các đèn báo hiệu để tìm sự cố của Lớp 1.........................209
9.2.5. Sử dụng lệnh ping để xử lý sự cố ở Lớp 3.....................................209
9.2.6. Sử dụng Telnet để xư lý sự cố ở Lớp 7..........................................211
9.3. Tổng quát về quá trình xử lý một số sự cố của router...............................212
9.3.1. Sử dụng lệnh show interfaces để xử lý sự cố Lớp 1 ......................212
9.3.2. Sử dụng lênh show interfaces để xử lý sự cố Lớp 2 .....................216
9.3.3. Sử dụng lệnh show cdp để xử lý sự cố ..........................................217
9.3.4. Sử dụng lệnh traceroute để xử lý sự cố ..........................................218
9.3.5. Xử lý các sự cố về định tuyến........................................................219
9.3.6. Sử dụng lênh show controllers serial để xử lý sự cố......................222
TỔNG KẾT.........................................................................................................225
CHƯƠNG 10: TCP/IP........................................................................................227
GIỚI THIỆU.......................................................................................................227
10.1. Hoạt động của TCP...............................................................................228
10.1.1 Hoạt động của TCP........................................................................228
10.1.2 Quá trình động bộ hay quá trình bắt tay 3 bước............................228
10.1.3 Kiểu tấn công từ chối dịch vụ DoS (Denial of Service)................230
10.1.4 Cửa sổ và kích thước cửa sổ..........................................................231
13
10.1.6 ACK xác nhận...............................................................................234
10.2. Tổng quan về port ở lớp vận chuyển ...................................................236
10.2.1. Nhiều cuộc kết nối giữa 2 host.....................................................236
10.2.2. Port dành cho các dịch vụ.............................................................238
10.2.3. Port dành cho client ......................................................................240
10.2.4. Chỉ port và các chỉ số port nổi tiếng.............................................240
10.2.5. Ví dụ về trường hợp mở nhiều phiên kết nối giữa 2 host.............240
10.2.6. So sánh giữa địa chỉ IP, địa chỉ MAC và số port.........................241
TỔNG KẾT.........................................................................................................241
CHƯƠNG 11: DANH SÁCH KIỂM TRA TRUY CẬP ACLs .........................243
GIỚI THIỆU.......................................................................................................243
11.1 Cơ bản về danh sách kiểm tra truy cập..................................................244
11.1.1 ACLs làm việc như thế nào? .........................................................246
11.1.2 Kiểm tra ACLs...............................................................................254
11.2.1 Danh sách kiểm tra truy cập ACLs.....................................................256
11.2.1 ACLs cơ bản .................................................................................256
11.2.2 ACLs mở rộng...............................................................................258
11.2.3 ACLs đặt tên..................................................................................259
11.2.4 Vị trí đặt ACLs ..............................................................................261
11.2.5 Bức tường lửa................................................................................262
14
11.2.6 Giới hạn truy cập vào đường vty trên router.................................263
TỔNG KẾT.........................................................................................................265
15
CHƯƠNG 1
WAN VÀ ROUTER
GIỚI THIỆU
Mạng diện rộng (WAN) là màng truyền dữ liệu qua những vùng địa lý rất lớn.
WAN có nhiều đặc điểm quan trọng khác với LAN. Trong chương này, trước tiên
các bạn sẽ có một cái nhìn tổng thể về các kỹ thuật và các giao thức của mạng
WAN. Đồng thời trong chương này cũng sẽ giải thích những đặc điểm giống nhau
và khác nhau giữa LAN và WAN.
Bên cạnh đó, kiến thức về các thành phần vật lý của router cũng rất quan trọng.
Kiến thức này sẽ là nền tảng cho các kỹ năng và kiến thức khác khi bạn cấu hình
router và quản trị mạng định tuyến. Trong chương này, các bạn sẽ được khảo sát
thành phần vật lý bên trong và bên ngoài của router và các kỹ thiật kết nối với
nhiều cổng khác nhau trên router.
Sau khi hoàn tất chương này, các bạn có thể thực hiện các việc sau:
• Xác định tổ chức quốc tế chịu trách nhiệm về các chuẩn của WAN.
• Giải thích sự khác nhau giữa LAN và WAN, giữa các loại địa chỉ mà mỗi
mạng sử dụng.
• Mô tả vai trò của router trong WAN.
• Xác định các thành phần vật lý bên trong của router và các chức năng tương
ứng.
• Mô tả các đặc điểm vật lý của router.
• Xác định các loại cổng trên router.
• Thực hiện các kết nối đến cổng Ethernet, cổng nối tiếp WAN và cổng
console trên router.
1.1. WAN
1.1.1 Giới thiệu về WAN
16
WAN là mạngtruyền dữ liệu qua những vùng địa lý rất rộng lớn như các bang,
tỉnh, quốc gia… Các phương tiện truyền dữ liệu trên WAN được cung cấp bởi các
nhà cung cấp dịch vụ, ví dụ như các công ty điện thoại.
Mạng WAN có một số đặc điểm sau:
WAN dùng để kết nối các thiệt bị ở cách xa nhau bởi những địa lý lớn.
WAN sử dụng dịch vụ của các công ty cung cấp dịch vụ, ví dụ như: Regional Bell
Operating Conpanies (RBOCs), Sprint, MCI, VPM internet servies, Inc.,
Altantes.net…
WAN sử dụng nhiều loại liên kết nối tiếp khác nhau.
WAN có một số điểm khác với LAN. Ví dụ như: LAN được sử dụng để kết nối các
máy tính đơn lẻ, các thiết bị ngoại vi, các thiết bị đầu cuối và nhiều loại thiết bị
khác trong cung một toà nhà hay một phạm vi địa lý nhỏ. Trong khi đó WAN được
sử dụng để kết nối các chi nhánh của mình, nhờ đó mà thông tin được trao đổi dễ
dàng giữa các trung tâm.
Mạng WAN hoạt động chủ yếu ở lớp Vật lý và lớp Liên kết dữ liệu mô hình OSI.
WAN kết nối các mạng LAN lại với nhau. Do đó, WAN thực hiện chuyển đổi các
gói dữ liệu giữa các router, switch và các mạng LAN mà nó kết nối.
Sau đây là các thiết bị được sử dụng trong WAN:
• Router: cung cấp nhiều dịch vụ khác nhau, bao gồm Internet và các giao tiếp
WAN.
• Loại switch được sử dụng trong WAN cung cấp kết nối cho hoạt động thông
tin liên lạc băng thoại video và dữ liệu.
• Modem: bao gồm: giao tiếp với dịch vụ truyền thoại; CSU/DSU (Chanel
service units/ Digital service units) để giao tiếp với dịch vụ T1/E1; TA/NT1
(Terminal Adapters /Network Terminal 1) để giao tiếp với dịch vụ ISDN
(Integrate Services Digital Network).
• Server thông tin liên lạc: tập trung xử lý cuộc gọi của người dùng.
17
Hình 1.1.1: Các thiết bị WAN
c vận chuyển giữa các hệ thống trên một đường truyền dữ liệu. các giao
thứ
truy
Các ti
sau:
• Liên hiệp viễn thông quốc tế - lĩnh vực tiêu chuẩn viễn thông – ITUT
ctor), trước đây là Uỷ ban cố điện thoại và điện tín quốc
• Tổ chứ net Engineering Task
Force).
• Liên hiệp công nghiệp điện tử - EIA (Eletronic Industries Association).
1.1.2 Giới thiệu về router trong mạng WAN
Các giao thức ở lớp Liên kết dữ liệu của mạng WAN mô tả về cách thức mà gói dữ
liệu đượ
c này đươc thiết kế cho các dịch vụ chuyển mạch điểm-đến-điểm, đa điểm, đa
nhập, ví dụ như: FrameRelay.
êu chuẩn của mạng WAN được định nghĩa và quản lý bởi các tổ chức quốc tế
(International Telecommunication Union-Telecommunication
Standardization Se
tế - CCITT (Consultative Committee for International Telegraph and
Telephone).
• Tổ chức quốc tế về tiêu chuẩn – ISO (International Organization for
Standardization).
c đặc trách về kỹ thuật Internet – IETF (Inter
18
Hình 1.1.2
Router là một loại máy tính đặc biệt. Nó cũng có các thành phần cơ bản giống như
máy tính: CPU, bộ nhớ, system bus và các cổng giao tiếp. Tuy nhiên router được
a đường đi tốt nhất cho dữ liệu.
h để chạy các tập tin cấu hình. Tập tin cấu hình
o các gói dữ liệu. Do đó, tập tin cấu hình cũng chứa các thông
tin o thức định tuyến trên router.
Giá t hích rõ cách xây dựng tập tin cấu hình từ các câu lệnh IOS
để router có thể thực hiện được các chức năng cơ bản. Lúc ban đầu có thể bạn thấy
tập ạn sẽ thấy nó dễ hiểu
hơn h
Cá h gồm: bộ nhớ RAM, NVRAM, bộ nhớ
flash, ROM và các c
RA ,
chức n
kết là để thực hiện một số chức năng đặc biệt. Ví dụ: router được thiết kế là để thực
hiện một số chức năng đặc biệt. Ví dụ: router kết nối hai hệ thống mạng với nhau
và cho phép hai hệ thống này có thể liên lạc với nhau, ngoài ra router còn thực hiện
việc chọn lự
Cũng giống như máy tính cần phải có hệ điều hành để chạy các trình ứng dụng thì
router cũng cần phải có hệ điều hàn
chứa các câu lệnh và các thông số để điều khiển luồng dữ liệu ra vào trên router.
Đặc biệt là router còn sử dụng giao thức định tuyến để truyền để quyết định chọn
đường đi tốt nhất ch
để cài đặt và chạy các gia
o rình này sẽ giải t
tin cấu hình rất phức tạp nhưng đến cuối giáo trình này b
n iều.
c t ành phần chính bên trong router bao
ổng giao tiếp.
M hay còn gọi là RAM động (DRAM- Dynamic RAM) có các đặc điểm và
ăng như sau
• Lưu bảng định tuyến.
19
• Lưu bảng ARP.
• Có vùng bộ nhớ chuyển mạch nhanh.
• Cung cấp vùng nhớ đệm cho các gói dữ liệu
• Duy trì hàng đợi cho các gói dữ liệu.
• Cung cấp bộ nhớ tạm thời cho tập tin cấu hình của router khi router đang
Đặc điểm và chức năng của NVRAM:
• iữ tập tin cấu hình khởi động của router.
tắt
điện.
Đặc i
Lưu hệ điều hành IOS.
• Có thể cập nhật phần mềm lưu trong Flash mà không cần thay đổi chip trên
• Nội du iữ khi router khởi động lại hoặc bị tắt
điện.
• Ta có thể lư trong Flash.
hoạt động.
• Thông tin trên RAM sẽ bị xoá mất khi router khởi động lại hoặc bị tắt điện.
Lưu g
• Nội dung của NVRAM vẫn được lưu giữ khi router khởi động lại hoặc bị
đểm và chức năng của bộ nhớ flash:
•
bộ xử lý.
ng của Flash vẫn được lưu g
u nhiều phiên bản khác nhau của phần mềm IOS
• Flash là loại ROM xoá và lập trình được (EPROM).
Đặc điểm và chức năng của các cổng giao tiếp:
• Kết nối router vào hệ thống mạng để nhận và chuyển gói dữ liệu.
• Các cổng có thể gắn trực tiếp trên mainboard hoặc là dưới dạng card rời.
1.1.3 Router LAN và WAN
20
Hình 1.1.3a: Phân đoạn mạng LAN với router
Router vừa được sử dụng để phân đoạn mạng LAN vừa là thiết bị chính trong
mạng WAN. Thực chất là
là: chọn đường đi tốt
nhất và chuyển mạch gói dữ liệu. Để thực hiện chức năng này, mỗi router phải xây
dựng một bảng định tuyến và thực hi định tuyến với nhau.
Do đó, tên router có cả cổng giao tiếp LAN và WAN.
các kỹ thuật WAN được sử dụng để kết nối các router, router này giao tiếp với
router khác qua đường liên kết WAN. Router là thiết bị xương sống của mạng
Intranet lớn và mạng Internet. Router hoạt động ở Lớp 3 và thực hiện chuyển gói
dữ liệu dựa trên địa chỉ mạng. Router có hai chức năng chính
ện trao đổi thông tin
Hình 1.1.3b: Kết nối router bằng các công nghệ WAN
21
Ng trì bảng định tuyến bằng cách cấu hình định tuyến
tĩnh, nhưng thông th động nhờ các giao thức
định tuyến thự r.
ười quản trị mạng có thể duy
ường thi bảng định tuyến được lưu giữ
c hiện trao đổi thông tin mạng giữa các route
Hình 1.1.3c
Ví dụ: nếu máy tính X muốn thông tin liên lạc với máy tính Y ở một châu lục khác
và với máy tính Z ở một vị trí khác nữa trên thế giới, khi đó cần phải có định tuyến
Mạng WAN hoạt động chủ yếu ở lớp vật lý và lớp liên kết dữ liệu. Điều này không
có nghĩa là năm lớp còn lại của mô hình OSI không có trong mạng WAN. Điều
để có thể truyền dữ liệu và đồng thời cũng cần phải có các đường dự phòng, thay
thế để đảm bảo độ tin cậy. Rất nhiều thiết kế mạng và công nghệ được đưa ra để
cho các máy tính như X Y, Z có thể liên lạc với nhau.
Một hệ thống mạng được cấu hình đúng phải có đầy đủ các đặc điểm sau:
• Có hệ thống địa chỉ nhất quán từ đầu cuối đến đầu cuối
• Cấu trúc địa chỉ phải thể hiện được cấu trúc mạng.
• Chọn được đường đi tốt nhất.
• Định tuyến động và tĩnh.
• Thực hiện chuyển mạch.
1.1.4 Vai trò của router trong mạng WAN
22
này đơn giản có nghĩa là mang WAN chỉ khác với mạng LAN ở lớp Vật lý và lớp
Liên kết dữ liệu. Hay nói cách khác là các tiêu chuẩn và giao thức sử dụng trong
mạng WAN ở lớp 1 và lớp 2 là khác với mạng LAN.
Lớp Vật lý trong mạng WAN mô tả các giao tiếp thiết bị dữ liệu đầu cuối DTE
(Data Terminal Equipment) và thiết bị đầu cuối mạch dữ liệu DCE (Data Circuit-
terminal Equipment). Thông thường, DCE là thiết bị ở phía nhà cung cấp dịch vụ
và DTE là thiết bị kết nối vào DCE. Theo mô hình này thì DCE có thể là modem
hoặc CSU/DSU.
Chức năng chủ yếu của router là định tuyến. Hoạt động định tuyến diễn ra ở lớp 3 -
lớp Mạng trong khi WAN hoạt động ở lớp 1 và 2. Vậy router là thiết bị LAN hay
WAN? Câu trả lời là cả hai. Router có thể là thiết bị LAN, hoặc WAN, hoặc thiết
bị trung gian giữa LAN và WAN hoặc có thể là LAN và WAN cùng mộ
Một trong những nhiệm vụ của router trong mạng WAN là định tuyến gói dữ liệu ở
lớp 3, đây cúng là nhiệm vụ của router trong mạng LAN. Tuy nhiên, định tuyến
không phải là nhiệm vụ ch uter sử
dụng các chuẩn và giao thức của lớp Vật lý và lớp Liên kết dữ liệu để kết nối các
mạng WAN thì lúc này nhiệm vụ chín mạng WAN không
ột giao tiếp
SDN sang T1, đồng thời chuyển
kiểu đóng gói eRelay.
t lúc.
ính yếu của router trong mạng WAN. Khi ro
h yêú của router trong
phải là định tuyến nữa mà là cung cấp kết nối giữa các mạng WAN với các chuẩn
vật lý và liên kết dữ liệu khác nhau. Ví dụ: một router có thể có m
ISDN sử dụng kiểu đóng gói PPP và một giao tiếp nối tiếp T1 sử dụng kiểu đóng
gói FrameRelay. Router phải có khả năng chuyển đổi luồng bit từ loại dịch vụ này
sang dịch vụ khác. Ví dụ: chuyển đổi từ dịch vụ I
lớp Liên kết dữ liệu từ PPP sang Fram
Chi tiết về các giao thức lớp 1 và 2 trong mạng WAN sẽ được đề cập ở tập sau của
giáo trình này. Sau đây chỉ liệt kê một số chuẩn và giao thức WAN chủ yếu để các
bạn tham khảo:
23
Hình 1.1.4a: Các chuẩn WAN ở lớp Vật lý
Hình 1.1.4b: Các kiểu đóng gói dữ liệu WAN
ở Lớp liên kết dữ liệu
Các chuẩn và giao thức WAN lớp vật lý: EIA/TIA-232,449, V24, V35, X21, EIA-
530, ISDN, T1, T3, E1, E3, Xdsl, sonet (oc-3, oc-12, oc-48, oc-192).
Các chuẩn và giao thức WAN lớp liên kết dữ liệu: HDLC, FrameRelay, PPP,
SDLC, SLIP, X25, ATM, LAMB, LAPD, LAPF.
24
1.1.5 Các bài thực hành mô phỏng
Trong các bài thực hành mô phỏng trong phòng lab, các mạng được kết nối bằng
c thành phần cơ bản của router.
RAM. RAM thường được chia thành hai
phần: phần bộ nhớ xử lý chính và phần bộ nhớ chia sẻ xuất/nhập. Phần bộ nhớ chia
sẻ xuất/nhập được chia cho các cổng giao tiếp làm nơi lưu trữ tạm các gói dữ
liệu.Toàn bộ nội dung trên RAM sẽ bị xoá khi tắt điện. Thông thường, RAM trên
router là loại RAM động (DRAM – Dynamic RAM) và có thể nâng thêm RAM
bằng cách gắn thêm DIMM (Dual In-Line Memory Module).
Flash: Bộ nhớ Flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành Cisco
IOS. Mặc định là router tìm IOS của nó trong flash. Bạn có thể nâng cấp hệ điều
hành bằng cách chép phiên bản mới hơn vào flash. Phần mềm IOS có thể ở dưới
dạng nén hoặc không nén. Đối với hầu hết các router, IOS được chép lên RAM
trong quá trình khởi động router. Còn có một số router thì IOS có thể chạy trực tiếp
cáp serial trong thực tế không kết nối trực tiếp như vậy được. Ví dụ: trên thực tế,
một router ở New York và một router ở Sydney, Australia. Người quản trị mạng ở
Australia phải kết nối vào router ở New York thông qua đám mây WAN để xử lý
sự cố trên router ở New York.
Trong các bài thực hành mô phỏng, các thiết bị trong dám mây WAN được giả lập
bằng cáp DTE-DCE kết nối trực tiếp từ cổng S0/0 của router này đến cổng S0/1
của router kia (nối back-to-back).
1.2 Router
1.2.1 Các thành phần bên trong router
Cấu trúc chính xác của router rất khác nhau tuỳ theo từng phiên bản router. Trong
phần này chỉ giới thiệu về cá
CPU – Đơn vị xử lý trung tâm: thực thi các câu lệnh của hệ điều hành để thực hiện
các nhiệm vụ sau: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếp
mạng. CPU là một bộ giao tiếp mạng. CPU là một bộ vi xử lý. Trong các router lớn
có thể có nhiều CPU.
RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch
nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu. Trong đa số
router, hệ điều hành Cisco IOS chạy trên
25
trên flash mà không cần chép lên RAM. ạn có thể gắn thêm hoặc thay thế các
thanh SIMM hay card PCMCIA để ợng flash.
VRAM (Non-volative Random-access Memory): Là bộ nhớ RAM không bị mất
ông tin, được sử dụng để lưu tập tin cấu hình. Trong một số thiết bị có NVRAM
và flash . Trong một số thiết bị, flash và
us hệ thống được sử
ROM (Read Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khi
khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng của router khi khởi
động, sau đó chép phần mềm Cisco IOS từ flash vào RAM. Một số router có thể có
phiên bản IOS cũ dùng làm nguồn khởi động dự phòng. Nội dung trong ROM
không thể xoá được. Ta chỉ có thể nâng cấp ROM bằng cách thay chip ROM mới.
Các cổng giao tiếp: Là nơi router kết nối với bên ngoài. Router có 3 loại cổng:
LAN, WAN và console/AUX. Cổng giao tiếp LAN có thể gắn cố định trên router
hoặc dưới dạng card rời.
Cổng giao tiếp WAN có thể là cổng Serial, ISDN, cổng tích hợp đơn vị dịch vụ
kênh CSU (Chanel Service Unit). Tương tự như cổng giao tiếp LAN, các cổng giao
tiếp WAN cũng có chip điều khiển đặc biệt. Cổng giao tiếp WAN có thể định trên
router hoặc ở dạ
Cổng console/AUX là cổng nối tiếp, chủ yếu được dử dụng để cấu hình router. Hai
cổng này không phải là loại cổng để kết nối mạng mà là để kết nối vào máy tính
thông qua mod ính thực
hiện cấu uter
B
nâng dung lư
N
th
riêng, NVRAM được thực thi nhờ flash
NVRAM là cùng một bộ nhớ. Trong cả hai trường hợp, nội dung của NVRAM vẫn
được lưu giữ khi tắt điện.
Bus: Phần lớn các router đều có bus hệ thống và CPU bus. B
dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng.
Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ của ô nhớ
tương ứng.
ng card rời.
em hoặc thông qua cổng COM trên máy tính để từ máy t
hình ro.
Nguồn điện: Cung cấp điện cho các thành phần của router, một số router lớn có thể
sử dụng nhiều bộ nguồn hoặc nhiều card nguồn. Còn ở một số router nhỏ, nguồn
điện có thể là bộ phận nằm ngoài router.
26
Hình 1.2.1a
Hình 1.2.1b
ị trí của chúng trong router rất khác nhau tuỳ theo từng
loại phiên bản thiết bị.
1.2.2 Đặc điểm vật lý của router
Không nhất thiết là bạn phải biết vị trí của các thành phần vật lý trong router mới
có thể sử dụng được router. Tuy nhiên trong một số trường hợp, ví dụ như nâng
cấp bộ nhớ chẳng hạn, những kiến thức này lại rất hữu dụng.
Các loại thành phần và v
27
Hình 1.2.2a: Cấu trúc bên trong của router 2600
Hình 1.2.2b: Các loại kết nối bên ngoài của router 2600
1.2.3 Các loại kết nối ngoài của router
Router có ba loại kết nối cơ bản là: cổng LAN, WAN và cổng quản lý router. Cổng
giao tiếp LAN cho phép router kết nối vào môi trường mạng cục bộ LAN. Thông
g có cổng Token Ring
và ATM (Asynchronous Tranfer Mode).
Kết nối mạng WAN cung cấp kết nối thông qua các nhà cung cấp dịch vụ đến các
chi nhánh xa hoặc i kết nối này có thể là nối tiếp hay bất
kỳ loại gi tiếp WA êm một thiết bị ngoại vi như CSU chẳng
thường, cổng giao tiếp LAN là cổng Ethernet. Ngoài ra cũn
ở kết nối vào Internet. Loạ
ao N, bạn cần phải có th
28
hạn để nố outer đế câp dịch vụ. Đối với một số loại giao tiếp WAN
khác thì bạn có thể kết nối trực tiếp router của mình đến nhà cung cấp dịch vụ.
Chức năng của port quản lý hoàn toàn khác với ai loại trên. kết nối LAN, WAN để
kết nối router và mạ nhận và phát các gói dữ liệu. Trong khi đó, port
quản lý cung cấp ch ăn bản để bạn có thể cấu hình hoặc xử
lý trên router. Cổng quản lý thường là cổng console hoặc cổng AUX (Auxilliary).
Đây là loại cổng nối tiếp bất đồng bộ EIA-232. Các cổng này kết nối vào cổng
COM trên máy tính. Trên máy tính, chúng ta sử dụng chương trình mô phỏng thiết
bị đầu cuối để thiết lập phiên kết nối dạng văn bản vào router. Thông qua kiểu kết
nối này, người quản trị mạng có thể quản lý thiết bị của mình.
i r n nhà cung
ng để router
o bạn một kết nối dạng v
Hình 1.2.3
1.2.4 Kết nối vào cổng quản lý trên router
Cổng console và cổng AUX là cổng quản lý trên router. Loại cổng nối tiếp bất
đồ ộ này được th . Ta
thường sử dụng cổng console để thiết lập cấu hình cho router vì không phải router
nào cũng có cổng AUX.
Khi router hoạt động lần đầu tiên thì chưa có thông số mạng nào được cấu hình cả.
Do đó router ch a thể giao tiếp với bất kỳ mạng nào. Để chuẩn bị khởi động và cấu
hình router, ta dùng thiết bị đầu cuối ASCII kết nối vào cổng console trên router.
Sau đó ta có thể ệnh để cấu hình, cài đặt cho router.
Khi bạn nhập cấu hình cho router thông qua cổng console hay cổng AUX, router
có thể kết nối m
ng b iết kế không phải để kết nối mạng mà là để cấu hình router
ư
dùng l
ạng để xử lý sự cố hoặc theo dõi hoạt động mạng.
29
bạn có th a modem kết nối vào cổng ể cấu hình router từ xa bằng cách quay số qu
console hay cổng AUX trên router.
Hình 1.2.4: Kết nối modem vào cổng console hay cổng AUX
trọng.
1.2.5 Thiết lập kết nối và cổng console
Cổng console là loại cổng quản lý, cung cấp đường kết nối riêng vào router. Cổng
này được sử dụng để thiết lập cấu hình cho router, theo dõi hoạt động mạng và
khôi phục router khi gặp sự cố nghiêm trọng.
Để kết nối PC vào cổng console bạn cần có cáp rollover và bộ chuyển đổi RJ45-
DB9. Cisco có cung cấp bộ chuyển đổi này để nối PC vào cổng console.
PC hay thiết bị đầu cuối phải có chương trình mô phỏng thiết bị đầu cuối VT100.
Thông thường phần mềm này là HyperTerminal.
Sau đây là các bước thực hiện kết nối PC vào cổng console:
1. Cấu hình phần mềm giả lập thiết bị đầu cuối như sau:
Khi xử lý sự cố, bạn nên sử dụng cổng console thay vì cổng AUX. Vì mặc định là
cổng console có thể hiển thị quá trình khởi động router, thông tinhoạt động và các
thông điệp báo lỗi của router. Cổng console được sử dụng khi có một dịch vụ mạng
không khởi động được hoặc bị lỗi, khi khôi phục lại mật mã hoặc khi router bị sự
cố nghiêm
30
• Chọn đúng cổn
w control: None
g COM.
• Tốc độ band là 9600.
• Data bits: 8
• Parity: None
• Stop bits: 1
• Flo
Hình1.2.5a: Kết nối PC vào cổng console trên router
Cắm một đầu RJ45 của cáp rollover vào cổng console trên
router.
2.
4.
3. Cắm đầu cáp còn lại vào bộ chuyển đổi RJ45-DB9.
Gắn đầu DB9 của bộ chuyển đổi vào cổng COM trên PC.
31
HÌnh 1.2.5b: Cấu hình hyper terminal để kết nối vào console
1.2.6 Thực hiện kết nối với cổng LAN
t các môi trường mạng LAN hiện nay, router được kết nối vào LAN
bằng cổng Ethernet hoặc Fast Ethernet. Router giao tiếp với mạng LAN thông qua
h. Chúng ta sử dụng cáp thẳng để nổi router và hub/switch. Đối với
ng cáp UTP
CAT5 hoặc cao hơn.
Trong một số trường hợp ta có thể kết nối trực tiếp cổng Ethernet trên router vào
máy tính hoặc vào r
Khi thực hiện kết nố cắp đúng cổng vì nếu cắm sai có thể gây
hư h ng cho router và thi ại cổng khác nhau
nh hình dạng c ernet, ISDN BRI,
console, AUX, cổn ng cổng 8
chân là RJ45, RJ48 hoặc RJ49.
1.2.7 Thực hiện kết nối với cổng WAN
Trong hầu hế
hub hoặc switc
tất cả các loại router có cổng 10/100BaseTx chúng ta đều phải sử dụ
outer khác bằng cáp chéo.
i, chúng ta phải lưu ý
ỏ ết bị khác. Trên router có rất nhiều lo
ưng ổng lai giống nhau. Ví dụ như: cổng Eth
g tích hợp CSU/DSU, cổng Token Ring đều sử dụ
32
Kế ối WAN có nh ký thuật
để thực hiện truyền dữ liệu qua một vùng địa lý rộng lớn. Các dịch vụ
AN thường được thuê từ nhà cung cấp dịch vụ. Chúng ta có 3 loại kết nối WAN
như sau: kết nối thuê kênh riêng, kết nối chuyển mạch - mạch, kết nối chuyển
mạch gói.
t n iều dạng khác nhau. Một kết nối WAN sử dụng nhiều
khác nhau
W
Hình 1.2.7a
Đối với từng loại dịch vụ WAN, thiết bị thuộc sở hữu của khách hàng (CPE –
Customer Premises Equipment), thông thường là router, được gọi là thiết bị dữ liệu
đầu cuối DTE (Data Terminal Equipment). Thiết bị DTE này được kết nối vào nhà
cung cấp dịch vụ thông qua thiết bị kết cuối mạch dữ liệu DCE (Data Circuit-
terminating Equipment), thông thường là modem hay CSU/DSU. Thiết bị DCE này
được sử dụng để chuyển đổi dữ liệu từ DTE sang dạng phù hợp với dịch vụ của
nhà cung cấp dịch vụ.
Hầu hết các cổng WAN trên router đều là cổng Serial. Công việc chọn lựa cho
đúng loại cáp sẽ rất dễ dàng khi bạn trả lời được 4 câu hỏi sau:
• Loại kết nối trên thiết bị Cisco là loại nào? Cisco router sử
dụng nhiều loài đầu nối khác nhau cho cổng Serial. Như trong hình 1.2.7b,
cổng bên trái là cổng Smart Serial, cổng bên phải là cổng DB-60. Lựa chon
33
cáp Serial để kết nối hệ thố ột phần then chốt trong qua trình ng mạng là m
thiết lập WAN.
Hình 1.2.7b
• Hệ thống mạng được kết nối và thiết bị DTE hay DCE? DTE
ác nhau. Điểm khác nhau quan trọng giữa
ệu xung đồng hồ cho quá trình thông
khảo tài liệu của thiết bị để xác định DTE
nào? mỗi loại thiết bị khác nhau
sẽ sử dụng loại chuẩn Serial khác nhau. Mỗi chuẩn sẽ quy ước tín hiệu
ên tham khảo tài liệu của
uẩn tín hiệu của thiết bị.
và DCE là hai loại cổng serial kh
hai loại này là: thiết bị DCE cấp tín hi
tin liên lạc trên bus. Bạn nên tham
và DCE.
• Thiết bị đòi hỏi chuẩn tín hiệu
truyền trên cáp và loại đầu nối ở 2 đầu cáp. Bạn n
thiết bị để xác định ch
34
Hình 1.2.7c
• Cáp có loại đầu nối đực hay cái? Nếu đầu nối có chân cắm ra
ngoài thì đó là đầu đực. Nếu đầu nối chỉ có lỗ cắm cho các chân thì đó là đầu
cái
Hình 1.2.7d
TỔNG KẾT
35
Sau â
•
• trong WANs và LANs.
•
•
•
•
• ách kết nối vào cổng console, cổng LAN và WAN.
đ y là các điểm quan trọng bạn cần nắm được trong chương này:
Khái niệm về WAN và LAN.
Vai trò của router
• Các giao thức WAN.
Cấu hình kiểu đóng gói cho cổng giao tiếp.
Xác định và mô tả các thành phần bên trong router.
Đặc điểm vật lý của router.
Các loại cổng thường gặp trên router.
C
36
CHƯƠNG
phải nắm vững về IOS.
iáo trình này.
• ng lệnh với router.
• Chuyể
•
•
hập câu lệnh.
Mục đích của phần mềm Cisco IOS
switch không thể hoạt động được nếu không có
ủa mình là hệ điều hành mạng Cisco hay gọi
2
GIỚI THIỆU VỀ ROUTER
GIỚI THIỆU
Các kỹ thuật của Cisco đều được xây dựng dựa trên hệ điều hành mạng Cisco
(ISO). Phần mềm IOS điều khiển quá trình định tuyến và chuyển mạch trên các
thiết bị kết nối liên mạng. Do đó người quản trị mạng
Trong chương này, chúng tôi sẽ giới thiệu cơ bản và khảo sát các đặc điểm của
IOS. Tất cả các công việc cấu hình mạng từ đơn giản nhất đến phức tạp nhất đều
dựa trên một nền tảng cơ bản là cấu hình router. Do đó trong chương này cũng giới
thiệu về các kỹ thuật và công cụ cơ bản để cấu hình router mà chúng ta sẽ sử dụng
trong suốt g
Sau khi hoàn tất chương này, các bạn có thể:
• Nắm được mục đích của IOS.
• Mô tả hoạt động cơ bản của IOS.
• Nắm được các đặc điểm của IOS.
Nắm được phương thức thiết lập phiên giao tiếp bằng dò
n đổi giữa các chế độ cấu hình router.
Thiết lập kết nối bằng HyperTerminal vào router.
Truy cập vào router.
• Sử dụng tính năng trợ giúp trong giao tiếp bằng dòng lệnh.
• Xử lý lỗi khi n
2.1 Phần hệ điều hành Cisco IOS
2.1.1
Tương tự như máy tính, router và
hisco gọi hệ điều hành c hệ điều ành. C
37
tắt là Cis. Hệ điều hành được cài trên các Cisco router và Catalysst Switch.
h vụ mạng như sau:
ến và chuyển mạch.
ả ật cho việc truy cập vàp tài nguyên mạng.
hệ thống mạng.
outer
ụng giao diện dòng lệnh (CLI – Command – line interface)
môi sole truyền thống. IOS là một kỹ thuật cơ bản, từ đó được phát
ho sản phẩm khác nhau của Cisco. Do đó hoạt động cụ thể của
g IOS g loại thiết bị.
úng ta router. Cách
u tiên sole
trên router. Cách thứ hai là sử dụng đường quay số qua modem hoặc kết nối null
dem ổng AUX trên router. Cả hai cách trên đều không cần phải cấu hình
ớc ch ba là telnet vào router. Để thiết lập phiên telnet vào
ter th , các
ng v
.3 C router
o diệ sco sử dụng cấu trúc phân cấp. Cấu trúc này đòi hỏi bạn
ng ứng. Ví dụ: nếu bạn muốn cấu hình
g gia nào của router thì bạn phải vào chế đọ cấu hình cổng giao tiếp đó.
ế đ tất cả các cấu hình được nhập vào chỉ có hiệu lực đối với cổng giao
ươn ôi. Tương ứng với mỗi chế độ cấu hình có một dấu nhắc đặc
p lệnh riêng.
S có . Sau khi bạn nhập một câu lệnh thì
EC sẽ ệnh đó.
mật nên Cisco IOS chia phiên bản làm việc của EXEC thành hai chế
co IOS
Cisco IOS cung cấp các dịc
• Định tuy
• B o đảm và bảo m
• Mở rộng
2.1.2 Giao diện người dùng của r
Phần mềm Cisco sử d
cho trường con
triển c nhiều dòng
từn sẽ rất khác nhau tuỳ theo từn
Ch có nhiều cách khác nhau để truy cập vào giao diện CLI của
đầ là kết nối trực tiếp từ máy tính hoặc thiết bị đầu cuối vào cổng con
mo vào c
trư o router. Cách thứ
rou
đườ
ì trên router ít nhất phải có một cổng đã được cấu hình địa chỉ IP
ty đã được cấu hình cho phép truy cập và đặt mật mã.
2.1 ác chế độ cấu hình
Gia n dòng lệnh của Ci
muốn cấu hình cái gì thì phải vào chế độ tươ
cổn
ch
o tiếp
Từ
p t
ộ này
tiế g ứng mà th
trưng riêng và một tậ
IO một trình thông dịch gọi là EXEC
EX thực thi ngay câu l
Vì lý do bảo
độ là: chế độ EXEC người dùng và chế độ EXEC đặc quyền. Sau đây là các đặc
điểm của chế độ EXEC người dùng và chế độ EXEC đặc quyền:
38
• Chế độ EXEC người dùng chỉ cho phép thực thi một số câu lệnh hiển thị các
thông tin cơ bản của router mà thôi. Chế độ này chỉ để xem chứ không cho
phép thực hiện các câu lệnh làm thay đổi cấu hình router. Chế độ EXEC
người dùng có dấu nhắc là “>”.
• Chế độ EXEC đặc quyền cho phép thực hiện tất cả các câu lệnh của router.
Bạn có thể cấu hình để người dùng phải nhập mật mã trước khi truy nhập
vào chế độ này. Ngoài ra, để tăng thêm tính bảo mật bạn có thể cấu hình
ử dụng các câu lệnh để cấu hình hoặc quản lý router. Từ chế độ
ền hạn dùng
nhắc “>”. Nếu mật mã đã được cài đặt thì router sẽ yêu cầu bạn
do bảo mật nên các thiết bị mạng Cisco không hiển thị mật mã
ng. Sau khi mật mã được nhập vào chính xác thì dấu nhắc
chế độ EXEC đặc quyền. Bạn gõ dấu
ter hiển thị ra nhiều câu lệnh hơn so với
ở chế độ EXEC người dùng.
thêm userID. Điều này cho phép chỉ những người nào được phép mới có thể
truy cập vào router. Người quản trị mảng phải ở chế độ EXEC đặc quyền
mới có thể s
EXEC đặc quyền bạn có thể chuyển vào các chế độ đặc khác nhau như chế
độ cấu hình toàn cục chẳng hạn. Chế độ EXEC đặc quyền được xác định bởi
dấu nhắc “#”.
Để chuyển từ chế độ EXEC người dùng sang chế độ EXEC đặc quy
lệnh enable tại dấu
nhập mật mã. Vì lý
trong lúc bạn nhập chú
“>” chuyển thành “#” cho biết bạn đang ở
chầm hỏi (?) ở dấu nhắc này thì sẽ thấy rou
39
Hình 2.1.3
2.1.4 Các đặc điểm của phần mè
ản phẩm mạng khác nhau.
iết bị, Cisco đã phát triển nhiều loại
phầ ỗi loại phần mềm IOS phù hợp với từng loại thiết bị, với
mứ ớ và với nhu cầu của khách hàng.
Mặ hần mềm IOS khác nhau cho nhiều loại thiết bị với nhiều đặc
tính ng cấu trúc lệnh cấu hình cơ bản thì vẫn giống nhau. Do đó kỹ
năng cấu hình và xử lý sự cố của bạn có thể ứng dụng cho nhiều loại sản phẩm
sau:
biết phần
ệ thống mạng
m Cisco IOS
Cisco cung cấp rất nhiều loại IOS cho các loại s
Để tối ưu hoá phần mềm IOS cho nhiều loại th
n mềm Cisco IOS. M
c dung lượng bộ nh
c dù có nhiều p
khác nhau như
khác nhau.
Tên của Cisco IOS được quy ước chia ra thành ba phần như
• Phần thứ nhất thể hiện loại thiết bị mà phần mềm IOS này có thể sử dụng
được.
• Phần thứ hai thể hiện các đặc tính của phần mềm IOS.
• Phần thứ ba thể hiện nơi chạy phần mêm IOS trên router và cho
mềm này được cung cấp dưới dạng nén hay không nén.
Bạn có thể lựa chọn các đặc tính đặc biệt của IOS nhờ phần mềm
Cisco Software Advisor. Cisco Software Advisor là một công cụ cung cấp
các thông tin hiện tại và cho phép bạn chọn lựa các đặc tính cho phu hợp với
yêu cầu của h
The name has three parts, separated by dashes: e.g. xxx-yyy-ww:
• xxxx = Platform
• yyyy = Feature
• ww = Format – where It execute from if compressed
Name Codes
Platform (Hardware) (Partial list)
C1005 1005
40
C1600 1600
C1700 1700, 1720, 1750
C2500 25xx, 3xxx, 5100, AO (11.2 and later only)
C2600 2600
C2800 Catalyst 2800
C2900 2910, 2950
C3620 3620
C3640 3640
C4000 4000 (11.2 and later only)
C4500 4500, 4700
Feature (Partial list)
B Appletalk
Boot Boot image
C Commserver file (CiscoPro)
Drag IOS based diagnostic images
G ISDN subnet (SNMP, IP, Bridging, ISDN, PPP, IPX, Atalk)
I IP subnet (SNMP, IP, Bridging, W e Node, Terminal AN, Remot
Services)
N IPX
Q Async
T Telco return (12.0)
Y Reduced IP (SNMP, IP RIP/IGRP/EIGRP, Bridging, ISDN, PPP)
(C1003/4)
Z Managed moderns
40 40 bit encryption
56 56 bit encryption
Format (Where the image runs in the route)
F Flash
M Ram
R Rom
L Rebcatable
Compression Type
Z Zip compressed (note lower case)
X M zip compressed
W “STAC” compress
Hình
Khi bạn chọn mua IOS mới thì một trong những điều quan trọng bạn cần phải chú
là sự tương thích giữa IOS với bộ nhớ flash và RAM trong router. Thông thường
2.1.4a
ý
41
thì các phiên bản mới có thêm nhiều đặ tính mới thì lại đòi hỏi thêm nhiều bộ
nhớ. Bạn có thể dùng lệnh show version để kiểm tra phần IOS hiện tại và dung
lượng flash còn trống. Trên trang web hỗợ của Cisco có một số công cụ giúp bạn
xác định dung lượng flash và RAM cần th ết cho từng loại IOS.
Trước khi cài đặt phần mềm Cisco IOS mới lên router, bạn phải kiểm tra xem
router có đủ dung lượng bộ nhớ hay không. Để xem dung lượng RAM bạn dùng
lệ h show version:
…<output omited>… cisco 1721 (68380) processor (revision c) with 3584k/512K
bytes of memory.
Dòng trên cho biết dung lượng của bộ nh chính và bộ nhớ chia sẻ trên router. Có
mốt số thiết bị sử dụng một phần DRAM làm bộ nhớ chia sẻ. Tổng hai dung lượng
trên là dung lương thật sự của DRAM trên router.
Để xem dung lượng của bộ nhớ flash bạn dung lệnh show flash:
GAD#show flash
…<output omitted>…
1599897 bytes total (10889728 bytes free)
c
tr
i
n
ớ
42
Thiết bị Cisco IOS có 3 chế độ hoạt động sau:
• ROM monitor
• Boot ROM
• Cisco IOS.
ột trong các chế độ hoạt động
uản trị hệ thống có thể cài đặt giá trị cho
anh ghi để điều khiển chế độ khởi động mặc định router.
Hình 2.1.4b
2.1.5 Hoạt động của phầm mềm Cisco IOS
Thông thường trong quá trình khởi động router, m
trên được tải lên RAM để chạy. Người q
th
43
Chế độ ROM monitor thực hiện quá trình bootstrap và kiểm tra phần cứng. Chế độ
này được sử dụng để khôi phục lại hệ thống khi bị lỗi ngiêm trọng hoặc khi người
quản trị mạng bị mất mật mã. Chúng ta chỉ có thể truy cập vào chế độ ROM
monitor bằng đường kết nối vật lý trực tiếp vào cổng console trên router. Ngoài ra
chúng ta không thể truy cập vào chế độ này bằng bất ký cổng nào khác.
Khi router ở chế độ boot ROM, chỉ có một phần chức năng của Cisco IOS là hoạt
động được. Chế độ boot ROM cho phép bạn chép được lên bộ nhớ flash, nên chế
độ này thường được sử dụng để thay thế phần mềm Cisco IOS trong flash. Bạn
dùng lệnh copy tftp flash để chép phần mềm IOS trên TFTP server vào bộ nhớ
flash trên router.
Hình 2
p từ flash. Tuy
nhiên, hầu hết các Cisco router đều chép phần mềm IOS lên RAM rồi chạy từ
ốn xem hệ thống còn bao
nhiêu dung lượng bộ nhớ để tải phần mềm Cisco IOS mới thì bạn dùng lệnh show
.1.5a
Router muốn hoạt động bình thường thì phải chạt được toàn bộ phần mềm IOS
trong flash. Ở một số thiết bị, phần mềm IOS được chạy trực tiế
RAM. Một số phần mềm IOS lưu trong flash dưới dạng nén và được giải nén khi
chép lên RAM.
Bạn dùng lệnh show version để xem các thông tin về phần mềm IOS, trong đó có
hiển thị giá trị cấu hình của thanh ghi. Còn nếu bạn mu
flash.
44
Hình 2.1.5b
2.2 Bắt đầu với router
2.2.1 Khởi đ ng router
Router khởi ếu
• Kiểm tra phần cứng của router và bảo đảm là chúng hoạt động tốt.
• Tìm và tải phần mềm Cisco IOS.
• Tìm và thực thi tập tin cấu hình khởi động hoặc vào chế độ cài đặt nếu
ộ
động bằng cách tải bootstrap, hệ điều hành và tập tin cấu hình. N
router không tìm thấy tập tin cấu hình thí sẽ tự động vào chế độ cài đặt. Khi bạn
hoàn tất việc cấu hình trong chế độ cài đặt thì tập tin cấu hình đó sẽ được lưu trong
NVRAM.
Để cho router bắt đầu hoạt động, quá trình khởi động phần mềm Cisco IOS thực
hiện 3 công đoạn sau:
không tìm thấy tập tin này.
45
đầu thực hiện khởi động phần mềm.
Sau quá trình POST, router sẽ thực hiện các bước sau:
Hình 2.2.1a: Các bước khởi động router
Khi router mới được bật điện lên thì nó thực hiện quá trình tự kiểm tra POST
(Power on self test). Trong quá trình này, router chạy một trình từ ROM để kiểm
tra tất cả các thành phần phần cứng trên router, ví dụ như kiểm tra hoạt động của
CPU, bộ nhớ và các cổng giao tiếp mạng. Sau khi hoàn tất quá trình này, router bắt
46
• Bước 1: Chạy chương trình nạp bootstrap từ ROM. Bootstrap chỉ đơn giản là
một tập lệnh để thực hiện kiểm tra phần cứng và khởi động IOS.
• Bước 2: Tìm IOS. Giá trị khởi động trên thanh ghi cấu hình sẽ quyết định
u hình sẽ cho biết chính xác vị
• ác bạn
màn hình console danh sách các thành phần phần cứng và
ổng giao tiếp mạng và thiết
ter.
ver nào
[0] out saving this config.
[1] this config.
[2] exit.
việc tim IOS ở đâu. Nếu giá trị này cho biết là tải IOS từ flash hay từ mạng
thi các câu lệnh boot system trong tập tin cấ
trí và tên của IOS.
Bước 3: Tải hệ điều hành đã được tải xuống và bắt đầu hoạt động thì c
sẽ thấy hiện trên
phần mềm có trên router.
• Bước 4: Tập tin cấu hình lưu trong VNRAM được chép lên bộ nhớ chính và
được thực thi từng dòng lệnh một. Các câu lệnh cấu hình thực hiện khởi
động quá trình định tuyến, đặt địa chỉ cho các c
lập nhiều đặc tính hoạt động khác cho rou
• Bước 5: Nếu không tìm thấy tập tin cấu hình trong VNRAM thì hệ điều
hành sẽ đi tìm TFTP server. Nếu cũng không tìm thấy một TFTP ser
thì chế độ cài đặt sẽ được khởi động.
Trong chế độ cài đặt, các bạn không thể cấu hình cho các giao thức phức tạp của
router. Mục đích của chế độ cài đặt chỉ là cho phép người quản trị mạng cài đặt
một cấu hình tối thiểu cho router khi không thể tìm được tập tin cấu hình từ những
nguồn khác.
Trong chế độ cài đặt, câu trả lời mặc định được đặt trong dấu ngoặc vuông [] ở sau
mỗi câu hỏi. Bạn có thể nhấn phím Ctrl-C bất kỳ lúc nào để kết thúc quá trình cài
đặt. Khi đó tất cả các cổng giao tiếp mạng trên router sẽ đóng lại.
Khi bạn hoàn tất cấu hình trong chế độ cài đặt, bạn sẽ gặp các dòng thông báo như
sau:
Go to the IOS command promt with
Return back to the setup without saving
Save this configuration to nvram and
47
En ter your selection [2]:
Hình 2.2.1b: Chế độ cài đặt của router
2.2.1. Đèn LED báo hiệu trên router
Hình 2.2.2
ủ dụng đèn LED để báo hiệu các trạng thái hoạt động của router. Các
loại đèn LED này sẽ khác nhau tuỳ theo các loại router khác nhau.
sẽ cho biết trạng thái hoạt động của các
Cisco router s
Các đèn LED của các cổng trên router
cổng. Nếu đen LED của một cổng nào đó bị tắt trong khi cổng đó đang hoạt động
và được kết nối đúng thì chứng tỏ là đã có sự cố đối với cổng đó. Nếu một cổng
hoạt động liên tuc thì đèn LED của cổng đó sáng liên tục. Còn đèn LED OK ở bên
phải cổng AUX sẽ bật sáng sau khi router hoạt động tốt.
48
2.23. Khảo sát quá trình khởi động của router
Hình 2.2.3a: Thông tin hiển thị trong quá trình khởi động router
Ví dụ ở hình 2.2.3a cho thấy nội dung các thông điệp được hiển thị trên màn hình
console trong suốt quá trình khởi động của router. Các thông tin này sẽ khác nhau
tuỳ theo các loại cổng có trên router và tuỳ theo từng phiên bản Cisco IOS. Do đó
hình 2.2.3a chỉ là một ví dụ để tham khảo chứ không pản ánh chính xác toàn bộ
những gì được hiện thị.
49
co IOS tải từ
bộ nhớ flash và tập tin cấu hình tải từ NVRAM.
Trong hình 2.2.3b, câu “VNRAM invalid, possibly due to write erase” cho biết
router này chưa được cấu hình hoặc là NVRAM đã bị xoá. Thông thường khi
router đã được cấu hình thì tập tin cấu hình được lưu trong NVRAM, sau đó ta
phải cấu hình thanh ghi để router sử dụng tập tin cấu hình này. Giá trị mặc định
của thanh ghi cấu hình là 0x2102, khi đó router sẽ khởi động với Cis
50
Hình 2.2.3c: Thông tin hiển thị trong quá trình khởi động router
Dự iên bản của
ph sử dụng trên router. Ngoài ra bạn cũng xác
địn ter, bộ xử lý là loại gì, cung lượng của bộ nhớ và một
số các thông tin khác của router như:
ó chạy chương trình mô phỏng HyperTerminal.
ộ chuyển đổi RJ45-
DB9.
a vào thông tin như hình 2n2n3c, chúng ta có thể xác định được ph
ần mềm boottrap và IOS đang được
h được phiên bản của rou
• Số lượng các cổng giao tiếp.
• Các loại cổng giao tiếp.
• Dung lượng NVRAM.
• Dung lượng bộ nhớ flash.
2 Thiết lập phiên kết nối bằng HyperTerminal
Tất cả các Cisco router đều có cổng console nối tiếp bất đồng bộ TIA/EIA-232
(RJ45). Chúng ta cần phải có cáp và bộ chuyển đổi để kết nối từ thiết bị đầu cuối
console vào cổng console trên router. Thiết bị đầu cuối console có thể là một thiết
bị đầu cuối ASCII hoặc là một PC c
Để kết nối PC có cổng console chúng ta dùng cáp rollover và b
51
Thông số mặc định của cổng console là: 9000 baud, 8 data bits, 1 stop bit, no flow
control. Cổng console không có hỗ trợ điều khiển luồng băng phần cứng. Sau đây
là bước thực hiện để kết nối một thiết bị đầu cuối vào cổng console trên router:
router bằng cáp rollover và
5-DB9 hoặc RJ
ị đầu cuối hoặc c
các thông số sau: 96000 baud, 8 data bits, 1 stop bit, no flow control.
ter
truy cập ng
đường truy
i bạn mới có thể nhập các câu lệnh cho router.
router có 2 mức truy cập:
ạn sẽ gặp dâu nhắc của chế độ EXEC
p lệnh bạn phải chuyển vào chế độ EXEC
enable. Ở dấu nhắc password: bạn phải
router đã được cấu hình bởi
enable secret sẽ được áp dụng. Sau khi
nhắc “#” cho biết là bạn đang ở chế độ
ừ chế độ này bạn mới có thể truy cập vào chế độ cấu hình toàn
• Kết nối thiết bị đầu cuối vào cổng console trên
bộ chuyển đổi RJ4 45-DB25.
• Cấu hình thiết b ấu hình phần mềm mô phỏng trên PC với
Truy cập vào rou
Để cấu hình router bạn ph
u cuối hoặc bằng
ải vào giao diện người dùng của router bằ
ruy cập được vào router thiết bị đầ cập từ xa. Sau khi t
th
Vì lý do bảo mật nên
• Mức EXEC người dùng: chỉ có một số câu lệnh dùng để xem trạng thái của
router. Ở mức này, bạn không thể thay đổi được cấu hình của router.
• Mức EXEC đặc quyền: bao gồm tất cả các câu lệnh để cấu hình router.
Ngay sau khi truy cập được vào router b
tậ người dùng. Để sử dụng được toàn bộ
đặc quyền. Ở dấu nhắc “>” bạn gõ lệnh
nhập mật mã đúng với mật mã đã được cấu hình cho router trước đó bằng lệnh
enable secret hoặc enable password. Nếu mật mã của
cả 2 lệnh trên thì mật mã của câu lệnh
trên bạn sẽ gặp dấu hoàn tất các bước
EXEC đặc quyền. T
cục rồi sau đó là các chế độ cấu hình riêng biệt hơn như:
• Chế độ cấu hình cổng giao tiếp.
• Chế độ cấu hình cổng giao tiếp con.
• Chế độ cấu hình đường truy cập.
• Chế độ cấu hình router.
52
• Chế độ cấu hình route-map.
n
Từ chế độ EXEC đặc quyền, bạn gõ disable hoặc exit để trở về chế độ EXEC
người dùng. Để trở về chế độ EXEC đặc quyền từ chế độ cấu hình toàn cục, bạ
dùng lệnh exit hoặc Ctrl-Z. Lệnh Ctrl-Z có thể sử dùng để trở về ngay chế độ
EXEC đặc quyền từ bất kỳ chế độ cấu hình riêng biệt nào.
Hình 2.2.5a
ợ giúp trong router CLI
ệnh
ở cuối màn hình
cho bi ẫn còn tiếp. Để xem trang tiếp theo, bạn nhấn nhanh
2.2.6. Phím tr
Khi bạn gõ dấu chấm hỏi (?) ở dấu nhắc thì router sẽ hiển thị danh sách các l
tương ứng với chế độ cấu hình mà bạn đang ở. Chữ “--More--”
ết là phần hiển thị v
53
Spa thị tiếp từng dòng một thì bạn nhấn phím Enter
hoặc Return. Bạn có thể nhấn từng dòng một thì bạn nhấn phím bất kỳ nào khác để
qu t
cebar. Còn nếu bạn muốn hiển
ay rở về dấu nhắc.
Hình 2.2.6a: Danh sách l ụng ở chế độ EXEC người dung ệnh sử d
Để chuyển vào chế độ EXEC đặc quyền bạn gõ enable hoặc gõ tắt là ena cũng
được. Nếu mật mã đã được cài đặt vào cho router thì router sẽ yêu cầu bạn nhập
mật mã. Sau khi bạn đã vào được chế độ này rồi thì bạn gõ dấu chấm hỏi (?), bạn
54
sẽ thấy là danh sách các câu lệnhd EXEC đặc quyền nhiều hơn hẳn
danh sách các câu lệnh mà bạ ười dùng. Tuy nhiên các
tập lệnh này sẽ khác nhau tuỳ r và tuỳ theo từng phiên bản
o IOS.
ó bạn nhập lại đầy đủ câu lệnh.
ệnh đã bị nhập sai. Vị trí của dấu (^)
mà câu lệnh từ đầu cho tới vị trí mà dấu (^) chỉ sai rồi bạn
ỏi (?) để thêm cú pháp đúng tiếp theo của câu lệnh.
âu lệnh theo đúng cú pháp rồi nhấn phím Enter hoặc
viết câu lệnh
độ hỗ trợ soạn thảo
hư hình 2.2.7a để di chuyển con trỏ
i bạn cần phải chỉnh sửa câu lệnh đó. Trong các
độ ếu chế độ này lèn ảnh hưởng khi bạn biết các script thị bạn có
thể tắt bằng lệnh terminal no editing trong chế độ EXEC đặc quyền.
ung chó chế độ
n thấy trong chế độ EXEC ng
theo cấu hình của route
phần mềm Cisc
Bây giờ giả sử bạn muốn cài đặt đồng hồ cho router nhưng bạn lai không biết phải
dùng lệnh nào thi khi đó chức năng trợ giúp của router sẽ giúp bạn tìm được câu
lênh đúng. Bạn thực hiện theo các bước sau:
1. Dùng dấu chấm hỏi để tìm câu lệnh cài đặt đồng hồ. Trong danh sách các
câu lệnh được hiển thị bạn sẽ tìm được lệnh clock.
2. Kiểm tra cú pháp câu lệnh để khai báo giờ.
3. Bạn nhập giờ, phút, giây theo đúng cú pháp câu lệnh. Bạn sẽ gặp câu thông
báo là câu lệnh chưa hoàn tất như hình 2.2.6b.
4. Bạn nhấn Ctrl-P hoặc phím mũi tên (↑) để lại lệnh vừa mới nhập. Ở cuối
câu lệnh đó bạn thêm một khoảng trắng và dấu chấm hỏi (?) để xem phần kế
tiếp của câu lệnh. Sau đ
5. Nếu bạn gặp dấu (^) thì có nghĩa là câu l
sữ cho biết vị trí
sẽ nhập thêm dấu chấm h
6. Bạn nhập lại đầy đủ c
Return để thực thi câu lệnh.
2.2.7. Mở rộng thêm về cách
Trong giao diện người dùng của router, router có thể có chế
câu lệnh. Bạn có thể sử dụng các tổ hợp phím n
trên dòng lệnh mà bạn đang viết kh
phiên bản phần mêm hiện nay, chế độ hỗ trợ soạn thảo câu lệnh là hoàn toàn tự
ng. Tuy nhiên n
Command Description
Ctrl-A Moves to the beginning of the command line
55
Esc-B Moves back one word
Ctrl-B (or right arrow) Moves back one character
Ctrl-E Moves to the end of the command line
Ctrl-F (or left arrow) Moves forward one character
Esc-F Moves forward one word
hi soạn thảo câu lệnh, màn hình sẽ cuộn ngang khi câu lệnh dài quá một hang.
ỏ đến hết lề phải thì dòng lệnh sẽ dịch sang trái 10 khoảng trắng. Khi đó
0 ký tự đầu tiên của câu lệnh sẽ không nhìn thấy được trên màn hình nữa. Bạn có
thể cuộn lại để xem bằng cách nhấn Ctrl-B hoặc nhấn phím mũi tên (←) cho tới
khi màn hình cuộn tới đầu câu lệnh. Hoặc bạn có thể nhấn Ctrl-A để chuyển ngay
về đầu dòng lệnh.
Trên hình 2.2.7b là ví dụ khi một câu lệnh dài quá một hành. Dấu ($) cho biết là
câu lệnh đã được dịch sang trái.
Phím Ctrl-Z được sử dụng để quay trở về chế độ EXEC đặc quyền từ bất kỳ chế
độ cấu hình riêng biệt nào.
K
Khi con tr
1
Hình 2.2.7b
2.2.8. Gọi lại các lệnh đã sử dụng
56
Khi cấu hình router, router co lưu lại một số các lệnh bạn đã sử dụng. Điều này đặc
ại các câu lệnh dài và phức tạp. Với cơ chế này bạn
hthước vùng bộ đệm để lưu các câu lệnh đã sử dụng.
Mặ đ ệnh trong bộ đệm. Bạn có thể thay đổi số
lượ lệnh terminal history size hoặc history
siz thể lưu lại được.
Nế a mới sử dụng gần nhất thì bạn nhấn Ctrl-P hoặc
phí ấn thì mỗi lần nhấn như vậy bạn sẽ gọi lại
àn tất câu lệnh cho bạn. Khi bạn dùng
phím Tab mà router hiển thị được đủ câu lệnh thì có nghĩa là router đã nhận biết
n nhập.
y câu lệnh trước đó rồi dán hoặc chèn vào câu lệnh
biệt có ích khi bạn muốn lặp l
có thể thực hiện các việc sau:
• Cài đặt kíc
• Gọi lại các câu lệnh đã sử dụng.
• Tắt chức năng này đi.
c ịnh là router sẽ lưu lại 10 câu l
ng câu lệnh mà router lưu lại bằng
e. Tối đa là 255 câu lệnh có
u bạn muốn gọi lại câu lệnh vừ
m mũi tên (↑). Nếu bạn tiếp tục nh
tuần tự các câu lệnh trước đó nữa. Nếu bạn muốn gọi lui lạ một câu lệnh sau đó thì
bạn nhấn Ctrl-N hoặc nhấn phím mũi tên (↓). Tương tự, nếu bạn tiếp tục nhấn như
vậy thi mỗi lần nhấn bạn sẽ gọi lại một lệnh đó.
Khi gõ lệnh, bạn chỉ cần gõ các ký tự đủ để router phân biệt với mọi câu kệnh khác
rồi nhấn phím Tab thì router sẽ tự động ho
được câu lệnh mà bạn muố
Ngoài ra, hầu hết các router đều có them chức năng cho bạn đánh dấu khối và
copy. Nhờ đó bạn có thể cop
hiện tại.
Lệnh Giải thích lệnh
Ctrl-P or up arrow key Gọi lại lệnh ngay trước đó
Ctrl-N or down arrow key Gọi lại lệnh ngay sau đó
Router>show history Xem các lệnh đã sử dụng còn lưu trong bộ
đệm
Router>Terminal history size
number-of-lines
Cài đặt dung lượng bộ đệm đã lưu các lệnh
đã sử dụng
Router>terminal no editing Tắt chức năng soạn thảo lệnh nâng cao
Router>terminal editing Mở chức năng soạn thảo lệnh nâng cao
<Tab> Hoàn tất câu lệnh
57
Xử lý lỗi câu lệnh
Lỗi câu lệnh thường là do bạn gõ sai. Sau khi bạn gõ một câu lệnh bị sai thì bạn sẽ
dụng chức năng trợ giúp của hệ thống bạn sẽ tìm ra và chỉnh sửa lại lỗi
i cho biết câu lệnh bị sai ở số 93. Bạn gõ lại câu lệnh từ
ruary 1993
h rồi nhấn phím Enter mà câu lệnh đó bị sai thì bạn có
vừa mới nhập. Sau đó bạn dùng các
phím mũi tên sang phải, sang trái di chuyển con trỏ tới vị trí bị sai để sửa lại. Nếu
thể dùng phím <backspace>.
tin về giá trị thanh ghi cấu hình.
g tin được hiển thị do lệnh show
version bao gồm:
• Phiên bản IOS và một ít thông tin đặc trưng.
hương thức khởi động router lần gần đây nhất.
• Phiên bản phần cứng của router.
gặp dấu báo lỗi (^). Dấu báo lỗi (^) đặt ở vị trí mà câu lệnh bắt đầu bị sai. Dựa vào
đó và vận
cú pháp của câu lệnh.
Router#clock set 13:32:00 February 93
% Invalid input detected at “^” marker
Trong ví dụ trên, dấu báo lỗ
đầu tới vị trí bị lỗi rồi thêm dấu chấm hỏi (?) như sau:
Router # clock set 13:32:00 February ?
<1993-2035>Year
Sau đó bạn nhập lại câu lệnh với số năm đúng như cú pháp ở trên:
Router#clock set 13:32:00 Feb
Sau khi bạn gõ xong câu lện
thể dùng phím mũi tên (↑) để gọi câu lệnh
cần xoá các ký tự thì bạn có
Lệnh show version
Lệnh show version dùng để hiển thị các thông tin về phiên bản phần mềm Cisco
IOS đang chạy trên router, trong đó có cả thông
Trong hình dưới các bạn sẽ thấy nhung thôn
• Phiên bản phần mềm Bootstrap ROM.
• Phiên bản phần mềm Boot ROM.
• Thời gian hoạt động của router.
• P
• Tên và vị trí lưu phần mềm hệ điều hành.
58
• Giá trị cài đặt của thanh ghi cấu hình.
Chúng ta thường sử dụng lệnh show version để xác định phiên bản của phần mềm
IOS và xem giá trị thanh ghi cài đặt cho qua trình khởi động của router.
TỔNG KẾT
Sau khi kết thúc chương này, chúng ta nắm được các ý như sau:
• Mục đích của IOS.
• Hoạt động cơ bản của IOS.
• Xác định các đặc tính khác nhau của các phiên bản IOS khác nhau.
59
• Các phương pháp thiết lập phiên kết nối CLI vào router.
• Sự khác nhau giữa 2 chế độ EXEC người dùng và EXEC đặc quyền
• Thiết lập phiên kết nối vào router bằng HyperTerminal.
• Truy cập vào router.
• Sử dụng chế độ trợ giúp của router trong giao diện dòng lệnh.
• Sử dụng cơ chế hỗ trợ soạn thảo câu lệnh.
• Gọi lại các câu lệnh đã sử dụng.
• Xử lý lỗi câu lệnh.
• Sử dụng lệnh show version.
60
CHƯƠNG 3
CẤU HÌNH ROUTER
GIỚI THIỆU
r thực hiện nhiều chức năng mạng phức tạp là một
ành nhiều để làm quen và nắm vững
đượ ế độ cấu hình của router thì công việc cấu
hìn n hơn rất nhiều. Trong chương này sẽ giới
thi router và một số lệnh cấu hình đơn giản.
Kỹ
trọng có cung cấp một số công cụ cho người
quả ột số thông tin cần thiết vào tập tin cấu hình. Cũng giống
• Thực hiện một số thay đổi trên router.
Cấu hình router để cho route
công việc đầy thử thách. Tuy nhiên bước bắt đầu cấu hình router thì không khó
lắm. Nếu ngay từ bước này bạn cố gắng thực h
c các bước di chuyển giữa các ch
h phức tạp về sau sẽ trở nên đơn giả
ệu về các chế độ cấu hình cơ bản của
năng đọc và hiểu một cách rõ ràng các tập tin cấu hình là một ký năng rất quan
của người quản trị mạng. Cisco IOS
n trị mạng để thêm m
như những người lập trình phải có tài liệu của từng bước lập trình thì người quản
trị mạng cũng cần được cung cấp thông tin càng nhiều càng tốt khi mà hệ thống
mạng do người khác quản trị.
Khi hoàn tất chương này các bạn có thể:
• Đặt tên cho router.
• Cài đặt mật mã cho router.
• Khảo sát các lệnh show.
• Cấu hình cổng Ethernet trên router.
• Lưu các thay đổi đó lại.
• Cấu hình câu chú thích cho các cổng giao tiếp trên router.
• Cấu hình thông điệp hàng ngày cho router.
• Cấu hình bảng host cho router.
• Hiểu được tầm quan trọng của việc ghi nhận lại và lưu dự phòng cấu hình của
router.
61
3.1. Cấu hình router
3.1.1. Chế độ giao tiếp dòng lệnh CLI
Hình 3.1.1
Tất cả các câu lệnh làm thay đổi cấu hình router đều xuất phát từ chế cầu hình toàn
c ỳ theo ý bạn muốn thay đổi thay đổi phần cấu hình đặc biệt nào của router
thì bạn chuyển vào chế độ chuyên biệt tương ứng. Các chế độ cấu hình chuyên biệt
ế độ con của chế độ cấu hình toàn cục.
chế độ cấu hình toàn cục là những câu lệnh có tác
độ
ục. Tu
này đều là ch
Các câu lệnh được sử dụng trong
động lên toàn bộ hệ thống. Bạn sử dụng câu lệnh sau để di chuyển vào chế cấu
hình toàn cục:
62
Chú ý: Sự thay đổi của dấu nhắc cho biết bạn đang ở chế độ cấu hình toàn cục
Router # configure terminal
Router(config)#
Chế ừ chế độ này bạn có thể
chu
tiếp.
Khi bạn chuyển vào chế độ cấu hình chuyên biệt nào thì dấu nhắc sẽ thay đổi
tương ứng. Các câu lệnh trong đó chỉ có tác động đối với các cổng hay các tiến
trình nào liên quan đến chế độ cấu hình đó thôi.
Bạn dùng lệnh exit để trở về chế độ cấu hình toàn cục hoặc bạn dùng phím Ctrl-Z
để quay về thẳng chế độ EXEC đặc quyền.
3.1.2. Đặt tên cho router
Công việc đầu tiên khi cấu hình router là đặt tên cho router. Trong chế độ cấu hình
toàn cục, bạn dùng lệnh sau:
Router(config)#hostname Tokyo
Tokyo (config)#
Ngay sau khi bạn nhấn phím Enter để thực thi câu lệnh bạn sẽ thấy dấu nhắc đổi từ
n mặc định (Router) sang tên mà bạn vừa mới đặt (Tokyo).
ật mã cho router
ệc truy cập vào router. Thông thường ta luôn
đặt mậ n được sử
dụng để kiểm soát sự truy cập vào chế độ EXEC đặc quyền trên router. Khi đó, chỉ
độ cấu hình toàn cục là chế độ cấu hình chính. T
yển vào các chế độ chuyên biệt như:
• Chế độ cấu hình cổng giao
• Chế độ cấu hình đường truy cập.
• Chế độ cấu hình router.
• Chế độ cấu hình cổng con.
• Chế độ cấu hình bộ điều khiển.
tê
3.1.3. Đặt m
Mật mã được sử dụng để hạn chế vi
t mã cho đường vty và console trên router. Ngoài ra mật mã cò
63
những người nào được phép mới có thể thực hiện việc thay đổi tập tin cấu hình
trên router.
Sau đây là các lệnh mà bạn cền sử dụng để thực hiện việc đặt mật mã cho đường
rd <password>
ho một đường để dự
Mật mã enable và enable secret được sửụng để hạn chế việc truy cập vào chế
độ EXEC đặc quyền. Mật mã enabl dụng khi chúng ta cài đặt mật mã
enable secret vì mật mã này được mã hoá còn mật mã enable thì không. Sau đây
<password>
ị rõ ràng khi sử
dụng lệnh show running-config hoặc show startup-config. Để tránh điều này bạn
ấu hình của
console:
Router(config)#line console 0
Router(config-line)#passwo
Router(config-line)#login
Chúng ta cũng cần đặt mật mã cho một hoặc nhièu đương vty để kiểm soát các user
truy nhập từ xa vào router và Telnet. Thông thường Cisco router có 5 đường vty
với thứ tự từ 0 đến 4. Chúng ta thường sử dụng một mật mã cho tất cả các đường
vty, nhưng đôi khi chúng ta nên đặt thêm mật mã riêng c
phòng khi cả 4 đường kia đều đang được sủ dụng. Sau đây là các lệnh cần sử dụng
để đặt mật mã cho đường vty:
Router(config)#line vty 0 4
Router(config-line)#password <password>
Router(config-line)#login
d
e chỉ được sử
là các lệnh dùng để đặt mật mã enable secret:
Router(config)#enable password <password>
Router(config)#enable secret
Đôi khi bạn sẽ thấy là rất không an toàn khi mật mã được hiển th
nên dùng lệnh sau để mã hoá tất cả các mật mã hiển thị trên tập tin c
router:
Router(config)#service password-encryption
64
Lệnh service password-encryption sẽ áp dụng một cơ chế mã hoá đơn giản lên tất
các mật mã chưa được m cả ã hoá. Riêng mật má enable secret thì sử dụng một
thuật toán mã hoá rất mạnh là MD5.
Hình 3.1.3
3.1.4. Kiểm tra băng các lệnh show
ow được dùng để kiểm tra nội dung các tập tin trên
g
Chúng ta có rất nhiều lệnh sh
router và để tìm ra sự cố. Trong cả hai chế độ EXEC đặc quyền và EXEC người
dùng, khi bạn gõ show? Thì bạn sẽ xem được danh sách các lệnh show. Đương
nhiên là số lệnh show dùng được trong chế độ EXEC đặc quyền sẽ nhiều hơn tron
chế độ EXEC người dùng.
65
Hình 3.1.4
• Show interface - hiển thị trạng thái của tất cả các cổng giao tiếp trên router.
Để xem trạng thái của một cổng nào đó thì bạn thêm tên và số thứ tự của
cổng đó sau lệnh show interface. Ví dụ như:
Router#show interface serial 0/1
66
• Show controllers serial - hiển thị các thông tin chuyên biệt về phần cứng của
t trên router.
hỉ tương ứng.
ang kết nối vảo router.
• Show history - hiển thị danh sách các câu lệnh vừa mới được sử dụng.
n bộ nhớ flash và tập tin IOS chứa trong đó.
• Show version - hiển thị thông tin về router và IOS đang chạy trên RAM.
ờng console hoặc vty. Sau đây là các
ask.
c độ clock nếu đầu cáp cắm vào cổng serial là DCE. Nếu đầu cáp là
Ro
Router(config)#ip address <ip address> <netmask>
Cổ thời gian thực hiện thông tin
liên lạc. Trong hầu hết các trường hợp, thiết bị DCE, ví dụ như CSU, sẽ là thiết bị
các cổng serial.
đặ • Show clock - hiển thị đồng hồ được cài
• Show hosts - hiển thị danh sách tên và địa c
• Show users - hiển thị tất cả các user đ
• Show flash – hiển thị thông ti
• Show ARP - hiển thị bảng ARP trên router.
• Show protocol - hiển thị trạng thái toàn cục và trạng thái của các cổng giao
tiếp đã được cấu hình giao thức lớp 3.
• Show startup-configuration - hiển thị tập tin cấu hình đăng chạy trên RAM.
3.1.5. Cấu hình cổng serial
Chúng ta có thẻ cấuhình cổng serial bẳng đư
bước cần thực hiện khi câu hình cỏng serial:
1. Vào chế độ cấu hình toàn cục.
2. Vào chế độ cấu hình cổng serial.
3. Khai báo địa chỉ và subnet m
4. Đặt tố
DTE thì chúng ta có thể bỏ qua này.
5. Khởi động serial.
Mỗi một cổng serial đều phải có một địa chỉ IP và subnet mask để chúng có thể
định tuyến các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:
uter(config)#interface serial 0/0
ng serial cần phải có tín hiệu clock để điều khiển
cung cấp tín hiệu clock. Mặc định thì Cisco router lad thiết bị DTE nhưng chúng ta
có thể cấu hình chúng thành thiết bị DCE.
67
Trong môi trường làm lab thì các đường liên kết serial được kết nối trực tiếp với
00, 38400,
000, 800000, 1000000, 1300000,
c tuỳ
o tiếp trên router đều đóng. Nếu bạn muốn mở hay khởi
n. Nếu bạn muốn đóng cổng
lại để bảo trì hoặc xử lý sự cố thì bạn dùng lệnh shutdown.
Trong môi trường làm lab, tốc độ clock thường được sử dụng là 56000. Sau đây là
các lệnh được sử dụng để cài đặt tốc độ clock và khởi động cổng serial:
Router(config)#interface serial 0/0
Router(config-if)#clock rate 56000
Router(config-if)#no shutdown
3.1.6. Thực hiện việc thêm bớt, dịch chuyển và thay đổi tập tin cấu hình
Nếu bạn cần chỉnh sửa tập tin cấu hình thì bạn phải di chuyển vào đùng chế độ cấu
hình và thực hiện cần thiết. Ví dụ:nếu bạn cần mở một cổng nào đó trên router thì
trước hết bạn phải vào chế độ cấu hình toàn cục, sau đó vào chế độ cấ của cổng
đó rồi dùng lệnh no shutdown.
có những có những chi tiết không đúng thì bạn có thể chỉnh sửa lại bằng
•
•
nhau. Do đó phải có một đầu là DCE để cấp tín hiệu clock. Bạn dùng lệnh
clockrate để cài đặt tốc độ clock. Sau đây là các tốc độ clock mà bạn có thể đặt
cho router (đơn vị của tốc độ clock là bit/s): 1200, 2400, 9600, 192
56000, 64000, 72000, 125000, 148000, 500
2000000, 4000000. Tuy nhiên sẽ có một số tốc độ bạn không sử dụng đượ
theo khả năng vật lý của từng cổng serial.
Mặc định thì các cổng gia
động các cổng này thì bạn phải dùng lệnh no shutdow
u
Để kiểm tra những gì mà bạn vừa mới thay đổi, bạn dùng lệnh show running-
config. Lệnh này sẽ hiển thị nội dung của tập tin cấu hình hiện tại. Nếu kết quả
hiển thị
cách thực hiện một hoặc nhiều cách sau:
• Dùng dạng no của các lệnh cấu hình.
• Khởi động lại router với tập tin cấu hình nguyên thuỷ trong NVRAM.
Chép tập tin cấu hình dự phòng từ TFTP server.
Xoá tập tin cấu hình khởi động bằng lệnh erase startup-config,sau đó khởi
động lại router và vào chế độ cài đặt.
68
Để lư
NVRA
Rou
u tập tin, cấu hình hiện tại thành tập tin cấu hình khởi động lưu trong
M, bạn dùng lệnh như sau:
ter#copy running-config startup-config
Hình 3.1.6.
3.1.7. Cấu hình cổng Ethernet
Tương tự như cổng serial, chúng ta có thể cấu hình cổng Ethernet bằng đường
Mỗ có một địa chỉ IP và subnet mask để có thể thực
hiệ ng đó.
Sau â hình Ethernet:
h cổng Ethernet.
• Khai báo địa chỉ và subnet mask.
ernet.
Mă . Do đó, bạn phải dùng lệnh no
shu ng. Nếu bạn cần đóng cổng lại để bảo trì hay xử
lý sự n.
console hoặc vty.
i cổng Ethernet cũng cần phải
n định tuyến các gói IP qua cổ
đ y là các bước thực hiện cấu
• Vào chế độ cấu hình toàn cục.
• Vào chế độ cấu hìn
• Khởi động cổng Eth
c định là các cổng trên router đều đóng
tdown để mở hay khởi động cổ
cố thì bạn dùng lệnh shutdow
69
Hình 3.1.7
3.2. oàn chỉnh cấu hình router
.2.1. Tầm quan trọng của việc chuẩn hoá tập tin cấu hình
Trong một tổ chức việc phát các quy định dành cho các tập tin cấu hình là rất cần
thiết. Từ đó ta có thể kiểm soát được các tập tin nào càn bảo trì, lưu các tập tin ở
đâu và như thế nào.
Các quy định này có thể là những quy định được ứng dụng rộng rái hoặc cũng có
thể ch có giá trị trong một phạm vi nào đó. Nếu không có một quy định chung cho
tổ chức của mình thì hệ thống mạng của bạn sẽ trở nên lộn xộn và không đảm bảo
được hoạt động thông suốt.
3.2.2. Câu chú thích cho các cổng giao tiếp
Trên các cổng giao tiếp bạn nên ghi chú lại một số thông tin quan trọng, ví dụ như
chỉ số mạch mà cổng này kết nối vào, hay thông tin vào router khác, về phân đoạn
mạng mà cổng này kết nối đến. Dựa vào các câu chú thích này, người quản trị
mạng có thể biết được là cổng giao tiếp này kết nối vào đâu.
H
3
ỉ
70
Câu chú thích chỉ đơn giản là ghi ch c cổng giao tiếp, ngoài ra nó
hoàn toàn khôn câu chú
định dạng chung và mỗi cổng giao tiếp có một câu chú thích riêng.
úc mạng và quy ước chung, bạn có thể quyết định là ghi chú những
ú thêm cho cá
g có tác động gì đối với hoạt động của router. Bẹn nên viết
thích theo một
Tuỳ theo cấu tr
thông tin nào liên quan đến cổng giao tiếp để giúp cho tập tin cấu hình được rõ
ràng hơn, giúp cho việc xác định sự cố được nhanh hơn.
Hình 3.2.2
3.2.3. Cấu hình chú thích cho các cổng giao tiếp
Trư c ục. Rồi từ chế độ cấu hình toàn cục
bạn ại đây bạn gõ lệnh description và
câu
Sau đâ c để cấu hình câu chú thích cho cổng giao tiếp:
1. c bằng lệnh configure terminal.
2. giao tiếp (ví dụ là cổng Ethernet 0): interface
3. là câu chú thích.
4. trở về chế độ EXEC đăc quyền bằng
L g lệnh copy running-config startup-
dụ về cách viết câu chú thích:
ớc tiên bạn phải vào hế độ cấu hình toàn c
chuyển vào chế độ cấu hình cổng giao tiếp. T
chú thích mà bạn muốn.
y là các bướ
Vào chế độ cấu hình toàn cụ
Vào chế độ cấu hình cổng
Ethernet 0.
Nhập lệnh description và theo sau
Thoát khỏi chế độ cấu hình giao tiếp để
cách nhấn phím Ctrl-Z.
5. ưu lại cấu hình vừa rồi vào NVRAM bằn
config.
Sau đây là 2 ví
71
Interface Ethernet 0
Description LA
Interface serial
Description AB
N Engineering, Bldg.2
0
C network 1, circuit 1
Hình 3.2.3
3.2.4. Thông điệp đăng nhập
Thông điệp đăng nhập được hiển thị khi bạn đăng nhập vào hệ thống. Loại thông
điệp này rất hữu dụng khi bạn cần cảnh báo trước khi đến giờ tắt hệ thống mạng.
Tất cả mọi người đều có thể nhìn thấy thông điệp đăng nhập. Cho nên bạn nên
dùng các thông điệp mạng tính cảnh báo, thu hút sự chú ý. Còn những thông điệp
để “chào đón” mọi người đăng nhập vào router là không thích hợp lắm.
Ví dụ một thông điệp như sau: “This is a secure system, authorized access only!”
(Đây là hệ thống được bảo mật, chỉ dành cho những người có thẩm quyền!) được
sử dụng để cảnh báo những vị khách viếng thăm bất hợp pháp.
LAB_A# conf
Enter configuration commands, one per line. End with
CNTL_Z
LAB_A (config)# interface Ethernet 0
LAB_A (config-if)#description LAN Engineerinng, Bldg. 2
ig terminal
72
Hình 3.2.4
3.2.5. Cấu hình thông điệp đăng nhập (MOTD)
Hình 3.2.5
Th t nối vào
router.
u thông báo, kết thúc bằng cách nhập ký tự phân cách một lần
nữa.
Sau đây là các bước thực hiện để cấu hình thông điệp MOTD:
1. Vào chế độ cấu hình toàn cục bằng lệnh configure terminal
2. Nhập lệnh như sau: banner motd # The message of the day goes here #.
3. Lưu cấu hình vừa rồi bằng lệnh copy running-config startup-config.
3.2.6. Phân giải tên máy
ông điệp MOTD có thể hiển thị trên tất vả các thiết bị đầu cuối kế
Để cấu hình thông điệp MOTD bạn vào chế độ cấu hình toàn cục. Tại đây bạn
dùng lệnh banner motd, cách một khoảng trắng, nhập ký tự phân cách ví dụ như
ký tự #, rồi viết câ
73
Phân giải tên máy là quá trình máy tính phân giải từ tên mày thành địa chỉ IP tương
ứng.
Để có thể liên hệ với các thiết bị IP khác bằng tên thì các thiết bị mạng như router
cũng cần phải có khả năng phân giải tên máy thành địa chỉ IP. Danh sách giữa tên
máy và điạ chỉ IP tương ứng được gọi là bảng host.
Bảng host có thể bao gồm tất cả các thiết bị mạng trong tổ chức của mình. Mỗi một
địa chỉ IP có một tên máy tương ứng. Phần mềm Cisco IOS có một vùng đệm để
lưu tên máy và địa chỉ tương ứng. Vùng bộ đệm này giúp cho quá trình phân giải
tên thành địa chỉ được nhanh hơn.
Tuy nhiên tên máy ở đây không giống như tên DNS, nó chỉ có ý nghĩa đối với
router mà nó được cấu hình mà thôi. Người quản trị mạng có thể c u hình bảng
host trên router với bất kỳ tên nào với IP nào và các thông tin này chỉ có ý nghĩa
đối với router đó mà thôi.
he following is an exemple of the configuration of a host table on a router:
ấ
T
Router(config)#ip host Auckland 172.16.32.1
Router(config)#ip host Beirut 192.168.53.1
Router(config)#ip host Capetown 192.168.89.1
Router(config)#ip host Denver 10.202.8.1
Hình 3.2.6
3.2.7. Cấu hình bảng host
tên cho các địa ế
đây dùng lệnh ip host, theo sau là tên của thiết bị và tất ư vậy
xạ với từ t
có thể dùng lệnh ping hay telnet tới thiết bị đó bằng tên địa chỉ IP
c hiện cấu bảng host:
1. Vào chế độ cấu hình toàn cục của router.
2. Nhập lệnh ip host theo sau là tên của router và tất c địa chỉ IP của các
n router đó.
3. Tiếp tục nhập tên và địa chỉ IP tương ứng của các rou
Để khai báo chỉ IP, đầu tiên bạn vào ch độ cấu hình toàn cục. Tại
cả các IP của nó. Nh
tên máy này sẽ ánh ng địa chỉ IP của các cổng rên thiết bị đó. Khi đó bạn
của thiết bị hay
tương ứng đều được.
Sau đay là các bước thự
cả cá
cổng trê
ter khác trong mạng
74
4. Lưu cấu hình vào NVRAM.
ự hoạt động của hệ thống.
m các công việc sau:
Hình 3.2.7
3.2.8. Lập hồ sơ và lưu dự phòng tập tin cấu hình
Tập tin cấu hình của các thiết bị mạng sẽ quyết định s
Công việc quản lý tập tin cấu hình của các thiết bị bao gồ
• L p danh sách và so sánh với tập tin cấu hình trên các thiết bị đang hoạt
động.
• Lưu dự phòng các tập tin cấu hình lênh server mạng.
• Thực hiện cài đặt và nâng cấp các phần mềm.
Chúng ta cần lưu dự phòng các tập tin cấu hình để sử dụng trong trường hợp có sự
cố. Tập tin cấu hình có thể được lưu trên server mạng, ví dụ như TFTP server, hoặc
là lưu trên đĩa và cất ở nơi an toàn. Ngoài ra chúng ta cũng nên lập hồ sơ đi kèm
với các tập tin này.
3.2.9. Cắt, dán và chỉnh sửa tập tin cấu hình
Chúng ta có thể dùng lệnh copy running-config tftp để sao chép tập tin cấu hình
đang chạy trên router vào TFTP server. Sau đây là các bước thực hiện:
Bước 1: nhập lệnh copy running-config tftp.
Bước 2: nhập địa chỉ IP của máy mà chúng ta sẽ lưu tập tin cấu hình lên đó.
Bước 3: nhập tên tập tin.
ậ
75
Bước 4: xác nhận lại câu lệnh bằng cách trả lời “yes”
Hình 3.2.9a
Chúng ta có thể sử dụng tập tin cấu hình lưu trên server mạng để cấu hình cho
router.
Để thực hiện điều này bạn làm theo các bước sau:
ing-config.
2. dấu nhắc tiếp theo bạn chọn loại tập tin cấu hình máy hay tập tin cấu hình
mạng. Tập tin cấu hình mạng có chứa các lệnh có thể thực thi cho tất cả các
o mà bạn đang lưu tập tin cấu hình trên đó. Ví dụ như trên hình
nh cho loại tập tin cấu hình máy là
hostname-config, còn tên mặc định cho loại tập tin cấu hình mạng là
nfig. Trong môi trường DOS thì tên tập tin bị giới hạn với 8 ký tự
1. Nhập lênh copy tftp runn
Ở
router và server trong mạng. Còn loại tập tin cấu hình máy thì cỉh s các lệnh
thực thi cho một router mà thôi. Ở dấu nhắc kế tiếp, bạn nhập địa chỉ IP của
máy nà
3.2.9b: router được cấu hình từ TFTP server có địa chỉ IP là 131.108.2.155.
3. Sau đó nhập tên của tập tin hoặc là chấp nhận lấy tên mặc định. Tên của tập
tin theo quy tắc của UNIX. Tên mặc đị
netword-co
và 3 ký tự mở rộng (ví dụ như: router.cfg). Cuối cùng bạn xác nhận lại tất cả
các thông tin vừa rồi. Bạn lưu ý trên hình thì sẽ thấy là dấu nhắc chuyển
76
ngay sang tên Tokyo. Điều này chứng tỏ là router được cấu hình lại ngay sau
khi tập tin cấu hình vừa được tải xuống.
Tập tin cấu hình trên router cũng có thể được lưu vào đĩa bằng cách sao chép dưới
dạng văn bản rồi lưu vào đĩa mềm hoặc đĩa cứng. Khi nào cần chép trở lại rouer thì
bạn dùng chức năng soạn thảo cơ bản của chương trình mô phỏng thiết bị đầu cuối
để cắt dán các dòng lệnh vào router.
H
y là phần tổng kế hính mà bạn cần nắm khi cấu hình router.
ế độ sa
EC ng
• Chế độ EXEC đặ
t
ì
ng giao d thực hiện một số thay đổi cho
như
ho route
ình 3.2.9b
TỔNG KẾT CHƯƠNG
Sau đâ t các ý c
Router có các ch u:
• Chế độ EX ười dùng.
c quyền.
• Chế độ cấu hình
ấu h
oàn cục.
• Các chế độ c nh khác.
Bạn có thể dù iện dòng lệnh của router để
cấu hình của router :
• Đặt tên c r.
77
• Đặt mật mã cho r
hình các cổn
• Chỉnh sửa tập tin
• Hiển thị tập tin cấu hình.
trọng giúp cho người quản trị mạng nắm được cấu trúc hệ thống mạng và xử
ười dùng khi họ
outer.
• Cấu g giao tiếp trên router.
cấu hình.
Ngoài ra, bạn cần nhớ một số điểm quan trọng sau:
• Xây dựng một cấu hình chuẩn là yếu tố quan trọng để thành công trong việc
bảo trì bất kỳ hệ thống mạng của một tổ chức nào.
• Câu chú thích cho các cổng giao tiếp có thể mang một số thông tin quan
lý sự cố nhanh hơn.
• Thông điệp đăng nhập sẽ cung cấp các thông báo cho ng
đăng nhập vào router.
• Phân giải tên máy thành địa chỉ IP cho phép router có thể chuyển đổi nhanh
từ máy ra địa chỉ.
• Công việc lập hồ sơ và lưu dự phòng tập tin cấu hình là hết sức quan trọng
để bảo đảm cho hệ thống mạng luôn hoạt động thông suốt.
78
CHƯƠNG 4
CẬP NHẬT THÔNG TIN TỪ CÁC THIẾT BỊ KHÁC
GIỚI THIỆU
Đôi khi người quản trị mạng sẽ phải xử lý những hệ thống mạng mà không có hồ
sơ đầy đủ và chính xác. Trong những tình huống như vậy thì giao thức CDP-Cisco
Discovery Protocol sẽ là một công cụ rất hữu ích giúp bạn xây dựng được cấu trúc
cơ bản về hệ thống mạng. CDP là một giao thức hoạt động không phụ thuộc vào
môi trường truyền của mạng, giao thức này là độc quyền của Cisco được sử dụng
để phát hiện các thiết bị xung quanh. CDP sẽ hiển thị thông tin về các thiết bị kết
nối trực tiếp mà bạn đang xử lý. Tuy nhiên đây không phải là một công cụ thực sự
mạng.
Trong nhiều trường hợp, sau khi router đã được cấu hình và đi vào hoạt đông thị
nhà quản trị mạng sẽ khó có thể kế vào router để cấu hình hay làm gì
u
mạng của các thiết bị lân cận bằng cách sử
dụng CDP.
• Thiết lập kết nối Telnet.
• Kiểm tra kết nối Telnet.
4.1 cận
t nối trực tiếp
khác. Khi đó, Telnet, là một ứng dụng của TCP/IP, sẽ giúp người quản trị mạng
thiết lập kết nối từ xa vào chế độ giao tiếp dòng lệnh (CLI) của router để xem, cấ
hình và xử lý sự cố. Đây là một công cụ chủ yếu của các chuyên gia mạng.
Sau khi hoàn tất chương này, các bạn sẽ nắm được các kiến thức sau:
• Bật và tắt CDP.
• Cách sử dụng lệnh show cdp neighbors.
• Cách xác định các thiết bị lân cận kết nối vào cổng giao tiếp.
• Ghi nhận thông tin về địa chỉ
• Kết thúc phiên Telnet.
• Tạm ngưng một phiên Telnet.
• Thực hiện các kiểm tra kết nối khác.
• Xử lý sự cố với các kết nối từ xa.
. Kết nối và khám phá các thiết bị lân
4.1.1. Giới thiệu về CDP
79
TCP/IP Novell IPX AppleTalk Others
CDP discovers and shows information about
directtl connected Cisco devices
LANS Frame Relay ATM Others
Hình 4.1.1
CDP là giao thức lớp 2 kết nối với lớp vật lý ở dưới và lớp mạng ở trên như hình
vẽ. CDP được sử dụng để thu thập thông tin từ các thiết bị lân cận, ví dụ như thiết
mạng và có thể
ập mạng con SNAP
Phi
từ i
bản 10 hiên bản 1).
và cho phép thiết bị dò tìm
các ệu và
cho nhau cho dù 2 thiết bị này có thể chạy
giao thức lớp mạng khác nhau.
Mỗi thiết bị được cấu hình CDP sẽ gửi một thông điệp quảng cáo theo định kỳ cho
các router khác. Mỗi thông điệp như vậy phải có ít nhất một địa chỉ mà thiết bị đó
có thể nhận được thông điệp của giao thức quản lý mạng cơ bản SNMP (Simple
Network Management Protocol) thông qua địa chỉ đó. Ngoài ra, mỗi thông điệp
quảng cáo còn có “thời hạn sống” hoặc là thời hạn lưu giữ thông tin. Đây là
khoảng thời gian cho các thiết bị lưu giữ thông tin nhận được trước khi xoá bỏ
thông tin đó đi. Bên cạnh việc phát thông điệp, mỗi thiết bị cũng lắng nghe theo
bị đó là loại thiết bị nào, trên thiết bị đó cổng nào là cổng kết nối và kết nối vào
cổng nào trên thiết bị của chúng ta, phiên bản phần cứng của thiết bị đó là
gì…CDP là giao thức hoạt động độc lập với môi trường truyền
chạy trên tất cả các thiết bị của Cisco trên nền giao thức truy c
(Subnet Access Protocol).
ê ) là phiên bản mới nhất của giao thức này. Cisco IOS
phên bản 12.0(3)T trở đi có hỗ trợ CDPv2. Mặc định thì Cisco IOS (từ phiên
.3 đến 12.0(3) chạy CDP p
nbản 2 của CDP (CDPv2
Khi thiết bị Cisco được bật lên, CDP tự động hoạt động
thiết bị lân cận khác cùng chạy CDP. CDP hoạt động ở lớp liên kết dữ li
phép 2 thiết bị thu thập thông tin lẫn
80
định kỳ để nhận thông điệp từ các thiết bị lân cận khac để thu thập thông tin về
chúng.
4.1.2. Thông tin thu nhận được từ CDP
CDP được sử dụng chủ yếu để phát hiện tất cả các thiết bị Cisco khác kết nối trực
tiếp vào thiết bị của chúng ta. Bạn sử dụng lênh show cdp neighbors để hiển thị
thông tin về các mạng kết nối trực tiếp vào router. CDP cung cấp thông tin về từng
thiết bị CDP láng giềng bằng cách truyền thông báo CDP mang theo cac giá trị
“type length” (TLVs).
TLVs được hiển thị bởi lệnh show cdp neighbors sẽ bao gồm các thông tin về:
• Device ID: Chỉ số danh định (ID) của thiết bị láng giềng.
al rface: Cổng trên thiết bị của chúng ta kết nối đến thiết bị lng
giềng,
• Hold time: thời hạn lưu giữ th hật.
n quản lý của VTP (chỉ có ở
rên router (chỉ có ở CDPv2).
ng kết nối trực tiếp vàp router mà
tiếp với router đó.
• Locinte á
ông tin cập n
• Capability: loại thiết bị.
• Platform: phiên bản phần cứng của thiết bị.
• Port ID: chỉ số danh định (ID) của cổng trên thiết bị láng giềng kết nối vào
thiết bị của chúng ta.
• VTP management domain name: tên miề
CDPv2).
• Native VLAN: VLAN mặc định t
• Half/Full duplex: chế độ hoạt động song công hay bán song công.
Trong hình 4.1.2, router ở vị trí thấp nhất khô
người quản trị mạng đang thực hiện kết nối console. Do đó để xem được các thông
tin CDP của router này, người quản trị mạng phải Telnet vào router kết nối trực
81
Hình 4.1.2
4.1.3. Chạy CDP, kiểm tra và ghi nhận các thông tin CDP
Lệnh
Chế độ cấu hình của
router để thực hiện câu
lệnh
Chức năng của câu lệnh
Cdp run Chế độ cấu hình toàn cục Khởi động cdp trên
router.
Cdp enable Chệ đ cổng
giao tiếp.
Khởi động CDP trên cổng
giao tiếp tương ứng
ộ cấu hình
Clear cdp counters Chế độ EXEC người dùng Xoá đòng hồ đếm lưu
lượng trở về 0
Show cdp entry
(&/device-name
[*][protocol/version])
Chế độ EXEC đặc quyền Hiển thị thông tin về một
thiết bị láng giềng mà ta
cân. Thông tin hiển thị
thể được giới hạn thoe
có
giao thức hay theo phiên
bản.
Show cdp Chế độ EXEC đặc quyền Hiển thị khoảng thời gian
giữa các lần phát thông
82
điệp quảng cáo CDP, số
phiên bản và thời gian còn
hiệu lực của các thông
điệp này trên từng cổng
của router.
Show cdp interface [type
number]
Chế độ EXEC đặc quyền Hiển thị thông tin về
những cổng có chạy CDP
Show cdp neighbors [type
number] [detial]
Chế độ EXEC đặc quyền Hiển thị các thông tin về
những thiết bị mà CDP
phát hiện được: loại thiết
bị, tên thiết bị, thiết bị đó
kết nối vào cổng nào trên
thiết bị của chúng ta. Nếu
bạn có sử dụng từ khoá
công, tên miền VTP.
detail thị ban sẽ có thêm
thông tin về VLAN ID,
chế độ hoạt động song
83
Hình 4.1.3a
Hình 4.1.3b
Hình 4.1.3c
84
Hình 4.1.3d
Hình 4.1.3e
4.1.4. Xây dựng bản đồ mạng
85
CDP là một giao thức được thiết kế và hoạt động khá nhẹ, đơn giản. Các gói CDP
có kích thước nhỏ nhưng lại mang nhiều thông tin hữu ích về các thiết bị láng
giề
Bạ ó ựng sơ đồ mạng của các thiết bị. Bạn
có
tiếp cá
4.1.5. Tắt CDP
Để ắt toàn bộ CDP trên router, bạn dùng lệnh no cdp run chế độ cấu hình toàn
cục. Khi bạn đã tắt toàn bộ CDP thì không có cổng nào trên router còn chạy được.
Đối với Cisco IOS phiên bản 10.3 trở đi, CDP chạy mặc định trên tất cả các cổng
có thể gửi và nhận thông tin CDP. Tuy nhiên cũng có một số cổng như cổng
Asynchronous chẳng hạn thì mặc định là CDP tắt trên các cổng này. Nếu CDP
đang bị tắt trên một cổng nào đó thì bạn có thể khởi động lại CDP bằng lệnh cdp
enable trong chế độ cấu hình cổng giao tiếp tương ứng. Còn nếu bạn muốn tắt
CD trên một cổng nào đó thì bạn dùng lệnh no cdp enable trong chế độ cấu hình
cổng đó.
ng Cisco.
n c thể sử dụng các thông tin này để xây d
thể Telnet vào các thiết bị láng giềng rồi dùng lệnh show cdp neighbors để tìm
c thiết bị khác kết nối vào thiết bị này.
t
P
Hình 4.1.5
4.1. X 6. ử lý sự cố của CDP
86
Lệnh Mô tả
Clear c g giềng dp table Xoá bảng thông tin của CDP về các thiết bị lán
Clear cdp counters Xoá bộ đếm lưu lượng trở về 0.
Showc dp traffic Hiển thị bộ đếm của CDP, bao gồm số lượng gói CDP gửi
và nhận, số lượng lỗi checksum
Show d c loại debug đang chạy trên router ebugging Hiển thị thông tin về cá
Debug cdp adjacency Kiểm tra thông tin CDP về các thiết bị láng giềng
Debug cdp events Kiểm tra các hoạt động của CDP
Debg cdp ip Kiểm tra thông tin CDP IP u
Debugdp packets Kiểm tra thông tin về các gói CDP c
Cdp timer Cài đặt thời gian định kỳ gửi gói CDP cập nhật
Cdp holdtime Cài đặt thời gian lưu giữ thông tin cho các gói CDP cập
nhật được phát đi
Show dp Hiển thị thông tin toàn cục của CDP, bao gồm thời gian
điịnh cập nhật và thời gian lưu giữ thông tin
c
4.2. Th thập thông tin về các thiết bị ở xa
4.2.1. elnet
Telnet là giao thức giả lập đầu cuối ảo nằm trong bộ giao thức TCP/IP. Nó cho
phép thiết lập kết nối từ xa vào thiết bị. Lệnh Telnet được sử dụng để kiểm tra hoạt
động p ần mềm ở lớp ứng dụng giữa 2 máy.
Telnet hoạt động ở lớp ứng dụng của mô hình OSI. Telnet hoạt động dựa trên cơ
chế CP để đảm bảo việc truyền dữ liệu giữa client và các server.
ột router có thể cho phép thực hiện đồng thời nhiều phiên kết nối Telnet. Đường
vty 0-4 trên router là đường dành cho Telnet. 5 đường Telnet này có thể thực hiện
ùng lúc. Chúng ta cần lưu ý rằng việc sử dụng Telnet để kiểm tra kết nối lớp ứng
ụng chỉ là việc phụ. Telnet được sử dụng chủ yếu để thiết lập kết nối từ xa vào
thiết bị. Telnet là một chương trình ứng dụng đơn giản và thông dụng nhất.
u
T
h
T
M
c
d
87
Hình 4.21.
4.2.2. Thiết lập và kiểm tra kết nối Telnet
Lện T
thiết b
kết nố
muốn
Để thi ng các lệnh sau:
Denve
Denve
Denve
Denve
h elnet cho phép người dùng thực hiện Telnet từ một thiết bị Cisco này sang
ị khác. Chúng ta không cần phải nhập lệnh connect hay telnet để thiết lập
i Telnet mà chúng ta có thể nhập tên hoặc địa chỉ IP của router mà chúng ta
Telnet vào. Khi kết thúc phiên Telnet, bạn dùng lệnh exit hoặc logout.
ết lập kết nối Telnet, bạn dùng một tro
r>connect paris
r>paris
r>131.108.100.152
r>telnet paris
88
Hình 4.2.2a
giải
t buộc bạn phải dùng địa chỉ IP.
i từ xa vào một router hay
độ EXEC người dùng và
ạn có thể truy cập từ xa vào router thi có nghĩa là đã có ít nhất một ứng dụng
Một kết nối Telnet thành công chứng tỏ rằng
Router cần phải có bảng host hoặc là trong mạng phải có dịch vụ DNS phân
tên máy mà chúng ta nhập vào. Nếu không thì bắ
Telnet được sử dụng để kiểm tra xem bạn có thể kết nố
hông. Ví dụ như hình 4.2.2b: nếu bạn Telnet ở chế k
EXEC đặc quyền đều được.
ếu b N
TCP/IP kết nối vào được router đó.
các ứng dụng lớp trên hoạt động tốt.
89
Hình 4.2.2b
Nếu bạn có thể Telnet vào một router này mà không Telnet
hì có thể sự cố là do sai tên, địa chỉ hoặc do cấp quyền truy c
vào được router khác
ập. Sai sót có thể nằm
ằm ở router mà bạn Telnet tới. Trong trường hợp
ày, bước tiếp theo bạn nên cố gắng ping thử. Lệnh ping cho phép chúng ta kiểm
tra kết nối ở lớp Mạng từ đầu đến cuối.
ngưng một phiên Telnet. Tuy
một router khác. Điều
này router. Do đó bạn cần chú ý
cẩn th ng phiên Telnet trên router đó.
Mỗ gưng trong một khoảng thời gian giới hạn. Để
qua t n phím Enter. Bạn
t
ở router mà bạn đang xủ lý hoặc n
n
Khi bạn đã Telnet xong, bạn có thể ngắt kết nối. Mặc định thì sau 10 phút mà
không có bất kỳ hoạt động nào kết nối Telnet sẽ tự động ngắt. Hoặc là bạn có thể
ngắt kết nối Telnet bằng lệnh exit.
4.2.3. Ngắt, tạm ngưng phiên Telnet
Telnet có một đặc tính quan trọng là bạn có thể tạm
nhiên có một rắc rối là khi bạn sử dụng phím enter sau khi tạm ngưng phiên Telnet
thì phần mềm Cisco IOS sẽ tự động quay trở lại kết nối Telnet vừa mới tạm ngưng
trước đó. Mà phím enter là phím rất hay được sử dụng. Do đó khi bạn tạm ngưng
một phiên Telnet thì rất có thể sau đó bạn sẽ kết nối lại vào
rất nguy hiểm khi bạn thực hiện thay đổi cấu hình
ận cấu hình của router trước khi tạm ngư
i một phiên Telnet chỉ được tạm n
y rở lại kết nối Telnet mà bạn đã tạm ngưng bạn chỉ cần nhấ
dùng lệnh show session để xem các kết nối Telnet đang được mở.
90
Sau đây là trình tự các bước để bạn ngắt kết nối Telnet:
• Nhập lệnh disconnect.
• Tiếp theo sau lệnh này là tên hoặc địa chỉ IP của router. Ví dụ:
Denver>disconnect paris
g phiên Telnet:
ng lúc, buông ra rồi nhấn tiếp chữ x.
Sau đây là các bước thực hiện tạm ngưn
• Nhấn tổ hợp phím Ctrl-Shift-6 cù
• Nhập tên hoặc địa chỉ IP của router.
Hình 4.2.3
ể mở nhiều phiên Telnet cùng lúc. Chúng ta có thể chuyển đổi qua
4.2.4. Mở rộng thêm về hoạt động Telnet
Trên router có th
lại giữa các phiên Telnet này. Bạn có thể ấn định số lượng phiên Telnet được phép
mở đồng thời trên router bằng lệnh session limit.
Để chuyển đổi qua lại giữa các phiên Telnet, bạn tạm ngưng phiên Telnet hiện tại
và quay trở lại phiên mới mở trước đó.
Nhấn tổ hợp phím Ctrl-Shift-6 cùng lúc, buông ra rồi nhấn tiếp chữ x: tạm thoát
khỏi kết nối hiện tại, quay lại dấu nhắc EXEC.
91
Tại dấu nhắc EXEC, bạn có thể thiết lập phiên kết nối mới. Router 2500 chỉ cho
phép mở 5 phiên Telnet cùng lúc.
Bạn có thể mở nhiều phiên Telnet cùng lúc và tạm ngưng bẳng tổ hợp phím Ctrl-
Shift-6, x. Nếu bạn dùng phím Enter thì Cisco IOS sẽ tự động quay lại kết nối vừa
mới tạm ngưng trước đó. Còn nếu bạn dùng lệnh resume thì bạn phải nhập thêm
chỉ số ID bằng lệnh show session.
Hình 4.2.4
4.2.5. Các lệnh kiểm tra kết nối khác
Để hỗ trợ việc kiểm tra nối mạng cơ bản, nhiều giao thức mạng có hỗ trợ giao
dụng để kiểm tra việc định tuyến
ệu. n gửi đi một gói dữ liệu tới máy đích và chờ
i trả lời
độ tin cậy của
đích có đến đượ
tra kết nối ng hày EXEC
uyền đều đ
thức phản hồi (echo). Giao thức phản hồi được sử
các gói dữ li Lệnh ping thực hiệ
nhận gó vè từ máy đích. Kết quả của giao thức phản hồi giúp bạn xác định
đường truyền tới máy đích, thời gian trễ trên đường truyền, máy
c hay không, có hoạt động hay không. Lệnh ping là lệnh cơ bản để
ở chế độ EXEC người dù kiểm . Bạn có thể dùng lệnh này
đặc q ược.
92
Hình 4.2.5a
Hình 4.2.5a là ví dụ cho biết phản hồi hà gói gửi đi của lệnh ping
p hận được
m đã
et Control Message Protocol – giao t).
ệu trên
ing thì chỉ
ra kết nối từ đầu cuối đến đầu cuối, còn lệnh traceroute thì kiểm tra từng
ường truyền. Bạn có thể thực hiện lệnh traceroute ở chế độ
EXEC người dùng hay EXEC đặc q c.
ay vì tên của router đó. Trong
traceroute vẫn sẽ tiếp tục cố gắng gửi đến trạm kế tiếp
ợp phím Ctrl-shift-6.
nh công cho 5
172.16.1.5. Dấu chấm than (!) cho biết là
chấ
hản hồi thành công. Nếu bạn n
nghĩa là router một hay nhiều dấu chấm thay vì dấu than (!) thì điều đó có
hết thời gian chờ gói phản hồi từ máy đí
(Intern
ch. Lệnh ping sử dụng giao thức ICMP
thức thông điệp điều khiển interne
Lệnh traceroute là một công cụ lý tưởng để bạn tìm đường đi của gói dữ li
mạng. Lệnh traceroute cũng tương tự như
kiểm t
lệnh ping, chỉ khác là lệnh p
chặng một dọc theo đ
uyền đều đựơ
Trong ví dụ ở hình 4.2.5b, bạn thực hiện lệnh traceroute từ router York đến router
Rome. Đường truyền này phải đi qua router London và Paris. Nếu có router nào
không đến được thì kết quả phản hồi là dấu sao (*) th
trường hợp như vậy, lệnh
cho đến khi bạn nhấn tổ h
93
Hình 4.2.5b
iểm tra cơ bản cũng tập trung chủ yếu vào lớp Mạng. Bạn dùng lệnh show
te để kiểm tra bảng định tuyến của router cho hệ thống mạng. Lệnh này sẽ
ề cập chi tiết h
Việc k
ip rou
đượ đ
Sau ping:
hấn phím Enter.
ề địa chỉ IP
ự cố về địa chỉ là sự cố xảy ra phổ biến nhất trong mạng IP. Sau đây là 3 lệnh
thường được sử dụng để xử lý các sự cố liên quan đến địa chỉ:
• Ping: sử dụng giao thức ICMP để kiểm tra kết nối vật lý và địa chỉ IP của
lớp Mạng. Đây là lệnh kiểm tra cơ bản.
c ơn trong chưong sau.
đây là các bước thực hiện
• Nhập lệnh ping, theo sau là địa chỉ IP hoặc tên của máy đích.
• Nhấn phím Enter.
Sau đây là các bước thực hiện lệnh traceroute:
• Nhập lệnh traceroute, theo sau là địa chỉ IP hoặc tên của máy đích.
• N
4.2.6. Xử lý sự cố v
S
94
• Telnet: kiểm tra kết nối phần mềm lớp Ứng dụng giữa nguồn và máy đích.
lệnh kiểm tra kết nối hoàn chỉnh.
cho phép xác định vị trí lỗi trên đường truyền từ máy nguồn
rị Time to Live để tạo thông điệp từ
bằng cách sử dụng CDP.
• Kết thúc kết nối Telnet.
xa.
Đây là
• Traceroute:
đến máy đích. Lệnh trace sử dụng giá t
mỗi router trên đường truyền.
TỔNG KẾT
Kết thúc chương này bạn cần nắm được những ý chính như sau:
• Mở và tắt CDP
• Sử dụng lệnh show cdp neighbors.
• Xác định được các thiết bị láng giềng kết nối vào các cổng trên thiết bị của
mình.
• Thu nhập thông tin về các thiết bị láng giềng
• Thiết lập kết nối Telnet.
• Tạm ngưng kết nối Telnet.
• Thực hiện kiểm tra kết nối.
• Xử lý sự cố của kết nối đầu cuối từ
95
CHƯƠNG 5
QUẢN LÝ PHẦN MỀM CISCO IOS
GIỚI THIỆU
Cisco router không thể hoạt động được nếu không có hệ điều hành mạng Cisco
(IOS). Mỗi router trong quá trình khởi động đều có bước tìm và tải IOS. Chương
này sẽ mô tả chi tiết các bước khởi động của router và cho bạn thấy tầm quan trọng
của quá trình này.
Các thiết bị mạng Cisco hoạt động với nhiều loại tập tin khác nhau, trong đó có hệ
điều hành và tập tin cấu hình. Người quản trị mạng hay bất kỳ ai muốn quản trị cho
hệ thống mạng hoạt động trôi chảy và tin cậy thì để phải bảo trì các tập tin này cẩn
thận, bảo đảm rằng thiết bị đang chạy đúng phiên bản phần mềm và các tập tin hệ
thống của Cisco và các công cụ hữu n lý các tập tin này.
Khi hoàn tất chương này , các bạn có thể t c hiện được những việc sau:
• Xác định được router đang ở của quá trình khởi động.
IOS như thế nào.
• Sử dụng các lệnh boot system.
odem.
ống bằng các lệnh show.
hi bắt đầu bật điện
ủa
dụng để quả
hự
giai đoạn nào
• Xác định được các thiết bị Cisco tìm và tải Cisco
• Xác định giá trị của thanh ghi cấu hình.
• Mô tả khái quát các tập tin mà Cisco IOS sử dụng và chức năng tương ứng
của chúng.
• Nắm được nơi mà router lưu các loại tập tin khác nhau.
• Mô tả khái quát cấu trúc tên của IOS.
• Lưu và khôi phục tập tin cấu hình bằng cách sử dụng TFTP và cắt – dán.
• Tải IOS bằng TFTP.
• Tải IOS bằng Xm
• Kiểm tra tập tin hệ th
5.1. Khảo sát và kiểm tra quá trình khởi động router
5.1.1. Các giai đoạn khởi động router k
Mục tiêu chính của quá trình khởi động router là khởi động các hoạt động c
router. Router phải hoạt động với độ tin cậy cao để thực hiện kết nối cho bất kỳ
96
loại mạng nào. Do đó, quá trình khởi động router phải thực hiện các công việc như
• Kiểm tra phần cứng của router
i phần mềm Cisco IOS thì khác nhau tuỳ theo phiên bản phần
ta có thể cấu hình hoặc router sẽ sử dụng quá trình tìm và tải
phầ
Giá trị OS như sau:
S. Router sẽ sử dụng các câu lệnh này theo thứ tự khi khởi động.
sau:
• Tìm và tải phần mềm Cisco IOS.
• Tìm và thực hiện các câu lệnh cấu hình, trong đó bao gồm các cấu hình giao
thức và địa chỉ cho các cổng giao tiếp.
ROM Bootstrap Load bootstrap
Hệ điều hành
mạng Cisco
5.1.2. Thiết bị Cisco tìm và tải như thế nào
Nguồn mặc định tả
cứng của thiết bị, nhưng hầu hết các router đều tìm lệnh boot system lưu trong
NVRAM. Phần mềm Cisco IOS có thế được tải từ nhiều nguồn khác nhau. Những
nguồn này chúng
n mềm mặc định của nó.
cài đặt cho thanh ghi cấu hình sẽ cho phép router tìm I
• Lệnh boot system cấu hình cho router nơi mà router tìm để
tỉa IO
Flash
TFTP
Server
ROM
Tìm và tải hệ điều
hành
Tập tin cấu
hình
Tìm và tải tập tin
cấu hình hoặc vào
NVRAM
TFTP
Server
chế độ cài đặt
Console
97
• Nếu trong NVRAM không có các câu lệnh boot system thì
• bộ nhớ flash cũng không có IOS thì router sẽ cố
n lưu trên server mạng.
hệ thống sẽ mặc định là sử dụng Cisco IOS trong bộ nhớ flash.
Nếu trong
gắng sử dụng TFTP để tải IOS về. Router sẽ sử dụng giá trị cài đặt cấu hình
để biết tên tập ti
Router# configure terminal
Router(config)# boot system flash IOS_filename
Router(config)# boot system tftp IOS_filename
tftp_address
Router(config)# boot system ROM
[Ctrl-Z]
Router# copy running-config startup-config
Không tìm thấy lệnh boot system trong NVRAM.
Tải Cisco IOS mặcđịnh trong bộ nhớ Flash.
Bộ nhớ Flash không có IOS.
Tải Cisco IOS mặc định từ TFTP server.
Cài đặt thanh ghi cấu hình, lưu trong NVRAM, giá trị cài đặt cho thanh ghi
cấu hình khác nhau sẽ cho phép router xác định vị trí tải IOS khác nhau
98
5.1.3 Sử dụng lệnh boot system
5.1.4 Hình 5.1.3Sử dụng lệnh boot system
Thứ tự các vị trí mà router tìm hệ điều hành được cài đặt trong phần khởi động của
thanh ghi cấu hình. Giá trị mặc định của thanh ghi cấu hình có thể thay đổi bằng
lệnh config-register trong chế độ cấu hình toàn cục. Thông số của lệnh này sủ
i
cấu hình thể hiện cho phần khởi động router. Đầu tiên, ta dùng lệnh show version
để xem giá trị hiện tại của thanh ghi cấu hình và cúng để đảm bảo là giá trị của 12
trên không có gì thay đổi. Sau đó ta dùng lệnh cònig-register để thay đổi giá trị
cho thanh ghi, ta chỉ cần đổi giá trị của số hex cuối cùng mà thôi.
Ta thay đổi giá trị phần khởi động của thanh ghi cấu hình theo hướng dẫn sau:
• Để router khởi động vào chế độ ROM monitor, ta đặt giá trị cho thanh ghi
cấu hình là 0xnnn0, trong đó nnn là giá trị của 12 bit trên, không thuộc phần
khởi động. Còn 0 là gia trj của phần khởi động trên thanh ghi cấu hình, do
đó 4 bit phần này có giá trị nhị phân là 0000. Từ chế độ ROM monitor, ta có
thể khởi động hệ thống bằng lệnh b.
• Để cấu hình cho hệ thống tự động khởi động từ ROM, ta đặt giá trị cho
thanh ghi cấu hình là 0xnnn1, trong đó nnn là giá trị của 12 bit trên, không
thuộc phần khởi động. Còn 1 a 4 bit phần khởi động trên thanh
ghi cấu hình, như vậy 4 bit nà hị phân là 0001.
• Để cấu hình cho hệ thống sử dụng cac câu lệnh boot system trong NVRAM,
ấu hìnn bất kỳ giá trị nào nằm trong khỏng
t trong phần khởi động của thanh ghi cấu hình
đụng số hex.
Thanh ghi cấu hình là thanh ghi 16 bi lưu trong NVRAM. 4 bit thấp của thanh gh
là giá trị củ
y có giá trị n
ta đặt giá trị cho thanh ghi c
0xnnn2 – 0xnnnF. Khi đó, 4 bi
sẽ có giá trị nhị phân là 0010-1111. Mặc định gia trị thanh ghi là 0x2102 và
router sử dụng lệnh boot system trong NVRAM.
5.1.5 Sử dụng lệnh boot system
Khi router không khởi động được thì có thể là do một trong những nguyên nhân
sau:
99
• Mất tập tin cấu hình hoặc câu lệnh boot system bị sai.
• Giá trị thanh ghi cấu hình bị sai.
• Bộ nhớ flash bị trục trặc.
Sử dụng lệnh show running-config và tìm câu lệnh boot system nằm ở ngay
Router#show version
System image file is “flash:c2600-jk8o3s-mz.122-17a.bin”
This product contains cryptographi subject to United States and local
y laus. By using this product,
, return this product immediately.
• Hư hỏng phần cứng.
Khi router khởi động, router sẽ tìm câu lệnh boot system trong tập tin cấu hình.
Lệnh boot system có thể cài đặt cho router khởi động từ IOS khác thay vì từ IOS
trong flash. Để xác định xem router khởi động từ IOS nào, bạn dùng lệnh show
version và tìm dòng nói về phần mềm khởi động hệ thống.
phần đầu của tập tin cấu hình. Nếu câu lệnh boot system chỉ sai IOS thì chúng ta
xoá lệnh đó đi bằng lệnh “no” của câu lệnh đó.
Cisco Interface Operating System Software
IOS (tm) C2600 Software (C2600-JK803S-M), Version 12.2 (17a), RELEASE
SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco System, Inc
Complie Thu 19-Jun-03 16:35 by pwade
Image text-base: 0x8000808C, data-base: 0x815F7B34
ROM: System Bootstrap, Version 12.2 (7r) [cmong 7r], RELEASE SOFTWARE
fc1)
Danang uptime is 1 hour, 2 minutes
System returned to ROM by power-on
c features and
country laws goverining import, export, transfer and use. Delivery of Cisco
cryptographic product does not imply third-party authority to import, export,
distribute or use encryption. Importers, exporters, distributors and users are
responsible for compliance with US and local coutr
you compliance with US and local laws
A summary of US laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
100
If you require further assistance please contact us by sending email to
Cisco 2620XM (MOC860P) professor (revision 0x100) with 59392K/6144K bytes
of memory
Processor board ID JAE0718065A (41148118384)
M860 processor: part number 5, mask 2
Bridging software
X25 software, Version 3.0.0
Super LAT software (copyright 1990 by Meridian Technology Corp)
TN3270 Emulation software
Basic Rae ISDN software, Version 1.1.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial (sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-voltatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
Giá trị thanh ghi cấu hình không đúng cũng dẫn đến việc router không tải được
IOS vì gia trị thanh ghi nà từ đâu. Chúng ta kiểm tra
iá trị thanh ghi bằng lệnh show version và đọc dòng cuối cùng trong kết quả hiển
ị của lệnh này. Giá trị thanh ghi cấu hình sẽ khác nhau đối với các biên bản phần
ường hợp như vậy bạn sẽ gặp các thông báo lỗi trong qua trình
“flash:”
• Boot: cannot determine first file name on device “flash:”
Nếu dùng là tập tin trong flash bị lỗi thì bạn cần chép lại IOS mới lên router.
y sẽ cho router biết là tải IOS
g
th
cứng khác nhau. Bạn có thể tham khảo giá trị thanh ghi cấu hình trên đĩa CD tài
liệu của Cisco hợc trên website của Cisco. Sau đó bạn chỉnh sửa lại giá trị thanh
ghi cấu hình rồi lưu vào tập tin cấu hình khởi động.
Nếu sự cố vẫn tiếp tục xảy ra thì có thể là tập tin trong bộ nhớ flash bị lỗi. Thông
thường, trong tr
khởi động router. Ví dụ như một số câu thông báo như sau:
• Open: read error…requested 0x4 bytes, got 0x0
• Trouble reading device magic number
• Boot: cannot open
101
Nếu tất cả các nguyên nhân trên vẫn không đúng thì có thể là router bị lỗi phần
cứng. Trong trường hợp như vậy thì bạn nên liên hệ với trung tâm hỗ trợ kỹ thuật
nal Assistance Centre). Mặc dù lỗi hư phần cứng rất hiếm
năng xảy ra.
cấu
t bị.
Ng i h để các thiết bị Cisco thực hiện
các ch g số mà bạn có thể cấu
hìn yến và các mạng
màa … Thông thường, một tập tin
cấu
ng bộ nhớ khác
nhau.
IOS được lưu trong loại bộ nhớ được gọi là flash. Flash lưu giữ ổn định tập tin IOS
và tập tin IOS này được lash cho phép chúng ta
ập tin cấu hình được lưu trong NVRAM được gọi là tập
tin cấu hình khởi động. Khi thiết bị khởi động, tập tin cấu hình khởi động được
của Cisco (TAC – Termi
gặp nhưng nó vẫn có khả
Lưu ý: Bạn không thể xem giá trị thanh ghi cấu hình bằng lệnh show running-
config hay show start-up config được,
5.2. Quản lý tập tin hệ thống Cisco
5.2.1. Khái quát về tập tin hệ thống Cisco
Hoạt động của router và switch phụ thuộc vào phần mềm cài trên nó. Có 2 loại
phần mềm cần phải có để thiết bị hoạt động là: hệ điều hành và tập tin cấu hình.
Hệ điều hành được sử dụng cho hầu hết các thiết bị Cisco là hệ điều hành liên
mạng Cisco, gọi tắt là Cisco IOS (Internetwork Operating System). Phần mềm
Cisco IOS cho phép thiết bị thực hiện các chức năng của router hay switch. Một
tập tin IOS khoảng vài megabyte.
Phần mềm thứ 2 được sử dụng cho router và switch là tập tin cấu hình. Tập tin
hình chứa các hướng dẫn về hoạt động định tuyến hay chuyển mạch của thiế
ườ quản trị mạng là người tạo tập tin cấu hìn
ức năng theo đúng thiết kế của mình. Một số thôn
h được là địa chỉ IP của các cổng trên router, giao thức định tu
gio thức định tuyến đó được thực hiện quảng bá
hình từ vài trăm đến vài ngàn byte.
Mỗi loại phần mềm được lưu thành từng tập tin riêng biệt trong từ
sử dụng để khởi động router. F
nâng cấp IOS và lưu được nhiều IOS khác nhau. Trong cấu trúc của một số loại
router, IOS được copy lên RAM và chạy trên RAM.
Tập tin cấu hình được lưu trong bộ nhớ NVRAM và tập tin này được sử dụng khi
khởi động router. Do đó t
102
chép lên RAM. Khi đó tập tin này được chạy trên RAM và luôn được cập nhật khi
đang chạy. Do đó tập tin đang chạy trên RAM được gọi là tập tin cấu hình hoạt
động.
Hình 5.2.1a
Bắt đầu từ phiên bản 12 của IOS, hệ thống tập tin Cisco IOS, gọi tắt là IFS (IOS
File System), cung cấp một giao tiếp chung cho tất cả các hệ thống tập tin mà
cấu hình hoạt động, ROM). IFS sử dụng các tiền tố như trong
định hệ thống tập tin trên thiết bị.
Descripton
router đang sử dụng. IFS cung cấp một phương pháp chung để thực hiện quản lý
toàn bộ hệ thống tập tin đang sử dụng cho router. Công việc này bao gồm tập tin
trong bộ nhớ flash, hệ thống tập tin mạng (TFTP, rcp và FTP), đọc/viết dữ liệu
(NVRAM, tập tin
hình 5.2.1b để xác
Prefix
Bootflash: Bootflash memory
Flash: Flash memory. This prefix is available on all platform. For
form that do not have a device named flash, the prefix flash: is
refix flash: can be used to refer to
orage area on all platform
plat
allased to slot0:. Therefore, the p
the main flash memory st
Flh: Flash load helper log files
ftp: File Transfer protocol (FTP) network sever
Nvram: NVRAM
Rcp: Remote copy protocol (rcp) network server
Slot0: First Personal Computer Memory Card International Assiciontion
103
(PCMCIA) flash memory card
Slot1: Second PCMCIA flash memory card
System: Contains the system memory, including the running configuration
Tftp: TFTP nework server
Hình 5.2.1b
ds Pre IOS Version 12.0 Commands IOS Version 12.x Comman
Configure network (pre-Cisco IOs Copy ftp: system: runnig-config
Copy crp: system: runnig-config
Copy tftp: system: runnig-config
Release 10.3)
Copy rcp running –config
Copy tftp running-config
Configure overwrite-network
{pre-Cisco IOS Release 10.3} Copy crp
Copy rcp stratup-config Copy tftp: system:
Copy tftp satrup-config
Copy ftp: system: runnig-config
: system: runnig-config
runnig-config
Show configuration (pre-Cisco IOS
release 10.3)
More nvram:startup-config
Write erase (pre-Cisco IOS release 10.3)
Erase starup-config
Erase nvram:
Write erase (pre-Cisco IOS release 10.3)
Copy running-config startup-config
Copy system: running-config
Nvram: startup-config
Write network pre-Cisco IOS release
10.3)
Copy running-config startup-config rcp
Copy running-config startup-config tftp
Copy system: runnig-config ftp:
Copy system: runnig-config crp:
Copy system: runnig-config tftp:
Write terminal pre-Cisco IOS release
10.3)
Show runnig -config
More system: running-config
Hình 5.2.1c
IFS sử dụng quy ước URL để xác định tập tin trên thiết bị và trên mạng. Quy ước
URl xác định vị trí của tập tin đứng sau dâu hai chấm như sau [[[//vị trí]/thư
n]. IFS cũng hỗ truyền tải tập tin FTP.
Cisco phát tri bản này hỗ trợ cho
cách ẫn đang
tiếp
mục]/tên tập ti
5.2.2. Quy ước tên IOS
ển rất nhiều phiên bản IOS khác nhau. Các phiên
piên bản phần cứng với nhiều đặc tính khác nhau. Hiện nay Cisco v
tục phát triển nhiều phiên bản IOS mới.
104
Để , Cisco có một quy luật đặt tên cho IOS.
Mộ o gồm nhiều phần, mỗi phần thể hiện phiên bản phần cứng, các
đặcn
Phầ hiên bản phần
cứnn
Phầ này có hỗ trợ các đặc tính nào. Có
rất nhi chọn lựa. Các đặc tính này được đóng gói trong
Cis ột số đặc tính chứ không có toàn bộ tất cả các
đặcn n loại như sau:
• ơ bản: các đặc tính dành cho từng phiên bản phần cứng, ví dụ: IP, IP/FW.
• ở rộng (Plus): là các đặc tính mở rộng hơn mức cơ bản, ví dụ IP Plus,
IP/FW Plus, Enterprise Plus.
• Mã hoá: vẫn là các đặc tính cơ bản hay mở rộng như trên nhưng có thêm 56
bit để mã hoá. Ví dụ: IP/ATM PLUS IPSEC 56, Plus 56, Enterprise Plus 56.
Từ Cisco IOS phiên bản 12.2 trở đi, đặc tính mã hoá được thiết kế thành 2
loại là k8/k9:
o K8: 64 bit mã hoa trở xuống.
o K9: hơn 64 bit mã hoá.
Phần thứ 3 của tên tập tin cho biết định dạng của tập tin đó. Phần này cho biết IOS
được lưu trong flash dưới dạng nén hay không, rồi IOS sẽ được giải nén để chạy ở
đâu. Nếu IOS lưu trong flash dưới dạng nén thì nó sẽ được giải nén, chép lên RAM
trong quá trình khởi động router. Dạng tập tin như vậy gọi là tập tin không cố định.
Còn loại tập tin có định thì chạy trực tiếp trên flash luôn mà không cần chép lên
RAM.
Phần thứ 4 của tập tin cho biết phiên bản của IOS. Phiên bản càng mới thì số trong
phần này càng lớn.
phân biệt giữa các phiên bản khác nhau
t tên của IOS ba
tíh hỗ trợ và sỗ phát hành.
n đầu tiên của tập tin IOS cho biết IOS này được thiết kế cho p
g ào.
n thứ hai của tên tập tin IOS cho biết tập tin
ều đặc tính khác nhau để
coIOS. Mỗi Cisco IOS chỉ có m
tíh. Bên cạnh đó, các đặc tính này còn được phâ
C
M
105
Hình 5.2.2
5.2.3. Quản lý tập tin cấu hình băng TFTP
Trên Cisco router và switch, tập tin cấu hình hoạt động được để trên RAM và nơi
hải có tập tin
cấu ì ơi mà chúng ta có thể lưu dụ
phò opy running-config
tftp
• nh copy running-config tftp.
FTP server mà bạn định lưu tập tin
Sa à r bằng cách chép tập tin cấu hình đã
lưu
• nning-config.
chỉ IP của TFTP sever.
ấu hình mà mình muốn chép.
rồi.
cấu hình khởi động là NVRAM. Khi bị mất tập tin cấu hình thì ta p
h nh khởi động dự phòng. Một trong những n
ng tập tin cấu hình là TFTP server. Chúng ta dùng lệnh c
để chép tập tin cấu hình lên TFTP server. Sau đây là các bước thực hiện:
Nhập lệ
• Ở dấu nhắc kế tiếp, nhập địa chỉ IP của T
cấu hình.
• Đặt tên cho tập tin hoặc là lấy tên mặc định.
• Xác nhận lại các chọn lựa vừa rồi bằng cách gõ yes.
u n y bạn có thể khôi phục lại cấu hình route
dự phòng trên TFTP server về router. Sau đ ây là các bước thực hiện:
Nhập lệnh copy ru
• Ở dấu nhắc kế tiếp, nhập địa
• Kế tiếp, nhập tên của tập tin c
• Xác nhận lại các chọn lựa
106
Hình 5.2.3a
Hình 5.2.3b
5.2.4. Quản lý tập tin cấu hình bằ dán
M
l
l
ng cách cắt –
ột cách khác để tạo tập tin cấu hình dự phòng là chép lại kết quả hiển thị của
ệnh show running-config. Từ thiết bị đầu cuối kết nối vào router, chúng ta chép
ại kết quả hiển thị của lệnh show running-config rồi dán vào một tập tin văn bản,
107
sau đó lưu lại. Tuy nhiên tập tin văn bản này phải chỉnh sửa lại một chút trước khi
chúng ta có thể sử dụng nó để khôi phục lại cấu hình router.
Sau đây là các bước thực hiện để bạn chép lại tập tin cấu hình khi bạn sử dụng
inal: Hyper Term
1. Chọn Transfer.
2. Chọn Capture Text.
3. Đặt tên cho tập tin văn bản mà chúng ta sẽ chép tập tin cấu hình ra.
4. Chọn Start để bắt đầu quá trình chép.
5. Chọn hiển thị nội dung của tập tin cấu hình bằng lệnh show running-config.
6. Nhấn phím space bar mỗi khi có dấu nhắc “--More--” xuất hiện.
7. Sau khi tập tin cấu hình đã hiển thị đầy đủ, bạn kết thúc quá trình chép bằng
cách:
8. Chọn Transfer.
9. Chọn Capture.
10. Chọn Stop.
Sau khi quá trình chép hoàn tất, bạn cần xoá bớt một số hang trong tập tin cấu hình
để sau này chúng ta có thể sử dụng tập tin văn bản này “dán” lại vào router. Ngoài
ra, bạn có thể them một số hang chú thích vào tập tin cấu hình. Các hàng chú thích
này được bắt đầu bằng dấu chấm th ng.
Bạn có thể sử dụng Notepad để ch n cấu hình. Bạn ở Notepad, chọn
File>Open
• Bất kỳ hàng nào ở sau dòng “End”
Bạn them lệnh no shutdown vào cuối mỗi phần cấu hình của các cổng giao tiếp.
Sau đó chọn File>Save để lưu lại tập tin cấu hình.
an (!) ở đầu hà
ỉnh sửa tập ti
. Chọn tên của tập tin cấu hình mà bạn vừa chép được. Nhấn phím
Open.
Sau đây là những hàng trong tập tin cấu hình mà bạn cần xoá:
• Show running-config
• Building configuration…
• Current configuration:
• -More-
108
Sau này, từ kết nối bằng HyperTerminal bạn có thể khôi phục lại tập tin cấu hình
cho router. Trước tiên, bạn phải xoá hết tập tin cấu hình đang có trong router bằng
lệnh erase startup-config ở chế độ EXEC đặc quyền. Sau đó khởi động lại router
b
.
ép lên router.
• Từng dòng trong tập tin cấu hình sẽ được nhập vào y như lúc bạn gõ lệnh đó
• T
• ạn nhân Ctrl-Z để thoát khỏi
• L
s
ằng lệnh reload.
Sau đây là câc bước thực hiện để chép lại tập tin cấu hình cho router từ kết nối
HyperTerminal:
• Chuyển vào chế độ cấu hình toàn cục.
• Trên HyperTerminal chọn Transfer>Send Text File
• Chọn tên của tập tin cấu hình mà bạn cần ch
vậy.
heo dõi quá trình chép để xem có xảy ra lỗi gì hay không.
Sau khi tập tin cấu hình đã được chép xong, b
chế độ cấu hình toàn cục.
ưu lại thành tập tin cấu hình khởi động bằng lệnh copy running-config
tartup-config.
Hình 5.2.4a: Quá Trình chép tập tin cấu hình từ router
thành tập tin văn bản bằng kết nối HyperTerminal
109
Hình 5.2.4b: Quá trình chép tập tin cấu hình vào router bằng
kết nối HyperTerminal
5
T
ấp cho các router, switch trong hệ thống mạng.
r thường yêu cầu bạn
IOS mới. Router sẽ
c
.2.5. Quản lý Cisco IOS bằng TFTP
hỉnh thoảng router cũng cần lưu dự phòng hoặc nâng cấp IOS. Đầu tiên sau khi
mua router, chúng ta cần lưu lại IOS để dự phòng. Bạn có thể đặt IOS này trên một
server trung tâm chung với các IOS khác. Các IOS này được sử dụng để thay thế
hay nâng c
Server phải có chạy dịch vụ TFTP và chúng ta chép IOS từ server lên router bằng
lệnh copy tftp flash ở chế độ EXEC đặc quyền.
Sau khi nhập lệnh trên, router sẽ hiển thị dấu nhắc yêu cầu bạn nhập địa chỉ IP của
TFTP server. Sau đó router sẽ yêu cầu bạn xoá flash. Route
xoá flash khi bộ nhớ flash không còn đủ chỗ trống để lưu them
hiển thị một chuỗi các chứ “e” trong suốt quá trình xoá flash.
Sau khi xoá xong flash, router bắt đầu tải IOS mới về. Router sẽ hiển thị một chuỗi
ác dấu chấm than (!) trong suốt quá trình chép. Một IOS có thể lớn khoảng vài
Megabyte nên quá trình này cũng sẽ tốn một khoảng thời gian.
110
Sau khi chép xong, router sẽ kiểm tra lại IOS mới trong flash. Sau khi kiểm tra
hoàn tất thì lúc này router đã sẵn sang cho bạn khởi động lại để sử dụng IOS mới.
Hình 5.2.5
5.2.6. Quản lý IOS băng Xmodem
hi khởi động router mà IOS lưu trong flash bị xoá mất ho K ặc bị lỗi thì bạn phải
Nếu trong flash vẫn có một IOS bình thường thì bạn thử khởi động router bằng
IOS này bằng lệnh boot flash:. Ví dụ: nếu trong flash có rommon 1>boot
flash:c2600-is-mz.121-5
Nếu router khởi động bình thường thì có 2 vấn đề bạn cần kiểm tra xem tại sao
router lại khởi động vào chế độ ROMmon mà không khởi động từ IOS trong flash.
Đầu tiên, bạn dung lệnh show version để kiểm tra giá trị của thanh ghi cấu hình
xem có đúng giá trị mặc định hay không. Nếu giá trị thanh ghi cấu hình đúng thì
khôi phục lại IOS từ chế độ ROM monitor (ROMmon). Ở nhiều thiết bị Cisco, chế
độ ROMmon được hiển thị bởi dấu nhắc rommon 1>
Bước đầu tiên bạn cần phải xác định xem tại sao router không tải được IOS từ
flash. Nguyên nhân là do mất IOS hay IOS bị lỗi. Bạn kiểm tra flash bằng lệnh dir
flash:
111
bạn dung lệnh show startup-config để xem có lệnh boot system nào cấu hình cho
router khởi động vào chế độ ROM monitor hay không.
Nếu router vẫn không khởi động được hoặc là bạn không thấy có IOS nào trong
flash thì bạn cần phải chép một IOS mới. Từ chế độ ROMmon, bạn có thể chép tập
tin IOS bằng Xmodem qua đường console hoặc bằng TFTP.
Chép IOS bằng Xmodem từ chế độ ROMmon.
Trước tiên, bạn cần phải có tập tin IOS trên máy tính như HyperTerminal chẳng
hạn. Bạn có thể chép IOS với tốc độ mặc định của đường console là 9600, hoặc là
bạn có thể nâng tốc độ lên 115200. Trong chế độ ROMmon, bạn dùng lệnh
confreg, router sẽ hiển thị các giá trị mà bạn có thể thay đổi được.
Sau đó bạn sẽ gặp câu hỏi “change console baud rate? y/n [n];”, nhập chữ y để xác
nhận tốc độ mới. Sau khi thay đổi nsole và khởi động lại router vào
chế độ ROMmon, bạn nên kết thúc phiên k i cũ (tốc độ 9600) và thiết lập lại
phiên kết nối HyperTerminal mới với tốc độ mới là 115200 bit/s.
tốc đường co
ết nố
Hình 5.2.6a
ờ bạn dùng lệnh xmode Bây gi m để chép phần mềm IOS từ PC. Cấu trúc câu lệnh
này h e_file_name. Ví dụ: bạn chép IOS có tên là
“c2 0
n ư sau: xmodem –c imag
60 -is-mz.122-10a.bin” thì bạn gõ lệnh như sau:
112
Xmodem –c c2600-í-mz.122-10a.bin
k
S
Tham số -c là để cho quá trình Xmodem sử dụng CRC (Cyclic Rađunancy Check)
iểm tra lỗi trong suốt quá trình chép.
au đó router sẽ hiển thị một dòng thông báo chưa bắt đầu quá trình chép và một
thông điệp cảnh báo. Thông điệp này cảnh báo là nội dung bộ nhớ flash sẽ bị mất
nếu chúng ta tiếp tục quá trình này và yêu cầu chúng ta xác nhận có tiếp tục hay
không. Nếu chúng ta xác nhận cho tiếp tục thì router sẽ bắt đầu thực hiện chép
IOS.
Hình 5.2.6b: Lệnh Xmodem
úc này bạn cần cho bắt đầu quá trình Xmodem từ chương trình giả lập đầu cuối.
Trong HyperTerminal bạn chọn Transfer>Send File. Trong cửa sổ của Send File:
bạn chọn tên và vị trí lưu tập tin IOS, chọn giao thức là Xmodem, rồi bắt đầu quá
trinh truyền. Trong suốt quá trình truyền, ửa sổ Send File sẽ hiển thị trạng thái
truyền.
Khi quá trình truyền hoàn tất, bạn sẽ gặp một thông điệp cho biết là bộ nhớ flash
đang bị xoá, sau đó IOS được chép vào flash. Cuối cùng bạn gặp thông điệp
“Dowbload Complete!”. Trước khi khởi động lại router, bạn cần phải cài đặt lại tốc
L
c
113
độ đường cốnle là 9600 và đặt lại giá trị thanh ghi cấu hình là 0x2102 bằng lệnh
config-register 0x2102.
Trong lúc router đang khởi động lại thì bạn nên kết thúc phiên kết nối 115200 và
thiết lập lại phiên kết nối mới với tộc độ 9600.
5.2.7. Biến môi trường
Bạn có thể khôi phục IOS bằng TFTP. Chép IOS bằng TFTP trong chế độ
ROMmon là cách nhanh nhất để khôi phục IOS cho router. Để thực hiện cách này,
bạn cài đặt biến môi trường rồi dùng lệnh tftpdnld.
Chế độ ROMmon có chức năng rất giới hạn vì chưa tải được tập tin cấu hình khi
khởi động router. Do đó router không hề có IP hay cấu hình cho cổng giao tiếp
nào. Các biến môi trường sẽ cung cấp cho router một cấu hình tối thiể cho phép
chạy TFTP để chép IOS. TFTP tr OMmon chỉ hoạt động được với
c bạn cần cài đặt các đặc tính IP cho cổng
LAN này. ến môi trường, đầu tiên bạn nhập tên biến,
ti biến đó (TÊN BIẾN = giá trị cài
đ
R
S ld:
T_GATEWAY: đường mặc định cho cổng LAN.
• TFTP_SERVER: địa chỉ IP của TFTP server.
server.
Để ng, bạn dùng lệnh set.
u
ong chế độ R
ổng LAN đầu tiên trên router, do đó
Để cài đặt giá trị cho các bi
ếp theo là dấu bằng (=) rồi đến giá trị cài đặt cho
ặt). Vi dụ: bạn muốn đặt địa chỉ IP là 10.0.0.1 thì ở dấu nhắc của chế độ
OMmon bạn nhập câu lệnh là: IP_ADDRESS=10.0.0.1
au đây là các biến tối thiểu mà bạn cần phải đặt để sử dụng cho lệnh tfpđn
• IP_ADDRESS: địa chỉ IP cho cổng LAN.
• IP_SUBNET_MASK:subnet mask cho cổng LAN.
• DEFAUL
• TFTP_FILE: tên tập tin IOS lưu trên
kiểm tra lại giá trị của các biến môi trườ
114
Hình 5.2.6c: Cửa sổ Send File
Sau khi cài đặt xong các biến m ệnh tftpdnld, không có tham
số nào tiếp theo hết. Router sẽ hiển thị lại giá trị các biến, theo sau là thông điệp
nh báo quá trình này sẽ xoá flash và yêu cầu chúng ta xác nhận có cho tiếp tục
i động lại với IOS mới trong flash.
rsion. Lệnh show version có thể kiểm tra được tập tin hiện tại
trong flash và tổng dung lượng của bộ nhớ flash. Ngoài ra lệnh này còn cung cấp
ôi trường, bạn nhập l
cả
quá trình này hay không.
Trong quá trình chép, router hiển thị dấu chấm than (!) cho biết đã nhận được các
gói dữ liệu. Sau khi nhận xong tập tin IOS, router bắt đầu xoá flash rồi chép tập tin
IOS mới vào flash. Bạn sẽ gặp một thông báo khi quá trình này hoàn tất.
Sau đó, từ dấu nhắc của chế độ ROMmon, bạn có thể khởi động lài router bằng
cách nhập chữ i. Router sẽ khở
5.2.8. Kiểm tra tập tin hệ thống
Có rất nhiều lệnh để kiểm tra tập tin hệ thống của router. Trong đó bạn có thể sử
dụng lệnh show ve
thêm một số thông tin về lần tải IOS gần nhất như: trong lần khởi động gần nhất,
router tải IOS nào, từ đâu; giá trị thanh ghi cấu hình hiện tại là bao nhiêu. Nếu vị
trí mà router tải IOS trong flash đã bị mất hoặc bị lỗi, hoặc là có lệnh boot system
trong tập tin cấu hình khởi động.
115
Bên cạnh đó, bạn có thể dùng lênh show flash để kiểm tra tập tin hệ thống. Lệnh
này kiểm tra được trong flash hiện đang có tập tin IOS nào, tổng dung lượng flash
còn trống là bao nhiêu. Chúng ta thường dùng lệnh này để xem bộ nhớ flash có đủ
c lệnh boot system. Lệnh
ng. Chúng ta có thể cấu
hình và router sẽ thực thi theo thứ tự các câu lệnh này trong
tập
R
Router#show version
C
I
SOFTWARE (fc1)
C
Complie Thu 19-Jun-03 16:35 by pwade
I
ROM: System
f
S
S
S
C memory
Processor board ID 23101339, w
B
X
Super LAT software (copyright 1990 by Meridian Technology Corp)
TN3270 Em
Basic Rae ISDN software, Version 1.1.
1 FastEthernet/IEEE 802.3 interface(s)
2 Low-speed serial (sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-voltatile configuration memory.
16384K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
dung lượng cho IOS mới hay không.
Như các phần trên đã đề cập, tập tin cấu hình có thể có cá
boot system xác định cho router vị trí tải IOS khi khởi độ
nhiều lệnh boot system
tin cấu hình.
outer# show version
isco Interface Operating System Software
OS (tm) C2600 Software (C2600-JK803S-M), Version 12.2 (17a), RELEASE
opyright (c) 1986-2006 by Cisco System, Inc
mage text-base: 0x8000808C, data-base: 0x815F7B34
Bootstrap, Version 12.2 (7r) [cmong 7r], RELEASE SOFTWARE
c1)
GCTT-HCM uptime 1 week, 1 day, 1 hour, 9 minutes
ystem restarted by power-on
ystem image file is “flash:c2500-d-l.120-10”
isco 2500 (68030) processor (revision N) with 2048K/2048 K bytes of
ith hardware revise 00000000
ridging software
25 software, Version 3.0.0
ulation software
Hình 5.2.8a
116
TỔNG KẾT
Sau
.
đây là các ý chính các bạn cần nắm được trong chương này:
• Xác định quá trình khởi động router.
• Nắm được các thiết bị Cisco tìm và tải IOS như thế nào.
• Sử dụng lệnh boot system.
• Xác định giá trị thanh ghi cấu hình
• Xử lý sự cố.
• Xác định tập tin Cisco IOS và chức năng của nó.
• Nắm được các vị trí mà router lưu các loại tập tin khác nhau.
• Nắm được cấu trúc tên của IOS.
• Quản lý tập tin cấu hình bằng TFTP.
• Quản lý tập tin cấu hình bằng cắt – dán.
• Quản lý IOS bằng TFTP.
• Quản lý IOS bằng Xmodem.
• Kiểm tra tập tin hệ thồng bằng các lệnh show.
117
CHƯƠ G 6
ĐỊNH TUYẾN VÀ CÁ ỨC ĐỊNH TUYẾN
GIỚI THIỆU
Định tuyến đơn giản chỉ là tìm đường đi từ mạng này đến mạng khác. Thông tin về
những con đường này có thể là được cập nhật tự động từ các router khác hoặc là do
người quản trị mạng chỉ định cho router.
Chương này sẽ giới thiệu các khái niệm về định tuyến động, các loại giao thức
định tuyến động và phân tích mỗi loại một giao thức tiêu biểu.
Người quản trị mạng khi chọn lựa một giao thức định tuyến động cần cân nhắc một
số yếu tố như: độ lớn của hệ thống mạng, băng thông các đường truyền, khả năng
của router. loại router và phiên bản router, các giao thức đang chạy trong hệ thống
mạng. Chương này mô tả chi tiết về sự khác nhau giữa các giao thức định tuyến để
giúp cho nhà quản trị mạng trong việc chọn lựa một giao thức định tuyến.
Khi hoàn tất chương này, các bạn sẽ thực hiện được những việc sau:
• Giải thích được ý nghĩa của định tuyến tĩnh.
• Nhận biết giao thức định tuyến theo vectơ khoảng cách.
g tin định
tuy
6.1 Giớ
6.11
N
C GIAO TH
• Cấu hình đường cố định và đường mặc định cho router.
• Kiểm tra và xử lý sự cố liên quan đến đường cố định và đường mặc định của
router.
• Phân biệt các loại giao thức định tuyến.
• Nhận biết giao thức định tuyến theo trạng thái đường liên kết.
• Mô tả đặc điểm cơ bản của các giao thức định tuyến thông dụng.
• Phân biệt giao thức định tuyến nội bộ.
• Phân biệt giao thức định tuyến ngoại vi.
• Cấu hình RIP (Routing Information Protocol – Giao thức thôn
ến) cho router.
i thiệu về định tuyến tĩnh
.Giới thiệu về định tuyến
118
Định u
.Tất cả a vào địa chỉ IP đích của gói dữ liệu để
chuy điều này
,
t thì router tự động học những thông tin này từ các router khác .Còn nếu
r
c
Đ
n
m
đ
m
m
t
r
t h
tuyến động cho một số mục đích đặc biệt.
6.1.2. Hoạt động của định tuyến tĩnh.
Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau:
ấu hình các đường cố định cho router
• Router cài đặt các đường đi này vào bảng định tuyến .
• Gói dữ liệu được định tuyến theo các đường cố định này .
Người quản trị mạng cấu hình đường cố định cho router bằng lệnh iproute.Cú
pháp của lệnh iproute như hình 6.1.2a:
t yến là quá trình mà router thực hiện để chuyển gói dữ liệu tới mạng đích
các router dọc theo đường đi đều dự
ển gói theo đúng hướng đến đích cuối cùng .Để thực hiện được
router phải học thông tin về đường đi tới các mạng khác .Nếu router chạy định
uyến động
outer chạy định tuyến tĩnh thì người quản trị mạng phải cấu hình các thông tin đến
ác mạng khác cho router .
ối với định tuyến tĩnh ,các thông tin về đường đi phải do người quản trị mạng
hập cho router .Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người quản trị
ạng phải xoá hoặc thêm các thông tin về đường đi cho router .Những loại đường
i như vậy gọi là đường đi cố định .Đối với hệ thống mạng lớn thì công việc bảo trì
ạng định tuyến cho router như trên tốn rất nhiều thời gian .Còn đối với hệ thống
ạng nhỏ ,ít có thay đổi thì công việc này đỡ mất công hơn .Chính vì định tuyến
ĩnh đòi hỏi người quản trị mạng phải cấu hình mọi thông tin về đường đi cho
outer nên nó không có được tính linh hoạt như định tuyến động .Trong những hệ
hống mạng lớn ,định tuyến tĩnh thường được sử dụng kết hợp với giao thức địn
• Đầu tiên ,người quản trị mạng c
Hình 6.1.2a
119
Trong 2 hình 6.1.2.c và 6.1.2.c là 2 câu lệch mà người quản trị của router Hoboken
cấu hình đường cố định cho router đến mạng 172.16.1.0/24 và 172.16.5.0/24 .Ở
hình 6.1.2.b,câu lệnh này chỉ cho router biết đường đến mạng đích đi ra bằng cổng
giao tiếp nào .Còn ở hình 6.1.2.c ,câu lệnh này chỉ cho router biết địa chỉ IP của
router kế tiếp là gì để đến được mạng đích .Cả 2 câu lệnh đều cài đặt đường cố
định vào bảng định tuyến của router Hoboken.Điểm khác nhau duy nhất giữa 2
câu lệnh này là chỉ số tin cậy của 2 đường cố định tương ứng trên bảng định tuyến
của router sẽ khác nhau.
Hình 6.1.2.b
Hình 6.1.2.c
Chỉ số tin cậy là một thông số đo lường độ tin cậy của một đường đi .Chỉ số này
àng thấp thì độ tin cậy càng cao .Do đó ,nếu đến cùng một đích thì con đường
ỉ số tin cậy thấp hơn thì đườ
c
nào có ch ng đó được vào bảng định tuyến của router
ụng địa chỉ IP của trạm kế tiếp sẽ có chỉ
số tin cậy mặc định là 1,còn đường cố định sử dụng cổng ra thì có chỉ số tin cậy
trước .Trong ví dụ trên,đường cố định sử d
120
mặc định là 0 .Nếu bạn muốn chỉ định chỉ số tin cậy thay vì sử dụng giá trị mặc
đị ố về cổng ra/địa chỉ IP trạm kế của
trong khoảng từ 0 đến 255.
Wa 6.3.0 255.255.255.0 172.16.4.1.130
Đ
t
đ ố tin cậy của đường cố định
6
Sau đây là các bước để cấu hình đường cố ịnh :
1. Xác định tất cả các mạng đ hình ,subnet mask tương ứng và
gateway tương ứng .Gateway có thể là cổng giao tiếp trên router hoặc là địa
chỉ của trạm kế tiếp để đến được mạng đích .
2. Bạn vào chế độ cấu hình toàn cục của router .
3. Nhập lệnh ip route với địa chỉ mạng đích ,subnet mask tương ứng và
gateway tương ứng mà bạn đã xác định ở bước 1.Nếu cần thì bạn thêm
thông số về chỉ số tin cậy .
4. Lặp lại bước 3 cho những mạng đích khác
5. Thoát khỏi chế độ cấu hình toàn cục ,
6. Lưu tập tin cấu hình đang hoạt động thành tập tin cấu hình khởi động bằng
lệnh copy running –config statup-config.
Hình 6.1.3 là ví dụ về cấu hình đường cố định với cấu trúc mạng chỉ có 3 router
kết nối đơn giản .Trên router Hoboken chúng ta phải cấu hình đường đi tới mạng
172.16.1.0 và 172.16.5.0.Cả 2 mạn subnet mask là 255.255.255.0
Khi router Hoboken định tuyến cho các g đến mạng đích là 172.16.1.0 thì nó sử
dụng các đường đi cố định mà ta đã cấu hình cho router để định tuyến tới router
Sterling ,còn gói nào đến mạng đích là 172.16.5.0 thì định tuyến tới router
Waycross.
nh thì bạn thêm thông số này vào sau thông s
câu lệnh .Giá trị của chỉ số này nằm
ycross (config)# ip router 172.1
Nếu router không chuyển được gói ra cổng giao tiếp đã được cấu hình thì có nghĩa
là cổng giao tiếp đang bị đóng,đường đi tương ứng cũng sẽ không được đặt vào
bảng định tuyến .
ôi khi chúng ta sử dụng đường cố định làm đường dự phòng cho đường định
uyến động .Router sẽ chỉ sử dụng đường cố định khi đường định tuyến động bị
ứt .Để thực hiện điều này ,bạn chỉ cần đặt giá trị chỉ s
cao hơn chỉ số tin cậy của giao thức định tuyến động đang sử dụng là được .
.1.3. Cấu hình đường cố định
đ
ích cần cấu
g này đều có
ói
121
Hình 6.1.3
Ở
ng cố định cho router thông
8.1.0 có địa chỉ của router
kế tiếp là 172.16.2.1,đường tới mạng 172.16.5.0 có địa chỉ của router kế tiếp là
chuyển gói đi
mà router sẽ sử dụng trong trường hợp router không tìm
ịnh tuyến để tới đích của gói dữ liệu
khung phía trên của hình 6.1.3,cả 2 câu lệnh đều chỉ đường cố định cho router
thông qua cổng ra trên router .Trong câu lệnh này lại không chỉ định giá trị cho chỉ
số tin cậy nên trên bảng định tuyến 2 đường cố định nay có chỉ số tin cậy mặc định
là 0.Đường có chí số tin cậy bằng 0 là tương đương với mạng kết nối trực tiếp vào
router .
Ở khung bên dưới của hình 6.1.3, 2 câu lênh chỉ đườ
qua địa chỉ của router kế tiếp .Đường tới mạng 172.16
172.16.4.2 .Trong 2 câu này cũng không chỉ định giá trị cho chỉ số tin cậy nên 2
đường cố định tương ứng sẽ có chỉ số tin cậy mặc định là 1.
6.1.4 Cấu hình đường mặc định cho router
Đường mặc định là đường
thấy đường đi nào phù hợp trong bảng đ
122
.Chúng ta thường cấu hình đường mặc định cho đường ra Internet của router vì
router không cần phải lưu thông tin định tuyến tới từng mạng trên Internet .Lệnh
u hình đường mặc định thực chất cũng là lệnh cấu hình đường cố định ,cụ thể là
ệnh như sau:
ddress/outgoing interface ]
rou ẽ được định tuyến
tới n
Sau
là 0.0.0.0.
ổng giao tiếp trên router kế tiếp .Thông
thường thì chúng ta nên sử dụng địa chỉ IP của router kế tiếp làm gateway .
lệnh copy
và tới mạng 1720160.5.0
trên router Waỷcoss để chỉ đường tới từng mạng một .Nhưng cách này thì không
phả
Sterlin c mạng khác thông qua một cổng Serial 0 mà thôi
.Tư ột kết nối đến tất cả các mạng
sử dụng đường mặc định để định
tuyế c tiếp vào nó .
cấ
câu l
Ip route 0.0.0.0.0.0.0.0[next –hop-a
Subnet 0.0.0.0 khi được thực hiện phép toán AND logic với bất kỳ địa chỉ IP đích
nào cũng có kết quả là mạng 0.0.0.0 .Do đó ,nếu gói dữ liệu có địa chỉ đích mà
terkhông tìm được đường nào phù hợp thì gói dữ liệu đó s
mạ g 0.0.0.0.
đây là các bước cấu hình đường mặc định :
• Vào chế độ cấu hình toàn cục ,
Nhập lệnh ip route với mạng đích là 0.0.0.0 và subnet mask tương ứng
Gateway của đường mặc định có thể là c
• Thoát khỏi chế độ cấu hình toàn cục ,
• Lưu lại thành tập tin cấu hình khởi động trong NVPAM bằng
running –config.
Tiếp tục xét ví dụ trong phần 6.1.3 :router Hoboken đã được cấu hình để định
tuyến dữ liệu tới mạng 172.16.1.0 trên router Sterling
i là một giải pháp hay cho những hệ thống mạng lớn.
g kết nối đến tất cả cá
ơng tự waycrooss cũng vậy .Waycross chỉ có m
khác thông qua cổng Serial 1 mà thôi .Do đó chúng ta cấu hình đường mặc định
cho Sterling và và Waycrooss thì 2 router này sẽ
n cho gói dữ liệu đến tất cả các mạng nào không kết nối trự
123
Hình 6.1.4a
Hình 6.1.4b
6.1.5.Kiểm tra cấu hình đường cố định
Sau khi cấu hình đường cố định ,chúng ta phải kiểm tra xem bảng định tuyến đã
có đường ,cố định mà chúng ta đã cấu hình hay chưa ,hoạt động định tuyến có
đúng hay không .Bạn dùng lệnh show running –config để kiểm tra nội dung tập tin
124
cấu hình đang chạy trên RAM xem hình đường cố định đã được nhập
vào ệnh show ip route để xem có đường cố định
ông .
• Kiểm tra xem câu lệnh –cấu hình đường cố định có đúng không .Nếu không
eroute cho thấy router Sterling
waycross.Chúng ta telnet vào router Hoboken .Từ router Hoboken chúng ta thử
ping ạng 172.16.5.0 .Lệnh ping này sẽ thành công vì Hoboken
kết nối trực tiếp với waycross.
câu lệnh cấu
đúng chưa .Sau đó bạn dùng l
trong bảng định tuyến hay kh
Sau đây là các bước kiểm tra cấu hình đường cố định :
• Ở chế độ đặc quyền ,bạn nhập lệnh show running-config để xem tập tin
cấu hình đang hoạt động .
đúng thì bạn phải vào lại chế độ cấu hình toàn cục ,xoá câu lệnh sai đi và
nhập lại câu lệnh mới .
• Nhập lệnh show ip roule.
• Kiểm tra xem đường cố định mà bạn đã cấu hình có trong bảng định tuyến
hay không
6.1.6. Xử lý sự cố
Xét ví dụ trong phần 6.1.3:router Hoboken đã được cấu hình đường cố định tới
mạng 172.16.1.0 trên Sterling và tới mạng 172.16.5.0 trên waycross .Với cấu hình
như vậy thì node trong mạng 172.16.1.0 ở Sterling không thể truyền dữ liệu cho
node trong mạng 172.16.5.0 được .Bây giờ trên router Sterling ,bạn thực hiện
lệnh ping tới một node trong mạng 172.16.5.0.Lệnh ping không thành công .Sau
đó bạn dùng lệnh traceroute đến node mà bạn vừa mới ping để xem lệnh
traceroute bị rớt ở đâu .Kết quả của câu lệnh trac
nhận được gói ICMP trả lời từ router Hoboken mà không nhận được từ router
đến node trong m
125
Hình 6.1.6a
Hình 6.1.6b
126
Hình 6.1.6c
6.2 Tổng quan về định tuyến động
6.2.1 Giới thiệu về giao thức định tuyến động
Giao thức định tuyến khác với giao thức được định tuyến cả về chức năng và
nhiệm vụ .
Giao thức định tuyến được sử dụng để giao tiếp giữa các router với nhau.
Giao thức định tuyến cho phép router này chia sẻ các thông tin định tuyến mà nó
biết cho các router khác .Từ đó ,các router có thể xây dựng và bảo trì bảng định
tuyến của nó.
Sau đây là một số giao thức định tu
ing information Protocol(RIP)
• Interior Gateway Routing Protocol(IGRP)
Còn ệu của
ngư
chỉ lớp
trúc đị
yến :
• Rout
• Enhanced Inteior Gateway Routing Protocol(EIGRP)
• Open Shortest Path First(OSPF)
dữ li giao thức được định tuyến thì được sử dụng để định hướng cho
ời dùng .Một giao thức được định tuyến sẽ cung cấp đầy đủ thông tin về địa
mạng để gói dữ liệu có thể truyền đi từ host này đến host khác dựa trên cấu
a chỉ đó .
127
Sau
6.2.2.Autonmous sytem(AS) (H thống tự quản )
Hệ ới cùng một cơ chế quản
trị v ột đơn vị .
Tổ chứ Internet
Num e số cho mỗi AS .Chỉ số này dài 16 bit .Một số
giao th hư giao thức IRGP của Cisco,đòi hỏi phải có số AS
xác n
đây là các giao thức được định tuyến:
• Internet Protocol (IP)
• Internetwork Packet Exchange(IPX)
ệ
tự quản (AS) là một tập hợp các mạng hoạt động dư
ề định tuyến .Từ bên ngoài nhìn vào ,một AS được xem như m
c Đăng ký số Internet của Mỹ (ARIN-American Regitry of
b rs)là nơi quản lý việc cấp
ức định tuyến ,ví dụ n
đị h khi hoạt động .
Hình 6.2.2:Một AS là bao gồm các router hoạt động dưới cùng
một cơ chế quản trị
6.2.3. Muc đích của giao thức định tuyến và hệ thống tự quản
Múc đích của giao thức định tuyến là xây dựng và bảo trì bảng định tuyến .Bảng
định tuyến này mang thông tin về các mạng khác và các cổng giao tiếp trên router
đến các mạng này .Router sử dụng giao thức định tuyến để quản lý thông tin nhận
được từ các router khác ,thông tin từ cấu hình của các cổng giao tiếp và thông tin
cấu hình các đường cố định .
128
Giao thức định tuyến cấp nhật về ng ,chọn đường tốt nhất đặt vào
bảng định tuy
sử dụng thức
đ .
ịnh tuyến động hoạt động trên cơ sở các thuật toán định tuyến .Khi cấu trúc mạng
hức định tuyến
ản sao của bảng định tuyến
hông tin từ router A .Sau
tăng số
hol
định ảng định tuyến này cho router láng giềng khác là router
C.
Chuy ter lán giềng theo định kỳ
tất cả các đườ
ến và xoá đi khi đường đó không sử dụng được nữa .Còn router thì
thông tin trêng bảng định tuyến để chuyển gói dữ liệu của các giao
ược định tuyến
Đ
có bất kỳ thay đổi nào như mở rộng thêm ,cấu hình lại ,hay bị trục trặc thì khi đó ta
nói hệ thống mạng đã được hội tụ .Thời gian để các router đồng bộ với nhau càng
ngắn càng tốt vì khi các router chưa đồng bộ với nhau về các thông tin trên mạng
thì sẽ định tuyến sai.
Với hệ thống tự quản (AS) ,toàn bộ hệ thống mạng toàn cầu được chia ra thành
nhiều mạng nhỏ, dể quản lý hơn.Mỗi AS có một số AS riêng ,không trùng lặp với
bất kỳ AS khác ,và mỗi AS có cơ chế quản trị riêng của mình .
6.2.5 Phân loại các giao t
Đa số các thuật toán định tuyến được xếp vào 2 loại sau :
• Vectơ khoảng cách
• Trạng thái đường liên kết .
Định tuyến theo vectơ khoảng cách thực hiện truyền b
từ router này sang router khác theo định kỳ .Việc cập nhật định kỳ giữa các router
giúp trao đổi thông tin khi cấu trúc mạng thay đổi .Thuật toán định tuyến theo
véctơ khoảng cách còn được gọi là thuật toán Bellman-Ford.
Mỗi router nhận được bảng định tuyến của những router láng giềng kết nối trực
tiếp với nó .Ví dụ như hình 6.2.5a :router B nhận được t
đó router B sẽ cộng thêm khoảng cách từ router B đến router (ví dụ như
p ên )vào các thông tin định tuyến nhận được từ A.Khi đó router B sẽ có bảng
tuyến mới và truyền b
Quá trình này xảy ra tương tự cho tất cả các router láng giềng khác.
ển bảng định tyến cho rou
129
và n h tí h lại vectơ khoảng các
Hình 6.2.5.a
Router thu thập thông tin về khoảng cách đến các mạng khác ,từ đó nó xây dựng
và bảo trì một cơ sở dữ liệu về thông tin định tuyến trong mạng. Tuy nhiên , hoạt
động theo thuật toán vectơ khoảng cách như vậy thì router sẽ không biết được
chính xác cấu trúc của toàn bộ hệ thống mạng mà chỉ biết được các router láng
giềng kết nối trực tiếp với nó mà thôi .
Khi sử dụng định tuyến theo vectơ khoảng cách ,bước đầu tiên là router phải xác
định các router láng giềng với nó .Các mạng kết nối trực tiếp vào cổng giao tiếp
của router sẽ có khoảng cách là 0.Còn đường đi tới các mạng không kết nối trực
tiếp vào router thì router sẽ chọn đường tốt nhất dựa trên thông tin mà nó nhận
đượctừ các router láng giềng .Ví dụ như hình vẽ 6.2.5b :router A nhận được thông
tin về các mạng khác từ router B .Các thông tin này được đặt trong bảng định
tuyến với vectơ khoảng cách đã được tính toán lại cho biết từ router A đến mạng
đích thì đi theo hướng nào ,khoảng cách bao nhiêu.
Bảng định tuyến được cập nhật khi c ạng có sự thay đổi .Quá trình cập
nhật này cũng diễn ra từng bước m này đến router khác.Khi cập nhật
ộ bảng định tuyến của nó cho các router láng giềng
ấu trúc m
ột từ router
,mỗi router gửi đi toàn b
130
.Trong bảng định tuyến có thông tin về đường đi tới từng mạng đích :tổng chi phí
cho đường đi ,địa chỉ của router kế tiếp .
Hình 6.2.5b
Hình 6.2.5c
131
Một ví dụ tương tự vectơ khoảng cách mà bạn thường thấy là bảng thông tin chỉ
đường ở các giao lộ đường cao tốc .Trên bảng này có các ký hiệu cho biết hướng
đi tới đích và khoảng cánh tới đó là bao xa.
6.2.6. Đặc điểm của giao thức định tuyến theo trạng thái đường liên kết
Thuật toán định tuyến theo trạng thái đường liên kết là thuật toán Dijkstras hay
đường liên kết sử dụng những công cụ sau:
• Thông điệp thông báo trạng thái đường liên kết (LSA-Link-state
• Bảng định tuyến :chứa danh sách các đường đi đã được chọn lựa .
Quá trình thu thập thông tin mạng để thực hiện định tuyến theo trạng thái đường
liên kết:
Mỗi router bắt đầu trao đổi LSA với tất cả các router khác, trong đó LSA mang
cơ sở dữ liệu dựa trên thông tin của các LSA.
Mỗi router tiến hành xây dựng lại cấu trúc mạng theo dạng hình cây với bản than
nó là gốc ,từ đó router vẽ ra tất cả các đường đi tới tất cả các mạng trong hệ thống
.Sau đó thuật toán SPF chọn đường ngắn nhất để đưa vào bảng định tuyến. Trên
bảng định tuyến sẽ chứa thông tin về các đường đi đã được chọn với cổng ra
tương ứng.Bên cạnh đó, router vẫn tiếp tục duy trì cơ sở dữ liệu về cấu trúc hệ
thống mạng và trạng thái của các đường liên kết. Router nào phát hiện cấu trúc
mạng thay đổi đầu tiên sẽ phát thông tin cập nhật cho tất cả các router
khác.Router phát gói LSA, trong đó có thông tin về router mới, các thay đổi về
trạng thái đường liên kết. Gói LSA hát đi cho tất cả các router khác.
còn gọi là thuật toán SPF (Shortest Path First tìm đường ngắn nhất).Thuật toán
định tuyến theo trạng thái đường liên kết thực hiện việc xây dựng và bảo trì một
cơ sở dữ liệu đầy đủ về cấu trúc của toàn bộ hệ thống mạng .
Định tuyến theo trạng thái
Advertisement): LSA là một gói dữ liệu nhỏ mang thông tin định tuyến
được truyền đi giữa các router .
• Cơ sở dữ liệu về cấu trúc mạng :được xây dựng từ thông tin thu thập được
từ các LSA .
• Thuật toán SPF :dựa trên cơ sở dữ liệu về cấu trúc mạng ,thuật toán SPF sẽ
tính toán để tìm đường ngắn nhất .
này được p
132
Hình 6.2.6a
outer có cơ sở dư liệu riêng về cấu trúc mạng và thuật toán SPF thực hiện
án dựa trên cơ sở dữ liệu này .
Mỗi r
tính to
Hinh 6.2.6b
133
Khi router nhận được gói LSA thì nó sẽ cập nhật lại cơ sở dữ liệu của nó với
thông tin mới vừa nhận được. Sau đó SPF sẽ tính lại để chọn đường lại và cập
nhật lại cho bảng định tuyến .
Định tuyến theo trạng thái đường liên kết có một số nhược điểm sau:
• Bộ sử lý trung tâm của router phải tính toán nhiều
• Đòi hỏi dung lương bộ nhớ phải lớn
• Chiếm dụng băng thông đường truyền
Router sử dụng định tuyến theo trạng thái đường liên kết sẽ phải cần nhiều bộ nhớ
hơn và hoạt động xử lý nhiều hơn là sử dụng định tuyến theo vectơ khoảng cách
.Router phải có đủ bộ nhớ để lưu cơ sở dữ liệu về cấu trúc mạng ,bảng định tuyến
.Khi khởi động việc định tuyến ,tất cả các router phải gửi gói LSA cho tất cả các
g. Nhưng sau khi các
router đã thu thập đủ thông tin để xây dựng cơ sở dữ liệu về cấu trúc mạng thì
băng thông đường truyền không bị chiếm dụng nữa .Chỉ khi nào cấu trúc mạng
thay đổi thì router mới phát gói LSA để cập nhật và những gói LSA này chiếm
một phần băng thông rộng rất nhỏ .
6.3 Tổng quát về giao thức định tuyến
6.3.1. Quyết định chọn đường đi
Router có 2 chức năng chính là :
• Quyết định chọn đường đi
• Chuyển mạch
Quá trình chọn đường đi được thự ạng.Router dựa vào bảng định
tuyến để chọn đường cho gói dữ liệu ,sau khi quyết định đường ra thì router thực
router khác,khi đó băng thông đường truyền sẽ bị chiếm dụng làm cho băng thông
dành cho đường truyền dữ liệu của người dùng bị giảm xuốn
c hiện ở lớp M
hiện việc chuyển mạch để phát gói dữ liệu .
Chuyển mạch là quá trình mà router thực hiện để chuyển gói từ cổng nhận vào ra
cổng phát đi .Điểm quan trọng của quá trình này là router phải đóng gói dữ liệu
cho phù hợp với đường truyền mà gói chuẩn bị đi ra
Trong các hình 6.3.1a-6.3.1e cho thấy cách mà router sử dụng địa chỉ mạng để
quyết định chọn đường cho gói dữ liệu .
134
Hình 6.3.1a
Hình 6.3.1b
135
Hình 6.3.1c
Hình 6.3.1d
Hình 6.3.1e
u hình toàn
nh toàn cục
RIP
định tuyến ,công việc
ử dụng broadcst và
c router .Router sẽ dựa vào thông số định
tuyến để chọn đường tốt nhất tới từng mạng đích.
6.3.2 Cấu hình định tuyến
Để cấu hình giao thức định tuyến ,bạn cần cấu hình trong chế độ cấ
cục và cài đặt các đặc điểm định tuyến .Bước đầu tiên ,ở chế độ cấu hì
,bạn cần khởi động giao thức định tuyến mà bạn muốn ,ví dụ như
,IRGP,EIGRP hay OSPF. Sau đó ,trong chế độ cấu hình
chính là bạn khái báo địa chỉ IP .Định tuyến động thường s
multicast để trao đổi thông tin giữa cá
136
Lệ
Lệ
th
ức TCP/IP , router sử dụng một giao thức định tuyến
IP thức định tuyến IP:
ạng thái đường liên kết
• BGP- giao thức định tuyến ngoại theo vectơ khoảng cách
tion Protocol)được định nghĩa trong RPC 1058.
a đường truyền làm thông
nh router dùng để khởi động giao thức định tuyến .
nh network dùng để khai báo các cổng giao tiếp trên router mà ta muốn giao
ức định tuyến gửi và nhận các thông tin cập nhật về định tuyến .
Sau đây là các ví dụ về cấu hình định tuyến:
GAD(config)#router rip
GAD(config-router)#network 172.16..0.0
Địa chỉ mạng khai báo trong câu lệnh network là địa chỉ mạng theo lớp A,B,hoặc
C chứ không phải là địa chỉ mạng con (subnet)hay địa chỉ host riêng lẻ .
6.3.3 Các giao thức định tuyến
ở lớp Internet của bộ giao th
để thực hiện việc định tuyến .Sau đây là một số giao
• RIP – giao thức định tuyến nội theo vectơ khoảng cách
• IGRP- giao thức định tuyến nội theo vectơ khoảng cách Cisco.
OSPF – giao thức đị • nh tuyến nội theo tr
• EIGRP- giao thức mở rộng của IGRP
RIP (Routing informa
Sau đây là các đặc điểm chính của RIP :
• Là giao thức định tuyến theo vectơ khoảng cách
• Sử dụng số lượng hop để làm thông số chọn đường đi
• Nếu số lượng hop để tới đích lớn hơn 15 thì gói dữ liệu sẽ bị huỷ bỏ
• Cập nhật theo định kỳ mặc định là 30 giây
IGRP (Internet gateway routing Protocol)là giao thức được phát triển độc quyền
bởi Cisco .Sau đây là một số đặc điểm mạnh của IGRP:
• Là giao thức định tuyến theo vectơ khoảng cách
• Sử dụng băng thông ,tải ,độ trễ và độ tin cậy củ
số lựa chọn đường đi
• Cập nhật theo định kỳ mặc định là 90 giây
137
OSPF (Open Shortest Path First)là giao thức đình tuyến theo trạng thái đường liên
kết .Sau đây là các đặc điểm chinhs của OSPF :
• Là giao thức định tuyến theo trạng thái đường liên kết
• Được định nghĩa trong RFC 2328 ,
• Sử dụng thuật toán SPF để tính toán chọn đường đi tốt nhất ,
• Chỉ cập nhật khi cấu trúc mạng có thay đổi ,
EIGRP Là giao thức định tuyến nâng cao theo vectơ khoảng cách ,và là giao thức
độc quyền của Ciso.Sau đây là các ính của EIGRP:
• iểm của định tuyến theo vectơ khoảng cách và định tuyến theo
uyến giữa các ISP hoặc giữa ISP và khách hàng ,
• ữa các hệ tự quản (AS).
6.3.4
Giao một
đơn v
định tuyế i là chọn thông số nào và sử dụng những thông số đó ra sao để chọn
đường i
Giao 2
cơ ch oại này thường được sử dụng để định
tuyến ữ n IP ngoại thường yêu cầu phải có 3 thông
• Danh sách các router láng giềng để trao đổi thông tin định tuyến ,
á thông tin
• uter .
sự
đặc điểm ch
• Là giao thức định tuyến nâng cao theo vectơ khoảng cách ,
• Có chia tải.
Có các ưu đ
trạng thái đường liên kết.
Sử dụng thuật toá • n DUAL (Diffused Update Algorithm)để tính toán chọn
đường tốt nhất. Cập nhật theo định kỳ mặc định là 90 gây hoặc cập nhật khi
có thay đổi về cấu trúc mạng.
BGP (Border Gateway Protocol) là giao thức định tuyến ngoại. Sau đây là các đặc
điểm chính của BGP. Là giao thức định tưyến ngoại theo vectơ khoảng cách,
• Được sử dụng để định t
Được sử dụng để định tuyến lưu lượng Internet gi
Hệ tự quản, IGP và EGP
thức định tuyến nội được thiết kế để sử dụng cho hệ thống mạng của
ị tổ chức mà thôi .Điều quan trọng nhất đối với việc xây dựng một giao thức
n nộ
đ trong hệ thống mạng .
thức định tuyến ngoại được thiết kế để sử dụng giữa 2 hệ thống mạng có
ế quản lý khác nhau .Các giao thức l
gi a các ISP .Giao thức định tuyế
tin trước khi hoạt động ,đó là :
• Danh sách các mạng kết nối trực tiếp mà giao thức cần quảng b
định tuyến .
Chỉ số của hệ tự quản trên ro
138
Giao thức định tuyến ngoại vi cần phải phân biệt các hệ tự quản .Các bạn nên nhớ
rằng mỗi hệ tự quản có một cơ chế quản tri riêng biệt .Giữa các hệ thống này phải
có một giao thức để giao tiếp được với nhau .
Mỗi một hệ tự quản có một con số xác định được cấp bởi tổ chức đăng ký số
Internet của Mỹ (ARIN – America Registry of Internet Number) hoặc được cấp
bởi nhà cung cấp dịch vụ. Con số này là số 16 bit. Các giao thức định tuyến như
IGRP và EIGRP của Cisco đòi hỏi phải khai báo số AS khi cấu hình
Hình 6.3.4
6.3.5. Vectơ khoảng cách
Thuật toán vectơ khoảng cách (hay còn gọi là thuật toán Bellman-Ford)yêu cầu
mỗi router gửi một phần hoặc toàn bộ bảng định tuyến cho các router láng giềng
kết nối trực tiếp với nó .Dựa vào thông tin cung cấp bởi các router láng giềng
,thuật toán vectơ khoảng cách sẽ lựa chọn đường đi tốt nhất .
Sử dụng các giao thức định tuyến theo vectơ khoảng cách thường tốn ít n
router lại chậm và thông số được sử
này ,các router sẽ trao đổi bảng định tuyến với nhau theo định kỳ .Do vậy ,loại
tài nguyê
của hệ thống nhưng tốc độ đồng bộ giữa các
dụng để chọn đường đi có thể không phù hợp với những hệ thống mạng lớn .Chủ
yếu các giao thức định tyến theo vectơ khoảng cách chỉ xác định đường đi bằng
khoảng cách (số lượng hop) và hướng đi (vectơ) đến mạng đích.Theo thuật toán
139
định tuyến này chỉ đơn giản là mỗi router chỉ trao đổi bảng định tuyến với các
router láng giềng của mình .Khi nhận được bảng định tuyến từ router láng giềng
,router sẽ lấy con đường nào đến mạng đích có chi phí thấp nhất rồi cộng thêm
khoảng cách của mình vào đó thành một thông tin hoàn chỉnh về con đường đến
mạng đích với hướng đi ,thông số đường đi từ chính nó đến đích rồi đưa vào bảng
định tuyến đó gửi đi cập nhật tiếp cho các router kế cận khác .RIP và IGRP là 2
giao thức định tuyến theo vectơ khoảng cách .
Chuyển bảng định tuyến cho router láng giềng theo định kỳ và tính lại vectơ
khoảng cách
Hình 6.3.5a
140
Hình 6.3.5b
6.3.6. Trạng thái đường liên kết
Thuật toán chọn đường theo trạng thái đường liên kết (hay còn gọi là thuật toán
chọn đường ngắn nhất )thực hiện trao đổi thông tin định tuyến cho tất cả các
router khi bắt đầu chạy để xây dựng một bản đồ đầy đủ về cấu trúc hệ thống mạng
er còn lại .Các gói này mang
y từ
ạng
.Từ đó router tự tính toán và chọn đường đi tốt nhất đến mạng đích để đưa lên
bảng định tuyến .Sau khi toàn bộ các router đã được hội tụ thì giao thức định
tuyến theo trạng thái đường liên kết chỉ sử dụng gói thông tin nhỏ để cập nhật ,về
sự thay đổi cấu trúc mạng chứ không gửi đi toàn bộ bảng định tuyến .Các gói
thông tin cập nhật này được truyền đi cho tất cả router khi có sự thay đổi xảy ra
,do đó tốc độ hội tụ nhanh.
Do tốc độ hội tụ nhanh hơn so với giao thức định tuyến theo vectơ khoảng cách
,nên giao thức định tuyến theo trạng thái đường liên kết ít bị lặp vòng hơn .Mặc
dù các giao thức loại này ít bị lỗi về định tuyến hơn nhưng lại tiêu tốn nhiều tài
nguyên hệ thong hơn .Do đó chúng mắc tiền hơn nhưng bù lại chúng co khả năng
mở rộng hơn so với giao thức định tuyến theo vectơ khoảng cách .
.Mỗi router sẽ gửi gói thông tin tới tất cả các rout
thông tin về các mạng kết nối vào router .Mỗi router thu thập các thông tin nà
tất cả các router khác để xây dựng một bản đồ cấu trúc đầy đủ của hệ thống m
141
Khi trạng thái của một đường liên kết nào đó thay đổi thì gói quảng bá trạng thái
đường liên kết LSA được truyền đi trên khắp hệ thống mạng .Tất cả các router
đều nhận được gói thông tin này và dựa vào đó để điều chỉnh lại việc định tuyến
của mình .Phương pháp cập nhật như vậy tin cậy hơn ,dễ kiểm tra hơn và tốn ít
băng thông đường truyền hơn so với kiểu cập nhật của vectơ khoảng cách .OSPF
và IS –IS là 2 giao thức định tuyến theo trạng thái đường liên kết.
Hình 6.3.6a
Hình 6.3.6b
142
Tổng kết
Sau đây là các điểm quan trọng mà các bạn cần nắm được trong chương này:
• Router sẽ không chuyển gói tin nếu không tìm được đường tới đích
n trị mạng cấu hình cho router
ặc biệt của đường cố định .Đường mặc định
er sử dụng khi không tìm được đường nào
tới đích
kiểm tra cấu hình của đường cố định và
đường mặc định :show ip router ,ping ,traceroute.
ến đường cố định và đường mặc định .
và hệ tự quản
•
eo vectơ khoảng cách
định tuyến theo trạng thái đường liên kết
đi
ự quản, IGP và EGP
• Định tuyến theo vectơ khoảng cách
• Đường cố định là do người quả
• Đường mặc định là một loại đ
là con đường cuối cùng cho rout
• Ta có thể sử dụng các lệnh sau để
• Kiểm tra và xử lý sự cố liên quan đ
• Các giao thức định tuyến
• Hệ tự quản
• Mục đích của giao thức định tuyến
Các loại giao thức định tuyến
• Đặc điểm của giao thức định tuyến th
• Đặc điểm của giao thức
• Quyết định chọn đường
• Cấu hình định tuyến
• Các giao thức định tuyến: RIP, IGRP, OSPF, EIGRP, BGP
• Hệ t
• Định tuyến theo trạng thái đường liên kết
143
CHƯƠNG 7
GIAO THỨC ĐỊNH TUYẾN THEO VECTƠ KHOẢNG CÁCH
GIỚI THIỆU
Giat o “cuộc sống“ của người quản trị mạng trở nên
đơn gi định tuyến động mà người quản trị mạng không còn
tốn thời gian để cấu hình đường cố định và chỉnh sửa lại chúng khi có sự cố. Với
định tuyến động, router có thể tự động cập nhật và thay đổi việc định tuyến theo sự
thay đổi của hệ thống mạng. Tuy nhiên định tuyến động cũng có những vấn đề của
nó .Trong chương này sẽ đề cập đến các vấn đề của giao thức định tuyến theo
vectơ khoảng cách và các phương pháp mà những nhà thiết kế sử dụng để giải
quyết những vấn đề này.
RIP (Routing Information Protocol) là một giao thức định tuyến theo vectơ khoảng
cách được sử dụng rộng rãi trên thế giới .Mặc dù RIP không có những khả năng và
đặc điểm như những giao thức định tuyến khác nhưng RIP dựa trên những chuẩn
mở và sử dụng đơn giản nên vẫn được các nhà quản trị mạng ưa dùng .Do đó RIP
là một giao thức tốt để người học về mạng bước đầu làm quen .Trong chương này
sẽ giới thiệu cấu hình RIP và xư lý sự cố đối với RIP .
Giống như RIP, IGRP (Interior G g Protocol)cũng là một giao thức
i RIP, IGRP là giao thức độc
dựa trên các chuẩn mở. IGRP
với IGRP.
Sử dụng lệnh ip classless
o hức định tuyến động giúp ch
ản hơn nhiều. Nhờ có
ateway Routin
định tuyến theo vectơ khoảng cách. Nhưng khác vớ
quyền của Cisco chứ không phải là một giao thức
phức tạp hơn so với RIP, sử dụng nhiều thông số để chọn đường đi tốt nhất đến
đích nhưng IGRP vẫn là một giao thức sử dụng đơn giản .Trong chương này cũng
sẽ giới thiệu cấu hình IGRP và xử lý sự cố đối
Sau khi hoàn tất chương trình ,các bạn sẽ thực hiện được những việc sau :
• Mô tả được tai sao định tuyến lặp vòng lại xảy ra đối với định tuyến theo
vectơ khoảng cách .
• Mô tả được các phương pháp được sử dụng để đảm bảo cho các giao thức
định tuyến theo vectơ khoảng cách định tuyến đúng.
• Cấu hình RIP
•
144
• Xử lý sự cố của RIP
• Cấu hình RIPđể chia tải
• Cấu hình đường cố định cho
7.1.1. Cập nhật thông tin định tuyến
Bảng định tuyến được cập nhật theo chu kỳ hoặc khi cấu trúc mạng có sự thay đổi
.Điểm quan trọng đối với một giao thức định tuyến là làm sao cập nhật bảng định
tuyến một cách hiệu quả .Khi cấu trúc mạng thay đổi ,thông tin cập nhật phải được
xử lý trong toàn bộ hệ thống .Đối với định tuyến theo vectơ khoảng cách thì mỗi
router gửi toàn bộ bảng định tuyên của mình cho các router kết nối trực tiếp với
nó.Bảng định tuyến bao gồm các thông tin về đường đi tới mạng đích như:tổng chi
phí (ví dụ như khoảng cách chẳng hạn )tính từ bản thân router đến mạng đích ,địa
chỉ của trạm kế tiếp trên đường đi.
RIP
• Kiểm tra cấu hình RIP
• Cấu hình IGRP
• Kiểm tra hoạt động của IGRP
• Xử lý sự cố IGRP
7.1. Định tuyến theo vectơ khoảng cách
Hình 7.1.1
7.1.1. Lỗi định tuyến lặp
145
Hình 7.1.2
Định tuyến lặp có thể xảy ra khi bảng định tuyến trên các router chưa được cập
nhật hội tụ do quá trình hội tụ chậm.
1. Trước khi mạng 1 bị lỗi ,tất cả các router trong hệ thống mạng đều có thông
tin đúng về cấu trúc mạng và bảng định tuyến là chính xác .Khi đó chúng ta
nói các router đã hội tụ .Giả sử rằng :router C chọn đường đến Mạng 1 bằng
con đường qua router Bvà khoảng cách của con đường này từ router C đến
Mạng 1 và 3 (hops)(Nghĩa là nếu đi từ router C đến Mạng 1 theo con đường
này thì còn cách 3 router nữa).
2. Ngay khi mạng 1 bị lỗi, router E liền gửi thông tin cập nhật cho router A.
Router A lập tức ngưng việc định tuyến về Mạng 1. Nhưng router B, C và D
vẫn tiếp tục việc này vì chúng vẫn chưa hay biết về việc Mạng 1 bị lỗi. Sau
đó router A cập nhật thông tin về Mạng 1 cho router B và D. Router B,D lập
tức ngưng định tuyến các gói dữ liệu về Mạng 1 nên nó vẫn định tuyến các
gói dữ liệu đến Mạng 1 qua router B.
3. Đến thời điểm cập nhật định er C, trong thông tin cập nhật của
router C gửi cho router D vẫ n về đường đến Mạng 1 qua router
D thấy rằng thông tin này tốt hơn thông tin báo Mạng 1 bị
lỗi mà nó vừa nhận được từ router A lúc này. Do đó router D cập nhật lại
i cập nhật xong gửi cho router
A. Tương tự, router A cũng cập nhật lại đường đến Mạng 1 lúc này là qua
kỳ của rout
n có thông ti
B. Lúc này router
thông tin này vào bảng định tuyến mà không biết rằng như vậy là sai .Lúc
này, trên bảng định tuyến, router D có đường tới Mạng 1 là đi qua router C.
Sau đó router D lấy bảng định tuyến vừa mớ
146
router D rồi gửi cho router Bvà E. Quá trình tương tự tiếp tục xảy ra ở
router B,E. Khi đó, bất kỳ gói dữ liệu nào gửi tới Mạng 1 đều bị gửi lặp
vòng từ router C tới r
7.1.3. Định nghĩa giá trị tố
outer B tới router A tới router D rồi tới router C.
i đa
Với vectơ khoảng cách sử dụng số lượng hop thì mỗi khi router
chuyển thông tin cập nhật cho router khác ,chỉ số hop sẽ tăng lên 1.Nếu không có
Bản thân thuật toán định tuyến theo vectơ khoảng cách có thể tự sữa lỗi được
nhưng quá trình lặp vòng này có thể kéo dài đến khi nào đếm đến vô hạn. Do đó
để tránh tình trạng lỗi này kéo dài, giao thức định tuyến theo vectơ khoảng cách đã
định nghĩa giá trị tối đa.
Bằng cách này ,giao thức định tuyến cho phép vòng lặp kéo dài đến khi thông số
định tuyến vượt qua giá trị tối đa. Ví dụ như hình vẽ dưới, khi thông số định tuyến
là 16 hop lớn hơn giá trị tối đa là 15 thì thông tin cập nhật đó sẽ bị router huỷ bỏ.
Trong bất kỳ trường hợp nào, khi giá trị của thông số định tuyến vượt qua giá trị
tối đa thì xem như mạng đó là không đến được.
Việc cập nhật sai về Mạng 1 như trên sẽ bị lặp vòng như vậy hoài cho đến khi nào
có một tiến trình khác cắt đứt được quá trình này. Tình trạng như vậy gọi là đếm
vô hạn, gói dữ liệu sẽ bị lặp vòng trên mạng trong khi thực tế là Mạng 1 đã bị
ngắt.
thông số là
biện pháp khắc phục tình trạng đếm vô hạn ,thì cứ như vậy chỉ số hop sẽ tăng lên
đến vô hạn.
147
Hình 7.1.3
7.1.4. Tránh định tuyến lặp vòng bằng split horizone
Một nguyên nhân khác gây ra lặp vòng là router gửi lại những thông tin định tuyến
mà nó vừa nhận được cho chính router đã gửi những thông tin đó. Phần sau đây sẽ
phân tích cho các bạn thấy sự cố xảy ra nh thế nào:
1. Router A gửi một thông tin outer B và D thông báo là Mạng 1
vẫn có đường đến Mạng 1 mặc dù
ng tốt bằng con đường cũ của
router B lúc truớc. Sau đó router B cũng cập nhật cho router A về đường
ng
qua router B. Router B thì định tuyến đến Mạng 1 thông qua router C.
qua router D. Kết quả là bất kỳ
gói dữ liệu nào đến Mạng 1 sẽ rơi vào vòng lặp này.
này bằng cách: Nếu router B
ừ router A thì chúng sẽ
o router A nữa. Nhờ đó, split-
thông tin cập nhật.
ư
cập nhật cho r
đã bị ngắt. Tuy nhiên router C vẫn gửi cập nhật cho router B là router C có
đường đến Mạng 1 thông tin qua router D, khoảng cách của đường này là 4.
2. Khi đó router B tưởng lầm là router C
con đường này có thông số định tuyến khô
mới đến Mạng 1 mà router B vừa mới nhận được.
3. Khi đó router A sẽ cập nhật lại là nó có thể gửi dữ liệu đến Mạng 1 thô
Router C lại định tuyến đến Mạng 1 thông
4. Cơ chế split-horizon sẽ trách được tình huống
hoặc D nhận được thông tin cập nhật về Mạng 1 t
không gửi lại thông tin cập nhật về Mạng 1 ch
horizon làm giảm được việc cập nhật thông tin sai và giảm bớt việc xử lý
148
Hình 7.1.4
7.1.5. Route poisoning
Route poisoning được sử dụng để ác vòng lặp lớn và giúp cho router
thông báo thẳng là mạng đã không truy cập được nữa bằng cách đặt giá trị cho
t cho router C bảng định tuyến này ,trong đó
đường đến Mạng 5 có thông số hop là 16 được gọi là route poisoning .Sau khi
hư vậy
router sẽ thông báo về con đường đó với thông số định tuyến lớn hơn giá trị tối đa
tránh xảy ra c
thông số định tuyến (số lượng hop chẳng hạn )lớn hơn giá trị tối đa.
Ví dụ như hình 7.1.5 : khi Mạng 5 bị ngắt thì trên bảng định tuyến của router E giá
trị hop cho đường đến Mạng 5 là 16,giá trị này có nghĩa là Mạng 5 không truy cập
được nữa .Sau đó router E cập nhậ
router C nhận được cập nhật về route poisoning từ router E ,router C sẽ gửi ngược
trở lại thông tin này cho router E .Lúc này ta gọi thông tin cập nhật về Mạng 5 từ
router C gửi ngược lại cho router E là route poison reverse.Router C làm n
để đảm bảo là nó đã gửi thông tin route poisoning ra tất cả các đường mà nó có .
Khi route poisoning được sử dụng kết hợp với cập nhật tức thời sẽ giúp rút ngắn
thời gian hội tụ giữa các router vì khi đó router không cần phải chờ hết 30 giây của
chu kỳ cập nhật mới về route poisoning.
Tóm lại ,route poisoning có nghĩa là khi có một con đường nào đó bị ngắt thì
149
.Cơ chế route poisoning không hề gây mâu thuẫn với cơ chế split horizon .Split
horizon có nghĩa là khi router gửi thông tin cập nhật ra một đường liên kết thì
router không được gửi lại những thông tin nào mà nó vừa nhận vào từ đường liên
kết đó.Bây giờ ,router vẫn gửi lại những thông tin đó nhưng với thông số định
tuyến lớn hơn giá trị tối đa thì kết quả vẫn như vậy .Cơ chế này gọi là split horizon
kết hợp với poison reverse.
Khi mạng 5 bị ngắt ,Router E sử dụng route poisoning bằng cách đặt giá trị 16 trên
bảng định tuyến để cho biết mạng này không đến được nữa .
Hình 7.1.5
7.1.6 Trách định tuyến lặp vòng bằng cơ chế cập nhật tức thời
Hoạt động cập nhật bảng định tuyến giữa các router láng giềng được thực hiện
theo chu kỳ .Ví dụ :cứ sau 30 giây RIP thực hiện cập nhật một lần .Ngoài ra còn
có cơ chế cập nhật tức thời để thông báo về một thay đổi nào đó trong bảng định
tuyến .Khi router phát hiện ra có một thay đổi nào đó trong cấu trúc thì nó lập tức
gửi thông điệp cập nhật cho các router láng riềng để thông báo về sự thay đổi đó.
Nhất là khi có một đường nào đó bị lỗi không truy cập được nữa thì router phải
cập nhật tức thời thay vì đợi đến hết chu kỳ. Cơ chế cập nhật tức thời kết hợp với
route poisoning sẽ đảm bảo cho tất cả các router nhận được thông tin khi có một
đường nào đó bị ngắt trước khi thời gian holddown kết thúc.
Cơ chế cập nhật tức thời cho toàn bộ mạ i có sự thay đổi trong cấu trúc mạng
giúp cho các router được cập nhật kịp thờ ởi động thời gian holddown nhanh
hơn.
ng kh
i và kh
150
Ví dụ như hình 7.1.6: router C c i ngay khi mạng 10.4.0.0 không
truy cập được nữa. Khi nhận được thông tin này, router B cũng phát thông báo về
mạng 10.4.0.0 ra cổng S0/1. Đến lướt router A cũng sẽ phát thông báo ra cổng
Fa0/0.
NetWordk 10.4.0.0 is unreachable
Với cập nhật tức thời, router sẽ gửi thông điệp ngay để thông báo sự thay đổi trong
bảng định tuyến của mình
ập nhật tức thờ
Hình 7.1.6
7.1.7. Tránh lặp vòng với thời gian holddown
hạn như đã đề cập ở phần 7.1.2 có thể tránh được bằng
cách sử dụng thời gian holddown như sau:
uter nhận được thông tin cập nhật từ chính
router láng riềng lúc nãy thông báo là mạng X đã truy cập lại được thì router mới
cậ thời gian holddown.
với thông
Tình trạng lặp vòng đến vô
Khi router nhận được từ router láng giềng một thông tin cho biết là một mạng X
nào đó bây giờ không truy cập được nữa thì router sẽ đánh dấu vào con đường tới
mạng X đó là không truy cập được nữa và khởi động thời gian holddown. Trong
khoảng thời gian holddown này, nếu ro
p nhật thông tin đó và kết thúc
Trong suốt thời gian holddown nết router nhận được thông tin cập nhật từ một
router láng riêng khác (không phải là router láng giềng đã phát thông tin cập nhật
về mạng X lúc nãy) nhưng thông tin này cho biết có đường đến mạng X
151
số n cập
nh t nhầm
nh ết gì về việc mạng X đã
hống đều đã được cập nhật
là ruy cập được nữa, khi đó các router đều có thể nhận biết chính
xác v ng. Do đó, sau khi thời gian holddown kết thúc thì các router lại
cậ tin như bình thường.
đị h tuyến tốt hơn con đường mà router trước đó thì nó sẽ bỏ qua, không
ật thông tin này. Cơ chế naỳ giúp cho router tránh được việc cập nhậ
ững thông tin cũ do các router láng giềng chưa hay bi
không truy cập được nữa. Khỏng thời gian holddown bảo đảm cho tất cả các
router trong hệ thống mạng đã được cập nhật xong về thông tin mới. Sau khi thời
gian holddown hết thời hạn, tất cả các router trong hệ t
mạng X không t
c mạ ề cấu trú
p nhật thông
Hình 7.1.7
7.2
được mô tả chi tiết trong 2 văn bản. Văn bản đầu tiên là RFC1058 và văn
ản thứ 2 là Tiêu chuẩn Internet(STD)56.
RIP được phát triển trong nhiều năm bắt đầu từ phiên bản 1 (RIPv1)
RIP chỉ là giao thức định tuyến theo lớp địa chỉ cho đến phiên bản 2(RIPv2)
.RIP
ến trình của RIP 7.2.1. Ti
IP RIP
b
152
RIP tr
n vô hạn bằng cách giới hạn số lượng hop tối
đa cho phép từ máy gửi đến máy nhận, số lương hop tối đa cho mỗi con đường là
r nhân được từ thông tin cập nhật của router
uter xem bản thân nó cũng là 1
hop trên đường đi. Nếu sau khi tăng chỉ số hop lên 1 mà chỉ số này lớn hơn 15 thì
rou ạng đích không tương ứng với con đương này không đến
đư ng có những đặc tính tương tự như các giao thức định
ở thành giao thức định tuyến không theo lớp địa chỉ.
RIPv2 có những ưu điểm hơn như sau:
• Cung cấp thêm nhiều thông tin định tuyến hơn.
• Có cơ chế xác minh giữa các router khi cập nhật để bảo mật cho bảng định
tuyến.
• Có hỗ trợ VLSM(variable Length Subnet Masking-Subnet mask có chiều dài
khác nhau).
RIP tránh định tuyến lặp vòng đếm đế
15. Đối với các con đường mà route
láng giềng, router sẽ tăng chỉ số hop lên 1 vì ro
ter sẽ xem như m
ợc. Ngoài ra, RIP cũ
tuy : RIP cũng có horizon và thời gian holddown để tránh cập
nhật thông tin định tuyến không chính xác.
Các đặc điểm chính của RIP
ến khác. Ví dụ như
• Là giao thức định tuyến theo vectơ khoảng cách.
• Thông số định tuyến là số lương hop.
• Nếu gói dữ liệu đến mạng đích có số lượng hop lớn hơn 15 thì gói dữ
liệu đó sẽ bị huỷ bỏ.
• Chu kỳ cập nhật mặc định là 30 giây.
7.2.2. Cấu hình RIP
chỉ trạm kế tiếp RIP
Lênh router rip dùng để khởi động RIP. Lênh network dùng để khai báo những
cổng giao tiếp nào của router được phép chạy RIP trên đó. Từ đó RIP sẽ bắt đầu
gửi và nhận thông tin cập nhật trên các cổng tương ứng RIP cập nhật thông tin
định tuyến theo chu kỳ. Khi router nhận được thông tin cập nhật có sự thay đổi
nào đó thì nó sẽ cập nhật thông tin mới vào bảng định tuyến. Đối với những con
đường tới mạng đích mà router học được từ router láng giềng thì nó sẽ tăng chỉ số
hop lên 1 địa chi nguần của thông tin cập nhật này sẽ là địa
153
chỉ chon một con đường tốt nhất đến mạng đích, tuy nhiên nó cũng có thể sử dụng
nhiều con đường có chỉ số bằng nhau đến cùng 1 đích.
Ch ho RIP thực hiên cập nhật tức thời khi cấu trúc mạng
tha ip rip triggered. Lệnh này chỉ áp dụng cho cổng serial của
ro r ạng thay đổi, router nào nhận biết được sự thay đổi đầu tiên
o bảng định tuyến của nó trước, sau đó nó lập tức gửi thông tin cập
ề cấu hình của RIP
úng ta có thể cấu hình c
y đổi bằng lệnh
ute . Khi cấu trúc m
sẽ cập nhật và
nhật cho các router khác để thông báo về sự thay đổi đó. Hoạt động này là cập
nhật tức thời va nó xảy ra hoàn toàn độc lập với cập nhật đinh kỳ. hình 7.2.2 là
một ví dụ v
Hình 7.2.2
hai báo mạng kết nối trực tuyến
vào router.
c phải làm, chúng ta chỉ cấu
hình thêm nếu thấy cần thiết:
• BHM(config)#router rip- chọn RIP làm giao thức định tuyến cho router.
• BHM(config- router)#network10.0.0.0- k
• BHM (config- router) #network 192.168.13.0-khai báo mạng kết nối trực
tuyến vào router.
Các cổng trên router kết nối vào mạng 10.0.0.0 và 192.168.13.0 sẽ thực hiện gửi
và nhận thông tin cập nhật về định tuyến.
Sau khi đã khởi động RIP trên các mạng rồi chúng ta có thể thực hiện thêm một
số cấu hình khác. Những cấu hình này không bắt buộ
154
• Điều chỉnh các thông số định tuyến.
• Điều chỉnh các thông số về thời gian hoạt động của RIP.
• Khai báo phiên bản của RIP mà ta đang sử dụng(RIPv1 hay RIPv2).
• Cấu hình cho RIP chỉ gửi thông tin định tuyến rút gọn cho một cổng nào
đó.
• Kiểm tra thông tin định tuyến IP rut gọn.
• Cấu hình cho IGRP và RIP chạy đồng thời .
• Không cho phép RIP nhận thông tin cập nhật từ một địa chỉ IP nào đó.
• Mở hoặc tắt chế độ split horizon.
• Kết nối RIP vào mạng WAN.
Tóm lại, để cấu hình RIP, chúng ta có thể bắt đầu từ chế độ cấu hình toàn cục như
sau:
• Router(config)# router rip – khởi động giao thức định tuyến RIP.
• Router(config- router)#network network- number- khai báo các mạng mà
RIP được phép chạy trên đó.
7.2.3. Sử dụng lệnh ip classless.
Khi router nhận được gói dữ liệu có địa chỉ đích là một subnet không có trên bảng
định tuyến của router. Trên bảng định tuyến của router không có chính xác subnet
với subnet đích của gói dữ liệu. Ví dụ: một tổ chức sử dụng địa chỉ mạng
10.10.0.0/16, khi đó subnet 10.10.10.0/24 có supernet là 10.10.0.0/16. Trong
ậy, ta dung lệnh ip classless để router không hủy bỏ dữ liệu mà sẽ
ờng đến địa chỉ supernet, nếu có. Đối với phần mền Cisco IOS
hiên bản 11.3 trở về sau, mặc định là lệnh ip classlet đã được chạy trong cấu hình
của router. Nếu bạn tắt lệnh này đi thì dùng lệnh NO của câu lệnh này.
Tuy nhiên, nếu không có chức năng này thì tất cả các gói có địa chỉ đích là một
subnet có cùng supernet với các điạ chỉ mạng khác của router nhưng lại không có
trong bảng định tuyến. Đây chính là đặc điểm quan trọng của giao thức định tuyến
theo lớp. Nếu một địa chỉ mạng lớn được chia thành các subnet con chứ không có
toàn bộ các subnet. Khi đó gói dữ liệu nào có địa chỉ đích là một subnet nằm trong
địa chỉ mạng lớn nhưng lại không có trên bảng định tuyến của router thì router sẽ
hủy bỏ.
trường hợp như v
chuyển gói ra đư
p
155
Hình 72.2.3a.khi không có lệnh ip classless.
đích là một subnet không có trên bảng định tuyến nhưng lại có cùng
supernet với các mạng kết nối trực tiếp vào router thì router xem như mạng đích đó
ịnh tuyến của router có cấu
hìn này băng cách cho phép
router không c a ch a. khi đó router không tìm
thấy được cụ thể mạng đích trên bảng định tuyến thì nó sẽ sử dụng đương mặc định
để chuyển gói đi.
Cơ chế này bị nhầm lẫn nhất khi router có cấu hình đường mặc định. Từ một địa
chỉ mạng lớn chia thành nhiêu subnet con. Kết nối trực tiếp vào router chỉ có một
số subnet. Khi router xây dựng bảng định tuyến, trên bảng định tuyến đương nhiên
có các subnet của mạng kết nối trực tiếp vào router. Còn những subnet nào không
có thì router coi như subnet đó không tồn tại. Do đó, khi router nhận được gói dữ
liệu có địa chỉ
không tồn tại và hủy bỏ gói dữ liệu cho dù trên bảng đ
h đường mặc đinh. Lệnh ip classless sẽ giải quết vấn đề
ần quan tâm đến lớp của đị ỉ đích nữ
156
Hình 7.2.3b: Khi có l nh ip classless.
7.2.4. những vấn đề thường gặp kh P.
Ro g giềng để học thông tin
đến các mạng mà không kết nối trực tiêp vào router. RIP sử dụng thuật toán đinh
tuyến theo vectơ khoảng cách đề có nhược điểm chính tốc độ hội tụ chậm. Trạng
thái hội tụ là khi tất cả các router trong hệ thống mạng đều có thông tin đinh tuyến
về hệ thống mạng giống nhau và chính xác.
Các giao thức định tuyến theo vectơ khoảng cách thường gặp vấn đề về định tuyến
lặp vòng và đếm đến vô hạn. Đây là hậu quả khi các router chưa được hội tụ nên
truyền cho nhu những thông tin cũ chưa được cập nhật đúng.
Để giải những vấn đề này RIP sử dụng những kỹ thật sau
• Định nghĩa giá trị tối đa
• Split horizon.
• Poison reverse.
• Thời gian holddown.
• Cập nhật tức thời.
Có một số kỹ thuật đòi hỏi bạn phải cấu hình còn một số khác thì không cần cấu
hình gì cả hoặc chỉ cần cấu hình một chút thôi.
ệ
i cấu hình RI
uter định tuyến theo RIP phải dựa vào các router lán
157
RIP giới hạn số hop tối đa là 15. Bất kỳ mạng đích nào có số hop lớn hơn 15 thì
xem như mạng đó không đếm được. Điều này làm cho RIP bị hạn chế không sử
dụng được cho những hệ thống mạng lớn nhưng nó giúp cho RIP tránh được lỗi
đếm đến vô hạn.
Luật split horizon la: khi gửi thông tin cập nhật ra một hướng nào đó thì không gửi
lại những thông tin mà router đã nhận được từ hường đó. Trong một số cấu hình
mạng thì bạn cần phải tắt cơ chế split horizon:
GAD (config-if)#no ip split- horizon
Th ột thông số mà bạn có thể thay đổi nếu cần. Khoảng thời
gian holddown giúp cho router tránh bị lặp vòng đếm đến vô hạn nhưng đồng thời
nó cũng làm tăng thời gian hội tụ giữa các router. Trong khoảng thời gian này,
router không cập nhật những đường nào có thông số định tuyến không tốt bằng con
đường mà router có trước đó, như vậy thì có khi có đường khác thay thế cho đường
cũ thật nhưng router cũng không cập nhật. Thời gian holddown mặc định của RIP
là 180 giây. Bạn có thể điều chỉnh thời gian holddown ngắn lại đêt tăng tốc độ hội
tụ nhưng bạn nên cân nhắc kỹ. Thời gian holddown lý tưởng là phải dài hơn
khoảng thời gian dài nhất có thể để cho toàn bộ hệ thống mạng được cập nhật song.
Ví dụ như hình dưới, chúng ta có 4 router. Nếu mối router có thời gian cập nhật là
30 giây thì thời gian tối đa để cho cả 4 router cập nhật xong là 120 giây như vậy
thời gian holddown phải dài hơn 120 giây.
Đêt thay đổi thời gian holddown bạn dùng lệnh sau
Router(config- router)#timers basic u holddown flush[sleeptime]
ời gian holddown là m
pdate invalid
158
Hình 7.2.4
Một lý do khác làm ảnh hưởng đến tốc độ hội tụ là chu kỳ cập nhật. chu kỳ cập
nh ạn có thể điều chỉnh cho chu kỳ cập nhật dài
hơ
tăn
Để ay đổi chu kỳ cập nhật, bạn dụng lệnh sau GAD(config- router)#update-timer
sec
Còn m gặp đối với giao thức định tuyến là ta không
muốn o ập nhật về định tuyến ra một cổng
nào đó địa chỉ mạng là lập tức RIP bắt
đầu gử a chỉ mạng nằm trong
mạng ạng có thể không cho phép gửi thông
tin cập h một cổng nào đó bằng lệnh passive – interface.
GA sive- interface Fa0/0.
RI
như lay thì ta cần phải khai báo các router RIP láng giềng bằng lệnh sau:
GA ip address
ật mặc định của RIP là 30 giây . B
n để tiếp kiệm băng thông đường truyền hoặc rút ngắn chu kỳ cập nhật lại để
g tốc độ hội tụ.
th
onds.
ột vấn đề nữa mà ta thường
i các thông tin c ch các giao thức này gử
. Sau khi bạn nhập lệnh network để khai báo
i các thông tin định tuyến ra tất cả các cổng có đị
mà bạn vừa khai báo. Nhà quản trị m
n ật về định tuyến ra
D(config- router)#pas
P là giao thức broadcast. Do đó, khi muốn chạy RIP trong mạng non-broadcast
Frame Re
D(config- router) # neighbor
159
Phầ
nh iên bản 1. Nhà quản trị mạng có thể cấu
hình cho router chỉ gửi và nhận gói phiên bản 1 hoặc là chỉ gửi gói phiên bản
2…bằng các lệnh sau:
GAD(config- router) # version {1/2}
GAD(config- if) # ip rip send version 1
GAD(config- if) # ip rip send version 2
GAD(config- if) # ip rip send version 1 2
GAD(config- if) # ip rip receive version 1
GAD(config- if) # ip rip receive version 2
GAD(config- if) # ip rip receive vers
7.2
Có nh để kiểm tra cấu hình RIP có đúng hay không. Trong
đó ha ệ c sử dụng nhiều nhẩt là Show ip route và show ip
protos
Lệnh protocols sẽ hiển thị các giao thức định tuyến IP đang được chạy
trên roe iển thị của lệnh này có thể giúp bạn kiểm tra được phần lớn
cấu hình của RIP nhưng chưa phải là đầy đủ, toàn bộ. sau đây là một số điểm bạn
cần chú ý kiểm tra:
• Có đúng là giao thức định tuyến RIP đã được cấu hình hay không.
• RIP được cấu hình để gửi và nhận thông tin cập nhật trên các cổng vào, có
chính xác hay không.
• Các địa chỉ mạng được khai báo trên router để chạy RIP có đúng hay không.
n mền Cisco IOS mặc nhiên nhận gói thông tin của cả RIP phiên bản 1 và 2
ưng chỉ gửi đi gói thông tin bằng RIP ph
ion 1 2
.5.kiểm tra cấu hình RIP
iều lệnh có thể sử dụng
i l nh thường đướ
col.
show ip
utr. Kết quả h
160
Hình 7.2.5a.
Lện router được sử dụng để kiểm tra xem những đường đi mà router học
đượ rên.
Trê dấu bằng
chữ “R”
giềng. Bạ router luôn có một khoảng thời gian để hội tụ
với nh ,
tuyến đượ số lệnh khác mà bạn có thể sử dụng để kiểm tra
cấu hì
• ce.
•
•
h show ip
c từ các router RIP láng giềng có được cài đặt vào bảng định tuyến không t
n kết quả hiển thị bảng định tuyến, bạn kiểm tra các đường có đánh
ở đầu dòng là những đường mà router học đựơc từ các router RIP láng
n cũng nên nhớ rằng các
au do đó các thông tin mới có thể chưa được hiển thị ngay trên bảng định
c. Ngoài ra còn có một
nh RIP :
Show interface interfa
Show ip interface interface.
Show running –config
161
Hình 7.2.5b.
7.2.6. Xử lý sự cố về hoạt động cập nhật của RIP
Hầu hết các lỗi cấu hình RIP đều do khai báo câu lệnh network sai, subnet không
liên tục hoặc là do split horizon. Lệnh có tác dụng nhẩt trong việc tìm lỗi của RIP
trong họat động cập nhật là lệnh debug ip rip
Lệnh debug ip rip sẽ hiển thị tất cả các thông tin định tuyến mà RIP gửi và nhận.
Ví dụ trong hình 7.2.6a cho thấy kết quả hiển thị của lệnh debug ip rip. Sau khi
nhận được thông tin cập nhật , router sẽ xử lý thông tin đó rồi sau đó gửi thông tin
mới vừa cập nhật ra các cổng. Trong hình 7.2.6a cho thấy router chạy RIP phiên
bản 1 và RTP gửi cập nhật theo kiểu broadcast(địa chỉ broadcast
255.255.255.255). Số trong ngoặc đơn là địa chỉ nguần của gói thông tin cập nhâth
RIP.
162
Hình 7.2.6a
ất nhiều điểm quan trọng mà bạn cần chú ý trong kết quả hiển thị củ Có r a lênh
debug ip rip. Một số vấn đề phải ví dụ như subnet không liên tục hay trùng subnet,
có th
là c
số
ể phát hiện được nhờ lệnh này. Trong những trường hợp như vậy bạn sẽ thấy
ùng một mạng đích nhưng router gửi thông tin đi thì mạng đích đó lại có thông
đinh tuyến thấp hơn so với khi router nhận vào trước đó.
Hình 7.2.6b. Subnet không liên tục
163
Hình 7.2.6c: Trùng Subnet
Ng
7.2.7. Ngăn không cho router gửi thông tin định tuyến ra một cổng giao tiếp
Router có thể thực hiện chọn lọc thông t ến khi cập nhật hoặc khi gửi
thông tin cập nhật. Đối với router sử ức định tuyến theo vectơ khoảng
các
nhậ
thứ
các
trạn .
Chính vì vậy mà cách thực hiện để ngăn không cho router gửi thông tin định tuyến
ra ưới đây chỉ sử dụng cho các giao thức định
tuy
Bạ
cập về định tuyến ra một cổng nào đó. Làm như vậy thì bạn sẽ ngăn được hệ
thố g mạng khác học được các thông tin định tuyến trong hệ thống của mình.
oài ra còn một số lệnh có thể sử dụng để xử lý sự cố của RIP:
• Show ip database.
• Show ip protocols( summary).
• Show ip route.
• Debug ip rip{ events}.
• Show ip interface brief.
in định tuy
dụng giao th
h, cơ chế này có tác dụng vì router định tuyến dựa trên các thông tin định tuyến
n được từ các router láng giềng. Tuy nhiên, đối với các router sử dụng giao
c định tuyến theo trạng thái đường liên kết thì cơ chể trên không hiệu quả vì
giao thức định tuyến này quyết định chọn đường đi dựa trên cơ sở dữ liệu về
g thái các đường liên kết chứ không dựa vào thông tin định tuyến nhận được
một cổng giao tiếp được đề cập d
ến theo vectơ khoảng cách như RIP, IGRP thôi.
n có thể sử dụng lệnh passive interface để ngăn không cho router gửi thông tin
nhật
n
164
Đố
thô
vẫn
i với RIP và IGRP, lênh passive interface sẽ làm cho router ngưng việc gửi
ng tin cập nhật về định tuyến cho một router láng giềng nào đó, nhưng router
tiếp tục lắng nghe và nhận thông tin cập nhật từ router láng giềng đó.
Hình 7.2.7
.8. Chia tải với RIP
uter có thể chia tải ra nhiều đường khi có nhiều đường tốt đến cùng một đích.
n có thể cấu hình bằng tay cho router chia taỉ ra các đường hoặc là các giao
c định tuyến động có thể tự tính toán để chia tải.
có khả năng chia
7.2
Ro
Bạ
thứ
RIP tải ra tối đa là sáu đường có chi phí bằng nhau, còn mặc định
thì RIP chỉ chia ra làm 4 đường. RIP thực hiện chia tải bằng cách sử dụng lần lượt
và luân phiên từng đường.
Tro
Đầ
3-4
hop
của
ng hình7.2.8a là ví dụ cho ta thấy RIP chia tải ra 4 đường có chi phí bằng nhau.
u tiên router bẳt đầu với đường số 1 rồi sau đó lần lượt các đường 2-3-4 rồi1-2-
-1 và cứ tiếp tục luân phiên như vậy. vì thông số định tuyến của RIP là số lượng
lên các đường này được xem là như nhau, RIP không cần quan tâm đến tốc độ
mỗi đường. Do đó đường 56kbps cũng giống như đường 155Mbps.
165
Hình 7.2.8a
ng hình 7.2.8b là ví dụ về kết quả hiển thị của lệnh show ip route. Trong đó,
thấy có hai phần, mỗi phần mô tả về một đường. Trong phần mô tả về đường
hai có dấ
Tro
bạn
thứ u(*) ở đầu dòng. Dấu (*) này cho biết con đường này là con đường kế
tiếp sẽ được sử dụng.
H
7.2
ình 7.2.8b
.9. Chia tải cho nhiều đường
166
Ro
mụ
các
toá
Khi router nhận được thông tin cập nhật về nhiều đường khác nhau đến cùng một
đích thì router s
nhấ
tin
thô tuyến sẽ có cách tính chi phí
khác nhau và bạn cần phải cấu hình các chi phí này để router thực hiện chia tải.
Kh
đíc
tải
bản
có
Mặ
địn
cho tuyến 1 đường đến 1 đích.
uter có khả năng chia tải ra nhiều đường để chuyển các gói dữ liệu đến cùng
c đích. Chúng ta có thể cấu hình bằng tay cho router thực hiện chia tải hoặc là
giao thức định tuyến động như RIP ,IGRP,EIGRP và OSPF sẽ tự động tính
n.
ẽ chọn đường nào có chỉ số tin cậy(Admintrative distance) nhỏ
t để đặt vào bảng định tuyến. Trong trường hợp các đường này có cùng chỉ số
cậy thì router sẽ chon đường nào có chi phí thấp nhất hoặc là đường nào có
ng số định tuyến nhỏ nhất. Mỗi giao thức định
i router có nhiều đường có cùng chỉ số tin cậy và cùng chi phí đến cùng một
h thì router sẽ thực hiện việc chia tải. Thông thường thì router có khả năng chia
đến 6 đừơng có cùng chi phí( giới hạn tối đa số đường chia tải là phụ thuộc vào
g định tuyến của Cisco IOS), tuy nhiên một số giao thức định tuyến nội (IGP)
thể có giới hạn riêng. Ví dụ như EIGRP chỉ cho phép tối đa là 4 đường.
c định thì hầu hết các giao thức định tuyến IP đều chia tải ra 4 đường. Đường cố
h thì chia tải ra 6 đường. Chỉ riêng BGP là ngoại lệ, mặc định của BGP là chỉ
phép định
Hình 7.2.9a
167
Số
đườ
Ro
IGR
đườ a vào băng thông để chọn đường chia tải.
Ví dụ như hình 7.2.9a, có ba đường đến mạng X :
• Từ E qua B qua A, thông số định tuyến là 30.
• Từ E qua C qua A , thông số định tuyến là 20.
• Từ E qua D qua A, thông số định tuyến là 45.
Router E sẽ chọn đường thứ 2 vì đư ó thông số định tuyến 20 là nhỏ
nhất.
Khi định tuyến IP, Cisco IOS có hai c ải là: chia tải theo gói dữ liệu và
chia tải theo địa chỉ đích. Nếu router theo tiến trình thì router sẽ chia
gó eo gói dữ liệu. Còn nếu router
chuyển mạch nhanh thì router sẽ chuyển tất cả gói dữ liệu đến cùng mục đích ra
mộ
tải
đường tối đa mà router có thể chia tải là từ 1 đến 6 đường. Để thay đổi số
ng tối đa cho phép bạn sử dụng lệnh sau:
uter(config- router) #maximum-paths[number].
P có thể chia tải lên tối đa là 6 đường. RIP dựa vào số lượng hop để chọn
ng chia tải, trong khi IGRP thì dự
ờng E –C-A c
ơ chế chia t
chuyển mạch
i dữ liệu ra các đường. cách này gọi là chia tải th
t đường. Các gói dữ liệu đến host khác nhưng trong cùng một mạng đich thì sẽ
ra đường kế tiếp. Cách này gọi là chia tải theo địa chỉ đích.
Hình 7.2.9b
Đường cố định là đường do người quản trị cấu hình cho router chuyển gói tới
mạng đích theo đường mà mình muốn. Mặt khác, lệnh để cấu hình ường cố định
cũng được sử dụng để khai báo cho đường mặc định. Trong trường hợp router
đ
168
không tìm thấy đường nào trên bảng chuyển gói đến mạng đích thì
router sẽ sử dụng đường mặc định.
Router chạy RIP có thể nhận được th ng mặc định từ những thông tin
cập nhật của các router RIP láng giền là bản thân router được cấu hình
đư
Bạ
cấu
độn
địn
chỉ
động có ch ọn lựa trước. Khi đường
địn ng được nữa thì router sẽ sử dụng tới đường
định tuy
Nế
thì
Vì
khô cố định nữa. Nếu bạn cấu hình đường cố định chỉ
ra một cổng mà RIP không chạy trên cổng đó thì RIP sẽ không gửi thông tin cập
nhậề đường cố định đó, trừ khi bạn phải cấu hình thêm lênh redistribute static
cho
Kh
xóa ịnh tuyến. Tương tự như vậy khi router không còn xác định được
trạm kế tiếp trên đường cố định cho gói dữ liệu tới mạng đích thì đường cố định
đó cũng sẽ bị xóa khỏi bảng định tuyến.
Trong hình 7.2.10a và 7.2.10b chúng ta thấy khi đường định tuyến ng của RIP
bị sự cố thì đường cố định mà ta đã cấu hình cho router GAD được sử dụng thay
thê. Đường cố định như vậy được gọi định dự phòng. Như trong ví dụ
này hình với chỉ số AD là 130 lớn hơn chỉ
số nhớ là trên router BHM cũng cần cấu
hìn
định tuyến để
ông tin về đườ
g khác. Hoặc
ờng mặc định sẽ cập nhật thông tin định tuyến này cho các router khác.
n có thể xóa đường cố định bằng lệnh no ip route. Người quản trị mạng có thể
hình đường cố định bên cạnh định tuyến động. Mỗi một giao thức định tuyến
g có 1 chỉ số tin cậy(AD).Người quản trị mạng có thể cấu hình một đường cố
h tới cùng mạng đích với đường định tuyến động nhưng với chỉ số AD lớn hơn
số AD của giao thức định tuyến động tương ứng. Khi đó đường định tuyến
ỉ sốAD nhỏ hơn lên luôn luôn được router ch
h tuyến động bị sự cố không sử dụ
ến cố định để chuyển gói đến mạng đích.
u bạn cẩu hình đường cố định chỉ ra một cổng mà RIP cũng chạy trên cổng đó
RIP sẽ gửi thông tin cập nhật về đường cố định này cho toàn bộ hệ thống mạng.
khi đó, đường cố định đó được xem như là kết nối trực tiếp vào router lên nó
ng còn bản chất là một đừơng
t v
RIP.
i một cổng giao tiếp bị ngắt thì tất cả các đường cố định chỉ ra cổng đó đều bị
bởi bảng đ
độ
là đừơng cố
chúng ta thấy là đường cố định được cấu
AD của RIP (120). Bên cạch đó, bạn nên
h đường mặc định tương ứng.
169
Hình 7.2.10a
170
H
7.3
7.3 a IGRP
IGRP l
thức định ảng cách chọn lựa đường đi bằng cách so sách
vectơ kho
hiện bả ông tin cập
nhật, ro e
• Xác
• Cập ự cố về đường đi trên mạng
ình 7.2.10b
.IGRP
.1. Đặc điểm củ
à một giao thức định tuyến nội và định tuyến theo vectơ khoảng cách. Giao
tuyến theo vectơ kho
ảng cách. Router chạy giao thức định tuyến theo vectơ khoảng cách thực
ng đinh tuyến theo định kỳ cho các router láng giềng. Dựa vào th
ut r thực hiện 2 nhiệm vụ sau :
định mạng đích mới.
nhật s
171
IGRP
IGRP thự
trong phạm GRP:
ác định.
• Khả năng linh hoạt với các đặc tính băng thông và độ trễ khác nhau.
Khả năng mở rộng cho hệ thống mạng lớn.
Mặ
IGR
là c
ng thông.
• Độ trễ.
• Độ tải.
• Độ tin cậy
7.3.2 Thông số định tuyến của IGRP
Bạn dùng lệnh show ip protocols để xem các thông số, các thông tin về mạng và
các chính sách chọn lọc của các giao yến đang hoạt động trên router.
Trong đó bạn sẽ thấy được cách tính toán thông số định tuyến của IGRP như trong
hình 7.3.2. Mỗi một thông số có hệ số từ K1 – K5. K1 là hệ số của băng thông, K3
là hệ số của độ trễ. Mặc định thì K1 và K3 có giá trị là 1, còn K2 , K4 và K5 có giá
trị l
Việ
kết
Ng
Sau
tuyế
• Băng thông :Giá trị băng thông thấp nhất của đường truyền .
• Độ trễ :Tổng độ trễ dọc theo đường truyền .
•
là giao thức định tuyến theo vectơ khoảng cách do Cisco phát triển nên.
c hiện cập nhật theo chu kỳ 90 giây / lần và chỉ gửi thông tin cập nhật
vi một hê tự quản. Sau đây là các đặc điểm chính của I
• Khả năng thích ứng với các cấu trúc mạng phức tạp và không x
•
c định thì IGRP sử dụng băng thông và độ trễ làm thông số định tuyến. Ngoài ra
P còn có thể cấu hình để sử dụng nhiều thông số khác để định tuyến. Sau đây
ác thông số mà IGRP có thể sử dụng để định tuyến:
• Bă
thức định tu
à 0.
c tính toàn thông số định tuyến từ nhiều thông số của đường đi như vậy sẽ cho
quả chính xác hơn so với RIP chỉ dựa vào một thông số là số lượng hop.
uyên tắc thì đường nào có thông số định tuyến nhở nhất là đường tốt nhất.:
đây là các thông số của đường đi mà IGRP sử dụng để tính toán thông số định
n :
Độ tin cậy :Độ tin cậy trên một đường liên kết đến đích được xác định dựa
trên hoạt động trao đổi các thông điệp keepalive.
172
• Độ tải :Độ tải của đường truyền tính bằng bit/ giây .
• MTU :Đơn vị truyền tối đa trên n .
Thô
định
thì
cho
thôn
lớn
sẽ c
7.3. RP
IGRP thực hiện quảng bá những loại đường sau :
•
•
Đư ột cổng
của router .Nếu một cổng giao tiếp của router kết nối vào một mạng không có chia
thà ội bộ trong mạng đó .
đường truyề
ng số định tuyến được tính dựa vào một công thức tính từ 5 thông số trên.Mặc
thì trong công thức này chỉ có băng thông và độ trễ .Còn những thông số khác
chỉ được sử dụng khi được cấu hình .Bạn có thể cấu hình băng thông và độ trễ
cổng giao tiếp của router.Bạn dùng lệnh show ip route sẽ xem được giá trị của
g số định tuyến của IGRP đặt trong ngoặc vuông .Đường nào có băng thông
hơn sẽ có thông số định tuyến nhỏ hơn , tượng tự đường nào có độ trễ ít hơn thì
ó thông số định tuyến nhỏ hơn.
3. Các loại đường trong IG
• Đường nội bộ.
Đường hệ thống.
Đuờng ngoại vi.
ờng nội bộ là những đường chỉ đi giữa các subnet kết nối vào cùng m
nh nhiều subnet thỉ router không còn có đường n
173
Đường hệ thống là những đường đi giữ ạng trong cùng một hệ tự
quản.Router hoc về đường hệ thống b n biết các mạng kết nối trực tiếp
vào nó và học từ các thông tin cập nh hác .Trong IGRP ,các
thôn
a các m
ằng cách nhậ
ật từ các router IGRP k
g tin về đường hệ thống không có thông tin về subnet tương ứng.
Hình 7.3.3
ng ngoại vi là những đường đi ra ngoài hệ tự quản (autonomous Đuờ
system).Thông thường thì đây là gateway của router để đi ra ngoài .Phần mềm
Cisco IOS s hững đường ngoại vi của IGRP để làm
gate Ro i mạng đích là một mạng không
kết n ực ti c một đường nào khác để đến
mạn ản có nhiều đường ngoại vi để kết nối ra ngoài
thì mỗ
7.3.4. Tính ổ
IGRP c ật để tăng tính ổn định trong hoạt động định
tuyế
•
Holddowns :
ẽ chọn một đường trong số n
way . uter sẽ sử dụng đến đường gateway kh
ối tr ếp vào router và router không tìm đượ
g đích .Nếu trong một hệ tự qu
i router có thể chọn cho mình một gateway khác nhau.
n định của IGRP
ũng có sử dụng một số kỹ thu
n của nó như:
• Thời gian holddown
• Split horizon.
Poison reverse
174
Thờ ho router cập nhật những thông tin
đượ ưng lại là những thông tin cũ , chưa được cập
nhậ
Split horizo
Split horizons là nguyên tắc giúp cho router tránh bị lặp vòng bằng cách ngăn
khô r g tin cập nhật ra một hướng mà nó vừa nhận
đượ
Poi
Spl
pois
nào
rou
đườ thì khi một con đường có thông
số định tuyến tăng lên theo hệ số 1.1 hoặc lớn hơn nữa thì nó sẽ phát đi thông tin
cập nhật poison resverse cho con đường đó .
Ngoài ra, IGRP còn có nhiều thông số về thời gian khác như: chu kỳ cập nhật ,thời
gian invalid, thời gian holddown ,thời gian xóa.
Thông số của chu kỳ cập nhật cho b bao lâu thì router thực hiện gửi
thông tin cập nhật một lần .Đối với IGRP chu kỳ mặc định là 90 gây.
Giá t trong khoảng thời gian bao lâu thì router vẫn
thực hi
nhậ
gian
Nếu
hold
nhậ
trướ
thê
trướ ến .Trong IGRP ,thời gian
xóa bằng 7 lần chu kỳ cập nhật.
i gian holddown được sử dụng để trách c
c phát ra do chu kỳ cập nhật nh
t mới.
ns:
ng choouter gửi lại những thôn
c tù chính hướng đó .
son resverse:
it horizons chỉ tránh được lặp vòng giữa 2 router kết nối trực tiếp với nhau ,còn
on resverse có thể tránh được vòng lặp lớn hơn .Thông thường ,khi một đường
đó có thông số định tuyến cứ tăng dần lên là đường đó đã bị lặp vòng .Khi đó
ter phải phát ra thông tin poison resverse để xóa con đường đó và đặt con
ng đó vào trạng thái holddown .Đối với IGRP
iết thời gian
trị của thời gian invalid cho biế
ện gửi thông tin cập nhật bình thường về một đường nào đó trước khi xác
n chắc chắn là con đường đó không còn sử dụng được nữa .trong IGRP , thời
invalid mặc định là bằng 3 lần chu kỳ cập nhật .
có một mạng đích bắt đầu được đặt vào trạng thái holddown thì thời gian
down là khoảng thời gian mà router sẽ không cập nhật bất kỳ thông tin cập
t nào về mạng đích đó nếu thông số định tuyến xấu hơn con đường router có
c đó . Trong IGRP ,thời gian holddown mặc định bằng 3 chu kỳ cập nhật cộng
m 10giây. Cuối cùng ,thời gian xóa là khoảng thời gian mà router phải chờ
c khi thật sự xóa một con đường trong bảng định tuy
175
Th
ieu vbản
.
Hình 7.3.5
6 Sự chuyển đổi từ RIP sang IGRP 7.3.
176
Với
đầu
nội chọn đường dựa vào bằng thông và độ trễ của các đường
liên kết mạng .IGRP hội tụ nhanh hơn RIP nên cũng trách được lặp vòng tốt hơn
.Hơn nữa ,IGRP không còn bị giới hạn bởi s lượng hop như RIP nữa .Nhờ những
ưu điểm trên, IGRP có thể phát triển c hệ thống mạng có cấu trúc lớn
và phức tạp .
ước để chuyển đổi từ RIP sang IGRP :
sự ra đời của IGRP vào đầu thập niên 80 ,Cisco Sytems đã trở thành công ty
tiên khắc phục được các nhược điểm của RIP khi định tuyến giữa các router
bộ .IGRP quyết định
ố
được cho cá
Sau đây là các b
1. Kểm tra xem trên router có chạy RIP hay không .
Hình 7.3.6a
Hình 7.3.6b
177
2. Cấu hình IGRP cho router A và B .
Hình 7.3.6c
3. Nhập lệnh show ip protocols trên router A và B .
178
Hình 7.3.6d
179
4. Nhập
Hình 7.3.6e
lệnh show ip route trên router A và B.
180
Hình 7.3.6f
Hình 7.3.6g
7.3.7 Ki
Để ki
g
.
Ngoài ra còn các l
ểm tra cấu hình IGRP
ểm tra xem IGRP đã được cấu hình đúng chưa bạn dùng lệnh show ip
route và kiểm tra các đường của IGRP được đánh dấu bằng chữ “I” ở đầu dòn
ệnh sau bạn có thể sử dụng để kiểm tra cấu hình IGRP :
• Show interface interface
• Show running-config
181
• Show running-config interface interface
• Show running-config | begin interface interface
• Show running-config | begin igrp
• Show ip protocols
kiểm tra xem cổng Ethernet đã được cấu hình đúng chưa thì bạn dùng lệnh Để
sho
Để p
g
w interface fa0/0.
kiểm tra IGRP đã được chạy trên router chưa thì bạn dùng lệnh show i
protocols.
7.3.8 Xử lý sự cố của IGRP
Phần lớn các sự cố của IGRP là do bạn khai báo sai lệnh network ,địa chỉ mạn
IP không liên tục ,khai báo số AS sai .
Hình 7.3.8a
Sau
• Show ip protocols
• Show ip route
• Debug ip igrp events
• Debug ip igrp transactions
• Ping
• Traceroute
đây là các lệnh được sử dụng để tìm sự cố của IGRP :
182
Hình 7.3.8b
Hình 7.3.8c
trì thông tin
định tuyến như thế nào .
ng lặp có thể
xuất hiện như thê nào .
Nếu chỉ số AS sai thì bạn có thể sửa lại chỉ số này như hình trên .
Tổng kết
Sau đây là các điểm quan trong bạn cần nắm được trong chương này:
• Giao thức định tuyến theo vectơ khoảng cách thực hiện bảo
• Trong các giao thức định tuyến theo vectơ khoảng cách ,vò
183
• Cơ chế định nghĩa giá trị tối đa để tránh đếm vô hạn .
• Tránh vòng lặp bằng split horizon .
ho router gửi thông tin cập nhật về định tuyến ra một cổng .
u hình RIP
ủa IGRP
• Thông số định tuyến của IGRP
• Route poisoning.
• Tránh lặp vòng bằng cơ chế cập nhật tức thời .
• Tránh lặp vòng bằng thời gian holddown .
• Ngăn không c
• Chia tải ra nhiều đường .
• Tiến trình RIP
• Cấ
• Sử dụng lệnh ip classless.
• Những vấn đề thường gặp khi cấu hình RIP
• Chia tải với RIP
• Tích hợp đường cố định vơi RIP
• Kiểm tra cấu hình RIP
• Đặc điểm c
• Các loại đường trong IGRP
• Tính ổn định của IGRP
• Cấu hình của IGRP
• Sự chuyển đổi từ RIP sang IGRP
• Kiểm tra cấu hình IGRP
• Xử lý sự cố của IGRP
184
CHƯƠNG 8
THÔNG ĐIỆP ĐIỀU KHIỂN VÀ BÁO LỖI CỦA TCP/IP
GIỚI THIỆU
IP là một giao thức tự nỗ lực tối đa (Best - effort)để chuyển gói tới đích. Nó
không hề có cơ chế nào để xác nhận dữ liệu đã được chưyển tới đích .Dữ liệu
có thể gặp sự cố trên đường đi tới đích vì rất nhiều lý do như phần cứng bị hư
hỏng, cấu hình sai hoặc thông tin định tuyến không đúng. Để giúp xác định các
sự cố xảy ra ,IP sử dụng giao thức thông điệp điều khiển Internet (ICMP -
Internet Control Message Protocol) để thông báo cho máy nguồn biết là sự cố
xảy ra trong quá trì ại thông điệp
báo lỗi khác nh sử dụng.
ận các thông điệp điều khiển và báo lỗi cho
host trên mạng. Chương này sẽ tập trung nhiều vào các thông điệp điều khiển
.Đây là những thông điệp cung cấp thông tin về cấu hình ,định tính cho host
.Am hiểu về thông điệp điều khiển của ICMP là một phần rất quan trọng giúp
bạn xử lý sự cố mạng và hiểu được một cách đầy đủ về mạng IP.
Sau đây hoàn tất chương này ,bạn có thể thực hiện đựơc những việc sau:
• Mô tả ICMP.
• Mô tả cấu trúc của thông điệp ICMP.
• Xác định loại thông điệp b .
• Xác định nguyên nhân liên quan ng loại thông điệp báo lỗi ICMP.
nh truyền dữ liệu. Chương này sẽ mô tả các lo
au của ICMP và trường hợp nào thì chúng được
Bản thân IP không có cơ chế gửi thông điệp điều khiển và báo lỗi nên nó sử
dụng ICMP để thực hiện việc gửi nh
áo lỗi ICMP
đến từ
• Mô tả thông điệp điều khiển ICMP.
• Xác định được cácloại thông điệp điều khiển ICMP được sử dụng trong
mạng ngày nay.
• Xác định nguyên nhân liên quan đến thông điệp điều khiển ICMP.
8.1.Tổng quát về thông điệp báo lỗi của TCP/IP
185
8.1.1. Giao thức thông điệp điều khiển Interne (ICMP)
IP là một phương thức truyền dữ liệu không tin cậy trên mạng. Nó là một giao
thức tự nỗ lực tối đa để truyền dữ liệu tới đích. Trong đó, IP không hề có một
cơ chế nào để xác nhận là dữ liệu đã đến đích. Nếu một thiết bị trung gian trên
đường đi như router chẳng hạn bị sự cố, hay là thiết bị đích không kết nối vào
mạng nên dữ liệu không truyền tới đích thì IP không hề có cơ chế nào để thông
báo cho người gửi biết là quá trình truyền dữ liệu đã bị sự cố. Giao thức thông
điệp điều khiển Internet (ICMP) là một giao thức của bộ TCP/IP đã bổ sung cho
đề về
yết ở các lớp trên nếu cần thiết.
như hình
ề sự cố đã xảy ra.
khiếm khuyết này của IP. ICMP không khắc phục được sự không tin cậy của IP.
ICMP chỉ đơn giản là phát đi các thông điệp để thông báo về sự cố. Vấn
độ tin cậy thì sẽ được giải qu
8.1.2 . Thông báo lỗi và khắc phục lỗi.
ICMP là một giao thức thông báo lỗi của IP. Khi quá trình truyền dữ liệu xảy ra
lỗi thì ICMP được sử dụng để thông báo lỗi cho nơi gửi dữ liệu. Ví dụ
8.2.1. Máy 1 chuyển dữ liệu cho máy 6 nhưng cổng Fa0/0 trên Router C bị
ngắt, khi đó Router C sử dụng ICMP để gửi thông báo lỗi cho Máy 1 biết là dữ
liệu không truyền được tới đích. ICMP không khắc phục được sự cố mà nó chỉ
đơn giản là thông báo v
Hình 8.2.1
186
Router C nhận được gói dữ liệu nó chỉ biết được địa chỉ IP nguồn
Thông điệp ICMP cũng được truyền ư các gói dữ liệu khác cho nên nó
cũng có thể gặp sự cố. Điều này dẫn tới một vấn đề là nếu một thông điệp báo
lỗi gặp sự cố thì sẽ làm phát sinh thêm các thông điệp báo lỗi nữa và điều này
làm cho mạng càng bị nghẽn hơn khi sự cố vốn đã xảy ra và còn đang tồn tại
trên mạng. Chính vì vậy, các thông điệp báo lỗi của ICMP sẽ không tạo thêm
các thông điệp báo lỗi cho chính nó .Như vậy thì các thông điệp báo lỗi cũng có
khả năng là không bao giờ đến đến được máy nguồn của gói dữ liệu.
từ Máy 1,
đích của gói dữ liệu thôi. Router C không thể biết chính xác con đường mà gói
dữ liệu đã đi đến được Router C. Do đó khi gửi thông báo lỗi thì Router C chỉ
có thể gửi cho Máy 1 chứ không gửi cho Router A và B. Như vậy là thông báo
ICMP chỉ gửi cho thiết bị nguồn của gói dữ liệu chứ không gửi cho các router.
8.1.3.Truyền thông điệp ICMP
Thông điệp ICMP đựơc đóng gói giống như các dữ liệu khác khi truyền đi bằng
IP. Hình 8.1.3 cho thấy dữ liệu của ICMP được đóng gói trong gói IP như thế
nào.
đi nh
Hình 8.1.3
8.1.4. Mạng không đến được
Để thực hiện được việc thông ti mạng thì các điều kiện cơ bản cần n liên lạc trên
phải có đủ .Trước tiên là thiết bị gửi và nhận dữ liệu phải được cấu hình đúng
bộ giao thức TCP/IP.Việc này bao gồm cài đặt bộ giao thức TPC/IP và cấu
hình địa chỉ IP.,subnet mask cho thiết bị .Ngoài ra bạn cần phải khai báo
Defoult gateway nếu thiết bị cần truyền dữ liệu ra ngoài phạm vi cục bộ .Thư
hai là các thiết bị trung gian phải thực hiện việc định tuyến đúng để chuyển gói
từ nguồn đến đích .Router là thiết bị thực hiện nhiệm vụ này .Do đó router phải
187
được cấu hình bộ TCP/IP cho các cổng giao tiếp và sử dụng giao thức định
tuyến thích hợp .
Nếu 2 điều kiện trên không được đáp ứng thì hệ thống mạng không thể thực
hiện thông tin liên lạc được .Ví ột thiết bị gửi dữ liệu đến một địa
Hình 8.1.4 minh họa cho trường hợp router không thể gửi gói dữ liệu đến đích
do router không biết đường đến mạng đích , router gửi thông điệp ICMP về cho
máy nguồn để thông báo là mạng đích không đến được .
dụ như khi m
chỉ IP không tồn tại hoặc là thiết bị đích đã bị ngắt kết nối ra khỏi mạng .
Router cũng là nguyên nhân của sự cố nếu cổng giao tiếp trên router bị ngắt
hoặc router không có thông tin cần thiết để tìm ra đường tới mạng đích .Những
trường hợp như vậy đều được xem là mạng đích không đến được .
Hình 8.1.4
8.1.5 Sử dụng lệnh ping để kiểm tra xem địa chỉ đích có đến được không
Giao thức ICMP có thể được sử dụng để kiểm xem có đến được một địa chỉ nào
đó hay không .ICMP sẽ gửi thông điệp echo request đến máy đích .Nếu máy
đích nhận được echo request thì sẽ trả lời lại thông điệp echo reply cho máy
nguồn .Nếu máy nguồn nhận được echo reply thì điều đó khặng định là máy
đích có thể đến được bằng giao thức IP.
188
Lệnh ping khởi tạo các thông điệp echo request .Ví dụ như hình 8.1.5a và
.5b ,chúng ta sử dụng lệnh ping với địa chỉ IP đích .Lệnh ping gửi đi 4 gói
o request và nhận về 4 gói echo reply xác nhận kết nối IP giữa 2 thiết bị hoạt
g tốt.
8.1
ech
độn
Hình 8.1.5a
Hình 8.1.5b
8 6. Phát h đường dài quá
Gói dữ liệu khi truyền đi trên mạng có thể bị truyền lòng vòng và không bao
g đế ề định dụ
nh 2 rout ộ ằng
router kia mới là trạm kế tiếp đến đích .
.1. iện giới hạn
iờ
ư
n được đích .Đi
er cú gửi m
u này có thể xảy ra khi thông tin
t gói dữ liệu qua lại cho nhau vì router này ngh
tuyến bị sai ,ví
ĩ r
189
Giao thức định tuyến có quy trình có quy định giới hạn để xác định mạng đích
không đến được .Ví dụ như RIP có số hop giới hạn là 15 .Điều này có nghĩa là
gói dữ liệu chỉ được phép đi qua tối đa 15 router.
à gói dữ liệu đi qua bị lặp vòng hoặc có quá nhiều hop thì khi
m giá trị TTL đi 1 .Khi giá trị TTL
b g 0 thì router sẽ hủy bỏ gói ICMP dù e
eee bá của bị hết
thời gian .
8.1.7.Thông điệp echo
Như bất kỳ các loại gói dữ liệu khác ,thông điệp ICMP cũng có định dạng riêng
• Type
Phầ
biế
tro phần này được sử dụng để kiểm tra lỗi cho dư
liệu.
Trong hình 8.1.7a là cấu trúc của thông điệp ICMP echo request và echo reply
.Trong đó chỉ số Type và Code tương ứng với mỗi loại thông điệp .Phần
ntifier equence Numb ối với từng gói echo request và
o ro c tương
ứng với echo request nào.Còn phần Data chứa các thông tin bổ sung của thông
điệp echo request và echo reply.
Khi con đường m
gói dữ liệu vượt qua giá trị hop tối đa ,giá trị Time-to-live (TTl)của gói dữliệu
cũng hết thời gian vì giá trị TTL được cài đặt khớp với số hop tối đa đã được
định nghĩa của giao thức định tuyến.Mỗi một gói dữ liệu đều có một giá trị TTL
.Mỗi router sau khi xử lý gói dữ liệu sẽ giả
ằn dữ liệu đó .Khi đó ng thông điệp “Tim
xc ded” để thông o cho máy nguồn biết là TTL gói dữ liệu đã
.Mỗi một loại thông điệp ICMP có một đặc điểm riêng nhưng tất cả các gói
ICMP đều bắt đầu bằng 3 phần :
• Code
• Checksum
n type cho biết loại thông điệp nào của ICMP được gửi đi. Phần Code cho
t chi tiết hơn về loại thông điệp ICMP .Phần checksum cũng tương tự như
ng các loại gói dữ liệu khác ,
Ide và S er sẽ khác nhau đ
ech reply .Chỉ số t ng 2 phần này được sử dụng để xá định echo reply
190
Hình 8.1.7a
Hình 8.1.7b
8.1.
ô g hỏng
ần c
h h không
.
”.
Giá trị 3 trong phần Type cho biết đây là thông điệp “Destination Unreachable”
.Giá trị trong phần Code sẽ ch nhân tại sao không chuyển được
8.Thông điệp “Destination Unreachable”
Kh
ph
ng phải lúc nào
ứng ,cấu hình giao t
ói dữ liệu cũng chuyển được đến đ
hức không đúng ,cổng giao ti
ích .Ví dụ như hư
ếp bị ngắt ,thông tin
địn tuyên sai… là n ững nguyên nhân có thể gây ra làm cho gói dữ liệu
thể chuyển được tới đích .Trong những trường hợp như vậy thì ICMP gửi thông
điệp “Destination Unreachable” cho máy gửi để thông báo là gói dữ liệu không
chuyển được tới đích
Trong hình 8.1.8a là cấu trúc của thông điệp “Destination Unreachable
o biết nguyên
gói dữ liệu đến đích .Ví dụ như phần Code có giá trị 0 có nghĩa là mạng đích
không đến được .
191
Hình 8.1.8a
Hình 8.1.8b
Khi gói dữ liệu đựơc chuyển từ -ring ra mạng Ethernet thì thường
ác loại lỗi khác
mạng Token
phải phân mảnh ra thành các gói nhỏ hơn .Nếu gói dữ liệu không cho phép phân
mảnh thì gói dữ liệu không thể chuyển ra được ,khi đó thông điệp “Destination
Unreachable” sẽ được gửi đi.Thông điệp ICMP này cũng được gửi đi khi các
dịch vụ liên quan đến IP như FTP ,Web không tim thấy .Điều quan trong khi xử
lý sự cố mạng IP là bạn cần phải hiểu được các nguyên nhân khác nhau tạo nên
thông điệp ICMP “Destination Unreachable”.
8.1.9.Thông báo c
Khi thiết bị xử lý gói dữ liệu không chuyển gói dữ liệu đi được do một số lỗi ở
phần Header của gói dữ liệu .Loại dữ liệu này không liên quan gì đến host đích
hay mạng đích nhưng nó vẫn làm cho gói dữ liệu không thể chuyền được đến
đích .Trong trường hợp này ,thông điệp ICMP “Parameter Problem”,Type 12 sẽ
được gửi về cho máy nguồn.
192
Trong hình 8.1.9 là cấu trúc của thông điệp “Parameter Problem”.Trong đó có
n Pointer .K phầ hi giá trị Code là 0 ,phần Pointer cho biết octet nào trong gói dữ
liệu bị lỗi .
Hình 8.1.9
8.2.Thông điệp điều khiển của TCP/IP
8.2.1.Giới thiệu về thông điệp điều khiển
ICMP là một phần của bộ giao thức TCP/IP .Thực tế là tất cả các hệ thống IP
đều phải bao gồm ICMP .Lý do của vi c này hết sức đơn giản .Trước hết là IP
không có cơ chế nào để đảm bảo ã được chuyển tới đích ,hoàn toàn
ì cho host biết khi sự cố xảy ra .IP không có cơ chế cung cấp
hoặc điều khiển cho host .Và ICMP đã thực hiện việc này
cho IP .
ệ
là dữ liệu đ
không thông báo g
thông điệp thông báo
Hình 8.2.1
Không giống như thông điệp báo lỗi ,thông điệp điều khiển không phải được
tạo ra là do mất gói dữ liệu hay do lỗi của quá trình truyền dữ liệu .Mà các
thông điệp điều khiển được dùng để thông báo cho host biết về tình trạng nghẽn
193
mạch trên mạng hay thông báo cho host biết là có một gateway tốt hơn dẫn đến
mạng đích …Cũng giống như tất cả các gói ICMP khác ,thông điệp điều khiển
ói IP để truyền thông điệp trên
nhau .Một số loại thường
p nhất là redirect/change request.Loại
à thông thường đó chính là router .Tất
i được cấu hình
kết nối vào
,một host được nối vào router
.Host B được cấu hình default gateway là địa
ụng địa chỉ IP này để đến các
mạng khác .Bình thường host B chỉ kết nối đến một gateway.Tuy nhiên cũng
có trường hợp một host kết nối vào mạng 2 hay nhiều router.Trong trường hợp
đó , default gateway của host sẽ cần dùng redirect/change request để thông báo
cho host biết về một gateway khác tốt hơn để đến một mạng đích nào đó.
được đóng gói trong gói IP .ICMD sử dụng g
mạng .
ICMP có rất nhiều loại thông điệp điều khiển khác
gặp nhất được thể hiện ở hình 8.2.1.
8.2.2.Thông điệp ICMP redirect/change request
Thông điệp điều khiển ICMP thường gặ
thông điệp này được tạo ra bởi gateway m
cả các host khi muốn thông tin liên lạc với các mạng IP đều phả
default gateway. Default gateway là địa chỉ của một cổng trên router
cùng một mạng với host .Như trong hình 8.2.2a
và router này có kết nối ra Internet
chỉ IP của cổng Fa0/0trên router.Host B sẽ sử d
Hình 8.2.2a
194
Trong hình 8.2.2b là một ví dụ cho trường hợp cần sử dụng ICMP redirect.Host
H gửi dữ liệu cho Host C trong mạng 10.0.0.0/8 .Vì mạng đích không kết nối
trực tiếp vào Host H nên Host H gửi gói đến default gateway của nó là Router
ạng 10.0.0.0/8 thì
c trở ra cổng mà
vào .Khi đó router R1 sẽ chuyển gói dữ liệu đi và
R1 .Router R1 tìm trên bảng định tuyến để tìm đường đến m
thấy rằng để chuyển gói tới đích router phải gửi gói này ngượ
nó vừa mới nhận gói dữ liệu
đồng thời gửi thông điệp ICMP redirect/change request tới Host H để thông báo
là Host H nên sử dụng Router R2 làm gateway cho tất cả các gói dữliệu đến
mạng 10.0.0.0/8 .
Hình 8.2.2b
Default gateway chỉ gửi thông điệp ICMD redirect/change request khi gặp các
điều kiện sau :
dữ liệu đi.
• Địa chỉ IP của máy nguồn là cùng một mạng /subnet với địa chỉ IP của
ược lại máy nguồn .
báo cho host không phải là đường
h của router và cũng không phải là của một ICMP redirect nào
Bạn có thể dùng lệnh no ip redirect
để tắt chức năng này trên một cổng nào đó của router ).
• Cổng mà router nhận gói dữ liệu vào cũng chính là cổng mà router sẽ
chuyển gói
trạm kế tiếp .
• Gói dữ liệu nhận được không phải gửi ng
• Con đường mà router thực hiện thông
mặc địn
khác.
• Router phải được cấu hình để thực hiện redirect.(Mặc định là Cisco
router thực hiện gửi ICMP redirect.
195
Thông điệp ICMP redirect /change request có cấu trúc như hình 8.2.2c.Trong
đó phần Type có giá trị là 5 ,phần Code có giá trị là 0,1,2 hoặc 3.
Phần Router Internet Address chứa địa chỉ IP của gateway mới .Ví dụ như trên
a Router R1 gửi cho Host H ,phần Router Internet : trong thông điệp redirect củ
Address sẽ có giá trị là 172.16.1.200,đây là địa chỉ IP của cổng E0 trên Router
R2 .
Hình 8.2.2c
Hình 8.2.2d
8.2.3.Đồng bộ đồng hồ và ước tính thời gian truyền dữ liệu
Bộ giao thức TCP/IP cho phép hệ thống mạng này kết nối với hệ thống mạng
iệp ICMP Timestamp được thiết kế để giải quyết vấn đề
Thông điệp ICMP timestamp request cho phép một host hỏi giờ hiện tại trên
một máy khác .Máy được hỏi sẽ dùng thông điệp ICMP timestamp reply để trả
lời .
khác ở cách nhau rất xa thông qua nhiều hệ thống mạng trung gian .Mỗi một hệ
thống mạng có một cơ chế đồng bộ đồng hồ riêng .Do đó khi một host ở mạng
khác sử dụng phần mềm cần đồng bộ thời gian để thực hiện liên lạc thì có thể
sẽ gặp rắc rối .Thông đ
này .
196
Phần Type trong thông điệp ICMP timestamp có gi 13 (timestamp
p reply ) .Ph ị là 0 vì loại thông
có gì khác hơn. Phần Originate timestamp là thông tin về giờ
y trước khi th được
gửi đi .Phần Recive timestamp là thời điểm mà máy đích nhận được yêu cầu
ICMP timestam
á trị là
request )hoặc 14(timestam
điệp này không
ần Code luôn có giá tr
hiện tại trên máy gửi nga ông điệp ICMP timestamp request
request .Phần Transmit timestamp là th
máy này gửi thông điệp
ời điểm trên máy trả lời ngay trước khi
p reply.
Tất cả 3 thống số về thời gian trên đều
điểm nửa đêm theo giờ Quốc tế (Unive
được tính bằng số mili giây tính từ thời
sal Time -UT).
Hình 8.2.3
Tất cả các thông tin ICMP timestamp reply đều có đầy đủ 3 thông số :thời điểm
điểm nhận được request và thời điểm gửi gói reply .Dựa
n
mp.Kết quả này cũng chỉ
ại trên máy đích .
iệp ICMP information request và reply cho phép host xác định địa chỉ
mạng của nó .Hình 8.2.4 là cấu trúc của loại thông điệp này.
gửi gói request ,thời
vào 3 thông số này host có thể ước lượng được khoảng thời gian dữ liệu truyề
trên mạng từ máy nguồn đến máy đích bằng cách lấy giá trị của phần Originate
Timestamp trừ cho giá trị của phần Transmit timesta
mang tính chất ước lượng thôi vì thời gian truyền thật sự còn phụ thuộc vào lưu
lượng truyền thực tế trên mạng lúc đó .Ngoài ra ,host còn có thể ước tính được
giờ hiện t
Thông điệp ICMP timestamp là một cách đơn giản để uớc đoán giờ trên máy
đích và ước tính tổng thời gian truyền trên mạng nhưng đây chưa phải là cách
tốt nhất .Giao thức Network Time Protocol (NTP) ở lớp trên của giao thức
TCP/IP thực hiện đồng bộ đồng hồ theo cách tin cậy và chính xác hơn.
8.2.4.Thông điệp Information request và reply
Thông đ
197
Hình 8.2.4
Phần Type có 2 giá trị :giá tr
.Loại thông điệp này của
ị 15 tương ứng với thông điệp Information reply
ICMP được xem là đã quá lỗi thời .Hiện nay ,các giao
ho host
.
Khi người quản trị mạng dùng một địa chỉ IP lớn chia ra thành nhiều subnet
,các subnet sẽ có subnet mask tương ứng .Subnet mask được sử dụng để xác
nhận các bit của phần Network .Subnet và các bit của thành phần Host trong
địa chỉ IP .Nếu một host biết địa chỉ IP của router thì nó gửi yêu cầu tới trực
tiếp của router ,còn nếu không thì nó sẽ quảng bá yêu cầu của nó .Khi router
nhận được yêu cầu này ,router sẽ dùng thông điệp Address mask reply để trả
lời .Trong thông điệp Address mask reply sẽ có subnet mask chính xác cho
host.Ví dụ : môt host trong mạng lớp B có địa chỉ IP là 172.16.5.2 .Host này
không biết subnet mask của mình nên nó broadcast thông đ p Address mask
request như sau :
ress:172.16.5.2
ời bằng thông điệp
Address mask reply như sau :
thức BOOTP và DHCP được sử dụng nhiều để cung cấp địa chỉ mạng c
8.2.5 Thông điệp Address Mask
iệ
Source add
Destination address:255.255.255.255
Protocol :ICMP =1
Type :Address Mask Request =AM1
Code :0
Mask:255.255.255.0
Router 172.16.5.2 nhận được thông điệp trên và trả l
198
Source address:172.16
pe :Address Mask Request =AM2
Cấu trúc của thông điệp Address Mask Request và reply được thể hiện ở hình
8.2.5.Thông điệp Address Mask Request và reply có cấu trúc hoàn toàn như
nhau ,chỉ khác nhau giá trị phần Type .Phần Type có giá trị 17 là tương ứng với
request ,còn giá trị 18 là tương ứng với reply .Phần Identifier và Sequênc
Number giúp phân biệt reply nào tương ứng với request nào ,giá trị hai phần
này thường là 0.Phần Checksum được dùng để kiểm tra lỗi cho thông điệp
ICMP được tính bắt đầu từ phần Type trở đi.
.5.1
Destination address:172.16.5.2
Protocol :ICMP =-1
Ty
Code :0
Mask:255.255.255.0
Hình 8.2.5
ưa được cấu hình Default
g địa chỉ multicast là 224.0.0.2 .Thông điệp này cũng có thể được gửi
broadcast để gửi đến được những router không có cấu hình multicast .Khi nhận
,nếu router không có cấu hình hỗ trợ quá trình này thì
router sẽ không trả lời gì hết .Còn nếu router có hỗ trợ quá trình này thì router
sẽ trả lời lại bằng thông điệp Router advertisement .Cấu trúc của thông tin điệp
Router advertisement được mô tả ở hình 8.2.6.
8.2.6 . Thông điệp của router
Khi có host trong mạng bắt đầu khởi động và host ch
gateway thì nó có thể tìm gateway bằng thông điệp Router discovery.Trước
tiên ,host gửi thông điệp Router solicitation cho tất cả các router bằng cách
dùn
được thông điệp trên
199
Hình 8.2.6
8.2.7 . Thông điệp Router solicitation
Host gửi thông điệp Router solicitation trong trường hợp bị mất Default
gateway.Thông điệp này được gửi multicast và đây chính là bứơc đầu tiên của
quá trình tìm router đã đề cập ở phần 8.2.6 .Router sẽ trả lời lại bằng thông
sement,trong đó có cung cấp Default gateway cho host điệp Router Adverti
.Hình 8.2.7 là cấu trúc của thông điệp Router solicitation:
Hình 8.2.7
8.2.8.Thông điệp báo nghẽn và điều khiển luồng dữ liệu
điệp ICMP source-quence giúp
tốc độ phát gói dữ liệu .Sau khoảng thời gian ngăn
,nghẽn mạch được giải tỏa và máy gửi có thể tăng dần tốc độ truyền lên sau khi
không còn nhận được thông điệp source-quence nào nữa .Mặc định là đa số các
Cisco router không thực hiện gử source-quence vì có thể các thông
điệp này còn làm cho tình trạng tắc nghẽn bị tăng thêm .
Nếu có nhiều máy tính cùng lúc truy xuất vào cùng một máy đích thì máy
đích có thể bị quá tải .Nghẽn mạch có thể xảy ra khi lưu lượng từ mạng LAN
tốc độ cao được truyền ra kết nối WAN có tốc độ thấp hơn .Nếu mạng bị nghẽn
quá mức thì các gói dữ liệu sẽ bị hủy bỏ .Thông
làm giảm lượng dữ liệu bị hủy bỏ .Thông điệp này sẽ được gửi cho máy gửi để
yêu cầu máy gửi giảm
i thông điệp
200
Mô hình văn phòng nhỏ -văn phòng tại nhà (SOHO –Small Office Home
Office)là một trường hợp áp dụng tốt ICMP source-quence .Ví dụ một SOHO
cáp Cat5 và 4 máy này
úng ta thấy rằng đường
ng truy cập Internet này cho các máy tính còn lại có thể dùng thông điệp
có một mạng gồm 4 máy tính được nối với nhau bằng
chia sẻ nhau một kêt nối Internet 56K bằng moden .Ch
kết nối WAN với băng thông 56K sẽ nhanh chóng bị quá tải với mạng LAN
băng thông 100Mbps của SOHO ,kết quả là dữ liệu sẽ bị mất và phải truyền lại
nhiều lần .Máy tính có kêt nối ra Internet và giữ vai trò gateway để chia sẻ
đườ
ICMP yêu cầu các máy tính khác giảm tốc độ truyền để trách việc mất mát dữ
liệu do nghẽn mạch.
Hình 8.2.8
TỔNG KẾT
Sau đây là các điểm quan trọng bạn cần nắm trong chương này :
ói dữ liệu .IP sử dụng thông điệp
ữ liệu đã không chuyển tới được
ười quản trị mạng
truyền thông điệp ICMP không tin cậy .
• Gói ICMP có phần Header riêng đặc biệt bắt đầu bằng phần Type và Code.
• Xác định được nguyên nhận tạo ra các thông điệp báo lỗi của ICMP .
• IP là cơ chế tự nỗ lực tối đa để truyền g
áy nguồn biết là d ICMP để thông báo cho m
đến đích .
• Thông điệp ICMP echo request và echo reply cho phép ng
kiểm tra kết nối IP trong quá trình xử lý sự cố mạng .
• Thông điệp ICMP cũng được vận chuyển bằng giao thức IP nên quá trình
201
• Chức năng của các thông điệp điều khiển ICMP.
• iệp ICMP redirect/change rquest .
iệp ICMP để đồng bộ đồng hồ và ước lượng thời gian truyền dữ liệu
dữ liệu.
Thông đ
• Thông đ
.
• Thông điệp ICMP information request và reply.
• Thông điệp ICMP để tìm router .
• Thông điệp ICMP router solicitation.
• Thông điệp ICMP để báo nghẽn và điều khiển luồng
202
Lời nói đầu
Nhằn đảm bảo kiến thức cần thiết cho một CCNA giáo trình hệ thống mạng máy
giáo trình hệ thống mạng máy tính CCNA 2 giúp bạn tìm hiểu
hoạt dộng của router và hướng dẫn cấu hình cơ bản cho router với các giao thức
cách thức cấu hình cho hai giao thức OSPF và EIGRP được trình bày rất
h và so sánh chi tiêt hoạt động của các loại thiết bị mạng như
n VLAN
về cơ chế hoạt động của switch trong VLAN và cách thức cấu hình switch, router
để
Nó
nắm vữ ột LAN. Chúc cácbạn đạt
đượ
quan tr còn lại cho một CCNA. Là cáccông nghệ WAN dùng để kết nối giữa
các mạ
tínhC
Mặc d g chắc không thể tránh khỏi
nhữ ọc ủng hộ và đóng góp ý kiến. Xin chân thành
cảm n
tính
CCNA 1 đã giới thiệu khái quát hệ thống mạng số liệu theo mô hình phân lớp.
Trong giáo trình này toàn bộ kiến thức cơ bản về hệ thống mạng số liệu đã được
giới thiệu. Kế tiếp
định tuyến đơn giản như RIP, IGRP. Như các bạn đã biết router là thiết bị quan
trọng của mạng số liệu với nhiệm vụ then chốt là định tuyến . Nhiệm vụ định tuyến
của router không dừng lại ở đó mà được phát triển tốt hơn. Từ đó . giáo trình hệ
thống mạng máy tính CCNA 3 tiếp tục phân tích sâu sắc về các đặc điểm hoạt
động của từng loại giao thức định tuyến phức tạp khác trong router. Đặc biệt hoạt
động và
chi tiết trong giáo trình này.
Ngoài ra giáo trình hệ thống mạng máy tính CCNA 3 còn giúp các bạn hiểu rõ hoạt
động của switch và hướng dẫn cấu hình để đưa switch vào hoạt động. Giáo trình
này cũng phân tíc
reapeater, hub, switch và router. Đặc biệt một số chương giúp bạn tiếp cậ
tạo các VLAN
i tóm lại mục tiêu của giáo trình hệ thống máy tính CCNA 3 là giúp các bạn
ng toàn bộ các khía cạnh nối mạng cơ bản cho m
c mục tiêu này và thực sự làm chủ được một LAN. Khối kiến thức và kỹ năng
ọng
ng LAN. Chủ đề này sẽ được trình bày trong giáo tình hệ thống mạng máy
CNA 4
ù rất cố gắng trong quá trình biên soạn nhưn
ng thiếu sót rất mong được bạn đ
ơ
203
Lờ
Kínt n MKPUB trước hết xin bày tỏ long
biế n o Bạn đọc đối với tủ sách
MK
Kh
ao động khoa học nghiêm túc
i ngỏ
h hưa quý bạn đọc gần xa. Ban xuất bả
t ơ và niêm vinh hạnh trước nhiệt tình của đông đả
MUB trong thời gian qua
ẩu hiệu của chúng tôi là:
L
Chất lượng va ngày càng chất lượng hơn
Tất cả vì Bạn đọc
Rất nhiều bạn đọc đã gửi mail cho chúng tôi đóng góp nhiều ý kiến quý báo cho tủ
sách
Ban xuất bản MK MUB xin được kính mời quý bạn đọc tham gia cùng nâng cao
chất lượng tủ sách của chúng ta
Trong quá trình đọc, xin các bạn ghi chú lại các sai sót của cuốn sách hoặc các
nhận xét của riêng bạn. Sau đó xin gửi về địa chỉ
Emal: [email protected] – [email protected]
Hoặc gửi về : Nhà sách Minh khai
249 Nguyễn Thị Minh Khai, Q1, tp Hồ chí Minh
ếp lên cuốn sá ốn sách đó cho chúng tôi thì
tôi sẽ xin hoàn lại cước phí bưu điện và gửi lại cho Bạn cuốn sách khác
ủ bạn
n g ôi rất
mong nhận đượ ủa quý bạn đọc g
MK.PUB và bạn đọc cùng làm!
Nếu bạn ghi c
chúng
hú trực ti ch, rồi gửi cu
Chúng tôi xin
theo một danh
Với mục đích
gửi tặng một cuốn sách củ
mục thích hợp sẽ được gửi tới
gày càng nâng cao chất lư
c sự hợp tác c
a t sách MK PUB tùy chọn lựa của
bạn.
ợn của tủ sách MK. PUB chúng t
ần xa
204
Mục lụ
LỜI NÓI ĐẦU....................................................................................................3
LỜI NGỎ ............................................................................................................3
MỤC LỤC...........................................................................................................5
13
. 13
1.1. VLSM ..................... 14
1.1.1. VLSM là gì và tại sao phải 14
1.1.2. Sự phí phạm không gian địa ch ...........................15
1.1.3. Khi nào sử dụng VLSM...............................................................16
1,1.4. Tính toán chi subnet với SLSM 18
1.1.5. Tổng hợp địa chỉ với VLSM........................................................23
1.1.6. Cấu hình VLSM.............. 24
1.2. RIP phiên bản2........................................................................................25
1.2.1 Lịch sử của RIP.............................................................................25
26
TỔNG KẾT.........................................................................................................34
c
CHƯƠNG 1: G
GIỚI THIỆU.
iới thiệu về định tuyến khôg
..............................................
............................
ntheo lớp địa chỉ .........................
.......................................................
....................................................
sử dụng nó........................................
ỉ .......................
...................................................
........................................................
1.2.2. Đặc điểm của RIP phiên bản 2.....................................................
1.2.3 So sánh RIv1 và RIv2...................................................................27
1.2.4 Cấu hình RIPv2.............................................................................28
1.2.5. Kiểm tra RIPv2............................................................................30
1.2.6 Xử lý sự cố RIPv2.........................................................................31
1.2.7 Đường mặc định.......................................................................32
205
CHƯƠNG 2: OSPF Đơn vùng............................................................................35
GIỚI THIỆU.......................................................................................................35
.............................37
ết..37
c điểm của giao thức định tuyến theo trạng thái đường liên kết.38
Ưu và nhược điểm của giao thức định tuyến theo trạng thái đường liên
kết..............................................................................................................43
2.1.6 So sánh và phân biệt giữa định tuyến theo vectơ khoảng cách và định
tuyến theo trạng thái đường liện kết.........................................................44
2.2 Các khái niệm về OSPF đơn vùng...........................................................46
2.2.1 Tổng quát về OSPF..........................................................................46
2.2.2 Thuật ngữ của OSPF........................................................................47
2.2.3 So sánh OSPF với giao thức định tuyến theo vectơ khoảng cách...51
2.2.4 Thuật toán chon đường ngắn nhất...................................................53
2.2.5 Các loại mạng OSPF........................................................................54
2.2.6 Giao thức OSPF Hello.....................................................................56
2.2.7 Các bước hoat động của OSPF........................................................58
.3 Cấu hìn OSPF đơn vùng ..........................................................................62
2.3.1 Cấu hình tiến trình định tuyến OSPF..............................................62
2.3.2 Cấu hình địa chỉ loopback cho OSPF và quyền ưu tiên cho router63
2..3.3 Thay đ 68
2.1 Giao thức định tuyến theo trạng thái đường liên kết..
2.1.1 Tổng quát về giao thức định tuyến theo trạng thái đường liên k
2.1.2 Đặ
2.1.3 Thông tin định tuyến được duy trì ..................................................40
2.1.4 Thuật toán định tuyến theo trạng thái của đường liên kết...............41
2.1.5
2
ổi giá trị chi phí của OSPF..................................................
206
2.3.4 Cấu hình quá trình xác minh cho OSPF..........................................69
2.3.5 Cấu hình các thông số thời gian của OSPF.....................................70
2.3.8 Kiểm tra cấu hình OSPF..................................................................72
.................................74
GIÓI THIỆU.......................................................................................................75
...............................................77
GRP và IGRP.................................................................77
2.3.6 OSPF thực hiện quảng bá đường mặc định.....................................71
2.3.7 Những lỗi thường gặp trong cấu hình OSPF...................................72
TỔNG KẾT........................................................................
CHƯƠNG 3: EIGRP...........................................................................................75
3.1. Các khái niệm của EIGRP.......................
3.1.1 So sánh EI
3..1.2 Các khái niệm và thuật ngữ của EIGRP.........................................79
3.1.3 Các đặc điểm của EIGRP................................................................85
3.1.4. Các kỹ thuật của EIGRP.................................................................86
3.1.5 Cấu trúc dữ liệu của EIGRP............................................................89
3.1.6 Thuật toán EIGRP...........................................................................91
3.2 Cấu hình EIGRP......................................................................................97
3.2.1 Cấu hình EIGRP..............................................................................97
3.2.2. Cấu hình đường tổng hợp cho EIGRP...........................................99
207
Chương 1:
GIỚI THIỆU VỀ ĐỊNH TUYẾN KHÔNG THEO LỚP ĐỊA CHỈ
GIỚI THIỆU
Người quản trị mạng phải có dự kiến và quản lý sự phát triển về mặt vật lý của hệ
thống mạng, ví dụ như mua hoặc thuê thêm một tầng lầu trong toà nhà, trang bị
thêm các thiết bị mới như switch, router, bộ tập trung cáp kệ để các thiết bị… Khi
thiết kế hệ thống mạng người thiết kế thường phải chọn một sơ đồ phân phối địa
chỉa cho phép mở rộng mạng về sau. Phân phối địa chỉ IP không cố định chiều dài
subnet mask là một kỹ thuật phân phối địa chỉ IP hiệu quả, có khả năng mở rộng
nhiều hơn
a Internet và TCP/IP mỗi công ty tập đoàn đều phải
lựa TCP/IP là giao
ưng thật không
ản 6 được xem là môt không gian địa chỉ trong
thế IPv4 một
giath sự thay đổi đó hơn
hai th
linh
Inn uật tận dụng không gian địa chỉ Ip hiệu
uả
ó khả năng
mở rộng. Để khắc phục những giới hạn này RIP phiên bản 2 đã được phát triển
Với sụ phát triển phi thường củ
triển khai sơ đồ địa chỉ IP của mình. Rất nhiều tổ chức chọn
thức được định tuyến duy nhất trong hệ thống mạng của mìn. Nh
may, TCP/IP đã không thể lường trước được rằng giao thức của họ được ứng dụng
trong mạng toàn cầu cho thông tin thương mại giải trí
Hai mươi năm trước đây,IP phiên bản 4 đưa ra một mô hình địa chỉ và cũng đáp
ứng đủ. Trong khi đó , IP phiên b
giới hạn thì được triển khai thử nghiệm chậm chạm và có thể sẽ thay
o ức thống trị Internet hiện nay. Trong thời gian chờ đợi
ập kỷ qua các kỹ sư mạng đã thành công trong việc vận dụng IPv4 một cách
h oạt để hệ thống mạng của mình có thể tồn tại với sự phát triển rộng lớn của
teret. VLSM là một trong những kỹ th
q
Cùng với sự phát triển của hệ thống mạng để đáp ứng nhu cầu của người sử dụng
giao thức định tuyến cũng phải mở rộng theo. RIP vẫn được xem là một giao thức
phù hợp cho hệ thống mạng nhỏ vì một số giới hạn khiến nó không c
Sauk hi hoàn tất chương này các bạn có thể thực hiện những việc sau:
• Định nghĩa VLSM và mô tả khái quát các lý do để sử dụng nó
208
• Chia một mạng lớn thành các mạng con có kích thước khác nhau bằng cách
sử dụng VLSM
• Cấu hình router sử dụng VLSM
• Kiểm tra và xử lý sự cố hoạt động RIPv2
• Cấu hình đường mặc định bằng lệnh ip route và ip default- network
1.1 VLSM
1.1.1 VLSM là gì và tại sao phải sử dụng nó
Khi mạng IP phát triển lớn hơn, người quản trị mạng phải có cách sử dụng không
gian địa chỉ của mình một cách hiệu quả hơn. Một trong những kỹ thuật thường
được sử dụn là VLSM. Với VLSM người quản trị mạng có thể chia địa chỉ mạng
có subnet mask dài cho mạng có ít host và địa chỉ mạng có subnet mask ngắn cho
mạng nhiều host
Khi sử dụng VLSM thì hệ thống mạng phải chạy giao thức định tuyến có hỗ trợ
VLSM như OSPF, Intergrated IS – IS, EIGRP, RIPv2 và định tuyến cố định
VLSM cho phép một tổ chức sử dụng chiều dài subnet mask khác nhau trong một
địa chỉ mạng lớn. VLSM còn được gọi là chia subnet trong mộ subnet lớn hơn
giúp tận dụng tối đa không gian địa chỉ
Giao thức định tuyến theo lớp địa c hơn thành nhiều địa chỉ mạng con
ước khác nhau như địa chỉ mạng có 30 bit subnet mask ,
55.255.255.532 để dành cho các kết nối mạng địa chỉ mạng có 24 bit subnet
• Xác định các đặc tính chủ yếu của RIPv1 hoặc RIPv2
• Xác địn những điểm khác nhau quan trọng giữa RIPv1 và RIPv2
• Cấu hình RIPv2
t
hỉ mạng lớn
có kích th
2
mask, 255.255.255.0 để dành cho các mạng có dưới 254 user, các địa chỉ mạng có
22 bit subnet mask, 255.255.22. để dành cho các mạng có tới 100 user.
209
Hình 1.1.1. Một ví dụ về địa chỉ IP theo VLSM
1.1.2
Trước chia subnet cho địa chỉ mạng IP subnet đầu tiên và subnet cuối cùng
ược khuyến cáo là không sử dụng . Hiện nay với VLSM chúng ta có thể tận dụng
Sự phí phạm không gian địa chỉ
đây khi
đ
subnet đầu tiên và subnet cuối cùng
210
Hình 1.1.2
xét ví dụ như hình 1..1.2. người quản trị mạng quyết định mượn 3 bit để chia
net cho địa chỉ lớp C 192.168.
Ta
sub 187.0. Nếu sử dụng luôn subnet đầu tiên bằng
các
7 s
bản
đượ
Me
ser
rộn ểm - đến -
điể
mỗ
các
phạ
Cá
địa
1.1
Thi
phạ ần này sẽ trình bày cách sử
dụng VLSM
Cù
VL
khá
h thêm lệnh no ip subnet – zezo vào cấu hình router người quản trị mạng sẽ có
ubnet sử dụng được mỗi subnet có 30 địa chỉ host Bắt đầu từ Cissco IOS phiên
12.0, Cissco router đã mặc định là sử dụng subnet zezo. Bây giờ mối subnet
c phân phối cho một mạng LAN trên routerSydney, Brisbane, Perth và
lbourne như hình vẽ 1.1.2.3 subnet còn lại được phân phối cho 3 đường kết nối
ial giữa các router. Như vậy là không còn subnet nào để dự phòng cho sự mở
g mạng về sau. Trong khi đó kết nối serial giữa 2 router là kết nối đi
m nên chỉ có cần 2 địa chi host là đủ. Như vậy là phí mất 28 địa cỉ host trong
i subnet được phân phối cho kết nối WAN của router. Với cách chia đều , tất cả
subnet có chiều dài subnet bằng nhau như vạy 1/3 không gian địa chỉ đã bị phí
m.
ch phân phối địa chỉ như trên chỉ phù hợp với mạng nhỏ. Nhưng dù sao thì sơ đồ
chỉ này cũng thực sự phí phạm địa chỉ cho các kết nối điểm - đến - điểm
.3 Khi nào sử dụng VLSM
ết kế sơ đồ địa chỉ IP sao cho đáp ứng được sự mở rộng sau này và không phí
m địa chỉ là một việc hết sức quan trọng. Trong ph
để không láng phí địa chỉ trên các kết nối điểm - nối - điểm
ng với hệ thống mạng ví dụ ở phần trước. Lần này người quản trị mạng sử dụng
SM để chia địa chỉ mạng lớp C 192.168.187.0 thành nhiều subnet có kích thước
c nhau
211
Hình 1.1.3
Trước tiên ta xét mạng có nhiều user nhất trong hệ thống mạng. Mỗi mạng LAN ở
Sydney, Brisbane, Pert và Melbourpe có khoảng 30 host. Do đó để đáp ứng cho
các mạng LAN này người quản trị mạng mượn 3 bit để chia subnet cho địa chỉ
mạng 192.168.187.0. Tương tự như ví dụ ở phần trước, người quản trị mạng có 7
subnet /27 sử dụng được. Lấy 4 subnet đầu tiên/ 27 để phân phối cho các mạng
AN trên router. Sau đó người quản trị mạng lấy subnet thứ 6 mượn tiếp 3 bit nữa L
212
để chia thành 8 subnet/30 mỗi subnet /30 này chỉ có 2 địa chỉ host. Lấy 3 subnet/30
ối cho 3 kết nối serial giữa các router. Các subnet /27 và /30 còn lại được
ể dành sử dụng về sau
.1.3 Tính toán chia subnet với VLSM
phân ph
đ
1
Hình 1.1.4.a
Xét ví dụ như hình 1.1.4.a. Hai mạng LAN ở Kuala Lumpur và Bankok yêu cầu tối
thiểu 250 host trong mỗi tháng. Nếu hai router này sử dụng các giao thức tuyến
theo lớp địa chỉ không hỗ trợ VLSM như RIPv1 IGRP và EGP thì phải chia subnet
đều cho toàn bộ hệ thống mạng. Điều này có nghĩa là chúng ta mượn 8 bit để chia
ại chỉ lớp B 172.160.0 thành các subnet /24 rồi phân phối cho tất cả các mạng
mạng trong hệ thống đều có địa chỉ mạng với 24 bit
đ
trong hệ thống. Như vậy mỗi
213
mask giống nhau. Mặc dù hai subnet 172.16.3.0/24 và 172.16.4.0/24 đáp ứng được
cho 2 mạng LAN 250 host nhưng subnet 172.16.2.0/24 phân phối cho kết nối
WAN giữa hai router là quá phí. Một kết nối WAN chỉ cần 2 địa chỉ host còn lại
252 địa chỉ host bị bỏ phí.
Hình 1.1.4.b
ếu chúng ta sử dụng kỹ thuật VLSM chúng ta có thể lấy subnet 172.16.2.0/24
thành các subnet/30. Sau đó lấy một subnet 172.16.2/20 để đặt cho
N
chia tiếp kết nối
AN thì số lượng địa chỉ bị mất cho kết nối này giảm đi rất nhiều. W
Hình 1.1.4.c
ây giờ ta xét ví dụ như hình 1.1.4.c giả sử ta có địa chỉ mạng lớp C
12.168.10.0/24 để phân phối cho hệ thống mạng này.
B
214
Đầu tiên chúng ta xét mạng LAN có nhiều user nhất trong hệ thống. Hệ thống trên
hình 1.1.4.c có mạng LAN lớn nhất là 60 host. Nếu chúng ta chia subnet như cách
cũ chúng tá se chỉ mượn được 2 bit để chia subnet còn lại 6 bit dành cho host mới
đủ đáp ứng cho mạng LAN 60 host. Như g như vậy chúng ta chỉ toa được 22
= 4
ubnet, trong đó sử dụng được tối đa 3 subnet không đủ đáp ứng cho toàn bộ hệ
ống mạng. Rõ rang cách chia subnet đều không thể đáp ứng được
C
it
n
s
th
húng ta phải sử dụng VLSM như sau:
1. Bước đầu tiên chúng ta cũng xét mạng LAN lớn nhất trong hệ thống là mạng
LAN 60 host ở Perth. Để đáp ứng cho mạng LAN này chúgn ta mượn 2 b
đầu tiên đẻ chia subnet cho địa chỉ 192.168.10/24. Chúng ta sẽ được 4
subnet /26 như sau:
# ID Dải địa chỉ host Địa chỉ quảng bá
0 192.168.10.0 192.168.10.1 – 192.168.10.62 192.168.10.63
1 192.168.10.64 192.168.10.65 – 192.168.10.126 192.168.10.127
2 192.168.10.128 192.168.10.129 – 192.168.10.190 192.168.10.191
3 192.168.10.192 192.168.10.193– 192.168.10.254 192.168.10.255
Chúng ta lấy subnet đầu tiên 192.168.10.0/26 phân phối cho mạng LAN 60 host ở
Perth.
2. Bước thứ 2 chúng ta xét tới mạng LAN lớn thứ 2 là mạng LAN 28 host ở
sau:
KL. Để đáp ứng co mạng LAN này chúng ta lấy subnet tiếp theo là
192.168.10.64/26 mượn tiếp 1 bit nữa để tách thành 2 subnet nhỏ hơn như
215
# ID Dải địa chỉ host Địa chỉ quảng bá
0 192.168.10 192.168.10.95 .64 192.168.10.65 – 192.168.10.94
1 192.168.10.96 192.168.10.97 – 192.168.10.126 192.168.10.127
Mỗi subnet /27 có 5 bit dành cho phần host nên đáp ứng được tối đa 2+
-2=30 host.
Do đó ta lấy subnet 192.168.10.64/27 để phân phối cho mạng LAN 28 host ở
Kuala Lumpur.
2 . Bước thứ 3 chúng ta xét tiếp đến các mạng LAN nhở hơn tiếp theo. Chúng ta
còn lại hai mạng LAN ở Sydney và Singapore, mỗi mạng 12 host. Để đáp ứng
cho hai mạng LAN này chúng ta lấy subnet 12.168.10.96/27 ở trên mượn tiếp 1
bit nữa để tách thành 2 subnet/28 như sau:
# ID Dải địa chỉ host Địa chỉ quảng bá
0 192.168.10.0 192.168.10.1 – 192.168.10.62 192.168.10.63
1 192.168.10.64 192.168.10.65 – 192.168.10.126 192.168.10.127
Mỗi subnet /28 còn 4 bit dành cho host nên đáp ứng được tối đa 24+
- 2 =14 host.
Chúng ta lấy hai subnet /28 trong bảng trên phân phối cho hai mạng LAN ở
Sydney và Singapore
3. Bước cuối cùng bây giờ chúng ta chỉ còn lại ba đường liên kết WAN giữa
đã sử chúng ta
lấy tiếp subnet 192.168.10.128/26 đã tạo ra ở bước 1, mượn tiếp 4 bit để tạo
thành 16 subnet/30 như sau:
các router, mỗi đường liên kết cần 2 địa chỉ host. Từ đầu đến giờ, chúng ta
dụng hết dải địa chỉ từ 192.168.10.0 192.168.10.27. Bây giờ
216
# ID Dải địa chỉ host Địa chỉ quảng bá
0 192.168.10.28 192.168.10.129 – 192.168.10.130192.168.10.131
1 192.168.10.132 192.168.10.133 – 192.168.10.134192.168.10.135
2 192.168.10.136 192.168.10.137– 192.168.10.138 192.168.10.139
3 192.168.10.14 2.168.10.143 0 192.168.10.141 – 192.168.10.14219
4 192.168.10.144 192.168.10.145 – 192.168.10.146192.168.10.147
5 192.168.10.148 192.168.10.149 – 192.168.10.150192.168.10.151
6 192.168.10.152 192.168.10.153– 192.168.10.154 192.168.10.155
7 192.168.10.156 192.168.10.157– 192.168.10.158 192.168.10.159
8 192.168.10.160 192.168.10.161 – 192.168.10.162192.168.10.163
9 192.168.10.164 192.168.10.165 – 192.168.10.166192.168.10.167
10 192.168.10.168 192.168.10.169 – 192.168.10.170192.168.10.171
11 192.168.10.172 192.168.10.173 – 192.168.10.174192.168.10.175
12 192.168.10.176 192.168.10.177– 192.168.10.178 192.168.10.179
13 192.168.10.180 192.168.10.181– 192.168.10.182 192.168.10.183
14 192.168.10.184 192.168.10.185– 192.168.10.186 192.168.10.187
15 192.168.10.188 192.168.10.189– 192.168.10.190 192.168.10.191
Chúng ta lấy 3 subnet /30 đầu tiên trong bảng trên để phân phối cho các đường
WAN giữa các router:
Kết quả sơ đồ phân phối địa chỉ theo VLSM được thể hiện ở hình 1.1.4.d
217
Hình 1.1.4.d
Quá trình địa chỉ IP theo VLSM ở trên được tóm tắt lại theo sơ đồ sau:
1.1.5 Tổng hợp địa chỉ với VLSM.
Khi sử dụng VLSM các bạn nên cố gắng phân bố các subnet liền nhau ở gần nhau
ể có thể tổng hợp địa chỉ. Trước 1997 không có tổng hợp địa chỉ hệ thống định
tuy ần như bị sụp đổ mấy lần.
đ
ến xương sống của Internet g
Hình 1.1.5
218
Hình 1.1.5 là một ví dụ cho thấy sự tổng hợp địa chỉ lên các router tầng trên. Thực
chất tổng hợp địa chỉ là bài toán đi ngược lại bài toán chia địa chỉ theo VLSM. Nếu
như ví dụ ở phần 1.1.4 là một bài toán đi từ một địa chỉ mạng lớn 192.168.1.0/24
chi thành nhiều tầng subnet nhỏ hơn thì bây giờ bài toán ở hình 1.1.5 đi ngược lại,
từ các subnet con tổng hợp lại thành subnet lớn hơn. Tổng hợp dẫn cho đến khi
thành một địa chỉ mạng lớn 200.199.48.0/22 đại diện chung cho toàn bộ các subnet
bên trong hệ thống.
Tương tự như VLSM các bạn muốn thực hiện được tổng hợp địa chỉ thì phải chạy
giao thức định tuyến không theo lớp địa chỉ như OSPF EIGRP vì các giao thức này
có truyền thông t in về subnet mask đi kèm với địa chỉ IP subnet trong các thông
tin định tuyến. Mặt khác bạn muốn tổng hợp địa chỉ đúng thì khi chia địa chỉ theo
VLSM để phân phối cho hệ thống mạng bạn phải chi a theo cấu trúc phân cấp như
í dụ ở phần 1.1.4 và phân phối các subnet liền nhau ở cạnh tranh nhau trong cấu
trúc mạng.
Sau đây là một số nguyên tắc bạn
1. Mỗi router phải biết địa chỉ subnet cụ thể của tất cả các mạng kết nối trực
tiếp vào nó
giao
tiếp của router vẫn như vậy. không có gì đặc biệt.
v
cần nhớ:
2. Mỗi router không cần phải gửi thông tin chi tiết về mỗi subne t của nó cho
các router khác nếu như nó có thể tổng hợp các subnet thành một địa chỉ đại
diện được
3. Khi tổng hợp địa chỉ như vậy bảng định tuyến của các router tầng trên sẽ
được rút gọn lại
3.1.6 Cấu hình VLSM
Sauk hi chia địa chỉ IP theo VLSM xong thì bước tiếp theo là bạn cung cấp địa chỉ
IP cho từng thiết bị trong hệ thống. Việc cấu hình địa chỉ IP choa các cổng
Ví dụ như hình 1.1.6 sau khi đã phân phối địa chỉ theo VLSM xong bạn cấu hình
địa chỉ IP cho các cổng giao tiếp của router như sau:
219
Hình 1.1.6
3.2 Rip phiên bản 2
1.2.1 Lịch sử của RIP
Internet là một tập hợp các hệ tự quản. Mỗi Á có một cơ chế quản trị, một công
nghệ định tuyến riêng, khác với các AS khác. Các giao théc định tuyến được sử
hận được.
dụng bên trong một AS được gọi là giao thức định tuyến nội vi IGP. Để thực hiện
định tuyến giữa các AS với nhau chúng ta phải sử dụng mọt giao thức riêng gọi la
giao thức định tuyến ngoại vi EGP. RIP được thiết kế như là một giao thức IGP
dùng cho các AS có kích thước nhỏ không sử dụng cho các hệ thống mạng lớn và
phức tạp.
RIPv1 là một giao thức định tuyến theo vectơ khoảng cách nên quảng bá toàn bộ
bảng định tuyến của nó cho các router láng giềng theo định kỳ. Chu kỳ cập nhật
của RIP là 30 giây. Thông số định tuyến của RIP là số lượng hop, giá trị tối đa là
15 hop.
RIPv1 là giao thức định tuyến theo lớp địa chỉ, Khi RIP router nhận thông tin về
một mạng nào đó từ một cổng, trong thông tin định tuyến này không có thông tin
về subnet mask đi kèm. Do đó router sẽ lấy subnet mask của cổng để áp dụng cho
địa chỉ mạng mà nó nhận được từ cổng này. Nếu subnet mask này không phù hợp
thì nó sẽ lấy subnet mask mặc định theo lớp địa chỉ để áp dụng cho địa chỉ mạng
mà nó n
220
Địa chỉ lớp A có subnetmask mặc định là 255.0.0
RIPv1 l à giao th ức đ ịnh tuyến được sử d ng phổ biến vì mọi router IP đều có hỗ
trợ giao thức này. RIPv1 được phổ đơn giản và tính tương thích toàn
cầu của nó. RIPv1 có thể chia tải ra tối đa là 6 đường có chi phí bằng nhau.
Sau đây là những điểm giới hạn của RIPv1:
• Không gửi thông tin subnet mask trong thông tin định tuyến
• Gửi quảng bá thông tin định tuyến theo địa chỉ 255.255.255.255
• Không hỗ trợ xác minh thông tin định tuyến
• Không hỗ trợ VLSM và CIDR
RIPv1 được cấu hình đơn giản như trong hình 1.2.1
Địa chỉ lớp B có subnet mask mặc định là 255.255.0.0
Địa chỉ lớp c có subnet mask mặc định là 255.255.255.0
ụ
biến vì tính
Hình 1.2.1
1.2.2 Đặc điểm của RIP phiên bản 2
1 nên nó vẫn có các đặc điểm như RIPv1 RIPv2 được phát triển từ RIPv
• Là một giao thức định tuyến theo vectơ khoảng cách sử dụng số lượng hop
làm thông số định tuyến
• Sử dụng thời gian holddown để chống lặp vòng, thời gian này mặc định là
180 giây
• Sử dụng cơ cế split horizon để chống lặp vòng
• Giá trị hop tối đa là 15
RIPv2 có gửi subnet mask đi kèm với các địa chỉ mạng trong thông tin định tuyến.
Nhờ đó RIPv2 có thể hỗ trợ VLSM và CIDR
221
RIPv2 có hỗ trợ việc xác minh thông tin định tuyến. Bạn có thể cấu hình cho RIP
gử ằng mã hoá MD hay
khg
RI2
yến theo vectơ khoảng cách. Nếu có nhiều đường
đến cùng một đích thì RIP sẽ chọn đường có số hop ít nhất. Chính vì dựa vào số
lượng hop để chọn đườ ọn không phải là
đường nhanh nhất đến
IPv1 cho phép các router cập nhật bảng định tuyến của chúng theo chu kỳ mặc
đa để chuyển gói là 15hop . Nếu tới được và gói dữ liệu đến đó sẽ bị huỷ
bỏ. Điều này làm giới hạn khả năng mở rộng của RIP. RIPv1 sử dụng cơ chế split
ời gian holddown router sẽ không
tuyến
i và nhận thông tin xác minh trên cổng giao tiếp của router b
ôn mã hoá
Pv gửi thông tin định tuyến theo địa chỉ multicast 224.0.0.9
1.2.3 So sánh RIPv1 và RIPv2
RIP sử dụng thuật toán định tu
ng nên đôi khi con đường mà RIP ch
đích
R
định là 30 giây. Việc gửi thông tin định tuyến cập nhật liên tục như vậy giúp cho
topo mạng được xây dụng nhanh chóng. Để tránh bí lặp vòng vô tận. RIP giới hạn
số hop tối
horizon để chống lặp vòng. Với cơ chế này khi gửi thông tin định tuyến ra một
cổng giao tiếp RIPv1 router không gửi ngược trở lại các thông tin định tuyến mà
nó học được từ chính cổng đó. RIPv1 còn sử dụng thời gian holddown để chống
lặp vòng. Khi nhận được một thông báo về một mạng đích bị sự cố router sẽ khởi
động thời gian holddown . Trong suốt khoảng th
cập nhật tất cả các thong tin có thông số định tuyến xấu hơn về mạng đích đó
RIPv2 được phát triển từ RIPv1 nên nó cũng có các đặc tính như trên. RIPv2 cũng
là giao thức
Là một giao thức định tuyến theo vetơ khoảng cách sử dụng số lượng hop làm
thông số định
Sử dụng thời gian holddown để chống lặp vòng thời gian này mặc định là 180 giây
Sử dụng cơ chế spit horizon để chống lặp vòng
Giá trị hop tối đa
RIPv2 có gửi subnet mask đi kèm với cácđịa chỉ mạng trong thông tin định tuyến.
Nhờ đó, RIPv2 có thể hỗ trợ VLSM và CIDR
222
Ripv2 có hỗ trợ việc xác minh thông tin định tuyến. Bạn có thể cấu hình cho RIP
gửi và nhận thông tin xác minh trên cổng giao tiếp của router bằng mã hoá MD5
hay không mã hoá
RIPv2 gửi thông tin định tuyến theo địa chỉ multicaskt 224.0.0.9
1.2.3 So sánh RIPv1 và RIPv2
RIP sử dụng thuật toán định tuyến theo vectơ khoảng cách. Nếu có nhiều đường
đến cùng một đích thì RIP sẽ chọn đường có số hop ít nhất. Chình vì chỉ dựa vào
số lượng hop để chọn đường nên đôi khi con đường mà RIP chọn không phải là
đường nhanh nhất đến đích
RIPv1 cho phép c theo chu kỳ mặc
định là 30 giây. Việc gửi thông tin định tuyến cập nhật liên tục như vậy giúp cho
xem như mạng đích đó không thể tới đượ và gói dữ liệu. đó sẽ bị huỷ bỏ . Điều
này làm giới hạn khả năng mở rộng của RIP , RIPv1 sử dụng cơ chế split horizon
để chống lặp vòng. Với cơ chế này g tin định tuyến ra một cổng giao
ngược trở lại các thông tin định tuyến mà nó học
còn sử dụng thời gian holddown để chống lặp vòng.
ác router cập nhật bảng định tuyến của chúng
topo mạng được xây dựng nhanh chóng. Để tránh bị lăp vòng vô tận, RIP giới hạn
số hop tối đa để chuyển gói là 15 hop. Nếu một mạng đích xa hơn 15 router thì
c
khi gửi thôn
tiếp , RIPv1 router khônggửi
đước từ chính cổng dó, RIPv1
Khi nhận được một thông báo về một mạng đích bị sự cố, router sẽ khởi động thời
gian holddown. Trong suốt khoảng thời gian holddown router sẽ không cập nhật tất
cả các thông tin có thông số định tuyến xấu hơn về mạng đích đó
RIPv2 được phát triển từ RIPv1 nên nó cũng có các đặc tính như trên RIPv2 cũng
là giao thức định tuyến theo vectơ khoảng cách sử dụng số lượng hop làm thông số
định tuyến duy nhất . RIPv2 cũng sử dụng thời gian holddown và cơ chế split
horizon để tránh lặp vòng
Sau đây là các điểm khác nhau giữa RIPv1 và RIPv2
223
RIPv1 RIPv2
Cấu hình đơn giản Cấu hình đơn giản
Định tuyến theo lớp địa chỉ Định tuyến không theo lớp địa chỉ
Không gửi thông tin về subnet mask
trong thông tin định tuyến.
Có gửi thông tin về subnet mask trong
thông tin định tuyến.
Không hỗ trợ VLSM. Do đó tất cả các
mạng trong hệ thống RIPv1 phải có
ùng subnet mask.
Hỗ trợ VLSM. Các mạng trong hệ thống
IPv2 có thể có chiều dài subnet mask
khác nhau. c
Không có cơ chế xác minh thông tin
ịnh tuyến.
Có cơ chế xác minh thông tin định
tuyến. đ
Gửi quảng bá
255.255.255.255.
ỉ 224.0.0.9 nên
hiệu quả hơn.
theo địa chỉ Gửi multicast theo địa ch
1.2.4. Cấu hình RIPv2
Để cấu hình một giao thức định tuyến động, chúng ta đều thực hiện các bước sau
Chọn giao thức định tuyến, ví dụ như RIPv2 chẳng hạn
K
su
hai báo địa chỉ IP và subnet mask cho các cổng router
P tham gia và tiến trình định tuyến. Cổng
rong địa chỉ mạng được khai báo ở lệnh
etwork thì cổng đó sẽ tham gia vào quá trình gửi và nhận thông tin định tuyến cập
hai báo các địa chỉ mạng IP cho giao thức định tuyến không cần khai báo giá trị
bnet mask
K
Lệnh network khai báo địa chỉ mạng I
nào của router có địa chỉ IP rơi vào t
n
nhật. Mặt khác lệnh network cũng khai báo những địa chỉ mạng mà router sẽ thực
hiện quảng cáo về mạng đó
Lệnh router rip version 2 xác định RIPv2 được chọn làm giao thức định tuyến chạy
trên router
224
Hình 1.2.4.a
Trong ví dụ ở hình 1.2.4.a router A được cấu hình như sau
router rip - chọn rip làm giao thức định tuyến
Version 2 – Xác định ripv2
Network 172.16.0.0 – khai báo địa chỉ mạ g kết nối trực tiếp vào router A
N
Khi
và 10.0.0.0 sẽ gửi và nhận thông tin v2
n
etwork 10.0.0.0 – Khai báo địa chỉ mạng kết nối trực tiếp vào router A
đó tất cả các cổng trên router A kết nối vào mạng hoặc subnet trong 172.16.0.0
cập nhật RIP
Hình 1.2.4.b
1.2.5 Kiểm tra RIPv2
225
Lênh show ip protocol sẽ hiển thị các giá trị của giao thức định tuyến và các thời
gian hoạt động của giao thức đó. Trong ví dụ ở hình 1.2.5.a lệnh này cho thấy
router được cấu hình với RIP không nhận được bất kỳ thông tincập nhật nào từ một
router láng giềng trong 180 giây hoặc hơn thì những con đường học được từ router
ng giềng đó sẽ được xem là không còn giá trị. Nếu vẫn không nhận thông tin cập
hật gì cả thì sau 240 giây, các con đường này sẽ bị xoá khỏi bảng định tuyến .
lá
n
Trong hình router A nhận được cập nhật mới nhấttừ router B cách đây 12 giây. thời
gian holddown 180 giây. Khi có một con đường được thông báo là đã b ị ngắt con
đường đó sẽđược đặt vào trạng thái holddown trong 180 giây
Hình 1.2.5.a
ệnh show ip interface brief được sử dụng để tổng hợp thông tin trạng thái của các
cổng trên router
Router sẽ gửi thông tin về các đường đi trong các mạng được liệt kê sau dòng
routing for networks. Router nhận được các thông tin cập nhật từ các router láng
giềng được liệt kê sau dòng routing information sources chỉ số độ tin cậy mặc định
của rip là 120
L
226
Hình 1.2..5.b
mà router học được đồng thời cho
biết các thông tin này được học như thế nào
Nếu thông tin trong bảng định tuyến bị thiếu một đường đi nào thì bạn nên dùng
lệnh show running – config hoặc show ip protocols để kiểm tra lại cấu hình định
yến
1.2.6 Xử lý sự cố RIPv2
Sử dụng lện debug ip rip để hiển thị các thông tin định tuyến RIP khi chúng được
gửi đi và nhận vào. Bạn dùng lệnh no debug all hoặc undebug all để tắt mọi debug
đang bật
Ta xét ví dụ như hnhf 1.2..6 router A nhận được thông tin về hai mạng đích trên
cổng serial 2 từ router láng giềng có địa chỉ IP là 10.11.2 . Router A cũng gửi
thông tin cập nhật của nó ra hai cổng ethernel và serial 2 với địa chỉ là địa chỉ
quảng bá còng địa chỉ ngoặc là địa chỉ IP nguồn
Đôi khi bạn còn gặp một số câu thông báo trong lệnh debug ip rip như sau
Lệnh show ip route sẽ hiển thị nội dụng bảng định tuyến Ip . Trong bảng định
tuyến cho biết về đường đi đến các mạng đích
tu
227
Những câu này xuất hiện khi router mới khởi động lên hoặc khi có một sự cố mới
ảy ra như một cổng bị thay đổi trạng thái hay router bị xoá mất bảng định tuyến
M
Đường cố định – là đườ ằng tay cho router
ong đó chỉ định rõ router kế tiếp để tới mạng đích. Đường cố định có khả năng
bảo mật cao vì khong có hoạt động gửi thông tin cập nhật như đường định tuyến
động. Đường cố định rất hữu dụng khi chỉ có một đường duy nhất đến đích không
còn đường nào khác phải chọn lựa
Đường mặc định cũng do người quản trị mạng cấu hình bằng tay cho router. Trong
đó khai báo đường mặc định để sử dụng khi router không biết đường đến đích. Với
đường mặc định định tuyến router sẽ dược ngắn gọn hơn. Khi gói dữ liệu có địa chỉ
mạng đích mà router sẽ gửi nó ra đường mặc định
Đường định tuyến động là những đường do router học được từ các router khác nhờ
giao thức định tuyến động
x
1.2.7 Đường mặc định
ặc định router học thông tin về đường đến mạng đích bằng 3 cách sau’
ng do người quản trị mạng cấu hình b
tr
Hình 1.2.7
g
nối ra internet,kết nối n bộ hệ thống mạng bên
iả sử hệ thống mạng này sử dụng giao thức định tuyến động .Router HK1 có kết
ày là đuờng mặc định của toàn
228
trong.Những gói nào khôn gửi đến các mạng bên trong nội bộ mà gửi ra ngoài thì
ng mặc định ra internet. Để khai báo đường mặc
g lện sau :I b
2.168.20.2
ệnh trên là lệnh cấu hình đường cố định đặc biệt đại diện cho bất kì mạng đích
ter:
outer(config)#ip default-network 192.168.20.0
uter HK1 , với khai
áo mặc định la iproute 0.0.0.0 0.0.0.0 192.168.20.2, các gói dữ liệu sẽ được
TỔNG KẾT
hia địa chỉ mạng IP thành các subnet có kích thước khác nhau bằng VLSM
Cấu hình đường mặc định bằng lệnh ip route và ip default-network .
mặc nhiên sẽ được gửi lên đườ
định cho router HK1chúng ta dùn
HongKong1(config)#ip route 0.0.0.0 0.0.0.0 19
L
nào với bất kì subnetmask nào .Xin nhấn mạnh một lần nữa , lệnh trên được sử
dụng để khai báo đường măc định cho router nào có kết nối đường mặc định vào
nó
Các router còn lại trong hệ thống, ta dùng lệnh ip default-network để khai báo
mạng mặc định này cho các rou
R
Các router HK2,HK3,HK4 sẽ sử dụng mang 192.168.20.0 làm mạng đích mặc
định .Những gói dữ liệu nào có địa chỉ đích mà các router nào không tìm thấy trên
bảng định tuyến của chúng thì chúng sẽ gửi về mạng mặc định 192.168.20.0.Kết
quả là các gói dữ lieu này được chuyển tớ i router HK1. Trên ro
b
truyền ra đường kết nối với Internet
Sau đây là các điểm quan trọng trong chương này
VLSM và lí do sử dụng nó
C
cấu hình router sử dụng VLSM
Dặc điểm chính của RIPv1 và RIPv2
Điểm khác nhau quan trọng giữa RIP1và RIPv2
Cấu hình RTPv2
Kiểm tra và xử lí sự cố hoạt động RTPv2
229
Chương 2: OSPF ĐƠN VÙNG
thức định tuyến
này đều thực hiện định tuyến trong phạm vi một hệ tự quản. Chúng sử dụng 2
phương pháp khác nhau để thực hiện cùng một nhiệm vụ.
Thuật toán định tuyến trạng thái theo đường liên kết, hay còn gọi là thuật toán chọn
đường ngắn nhất (SPF – Shortest Path First), lưu giữ một cơ sở dữ liệu phức tạp
các thông tin về cấu trúc hệ thống mạng. Thuật toán này có đầy đủ thông tin về các
router trên đường đi và cấu trúc kết nối của chúng. Ngược lại, thuật toán định
tuyến theo vectơ khoảng các không cung cấp thông tin cụ thể về cấu trúc đường đi
trong mạng và hoàn toàn không có nhận biết về các router trên đường đi.
Để có thể cấu hình, kiểm tra và xử lý sự cố của các giao thức định tuyến theo trạng
thái đường liên kết thì việc hiểu các hoạt động của chúng là điều rất quan trọng.
Chương này sẽ giải thích cách làm việc của giao thức định tuyến theo trạng thái
đường liên kết, liệt kê các đặc điểm của chúng, mô tả thuật toán mà chúng sử dụng
và đồng thời chỉ ra các
an đầu, các giao thức định tuyến như RIPv1 đều là các giao thức định tuyến theo
hoảng
cách đang được sử dụng như RIPv2. IRGP và giao thức định tuyến lai EIGRP. Khi
ệ thống mạng ngày càng phát triển lớn hơn và phức tạp hơn thì những điểm yếu
thức định tuyến theo trạng thái đường liên kết thì khác với giao thức định
yến theo vectơ khoảng cách. Giao thức này phát các thông tin về đường đi cho
ọi router để các router trong mạng đều có cái nhìn đầy đủ về cấu trúc hệ thống
GIỚI THIỆU
Giao thức định tuyến nội vi (IGP) có 2 loại chính là định tuyến theo vector khoảng
cách và định tuyến theo trạng thái đường liên kết. Cả 2 loại giao
ưu nhược điểm của loại giao thức này.
B
vectơ khoảng cách. Ngày nay, có rất nhiều giao thức định tuyến theo vectơ k
h
của giao thức định tuyến theo vectơ khoảng cách lại càng bộc lộ rõ hơn. Router sử
dụng giao thức định tuyến theo vectơ khoảng cách học thông tin định tuyến bằng
cách cập nhật bảng định tuyến từ các router láng giềng kết nối trực tiếp. Hoạt động
cập nhật theo định kỳ này chiếm băng thông cao và cách học thông tin định tuyến
như vậy làm cho mạng hội tụ chậm.
Giao
tu
m
mạng. Hoạt động cập nhật chỉ được thực hiện khi có sự kiện thay đổi, do đó băng
thông được sử dụng hiệu quả hơn và mạng hội tụ nhanh hơn. Ngay khi có sự thay
230
đổi trạng thái của một đường liên kết, thông tin được phát ra cho tất cả các router
trong mạng.
OSPF là một trong những giao thức quan trọng nhất của loại giao thức định tuyến
eo trạng thái đường liên kết. OSPF dựa trên một chuẩn mở nên nó có thể được sử
ấu hình Cisco router cũng tương tự như cấu hình các giao thức định tuyến khác.
các mạng
được phép hoạt động trên đó. Ngoài ra, OSPF cũng có một số đặc tính
êng và cấu hình riêng. Các đặc tính riêng này đã làm cho OSPF trở thành một
o nên những thách thức khi cấu hình
OSPF.
Trong hệ thống mạng lớn, OSPF có thể được cấu hình mở rộng trên nhiều vùng
ng OSPF lớn thì bạn
hải nắm được cấu hình OSPF trên một vùng. Do đó chương này sẽ mô tả cấu hình
OSPF đơn vùng.
hái đường liên kết xây
dựng và duy trì thông tin định tuyến như thế nào.
• Phân tich về thuật toán định tuyến theo trạng thái theo trạng thái đường liên
kết.
• Xác định ưu và nhược điểm cua loại giao thức định tuyến theo trạng thái
đường liên kết.
• Khởi động O
• Cấu hình địa chỉ loopback để định quyền ưu tiên cho router.
• Thay đổi thông số chi phí để thay đổi quyết định chọn đường của OSPF.
th
dụng và phát triển bởi các nhà sản xuất khác nhau. Đây là một giao thức phức tạp
được triển khai cho các mạng lớn. Các vấn đề cơ bản về OSPF sẽ được đề cập đến
trong chương này.
C
Đầu tiên OSPF cũng phải được khởi động trên router, sau đó khai báo
mà OSPF
ri
giao thức định tuyến mạnh nhưng đồng thời tạ
khác nhau. Nhưng trước khi có thể thiết kế và triển khai mạ
p
Sau khi hoàn tất chương này, các bạn có thể thực hiện các nhiệm vụ sau:
• Xác định các đặc tính quan trọng của giao thức định tuyến theo trạng thái
đường liên kết.
• Giải thích được giao thức định tuyến theo trạng t
• So sánh và phân biệt giao thức định tuyến theo trạng thái đường liên kết với
giao thức định tuyến theo vectơ khoảng cách.
SPF trên router.
• Cấu hình cho OSPF thực hiện quá trình xác minh.
• Thay đổi các thông số thời gian của OSPF.
231
• Mô tả các bước tạo và quảng bá đường mặc định vào OSPF.
• Sử dụng các lệnh show để kiểm tra hoạt động của OSPF.
• Cấu hình tiến trình định tuyến OSPF.
• Định nghĩa các thuật ngữ quan trọng của OSPF.
• Mô tả các loại mạng OSPF.
ức định tuyến theo trạng thái đường liên kết
ần này sẽ giải thích những điểm khác
Đây là những kiến thức cực kỳ quan trọng đối với 1 nhà quản trị mạng.
ột điểm khác nhau quan trọng mà bạn cần nhớ là giao thức định tuyến theo vectơ
hì thuật toán định
yến theo trạng thái đường liên kết có đầy đủ thông tin về các router trên đường đi
và cấu trúc kết nối của chúng.
• Mô tả giao thức OSPF Hello.
• Xác định các bước cơ bản trong hoạt động của OSPF.
2.1. Giao th
2.1.1. Tổng quan về giao thức định tuyến theo trạng thái đường liên kết
Giao thức định tuyến theo trạng thái đường liên kết hoạt động khác với giao thức
định tuyến theo vectơ khoảng cách. Trong ph
nhau này.
M
khoảng cách sử dụng phương pháp trao đổi thông tin định tuyến đơn giản hơn.
Thuật toán định tuyến theo trạng thai đường liên kết xây dựng và duy trì một cơ sở
dữ liệu phức tạp của thông tin về cấu trúc mạng. Trong khi thuật toán định tuyến
theo vectơ khoảng cách không cung cấp thông tin cụ thể về đường đi trong mạng
và cũng không có nhận biết về các router khác trên đường đi, t
tu
Loại giao
thức
Ví dụ Đặc điểm
Định tuyến RIPv1 và RIPv2
o Gateway
(IGRP).
• 1.Copy bảng định tuyến cho
router láng giềng.
ập nhật định kì.
• 3.RIPv1 và RIPv2 sử dụng số
lượng hop làm thông số định
yến.
• 4.Mỗi router nhìn hệ thống
mạng theo sự chi phối của các
router láng giềng.
• 5.Hội tụ chậm.
theo vectơ
khoảng cách
Intẻỉ
Routing Protocol • 2.C
tu
232
• 6.Dễ bị lặp vòng.
• 7.Dễ cấu hình và dễ quản trị.
• 8.Tốn nhiều băng thông.
Định tuyến
theo trạng
thai đương
liên kết
Open Shortest Path
First (OSPF)
Intermediate –
System to Intermedia
– Sýtem (IS-IS)
• Sử dụng đường ngắn nhất.
• Chỉ cập nhật khi có sự kiện
xảy ra.
• Gửi gói thông tin về trạng thái
các đường liên kết cho tất cả
các router trong mạng.
hệ thống mạng.
• Hội tụ nhanh.
Không bị lặp vòng.
• Cấu hình phức tạp hơn.
• Đòi hỏi nhiều bộ nhớ và năng
lượng xử lý hơn so với định
tuyến theo vectơ khoảng cách.
Tốn ít băng thông hơn so với
ơ khoảng
• Mỗi router có cái nhìn đầy đủ
về cấu trúc
•
•
định tuyến theo vect
cách.
2.1.2. Đặc điểm của giao thức định tuyến theo trạng thái đường liên kết .
Giao thức định tuyến theo trạng thái đường liên kết thu thập thông tin về đường đi
từ tất cả các router khác trong cùng hệ thống mạng hay trong cùng một vùng đã
được xác định. Khi tất cả các thông tin đã được thu thập đầy đủ thì sau đó mỗi
router sẽ tự tính toán để chọn ra đường đi tốt nhất cho nó đến các mạng đích trong
hệ thống. Như vậy mỗi router có một cái nhìn riêng và đầy đủ về hệ thông
mạng,khi đó chúng sẽ không còn truyền đi các thông tin sai lệch mà chúng nhận
được từ các router láng giềng.
233
Sau đây là một số hoạt động của giao thức định tuyến theo trạng thái đường liên
kết:
• Đáp ứng nhanh theo sự thay đổi của hệ thống mạng.
• Gửi cập nhật khi hệ thống mạng có sự thay đổi.
• Gửi cập nhật định kỳ để kiểm tra trạng thái đường liên kết.
• Sử dụng cơ chế hello để xác định router láng giềng có còn kết nối được hay
không.
Mỗi router gửi multicast gói hello để giữ liên lạc với các router láng giềng.Gói
hello mang thông tin về các mạng kkết nối trực tiếp vào router.Ví dụ như hình
2.1.2, P4 nhận biết các láng giềng của nó trong mạng Perth3 là P1và P3. LSAs
cung cấp thông tin cập nhật về trạng thái đường liên kết của các router trong
mạng.
Hình 2.1.2. Sử dụng hello để xác định router láng giềng
trên từng mạng.
234
Sau đây là các đặc điểm hoạt đông của router sử dụng giao thức định tuyến theo
trạng thái đường liên kết:
1. Sử dụng thông tin từ gói hello và LSAs nhận được từ các router láng giềng
để xây dựng cơ sở dữ liệu về cấu trúc hệ thống mạng.
2. Sử dụng thuật toán SPF để xác tính toán ra đường ngắn nhất đến từng mạng.
3. Lưu kết quả chon đường trong bảng định tuyến.
2.1.3. Thông tin định tuyến được duy trì như thế nào
hần này sẽ giải thích giao thức định tuyến theo trạng thái đường liên kết sử dụng
các thành phần sau đây như thế nào
• LSAs.
• Cơ sở dữ liệu về cấu trúc hệ thống mạng.
hi có một sự cố xảy ra trong mạng, ví dụ như có một router láng giềng bị mất kết
liên kết lập tức phát các gói LSAs ra
ằng 1 địa chỉ multicast đặc biệt. Tiến trình này thực hiện gửi thông
n ra tất cả các cổng, trừ cổng nhận được thông tin. Mỗi router nhận được một
P
:
• Thuật toán SPF
• Cây SPF
• Bảng định tuyến với đường đi và cổng ra tương ứng để định tuyến cho gói
dữ liệu.
Giao thức định tuyến theo trạng thái đường liên kết được thiết kế để khắc phục
các nhược điểm của giao thức định tuyến theovectơ khoảng cách. Ví dụ như:giao
thức định tuyến theo vectơ khoảng cách chỉ trao đổi thông tin định tuyến với các
router kết nối trực tiếp với mình mà thôi, trong khi đó giao thức định tuyến theo
trạng thái đường liên kết thực hiện trao đổi thông tin định tuyến trên một vùng
rộng lớn.
K
nối , giao thức định tuyến theo trạng đường
trên toàn vùng b
ti
LSA, cập nhật thông tin mới này vào cơ sở dữ liệu về cấu trúc hệ thống mạng. Sau
đó router chuyển tiếp gói LSA này cho tất cả các thiết bị làng giềng khác. LSAs
làm cho mọi router trong vùng thực hiện tính toán lại đường đi. Chính vì vậy số
lượng router trong một vùng nên có giới hạn.
235
Một kết nối tương ứng với một cổng trên router. Thông tin về trạng thái của một
liên kết bao gồm thông tin về một cổng của router và mối quan hệ với các router
ng giềng trên cổng đó. Ví dụ như: thông tin về một cổng trên router bao gồm địa
hỉ IP, subnet mask, loại mạng kết nối vào cổng đó…Tập hợp tất cả các thông tin
ệu về trạng thái các đường liên kết, hay còn
ọi là cơ sở dữ liệu về cấu trúc hệ thống mạng. Cơ sở dữ liệu này được sử dụng để
nh toán chọn đường tốt nhất. Router áp dụng thuật toán chọn đường ngắn nhất
trúc mạng, từ đó xây dựng nên cây SPF với bản
thân router là gốc. Từ cây SPF này, router sẽ chọn ra đường ngắn nhất đến từng
ạng đích. Kết quả chọn đường được đặt trên bảng định tuyến của router.
lá
c
trên được lưu lại thành một cơ sở dữ li
g
tí
Dijkstra vào cơ sở dữ liệu về cấu
m
Hình 2.1.3
úng được xem như là một tập hợp các giao thức SPF.
2.1.4 Thuật toán định tuyến theo trạng thái đường liên kết
Thuật toán định tuyến theo trạng thái đường liên kết xây dựng và duy trì một cơ
sở dữ liệu phức tạp về cấu trúc hệ thống mạng bằng cách trao đổi các gói quảng
cáo trạng thái đường liên kết LSAs(Link – State Advertisements) với tất cả các
router khác trong mạng.
Thuật toán định tuyến theo trạng thái đường liên kết có đặc điểm sau:
• Ch
236
• Chúng xây dựng và duy trì một cơ sở dữ liệu phức tạp về cấu trúc hệ thống
iao thức định tuyến theo trạng thái đường liên kết phát triển và duy trì đầy đủ các
trúc kết nối của chúng. Điều này được
ạng.
Mỗi router xây dựng cơ sở dữ liệu về cấu trúc hệ thống mạng của mình nhờ các
thông tin n SP để
nh toán chọn đường ngắn nhất đến từng mạng đích. Kết quả chọn đường được
a lên bảng định tuyến của router. Trong suốt tiến trình hoạt động, mọi sự thay
h phần mạng bị đứt hay mạng phát
c thực hiện theo định kìy. Nhờ vậy tốc độ hội tụ nhanh hơn ví không cần chờ
ết thời gian định kỳ các router mới được hội tụ.
mạng.
• Chúng dựa trên thuật toán Dijkstra.
G
thông tin về mọi router trong mạng và cấu
thực hiện nhờ quá trình trao đổi LSAs với các router khác trong m
từ các LSA mà nó nhận được. Sau đó router sử dụng thuật toá
tí
đư
đổi trong cấu trúc hệ thống mạng như một thàn
triển thêm thành phần mới đều được phat hiện và đáp ứng theo.
Việc trao đổi LSA được thực hiện khi có một sự kiện xảy ra trong mạng chứ không
đượ
h
237
Hình 2.1.4
Ví dụ hình 2.1.4: Tùy theo từng giao thức và thông số định tuyến tương ứng, giao
thức định tuyến có thể phân biệt được hai đường đến cùng một đích và sử dụng
tuyến ghi
hận cả hai. Có một số giao thức định tuyến theo trạng thái đường liên kết có cách
đánh giá khả năng hoạt động của hai đường và chon đường tốt nhất. Ví dụ, nếu
Sau đây là các ưu điểm của giao thức định tuyến theo trạng thái đường liên kết:
• Sử dụng chi phí làm thông số định tuyến để chọn đường đi trong mạng.
i tụ nhanh hơn.
• Mỗi router có một sơ đồ đầy đủ và đồng bộ về toàn bộ cấu trúc hệ thống
mạng. Do đó chúng rất khó bị lặp vòng.
đường tốt nhất. Trong hình 2.1.4, trên bảng định tuyến có hai đường đi từ Router A
đến Router D. Hai đường này có chi phí bằng nhau nên giao thức định
n
đường đi qua Router C gặp trở ngại như bị nghẽn mạch hoặc bị hư hỏng thì giao
thức định tuyến theo trạng thái đường liên kết có thể nhận biết được các thay đổi
này và chuyển gói di theo đường qua Router B.
2.1.5 Ưu và nhược điểm của giao thức định tuyến theo trạng thái đường liên
kết
Thông số chi phí này có thể phản ánh được dung lượng của đường truyền.
• Thực hiện cập nhật khi có sự kiện xảy ra, phát LSAs ra cho mọi router trong
hệ thống mạng. Điều này giúp cho thời gian hộ
238
• Router sử dụng thông tin mới nhất để quyết định chọn đường đi.
• Cần thiết kế hệ thống mạng một cách cẩn thận để cơ sở dữ liệu về trạng thái
các đường liên kết có thể được thu nhỏ lại. Nhờ đó chúng ta có thể tiết kiệm
được các tính toán Dijkstra và hội tụ nhanh hơn.
• Mọi router sử dụng sơ đồ cấu trúc mạng của riêng nó để chọn đường. Đặc
ng liên kết:
• Chúng đòi hỏi nhiều dung lượng b ớ và năng lực xử lý cao hơn so với
giao thức định tuyến theo vectơ kho ng cách. Do đó chúng khá mắc tiền đối
với cá
• Chúng đòi hỏi hệ thống mạng phải được thiết kề theo mô hình phân cấp, hệ
thống mạng được chia ra thành nhiều cùng nhỏ để làm giảm bớt độ lớn và độ
uter gửi đi là những thông tin gì và gửi cho ai ? Các router định
tuyến theo vectơ khoảng cách thực hiện gửi toàn bộ bảng định tuyến của mình
và chỉ gửi cho các router kết nối trực tiếp với mình. Như chúng ta đã biết ,thông
ương ứng với một mạng đích
là cổng nào của router , router kế tiếp có địa chỉ IP là gì, thông số định tuyến
của con đường này là bao nhiêu. Do đó, các router định tuyến theo vectơ
Do đó, khi
tính này sẽ giúp chúng ta khi cần xử lý sự cố.
• Giao thức định tuyến theo trạng thái đường liên kết có hỗ trợ CIDR và
VLSM.
Sau đây là các nhược điểm của giao thức định tuyến theo trạng thái đườ
ộ nh
ả
c tổ chức nhỏ, chi phi hạn hẹp và thiết bị cũ.
phức tạp của cơ sở dữ liệu về cấu trúc hệ thống mạng.
• Chúng đòi hỏi nhà quản trị mạng phải nắm vững giao thức.
• Trong suốt quá trình khởi động, các router thu thập thông tin về cấu trúc hệ
thống mạng để xây dựng cơ sở dữ liệu, chúng phát các gói LSA ra trên toàn
bộ mạng. Do đó tiến trình này có thể làm giảm dung lượng đường truyền
dành cho dữ liệu khác.
1.1.4. So sánh và phân biệt giữa định tuyến theo vectơ khoảng cách và
định tuyến theo trạng thái đường liên kết
Trước tiên ta xét giao thức định tuyến theo vectơ khoảng cách. Thông tin định
tuyến mà các ro
tin trên bảng định tuyến rất ngắn gọn,chỉ cho biết t
khoảng cách không biết được đường đi một cách cụ thể, không biết về các
router trung gian trên đường đi và cấu trúc kết nối giữa chúng. Các bạn có thể
xem nội dung bảng định tuyến trên router bằng lệnh show ip route. Hơn nữa,
bảng định tuyến là kết quả chọn đường tốt nhất của mỗi router.
239
chúng trao đổi bảng định tuyến với nhau, các router chọn đường dựa trên kết
ự thay đổi đầu tiên sẽ cập nhật bảng định tuyến
của mình trước rồi chuyển bảng định tuyến bảng định tuyến cập nhật cho router
láng giềng. Router láng giềng nhận được thông tin mới, cập nhật vào bảng định
đi là gì và gửi cho ai? Khi bắt đầu hoạt động,
mỗi router sẽ gửi thông tin cho biết nó có bao nhiếu kết nối và trạng thái của
Kết quả là mỗi router sẽ có đầy đủ thông tin
để xây dựng một cơ sở dữ liệu về trạng thái các đường liên kết, hay còn gọi là
cơ sở dữ liệu về cấu trúc mạng. Như vậy, mỗi router đều có một cái nhìn đầy đủ
mỗi router tự tính toán để chọn
đường đi tốt nhất đến từng mạng đích.
liên kết đã hội tụ xong, không
thực hiện cập nhật định kỳ. Chỉ khi nào có sự thay đổi thì thông tin về sự thay
đổi đó được truyền đi cho tất cả các router trong mạng. Do đó thời gian hội tụ
nhanh và ít tốn băng thông.
Ta thấy ưu điểm nổi trội của định tuyến theo trạng thái đường liên kết so với
định tuyến theo vectơ khoảng cách là thời gian hội tụ nhanh hơn và tiết kiệm
băng thông đường truyền hơn. Giao thức định tuyến theo trạng thái đường liên
kết có hỗ trợ CIDR và VLSM. Do đó, chúng là một lựa chọn tốt cho mạng lớn
và phức tạp. Thực chất giao thức định tuyến theo trạng thái đường liên kết thực
hiện định tuyến tốt hơn so với giao thức định tuyến theo vectơ khoảng cách ở
mọi kích cỡ mạng. Tuy nhiên, giao thức định tuyến theo trạng thái đường liên
kết không được triển khai ở mọi ng vì chúng đòi hỏi dung lượng bộ
quả đã chọn của router láng giềng. Mỗi router nhìn hệ thống mạng theo sự chi
phối của các router láng giềng.
Các router định tuyến theo vectơ khoảng cách thực hiện cập nhật thông tin định
tuyến theo định kỳ nên tốn nhiều băng thông đường truyền. Khi có sự thay đổi
xảy ra, router nào nhận biết s
tuyến đã được cập nhật cho các router láng giềng kế tiếp. Quá trình cập nhật cứ
lần lượt như vậy ra toàn bộ hệ thống. Do đó thời gian bị hội tụ chậm.
Bây giờ ta xét đến giao thức định tuyến theo trạng thái đường liên kết. Thông
tin định tuyến mà các router gửi
mỗi đường kết nối như thế nào, và nó gửi cho mọi router khác trong mạng bằng
địa chỉ multicast. Do đó mỗi router đều nhận được từ tất cả các router khác
thông tin về các kết nối của chúng.
và cụ thể về cấu trúc của hệ thống mạng. Từ đó,
Khi các router định tuyến theo trạng thái đường
hệ thống mạ
240
nhớ lớn và năng lực xử lý mạnh hơn, do đó có thể gây quá tải cho các thiết bị
được triển khai rộng
, đòi hỏi người quản trị mạng
phải được đào tạo tốt mới có thề cấu hình đúng và vận hành được.
độc quyền
tốt
ơn vì khả năng mở rộng của nó. RIP chỉ giới hạn trong 15 hop, hội tụ chậm và đôi
khi chọn đường có tốc độ chậm vì khi quyết định chọn đường nó không quan tâm
được
ác nhược điểm của RIP và nó là một giao thức định tuyến mạnh, có khả năng mở
rộng, phù hợp với các hệ thống mạng hiện đại. OSPF có thể được cấu hình đơn
xử lý chậm. Một nguyên nhân nữa làm cho chúng không
rãi là do chúng là một giao thức thực sự phức tạp
1.2. Các khái niệm về OSPF đơn vùng
2.2.1. Tổng quát về OSPF
OSPF là một giao thức định tuyến theo trạng thái đường liên kết được triển khai
dựa trên các chuẩn mở. OSPF đựơc mô tả trong nhiều chuẩn của IETF (Internet
Engineering Task Force). Chuẩn mở ở đây có nghĩa là OSPF hoàn toàn mở đối với
công cộng, không có tính
Nếu so sánh với RIPv1 và v2 thí OSPF là một giao thức định tuyến nội vi IGP
h
đến các yếu tố quan trọng khác như băng thông chẳng hạn. OSPF khắc phục
c
vùng để sử dụng cho các mạng nhỏ.
241
gọi là vùng xương sống (backbone). Kiểu thiết kế này cho phép kiểm soát hoạt
độ oạt động
địn t ng mạng vào từng
vù v
mối quan hệ với các láng giềng này.
Hình 2.2.1. Mạng OSPF lớn được thiết kế phân cấp và chia
thành nhiều vùng
Ví dụ như hình 2.2.1, mạng OSPF lớn cần sử dụng thiết kế phân cấp và chia thành
nhiều vùng. Các vùng này đều được kết nối vào cùng phân phối la vùng 0 hay còn
ng cập nhật định tuyến. Việc phân vùng như vậy làm giảm tải của h
h uyến, tăng tốc độ hội tụ, giới hạn sự thay đổi của hệ thố
ng à tăng hiệu suất hoạt động.
2.2.2. Thuật ngữ của OSPF
Router định tuyến theo trạng thái đường liên kết xác định các router láng giềng và
thiết lập
242
OSPF thực hiện thu thập thông tin về trạng thái các đường liên kết từ các router
ềng. Mỗi router OSPF quảng cáo trạng thái các đường liên kết của nó và
huyển tiếp các thông tin mà nó nhận được cho tất cả các láng giềng khác.
láng gi
c
Hình 2.2.2.a ột
đường liên kế r và
mối q
á thái
n sẽ có
cùng một cơ sở trạng
thái của các đườ ết và láng giềng của các router khác.
. Link – là một cổng trên router. Link-state: trạng thái của m
t giữa hai router, bao gồm trạng thái của một cổng trên route
uan hệ giữa nó với router láng giềng kết nối vào cổng đó.
Router xử lý c
các đường liê
c thông tin nhận được để xây dựng một cơ sở dữ liệu về trạng
kết trong một vùng. Mọi router trong cùng một vùng OSPF
dữ liệu này. Do đó mọi router sẽ có thông tin giống nhau về
ng liên k
243
Hình 2.2.2.b.. Link-state database (Topolo se) – danh sách các thông
tin về mọi đường liên kết trong vùng.
gical databa
H h ỉ số danh định
v g
đườ rong vùng đó. Do đó, các router trong cùng một vùng sẽ có
n outer nằm trong một
Mỗi ro huật toán SPF và cơ sở dữ liệu của nó để tính toán chọn đường
tốt nhấ Thuật toán SPF tính toàn chi phí dựa trên băng thông
củ ư o có chi phí nhỏ nhất sẽ được chọn để đưa vào bảng
địn tu
ìn 2.2.2.c.Area - Tập hợp các mạng và các router có cùng ch
ùn . Mỗi router trong một vùng chỉ xây dựng cơ sở dữ liệu về trạng thái các
ng liên kết t
thô g tin giống nhau về trạng thái các đường liên kết. R
vùng được gọi la router nội vùng.
uter áp dụng t
t đến từng mạng đích.
a đ ờng truyền. Đường nà
h yến.
244
Hình 2.2.2.d. Cost – giá trị chi phí đặt cho một đường liên kết. Giao thức định
tuyến theo trạng thái đường liên kết tính chi phí cho một liên kết dựa trên băng
thông hoặc tốc độ của đường liên kết đó.
Hình 2.2.2.e. Routing table – hay còn gọi là cơ sở dữ liệu để chuyển gói. Bảng
định tuyến là kết quả chọn đường của thuật toán chọn đường địa dựa trên cơ sở
dữ liệu về trạng thái các đường liên kết.
245
Mỗi router giữ một danh sách các láng giềng thân mật, danh sách này gọi là cơ sở
dữ liệu các láng giềng thân mật. Các lán ọi là thân mật là những láng
giềng mà router có thiết lập mố ột router có thể có nhiều láng
ông phải láng giềng nào cũng có mối quan hệ thân mật. Do đó bạn
g giềng được g
i quan hệ hai chiều. M
giềng nhưng kh
cần lưu ý mối quan hệ láng giềng khác với mối quan hệ láng giềng thân mật, hay
gọi tắt là mối quan hệ thân mật. Đối với mỗi router danh sách láng giềng thân mật
sẽ khác nhau.
Hình 2.2.2.f. Adjacency database – danh sách các router láng giềng có mối quan
hệ hai chiều. Mỗi router sẽ có một danh sách khác nhau.
o đổi thông tin định tuyến với nhiều roưter láng giềng
trong cùng một mạng, các router OSPF bầu ra một router đại diện gọi là
Để giảm bớt số lượng tra
Designated router (DR) và một router đại diện dự phòng gọi là Backup Designated
(BDR) làm điểm tập trung các thông tin định tuyến.
246
Hình 2.2.2.g. Design Router (DR) và Backup Designated Router (BDR) là router
đư đại diện. Mỗi
2.2 ến theo vectơ khoảng cách
Tro i một giao thức định tuyến theo vectơ
kho ng liên kết có một sơ đồ
đầy
thá á
không phát qu
vec
dụng í g hơn cho hoạt động duy trì bảng định tuyến.
RI đường tốt nhất đối với RIP là đường có số
lư với mạng lớn, có khả năng mở rộng, đường đi
ợc tất cả các router khác trong cùng một mạng LAN bầu ra làm
một mạng sẽ có một DR va BDR riêng.
.3. So sánh OSPF với giao thức định tuy
ng phần này chúng ta sẽ so sánh OSPF vớ
ảng cách la RIP. Router định tuyến theo trạng thái đườ
đủ về cấu trúc hệ thống mạng. Chúng chỉ thực hiển trao đổi thông tin về trạng
i c c đường liên kết lúc khởi động và khi hệ thống mạng có sự thay đổi. Chúng
ảng bá bảng định tuyến theo định kỳ như các router định tuyến theo
tơ khoảng cách. Do đó, các router định tuyến theo trạng thái đường liên kết sử
t băng thôn
P phù hợp cho các mạng nhỏ và
ợng hop ít nhất. OSPF thì phù hợp
tốt nhất của OSPF được xác định dựa trên tốc độ của đường truyền. RIP cũng như
các giao thức định tuyến theo vectơ khoảng cách đều sử dụng thuật toán chọn
đường đơn giản. Còn thuật toán SPF thì rất phức tap. Do đó, nếu router chạy giao
247
thức định tuyến theo vectơ khoảng cách sẽ cần ít bộ nhớ và năng lực xử lý thấp
hơn so với khi chạy OSPF.
OSPF chọn đường dựa trên chi phí được tính từ tốc độ của đường truyền. Đường
tru o thì chi phí OSPF tương ứng càng thấp.
OS t nhất từ cây SPF.
OSPF b nh tuyến lặp vòng. Còn giao thức định tuyến theo vectơ
ệc phát liên tục các thông tin về trang
nh trạng các thông tin quảng cáo không
• Hỗ trợ VLSM (Variable Length Subnet Mask).
yền có tốc độ càng ca
PF chọn đường tố
ảo đảm không bị đị
khoảng cách vẫn có thể bị định tuyến lặp vòng.
Nếu một kết nối không ổn định, chập chờn, vi
thái của đường liên kết này sẽ dẫn đến tì
đồng bộ làm cho kết quả chọn đường của các router bị đảo lộn.
OSPF giải quyết được các vấn đề sau:
• Tốc độ hội tụ.
• Kích cỡ mạng
• Chọn đường
• Nhóm các thành viên.
248
Hình 2.2.3. Sự cố xảy ra khi một kết nối không ổn định làm cho việc cập nhật
hội tụ được vì
như không đến được vì
RIP có số lượng hop giới hạn là 15. Điều này làm kích thước mạng của RIP bị giới
hạn trong phạm vi nhỏ. OSPF thì không hề có giới hạn về kích thước mạng, OSPF
hoàn toàn phù hợp cho các mạng vừa và lớn.
Khi nhận được từ láng giềng các router bao cáo về số lượng hop đến mạng đích,
RIP sẽ cộng thêm 1 vào thống số hop này và dựa vào số lượng hop đó để chọn
đường đến mạng đích. Đường nào có khoảng cách ngắn nhất hay nói cách khác là
có số lượng hop ít nhất sẽ là đường tốt nhất đối với RIP. Chúng ta thấy thuật toán
không đồng bộ.
Trong một hệ thống mạng lớn, RIP phải mất vài phút mới có thể
mỗi router chỉ trao đổi bảng định tuyến với các router láng giềng kết nối trực tiếp
với mình mà thôi. Còn đối với OSPF sau khi đã hội tụ vào lúc khởi động, khi có
thay đổi thì việc hội tụ sẽ rất nhanh vì chỉ có thông tin về sự thay đổi được phát ra
cho mọi router trong vùng.
OSPF có hõ trợ VLSM nên nó được xem là một giao thức định tuyến không theo
lớp địa chỉ. RIPv1 không có hỗ trợ VLSM, tuy nhiên RIPv2 có hỗ trợ VLSM.
Đối với RIP, một mạng đích cách xa hơn 15 router xem
249
chọn đường như vậy rất đơn giản và không đòi hỏi nhiều bộ nhớ và năng lượng xử
lý của router. RIP không hề quan tâm đến băng thông đường truyền khi quyết định
chọn đường.
OSPF thì chọn đường dựa vào chi phí được tính từ băng thông của đường truyền.
Mọi OSPF router đều có thông tin đầy đủ về cấu trúc của hệ thống mạng dựa vào
đó để tự tính toán chọn đường tốt nhất. Do đó thuật toán chọn đường này rất phức
tạp, đòi hỏi nhiều bộ nhớ và năng lực xử lý của router cao hơn so với RIP.
RIP sử dụng cấu trúc mạng dạng ngang hàng. Thông tin định tuyến được truyền
lần lượt cho mọi router trong cùng một hệ thống RIP. OSPF sử dụng khái niệm về
hân vùng. Một mạng OSPF có thể chia các router thành nhiều nhóm ằng cách
ày, OSPF có thể giới hạn lưu thông trong từng vùng. Thay đổi trong vùng này
hông ảnh hưởng đến hoạt động của các vùng khác. Cấu trúc phân cấp như vậy
t cách hiệu quả.
ắn nhất
huật toán này, đường tốt nhất là đường có chi phí thấp nhất. Edsger Wybe
máy tính người Hà Lan, đã phát minh thuật toán này
nênó Thuật toán này xem hệ thống mạng là một
tập g kết nối điểm-đến-điểm. Mỗi kết nối
nàyó i tên. Mỗi node có đầy đủ cơ sở dữ liệu về
p . B
n
k
cho phép hệ thống mạng có khả năng mở rộng mộ
2.2.4. Thuật toán chọn đường ngắn nhất.
Trong phần này sẽ giải thích cách OSPF sử dụng thuật toán chọn đường ng
như thế nào.
Theo t
Dijkstra, một nhà khoa học
n còn có tên là thuật toán Dijkstra.
hợp các nodes được kết nối với nhau bằn
c một chi phí. Mỗi node có một cá
trạng thái của các đường liên kết, do đó chúng có đầy đủ thông tin về cấu trúc vật
lý của hệ thống mạng. Tất cả các cơ sở dữ liệu này đều giống nhau cho mọi router
trong cùng một vùng. Ví dụ như trên hình 2.2.4.a, D có các thông tin là nó kết nối
tới node C bằng đường liên kết có chi phí là 4 và nó kết nối đến node E bằng
đường liên kết có chi phí là 1.
Thuật toán chọn đường ngắn nhất sẽ sữ dụng bản thân node làm điểm xuất phát và
kiểm tra các thông tin mà nó có về các node kế cận. Trong hình 2.2.4.b, node B
chọn đường đến D. Đường tốt nhất đến D là đi bằng đường của node E có chi phí
là 4. Như vậy là gói dữ liệu đi từ B đến D sẽ đi theo đường từ B qua C qua E rồi
đến D.
250
Node B chọn đường đến node F là đường thông qua node C có chi phí là 5. Mọi
đường khác đều có thể bị lặp vòng hoặc có chi phí cao hơn.
Hình 2.2.4.a
Hình 2.2.4.b
251
2.2.5. Các loại mạng OSPF
Các OSPF router phải thiết lập mối quan hệ láng giềng để trao đổi thông tin định
tuyến. Trong mỗi một mạng IP kết nối vao router, nó đều cố gắng ít nhất là trở
thành một láng giềng hoặc là láng giềng thân mật với một router khác. Router
OS g
kết nối của nó. C ng thân mật với
mọi router láng giềng khác. Có một số router khác lại có thể chỉ cố gắng trở thành
láng giềng thân mật với một hoặc hai router láng giềng thôi. Một khi mối quan hệ
láng giềng thân mật đã được thiết lập giữa hai láng giềng với nhau thì thông tin về
trạng thái đường liên kết mới được trao đổi.
Giao tiếp OSPF nhận biết ba loại mạng sau:
• Mạng quảng bá đa truy cập, ví dụ như mạng Ethernet.
• Mạng điểm-nối-điểm.
• Mạng không quảng bá đa truy cập (NBMA – Nonbroadcast multi-access), ví
dụ như Frame Relay.
Loại mạng thứ 4 là mạng điểm-đ hể được nhà quản tr ạng cấu
PF quyết định thuộc vào mạn chọn router nào làm láng giềng thân mật là tuỳ
ó một số router có thể cố gắng trở thành láng giề
ến-nhiều điểm có t ị m
hình cho một cổng của router.
Hình 2.2.5.a. Ba loại mạng của OSPF.
252
Trong mạng đa truy cập không thể biết được là có bao nhiêu router sẽ có thể kết
nối được kết nối vào mạng. Trong mạng điểm-đến-điểm chỉ có hai router kết nối
với nhau.
Trong mạng quảng bá đa truy cập có rất nhiều router kết nối vào. Nếu mỗi router
đều thiết lập mối quan hệ thân mật với mọi router khác và thực hiện trao đổi thông
tin về trạng thái đường liên kết với mọi router láng giềng thì sẽ quá tải. Nếu có 10
router thì sẽ cần 45 mối liên hệ thân mật, nếu có n router thì sẽ có n*(n-1)/2 mối
quan hệ láng giềng thân mật cần được thiết lập.
Giải pháp cho vấn đề quá tải trên là bầu ra một router làm đại diện (DR –
Designated Router). Router này sẽ thiết lập mối quan hệ thân mật với mọi router
khác trong mạng quảng bá. Mọi router còn lại sẽ chỉ gửi thông tin về trạng thái
R sẽ gửi các thông tin này cho mọi router khác
up Designated Router), router này sẽ
đảm trách vai trò của DR nếu DR bị sự cố. Để đảm bảo cả DR và BDR đều nhận
đượ hái đường liên kết từ mọi router khác trong cùng một
mạn ast 224.0.0.6 cho các router đại diện.
đường liên kết cho DR. Sau đó D
trong mạng bằng địa chỉ mutlticast 224.0.0.5. DR đóng vai trò như một người phát
ngôn chung.
Việc bầu DR rất có hiệu quả nhưng cũng có một số nhược điểm. DR trở thành một
tâm điểm nhạy cảm đối với sự cố. Do đó, cần có một router thứ hai được bầu ra để
làm router đại diện dự phòng (BDR – Back
c các thông tin về trạng t
g, chúng ta sử dụng địa chỉ multic
Hình 2.2.5.b. DR và BDR nhận các gói LSAs.
253
Trong mạng điểm-nối-điểm chỉ có 2 router kết nối với nhau nên không cần bầu ra
DR và BDR. Hai router này sẽ thiết lập mối quan hệ láng giềng thân mật với nhau.
Hình 2.2.5.c
2.2.6. Giao thức OSPF Hello
Khi router bắt đầu khởi động tiến trình định tuyến OSPF trên một cổng nào đó thì
nó sẽ gửi một gói hello ra cổng đó và tiếp tục gửi hello theo định kỳ. Giao thức
Hello đưa ra các nguyên tắc quản lý việc trao đổi các gói OSPF Hello.
Ở Lớp 3 của mô hình OSI, gói hello mang địa chỉ multicast 224.0.0.5. Địa chỉ này
chỉ đến tất cả các OSPF router. OSPF router sử dụng gói hello để thiết lập một
quan hệ láng giềng thân mật mới để xác định là router láng giềng có còn hoạt động
hay không. Mặc định, hello được gửi đi 10 giây 1 lần trong mạng quảng bá đa truy
cập và mạng điểm-nối-điểm. Trên cổng nối vào mạng NBMA, ví dụ như Frame
Relay, chu kỳ mặc định của hello là 30 giây.
Trong mạng đa truy cập, giao thức hello tiến hành bầu DR và BDR.
Mặc dù gói hello rất nhỏ nhưng nó cũng bao gồm cả phần header của gói OSPF.
Cấu trúc của phần header trong gói OSPF được thể hiện trên hình 2.2.6.a. Nếu là
gói hello thì trường Type sẽ có giá trị là 1.
254
ể thống nhất giữa mọi láng giềng với nhau trước
khi có thể thiết lập mối quan hệ láng giềng thân mật và trao đổi thông tin về trạng
thái các đường liên kết.
Hình 2.2.6.a. Phần header của gói OSPF.
Gói hello mang những thông tin đ
Hình 2.2.6.b. Phần header của gói OSPF Hello. Các thông tin trong phần Hello
Interval, Đea Interval và Router ID phải đồng nhất thì các router mới có thể
thiết lập mối quan hệ láng giềng thân mật.
2.2.7. Các bước hoạt động của OSPF
255
Khi bắt đầu khởi động tiến trình định tuyến OSPF trên một cổng nào đó, nó sẽ gửi
ột DR và BDR. DR và BDR duy trì mối quan hệ
thân mật với mọi router OSPF còn lại trong cùng một mạng.
gói Hello ra cổng đó và tiếp tục gửi hello theo định kỳ. Giao thức Hello là một tập
hợp các nguyên tắc quản lý việc trao đổi gói Hello. Gói Hello mang các thông tin
cần thống nhất giữa mọi router láng giềng trước khi có thể thiết lập mối quan hệ
thân mật và trao đổi thông tin về trạng thái các đường liên kết. Trong mạng đa truy
cập, giao thức Hello sẽ bầu ra m
Hình 2.2.7.a. Bước 1: phát hiện các router láng giềng. Trong từng mạng IP kết
nối vào router, router cố gắng thiết lập mối quan hệ thân mật với ít nhất một
láng giềng.
256
Hình 2.2.7.b. Bước 2: bầu ra DR và BDR. Quá trình này chỉ được thực hiện
trong mạng đa truy cập.
Các router đã có mối quan hệ thân mật lần lượt thực hiên các bước trao đổi thông
ọi router trong mạng OSPF.
ter áp dụng
thuậ ựa trên cơ sở dữ liệu mà nó có.
Đường ngắn nhất là đường có chi phí thấp nhất đến mạng đích.
tin về trạng thái các đường liên kết. Sau khi hoàn tất quá trình này các ở trạng thái
gọi la full state. Mỗi router gửi thông tin quảng cáo về trạng thái các đường liên kết
trong gói LSAs (Link-State Advertisements) và gửi thông tin cập nhật các trạng
thái này trong gói LSUs (Link-State Updates). Mỗi router nhận các gói LSAs này
từ láng giềng rồi ghi nhận thông tin vào cơ sở dữl iệu của nó. Tiến trình này được
lặp lại trên m
Khi cơ sở dữ liệu về trạng thái các đường liên kết đã đáy đủ, mỗi rou
t toán SPF để tự tính toán chọn đường tốt nhất d
257
Hình 2.2.7.c. Bước 3: áp dụng thuật toán SPF vào cơ sở dữ liệu về trạng thái
liên kết để chọn đường tốt nhất đưa lên bảng định tuyến.
ập tức phát thông báo cho mọi router khác
trong mạng. Thời gian Dead interval trong giao thức Hello là một thông số đơn
các đường
Sau đó các thông tin định tuyến cần phải được bảo trì. Khi có một sự thay đổi nào
về trạng thái của đường liên kết, router l
giản để xác định một router láng giềng thân mật còn hoạt động hay không.
258
259
Hình 2.2.7.d. R1 phát hiện một liên kết bị đứt và gửi LSU cho DR bằng địa chỉ
multicast 224.0.0.6. DR gửi báo nhận cho R1.
Hình 2 DR gửi LSU mới nhận cho tất cả các router còn lại trong
cùng một mạng bằng địa chỉ multicast 224.0.0.5. Sau khi nhận được LSU, các
.2.7.e. Tiếp theo
router gửi báo nhận lại cho DR.
260
Hình 2.2.7.f. Nếu router OSPF nào còn có kết nối đến mạng khác thì nó sẽ
chuyển tiếp LSU ra mạng đó.
261
Hh n mới, router OSPF sẽ cập
nh ới này
2.3.1. Cấu hình tiến trình định tuyến OSPF
ệm về vùng. Mỗi router xây dựng một cơ sở dữ
ng liên kết trong một vùng. Một vùng trong mạng
OSPF ó là vùng 0. Trong
mạng OSPF đa vùng, tất cả các vùng đều phải kết nối vào vùng 0. Do đó vùng 0
đượ
n khởi động tiến trình định tuyến OSPF trên router, khai báo địa
chỉ mạng và chỉ số vùng. Địa chỉ mạng được khai báo kèm theo wilđcard mask chứ
khô D) của vùng được viết dưới dạng
số ho c d u chấm tượng tự như IP.
ể khởi động định tuyến OSPF bạn dùng lệnh sau trong chế độ cấu hình toàn cục:
Router (config)#router ospf process-id
Process-id là chỉ số xác định tiến trình địng tuyến OSPF trên router. Bạn có thể
khởi động nhiều tiến trình OSPF trên cùng một router. Chỉ số này có thể là bất kỳ
giá trị nào trong khoảng từ 1 đến 65.535. Đa số các nhà quản trị mạng thường giữ
chỉ số process-id này giống nhau trong cùng một hệ tự quản, nhưng điều này là
không bắt buộc. Rất hiếm khi nào bạn cần chạy nhiều hơn một tiến trình OSPF trên
một router. Bạn khai báo địa chỉ mạng cho OSPF như sau:
ìn 2.2.7.g. Sau khi nhận được LSU với thông ti
ật vào cơ sở dữ liệu của nó rồi áp dụng thuật toán SPF với thông tin m
để tính toán lại bảng định tuyến.
2.3. Cấu hình OSPF đơn vùng
Định tuyến OSPF sử dụng khái ni
liệu đầy đủ về trạng thái các đườ
được cấp số từ 0 đến 65.535. Nếu OSPF đơn vùng thì đ
c gọi là vùng xương sống.
Trước tiên, bạn cầ
ngphải là subnet mask. Chỉ số danh định (I
ặ ưới dạng số thập phân có dấ
Đ
262
Router(config-router)#network address wildcard-mask area area-id
Mỗi mạng được quy ước thuộc về một vùng. Adress có thể là địa chỉ của toàn
mạng, hoặc là một subnet hoặc là địa chỉ của một cổng giao tiếp. Wildcard-mask sẽ
xác định chuỗi địa chỉ host nằm trong mạng mà bạn cần khai báo.
Hình 2.3.1. Cấu hình OSPF cơ bản.
2.3. C yền ưu tiên cho router
F bắt đầu hoạt động, Cisco IOS sử dụng địa chỉ IP lớn nhất đang
hoạt động trên router làm router ID. Nều không có cổng nào đang hoạt động thì
tiến ì ã chọn địa chỉ IP của một
cổn à tiến trình sẽ bị mất router ID.
Khi đó tiến trình OSPF sẽ bịi ngưng hoạt động cho đến khi cổng đó hoạt động trở
lại.
2. ấu hình địa chỉ loopback cho OSPF và qu
Khi tiến trình OSP
tr nh OSPF không thể bắt đầu được. Khi router đ
g l m router ID và sau đó cổng này bị sự cố thì
263
Để
tồn tại ậy cần cấu hình một cổng loopback là một
ổng luận lý chứ không phải cổng vật lý. Nếu có một cổng loopback được cấu hình
ẽ sử dụng địa chỉ của cổng loopback làm router ID mà không quan tâm
ến giá trị của địa chỉ này.
Nếu trên router có nhiều hơn một thì OSPF sẽ chọn địa chỉ IP lớn
nhất trong các địa chỉ IP của các cổng loopback làm router ID.
Để tạổng loopback và đặt địa chỉ IP cho nó bạn sử dụng các lệnh sau:
Router (config)#interface loopback number
Router (config-if)#ip address ip-address subnet-mask
Bạn nê ack cho mọi router chạy OSPF. Cổng loopback này
nên 5.255.255.255. Địa chỉ 32-bit
ậy gọi là host mask vì subnet mask này xác định một địa chỉ
ảng cáo về mạng loopback, OSPF sẽ luôn
luônu
đảm bảo cho OSPF hoạt động ổn định chúng ta cần phải có một cổng luôn luôn
cho tiến trình OSPF. Chính vì v
c
thì OSPF s
đ
cổng loopback
o c
n sử dụng cổng loopb
được cấu hình với địa chỉ có subnet mask là 25
subnet mask như v
mạng chỉ có một host. Khi OSPF phát qu
q ảng cáo loopback như là một host với 32-bit mask.
264
Hình 2.3.2.a. Cổng loopback chỉ là một cổng phần mềm. Để xoá cổng loopback
bạn dùng dạng no của câu lệnh tạo cổng.
ể có nhiều hơn hai router. Do đó, OSPF bầu
ra m t router đại diện (DR – Designated Router) làm điểm tập trung tất cả các
thôn t ì vai trò của
DR t
Router ay thế khi DR bị sự cố.
Đối vớ
cổng đ
bầu DR trên router ID. Router ID nào lớn nhất sẽ được chọn.
Bạn có thể quyết định kết quả bầu chọn DR bằng cách đặt giá trị ưu tiên cho cổng
cua router kết nối vào mạng đó. Cổ nào có giá trị ưu tiên cao nhất thì
router đó chắc chắn là DR.
Giá tr thể đặt bất kỳ giá trị nào nằm trong khoảng từ 0 đến 255. Giá trị 0
sẽ làm cho router đó không bao giờ được bầu chọn. Router nào có giá trị ưu tiên
Trong mạng quảng bá đa truy cập có th
ộ
g in quảng cáo và cập nhật về trạng thái của các đường liên kết. V
rấ quan trọng nên một router đại diện dự phòng (BDR – Backup Designated
) cũng được bầu ra để th
i cổng kết nối vào mạng quảng bá, giá trị ưu tiên mặc định của OSPF trên
ó là 1. Khi giá trị OSPF ưu tiên của các router đều bằng nhau thì OSPF sẽ
dựa
ng của router
ị ưu tiên có
265
OSPF cao nhất sẽ được chọn làm DR. Router nào có vị trí ưu tiên thứ 2 sẽ là BDR.
Sau khi bầu chọn xong, DR và BDR sẽ giữ luôn vai trò của nó cho dù chúng ta có
đặt ê
Để a ip ospf priority
cần thay
của cổ
Router(config-if)#ip ospf priority number
Router#show ip ospf interfacetype number
th m router mới vào mạng với giá trị ưu tiên OSPF cao hơn.
th y đổi giá trị ưu tiên OSPF, bạn dùng lệnh trên cổng nào
đổi. Bạn dùng lệnh showip ospf interface có thể xem được giá trị ưu tiên
ng và nhiều thông tin quan trọng khác.
Hình 2.3.2.b. Trong gói hello phát ra cổng Fast Ethernet 0/0, trường Router
Priority sẽ có giá trị là 50.
266
Hình 2.3.2.c. Gói OSPF Hello.
Hình 2.3.2.d
267
Ta xét ví dụ trong hình 2.3.2.d. RTA va RTB sẽ thực hiện bầu DR và BDR trong
hai m C là
mạng điểm-nối-điểm nên không thực hiện bầu DR và BDR. Trong mạng Ethernet
TA là
ậy RTB làm DR và RTA làm BDR.
Khong tim thay hinh
Hình 2.3
Ta xét ví dụ hình 2.3.2.f. Hai mạng 10.2.0.0/30 va 10.2.0.4/30 giữa hai kết nối
s
điể ữa
chúng. Tương tự cho mạng 10.5.0.0/16 giữa router A và router Remote. Giả sử giá
Hình 2.3.2.e. Bầu DR và BDR trong mạng quảng bá đa truy cập.
ạng Ethernet quảng bá đa truy cập. Còn mạng PPP giữa RTB và RT
10.4.0.0/16 kết nối giữa RTA và RTB giả sử giá trị ưu tiên trên 2 cổng Ethernet
của RTA và RTB đều bằng nhau và bằng giá trị mặc định là 1. Khi đó router nào
có router ID lớn nhất trong mạng này sẽ được bầu làm DR. Router ID của R
10.5.0.1, router ID của RTB là 10.6.0.1. V
.2.f
erial của router HQ – router B, router B – router Remote là hai mạng điểm-nối-
m nên không bầu DR và BDR trong mạng Ethernet 10.4.0.0/16 kết nối gi
268
trị ưu tiên trên cổng fa0 của router HQ và trên cổng fa1 của router A đều bằng giá
trị mặc định là 1. Router HQ có router ID là 10.4.0.2, router A có router ID là
10.5.0.1, router Remote có router ID là 10.5.0.2. Vậy router A sẽ là DR trong mạng
này vì router A có router ID lớn hơn router ID của router HQ. Tương tự, router
Remote sẽ là DR trong mạng 10.5.0.0/16 và router A làm BDR trong mạng này.
Hình 2.3.2.g
ện bầu DR và BDR cho
hai cổng serial của chúng. R1, R2 và R3 sẽ tiến
hành bầu DR và BDR cho mạng Ethernet kết nối giữa chúng. Giả sử giá trị ưu tiên
1 có cổng Loopback0 nên nó sẽ lấy địa cỉ
er ID. R2 không có cấu hình cổng Loopback nên nó lấy
địa chỉ IP lớn nhất mà nó có để làm router ID. Do đó, router ID của R2 là
Như vậy R3 có router ID lớn
nhất nên nó được bầu làm DR trong mạng Ethernet 192.1.1.0/24, R2 có router ID
Ta xét ví dụ trong hình 2.3.2.g. R2 và R3 không thực hi
mạng điểm-nối-điểm kết nối giữa
của cổng e0 trên các router đều bằng 1. R
IP của cổng này làm rout
192.1.1.2. Tương tự, router ID của R3 là 201.1.1.1.
lớn thứ 2 nên nó được bầu làm BDR trong mạng này.
269
2.3.3. Thay đổi giá trị chi phí của OSPF.
OSPF sử dụng chi phí làm thông số chọn đường tốt nhất. Giá trị chi phí này liên
quan đến đường truyền và dữ liệu nhận vào của một cổng trên router. Nói tóm lại,
chi phí của một kết nối được tính theo công thức 108
/băng thông, trong đó băng
thông được tính theo đơn vị bit/s. Người quản trị mạng có thể cấu hình giá trị chi
phí bằng nhiều cách. Cổng nào có chi phí thấp thì cổng đó sẽ được chọn để chuyển
nfig-if)#bandwidth 64
Giá trị băng thông mặc định của cổng Serial Cisco là 1,544Mbps hay 1544kbs
dữ liệu. Cisco IOS tự động tính chi phí dựa trên băng thông của cổng tương ứng.
Do đó, để OSPF hoạt động đúng bạn cần cấu hình băng thông đúng cho cổng của
router.
Router (config)#interface serial 0/0
Router(co
Hình 2.3.3.a. Giá trị chi phí OSPF mặc định của Cisco IOS.
270
Giá trị chi phí thay
trường định tuyến có
n
a i sử dụng Gigabit Ethernet. Giá trị chi
ất, giá trị 1, là tương ứng với kết nối 100Mbs. Do đó, khi
trong mạng vừa co 100Mbs va Gigabit Ethernet thì giá trị chi phí mặc định sẽ làm
uyến c
Bạn sử dụng câu lệnh sau trong chế độ cấu hình cổng tương ứng để cài đặt giá trị
g đó:
fig-if)#ip ospf cost number
đổi sẽ ảnh hưởng đến kết quả tính toán của OSPF. Trong môi
nhiều hãng khác nhau, bạn sẽ phải thay đổi giá trị chi phí để
g này tương thích với giá trị chi phí của hãng kia. Một trường
y đổi giá trị chi phí kh
giá trị chi phí của hã
hợp khác bạn cần th
phí mặc định thấp nh
cho việc định t ó thể không tối ưu. Giá trị chi phi nằm trong khoảng từ 1 đến
65.535.
chi phí cho cổn
Router (con
Hình 2.3.3.b. Cấu hình giá trị chi ph ng của router.
2.3.4. Cấu hình quá tr
Các router mặc nhiên uyến mà nó nhận được là do
đúng router tin cậy phát ra và những thông tin này không bị can thiệp dọc đường
đi.
í cho một cổ
ình xác minh cho OSPF.
tin rằng những thông tin định t
271
Để đảm bảo điều này
xác minh với nhau.
Mỗi một cổng OSPF tr nh để sử dụng khi gửi
các thông tin OSPF cho các router khác cùng kết nối với cổng đó. Chìa khóa xác
chia sẻ giữa hai router. Chìa khoá này sử dụng
để tạo ra dữ liệu xác minh (trường Authentication data) đặt trong phần header của
config-if)#ip ospf authentication-keypassword
, các router trong một vùng cần được cấu hình để thực hiện
ên router cần có một chìa khoá xác mi
minh, hay còn gọi là mật mã, được
gói OSPF. Mật mã này có thể dài đến 8 ký tự. Bạn sử dụng câu lệnh sau để cấu
hình mật mã xác minh cho một cổng OSPF:
Router (
Sau khi cấu hình mật mã xong, bạn cần bật chế độ xác minh cho OSPF:
Router(config-router)#areaarea-number authentication
Hình 2.3.4.a. Phần header của gói OSPF.
272
Với cơ chế xác minh đơn giản trên, mật mà được gửi đi dưới dạn văn bản. Do đó
nó dễ dàng được giải mã nếu gói OSPF bị những kẻ tấn công bắt được.
Chính vì vậy các thông tin xác minh nên được mật mã lại. Để đảm bảo an toàn hơn
n cấu hình mật mã message-digest
bằn của router:
Router
key
MD5 l
encryption-type giá trị 0 có nghĩa là không thự hiện mật mã, còn giá trị 7 có nghĩa
là th
Tham s số key là
phầ
buộc p
Sau khi c
trong OSPF:
Router
và thực hiện mật mã thông tin xác minh, bạn nê
g câu lệnh sau trên cổng tương ứng
( config-ì)#ip ospf message-digest-key key-id encryption-type md5
à một thuật toán mật mã thông điệp message-digist. Nếu bạn đặt tham số
ực hiện mật mã theo cách độc quyền của Cisco.
ố key-id là một con số danh định có giá trị từ 1 đến 255. Tham
n cho bạn khai báo mật mã, có thể dài đến 16 ký tự. Các router láng giềng bắt
hải có cùng số key-id cà cùng giá trị key.
ấu hình mật mã MD5 xong bạn cần bật chế độ xác minh message-digest
(config-router)#areaarea-id authentication message-digest
273
Hình 2.3.4.b. Cấu hình cơ chế xác minh MD5 cho OSPF.
Từ mật mã và nội dung của gói dữ liệu, thuật toán mẫt mã MD5 sẽ tạo ra một
thông điệp gắn thêm vào gói d ói dữ liệu sẽ dùng mật mã mà
ới gói dữ liệu nhận được để tạo ra một thông điệp. Nếu
kết quả hai thông điệp này giống nhau thì có nghĩa là là router đã nhận được gói dữ
nào. Nếu cơ chế xác minh là message-digest thì trường
authentication data sẽ có chứa key-id và thông số cho biết chiều dài của phần thông
hời gian của OSPF
nh, khoảng
thời gian bất động bằng bốn lần khoảng thời gian hello. Điều này có nghĩa là một
i để gửi gói hello trước khi nó xác định là đã chết.
ữ liệu. Router nhận g
bản thân router có kết hợp v
liệu từ đúng nguồn và nội dung gói dữ liệu đã không bị can thiệp. Cấu trúc phần
header của gói OSPF như trên hình 2.3.4.a. Trường authentication type cho biết cơ
chế xác minh là cơ chế
điệp gắn thêm vào gói dữ liệu. Phần thông điệp này giống như một con dấu không
thể làm giả được.
2.3.5. Cấu hình các thông số t
Các router OSPF bắt buộc phải có khoảng thời gian hello và khoảng thời gian bất
động với nhau mới có thể thực hiện trao đổi thông tin với nhau. Mặc đị
router có đến 4 cơ hộ
274
Trong mạng OSPF quảng bá, khoảng thời gian hello mặc định là 10 giây, khoảng
thời gian bất động mặc định là 40 giây. Trong mạng không quảng bá, khoảng thời
gian hello mặc định là 30 giây và khoảng thời gian bất động mặc định là 120 giây.
Các giá trị mặc định này có ảnh hưởng đến hiệu quả hoạt động của OSPF và đôi
khi bạn cần phải thay đổi chúng.
Người quản trị mạng được phép lựa chọn giá trị cho hai khoảng thời gian này. Để
tăng hiệu quả hoạt động của mạng bạn cần ưu tiên thay đổi giá trị của hai khoảng
thời gian này. Tuy nhiên, các giá trị này phải được cấu hình giống nhau cho mọi
router láng giềng kết nối với nhau.
Để cấu hình khoảng thời gian hello và khoảng thời gian bất động trên một cổng
outer (config-if)#ip ospf hello-interval seconds
Router (config-if)#ip ospf dead-interval seconds
của router, bạn sử dụng câu lệnh sau:
R
Hình 2.3.5
275
2.
on đường đến tất cả các mạng đích trong hệ thống
đường đi cho mọi mạng đích trên thế giới thì sẽ
ồ.
, chúng ta khai báo đường mặc định cho router OSPF nào kết nối ra
ngoài. Sau đó thông tin về đường mặc định này được phân phối vào cho các router
Mọi router trong hệ thống OSPF sẽ nhận biết được là có đường mặc định trên
3.6. OSPF thực hiện quảng bá đường mặc định
Định tuyến OSPF đảm bảo các c
không bị lặp vòng. Để đến được các mạng nằm ngoài hệ thống thì OSPF cần phải
biết về mạng đó hoặc là phải có đường mặc định. Tốt nhất là sử dụng đường mặc
định vì nều router phải lưu lại từng
tốn một lượng tài nguyên khổng l
Trên thực tế
khác trong hệ tự quản (AS – autonomous system) thông qua hoạt động cập nhật
bình thường của OSPF.
Trên router có cổng kết nối ra ngoài, bạn cấu hình mặc định bằng câu lệnh sau:
Router (config)#ip route 0.0.0.0 0.0.0.0 [interface | next-hop address ]
Mạng tám số 0 như vậy tương ứng với bất kỳ địa chỉ mạng nào. Sau khi cấu hình
đường mặc định xong, bạn cấu hình cho OSPF chuyển thông tin về đường mặc
định cho mọi router khác trong vùng OSPF:
Router (config-router) #default – information originate
router biên giới kết nối ra ngoài.
276
Hìn 2
trong bảng định tuyến.
2.3.7. N
OSPF giềng hoặc thân mật với OSPF router
khác để trao đổi thông tin định tuyến. Mối quan hệ này không thiết lập được có thể
do
• C
•
• L
• M
Trong c
cũng vô cùng quan t
• Tất cả các cổng giao tiếp phải có địa chỉ và subnet mask chính xác.
h .3.6. Đường mặc định chỉ được sử dụng khi không tìm thấy đường nào khác
hững lỗi thường gặp trong cấu hình OSPF
router phải thiết lập mối quan hệ láng
những nguyên nhân sau:
ả hai bên láng giềng với nhau đều không gửi Hello.
Khoảng thời gian Hello và khoảng thời gian bất động không giống nhau giữa
các router láng giềng.
oại cổng giao tiếp khác nhau giữa các router láng giềng.
ật mã xác minh và chìa khoá khác nhau giữa các router láng giềng.
ấu hình định tuyến OSPF việc đảm bảo tính chính xác của các thông tin sau
rọng:
277
• C
• C
2.3.K
Để kiểm tra cấu hình OSPF bạn có thể dùng các lệnh show được liệt kê trong bảng
2.3.
OSPF.
Bảng 2
Lệ Giải thích
âu lệnh network area phải có wildcard mask chính xác.
âu lệnh network area phải khai báo đúng area mà network đó thuộc về.
8. iểm tra cấu hình OSPF
8.a. Bảng 2.3.8.b liệt kê các lệnh show hữu dụng cho bạn khi tìm sự cố của
.3.8.a. Các lệnh show dùng để kiểm tra cấu hình OSPF
nh
Show
pro
thông số định ip Hiển thị các thông tin về thông số thời gian,
tocol tuyến, mạng định tuyến và nhiều thông tin khác của tất cả
các giao thức định tuyến đang hoạt động trên router.
Sh
route
c được các đường đi này bằng cách nào.
ow ip Hiển thị bảng định tuyến của router, trong đó là danh sách
các đường tốt nhất đến các mạng đích của bản thân router và
cho biết router họ
Sh
inte
ợc cấu hình thì ghi địa chỉ IP của cổng vật lý nào có
giá trị lớn nhất sẽ được chọn làm router ID. Lệnh này cũng
ng thời cho biết các router
ow ip ospf Lệnh này cho biết cổng của router đã được cấu hình đúng
rface với vùng mà nó thuộc về hay không. Nếu cổng loopback
không đư
hiển thị các thông số của khoảng thời gian hello và khoảng
thời gian bất động trên cổng đó, đồ
láng giềng thân mật kết nối vào cổng.
Show i ày cho biết số lần đã sử dụng thuật toán SPF, đồng
thời cho biết khoảng thời gian cập nhật khi mạng không có gì
p ospf Lệnh n
278
thay đổi.
Show ip ospf
neig
detail
Liệt kê chi tiết các láng giềng, giá trị ưu tiên của chúng và
hbor trạng thái của chúng.
Sho
databa mạng trên router, đồng thời cho biết router ID, ID của tiến
w ip ospf
se
Hiển thị nội dung của cơ sở dữ liệu về cấu trúc hệ thống
trình OSPF.
Bảng 2.3.8.b. Các lệnh clear và debug dùng để kiểm tra hoạt động OSPF.
Lệnh Giải thích
Clear ip route * Xoá toàn bộ bảng định tuyến.
Clear ip route a.b.c.d Xoá đường a.b.c.d trong bảng định tuyến.
Debug ip ospf events Báo cáo mọi sự kiện của OSPF.
Debug ip ospf adj Báo cáo mọi sự kiện về hoạt động quan hệ thân mật
của OSPF.
TỔẾT
Sau được trong chương này:
• C
• Thông tin định tuyến theo trạng thái đường liên kết được xây dựng và bảo trì
như thế nào.
ạng thái đường liên kết.
nh tuyến theo trạng thái đường liên kết.
NG K
đây là các điểm quan trọng bạn cầm nắm
ác đặc điểm của định tuyến theo trạng thái đường liên kết.
• Thuật toán định tuyến theo tr
• Ưu và nhược điểm của đị
279
• S n theo vectơ
khoảng cách.
• C
• C
• H ủa thuật toán chọn đường ngắn nhất SPF.
• Giao thức OSPF Hello.
• C
• K outer.
• Cấu hình cổng loopback để đặt quyền ưu tiên cho router.
ng của OSPF bằng cách thay đổi thông số chi
phí.
để kiểm tra hoạt động của OSPF.
o sánh định tuyến theo trạng thái đường liên kết với định tuyế
ác thuật ngữ OSPF.
ác loại mạng OSPF.
oạt động c
ác bước cơ bản trong hoạt động của OSPF.
hởi động OSPF trên r
• Thay đổi quyết định chọn đườ
• Cấu hình quá trình xác minh cho OSPF.
• Thay đổi các thông số thời gian của OSPF.
• Tạo và quảng bá đường mặc định.
• Sử dụng các lệnh show
280
Chương 3: EIGRP
GIỚI THIỆU
Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức định tuyến
độc quyền của Cisco được phát triển từ Interior Gateway Routing Protocol (IGRP).
Không giống như IGRP là một giao thức định tuyến theo lớp địa chỉ, EIGRP có hỗ
trợ định tuyến liên miền không theo lớp địa chỉ (CIDR – Classless Interdomain
Routing) và cho phép người thiết kế mạng tối ưu không gian sử dụng địa chỉ bằng
VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt
hơn và khả năng chống lặp vòng cao hơn.
Hơn nữa, EIGRP còn thay thế được cho giao thức Novell Routing Information
Protocol (Novell RIP) và Apple Talk Routing Table Maintenance Protocol
(RTMP) để phục vụ hiệu quả cho cả hai mạng IPX và Apple Talk.
EIGRP th ả giao
thức định tuyến theo vectơ khoảng cách và giao thức định tuyến theo trạng thái
đường liên kết.
EIGRP là một g c điểm cả giao
ụ cấu hình EIGRP, đặc biết tập trung vào
ng dự phòng khi cần thiết, cácg đáp ứng với sự cố của một đường đi
nào đó.
Một hệ thống mạng được xây dựng bởi nhiều thiết bị, nhiều giao thức và nhiều loại
đó của mạng không hoạt động đúng thì sẽ
có một vài người dùng không truy cập được hoặc có thể cả hệ thống mạng cũng
không họat động được. Cho dù trong trường hợp nào thì khi sự cố xảy ra người
ường được xem là giao thức lai vì nó kết hợp các ưu điểm của c
iao thức định tuyến nâng cao hơn dựa trên các đặ
thức định tuyến theo trạng thái đường liên kết. Những ưu điểm tốt nhất của OSPF
như thông tin cập nhật một phần, phát hiện router láng giềng…được đưa vào
EIGRP. Tuy nhiên, cấu hình EIGRP dễ hơn cấu hình OSPF.
EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được xây dựng
dựa trên các Cisco router.
Chương này sẽ đề cập đến các nhiệm v
cách EIGRP thiết lập mối quan hệ với các router thân mật, cách tính toán đường
chính và đườ
môi trường truyền. Khi một bộ phận nào
281
quản trị mạng phải nhanh chóng xác định được sự cố và xử lí chúng. Sự cố mạng
thường do những nguyên nhân sau:
• Gõ sai câu lệnh
• Cấu hình danh sách kiểm tra truy cập ACL không đúng hoặc đặt ACL không
đúng chỗ
ấu hình cho router, switch và các thiết bị mạng khác
• Kết nối vật lý không tốt
N
đ
d các lớp trên. Mặ ý sự cố các họat động
của giao thức định tuyến ở Lớp 3 nhưng cũng rất quan trong cho các bạn khi cần
l
Sau khi hoàn tất chương
• Mô tả sự khác nh
• Mô tả các khái ni
• Hiểu được quá trình h
thuật toán DUAL
• Thực hiện cấu hìn
• Cấu hình đường t
• Mô tả quá trình EIGRP xây dựng và bảo trì bảng định tuyến
ô tả 8 bước để x
• Áp dụng tiến trình
• Xử lý sự cố của h
debug.
• Xử lý sự cố của họ
debug
• Xử lý sự cố của họat động định tuyến EIGRP bằng cách sử dụng lệnh show
và debug
• Xử lý sự cố của họat động định tuyến OSPF bằng cách sử dụng lệnh show
EIGRP
GRP
Cisco đưa ra giao thức EIGRP vào năm 1994 như là một phiên bản mới mở rộng
oảng cách trong IGRP vẫn
được sử dụng cho EIGRP
• Các c
gười quản trị mạng cầ
ồ xử lý sự cố tổng quát
ần lên
n tiếp cận với sự cố một cách có phương pháp, sử dụng sơ
. Trước tiên là kiểm tra sự cố ở lớp vật lý trước rồi mới đi
dù chương này chỉ tập trung vào xử l
oại trừ sự cố ở các lớp dưới.
này, các bạn sẽ thực hiện được những việc sau:
au giữa EIGRP và IGRP
ệm, kĩ thuật và cấu trúc dữ liệu của EIGRP
ội tụ của EIGRP và các bước họat động cơ bản của
(Diffusing Update Algorithm)
h EIGRP cơ bản
ổng hợp cho EIGRP
• Kiểm tra hoạt độn
• M
g của EIGRP
ử lý sự cố tổng quát
logic để xử lý sự cố định tuyến.
ọat động định tuyến RIP bằng cách sử dụng lệnh show và
at động định tuyến IGRP bằng cách sử dụng lệnh show và
và debug
3.1. Các khái niệm của
3.1.1. So sánh EIGRP và I
và nâng cao hơn của giao thức IGRP. Kĩ thuật vectơ kh
282
EIGRP cải tiến các đặc tính của quá trình hội tụ, họat động hiệu quả hơn IGRP.
ẫn giữ nguyên
những gì đã xây dựng trong IGRP
Chúng ta sẽ tập trung so sánh EIGRP và IGRP trong các lĩnh vực sau:
ích
• Cách tính thông số định tuyến
• Số lượng hop
• Họat động phân phối thộng tin tự động
• Đánh dấu đường đi
IGRP và EIGRP hoàn toàn tương thích với nhau. EIGRP router không có ranh giới
khi họat động chung với IGRP router. Đặc điểm này rất quan trọng khi người sử
dụng muốn tận dụng ưu điểm của cả hai giao thức. EIGRP có thể hỗ trợ nhiều lọai
giao thức khác nhau còn IGRP thì không.
EIGRP và IGRP có cách tính thông số định tuyến khác nhau. EIGRP tăng thông số
định tuyến của IGRP sử dụng thông số 24 bit. Bằng cách nhân lên hoặc chia đi 256
lần, EIGRP có thể dễ dàng chuyển đổi thông số định tuyến của IGRP
EIGRP và IGRP đều sử dụng công th ố định tuyến như sau:
Thông số định tuyến = [K1 * băng thông + (K2 * băng thông/(256 – độ tải)
độ trễ)] * [K5/(độ tin cậy + K4)]
ặc định: K1=1, K2=0, K3=1, K4=0, K5=0.
Khi K4=K5=0 thì phần [K5/ (độ tin cậy + K4)]trong công thức không còn là
một nhân tố khi tính thông số định đó, công thức tính còn lại
như sau:
độ trễ
Điều này cho phép chúng ta mở rộng, cải tiến cấu trúc trong khi v
• Tính tương th
ức tính thông s
+ (K3 *
M
tuyến nữa. Do
Thông số định tuyến = băng thông +
IGRP và EIGRP sử dụng các biến đổi sau để tính toán thông sô định tuyến:
Băng thông trong công thức trên áp dụng cho IGRP = 10 000 000 / băng
283
thông thực sự
Băng thông trong công thức trên áp dụng cho EIGRP = (10 000 000 / băng
thông thực sự) * 256
Độ trễ trong công thức trên áp dụng cho IGRP = độ trễ thực sự/10
Độ trễ trong công thức trên áp dụng cho EIGRP = (độ trễ thực sự/10) * 256
IGRP có số lượng hop tối đa là 255. EIGRP có số lượng hop tối đa là 224. Con số
này dư sức đáp ứng cho một mạng được thiết kế hợp lí lớn nhất.
n với nhau thì cần phải cấu hình nâng cao hơn. Trong khi đó
a hệ tự quản sẽ tự động phân phối và chia sẻ
hau. Trong ví dụ ở hình 3.1.1, RTB tự động phân phối
à EIGRP học được cho IGRP AS và ngược lại.
được từ IGRP hay từ bất kì nguồn bên
ngoài nào khác là đường ngoại vi vì những con đường này không xuất phát từ
như hình 3.1.1, trong kết quả hiển thị của lệnh show ip route, đường EIGRP
t này. RTC chỉ nhận biêt tất cả các đường đều là đường IGRP mặc dù 2
Để các giao thức định tuyến khác nhau như OSPF và RIP chẳng hạn thực hiện chia
sẻ thông tin định tuyế
IGRP và EIGRP có cùng số AS củ
thông tin về đường đi với n
các thông tin về đường đi m
EIGRP đánh dấu những đường mà nó học
EIGRP router. IGRP thì không phân biệt đường ngoại vi và nội vi.
Ví dụ
được đánh dấu bằng chữ D, đường ngoại vi được đánh dấu bằng chữ EX. RTA
phân biệt giữa mạng học được từ EIGRP (172.16.0.0) và mạng được phân phối từ
IGRP (192.168.1.0). Trong bảng định tuyến của RTC, giao thức IGRP không có sự
phân biệ
mạng 10.1.1.0 và 172.16.0.0 là được phân phối từ EIGRP.
284
3.1 ữ của EIGRP
EIGRP router lưu giữ các thông tin về đường đi và cấu trúc mạng trên RAM, nhờ
đó đổi. Giống như OSPF, EIGRP cũng
lưu nh ệu khác nhau.
EIG ặc biệt. Mỗi con đường
có dấu để cung cấp thêm nhiều thông tin hữu dụng
khác.
EIG
• Bảng láng giềng (Neighbor table)
Bả RP lưu giữ
mộ Bảng này
tươ ức mà
EIG
Khi phát hiện một láng giềng mới, router sẽ ghi lại địa chỉ và cổng kết nối của láng
giề ông số về
khoảng thời gian lưu giữ. Nếu router không nhận được gói hello khi đến định kì thì
kho ng thời gian lưu giữ là khoảng thời gian mà router chờ và vẫn xem là router
láng giềng còn kết nối được và còn họat động. Khi khoảng thời gian lưu giữ đã hết
mà vẫn không còn kết nối được và còn hoạt động. Khi khoảng thời gian lưu giữ đã
hết mà vẫn không nhận được hello từ router láng giềng đó, thì xem như router láng
giềng đã không còn kết nối được hoặc không còn hoạt động, thuật toán DUAL
.2. Các khái niệm và thuật ng
chúng đáp ứng nhanh chóng theo sự thay
ững thông tin này thành từng bảng và từng cơ sở dữ li
RP lưu các con đường mà nó học được theo một cách đ
trạng thái riêng và có đánh
RP có ba lọai bảng sau:
• Bảng cấu trúc mạng (Topology table)
• Bảng định tuyến (Routing table)
ng láng giềng là bảng quan trọng nhất trong EIGRP. Mỗi router EIG
t bảng láng giềng, trong đó là danh sách các router thân mật với nó.
ng tự như cơ sở dữ liệu về các láng giềng của OSPF. Đối với mỗi giao th
RP hỗ trợ, EIGRP có một bảng láng giềng riêng tương ứng.
ng đó vào bảng láng giềng. Khi láng giềng gửi gói hello trong đó có th
ả
285
(Difusing Up tính toán
lại theo mạng mới.
Bả cấu trúc mạng là bảng cung cấp dũ liệu để xây dưngj lên mạng định tuyến
của EIGRP. DUAL lấy thông tin từ bảng láng giềng và bảng cấu trúc mạng để tính
toá ó chi phí thấp nhất đến từng mạng đích.
Mỗ
thứ
mà
khá
nhấ
Sau là những thông tin chứa trong bảng cấu trúc mạng:
• Thông tin về cổng giao tiếp mà router sử dụng để đi đến mạng đích.
Bả
Nh
Ro
Co
tin
và ạng đích có thể có đến 4 successor. Những
đườ
cũn
Đư
này với đường successor nhưng chúng chỉ được lưu trong
bảng c
Ro
nó.
với
cố
bắt
đư iện tại. Nếu trong bảng cấu trúc mạng không có sẵn đường
Feasible successor thì con đường đến mạng đích tương ứng được đưa vào trạng
date Algorithm) sẽ thông báo sự thay đổi này và thực hiện
ng
n chọn đường c
i EIGRP router lưu một bảng cấu trúc mạng riêng tương ứng với từng loại giao
c mạng khác nhau. Bảng cấu trúc mạng chứa thông tin về tất cả các con đường
router học được. Nhờ những thông tin này mà router có thể xác định đường đi
c để thay thế nhanh chóng khi cần thiết. Thuật tóan DUAL chọn ra đường tốt
t đến mạng đích gọi là đường kính (successor router).
đây
• Feasible distance (FD): là thông tin định tuyến nhỏ nhất mà EIGRP tính
được cho từng mạng đích.
• Route source: là nguồn khởi phát thông tin về một con đường nào đó. Phần
thông tin này chỉ có với những đường được học từ ngoài mạng EIGRP.
• Reported disdiance (RD): là thông số định tuyến đến một router láng giềng
thân mật thông báo qua.
• Trạng thái đường đi: Trạng thái không tác động (P – passive) là trạng thái ổn
định, sẵn sàng sử dụng được, trạng thái tác động (A – active) là trạng thái
đang trong tiến trình tính toán lại của DUAL.
ng định tuyến EIGRP lưu giữ danh sách các đường tốt nhất đến các mạng đích.
ững thông tin trong bảng định tuyến được rút ra từ bảng từ cấu trúc mạng.
uter EIGRP có bảng định tuyến riêng cho từng giao thức mạng khác nhau.
n đường được chọn làm đường chính đến mạng đích gọi là successor. Từ thông
trong bảng láng giềng và bảng cấu trúc mạng, DUAL chọn ra một đường chính
đưa lên mạng định tuyến. Đến một m
ng này có chi phí bằng nhau hoặc không bằng nhau. Thông tin về successor
g được đạt trong bảng cấu trúc mạng.
ờng Feasible successor (FS) là đường dự phòng cho đường successor. Đường
cũng được chọn ra cùng
ấu trúc mạng nhưng điều này không bắt buộc.
uter xem hop kế tiếp của đường Feasible successor dưới nó gần mạng đích hơn
Do đó, chi phí của Feasible successor được tính bằng chi phí của chính nó cộng
chi phí vào router láng giềng thông báo qua. Trong trường hợp successor bị sự
thì router sẽ tìm Feasible successor để thay thế. Một đường Feasible successor
buộc phải có chi phí mà router láng giềng thông báo qua thấp hơn chi phí của
ờng successor h
286
thái Active và router bắt đầu gửi các gói yêu cầu đến tất cả các láng giềng để tính
toán lại cấu trúc mạng. Sau đó với các thông tin mới nhận được, router có thể sẽ
chọ i được chọn
xon
n ra được successor mới hoặc Feasible successor mới. Đường mớ
g sẽ có trạng thái là Passive.
Hình 3.1.2.a. RTA có thể có nhiều successor đến mạng Z nếu RTB và RTC
o về chi phí đến mạng Z như nhau gửi thông bá
Hình vẽ 3.1.2.b.
Bả u thông tin khác về các đường đi. EIGRP phân
loạ ại vi. Đường nội vi là đường xuất phát từ bên
tro hãn
(Administrator tag) với giá trị từ 0 đến 255 để phân biệt đường thuộc loại nào.
Đư EIGRP. Các đường ngoại vi
là nh ức định tuyến khác như RIP, OSPF và
IGR đường ngoại vi.
ng cấu trúc mạng còn lưu nhiè
i ra đường nôi vi và đường ngo
ng hệ tự quản (Á –Autonomous system) của EIGRP. EIGRP có dán n
ờng ngoại vi là đường xuất phát từ bên ngoài Á của
ững đường được học từ các giao th
P. Đường cố định cũng được xem là
287
3.1
EIG
the
vµ c gièng nh− mét giao thøc ®Þnh tuyÕn theo
tr¹ng th¸i ®−êng liªn kÕt. Sau ®©y lµ c¸c −u ®iÓm cña EIGRP so víi giao thøc ®Þnh
tuyÕn theo vect¬ kho¶ng c¸ch th«ng th−êng:
• Tèc ®é héi tô nhanh.
• Sö dông b¨ng th«ng hiÖu qu¶.
.3. C¸c ®Æc ®iÓm cña EIGRP
RP ho¹t ®éng kh¸c víi IGRP. VÒ b¶n chÊt EIGRP lµ mét giao thøc ®Þnh tuyÕn
o vect¬ kho¶ng c¸ch n©ng cao nh−ng khi cËp nhËt vµ b¶o tr× th«ng tin l¸ng giÒng
th«ng tin ®Þnh tuyÕn th× nã lµm viÖ
288
• Cã hç trî VLSM (Variable – Length Subnet Mask) vµ CIDR (Classless
Interdomain Routing). Kh«ng gièng nh− IGRP, EIGRP cã trao ®æi th«ng tin
vÒ subnet mask nªn nã hç trî ®−îc cho hÖ thèng IP kh«ng theo líp.
• Hç trî nhiÒu giao thøc m¹ng kh¸c nhau.
• Kh«ng phô thuéc vµo giao thøc ®Þnh tuyÕn. Nhê cÊu tróc tõng phÇn riªng
biÖt t−¬ng øng víi tõng giao thøc mµ EIGRP kh«ng cÇn ph¶i chØnh söa l©u.
VÝ dô nh− khi ph¸t triÓn ®Ó hç trî mét giao thøc míi nh− IP ch¼ng h¹n,
EIGRP cÇn ph¶i cã thªm phÇn míi t−¬ng øng cho IP nh−ng hoµn toµn
kh«ng cÇn ph¶i viÕt l¹i EIGRP.
EIG
kh«
thùc h
EIGRP sö dông b¨ng th«ng hiÖu qu¶ v× nã chØ göi th«ng tin cËp nhËt mét phÇn vµ
gií
b¨n
®én
gö
gö
cña
router EIGRP gi÷ liªn l¹c víi nhau b»ng c¸c gãi hello rÊt nhá. ViÖc trao ®æi c¸c gãi
hel
EIGRP cã thÓ hç trî cho IP, IPX vµ Apple Talk nhê cã cÊu tróc tõng phÇn theo giao
thøc (PDMs – Protocol-dependent modules). EIGRP cã thÓ ph©n phèi th«ng tin
cña
®iÒ
chØ
tha
EIG
Pro
®−ê l¾m. Do ®ã, EIGRP sö dông th«ng sè ®Þnh tuyÕn tæng hîp
RP router héi tô nhanh v× chóng sö dông DUAL. DUAL b¶o ®¶m ho¹t ®éng
ng bÞ lÆp vßng khi tÝnh to¸n ®−êng ®i, cho phÐp mäi router trong hÖ thèng m¹ng
iÖn ®ång bé cïng lóc khi cã sù thay ®æi x¶y ra.
i h¹n chø kh«ng göi toµn bé b¶ng ®Þnh tuyÕn. Nhê vËy nã chØ tèn mét l−îng
g th«ng tèi thiÓu khi hÖ thèng m¹ng ®· æn ®Þnh. §iÒu nµy t−¬ng tù nh− ho¹t
g cËp nhËt cña OSPF, nh−ng kh«ng gièng nh− router OSPF, router EIGRP chØ
i th«ng tin cËp nhËt mét phÇn cho router nµo cÇn th«ng tin ®ã mµ th«i, chø kh«ng
i cho mäi router kh¸c trong vïng nh− OSPF. ChÝnh v× vËy mµ ho¹t ®éng cËp nhËt
EIGRP gäi lµ cËp nhËt giíi h¹n. Thay v× ho¹t ®éng cËp nhËt theo chu kú, c¸c
lo theo ®Þnh kú kh«ng chiÕm nhiÒu b¨ng th«ng ®−êng truyÒn.
IPX RIP vµ SAP ®Ó c¶i tiÕn ho¹t ®éng toµn diÖn. Trªn thùc tÕ, EIGRP cã thÓ
u khiÓn hai giao thøc nµy. Router EIGRP nhËn th«ng tin ®Þnh tuyÕn vµ dÞch vô,
cËp nhËt cho c¸c router kh¸c khi th«ng tin trong b¶ng ®Þnh tuyÕn hay b¶ng SAP
y ®æi.
RP cßn cã thÓ ®iÒu khiÓn giao thøc Apple Talk Routing Table Maintenance
tocol (RTMP). RTMP sö dông sè l−îng hop ®Ó chän ®−êng nªn kh¶ n¨ng chän
ng kh«ng ®−îc tèt
289
cÊu
tuy
tuy
tin ®Þnh tuyÕn Apple Talk khi cã sù kiÖn thay ®æi mµ th«i. Tuy nhiªn, Apple Talk
cli
cho
WA
3.1
EIG
c¸c chøc n¨ng so víi IGRP vµ c¸c giao thøc ®Þnh tuyÕn kh¸c. C¸c kü thuËt nµy
®−îc tËp trung thµnh 4 lo¹i nh− sau:
• T
• CÊu tróc tõng phÇn theo giao thøc (PDMs – Protocol-dependent modules).
Ro
hÖ
multicast c¸c th«ng tin cËp nhË −îc cÊu h×nh. Ng−îc l¹i,
EIG
tù n
h×nh ®−îc ®Ó chän ®−êng tèt nhÊt cho m¹ng Apple Talk. Lµ mét giao thøc ®Þnh
Õn theo vect¬ kho¶ng c¸ch, RTMP thùc hiÖn trao ®æi toµn bé th«ng tin ®Þnh
Õn theo chu kú. §Ó gi¶m bít sù qu¸ t¶i nµy, EIGRP thùc hiÖn ph©n phèi th«ng
ent còng muèn nhËn th«ng tin RTMP tõ c¸c router néi bé, do ®ã EIGRP dïng
Apple Talk chØ nªn ch¹y trong m¹ng kh«ng cã client, vÝ dô nh− c¸c liªn kÕt
N ch¼ng h¹n.
.4. C¸c kü thuËt cña EIGRP
RP cã rÊt nhiÒu kü thuËt míi ®Ó c¶i tiÕn hiÖu qu¶ ho¹t ®éng, tèc ®é héi tô vµ
• Sù ph¸t hiÖn vµ t¸i ph¸t hiÖn c¸c router l¸ng giÒng.
• Giao thøc truyÒn t¶i tin cËy (RTD – Reliable Transport Protocol).
huËt to¸n DUAL finite – state machine.
uter ®Þnh tuyÕn theo vect¬ kho¶ng c¸ch d¹ng ®¬n gi¶n kh«ng thiÕt lËp mèi quan
víi c¸c l¸ng giÒng cña nã. RIP vµ IGRP router chØ ®¬n gi¶n lµ ph¸t qu¶ng b¸ hay
t cña nã ra mäi cæng ®· ®
RP router chñ ®éng thiÕt lËp mèi quan hÖ víi c¸c l¸ng giÒng cña chóng, t−¬ng
h− c¸ch lµm cña OSPF router.
290
291
H×nh 3.1.4
Qu¸ tr×nh EIGRP router thiÕt lËp mèi quan hÖ th©n mËt ®−îc m« t¶ trong h×nh
3.1
Sö
c¸c router l¸ng giÒng. MÆc ®Þnh, hello ®−îc göi ®i theo chu kú lµ 5 gi©y. NÕu router
vÉn
®i
thùc hiÖn ®−îc nh÷ng viÖc sau:
.4. EIGRP router
dông c¸c gãi hello rÊt nhá ®Ó thùc hiÖn viÖc thiÕt lËp mèi quan hÖ th©n mËt víi
nhËn ®−îc hello tõ l¸ng giÒng th× nã sÏ xem nh− l¸ng giÒng nµy vµ c¸c ®−êng
cña nã vÉn ho¹t ®éng. B»ng c¸ch thiÕt lËp mèi quan hÖ nµy, EIGRP router cã thÓ
292
• Tù ®éng häc ®−îc ®−êng míi khi chóng kÕt nèi vµo hÖ thèng m¹ng.
• X¸c ®Þnh mét router kh«ng cßn kÕt nèi hoÆc kh«ng cßn ho¹t ®éng n÷a.
• Ph¸t hiÖn sù ho¹t ®éng trë l¹i cña c¸c router.
Giao thøc vËn chuyÓn tin cËy RTP (Reliable Transport Protocol) lµ giao thøc ë líp
vËn chuyÓn, thùc hiÖn viÖc chuyÓn gãi EIGRP mét c¸ch tin cËy vµ cã thø tù ®Õn tÊt
c¶ c¸c l¸ng giÒng. Trong m¹ng IP, host sö dông TCP ®Ó vËn chuyÓn c¸c gãi mét
c¸ch tuÇn tù vµ tin cËy. Tuy nhiªn, EIGRP lµ mét giao thøc ®éc lËp víi giao thøc
m¹ng, do ®ã nã kh«ng dùa vµo TCP/IP ®Ó thùc hiÖn trao ®æi th«ng tin ®Þnh tuyÕn
gièng nh− RIP, IGRP vµ OSPF ®· lµm. §Ó kh«ng bÞ phô thuéc vµo IP, EIGRP sö
dông RTP lµm giao thøc vËn chuyÓn riªng ®éc quyÒn cña nã ®Ó ®¶m b¶o viÖc
truyÒn tin ®Þnh tuyÕn.
EIGRP cã thÓ yªu cÇu RTP cung cÊp dÞch vô truyÒn tin cËy hoÆc kh«ng tin cËy tuú
theo yªu cÇu cña tõng tr−êng hîp. VÝ dô, c¸c gãi hello ®−îc truyÒn theo ®Þnh kú vµ
cÇn ph¶i cµng nhá cµng tèt nªn chón h¶i dïng chÕ ®é truyÒn tin cËy.
Ng îc l¹i, viÖc truyÒn tin cËy c¸c th«ng tin ®Þnh tuyÕn sÏ cã thÓ lµm t¨ng tèc ®é
héi tô v× EIGRP router kh«ng cÇn chê hÕt thêi h¹n míi truyÒn l¹i.
Ví
mé
Th
(DU
DU
ph¶ Ý cã c¸c thµnh phÇn di chuyÓn ®−îc. FSM ®Þnh nghÜa mét
tËp hîp c¸c tr¹ng th¸i cã thÕ tr¶i qua, sù kiÖn nµo g©y ra tr¹ng th¸i nµo vµ sÏ cã kÕt
qu¶ g×. Ng−êi thiÕt kÕ sö dông FSM ®Ó lËp tr×nh c¸ch mµ mét thiÕt bÞ, mét ch−¬ng
tr×nh m¸y tÝnh hay mét thuËt to¸n ®Þnh tuyÕn sÏ xö lý nh− thÕ nµo víi mét tËp hîp
c¸c d÷ liÖu ®Çu vµo. DUAL FSM chøa tÊt c¶ c¸c logic ®−îc sö dông ®Ó tÝnh to¸n vµ
so GRP.
DU
®Þn
thÊ
g kh«ng cÇn p
−
i RTP, EIGRP cã thÓ gñi multicast vµ trùc tiÕp cho c¸c ®èi t¸c kh¸c nhau cïng
t lóc, gióp tèi −u hiÖu qu¶ ho¹t ®éng.
µnh phÇn trung t©m cña EIGRP lµ thuËt to¸n Diffusing Update Algorithm
AL), lµ bé m¸y tÝnh to¸n ®−êng ®i cña EIGRP. Tªn ®Çy ®ñ cña kü thuËt nµy lµ
AL finite-state machine (FSM). FSM lµ mét bé m¸y thuËt to¸n nh−ng kh«ng
i lµ mét thiÕt bÞ c¬ kh
s¸nh ®−êng ®i trong m¹ng EI
AL l−u tÊt c¶ c¸c ®−êng ®i mµ l¸ng giÒng th«ng b¸o qua. Dùa trªn th«ng sè
h tuyÕn tæng hîp cña mçi ®−êng, DUAL so s¸nh vµ chän ra ®−êng cã chi phÝ
p nhÊt ®Õn ®Ých. DUAL ®¶m b¶o mçi mét ®−êng nµy lµ kh«ng cã lÆp vßng.
293
§−
b¨n
EIG
giÒ
®−ê
thÕ
Mé
riªn µy, nã cã kh¶ n¨ng më réng vµ t−¬ng thÝch
tèt
EIG
tuy c¸ch thªm
PDM vµo.
Mçi PDM chÞu tr¸ch nhiÖm thùc hiÖn mäi chøc n¨ng liªn quan ®Õn mét giao thøc
®−îc ®Þnh tuyÕn. VÝ dô phÇn IP- EIGRP chÞu tr¸ch nhiÖm c¸c viÖc sau:
• Göi vµ nhËn c¸c gãi EIGRP chøa d÷ liÖu IP.
• Th«ng b¸o cho DUAL khi nhËn ®−îc th«ng tin ®Þnh tuyÕn IP míi.
• Duy tr× kÕt qu¶ chän ®−êng cña DUAL trong b¶ng ®Þnh tuyÕn IP.
• Ph©n phèi th«ng tin ®Þnh tuyÕn mµ nã häc ®−îc tõ c¸c giao thøc ®Þnh tuyÕn
IP kh¸c.
3.1.5. CÊu tróc d÷ liÖu cña EIGRP
Giè
lo¹
Cã
• Yªu cÇu.
êng chÝnh ®−îc chän ra gäi lµ ®−êng successor. §−êng successor ®−îc l−u trªn
g ®Þnh tuyÕn vµ ®ång thêi còng ®−îc l−u trong b¶ng cÊu tróc m¹ng.
RP gi÷ c¸c th«ng tin quan träng vÒ ®−êng ®i vµ cÊu tróc m¹ng trong b¶ng l¸ng
ng vµ b¶ng cÊu tróc m¹ng. Hai b¶ng nµy cung cÊp cho DUAL c¸c th«ng tin vÒ
ng ®i khi cÇn thiÕt. NÕu cã mét ®−êng liªn kÕt bÞ ®øt, DUAL sÏ t×m ®−êng thay
hoÆc mét feasible successor trong b¶ng cÊu tróc mang.
t trong nh÷ng −u ®iÓm næi bËt cña EIGRP lµ nã ®−îc thiÕt kÕ thµnh tõng phÇn
g biÖt theo giao thøc. Nhê cÊu tróc n
nhÊt. C¸c giao thøc ®−îc ®Þnh tuyÕn nh− IP, IPX vµ Apple Talk ®−îc ®−a vµo
RP th«ng qua c¸c PDM. EIGRP cã thÓ dÔ dµng t−¬ng thÝch víi giao thøc dÞnh
Õn míi hoÆc c¸c phiªn b¶n míi cña chóng nh− IPv6 ch¼ng h¹n b»ng
ng nh− OSPF, EIGRP dùa vµo nhiÒu lo¹i gãi d÷ liÖu kh¸c nhau ®Ó duy tr× c¸c
i b¶ng cña nã vµ thiÕt lËp mèi quan hÖ phøc t¹p víi router l¸ng giÒng.
5 lo¹i gãi EIGRP:
• Hello.
• B¸o nhËn.
• CËp nhËt.
294
• §¸p øng.
EIG
giÒ
l¸n
l¹i
Ch hêi gian hello
mÆ b¨ng th«ng trªn tõng cæng cña router. Trong m¹ng IP,
EIGRP router göi hello theo ®Þa multicast 224.0.0.10.
EIGRP router l−u th«ng tin vÒ c¸c l¸ng giÒng trong b¶ng l¸ng giÒng. B¶ng l¸ng
giÒ tù (Seq No) vµ thêi gian l−u gi÷ cña gãi EIGRP cuèi cïng
nhË giÒng. Theo ®Þnh kú vµ trong giíi h¹n cña kho¶ng
thêi gian l−u gi÷, router ph¶i nhËn ®−îc gãi EIGRP th× nh÷ng ®−êng t−¬ng øng míi
cã
NÕ
gia
to¸
hel
hîp
RP dùa vµo c¸c gãi hello ®Ó ph¸t hiÖn, kiÓm tra vµ t¸i ph¸t hiÖn c¸c router l¸ng
ng. T¸i ph¸t hiÖn cã nghÜa lµ router EIGRP kh«ng nhËn ®−îc hello tõ mét router
g giÒng trong suèt kho¶ng thêi gian l−u gi÷ nh−ng sau ®ã router l¸ng giÒng nµy
t¸i lËp l¹i th«ng tin liªn l¹c.
u kú göi hello cña EIGRP router cã thÓ cÊu h×nh ®−îc. Kho¶ng t
c ®Þnh phô thuéc vµo
ng nµy cã l−u sè thø
n ®−îc tõ mçi router l¸ng
tr¹ng th¸i Passive. Tr¹ng th¸i Passive cã nghÜa lµ tr¹ng th¸i ho¹t ®éng æn ®Þnh.
u router kh«ng nghe ngãng ®−îc g× vÒ router l¸ng giÒng trong suèt kho¶ng thêi
n l−u gi÷ th× EIGRP sÏ xem nh− l¸ng giÒng ®ã ®· bÞ sù cè vµ DUAL ph¶i tÝnh
n l¹i b¶ng ®Þnh tuyÕn. MÆc ®Þnh, kho¶ng thêi gian l−u gi÷ gÊp 3 lÇn chu kú
lo. Ng−êi qu¶n trÞ m¹ng cã thÓ cÊu h×nh gi¸ trÞ cho 2 kho¶ng thêi gian nµy phï
h¬n víi hÖ thèng cña m×nh.
H×nh 3.1.5
OSPF b¾t buéc c¸c router l¸ng giÒng víi nhau ph¶i cã cïng kho¶ng thêi gian hello
vµ kho¶ng thêi gian bÊt ®éng th× míi cã thÓ th«ng tin liªn l¹c víi nhau ®−îc.
EIGRP th× kh«ng yªu cÇu nh− vËy. Router sÏ häc c¸c kho¶ng thêi gian cña router
l¸ng giÒng th«ng qua viÖc trao ®æi gãi hello. Chóng sÏ dïng th«ng tin trong ®ã ®Ó
295
thiÕt lËp mèi quan hÖ æn ®Þnh mµ kh«ng cÇn c¸c kho¶ng thêi gian nµy ph¶i gièng
nhau gi÷a chóng.
Gãi hello th−êng ®−îc göi theo chÕ ®é kh«ng b¶o ®¶m tin cËy. §iÒu nµy cã nghÜa
lµ kh«ng cã b¸o nhËn cho c¸c gãi hello.
EIGRP router sö dông gãi b¸o nhËn ®Ó x¸c nhËn lµ ®· nhËn ®−îc gãi EIGRP trong
qu¸ tr×nh trao ®æi tin cËy. Giao thøc vËn chuyÓn tin cËy (RTP – Reliable Transport
Protocol) cung cÊp dÞch vô liªn l¹c tin cËy gi÷a hai host EIGRP. Gãi b¸o nhËn
chÝnh lµ gãi hello mµ kh«ng cã d÷ liÖu. Kh«ng gièng nh− hello ®−îc göi multicast,
c¸c gãi b¸o nhËn chØ göi trùc tiÕp cho mét m¸y nhËn. B¸o nhËn cã thÓ ®−îc kÕt hîp
vµo lo¹i gãi EIGRP kh¸c nh− gãi tr¶ lêi ch¼ng h¹n.
Gãi cËp nhËt ®−îc sö dông khi router ph¸t hiÖn mét l¸ng giÒng míi. Router EIGRP
sÏ göi gãi g cÊu
tróc m¹ng. Cã thÓ sÏ cÇn nhiÒu gãi cËp nhËt míi cã thÓ truyÒn t¶i hÕt c¸c th«ng tin
cÊu tróc m¹ng cho router l¸ng giÒng míi nµy.
Gã hi router ph¸t hiÖn sù thay ®æi trong cÊu tróc
m¹
rou
göi
EIGRP router sö dông gãi yªu cÇu khi nã cÇn
hay nhiÒu l¸ng giÒng cña nã. Gãi ®¸p øng ®−îc sö dông ®Ó tr¶ lêi cho c¸c gãi yªu
cÇu
NÕ
tha
®ã ng t×m
suc
®Ó
Gã hØ göi cho mét m¸y, cßn gãi ®¸p øng
th× chØ göi
®¶m
3.1.6. ThuËt to¸n EIGRP
cËp nhËt cho router l¸ng giÒng míi nµy ®Ó nã cã thÓ x©y dùng b¶n
i cËp nhËt cßn ®−îc sö dông k
ng. Trong tr−êng hîp nµy, EIGRP router sÏ göi multicast gãi cËp nhËt cho mäi
ter l¸ng giÒng cña nã ®Ó th«ng b¸o vÒ sù thay ®æi. Mäi gãi cËp nhËt ®Òu ®−îc
b¶o ®¶m.
mét th«ng tin ®Æc biÖt nµo ®ã tõ mét
.
u mét EIGRP router mÊt successor vµ nã kh«ng t×m ®−îc feasible successor ®Ó
y thÕ th× DUAL sÏ ®Æt con ®−êng ®Õn m¹ng ®Ých ®ã vµo tr¹ng th¸i Active. Sau
router göi multicast gãi yªu cÇu ®Õn tÊt c¶ c¸c l¸ng giÒng ®Ó cè g¾
cessor míi cho m¹ng ®Ých nµy. Router l¸ng giÒng ph¶i tr¶ lêi b»ng gãi ®¸p øng
cung cÊp th«ng tin hoÆc cho biÕt lµ kh«ng cã th«ng tin nµo kh¸c cã thÓ kh¶ thi.
i yªu cÇu cã thÓ ®−îc göi multicast hoÆc c
cho m¸y nµo göi yªu cÇu mµ th«i. C¶ hai lo¹i gãi nµy ®Òu ®−îc göi b¶o
.
296
Th
tr×n
cÊu
Mç th«ng tin sau:
Nguyªn t¾c chän ®−êng Feasible successor:
a mét ®−êng ®Õn mét ®Ých nµo ®ã lµ chi phÝ
n thiÕt.
−êng lín h¬n hoÆc b»ng FD cña successor hiÖn t¹i th×
îc chän lµm feasible successor.
g c¸ch thu nh©p th«ng tin tõ tÊt c¶
l¸ng giÒng ®Ó t×m th«ng tin vÒ ®−êng
®i vµ chi phÝ cña ®−êng ®ã ®Õn m¹ng ®Ých mµ router ®ang cÇn .
uËt to¸n DUAL phøc t¹p gióp cho EIGRP héi tô nhanh. §Ó hiÓu râ h¬n vÒ qu¸
h héi tô víi DUAL, ta xÐt vÝ dô ë h×nh 3.1.6a. Mçi router x©y dùng mét b¶ng
tróc m¹ng chøa c¸c th«ng tin vÒ ®−êng ®i ®Õn m¹ng A.
i b¶ng cÊu tróc m¹ng trong vÝ dô ë c¸c h×nh 3.1.6.a-f cã c¸c
• Giao thøc ®Þnh tuyÕn lµ giao thøc EIGRP.
• Chi phÝ thÊp nhÊt cña ®−êng ®Õn mét m¹ng ®Ých gäi lµ Feasible Distance
(FD).
• Chi phÝ cña mét ®−êng ®Õn mét m¹ng ®Ých do router l¸ng giÒng th«ng b¸o
qua gäi lµ Reported Distance (RD).
1. §−êng feasible successor lµ ®−êng dù phßng, thay thÕ cho ®−êng successor
khi ®−êng nµy bÞ sù cè.
2. Reported Distance (RD) cñ
®−îc th«ng b¸o tõ mét router l¸ng giÒng. Chi phÝ nµy ph¶i nhá h¬n Feasible
Distance (FD) cña ®−êng successor hiÖn t¹i.
3. NÕu tho¶ m·n ®iÒu kiÖn trªn th× cã nghÜa lµ kh«ng cã vßng lÆp, ®−êng ®ã sÏ
®−îc chän lµm feasible successor
4. §−êng feasible succesor cã thÓ thay thÕ cho ®−êng successor khi cÇ
5. NÕu RD cña mét ®
®−êng ®ã kh«ng ®−
6. Router ph¶i tÝnh to¸n cÊu tróc m¹ng b»n
c¸c l¸ng giÒng.
7. Router göi gãi yªu cÇu ®Õn tÊt c¶ c¸c
8. TÊt c¶ c¸c l¸ng giÒng ph¶i göi gãi ®¸p øng ®Ó tr¶ lêi cho gãi yªu cÇu.
9. Router ghi nhËn gi÷ liÖu míi nhËn ®−îc vµo b¶ng cÊu tróc m¹ng cña m×nh.
10. B©y giê DUAL ®· cã thÓ x¸c ®Þnh ®−êng successor míi vµ feasible
297
successor míi nÕu cã dùa vµo th«ng tin míi.
H×nh 3.1.6.a
Cé y trong h×nh cho biÕt ®−êng nµo lµ ®−êng chÝnh hay cßn gäi lµ
successor, ®
Tu îc feasible
suc
M¹ng E i÷a
c¸c router. HiÖn t¹i c¸c router cã c¸c th«ng tin vÒ ®−êng ®Õn m¹ng A nh− sau:
cã ®−êng feasible successor.
t Topolog
−êng nµo lµ ®−êng dù phßng hay cßn gäi lµ feasible successor (FS).
y nhiªn, b¹n cÇn l−u ý lµ kh«ng nhÊt thiÕt lóc nµo còng ph¶i t×m ®−
cessor.
IGRP sÏ ho¹t ®éng theo c¸c b−íc m« t¶ bªn d−íi ®Ó tiÕn hµnh héi tô g
• Router C cã mét ®−êng successor lµ ®−êng qua Router B.
• Router C cã mét ®−êng feasible successor lµ ®−êng qua Router D.
• Router D cã mét ®−êng successor lµ ®−êng qua Router B.
• Router D kh«ng cã ®−êng feasible successor.
• Router E cã mét ®−êng successor lµ ®−êng qua Router D.
• Router E kh«ng
298
Sau
nµo
®©y sÏ m« t¶ mçi router thùc hiÖn nguyªn t¾c chän feasible successor nh− thÕ
khi ®−êng liªn kÕt gi÷a Router D vµ Router B bÞ ®øt:
H×nh 3.1.6b
Trong Router D (h×nh 3.1.6b):
• §−êng ®i qua Router B bÞ xo¸ khái b¶ng cÊu tróc m¹ng.
• §−êng nµy lµ ®−êng successor. Router kh«ng x¸c ®Þnh ®−îc feasible
successor tr−íc ®ã.
• Router D ph¶i tÝnh to¸n l¹i ®−êng míi.
Trong Router C:
• §−êng ®Õn M¹ng A qua Router D bÞ ®øt.
• §−êng nµy bÞ xo¸ khái b¶ng.
• §−êng nµy lµ successor cña Router C.
299
H×nh 3.1.6.c
sible successor. Do ®ã, nã kh«ng thÓ chuyÓn qua
ªu cÇu cho tÊt c¶ c¸c l¸ng giÒng kÕt nèi víi nã lµ Router
Trong Router E:
• §−êng ®Õn M¹ng A th«ng qua Router D bÞ ®øt.
• §−êng nµy lµ ®−êng successor cña Router E.
• Router E kh«ng cã feasible successor.
Trong router D (h×nh 3.1.6.c):
• Router D kh«ng cã fea
®−êng dù phßng ®−îc.
• Router D ph¶i tÝnh to¸n l¹i cÊu tróc m¹ng. Con ®−êng ®Õn M¹ng A ®−îc ®Æt
voµ tr¹ng th¸i Active.
• Router D göi gãi y
C vµ Router E ®Ó yªu cÇu göi th«ng tin vÒ m¹ng.
• Tr−íc ®ã, Router C cã ®−êng qua Router D.
• Tr−íc ®ã, Router D kh«ng cã ®−êng qua Router E.
300
• L−u ý r»ng RD cña ®−êng th«ng qua Router C lµ 3, b»ng víi chi phÝ cña
®−êng successor qua Router D.
H×nh 3.1.6.d
Trong Router C (h×nh 3.1.6.d):
• Router E göi gãi yªu cÇu cho Router C.
•
r¶ lêi cho Router D ®Ó x¸c nhËn lµ ®−êng ®Õn M¹ng A ®ang ho¹t
®éng víi chi phÝ lµ 5.
• Router D vÉn ®ang chê ®¸p øng tõ Router E.
Router C xo¸ ®−êng qua Router E khái b¶ng.
• Router C tr¶ lêi cho Router D víi th«ng tin vÒ ®−êng míi ®Õn M¹ng A.
Trong Router D:
• Tr¹ng th¸i cña ®−êng ®Õn M¹ng A vÉn lµ Active v× c«ng viÖc tÝnh to¸n ch−a
hoµn tÊt.
• Router C t
301
Trong Router E:
• Router E kh«ng cã feasible successor ®Õn m¹ng A.
• Do ®ã, Router E ®¸nh dÊu tr¹ng th¸i con ®−êng ®Õn M¹ng A lµ Active.
• Router E ph¶i tÝnh to¸n l¹i cÊu tróc m¹ng.
• Router E xo¸ ®−êng ®i qua Router D ra khái b¶ng.
• Router E göi gãi yªu cÇu cho Router C ®Ó yªu cÇu th«ng tin vÒ m¹ng.
• Tr−íc ®ã, Router E ®· cã th«ng tin vÒ ®−êng ®i qua Router C. §−êng nµy cã
chi phÝ lµ 3, b»ng víi chi phÝ cña ®−êng successor.
H×nh 3.1.6.e
Trong Router E (h×nh 3.1.6.e):
• Router C tr¶ lêi l¹i th«ng tin vÒ ®−êng ®Õn M¹ng A cã RD lµ 3.
• B©y giê Router E cã thÓ chän ®−êng th«ng qua Router C lµm successor míi
ng th¸i cña ®−êng ®Õn M¹ng A ®−îc ®æi tõ Active sang Passive. L−u ý:
llo
víi FD lµ 4 vµ RD lµ 3.
• Tr¹
tr¹ng th¸i Passive lµ tr¹ng th¸i mÆc ®Þnh khi router vÉn nhËn ®−îc gãi he
302
tõ tr¹ng th¸i ®ã. Do ®ã trong vÝ dô nµy chØ cÇn ®¸nh dÊu tr¹ng th¸i Active
th«i.
H×nh 3.1.6.f
Trong Router E (h×nh 3.1.6.f):
cña
• Router D nhËn ®−îc gãi håi ®¸p tõ Router E víi nh÷ng th«ng tin vÒ m¹ng
cña Router E.
• Router D ghi nhËn con ®−êng ®Õn M¹ng A th«ng qua Router E.
• Con ®−êng nµy trë thµnh mét ®−êng successor n÷a v× nã cã chi phÝ b»ng víi
®−êng th«ng qua Router C vµ nã cã RD nhá h¬n FD cña ®−êng th«ng qua
Router C.
Qu¸ tr×nh héi tô x¶y ra gi÷a mäi router EIGRP sö dông thuËt to¸n DUAL.
• Router E göi ®¸p øng cho Router D ®Ó cung cÊp th«ng tin vÒ m¹ng
Router E.
Trong Router D:
303
3.2. CÊu h×nh EIGRP
3.2.1. CÊu h×nh EIGRP
Trõ thuËt to¸n DUAL lµ phøc t¹p, cßn cÊu h×nh EIGRP th× kh¸ ®¬n gi¶n. Tuú theo
giao thøc ®−îc ®Þnh tuyÕn lµ IP, IPX hay Apple Talk mµ c©u lÖnh cÊu h×nh EIGRP
sÏ kh¸c nhau. PhÇn sau ®©y chØ ®Ò cËp ®Õn cÊu h×nh EIGRP cho giao thøc IP.
H×nh 3.2.1
Sau ®©y lµ c¸c b−íc cÊu h×nh EIGRP cho IP:
1. Sö dông lÖnh sau ®Ó khëi ®éng EIGRP vµ x¸c ®Þnh con sè cña hÖ tù qu¶n:
router(config)#router eigrp autonomous-system-number
Th«ng sè autonomous-system-number x¸c ®Þnh c¸c router trong mét hÖ tù qu¶n.
Nh÷ng router nµo trong cïng mét hÖ thèng m¹ng th× ph¶i cã con sè nµy gièng
nhau.
304
2. Khai b¸o nh÷ng m¹ng nµo cña router mµ b¹n ®ang cÊu h×nh thuéc vÒ hÖ tù qu¶n
EIGRP:
router(config-router)#network network-number
Th«ng sè network-number lµ ®Þa chØ m¹ng cña c¸c cæng giao tiÕp trªn router thuéc
vÒ hÖ thèng m¹ng EIGRP. Router sÏ thùc hiÖn qu¶ng c¸o th«ng tin vÒ nh÷ng m¹ng
®−îc khai b¸o trong c©u lÖnh network nµy.
B¹n chØ khai b¸o nh÷ng m¹ng nµo kÕt nèi trùc tiÕp vµo router mµ th«i. VÝ dô trªn
h×nh 3.2.1, m¹ng 3.1.0.0 kh«ng kÕt nèi vµo Router A nªn khi cÊu h×nh EIGRP cho
Router A chóng ta kh«ng khai b¸o m¹ng 3.1.0.0.
3. Khi cÊu h×nh cæng serial ®Ó sö dông trong EIGRP, viÖc quan träng lµ cÇn ®Æt
b¨ng th«ng cho cæng nµy. NÕu chóng ta kh«ng thay ®æi b»ng th«ng cña cæng,
EIGRP sÏ sö dông b¨ng th«ng mÆc ®Þnh cña cæng thay v× b¨ng th«ng thùc sù. NÕu
®−êng kÕt nèi thùc sù chËm h¬n, router cã thÓ kh«ng héi tô ®−îc, th«ng tin ®Þnh
tuyÕn cËp nhËt cã thÓ bÞ mÊt hoÆc lµ kÕt qu¶ chän ®−êng kh«ng tèi −u. §Ó ®Æt b¨ng
th«ng cho mét cæng serial trªn router, b¹n dïng c©u lÖnh sau trong chÕ ®é cÊu h×nh
n
óng víi tèc ®é cña cæng.
ã sù thay ®æi
cña c¸c router l¸ng giÒng th©n mËt gióp chóng ta theo dâi sù æn ®Þnh cña hÖ thèng
sù cè nÕu cã.
3.2.2. CÊu h×nh ®−êng tæng hîp cho EIGRP
EIGRP tù ®éng tæng hîp c¸c ®−êng l¹i theo líp ®Þa chØ. VÝ dô nh− h×nh 3.2.2a,
RTC chØ kÕt nèi vµo m¹ng con 2.1.1.0 nh−ng nã sÏ ph¸t qu¶ng c¸o lµ nã kÕt nèi
cña cæng ®ã:
router(config-if)#bandwidth kilobits
Gi¸ trÞ b¨ng th«ng khai trong lÖnh bandwidth chØ ®−îc sö dông tÝnh to¸n cho tiÕ
tr×nh ®Þnh tuyÕn, gi¸ trÞ nµy nªn khai ®
4. Cisco cßn khuyÕn c¸o nªn thªm c©u lÖnh sau trong cÊu h×nh EIGRP:
router(config-if)#eigrp log-neighbor-changes
C©u lÖnh nµy sÏ lµm cho router xuÊt ra c¸c c©u th«ng b¸o mçi khi c
®Þnh tuyÕn vµ ph¸t hiÖn ®−îc
305
vµo m¹ng líp A 2.0.0.0. Trong hÇu hÕt c¸c tr−êng hîp, viÖc tù ®éng tæng hîp nµy
cã −u ®iÓm lµ gióp cho b¶ng ®Þnh tuyÕn ng¾n gän.
H×nh 3.2.2.a. EIGRP tù ®éng tæng hîp ®−êng ®i theo líp cña ®Þa chØ IP
uy nhiªn, trong mét sè tr−êng hîp b¹n kh«ng nªn sö dông chÕ ®é tù ®éng tæng
Ý dô trong m¹ng cã s¬ ®å ®Þa chØ kh«ng liªn tôc th× chÕ ®é nµy
ph¶i t¾t ®i. §Ó t¾t chÕ ®é tù ®éng tæng hîp ®−êng ®i, b¹n dïng c©u lÖnh sau:
outer(config-router)#no auto-summary
T
hîp ®−êng ®i nµy. V
r
H×n iªn tôc (hai subnet/24 bÞ ng¾t chÝnh h 3.2.2.b. M¹ng cã s¬ ®å ®Þa chØ kh«ng l
gi÷a bëi mét subnet/30) víi chÕ ®é tæng hîp ®−êng ®i
H×nh 3.2.2.c. M¹ng cã s¬ ®å ®Þa chØ kh«ng liªn tôc cã c©u lÖnh no auto-summary.
Khi chÕ ®é tù ®éng tæng hîp ®−êng ®i bÞ t¾t, router sÏ qu¶ng c¸o tõng subnet
306
H×nh 3.2.2.d. ViÖc tæng hîp ®−êng ®i cña EIGRP cã thÓ ®−îc cÊu h×nh trªn tõng
cæng cña router
cña router víi giíi h¹n tæ ®éng tæng hîp theo líp
cña ®Þa chØ IP. Sau khi khai b¸o ®Þa chØ tæng hîp cho mét cæng cña router, router sÏ
h¸t qu¶ng c¸o ra cæng ®ã c¸c ®Þa chØ ®−îc tæng hîp nh− mét c©u lÖnh ®· cµi ®Æt.
Þa chØ tæng hîp ®−îc khai b¸o b»ng lÖnh ip summary-address eigrp nh− sau:
Router(config-if)#ip summary-address eigrp autonomous-system-number ip-
address mask administrative-distance
§−êng tæng hîp cña EIGRP cã chØ sè mÆc ®Þnh cña ®é tin cËy (administrative-
distance) lµ 5. Tuy nhiªn, b¹n cã thÓ khai b¸o gi¸ trÞ cho chØ sè nµy trong kho¶ng tõ
1 ®Õn 255.
XÐt vÝ dô nh− h×nh 3.2.2.d, RTC ®−îc cÊu h×nh nh− sau:
RTC(config)#router eigrp 2446
RTC(config-route
TC(config)#interface serial 0/0
RTC(config-if)#ip simmary-address Îigp 2446 2.1.0.0
255.255.0.0
Víi EIGRP, viÖc tæng hîp ®−êng ®i cã thÓ ®−îc cÊu h×nh b»ng tay trªn tõng cæng
ng hîp mµ b¹n muèn chø kh«ng tù
p
§
RTC(config-router)#no auto-summary
r)#exit
R
307
Khi ®ã, RTC sÏ thªm vµo b¶ng ®Þnh tuyÕn cña nã mét ®−êng tæng hîp nh− sau:
D 2.1.0.0/16 is a summary, 00:00:22, Null0
L−u ý r»ng ®−êng tæng hîp cã nguån lµ Null0 chø kh«ng ph¶i lµ tõ mét cæng cô thÓ
v× ®−êng nµy chØ cã môc ®Ých ®Ó qu¶ng c¸o chø kh«ng ph¶i lµ ®¹i diÖn cho mét
®−êng cô thÓ ®Õn m¹ng ®Ých. Trªn RTC, ®−êng tæng hîp nµy cã chØ sè ®é tin cËy
(administrative distance) lµ 5.
RTD kh«ng hÒ biÕt ®©y lµ ®−êng tæng hîp nªn nã ghi nhËn th«ng tin vÒ ®−êng nµy
tõ RTC nh− mét ®−êng EIGRP b×nh th−êng víi chØ sè tin cËy mÆc ®Þnh cña EIGRP
90.
rong cÊu h×nh cña RTC, chÕ ®é tù ®éng tæng hîp ®−êng ®i ®−îc t¾t ®i b»ng lÖnh
o auto-summary. NÕu b¹n kh«ng t¾t chÕ ®é tù ®éng tæng hîp nµy th× RTD sÏ
hËn ®−îc ®ång thêi 2 th«ng tin, mét lµ ®Þa chØ m¹ng tæng hîp theo lÖnh cµi ®Æt ë
trª P
2
Trong ®a g tay th×
¹n nªn t¾t chÕ ®é tù ®éng tæng hîp b»ng lÖnh no auto-summary.
3.2.3. KiÓm tra ho¹t ®éng cña EIGRP
B¹n sö dông c¸c lÖnh show nh− trong b¶ng 3.2.3.a ®Ó kiÓm tra c¸c ho¹t ®éng cña
EIGRP.
Ngoµi ra, c¸c lÖnh debug lµ nh÷ng lÖnh gióp b¹n theo dâi ho¹t ®éng EIGRP khi
cÇn thiÕt.
LÖnh Gi¶i thÝch
lµ
T
n
n
n 2.1.0.0/16 vµ mét lµ ®Þa chØ m¹ng tæng hîp tù ®éng theo líp cña ®Þa chØ I
.0.0.0/8.
sè c¸c tr−êng hîp, khi b¹n muèn cÊu h×nh tæng hîp ®Þa chØ b»n
b
Show ip eigrp
neighbors [type
] [details]
HiÓn thÞ b¶ng l¸ng giÒng cña EIGRP. Sö dông tham sè type
phÐp hiÓn thÞ t h¬n.
number
number ®Ó x¸c ®Þnh cô thÓ cæng cÇn xem. Tõ kho¸ details cho
th«ng tin chi tiÕ
308
Show ip eigrp
interfaces [type
number] [as-
number] [details]
HiÓn thÞ th«ng tin EIGRP cña c¸c cæng. Sö dông c¸c tham sè
in nghiªng cho phÐp giíi h¹n phÇn th«ng tin hiÓn thÞ cho tõng
cæng hoÆc trong tõng AS. Tõ kho¸ details cho phÐp hiÓn thÞ
th«ng tin chi tiÕt h¬n.
Show ip eigrp
topology [as-
number] [[ip-
address] mask]
HiÓn thÞ tÊt c¶ c¸c feasible successor trong b¶ng cÊu tróc
m¹ng cña EIGRP. Sö dông c¸c tham sè in nghiªng ®Ó giíi h¹n
th«ng tin hiÓn thÞ theo sè AS hay theo ®Þa chØ m¹ng cô thÓ.
Show ip eigrp
topology [active |
pending | zero-
successors]
Tuú theo b¹n sö dông tõ kho¸ nµo, router sÏ hiÓn thÞ th«ng tin
vÒ c¸c ®−êng ®i ®ang ho¹t ®éng, ®ang chê xö lý hay kh«ng cã
successor.
Show ip eigrp HiÓn thÞ th«ng tin vÒ m
topology all-links
äi ®−êng ®i chø kh«ng chØ cã feasible
successor trong b¶ng cÊu tróc EIGRP.
Show ip eigrp HiÓn thÞ sè gãi EIGRP ®· göi ®
traffic [as-number] B¹n sö dông tham sè as-number ®Ó giíi h¹n th«ng tin hiÓn thÞ
trong mét AS cô thÓ.
i vµ nhËn ®−îc.
B¶ng 3.2.3a. C¸c lÖnh show dïng cho EIGRP
LÖnh Gi¶i thÝch
Debug eigrp fsm HiÓn thÞ ho¹t ®éng cña c¸c EIGRP feasible successor gióp
chóng ta x¸c ®Þnh khi nµo tiÕn tr×nh ®Þnh tuyÕn cµi ®Æt vµ xo¸
th«ng tin cËp nhËt vÒ ®−êng ®i.
309
Debug eigrp packet HiÓn thÞ c¸c gãi EIGRP göi ®i vµ nhËn ®−îc.
C¸c gãi nµy cã thÓ lµ gãi hello, cËp nhËt, b¸o nhËn, yªu cÇu
hoÆc håi ®¸p. Sè thø tù cña gãi vµ chØ sè b¸o nhËn ®−îc sö
dông ®Ó göi b¶o ®¶m c¸c gãi EIGRP còng ®−îc hiÓn thÞ.
B¶ng 3.2.3.b. C¸c lÖnh EIGRP debug
èi quan
Ö víi c¸c l¸ng giÒng cña nã. RIP vµ IGRP chØ ®¬n gi¶n lµ ph¸t qu¶ng b¸ hoÆc
multicast th«ng tin cËp nhËt ra c¸c cæng ®· ®−îc cÊu h×nh. Ng−îc l¹i, EIGRP router
chñ ®éng thiÕt lËp mèi quan hÖ víi c¸c l¸ng giÒng cña nã gièng nh− router OSPF
®· lµm.
B¶ng l¸ng giÒng lµ b¶ng quan träng nhÊt trong EIGRP. Mçi EIGRP l−u mét b¶ng
l¸ng giÒng, trong ®ã lµ danh s¸ch c¸c router l¸ng giÒng th©n mËt. B¶ng nµy t−¬ng
tù nh− c¬ së d÷ liÖu vÒ l¸ng giÒng cña OSPF. EIGRP cã riªng tõng b¶ng l¸ng giÒng
cho mçi giao thøc mµ EIGRP hç trî.
EIGRP router sö dông c¸c gãi hello rÊt nhá ®Ó thiÕt lËp mèi quan hÖ th©n mËt víi
c¸c router l¸ng giÒng. MÆc ®Þnh, hello ®−îc göi ®i theo chu kú 5 gi©y/lÇn. NÕu
router vÉn nhËn ®−îc ®Òu ®Æn c¸c gãi hello tõ mét router l¸ng giÒng th× nã vÉn sÏ
hiÓu r»ng router l¸ng giÒng ®ã cïng víi c¸c ®−êng ®i cña nã vÉn cßn ho¹t ®éng.
B»ng c¸ch thiÕt lËp mèi quan hÖ th©n mËt nh− vËy, EIGRP router thùc hiÖn ®−îc
nh÷ng viÖc sau:
• Tù ®éng häc ®−îc ®−êng míi khi ®−êng nµy kÕt nèi vµo m¹ng.
• X¸c ®Þnh router l¸ng giÒng bÞ ®øt kÕt nèi hay kh«ng cßn ho¹t ®éng n÷a.
• T¸i ph¸t hiÖn c¸c router vèn tr−íc ®ã bÞ xem lµ ®øt kÕt nèi.
3.2.4. X©y dùng b¶ng l¸ng giÒng.
Router ®Þnh tuyÕn theo vect¬ kho¶ng c¸ch d¹ng ®¬n gi¶n kh«ng thiÕt lËp m
h
310
H×nh 3.2.4.a. B¶ng l¸ng giÒng cña EIGRP
Sau ®©y lµ c¸c th«ng tin trong b¶ng l¸ng giÒng:
• §Þa chØ cña router l¸ng giÒng.
• Hold time: Lµ kho¶ng thêi gian l−u gi÷. NÕu kh«ng nhËn ®−îc bÊt kú c¸i g×
−u gi÷ th× khi kho¶ng thêi
nèi ®Õn l¸ng giÒng ®ã kh«ng cßn
l¹i (RTO).
•
−îc chuyÓn ®i. NÕu phÇn nµy lu«n cã gi¸ trÞ kh«ng ®æi lín h¬n 0 th× cã
IGRP nµo trong hµng ®îi.
tõ router l¸ng giÒng trong suèt kho¶ng thêi gian l
gian nµy hÕt thêi h¹n, router míi xem kÕt
ho¹t ®éng. Ban ®Çu, kho¶ng thêi gian nµy chØ ¸p dông cho c¸c gãi hello,
nh−ng ë c¸c phiªn b¶n Cisco IOS hiÖn nay, bÊt kú gãi EIGRP nµo nhËn
®−îc sau gãi hello ®Çu tiªn ®Òu khëi ®éng l¹i ®ång hå ®o kho¶ng thêi gian
nµy.
• Smooth Round Trip Timer (SRTT): Lµ kho¶ng thêi gian trung b×nh mµ
router göi ®i mét gãi vµ nhËn vÒ mét gãi tõ mét router l¸ng giÒng. Kho¶ng
thêi gian nµy ®−îc dïng ®Ó x¸c ®Þnh thêi gian truyÒn
Queue count (QCnt): Lµ sè l−îng gãi d÷ liÖu ®ang xÕp trong hµng ®îi ®Ó
chê ®
thÓ lµ router ®ang bÞ nghÏn m¹ch. NÕu phÇn nµy cã gi¸ trÞ 0 cã nghÜa lµ
kh«ng cã gãi E
311
• Sequence number (Seq No): Lµ sè thø tù cña gãi nhËn ®−îc míi nhÊt tõ
router l¸ng giÒng. EIGRP sö dông chØ sè nµy ®Ó x¸c ®Þnh gãi cÇn truyÒn l¹i
víi router l¸ng giÒng. B¶ng l¸ng giÒng nµy ®−îc sö dông ®Ó hç trî cho viÖc
göi ®¶m b¶o tin cËy vµ tuÇn tù cho c¸c gãi d÷ liÖu EIGRP, t−¬ng tù nh− TCP
thùc hiÖn göi b¶o ®¶m cho c¸c gãi IP vËy.
H×nh 3.2.4.b. Qu¸ tr×nh trao ®æi th«ng tin ®Þnh tuyÕn gi÷a hai router
l¸ng giÒng víi nhau
3.2.5. Ph¸t hiÖn ®−êng ®i
C¸c router ch¹y EIGRP gi÷ c¸c th«ng tin vÒ ®−êng ®i trªn RAM, do ®ã cã thÓ ®¸p
øng nhanh chãng. Gièng nh− OSPF, EIGRP l−u c¸c th«ng tin nµy thµnh tõng b¶ng
hay tõng c¬ së d÷ liÖu.
DUAL lµ thuËt to¸n vect¬ kho¶ng c¸ch cña EIGRP, nã sö dông th«ng tin trong
b¶ng l¸ng giÒng vµ b¶ng cÊu tróc m¹ng ®Ó tÝnh to¸n ®−êng cã chi phÝ thÊp nhÊt ®Õn
m¹ng ®Ých. §−êng chÝnh ®−îc chän ra ®−îc gäi lµ ®−êng successor. Sau khi tÝnh
312
to¸n, DUAL ®Æt ®−êng successor lªn b¶ng ®Þnh tuyÕn vµ ®ång thêi còng l−u ®−êng
g feasible successor. DUAL chØ l−u ®−êng
−îc feasible successor th×
on ®−
n, ®−êng successor ®−îc ®−a lªn b¶ng ®Þnh
nµy trong b¶ng cÊu tróc m¹ng.
DUAL cßn cè g¾ng tÝnh ®−êng dù phßng cho tr−êng hîp ®−êng successor bÞ ®øt.
§−êng dù phßng nµy ®−îc gäi lµ ®−ên
feasible successor trong b¶ng cÊu tróc m¹ng. §−êng nµy sÏ ®−îc sö dông thay thÕ
khi ®−êng successor ®Õn m¹ng ®Ých bÞ ®øt hoÆc kh«ng b¶o ®¶m tin cËy.
3.2.6. Chän ®−êng
NÕu cã mét ®−êng ®i ®Õn mét m¹ng ®Ých bÞ ®øt, DUAL sÏ t×m feasible succesor
trong b¶ng cÊu tróc m¹ng ®Ó thay thÕ. NÕu kh«ng t×m ®
c êng ®Õn m¹ng ®Ých ®ã ®−îc ®¸nh dÊu tr¹ng th¸i Active. Sau ®ã, router göi
gãi yªu cÇu ®Õn tÊt c¶ c¸c router l¸ng giÒng ®Ó yªu cÇu cung cÊp th«ng tin vÒ m¹ng
®Ých ®ang cÇn xö lý. DUAL sö dông c¸c th«ng tin míi nhËn ®−îc ®Ó tÝnh to¸n l¹i
successor vµ feasible successor míi.
Sau khi DUAL hoµn tÊt viÖc tÝnh to¸
tuyÕn. §−êng successor vµ feasible successor ®−îc l−u trong b¶ng cÊu tróc m¹ng.
Con ®−êng ®Õn m¹ng ®Ých trªn ®−îc chuyÓn tõ tr¹ng th¸i Active sang tr¹ng th¸i
Pasive. Tr¹ng th¸i nµy cã nghÜa lµ con ®−êng ®Õn m¹ng ®Ých ®ã ®· ho¹t ®éng vµ
b¶o ®¶m tin cËy.
H×nh 3.2.6a. §−êng successor lµ ®−êng cã chi phÝ thÊp nhÊt ®Õn mét m¹ng ®Ých.
Successor lµ router kÕ tiÕp trªn ®−êng ®i nµy
313
H×nh 3.2.6.b. RTA cã thÓ cµi ®Æt nhiÒu ®−êng successor nÕu chóng cã cïng chi phÝ
H×nh 3.2.6.c. B»ng c¸ch x¸c ®Þnh ®−êng feasible succesor, EIGRP router cã thÓ
t×m ®−îc ®−êng thay thÕ ngay khi ®−êng successor bÞ ®øt.
Õn
UAL còng ®¶m b¶o mçi
®−êng ®i nµy kh«ng bÞ lÆp vßng.
3.2.7. B¶o tr× b¶ng ®Þnh tuy
DUAL ghi nhËn tÊt c¶ c¸c ®−êng do l¸ng giÒng qu¶ng c¸o vµ sö dông th«ng sè
®Þnh tuyÕn tæng hîp ®Ó so s¸nh gi÷a chóng. §ång thêi D
314
§ ®Õn mét ®Ých cã chi phÝ thÊp nhÊt sÏ ®−îc DUAL ®−a lªn b¶ng ®Þnh tuyÕn.
§−êng nµy gäi lµ ®−êng successor. §−êng successor còng ®−îc l−u trong b¶ng cÊu
tróc m¹ng.
EIGRP l−u c¸c th«ng tin quan träng vÒ ®−êng ®i trong b¶ng l¸ng giÒng vµ b¶ng cÊu
tróc m¹ng. Hai b¶ng nµy cung cÊp th«ng tin ®Çy ®ñ cho DUAL. Dùa vµo ®ã DUAL
cã thÓ chän ®−êng thay thÕ nhanh chãng khi cÇn thiÕt.
Khi mét ®−êng liªn kÕt bÞ ®øt, DUAL t×m feasible successor trong b¶ng cÊu tróc
m¹ng. NÕu kh«ng t×m thÊy feasible successor th× ®−êng ®i ®Õn m¹ng ®Ých nµy ®−îc
®¸nh dÊu tr¹ng th¸i Active. Sau ®ã router göi gãi yªu cÇu ®Õn tÊt c¶ c¸c router l¸ng
giÒng cña nã ®Ó yªu cÇu cung cÊp th«ng tin m¹ng. Víi th«ng tin míi nhËn ®−îc,
DUAL sÏ tÝnh to¸n l¹i ®−êng successor vµ feasible successor míi.
−êng
ong b¶ng cÊu tróc m¹ng. Tr¹ng
router vÉn nhËn ®−îc ®Òu ®Æn c¸c gãi hello theo ®Þnh kú th× cã nghÜa lµ
Th«ng tin nµy ®−îc l−u trong b¶ng l¸ng giÒng. Khi router l¸ng giÒng
«ng nhËn ®−îc gãi hello trong suèt kho¶ng
uter l¸ng giÒng xem nh−
kh«ng kÕt nèi ®−îc n÷a hoÆc kh«ng cßn ho¹t ®éng n÷a. DUAL sÏ th«ng b¸o sù
ao thøc ®Þnh tuyÕn
Sau khi DUAL ®· tÝnh to¸n xong, ®−êng successor ®−îc ®−a vµo b¶ng ®Þnh tuyÕn.
§−êng successor vµ feasible successor ®−îc ®Æt tr
th¸i cña con ®−êng ®Õn m¹ng ®Ých nµy ®−îc chuyÓn tõ Active sang Passive. Tr¹ng
th¸i nµy cã nghÜa lµ con ®−êng ®· ho¹t ®éng tin cËy.
EIGRP router sö dông c¸c gãi hello rÊt nhá ®Ó thiÕt lËp mèi quan hÖ th©n mËt víi
c¸c router l¸ng giÒng. MÆc ®Þnh, gãi hello ®−îc göi theo chu kú 5 gi©y/lÇn. NÕu
EIGRP
l¸ng giÒng ®ã cïng víi c¸c con ®−êng cña nã vÉn cßn ho¹t ®éng b×nh th−êng.
Khi ph¸t hiÖn mét l¸ng giÒng míi, router sÏ ghi nhËn l¹i ®Þa chØ vµ cæng kÕt nèi cña
l¸ng giÒng ®ã.
göi gãi hello, trong ®ã cã th«ng sè vÒ kho¶ng thêi gian l−u gi÷. §©y lµ kho¶ng thêi
gian mµ router vÉn chê vµ xem lµ router l¸ng giÒng vÉn cßn ho¹t ®éng vµ kÕt nèi l¹i
®−îc. Hay nãi c¸ch kh¸c, nÕu router kh
thêi gian l−u gi÷ th× khi kho¶ng thêi gian nµy kÕt thóc, ro
thay ®æ nµy vµ thùc hiÖn tÝnh to¸n l¹i víi cÊu tróc m¹ng míi.
3.3. Xö lý sù cè gi
3.3.1. Qu¸ tr×nh xö lý sù cè giao thøc ®Þnh tuyÕn
315
TÊt c¶ c¸c qu¸ tr×nh xö lý sù cè giao thøc ®Þnh tuyÕn ®Òu nªn tu©n theo mét s¬ ®å
logic tuÇn tù. S¬ ®å nµy kh«ng ph¶i lµ mét tiÕn tr×nh b¾t buéc cøng nh¾c khi xö lý
•
gióp cho b¹n x¸c ®Þnh nguyªn nh©n cã thÓ
ng bÞ ¶nh h−ëng bëi sù cè, hái ng−êi qu¶n
3.
•
l¹i.
•
sù cè m¹ng. Tuy nhiªn, nã lµ mét s¬ ®å c¬ b¶n ®Ó tõ ®ã ng−êi qu¶n trÞ m¹ng cã thÓ
x©y dùng mét s¬ ®å xö lý sù cè phï hîp cho m«i tr−êng m¹ng cña m×nh.
1. Khi kh¶o s¸t sù cè m¹ng, cè g»ng lµm râ nh÷ng m« t¶ vÒ sù cè.
X¸c ®Þnh sù cè dùa trªn mét lo¹t c¸c hiÖn t−îng vµ c¸c nguyªn nh©n cã thÓ
g©y ra.
• §Ó ph©n tÝch ®óng sù cè, b¹n x¸c ®Þnh c¸c dÊu hiÖn chung vµ sau ®ã x¸c
®Þnh xem nguyªn nh©n nµo cã thÓ g©y ra c¸c hiÖn t−îng nh− vËy. VÝ dô:
host kh«ng tr¶ lêi dÞch vô khi ®−îc yªu cÇu tõ client, ®ã lµ mét hiÖn t−îng.
• Nh÷ng nguyªn nh©n cã thÓ lµ cÊu h×nh host bÞ thiÕu, giao tiÕp card bÞ háng
hoÆc thiÕu lÖnh cÊu h×nh trªn router.
2. X¸c ®Þnh nguyªn nh©n g©y ra sù cè
• Thu nhËp c¸c sù kiÖn cÇn thiÕt ®Ó
g©y ra sù cè. Hái nh÷ng ng−êi dï
lý, ng−êi qu¶n trÞ m¹ng vµ mét sè ng−êi quan träng kh¸c.
• Thu nhËp th«ng tin tõ nhiÒu nguån, vÝ dô nh− hÖ thèng qu¶n lý m¹ng giao
thøc ph©n tÝch m¹ng, kÕt qu¶ hiÓn thÞ cña mét sè lÖnh kh¶o s¸t router hoÆc
tõ c¸c ghi chó cña phiªn b¶n phÇn mÒm ®ang sö dông.
Dùa trªn nh÷ng th«ng tin ®· thu thËp ®−îc, chóng ta tËp trung chó ý vµo c¸c
nguyªn nh©n cã thÓ.
• Víi c¸c th«ng tin thu thËp ®−îc b¹n cã thÓ lo¹i trõ mét sè nguyªn nh©n. VÝ
dô: dùa trªn c¸c th«ng tin nµy, b¹n cã thÓ lo¹i trõ sù cè phÇn cøng ®Ó tËp
trung vµo sù cè phÇn mÒm.
Trong mäi tr−êng hîp, cè g¾ng thu nhá sè l−îng nguyªn nh©n cã kh¶ n¨ng
g©y ra sù cè ®Ó chóng ta cã thÓ lªn mét ph−¬ng ¸n xö lý hiÖu qu¶.
4. Lªn ph−¬ng ¸n hµnh ®éng theo c¸c nguyªn nh©n cã kh¶ n¨ng cßn
B¾t ®Çu víi nguyªn nh©n cã kh¶ n¨ng nhiÒu nhÊt, b¹n ®Æt ra mét ph−¬ng ¸n
trong ®ã chØ thay ®æi mét th«ng sè m¹ng.
316
• ChØ thay ®æi mét th«ng sè t¹i mét thêi ®iÓm. §iÒu nµy gióp cho b¹n x¸c
®Þnh ®−îc gi¶i ph¸p cho tõng sù cè cô thÓ. Kh«ng nªn cè thay ®æi nhiÒu h¬n
mét th«ng sè t¹i mét thêi ®iÓm. Lµm nh− vËy cã thÓ sÏ gi¶i quyÕt ®−îc sù cè
i kh«ng thÓ biÕt ®−îc c¸i nµo b¹n thay ®æi ®· gi¶i quyÕt ®−îc
hiÖn t−îng nµo vµ nh− vËy b¹n sÏ kh«ng rót ®−îc kinh nghiÖm cho nh÷ng
lÇn x¶y ra sù cè t−¬ng tù vÒ sau.
5. Thùc hiÖn ph−¬ng ¸n ®· ®−a ra, thùc hiÖn tõng b−íc mét c¸ch cÈn thËn ®ång
thêi kiÓm tra xem c¸c hiÖn t−îng cña sù cè ®· hÕt ch−a.
6. Kh¶o s¸t kÕt qu¶ ®Ó x¸c nhËn lµ sù cè ®· ®−îc gi¶i quyÕt hay ch−a. NÕu sù
cè ®· ®−îc gi¶i quyÕt xong th× qu¸ tr×nh cña chóng ta chÊm døt.
7. NÕu sù cè vÉn cßn, b¹n lªn ph−¬ng ¸n cho nguyªn nh©n cã kh¶ n¨ng cao thø
hai. Quay l¹i b−íc 4, thay ®æi mét th«ng sè kh¸c vµ lÆp l¹i qu¸ tr×nh cho ®Õn
khi gi¶i quyÕt ®−îc sù cè.
8. Mét khi nguyªn nh©n thËt sù cña sù cè ®· ®−îc x¸c ®Þnh, cè g¾ng xö lý nã.
• §iÒu quan träng ë b−íc nµy lµ ghi l¹i sù cè vµ gi¶i ph¸p t−¬ng øng ®Ó cã thÓ
sö dông sau nµy.
• NÕu ®Õn b−íc nµy mµ mäi cè g¾ng vÉn kh«ng thµnh c«ng th× b¹n nªn yªu
cÇu hç trî kü thuËt tõ nhµ s¶n xuÊt thiÕt bÞ.
• Mét sè nguån hç trî kh¸c cã thÓ gióp cho b¹n lµ c¸c chuyªn gia hoÆc c¸c kü
• Cisco router cã mét sè tËp lÖnh hç trî cho b¹n theo dâi vµ x¸c ®Þnh sù cè
n khoanh vïng khu vùc x¶y ra sù cè.
•
nh−ng b¹n l¹
s− vÒ kü thuËt.
m¹ng:
• TËp lÖnh show cho phÐp b¹n theo dâi c¸c ho¹t ®éng b×nh th−êng cña m¹ng,
gióp b¹
TËp lÖnh debug hç trî cho b¹n x¸c ®Þnh sù cè cña giao thøc vµ cña cÊu h×nh
router.
• C¸c c«ng cô TCP/IP nh− ping, traceroute vµ telnet.
317
TËp lÖnh show lµ c«ng cô quan träng nhÊt gióp b¹n hiÓu ®−îc tr¹ng th¸i ho¹t ®éng
cña router, x¸c ®Þnh c¸c router l¸ng giÒng, theo dâi ho¹t ®éng tæng qu¸t vµ khoanh
vïng sù cè m¹ng.
TËp lÖnh debug cung cÊp c¸c th«ng tin sèng vÒ giao th«ng trªn mét cæng, c¸c
th«ng giao thøc nµo ®ã vµ
nhiÒu th«ng tin kh¸c cã Ých. Chóng ta chØ dïng lÖnh debug ®Ó x¸c ®Þnh sù cè chø
kh«ng
mét sù cè nµo ®ã. B¹n nªn thu hÑp c¸c
nguyªn nh©n g©y ra sù cè tr
debugging ®Ó xem nh÷ng debug nµo ®ang ®−îc bËt lªn trong router.
OS cho c¸c c«ng viÖc sau:
•
•
• X¸c ®Þnh sù cè trªn cæng giao tiÕp, trªn m¸y tinh hay trªn mét øng dông
•
®iÖp b¸o lçi bªn trong, ph©n tÝch c¸c gãi d÷ liÖu cña mét
dïng nã ®Ó xem c¸c ho¹t ®éngb×nh th−êng cña m¹ng. ChØ sö dông debug ®Ó
t×m mét giao th«ng ®Æc biÖt nµo ®ã hay
−íc khi sö dông lÖnh debug. B¹n dïng lÖnh show
Sö dông tËp lÖnh show cña Cisco I
Xem c¸c ®¸p øng cña router trong qu¸ tr×nh cµi ®Æt.
Xem ho¹t ®éng b×nh th−êng cña m¹ng.
nµo.
X¸c ®Þnh khi nµo m¹ng nghÏn m¹ch.
• X¸c ®Þnh tr¹ng th¸i cña server, client hoÆc c¸c l¸ng giÒng.
C¸c c«ng cô m¹ng TCP/IP:
•
cuèi - ®Õn - ®Çu cuèi.
• LÖnh ping më réng cã thÓ ®iÒu khiÓn tèt h¬n lÖnh ping c¬ b¶n.
• Ping kiÓm tra nhanh tÝnh kÕt nèi tõ ®Çu cuèi - ®Õn – ®Çu cuèi.
• Traceroute cã thÓ ®−îc sö dông ®Ó x¸c ®Þnh kÕt nèi nµo bÞ nghÏn m¹ch hay
bÞ ®øt.
Telnet ®−îc sö dông ®Ó kiÓm tra mét kÕt nèi ho¹t ®éng hoµn chØnh tõ ®Çu
3.3.2. Xö lý sù cè cÊu h×nh RIP
318
Sù cè th−êng gÆp nhÊt cña RIP lµm cho RIP kh«ng thùc hiÖn qu¶ng c¸o vÒ mét
®−êng nµo ®ã lµ do VLSM (Variable – length subnet mask). RIP phiªn b¶n 1
kh«ng hç trî VLSM. Do ®ã khi RIP kh«ng qu¶ng c¸o vÒ mét ®−êng nµo ®ã, b¹n
nªn ki
•
ng. VLSM kh«ng thÓ sö
dông ®−îc víi RIPv1.
LÖ protocols cung cÊp c¸c th«ng tin vÒ ®Æc ®iÓm vµ tr¹ng th¸i hiÖn t¹i
cña c¸
therrnet 0/1
nh−ng b¹n kh«ng khai b¸o ®Þa chØ m¹ng cña cæng nµy cho RIP b»ng lÖnh network
th× RI
thÓ dïng lÖnh debug ip rip ®Ó xem c¸c th«ng tin tøc thêi vÒ ho¹t ®éng cña
RIP. Sau ®ã b¹n dïng lÖnh no debug ip rip, no debug all hoÆc undebug all ®Ó t¾t
debug.
Óm tra nh÷ng ®iÒu sau:
Cã sù cè vÒ kÕt nèi ë Líp 1 hoÆc Líp 2 hay kh«ng.
• Cã cÊu h×nh ®Þa chØ IP theo s¬ ®å VLSM hay kh«
• CÊu h×nh RIPv1 vµ RIPv2 cã phï hîp víi nhau hay kh«ng.
• C©u lÖnh network cã bÞ thiÕu hay bÞ sai kh«ng.
• Cæng giao tiÕp trªn router cã ho¹t ®éng tèt kh«ng.
nh show ip
c giao thøc ®Þnh tuyÕn ®ang ho¹t ®éng trªn router. RIP göi th«ng tin ®Þnh
tuyÕn ra c¸c cæng giao tiÕp cã ®Þa chØ IP n»m trong ®Þa chØ m¹ng ®−îc khai b¸o
trong c©u lÖnh network. VÝ dô: nÕu b¹n ®· cÊu h×nh xong cæng FastE
P sÏ kh«ng göi th«ng tin ®Þnh tuyÕn ra cæng ®ã vµ ®ång thêi còng kh«ng nhËn
th«ng b¸o nµy tõ cæng nµy.
B¹n cã
319
H×nh 3.3.2.a. VÝ dô kÕt qu¶ hiÓn thÞ cña lÖnh show ip protocols
H×nh 3.3.2.b. VÝ dô hiÓn thÞ cña lÖnh debug ip rip
th«ng tin vÒ hai m¹ng ®Ých lµ 172.30.0.0
vµ 172.16.0.0. Router R1 còng göi th«ng tin cËp nhËt cña nã ra cæng FastEthernet
0/0. C
VÝ dô trong h×nh 3.3.2.b, router R1 ®ang nhËn th«ng tin cËp nhËt tõ mét router kh¸c
cã ®Þa chØ lµ 192.168.3.1. Router nµy göi
¶ hai router ®Òu sö dông ®Þa chØ qu¶ng b¸ 255.255.255.255 lµm ®Þa chØ ®Ých
320
cho c¸c gãi th«ng tin ®Þnh tuyÕn cña m×nh. ChØ sè trong ngoÆc () lµ ®Þa chØ nguån
®−îc ®ãng gãi trong phÇn IP header.
B¹n cã thÓ sÏ gÆp c©u th«ng b¸o nh− sau khi router nhËn ®−îc mét gãi kh«ng ®óng
d¹ng chuÈn:
RIP: bad version 128 from 160.89.80.43
3.3.3. Xö lý sù cè cÊu h×nh IGRP
IGRP lµ mét giao thøc ®Þnh tuyÕn theo vect¬ kho¶ng c¸ch ®−îc ph¸t triÓn bëi Cisco
tõ gi÷
§Æc ®iÓm Gi¶i thÝch
a thËp niªn 80. IGRP cã nhiÒu ®Æc ®iÓm kh¸c víi c¸c giao thøc ®Þnh tuyÕn
theo vect¬ kho¶ng c¸ch nh− RIP ch¼ng h¹n. C¸c ®Æc ®iÓm nµy ®−îc liÖt kª trong
b¶ng 3.3.3.
Kh¶ n¨ng më réng
t¨ng
IGRP cã kh¶ n¨ng ®Þnh tuyÕn cho m¹ng cã kÝch th−íc lín
h¬n nhiÒu s¬ víi m¹ng sö dông RIP.
Th«ng sè ®Þnh tuyÕn
phøc t¹p
IGRP sö dông th«ng sè ®Þnh tuyÕn tæng hîp ®Ó chän
®−êng linh ho¹t h¬n. C¸c yÕu tè t¸c ®éng vµo viÖc chän
®−êng lµ b¨ng th«ng, ®é trÔ, ®é t¶i vµ ®é tin cËy. MÆc
trÔ. IGRP kh¾c p
®Þnh, th«ng sè ®Þnh tuyÕn chØ bao gåm b¨ng th«ng vµ ®é
hôc ®−îc giíi h¹n 15 hop cña RIP. IGRP
cã gi¸ trÞ hop tèi ®a mÆc ®Þnh lµ 100 nh−ng b¹n cã thÓ cÊu
h×nh cho gi¸ trÞ nµy lªn tíi 255.
Chia t¶i ra nhiÒu
®−êng
IGRP cã thÓ duy tr× tíi 6 ®−êng kh¸c nhau gi÷a mét cÆp
nguån vµ ®Ých. Nh÷ng ®−êng nµy gi÷a mét cÆp nguån vµ
®Ých. Nh÷ng ®−êng nµy kh«ng b¾t buéc ph¶i cã chi phÝ
b»ng nhau nh− ®èi víi RIP. ViÖc sö dông nhiÒu ®−êng cho
cïng mét ®Ých nh− vËy sÏ t¨ng ®−îc b¨ng th«ng ®−êng
truyÒn hoÆc cã thÓ ®Ó dù phßng
B¶ng 3.3.3
321
B¹n dïng lÖnh router igrp autonomous-system ®Ó khëi ®éng tiÕn tr×nh ®Þnh tuyÕn
IGRP trªn router nh− sau:
R1 (config)#router igrp 100
Sau ®ã, b¹n dïng lÖnh network network-number ®Ó khai b¸o c¸c ®Þa chØ cña c¸c
cæng trªn router tham gia vµo qu¸ tr×nh cËp nhËt IGRP.
R1 (config-router)#network 172.30.0.0
R1 (config-router)#network 192.168.3.0
B¹n dïng c¸c lÖnh sau ®Ó kiÓm tra cÊu h×nh vµ ho¹t ®éng cña IGRP:
R1#show ip protocols
R1#show ip route
H×nh 3.3.3.a
322
H×nh 3.3.3.b
3.3.5.Xử lý sự cố cấu hình OSPF
OSPF là 1 giao thức định tuyến theo trạng thái đường liên kết.Một liên kết tương
ứng với một cổng giao tiếp trên một router.Trạng thái của một đường liên kết bao
gồm thông tin về cổng giao tiếp và mối quan hệ với các router láng giềng kết nối
vào cổng đó.Ví dụ : thông tin về một cổng giao tiếp bao gồm địa chỉ IP ,subnet
mask và loại mạng kết nối vào cổng đó cũng như các router kết nối vào cổng
này.Tập hợp các thông tin như vậy tạo thành cơ sở dữ liệu về trạng thái các đường
liên kết.
-Sự cố thường xảy ra với OSPF có liên quan tới quan hệ với các láng giềng thân
mật và việc đồng bộ cơ sở dữ liệu về trạng thái các đường liên kết.Lệnh show ip
ospf neighbors sẽ cung cấp nhiều thông tin hữu ích cho việc xử lý sự cố liên quan
đến việc quan hệ với các router láng giềng thân mật.
-Bạn sử dụng lệnh debug ip ospf events để hiển thị thông tin về các sự kiện liên
quan đến OSPF như:
+Mối quan hệ láng giềng thân mật.
+Gửi thông tin định tuyến
+Bầu router đại diện(DR)
323
+Tính toán chọn đường ngắn nhất(OSPF)
-Nếu router đã được cấu hình định tuyến OSPF mà không thấy được các láng giềng
OSPF trên những mạng kết nối trực tuyến của nó thì bạn nên thực hiện các việc
sau:
+Kiểm tra xem cả hai router láng giềng với nhau đã được cấu hình IP có cùng
subnet mask ,cùng khoảng thời gian hello và khoảng thời gian bất động hay chưa.
+Kiểm tra xem cả hai router láng giềng của nhau có nằm trong cùng một vùng hay
không.
Để hiển thị thông tin về mỗi gói OSPF nhận được ,bạn dùng lệnh debug ip ospf
packet.Dùng dạng no của câu lệnh này để tắt debug.
Lệnh debug ip ospf packet sẽ hiển thị các thông tin của từng gói OSPF mà router
nhận được.Thông tin hiển thị thay đổi một chút tuỳ theo loại cơ chế xác minh đang
được sử dụng.
TỔNG KẾT
Sau khi đọc xong chương này ,bạn phải trả lời được các câu hỏi sau:
1. EIGRP là một giao thức lai,kết hợp các ưu điểm của giao thức định tuyến
theo vectơ khoảng cách và giao thức định tuyến theo trạng thái đường liên
kết.Vậy EIGRP giống giao thức định tuyến theo vectơ khoảng cách ở những
điểm nào? Và giống giao thức định tuyến theo trạng thái đường liên kết ở
những điểm nào?
2. Bảng cấu trúc mạng của EIGRP và cơ sở dữ liệu về cấu trúc mạng của OSPF
khác nhau như thế nào?
Sau đây là những điểm quan trọng trong chương này:
+Điểm khác nhau giữa EIGRP và IGRP
+Các khái niệm chính,kỹ thuật chính và cấu trúc dữ liệu của EIGRP
+Hoạt động hội tụ của EIGRP và hoạt động cơ bản của DUAL
+Cấu hình IEGRP cơ bản
324
+Cấu hình tổng hợp đường đi cho IEGRP
+Quá trình EIGRP xây dựng và bảo trì bảng định tuyến
+Kiểm tra hoạt động EIGRP
+Tám bước cho quá trình xử lý sự cố nói chung
+Áp dụng sơ đồ logic trên vào quá trình xử lý sự cố định tuyến
+Xử lý sự cố tiến trình định tuyến RIP sử dụng lệnh show và debug.
+Xử lý sự cố tiến trình định tuyến IGRP sử dụng lệnh show và debug
+Xử lý sự cố tiến trình định tuyến EIGRP sử dụng lệnh show và debug
+Xử lý sự cố tiến trình định tuyến OSPF sử dụng lệnh show và debug
325
CHƯƠNG 4: CÁC KHÁI NIỆM VỀ CHUYỂN MẠCH
GIỚI THIỆU
Việc thiết kế LAN đuợc phát triển và thay đổi nhiều theo thời gian.Cho đến gần
đây các nhà thiết kế mạng vẫn còn sử dụng hub,bridge để xây dựng hệ thống
mạng.Còn hiện nay ,switch và router là hai thiết bị quan trọng nhất trong
LAN,khả năng và hoạt động của hai loại thiết bị này không ngừng được năng
cao.
Chương này sẽ quay lại một số nguồn gốc của các phiên bản Ethernet
LA
ểu rõ hơn tại sao các thiết bị mạng đã được phát triển như vậy.
Cho đến gần đây hầu hết các mạng Ethernet vẫn còn được sử dụng Repeater.
Kh
g dựa trên Switch và router, thậm chí có thiết bị bao gồm cả hai chức
năng định tuyến và chuyển mạch.
Switch hiện đại có khả năng thực hiện nhiều nhiệm vụ phức tạp khác nhau
trong mạng. Chương này sẽ giới thiệu về cách phân đoạn mạng và mô tả hoạt
động cơ bản của Switch.
Switch là thiết bị Lớp 2 đuợc sử dụng để tăng băng thông và giảm nghẽn mạch.
Một Switch có thể phân mạng LAN thành các đoạn siêu nhỏ, là những đoạn
mạng chỉ có Host. Nhờ vậy một miền lớn được chia thành nhiều miền nhỏ ko
có đụng độ.Là một thiết bị ở lớp 2 nên LAN Switch có thể tạo đuợc nhiều miền
đụng độ nhưng tất cả các Host kết nối vào Switch vẫn nằm trong cùng một
miềảng bá.
N,thảo luận về sự phát triển của Ethernet/802.3 và cấu trúc phát triển nhất
của LAN.Một cái nhìn về hoàn cảnh lịch sử của sự phát triển LAN và các thiết
bị mạng khác nhau làm việc ở lớp 1, lớp 2, lớp 3 của mô hình OSI sẽ giúp
chúng ta hi
i hiệu quả hoạt động của các mạng này trở nên xấu đi vì có quá nhiều thiết bị
cùng chia sẻ một môi trường truyền thì các kỹ sư mạng mới lắp thêm Bridge để
chia mạng thành nhiều miền đụng độ mạng nhỏ hơn. Khi hệ thống mạng càng
phát triển lớn hơn và phức tạp hơn, Bridge được phát triển thành Switch như
bây giờ, cho phép phân đoạn cực nhỏ hệ thống mạng. Các mạng ngày nay được
xây dựn
n qu
326
Sau
+ Định nghĩa phân đoạn cực nhỏ (microsegment)
+ Định nghĩa CSMA/CD
+ Mô tả một số thành phần quan trọng ảnh hưởng đến hiệu quả hoạt động của
+ Mô tả chức năng của Repeater
nh nghĩa độ trễ mạng
+ Định nghĩa thời gian truyền
+ M
+ Định nghĩa chuyển mạch đối xứng và bất đối xứng
hàng đợi
+ So sánh và phân biệt giữa chuyển mạch store-and-forward và cut-through
+ Hiểu được sự khác nhau giữa Hub,Bridge,Switch
+ Mô tả chức năng chính của Switch
+ Xác định đoạn mạng LAN
khi hoàn tất chương này các bạn có thể thực hiện các việc sau:
+ Mô tả lịch sử và chức năng của Ethernet chia sẻ,bán song công
+ Định nghĩa đụng độ trong mạng Ethernet
mạng
+ Đị
+ Mô tả chức năng cơ bản của Fast Ethernet
+ Xác định đoạn mạng sử dụng Router,Switch và Bridge
ô tả hoạt động cơ bản của Switch
+ Định nghĩa độ trễ của Ethernet Switch
+ Giải thích sự khác nhau giữa chuyển mạch lớp 2 và lớp 3
+ Định nghĩa bộ nhớ
+ Liệt kê các chế độ chuyển gói chính của Switch
327
+ Xác định đoạn mạng cực nhỏ sử dụng Switch
+ Mô tả tiến trình lọc tải
+ So sánh và phân biệt miền đụng độ và miền quảng bá
+ X
4.1.1. Sự phát triển của Ethernet/802.3 LAN
- Kỹ thuật LAN đầu tiên sử dụng cấu trúc “thick Ethernet” và “Thin Ethernet”.
Nắ được các giới hạn của 2 loại cấu trúc này là rất quan trọng để thấy được vị
trí của chuyển mạch LAN ngày nay.
- Thêm HUB hay còn gọi là bộ tập trung vào mạng là một cải tiến dựa trên kỹ
thuật “thick” và “thin” Ethernet. Hub là thiết bị lớp 1 và đôi khi đuợc coi là một
bộ tập trung Ethernet hay Repeater đa port. Sử dụng Hub trong mạng cho phép
kết nối được nhiều user hơn. Loại Hub chủ động còn cho phép mở rộng khoảng
cách của mạng vì nó thực hiện tái tạo lại tín hiệu dữ liệu.Hub ko hề có quyết
định gì đối với tín hiệu dữ liệu mà nó nhận đuợc. Nó chỉ đơn giản là khuếch đại
và tái tạo lại tín hiệu mà nó nhận được và chuyển ra cho tất cả các thiết bị nối
vào nó.
- Ethernet cơ bản là kỹ thuật chia sẻ cùng 1 băng thông cho mọi người dùng
trong 1 phân đoạn LAN. Điều này giống như một xe hơi cùng chạy vào một làn
đường vậy. Con đường này chỉ có một làn đường nên tại một thời điểm chỉ có 1
xe hơi chạy trên đó mà thôi. Các user kết nối và cùng một Hub chia sẻ băng
thông trên cùng một đường truyền.
ác định loại cáp cần thiết để kết nối máy trạm vào Switch
+ Xác định loại cáp cần thiết để kết nối Switch vào Switch
4.1. Giới thiệu Ethernet/802.3 LAN
m
328
Hình 4.1.1.a.Kết nối user dùng Hub.Các user trên cùng một Hub truy suất cùng
một băng thông đường truyền cũng giống như nhiều xe hơi cùng rẽ vào một làn
đường vậy.Con đường này chỉ có một làn đường nên tại một thời điểm chỉ
- Đụng độ là một hậu quả tất yếu của mạng Ethernet. Nếu có hai hay nhiều thiết
bị cùng truyền cùng một lúc thì đụng độ sẽ xảy ra. Điều này cũng giống như 2
xe cùng tranh giành một làn đường và xảy ra đụng độ. Khi đụng độ xảy ra mọi
giao thông trên đường truyền đó sẽ bị ngưng lại cho đến khi sự đụng độ đã được
vãn hồi. Khi số lượng đụng độ quá lớn, thời gian đáp ứng của hệ thống mạng sẽ
rất chậm. Tình trạng này cho thấy mạng bị nghẽn mạch hoặc có quá nhiều user
truy cập cùng lúc vào mạng.
- Thiết bị lớp 2 thông minh hơn thiết bị lớp 1. Thiết bị lớp 2 có quyết định
chuyển gói dựa trên địa chỉ MAC (Media access Control) được ghi trong phần
đầu của gói.
- Bridge là 1 thiết bị lớp 2 được sử dụng để phân đoạn mạng. Bridge thu thập và
chon lựa dữ liệu để chuyển mạch giữa hai đoạn mạng bằng cách h c địa chỉ
MAC của tất cả các thiết bị nằm trong từng đoạn mạng kết nối vào nó. Dựa vào
dựng thành bảng chuyển mạch và theo đó để
chuyển hoặc chặn gói lại. Nhờ vậy Bridge tách 1 mạng thành nhiều miền đụng
độ
cũng điều khiển lưu lượng
mạng tốt hơn Hub.
được một xe rẽ mà thôi.
ọ
các địa chỉ MAC, Bridge xây
nhỏ hơn,làm tăng hiệu quả hoạt động của mạng. Tuy nhiên Bridge ko chặn
các lưu lượng quảng bá nhưng dù sao thì Bridge
329
- S
ó. Switch
học địa chỉ MAC của các thiết bị kết nối trên từng port của nó và xây dựng
thà
itch
có khả năng phân đoạn mạng cực nhỏ, nghĩa là tạo ra môi trường ko đụng độ
giữ
ều làn đường và mỗi xe có
riêng một làn đường cho mình.
witch cũng là 1 thiết bị lớp 2 và được xem là Bridge đa port. Switch có thể
quyết định chuyển 1 gói dựa trên địa chỉ MAC được ghi trong gói đ
nh bảng chuyển mạch
-Khi hai thiết bị kết nối vào Switch thực hiện trao đổi với nhau, Switch sẽ thiết
lập một mạch ảo cung cấp một đường liên lạc riêng giữa hai thiết bị này. Sw
a nguồn và đích,nhờ đó tối đa hoá lượng băng thông khả dụng. Switch có thể
tạo nhiều mạch ảo đồng thời giữa các cặp thiết bị khác nhau. Hình ảnh này
tương tự như đường cao tốc có thể chia thành nhi
Hình 4.1.1.b Kết nối user bằng Switch.Có bao nhiêu thiết bị kết nối vào Switch
thf Switch có thể tạo ra bấy nhiêu mạch ảo cho từng thiết bị. Điều này giống
như hình minh hoạ về đường cao tốc ở bên trái. Đường cao tốc này có đủ 3 làn
đường dành cho 3 nhánh đổ vào nó,mỗi nhánh một làn đường riêng.
bị trong mạng kết nối vào nó.Khi số lượng quảng bá quá nhiều sẽ làm cho thời
của mạng rất chậm.
- R
- Khuyết điểm của thiết bị lớp 2 là nó chuyển gói quảng bá cho tất cả các thiết
gian đáp ứng
outer là một thiết bị ở lớp 3.Router quyết định chuyển gói dựa trên địa chỉ
mạng của gói dữ liệu.Router sử dụng bảng định tuyến để ghi lại địa chỉ lớp 3
330
của các mạng kết nối trực tiếp vào router và các mạng mà router học được từ
các router láng riềng.
- M
ra cổng tương ứng
- R
uter là thiết bị
phân luồng lưu lượng quan trọng nhất trong hệ thống mạng lớn. Chúng giúp
cho bất kỳ máy tính nào cũng có thể thông tin liên lạc với bất kỳ máy tính nào
khác ở bất cứ đâu trên thế giới.
- LAN kết hợp hoạt động của cả hai thiết bị lớp 1 và lớp 2 và lớp 3. Việc triển
khai các thiết bị này như thế nào phụ thuộc vào điều kiện và hoàn cảnh đặc biệt
của từng đơn vị tổ chức.
ục tiêu của router là thực hiện các việc sau:
+ Kiểm tra dữ liệu lớp 3 của gói nhận được
+ Chọn đường tốt nhất cho gói dữ liệu
+ Chuyển mạch gói
outer ko bị bắt buộc phải chuyển các gói quảng bá. Do đó router có thể làm
giảm kích thước miền đụng độ và miền quảng bá trong mạng. Ro
Hinh 4.1.1.c
4.1.2. Các yếu tố ảnh hưởng đến hiệu quả hoạt động của mạng
- Mạng LAN ngày nay ngày càng trở nên quá tải và tình trạng nghẽn mạch gia
tăng. Thêm vào đó số lượng người dùng mạng tăng lên nhanh chóng cùng với
331
nhiều yếu tố khác kết hợp lại tạo thành nhiều thử tháchđối với mạng LAN
truyền thống.
+Môi trường đa nhiệm hiện nay của các hệ điều hành máy tính như Window,
Unix/Linux và MAC cho phép thực hiện đồng thời nhiều phiên giao dịch
mạng.Khả năng này càng tăng lên thì yêu cầu về tài nguyên mạng càng tăng.
+Việc sử dụng các ứng dụng chuyên sâu như World Wide Web chẳng hạn gia
tăng.Các ứng dụng dạng client/server này cho phép người quản trị mạng có thể
tập trung thông tin,dữ liệu lại để dễ bảo trì và bảo vệ dữ liệu.
+Các ứng dụng dạng client/server giải phóng cho các máy trạm gánh nặng của
việc lưu trữ dữ liệu và chi phí trang bị đĩa cứng để lưu trữ. Chính vì những ưu
điểm này mà việc sử dụng các ứng dụng dạng client/server sẽ càng được sử
dụng rộng rãi trong tương lai.
Hình vẽ 4.1.2
+Quá nhiều người trong 1 phân đoạn mạng 10Mbps
dữ liệu.
+Hầu hết mọi người dùng đều truy cập vào 1 hoặc 2 server
+Các ứng dụng chuyên ngành như tạo màu, CAD/CAM,xử lý ảnh ,và cơ sở
332
4.1.3. Các thành phần của mạng Ethernet/802.3
- Các c để
tru g thiết bị này có
thể là máy tính máy in, file server…Tất cả các máy trong cùng một môi trường
Eth theo phương pháp quảng bá. Một số yếu tố
sau có thể tác động đến hiệu quả hoạt động của mạng Ethernet/802.3 chia sẻ:
+Việc truyền gói trong mạng Ethernet/802.3 là quảng bá
+P a truy cập cảm nhận sóng mạng phát hiện đụng độ CSMA/CD
(ca ỉ cho phép một máy trạm được
truyền tại một thời điểm.
+N thông có yêu cầu băng thông cao như video và
int chất quảng bá của Ethernet sẽ làm cho mạng nghẽn
mạch.
+T ển trên môi trường mạng lớp 1 và đi
qua
+Sử dụng Repeater để mở rộng khoảng cách và đồng thời cũng làm tăng thời
gia AN
ấu trúc thông dụng nhất của LAN là Ethernet. Ethernet được dùng
yền dữ liệu giữa 2 thiết bị trong cùng một mạng nội bộ.Nhữn
ernet sẽ truyền và nhận dữ liệu
hương pháp đ
rrier sense multiple access/collision detect) ch
hiều ứng dụng đa truyền
ernet, cộng với tính
hời gian trễ mặc nhiên khi gói di chuy
các thiết bị mạng lớp 1 lớp 2 lớp 3.
n trễ của mạng Ethernet/802.3 L
Hình 4.1.3.a
333
-Et /CD và môi trường truyền chia sẻ có thể truyền dữ
liệu với tốc độ lên đến 100 Mb/s.CSMA/CD là một phương pháp truy cập cho
phé ữ liệu tại một thời điểm.Thành công của
Ethernet là cung cấp một dịch vụ truyền tổng lực(best-effort) để truyền dữ liệu
và cho phép mọi thiết bị trong cùng một môi trường chia sẻ có cơ hội truyền dữ
liệu ngang nhau.Tuy nhiên đụng độ là một điều tất yếu trong mạng
Ethernet,CSMA/CD
hernet sử dụng CSMA
p chỉ một máy trạm được truyền d
Hình 4.1.3.b
4.1.4.Mạng bán song công
-Ethernet khởi đầu là một kỹ thuật bán song công.Với chế độ truyền bán song
công ,host chỉ có thể truyền hoặc nhận tại một thời điểm chứ không thể thực
hiện cả hai đồng thời.Mỗi một Ethernet host phải kiểm tra xem có dữ liệu đang
truyền trên mạng hay không trước khi thực hiện phát dữ liệu của mình.Nếu
mạng đang có người sử dụng thì host phải hoãn lại thì cả hai hay nhiều Ethernet
host sẽ có thể truyền dữ liệu cùng một lúc và kết quả là xảy ra đụng độ.Khi
đụng độ xảy ra,host nào phát hiện ra đụng độ đầu tiên sẽ phát ra tín hiệu báo
334
nghẽn cho các host khác.Khi nhận được tín hiệu báo nghẽn ,mỗi host sẽ ngừng
ại và chờ một thời gian ngẫu nhiên trước khi bắt đầu thực
ền lại.Khoảng thời gian chờ ngẫu nhiên này do thuật toán back-off(vãn
hồi đụng độ)tính toán.Càng có nhiều host kết nối vào mạng và bắt đầu truyền
dữ liệu thì đụng độ càng nhiều hơn.
-Et
việc truyền dữ liệu l
hiện truy
hernet LAN ngày càng trở nên bão hoà vì ngwoif dùng sử dụng nhiều phần
mềm chuyên sâu,các ứng dụng client/server… là những loại phần mềm yêu cầu
host phải thực hiện truyền thường xuyên hơn với thời gian lâu hơn.
Hình 4.1.4:Cấu trúc mạch của card mạng
Ta
o môi trường truyền chia sẻ.Do đó chân Rx của card bên trái cũng đồng
thời nhận được tín hiệu của chính nó từ đường truyền lên.Khi đó nó sẽ so sánh
giữ và một tín hiệu đi từ
chân Tx theo mạch hồi tiếp vòng về Rx.Nếu hai tín hiệu giống nhau nghĩa là
bìn
với tín hiệu hồi tiếp từ Tx.Nhờ đó nó phát hiện được đụng độ xảy ra
4.1.5.Sự nghẽn mạch trong mạng
-Kỹ thuật phát triển tạo ra các máy tính ngày càng nhanh hơn và thông minh
xét card bên trái ,tín hiệu được phát ra chân Tx(transmit) xuống đường
truyền, đồng thời theo mạch hồi tiếp(loopback) đi vào chân Rx(Receive).Tín
hiệu xuống đường truyền và được truyền quảng bá đến mọi máy trạm cùng kết
nối và
a hai tín hiệu,một tín hiệu nhận được từ đường truyền
h thường.Nếu có đụng độ xảy ra,tín hiệu nhận được từ đường truyền lên sẽ
bị khác
hơn.Khả năng của máy trạm và các ứng dụng mạng chuyên sâu ngày càng phát
335
triển thì yêu cầu về băng thông của mạng ngày càng tăng.Nhu cầu đã vượt mức
10Mb/s trên mạng chia sẻ Ethernet/802.3
-N
in hình ảnh lớn
+H
+H
+Ứ
-Ngoài ra số lượng người dùng trong mạng cũng tăng lên nhanh chóng.Tất cả
b/s.Khi có quá
nhi ập tin,truy cập file server và kết nối Internet
thì tình tr ng của mạng
chậ ủa người sử
dụ
ơn hoặc là phải sử dụng lượng băng thông đang có một cách hiệu quả
gày nay ,mạng thực hiện truyền rất nhiều các loại dữ liệu như:
+Tập t
ình ảnh
ình động(video)
ng dụng đa phương tiện
các yếu tố trên đã đặt một sức ép rất lớn đối với băng thông 10M
ều người cùng thực hiện chia sẻ t
ạng nghẽn mạch sẽ xảy ra.Hậu quả là thời gian đáp ứ
m,thời gian tải tập tin lâu hơn và làm giảm năng suất làm việc c
ng. Để giải quyết tình trạng nghẽn mạch này,bạn cần phải có nhiều băng
thông h
hơn.
Hình 4.1.5.a.Cán cân phải cân bằng giữa băng thông mạng và nhu cầu của
người dùng cùng với các ứng dụng chạy trên mạng
336
Hình 4.1.5.b.Băng thông và các nhu cầu của các ứng dụng khác
4.1.6.Th
-Thời gian trễ là khoảng thời gian gói dữ liệu di chuyển từ máy nguồn tới máy
đín đường đi giữa nguồn và đính trong LAN và
WAN là rất quan trọng.Trong mạng Ethernet LAN ,nắm được thời gian trễ và
các trọng để quyết định thời gian CSMA/CD phát
hiệ ận truyền lại.
-Có ít nhất 3 nguồn gây ra trễ:
ời gian trễ trên mạng
h.Việc xác định thời gian trễ của
tác đọng của nó là rất quan
n đụng độ và thoả thu
337
-Đầ
556 us trên 100m cáp UTP CAT5.Cáp càng dài và vận tốc truyền
ậm thì thời gian trễ này càng lớn.
-Th
dữ liệu ở lớp 3 chứ không phải dữ liệu ở lớp 2 như Switch
4.1.7.Thời gian truyền của Ethernet 10Base-T
-Tất cả các mạng đều có một thời bit hay còn gọi là một khe thời gian.Nhiều kỹ
ng.Hay nói cách khác,thời gian truyền là
khoảng thời gian truyền hết một gói dữ liệu.Do đó gói dữ liệu càng dài thì
kh ng thời gian này càng dài.
-M i một bít trong mạng Ethernet 10Mb/s có thời gian truyền là 100ns. Đây
chính là thời bit.Một byte bằng 8 bit .Do đó,một byte cần tối thiểu 800ns để
truyền hết.Một frame có 64 byte là frame nhỏ nhất hợp lệ của 10Base-T càn
51.200 ns(51,2us) Như vậy ,nếu truyền một frame có 1000 byte thì máy nguồn
cần 800us mới phát xong frame này.Tổng thời gian thực sự để frame đi được tới
máy đích còn phụ thuộc vào nhiều nguồn gây trễ khác trên mạng như:
+thơi gian trễ của NIC
u tiên là thời gian mà NIC ở máy nguồn phát tín hiệu điện xuống đường dây
và thời gian để NIC ở máy thu nhận biết được các xung điện.Khoảng thời gian
này gọi là khoảng thời gian của NIC,khoảng us đối với 10BASE-T NIC.
-Thứ hai là khoảng thời gian tín hiệu lan truyền trên đường dây.Thời gian này
khoảng 0,
càng ch
ứ ba là thời gian trễ do các thiết bị mạng lớp 1 lớp 2 lớp 3 dọc trên đường đi
giữa hai máy nguồn và đích.
-Thời gian trễ không phụ thuộc hoàn toàn vào khoảng cách và số lượng thiết bị
mạng.Ví dụ :Nếu 3 Switch giữa 3 máy trạm được cấu hình đúng thì thời gian trễ
giữa hai máy trạm sẽ ít hơn là nếu giữa chúng đặt một Router vì router thực
hiện chức năng phức tạp hơn,cần nhiều thơi gian xử lý hơn.Router phải xử lý
thuật LAN như Ethernet chẳng hạn, định nghĩa thời bit là một đơn vị thời gian
để truyền đi một bit. Để cho một thiết bị điện hay quang nhận ra được tín hiệu
là bit 0 hay bit 1 thì phải có một khoảng thời gian tối thiểu là khoảng thời gian
của một bit.
-Thời gian truyền được tính bằng số lượng bit gửi đi nhân với thời bit tương
ứng của kỹ thuật mà bạn đang sử dụ
oả
ỗ
338
+Thời gian trễ do lan truyền trên đường cáp
+Thời gian trễ do các thiết bị lớp 1,lớp 2 và lớp 3 dọc trên đường đi
4.1.8. Ích lợi của việc sử dụng Repeater
-Khoảng cách mà một mạng LAN có thể bao phủ bị giới hạn và sự suy hao của
tín hiệu.Khi tín hiệu di chuyển trên mạng nó sẽ bị suy hao do trở kháng của cáp
hay của môi trường truyền làm tiêu hao năng lượng tín hiệu . Ethernet Repeater
là một thiết bị hoạt động ở lớp vật lý,nó khuếch đại và tái tạo lại tín hiệu trong
Ethernet LAN.Khi bạn sử dụng repeater để mở rộng khoảng cách của một
LAN,mạng LAN này có thể bao phủ lênmột phạm vi lớn hơn và có nhiều người
dùng hơn cùng chia sẻ mạng này.Tuy nhiên,việc sử dụng repeater và hub lại tạo
ra một vấn đề về quảng bá và đụng độ làm giảm hiệu quả hoạt động của mạng
LAN có môi trường truyền chia sẻ.
339
+Repeater là một thiết bị lớp 1 thực hiện khuếch đại,tái tạo lại tín hiệu và
truyền đi
+Repeater cho phép kéo dài khoảng cách từ đầu cuối -đến -đầu cuối
+Repeater làm tăng kích thước của miền đụng độ và miền quảng bá
Hình:4.1.8.b.Mở rộng môi trường chia sẻ mạng LAN bằng repeater
4.1.9.Truyền song công
-Ethernet song công cho phép truyền một gói dữ liệu đồng thời nhận một gói dữ
liệu khác tại cùng một thời điểm.Việc truyền và nhận song song đồng thời này
yêu cầu sử dụng hai cặp dây khác nhau trong cáp và chuyển mạch kết nối giữa
hai máy.Kết nối này phải được xem như kết nối điểm -nối -điểm và hoàn toàn
khô
Ethernet tối thiểu.
truyền và nhận đồng thời, mỗi node phải kết nối vào một port riêng trên
switch. Kết nối song công có thể sử dụng chuẩn môi trường truyền của
10B
ây riêng rẽ trong cáp
để tạo kết nối trực tiếp giữa chân truyền (Tx) ở một đầu với chân thu (Rx0 ở
đầu kia. Khi hai máy được kết nối như vậy sẽ tạo ra môi trường truyền không
có đụng độ, việc truyền và nhận dữ kiệu được thực hiện trên hai mạc điện của
hai cặp dây riêng biệt trong sơi cáp.
Trong mạng băng thông 10Mb/s trước đây, Ethernet chỉ sử dụng khoảng 50% -
60% lượng băng thông do đụng độ và thời gian trễ. Ethernet song công có thể
sử dụng 100% băng thông trên cả hai chiều, mỗi chiều Tx và Rx bạn có
10Mb/s, tổng cộng là bạn có thông lượng 20Mb/s.
ng có đụng độ.Vì cả hai node có thể truyền và nhận đồng thời nên không
còn việc thỏa thuận sủ dụng băng thông. Ethernet song công có thể sử dụng cấu
trúc cáp đax có nếu như môi trường truyền thỏa mãn được những tiêu chuẩn
Để
ASE-T, 100BASE-T hoặc 100BASE-FX để tạo kết nối điiểm-nối-điểm.
NIC trên tất cả thiết kế nối vào mạng phải có khả năng song công.
Ethernet switch song công vận dụng ưu điểm của hai cặp d
340
4.2. G
4.2.1. Ph©n ®o¹n m¹ng LAN
mét miÒn ®ông ®é riªng.
ViÖc ph©n ®o¹n m¹ng cho phÐp ph¹m vi nghÏn m¹ch ®−îc thu nhá trong
ph¹m ong mét segment, c¸c thiÕt bÞ
iíi thiÖu vÒ chuyÓn m¹ch LAN
Mét hÖ thèng m¹ng cã thÓ chia thµnh nhiÒu ®¬n vÞ nhá h¬n gäi lµ segmnet.
H×nh 4.2.1. lµ mét vÝ dô vÒ ph©n ®o¹n M¹ng Ethernet. Toµn bé hÖ thèng m¹ng cã
15 m¸y tÝnh, trong ®ã cã 6 server vµ 9 m¸y tr¹m. Mçi segment sö dông ph−¬ng
ph¸p truy cËp CSMA/CD vµ duy tr× l−u l−îng trong segment ®ã. Mçi segment lµ
vi tõng segment. Khi d÷ liÖu ®−îc truyÒn ®i tr
• Gấp đôi băng thông giữa hai node.
đụng độ.
• Hai đường 10Mb/s hay 100Mb/s.
• Truyền không có
341
trong cïng segment ®ã chia sÎ toµn bé b¨ng th«ng cña segment ®ã. D÷ liÖu ®−îc
truyÒn gi÷a c¸c segment sÏ ®−îc truyÒn lªn ®−êng trôc chÝnh cña m¹ng.
4.2.2.
ng cÇn chuyÓn ra segment th× bridge sÏ chÆn c¸c gãi ®ã l¹i.
MÆc dï ho¹t ®éng cña bridge lµ trong suèt ®èi víi c¸c thiÕt bÞ m¹ng kh¸c
nh−ng
uyÓn gãi. Bridge lµ mét
thiÕt bÞ chuyÓn m¹ch d¹ng store –and-forward.
Víi kiÓu chuyÓn m¹ch nµy, bridge ph¶i kiÓm tra ®Þa chØ ®Ých vµ tÝnh to¸n
CRC (Cyclic Redundancy Check) ®Ó kiÓm tra lçi frame råi míi chuyÓn frame ®i.
NÕu port ®Ých ®ang bËn th× bridge cã thÓ t¹m thêi l©u frame cho ®Õn khi port ®Ých
®−îc g
Ph©n ®o¹n cña m¹ng bridge
Bridge lµ mét thiÕt bÞ Líp 2 thùc hiÖn chuyÓn gãi dùa trªn ®Þa chØ MAC. Khi
bridge nhËn frame vµo tõ mét port, bridge sÏ ®äc ®Þa chØ MAC, cña m¸y göi ®Ó
nhËn biÕt ®−îc thiÕt bÞ nµop kÕt nèi víi port ®ã. Tõ ®ã bridge x©y dùng ®−îc b¶ng
chuyÓn m¹ch, trÓn ®ã ¸nh x¹ tõ ®Þa chØ MAC ra port t−¬ng øng. Nh÷ng gãi d÷ liÖu
nµo kh«
thêi gian trÔ v©n t¨ng lªn kho¶ng 10% ®Õn 30% khi sö dông bridge. Thêi
gian trÔ nµy lµ thêi gian ®Ó bridge xö lý vµ quyÕt ®Þnh ch
i¶i phãng.
342
Ph©n ®o¹n m¹ng b»ng bridge gióp gi¶m sè l−îng ng−êi dïng trªn mét
segment.
bridge nhËn frame, gi÷ frame råi chuyÓn frame ®i dùa theo ®Þa chØ Líp 2.
343
Kh«ng phô thuéc vµo giao thøc Líp 3
T¨ng thêi gian trÔ trªn m¹ng.
4.2.3. Ph©n ®o¹n m¹ng b»ng router.
Ph©n ®o¹n m¹ng b»ng router sÏ lµm t¨ng thêi gian trÔ cña m¹ng lªn 20% ®Õn
30%. Thêi gian trÔ nµy cao h¬n bridge v× router ho¹t ®éng ë líp M¹ng vµ sö dông
®Þa chØ IP ®Ó quyÕt ®Þnh chän ®−êng tèt nhÊt ®Õn m¸y ®Ých.
i h©n ®o¹n m¹ng trong mét m¹ng ®¬n nay trong mét
subnet th«i. Cßn router cung cÊp kÕt nèi gi÷a c¸c m¹ng vµ c¸c subnet víi nhau.
Router kh«ng chuyÓn gãi qu¶ng b¸ trong khi swich vµ bridge b¾t buéc ph¶i
chuyÓ
Br dge vµ switch chØ p
n gãi qu¶ng c¸o.
344
- DÔ qu¶n lý h¬n, chøc n¨ng nhiÒu h¬n, nhiÒu ®−êng ®i h¬n
- Thu nhá khÝch th−íc miÒn qu¶ng b¸
- Ho¹t ®éng ë líp 3
4.2.4. Ph©n ®o¹n m¹ng b»ng switch
ChuyÓn m¹ch LAN gióp gi¶m ®i t×nh tr¹ng thiÕu hôt b¨ng th«ng vµ nghÏn
m¹ch. SwitchsÏ ph©n ®o¹n m¹ng LAN thµnh c¸c vi ®o¹n (microsegment), thu nhá
tèi ®a kÝch th−íc miÒn ®ông ®é. Tuy nhiªn tÊt c¶ c¸c host kÕt nèi vµo mét switch
vÉn n»m trong cïng mét miÒn qu¶ng b¸.
345
Trong m¹ng Ethernet LAN thuÇn chuyÓn m¹ch, c¸c node thùc hiÖn chøc
n¨ng truyÒn vµ nhËn giãng nh− lµ trong m¹ng chØ cã duy nhÊt m×nh nã vËy. Khi hai
node thiÕt lËp kÕ nèi, mét m¹ch ¶o ®−îc thiÕt lËp gi÷a chóng vµ cuing cÊp toµn bé
b¨ng th«ng m¹ng. M¹ch ¶o nµy chØ tån t¹i trong switch khi c¸c node cÇn trao ®æi.
C¸c kÕt nèi b»ng switch cung cÊp nhiÒu th«ng l−îng h¬ so víi Ethernet LAN kÕt
nèi b»ng bridge hay hub.
- Swithc lo¹i trõ ®ông ®é b»ng c¸ch ph©n ®o¹n cùc nhá (microsegement).
- Têi gian trÔ thÊp vµ tèc ®é chuyÓn trang frame cao trªn mçi port.
- Ho¹t ®éng tèt víi card m¹ng vµ c¸p cã s½n cña chuÈn 802.3 (CSMA/CD).
.2.5. Ho¹t ®éng c¬ b¶n cña switch.
ChuyÓn m¹ch lµ mét kü thuËt gióp gi¶m t¾c nghÏn träng m¹ng Ethernet,
oken Ring vµ FDDI (Fiber Distributed Data Inteface). ChuyÓn m¹ch thùc hiÖn
®−îc viÖc nµy b»ng c¸ch gi¶m giao th
®−îc sö dông ®Ó thay thÕ cho hub vµ vÉn ho¹t ®éng tèt víi c¸c cÊu tróc c¸p cã s½n.
4
T
«ng vµ t¨ng b¨ng th«ng. LAN switch th−êng
Switch thùc hiÖn ho¹t ®éng chÝnh sau:
- ChuyÓn m¹ch frame
- B¶o tr× ho¹t ®éng chuyÓn m¹ch.
346
h¶ n¨ng truy cËp riªng biÖt trªn port
Lo¹i trõ ®−îc ®ông ®é vµ t¨ng th«ng l−îng ®−êng truyÒn
- Hç trî ®−îc nhiÒu phiªn giao dÞch cïng mét lóc
- ChuyÓn frame dùa trªn b¶ng chuyÓn m¹ch
+ ChuyÓn frame dùa theo ®Þa chØ MAC (Líp 2).
- Ho¹t ®éng ë Líp 2 cña m« h×nh OSI.
- Häc vÞ trÝ kÕt nèi cña tõng m¸y tr¹m b»ng c¸ch ghi nhËn ®Þa chØ nguån trªn
frame nhËn vµo.
+ ChuyÓn frame ra tÊt c¶ c¸c port khi ®Þa chØ ®Ých lµ qu¶ng b¸, multicast
hoÆc lµ mét ®Þa chØ mµ switch kh«ng biÕt.
+ ChØ chuyÓn frame ra port kh¸c khi ®Þa chØ ®Ých n»m ë port kh¸c víi port
nhËn vµo.
- K
-
347
H×nh 4.2.5.b. Ho¹t ®éng c¬ b¶n cña switch. Ta xÐt ho¹t ®éng cña switch tõ lóc
ng b¶ng chuyÓn m¹ch. ë h×nh nµy, m¸y A thùc ban ®Çu ch−a cã th«ng tin g× tro
hiÖn göi gãi d÷ liÖu cho m¸y B.
H×nh 4.2.5.c. Switch nhËn ®−îc frame tõ m¸y A vµo port sè 3. Switch kiÓm tra
®Þa chØ nguån trong frame nh©n ®−îc vµ ghi nhËn vµo b¶ng chuyÓn m¹ch: ®Þa
chØ MAC cña m¸y A t−¬ng øng víi port sè 3.
348
H×nh 4.2.5.d. ë thêi ®iÓm nµy, trªn b¶ng chuyÓn m¹ch cña switch ch−a cã
th«ng tin g× vÒ ®Þa chØ ®Ých lµ ®Þa chØ MAC cña m¸y B. Do ®ã, switch chuyÓn
frame ra tÊt c¶ c¸c port tõ port sè 3 lµ port nhËn frame vµo.
H×nh 4.2.5.e. M¸y B nhËn ®−îc d÷ liÖu m¸y A göi cho nã, nã göi d÷ liÖu cña nã
l¹i cho m¸y A
349
Lóc nµy, switch nhËn vµo tõ port sè 4 gãi d÷ liÖu cña m¸y B göi cho m¸y A.
Còng b»ng c¸ch häc ®Þa chØ nguån trong frame nhËn vµo, switch sÏ ghi nhËn ®−îc
vµo b¶ng chuyÓn m¹ch: ®Þa chØ MAC cña m¸y B lµ t−¬ng øng víi port sè 4. §Þa chØ
®Ých cña frame nµy lµ ®Þa chØ MAC cña m¸y A mµ swithc ®· häc tr−íc ®ã. Do ®ã,
switch chØ chuyÓn frame ra port sè 3.
4.2.6. Thêi gian trÔ cña Ethernet switch.
Thêi gian trÔ lµ kho¶ng thêi gian tõ lóc switch b¾t ®Çu nhËn frame cho ®Õn
khi switch ®· chuyÓn hÕt frame ra port ®Ých. Thêi gian trÔ nµy phô thuéc vµo cÊu
h×nh chuyÓn m¹ch vµ l−îng giao th«ng qua switch.
Thêi gian trÔ ®−îc ®o ®¬n vÞ nhá h¬n gi©y. §èi víi thiÕt bÞ m¹ng ho¹t ®éng
víi tèc ®é cao th× mçi mét nano gi©y (ns) trÔ h¬n lµ mét ¶nh h−ëng lín ®Õn ho¹t
®éng m¹ng.
4.2.7. ChuyÓn m¹ch Líp 2 vµ Líp 3.
ChuyÓn m¹ch lµ tiÕn tr×nh nhËn frame vµo tõ mét cæng vµ chuyÓn frame ra
mét cæng kh¸c. Router sö dông chuyÓn m¹ch Líp 3 ®Ó chuyÓn m¹ch c¸c gãi ®·
®−îc ®Þnh tuyÕn xong. Switch sö dông chuyÓn m¹ch Líp 2 ®Ó chuyÓn frame.
ù kh¸c nhau gi÷a chuyÓn m¹ch Líp 2 vµ Líp 3 lµ lo¹i th«ng tin n»m trong
frame ®−îc sö dông ®Ó quyÕt ®Þnh chän cæng ra lµ kh¸c nhau. ChuyÓn m¹ch Líp 2
dùa trªn th«ng tin vÒ ®Þa chØ MAC. Cßn chuyÓn m¹ch Líp 3 th× dùa vµ ®Þa chØ líp
M¹ng vÝ dô nh− ®Þa chØ IP.
ChuyÓn m¹ch Líp 2 nh×n vµo ®Þa chØ MAC ®Ých trong phÇn header cña frame
vµ chuyÓn frame ra ®óng port dùa theo th«ng tin vÒ ®Þa chØ MAC trªn b¶ng chuyÓn
S
350
m¹ch. B¶ng chuyÓn m¹ch ®−îc l−u trong bé nhí ®Þa chØ CAM (Content
Addressable Memory). NÕu switch Líp 2 kh«ng biÕt ph¶i göi frame ra port nµo cô
thÓ th× ®¬n gi¶n lµ nã qu¶ng b¸ frame ra tÊt c¶ c¸c port cña nã. Khi nhËn ®−îc gãi
tr¶ lêi vÒ, switch sÏ ghi nhËn ®Þa chØ míi vµo CAM.
ChuyÓn m¹ch Líp 3 lµ mét chøc n¨ng cña Líp M¹ng. ChuyÓn m¹ch Líp 3
kiÓm tra th«ng tin n»m trong phÇn header cña Líp 3 vµ dùa vµo ®Þa chØ IP trong ®ã
®Ó chuyÓn gãi.
Dßng giao th«ng trong m¹ng chuyÓn m¹ch hay m¹ng ngang hµng hoµn toµn
kh¸c víi dßng giao th«ng trong m¹ng ®Þnh tuyÕn hay m¹ng ph©n cÊp. Trong m¹ng
ph©n cÊp, dßng giao th«ng ®−îc uyÓn chuyÓn h¬n trong m¹ng ngang hµng.
H×nh 4.2.7.a. ChuyÓn m¹ch líp 2
351
H×nh 4.2.7.b. ChuyÓn m¹ch líp 3
4.2.8. ChuyÓn m¹ch ®èi xøng vµ bÊt ®èi xøng.
ChuyÓn m¹ch LAN ®−îc ph©n lo¹i thµnh ®èi xøng vµ bÊt ®èi xøng dùa trªn
b¶ng th«ng cña mçi Port trªn switch. ChuyÓn m¹ch ®èi xøng lµ chuyÓn m¹ch gi÷a
c¸c port cã cïng b¨ng th«ng. ChuyÓn m¹ch bÊt ®èi xøng lµ chuyÓn m¹ch gi÷a c¸c
port cã b¨ng th«ng kh¸c nhau, vÝ dô nh− gi÷a c¸c port 10 Mb/s vµ port 100 Mb/s.
ChuyÓn m¹ch bÊt ®èi xøng cho phÐp dµnh nhiÒu b¨ng th«ng h¬n cho port nèi
vµo server ®Ó tr¸nh nghÏn m¹ch trªn ®−êng nµy khi cã nhiÒu client cïng truy cËp
vµo server cïng mét lóc. ChuyÓn m¹ch bÊt ®èi xøng cÇn ph¶i cã bé nhí ®Öm ®Ó gi÷
frame ®−îc liªn tôc gi÷a hai tèc ®é kh¸c nhau cña hai port.
- ChuyÓn m¹ch gi÷a hai port cã cïng b¨ng th«ng (10/10 Mb/s hay 100/100
Mb/s).
- Th«ng l−îng cµng t¨ng khi sè l−îng th«ng tin liªn l¹c ®ång thêi t¹i mét
thêi ®iÓm cµng t¨ng.
352
H×nh 4.2.8.a . ChuyÓn m¹ch ®èi xøng.
- ChuyÓn m¹ch gi÷a hai port kh«ng cïng b¨ng th«ng (10/100 Mb/s)
- §ßi hái ph¶i cã bé nhí ®Öm.
H×nh 4.2.8.b. ChuyÓn m¹ch bÊt ®èi xøng.
353
4.2.9. Bé ®Öm.
Ethernet switch sö dông bé ®Öm ®Ó gi÷ vµ chuyÓn frame. Bé ®Öm cßn ®−îc
sö dông khi port ®Ých ®ang bËn. Cã hai lo¹i bé ®Öm cã thÓ sö dông ®Ó chuyÓn frame
lµ bé ®Öm theo port vµ bé ®Öm chia sÎ.
Trong bé ®Öm theo port, frame ®−îc l−u thµnh tõng hµng ®îi t−¬ng øng víi
tõng port nhËn vµo. Sau ®ã frame chØ ®−îc chuyÓn sang hµng ®îi cña port ®Ých khi
tÊt c¶ c¸c frame tr−íc nã trong hµng ®îi ®· ®−îc chuyÓn hÕt. Nh− vËy mét frame cã
thÓ lµm cho tÊt c¶ c¸c frame cßn l¹i trong hµng ®îi ph¶i ho·n l¹i v× port ®Ých cña
frame nµy ®ang bËn. Ngay c¶ khi port ®Ých ®ang trèng th× còng vÉn ph¶i chê mét
kho¶ng thêi gian ®Ó chuyÓn hÕt frame ®ã.
Bé ®Öm ®−îc chia sÎ ®Ó tÊt c¶ c¸c frame vµo chung mét bé nhí. TÊt c¶ c¸c
port cña switch chia sÎ cïng mét bé ®Öm. Dung l−îng bé ®Öm ®−îc tù ®éng ph©n
bæ theo nhu cÇu cña mçi port ë mçi thêi ®iÓm. Frame ®−îc tù ®éng ph©n bæ theo
nhu c
Switch gi÷ mét s¬ ®å cho biÕt frame nµo t−¬ng øng víi port nµo vµ s¬ ®å nµy
i ®−îc vµ Ýt bÞ rít gãi h¬n. §iÒu nµy rÊt
quan träng ®èi víi chuyÓn m¹ch bÊt ®ång bé v× frame ®−îc chuyÓn m¹ch gi÷a hai
port cã
g toµn bé frame råi míi b¾t ®Çu tiÕn tr×nh chuyÓn
Çu cña mçi port ë mçi thêi ®iÓm. Frame trong bé ®Öm ®−îc tù ®éng ®−a ra
port ph¸t. Nhê c¬ chÕ chia sÎ nµy, mét frame nhËn ®−îc tõ port nµy kh«ng cÇn ph¶i
chuyÓn hµng ®îi ®Ó ph¸t ra port kh¸c.
sÏ ®−îc xo¸ ®i sau khi ®· truyÒn frame thµnh c«ng. Bé ®Öm ®−îc sö dông theo d¹ng
chia sÎ. Do ®ã l−îng frame l−u trong bé ®Öm bÞ giíi h¹n bëi tæng dung l−îng cña
bé cña bé ®Öm chø kh«ng phô thuéc vµo vïng ®Öm cña tõng port nh− d¹ng bé ®Öm
theo port. Do ®ã frame lín cã thÓ chuyÓn ®
tèc ®é kh¸c nhau.
- Bé ®Öm theo port l−u c¸c frame theo hµng ®îi t−¬ng øng víi tõng port nhËn
vµo.
- Bé ®Öm chia sÎ l−u tÊt c¶ c¸c frame vµo chung mét bé nhí. TÊt c¶ c¸c port
trªn switch chia sÎ cïng mét vïng nhí nµy.
4.2.10. Hai ph−¬ng ph¸p chuyÓn m¹ch.
Sau ®©y lµ hai ph−¬ng ph¸p chuyÓn m¹ch dµnh cho frame:
- Store-and-forwad: NhËn vµo toµn bé frame xong råi míi b¾t ®Çu chuyÓn ®i.
Switch ®äc ®Þa chØ nguån, ®Ých vµ läc frame nÕu cÇn tr−íc khi quyÕt ®Þnh chuyÓn
frame ra. V× switch ph¶i nhËn xon
354
m¹ch frame nªn thêi gian trÔ sÏ cµng lín ®èi víi frame cµng lín. Tuy nhiªn nhê
vËy switch míi cã thÓ kiÓm tra lçi cho toµn bé frame gióp kh¶ n¨ng ph¸t hiÖn lçi
cao h¬n.
- Cut-through: Frame ®−îc chuyÓn ®i tr−íc khi nhËn xong toµn bé frame. ChØ
cÇn ®Þa chØ ®Ých cã thÓ ®äc ®−îc råi lµ ®· cã thÓ chuyÓn frame ra. Ph−¬ng ph¸p nµy
lµm gi¶m thêi gian trÔ nh−ng ®ång thêi còng lµm gi¶m kh¶ n¨ng ph¸t hiÖn lçi
frame.
Sau ®©y lµ hai chÕ ®é chuyÓn m¹ch cô thÓ theo ph−¬ng ph¸p cut-through:
- Fast-forward: ChuyÓn m¹ch nhanh cã thêi gian trÔ thÊp nhÊt. ChuyÓn m¹ch
nhanh sÏ chuyÓn frame ra ngay sau khi ®äc ®−îc ®Þa chØ ®Ých cña frame mµ kh«ng
cÇn ph¶i chê nhËn hÕt frame. Do ®ã c¬ chÕ nµy kh«ng kiÓm tra ®−îc frame nhËn
vµo cã bÞ lçi hay kh«ng mÆc dï ®iÒu nµy kh«ng x¶y ra th−êng xuyªn vµ m¸y ®Ých
sÏ huû gãi nÕu gãi bÞ lçi. Trong chÕ ®é chuyÓn m¹ch nhanh, thêi gian trÔ ®−îc tÝnh
tõ lóc switch nhËn vµo bit ®Çu tiªn cho ®Õn khi switch ph¸t ra bit ®Çu tiªn.
- Fragment-free: C¬ chÕ chuyÓn m¹ch nµy sÏ läc bá c¸ch m¶nh g·ydo ®ông
®é g©y ra tr−íc khi b¾t ®Çu chuyÓn gãi. HÇu hÕt nh÷ng frame bÞ lçi trong m¹ng lµ
nh÷ng m¶nh g·y cña frame do bÞ ®ông ®é. Trong m¹n ho¹t ®éng b×nh th−êng, mét
m¶nh frame g·y do ®ông ®é g©y ra nhÊt ph¶i nhá h¬n 64 byte. BÊt kú frame nµo
lín h¬n 64 byte ®Òu ®−îc xem lµ hîp lÖ vµ th−êng kh«ng cã lçi. Do c¬ chÕ chuyÓn
m¹ch khi«ng m¶nh g·y sÏ chê nhËn ®ñ 64 byte ®Çu tiªn cña frame ®Ó ®¶m b¶o
frame nhËn ®−îc kh«ng ph¶i lµ mét m¶nh g·y do bÞ ®ông ®é råi míi b¾t ®Çu
chuyÓn frame ®i. Trong chÕ ®é chuyÓn m¹ch nµy, thêi gian trÔ còng ®−îc tÝnh tõ
lóc switch nhËn ®−îc bit ®Çu tiªn cho ®Õn khi switch ph¸t ®i bit ®Çu tiªn ®ã.
Thêi gian trÔ cña mçi chÕ ®é chuyÓn m¹ch phô thuéc vµo c¸ch mµ switch
chuyÒn frame nh− thÕ nµo. §Î chuyÓn frame ®−îc nhanh h¬n, switch ®· bít thêi
gian kiÓm tra lçi frame ®i nh−ng lµm nh− vËy l¹i lµm t¨ng l−îng d÷ liÖu cÇn truyÒn
l¹i.
4.3. Ho¹t ®éng cña switch.
4.3.1. Chøc n¨ng cña Ethernet switch.
Switch lµ mét thiÕt bÞ m¹ng chän lùa ®−êng d·n ®Ó göi frame ®Õn ®Ých, C¶
switch vµ bridge ®Òu ho¹t ®éng ë Líp 2 cña m« h×nh OSI.
355
Ó quyÕt ®Þnh chuyÓn frame nªn m¹ng Lan cã thÎ ho¹t ®éng
hiÖu qu¶ h¬n. Switch nhËn biÕt host nµo kÕt nèi vµo port cña nã b»ng c¸ch ®äca ®Þa
chØ MAC nguån trong frame mµ nã nhËn ®−îc. Khi hai host thùc hiÖn liªn l¹c víi
nhau, switch chØ thiÕt lËp mét m¹ch ¶o gi÷a hai port t−¬ng øng vµ kh«ng lµm ¶nh
h−ëng ®Õn l−u th«ng trªn c¸c port kh¸c. Trong khi ®ã, hub chuyÓn d÷ liÖu ra tÊt c¶
c¸c port cña nã nªn mäi host ®Òu nhËn ®−îc d÷ liÖu vµ ph¶i xö lý d÷ liÖu cho dï
nh÷ng d÷ liÖu nµy kh«ng ph¶i göi cho chóng. Do ®ã, m¹ng Lan cã hiÖu suÊt ho¹t
®éng cao th−êng sö dông chuyÓn m¹ch toµn bé.
- Switch tËp trung c¸c kÕt nèi vµ quyÕt ®Þnh chän ®−êng dÉn ®Ó chuyÓn d÷
liÖu hiÖu qu¶. Frame ®−îc chuyÓn m¹ch tõ port nhËn vµo ®Õn port ph¸t ra. Mçi port
lµ mét kÕt nèi cung cÊp chän b¨ng th«ng cho host.
- Trong Ethernet hub, tÊt c¶ c¸c port kÕt nèi vµo mét m¹ch chÝnh, hay nãi
c¸ch kh¸c, tÊt c¶ c¸c thiÕt bÞ kÕt nèi hub sÏ cïng chia sÎ b¨ng th«ng m¹ng. NÕu cã
hai m¸y tr¹m ®−îc thiÕt lËp phiªn kÕt nèi th× chóng sÏ sö dông mét l−îng b¨ng
th«ng ®¸ng kÓ vµ ho¹t ®éng cña c¸c thiÕt bÞ cßn l¹i kÕt nèi vµo hub sÏ bÞ gi¶m
xuèng.
- §Ó gi¶i quyÕt t×nh tr¹ng trªn, switch xö lý mçi port lµ mét segment riªng
biÖt. Khi c¸c m¸y ë c¸c port kh¸c nhau cÇn liªn l¹c víi nhau, switch sÏ chuyÓn tõ
frame tõ port nµy sang port kia vµ ®¶m b¶o cung cÊp chon b¨ng th«ng cho mçi
phiªn kÕt nèi.
§Ó chuyÓn frame hiÖu qu¶ gi÷a c¸c port, switch l−u gi÷ mét b¶ng ®Þa chØ.
Khi switch nhËn vµo mét frame, nã sÏ ghi nhËn ®Þa chØ MAC cña m¸y göi t−¬ng
øng víi port mµ nã nhËn frame ®ã vµo.
Sau ®©y lµ c¸c ®Æc ®iÓm chÝnh cña Ethernet switch
- T¸ch biÖt giao th«ng trªn tõng segment
- T¨ng nhiÒu h¬n l−îng b¨ng th«ng dµnh cho mçi user b»ng c¸ch t¹o miÒn
®ông ®é nhá h¬n.
§Æc ®iÓm ®Çu tiªn: T¸ch biÖt giao th«ng trªn tõng segment. Ethernet switch
chia hÖ thèng m¹ng thµnh c¸c ®¬n vÞ cùc nhá gäi lµ microsegment. C¸c segment
§«i khi switch cßn ®−îc gäi lµ bridge ®a port hay hub chuyÓn m¹ch. Swich
quyÕt ®Þnh chuyÓn frame dùa trªn ®Þa chØ MAC, do ®ã nã ®−îc xÕp µo thiÕt bÞ Líp
2. Ng−îc l¹i, hub chØ t¸i t¹o l¹i tÝn hiÖu Líp 1 vµ ph¸t tÝn hiÖu ®ã ra tÊt c¶ c¸c port
cña nã mµ kh«ng hÒ thùc hiÖn mét sù chän lùa nµo. ChÝnh nhê switch cã kh¶ n¨ng
chän lùa d−êng dÉn ®
356
nh− vËy cho phÐp c¸c user trªn segment kh¸c nhau cã thÓ göi d÷ liÖu cïng mét lóc
mµ kh«ng lµm chËm l¹i c¸c ho¹t ®éng cña m¹ng.
»ng c¸ch chia nhá hÖ thèng m¹ng, b¹n sÏ lµm gi¶m l−îng user vµ thiÕt bÞ
cïng chia sÎ mét b¨ng th«ng. Mçi segment lµ mét miÒn ®ông ®é riªng biÖt.
Ethernet switch giíi h¹n l−u th«ng b»ng chØ chuyÓn gãi ®Õn ®óng port cÇn thiÕt dùa
trªn ®Þ
ai cña Ethernet switch lµ ®¶m b¶o cung cÊp b¨ng th«ng nhiÒu
h¬n cho user b»ng c¸ch t¹o c¸c miÒn ®ông ®é nhá h¬n. Ethernet vµ Fast Ethernet
switch
tÝnh. Khi
c¸c øng dông míi nh
nªn phæ bi
µ kh«ng cÇn chê nhËn ®−îc hÕt frame. Nh− vËy, frame ®−îc chuyÓn ®i tr−íc
khi nhËn hÕt toµn bé frame.. Do ®ã, thêi gian trÔ gi¶m xuèng nh−ng kh¶ n¨ng ph¸t
hiÖn lç
frame ®i. Switch ®äc ®Þa chØ nguån, ®Ých vµ thùc hiÖn läc bá frame nÕu cÇn råi míi
®Çu tiªn cña Ethernet frame råi míi
ment-free lµ mét thuËt ng÷ ®−îc sö dông ®Ó chØ
switch ®ang sö dông mét d¹ng c¶i biªn cña chuyÓn m¹ch cut-through.
Mét chÕ ®é chuyÓn m¹ch kh¸c ®−îc kÕt hîp gi÷a cut-through vµ store-and-
forward. KiÓu kÕt hîp nµy gäi lµ cut-through thÝch nghi (adaptive cut-through).
B
a chØa MAC Líp 2.
§Æc ®iÓm thø h
chia nhá m¹ng LAN thµnh nhiÒu segment nhá. Mçi segment nµy lµ mét kÕt
nèi riªng gièng nh− lµ mét lµn ®−êng riªng 100 Mb/s vËy. Mçi serer cã thÓ ®Æt trªn
mét kÕt nèi 100 Mb/s riªng. Trong c¸c hÖ thèng mang hiÖn nay, Fast Ethernet
switch ®−îc sö dông lµm ®−êng trôc chÝnh cho LAN, cßn Ethernet hub, Ethernet
switch hoÆc Fast Ethernet hub ®−îc sö dông ®Ó kÕt nèi xuèng c¸c m¸y
− truyÒn th«ng ®a ph−¬ng tiÖn, video héi nghÞ ... ngµy cµng trë
Õn h¬n th× mçi m¸y tÝnh sÏ ®−îc mét kÕt nèi 100 Mb/s riªng vµo switch.
4.3.2. C¸c chÕ ®é chuyÓn m¹ch frame
Cã 3 chÕ ®é chuyÓn m¹ch frame:
- Fast-forwad: switch ®äc ®−îc ®Þa chØ cña frame lµ b¾t ®Çu chuyÓn frame ®i
lu«n m
i kÐm. Fast-forward lµ mét thuËt ng÷ ®−îc sö dông ®Ó chØ switch ®ang ë chÕ
®é chuyÓn m¹ch cut-through.
- Store –and-forward: NhËn vµo toµn bé frame råi míi b¾t ®Çu chuyÓn
quyÕt ®Þnh chuyÓn frame ®i. Thêi gian switch nhËn frame vµo sÏ g©y ra thêi gian
trÔ. Frame cµng lín th× thêi gian trÔ cµng v× switch ph¶i nhËn xong toµn bé frame
råi míi tiÕn hµnh chuyÓn m¹ch cho frame. Nh−ng nh− vËy th× switch míi cã ®ñ
thêi gian vµ d÷ liÖu ®Ó kiÓm tra lçi frame, nªn kh¶ n¨ng ph¸t hiÖn lçi cao h¬n.
- Fragment-free: NhËn vµo hÕt 64 byte
b¾t ®Çu chuyÓn frame ®i. Frage
357
Trong chÕ ®é nµy, switch sÏ sö dông chuyÓn m¹ch cut-through cho ®Õn khi nµo nã
ph¸t hiÖn ra mét l−îng frame bÞ lçi nhÊt ®Þnh. Khi sè l−îng frame bÞ lçi v−ît qu¸
møc ng−ìng th× khi ®ã switch sÏ chuyÓn dïng chuyÓn m¹ch store-and-forwad.
Bridge ®−îc xem lµ mét thiÕt bÞ th«ng minh v× nã cã thÓ quyÕt ®Þnh chuyÓn
frame dùa trªn ®Þa chØ MAC. §Ó thùc hiÖn c«ng viÖc nµy, bridge x©y dùng mét
b¶ng ®Þa chØ. Khi bridge b¾t ®Çu ®−îc bËt lªn, nã sÏ qu¶ng b¸ mét th«ng ®iÖp cho
mäi m¸y tr¹m trong segment kÕt nèi vµo nã ®Ó yªu cÇu c¸c m¸y nµy tr¶ lêi. Khi
4.3.3. Bridge vµ switch häc ®Þa chØ nh− thÕ nµo
Bridge vµ switch chØ chuyÓn tõ segment nµy sang segment kh¸c khi cÇn thiÕt.
§Ó thùc hiÖn nhiÖm vô nµy, bridge vµ switch ph¶i biÕt thiÕt bÞ nµo kÕt nèi vµo
segment nµo.
358
c¸c m¸y tr¹m tr¶ lêi cho th«ng ®iÖp qu¶ng b¸, bridge sÏ ghi nhËn l¹i ®Þa chØ cña c¸c
m¸y vµo b¶ng ®Þa chØ cña m×nh. Qu¸ tr×nh nµy ®−îc gäi lµ qu¸ tr×nh häc ®Þa chØ.
Bridge vµ switch häc ®Þa chØ theo c¸c c¸ch sau:
* §äc ®Þa chØ MAC nguån trong mçi frame nhËn ®−îc.
Ghi nhËn l¹i sè port mµ switch sÏ häc ®−îc ®Þa chØ nµo thuéc vÒ thiÕt bÞ kÕt
nèi vµo port nµo cña bridge hoÆc switch.
* §Þa chØ häc ®−îc vµ sè port t−¬ng øng sÏ l−u trong b¶ng ®Þa chØ. Bridge sÏ
kiÓm tra ®Þa chØ ®Ých n»m trong frame nhËn ®−îc råi dß t×m ®Þa chØ ®Ých nµy trong
b¶ng ®Þa chØ ®Ó t×m port t−¬ng øng.
CAM (Content Addressable Memory) ®−îc sö dông cho c¸c ho¹t ®éng sau:
* LÊy ra th«ng tin ®Þa chØ trong gãi d÷ liÖu nhËn ®−îc vµ xö lý chóng
* So s¸nh ®Þa chØ ®Ých cña frame víi c¸c ®Þa chØ trong b¶ng cña nã
CAM l−u gi÷ b¶ng ®Þa chØ MAC vµ sè port t−¬ng øng. CAM sÏ so s¸nh ®Þa
chØ MAC nhËn ®−îc víi néi dung cña b¶ng CAM. NÕu t×m thÊy ®óng ®Þa chØ ®Ých
th× sè port t−¬ng øng sÏ ®−îc chän ®Ó chuyÓn gãi ra.
Ethernet switch häc ®Þa chØ cña tõng thiÕt bÞ trong m¹ng kÕt nèi vµo nã b»ng
c¸ch ®äc ®Þa chØ nguån cña tõng frame mµ nã nhËn ®−îc vµ ghi nhí sè port mµ nã
võa nhËn frame ®ã vµo. Nh÷ng th«ng tin häc ®−îc sÏ l−u trong CAM. Mçi khi nã
®äc ®−îc mét ®Þa chØ míi ch−a cã trong CAM th× nã sÏ tù ®éng häc vµ l−u l¹i ®Þa
chØ ®ã ®Ó sö dông cho lÇn sau. Mçi ®Þa chØ nh− vËy ®−îc ®¸nh dÊu thêi gian cho
phÐp ®Þa chØ cã ®−îc l−u gi÷ trong mét kho¶ng thêi gian.
Sau ®ã mçi khi switch ®äc mét ®Þa chØ nguån trong frame, ®Þa chØ t−¬ng øng
trong CAM sÏ ®−îc ®¸nh dÊu thêi gian míi. NÕu trong suèt kho¶ng thêi gian ®¸nh
*
359
dÊu mµ switch kh«ng cã ghi nhËn g× n÷a vÒ ®Þa chØ ®ã th× nã sÏ xo¸ ®Þa chØ ®ã ra
khái b¶ng. Nhê vËy CAM lu«n gi÷ ®−îc th«ng tin cña m×nh chÝnh x¸c vµ kÞp thêi.
Sau ®©y lµ qu¸ tr×nh xö lý cña CAM:
1. NÕu bridge kh«ng t×m thÊy ®Þa chØ ®Ých trong b¶ng cña nã th× nã sÏ
chuyÓn frame ra tÊt c¶ c¸c port trõ port nhËn frame vµo.
2. B¶ng ®Þa chØ cña bridge cã thÓ bÞ xo¸ do bridge khëi ®éng l¹i hoÆc mét ®Þa
chØ nµo ®ã ®· bÞ xo¸ v× ®· hÕt thêi gian ®¸nh dÊu mµ bridge vÉn kh«ng nhËn
®−îc th«ng tin nµo vÒ ®Þa chØ ®ã n÷a. Khi bridge kh«ng biÕt chän port nµo ®Ó
chuyÓn frame th× nã göi frame ra tÊt c¶ c¸c port tõ port nhËn frame vµo. §−¬ng
nhiªn lµ kh«ng cÇn ph¶i göi l¹i frame ra port mµ nã võa ®−îc nhËn vµo n÷a vi
c¸c thiÕt bÞ kh¸c n»m trong segment kÕt nèi vµo port ®ã còng ®· nhËn ®−îc
frame råi.
. NÕu bridge t×m thÊy ®Þa chØ trong b¶ng nh−ng port t−¬ng øng còng chÝnh
lµ port mµ nã võa nhËn frame vµo, lóc nµ
rt t−¬ng øng lµ port kh¸c víi
port nhËn frame vµo th× bridge sÏ chuyÓn frame ra ®óng port t−¬ng øng víi ®i¹ chØ
®Ých.
3
y bridge sÏ huû bá gãi d÷ liÖu ®ã v× m¸y
®Ých n»m cïng segment víi m¸y nguån vµ nã ®· nhËn ®−îc frame råi.
4. NÕu bridge t×m thÊy ®Þa chØ trong b¶ng vµ po
360
4.3.4.
Bridge cã kh¶ n¨ng läc frame dùa trªn bÊt kú th«ng tin Líp 2 nµo trong frame.
dge cã thÓ läc frame dùa vµo ®Æc ®iÓm nµy. H¬n n÷a viÖc
cã Ých ®èi víi c¸c gãi qu¶ng b¸ vµ multicast kh«ng cÇn thiÕt.
Mét khi bridge ®· x©y dùng xong b¶ng ®Þa chØ cña nã th× cã nghÜa lµ nã ®·
s½n sµng ho¹t ®éng. Khi nã nhËn vµo frame, nã kiÓm tra ®Þa chØ ®Ých. NÕu ®Þa chØ
®Ých n»m cïng phÝa víi port nhËn frame th× bridge sÏ huû frame ®i. §éng t¸c nµy
®−îc gäi lµ läc frame. NÕu ®i¹ chØ ®Ých n»m trªn segment kh¸c th× bridge sÏ chuyÓn
frame ra segment ®ã.
VÒ c¬ b¶n, bridge chØ läc bá nh÷ng frame ®−îc göi trong néi bé mét
segment vµ chØ chuyÓn c¸c frame göi sang segment kh¸c.
Cßn läc frame ®Æc biÖt theo ®Þa chØ nguån vµ ®Ých th× cã c¸c d¹ng sau:
o mét m¸y nµo ®ã ®−îc göi frame ra ngoµi segment cña m¸y ®ã.
me ®Õn mét m¸y nµo ®ã.
Nhê vËy cã thÓ ng¨n kh«ng cho c¸c m¸y kh¸c cã thÓ th«ng tin liªn l¹c víi mét m¸y
nµo ®ã
ulticast. §«i
khi cã mét
qu¶ng b¸ ®i kh¾p m¹ng. Mét c¬n b·o qu¶ng b¸ cã thÓ lµm cho ho¹t ®éng m¹ng trë
thµnh con sè 0. Do ®ã nÕu bridge kh«ng thÓ läc bá c¸c gãi qu¶ng b¸ th× c¬n b·o
Ngµy nay, bridge cßn cã thÓ läc frame tuú theo giao thøc líp m¹ng ë trªn.
§iÒu nµy lµm gi¶m ®i ranh giíi gi÷a bridge vµ router. Router ho¹t ®éng ë líp
Bridge vµ switch thùc hiÖn läc frame nh− thÕ nµo
VÝ dô: bridge cã thÓ ®−îc cÊu h×nh ®Ó tõ chèi kh«ng chuyÓn tÊt c¶ c¸c frame cã
®Þa chØ nguån tõ mét m¹ng nµo ®ã. C¸c th«ng tin líp 2 th−êng cã ph¶n ¸nh giao
thøc líp trªn nªn bri
läc frame còng rÊt
* Kh«ng ch
* Kh«ng cho tÊt c¶ c¸c frame tõ bªn ngoµi göi fra
.
C¶ hai lo¹i läc frame trªn ®Òu gióp kiÓm so¸t giao th«ng m¹ng vµ t¨ng kh¶
n¨ng b¶o mËt.
HÇu hÕt Ethernet bridge ®Òu cã kh¶ n¨ng läc gãi qu¶ng b¸ vµ m
thiÕt bÞ nµo ®ã ho¹t ®éng kh«ng b×nh th−êng vµ liªn tôc ph¸t ra c¸c gãi
qu¶ng b¸ sÏ cã kh¶ n¨ng x¶y ra.
361
m¹ng, sö dông giao thøc ®Þnh tuyÕn ®Ó ph©n luång giao th«ng trªn m¹ng. Cßn
bridge sö dông kü thuËt läc c¶i tiÕn dùa trªn th«ng tin líp m¹ng ®−îc gäi lµ
brouter. Brouter kh¸c víi router ë chç lµ kh«ng sö dông giao thøc ®Þnh tuyÕn.
4.3.5. Ph©n ®o¹n m¹ng LAN b»ng bridge
M¹ng Ethernet LAN ®−îc ph©n ®o¹n b»ng bridge lµm gi¶m sè l−îng user
trªn mçi segment, do ®ã sÏ t¨ng ®−îc l−îng b¨ng th«ng dµnh cho mçi user.
Bridge chia m¹ng ra b»ng c¸ch x©y dùng b¶ng ®i¹ chØ trong ®ã cho biÕt ®Þa
chØ cña tõng thiÕt bÞ m¹ng n»m trong segment nµo. Khi ®ã, dùa vµo ®Þa chØ MAC
cña frame bridge sÏ cã thÓ quyÕt ®Þnh chuyÓn frame hay kh«ng. Ngoµi ra, bridge
thêi gian trÔ trong m¹ng lªn kho¶ng 10% ®Õn 30%, thêi gian
trÔ nµy lµ thêi gian ®Ó bridge quyÕt ®Þnh vµ thùc hiÖn chuyÓn m¹ch d÷ liÖu. Bridge
chuyÓn m¹ch theo d¹ng nhËn – råi chuyÓn nªn nã ph¶i nhËn hÕt toµn bé frame,
frame
cßn ®−îc xem lµ trong suèt ®èi víi c¸c thiÕt bÞ kh¸c trong m¹ng.
Bridge lµm t¨ng
kiÓm tra ®Þa chØ nguån vµ ®Ých, tÝnh to¸n CRC ®Ó kiÓm tra lçi frame råi míi chuyÓn
®i. NÕu port ®Ých ®ang bËn th× bridge sÏ t¹m thêi l−u frame l¹i cho ®Õn khi
port ®Ých ®−îc gi¶i phãng. ChÝnh nh÷ng kho¶ng thêi gian nµy lµm t¨ng thêi gian trÔ
vµ lµm chËm qu¸ tr×nh truyÒn trªn m¹ng.
362
* Chia nhá m¹ng lµm gi¶m sè l−îng user trªn mét segment.
* Bridge nhËn råi chuyÓn frame dùa trªn ®Þa chØ líp 2
363
* §éc lËp víi giao thøc líp 3
* Lµm t¨ng thêi gian trÔ trong m¹ng.
364
365
4.3.6. T¹i sao ph¶i ph©n ®o¹n m¹ng LAN
Cã hai nguyªn nh©n chÝnh ®Ó chóng ta ph©n ®o¹n m¹ng LAN, thø nhÊt lµ ®Ó
ph©n luång giao th«ng gi÷a c¸c segment. Thø hai lµ ®Ó t¨ng l−îng b¨ng th«ng cho
mçi user b»ng c¸ch t¹o miÒn ®ông ®é nhá h¬n.
NÕu kh«ng ph©n ®o¹n m¹ng LAN, m¹ng LAN lín nhanh chãng bÞ nghÏn
m¹ch v× mËt ®é giao th«ng vµ ®ông ®é qu¸ nhiÒu.
B¹n cã thÓ sö dông bridge, switch vµ router ®Ó chia nhá m¹ng LAN thµnh
nhiÒu segment. Mçi segment lµ mét miÒn ®ông ®é riªng biÖt.
Bridge vµ switch cã nhiÒu −u ®iÓm khi sö dông ®Ó chia mét m¹ng lín thµnh
nhiÒu ®¬n vÞ ®éc lËp. Bridge vµ switch sÏ gi¶m bít l−îng giao th«ng trªn tÊt c¶ c¸c
segment v× chóng chØ chuyÓn mét tØ lÖ giao th«ng nhÊt ®Þnh ra ngoµi mét segment
chø kh«ng ph¶i toµn bé. Tuy bridge vµ switch cã thÓ thu hÑp miÒn ®ông ®é nh−ng
l¹i kh«ng thu hÑp ®−îc miÒn qu¶ng b¸.
366
Mçi mét cæng trªn router kÕt nèi vµo mét m¹ng riªng. Do ®ã, router sÏ chia
mét m¹ng LAN thµnh nhiÒu miÒn ®ông ®é nhá h¬n vµ ®ång thêi thµnh nhiÒu miÒn
qu¶ng b¸ nhá h¬n v× router kh«ng chuyÓn gãi qu¶ng b¸ trõ phi nã ®−îc cÊu h×nh ®Ó
lµm nh− vËy.
seg
liª
m¹
nh
Switch chia m¹ng LAN thµnh c¸c miÒn cùc nhá gäi lµ microsegment. Mçi
ment nh− vËy lµ mét kÕt nèi ®iÓm - ®Õn - ®iÓm riªng biÖt. Khi cã hai m¸y cÇn
n l¹c víi nhau, switch sÏ thiÕt lËp mét m¹ch ¶o gi÷a hai port cña hai m¸y ®ã vµ
ch ¶o nµy chØ tån t¹i trong kho¶ng thêi gian cÇn thiÕt cho hai m¸y liªn l¹c víi
au th«i.
367
4.3.7. Thùc hiÖn ph©n ®o¹n cùc nhá (microsegment)
ã thÓ
ph©n ®o¹n cùc nhá. B»ng c¸ch ®äc ®Þa chØ MAC ®Ých, switch cã thÓ chuyÓn m¹ch
frame ridge. Tuy nhiªn switch cã thÓ chuyÓn m¹ch frame ra
port ®Ých tr−íc khi nhËn hÕt toµn bé frame gióp gi¶m thêi gian trÔ vµ t¨ng tèc ®é
chuyÓn frame.
Ethernet switch chia m¹ng LAN thµnh nhiÒu segment, mçi segment lµ mét
kÕt nèi ®iÓm - ®Õn - ®iÓm vµ switch kÕt nèi c¸c segment nµy b»ng m¹ch ¶o. M¹ch
¶o chØ ®−îc thiÕt lËp bªn trong switch vµ tån t¹i khi hai m¸y cÇn liªn l¹c víi nhau
th«i. Nhê vËy chuyÓn m¹ch Ethernet cã thÓ lµm t¨ng b¨ng th«ng kh¶ dông trªn
m¹ng.
MÆc dï LAN switch cã thÓ thu nhá kÝch th−íc miÒn ®ông ®é nh−ng tÊt c¶
c¸c host kÕt nèi vµo switch vÉn n»m trong cïng mét miÒn qu¶ng b¸. Do ®ã, mét gãi
qu¶ng b¸ tõ mét m¸y vÉn ®−îc göi ®Õn tÊt c¶ c¸c m¸y kh¸c th«ng qua switch.
Switch lµ mét thiÕt bÞ lín liªn kÕt d÷ liÖu gièng nh− brige, cho phÐp kÕt nèi
nhiÒu segment LAN vËt lý víi nhau thµnh mét m¹ng lín. T−¬ng tù nh− bridge,
switch còng chuyÓn gãi dùa trªn ®Þa chØ MAC. Nh−ng switch chuyÓn m¹ch phÇn
cøng chø kh«ng chuyÓn m¹ch b»ng phÇn mÒm nªn nã cã tèc ®é nhanh h¬n. Mçi
mét port cña switch cã thÓ ®−îc xem lµ mét brige riªng biÖt víi trän b¨ng th«ng
dµnh cho mçi port ®ã.
4.3.8. Switch vµ miÒn ®ông ®é
Nh−îc ®iÓm lín nhÊt cña m¹ng Ethernet 802.3 lµ ®ông ®é. §ông ®é x¶y ra
khi cã hai m¸y truyÒn d÷ liÖu ®ång thêi. Khi ®ông ®é x¶y ra, mäi frame ®ang ®−îc
truyÒn ®Òu bÞ ph¸ huû. C¸c m¸y ®ang truyÒn sÏ ng−ng viÖc truyÒn d÷ liÖu l¹i vµ chê
LAN switch ®−îc xem lµ bridge ®a port kh«ng cã miÒn ®ông ®é v× nã c
víi tèc ®é cao nh− b
368
mét kho¶ng thêi gian ngÉu nhiªn theo quy luËt cña CSMA/CD. NÕu ®ông ®é nhiÒu
qu¸ møc sÏ lµm cho m¹ng kh«ng ho¹t ®éng ®−îc.
MiÒn ®ông ®é lµ khu vùc mµ frame ®−îc ph¸t ra cã thÓ bÞ ®ông ®é. TÊt c¶
c¸c m«i tr−êng m¹ng chia sÎ víi nhau lµ c¸c miÒn ®ông ®é. Khi kÕt nèi mét m¸y
vµo mét port cña switch, switch sÏ t¹o mét kÕt nèi riªng biÖt b¨ng th«ng 10Mb/s
cho m¸y ®ã. KÕt nèi nµy lµ mét miÒn ®ông ®é riªng. VÝ dô: nÕu ta kÕt nèi m¸y vµo
mét port cña mét switch 12 port th× ta sÏ t¹o ra 12 miÒn ®ông ®é riªng biÖt.
369
Switch x©y dùng b¶ng chuyÓn m¹ch b»ng c¸ch ®Þa chØ MAC cña c¸c host kÕt
nèi trªn mçi port cña switch. Khi hai host kÕt nèi vµo switch muèn liªn l¹c víi
nh p kÕt nèi ¶o gi÷a hai
por ªn giao dÞch kÕt
thóc.
. c, Host B vµ Host C muèn liªn l¹c víi nhau switch sÏ
thiÕt lËp mét kÕt nèi ¶o gi÷a hai port cña Host B vµ Host C t¹o thµnh mét
mic s ét m¹ng chØ cã hai host duy nhÊt,
mé do ®ã nã sö dông ®−îc toµn bé b¨ng th«ng kh¶
ông trong m¹ng.
®é vµ t¨ng b¨ng th«ng m¹ng v× nã cung cÊp b¨ng th«ng
au, switch sÏ t×m trong b¶ng chuyÓn m¹ch cña nã vµ thiÕt lË
t cña hai host ®ã. KÕt nèi ¶o nµy ®−îc duy tr× cho ®Õn khi phi
Trong vÝ dô h×nh 4.3.8
ro egment. Microsegment ho¹t ®éng nh− m
t host göi vµ mét host nhËn,
d
Switch gi¶m ®ông
dµnh riªng cho mçi segment.
4.3.9. Switch vµ miÒn qu¶ng b¸
Th«ng tin liªn l¹c trong m¹ng ®−îc thùc hiÖn theo 3 c¸ch. C¸ch th«ng dông
nhÊt lµ göi trùc tiÕp tõ mét m¸y ph¸t ®Õn mét m¸y thu.
370
C¸ch thø 2 lµ truyÒn multicast. TruyÒn multicast ®−îc thùc hiÖn khi mét m¸y
o mét nhãm n»m trong segment.
C¸ch thø 3 lµ truyÒn qu¶ng b¸. TruyÒn qu¶ng b¸ ®−îc thùc hiÖn khi mét m¸y
nt ®Òu nhËn ®−îc th«ng ®iÖp nµy.
t gãi qu¶ng b¸ líp 2 th× ®Þa chØ MAC ®Ých cña
fra Víi ®Þa chØ ®Ých nh−
vËy
muèn göi gãi cho mét m¹ng con, hay ch
muèn göi cho tÊt c¶ c¸c m¸y kh¸c trong m¹ng. VÝ dô nh− server giö ®i mét th«ng
®iÖp vµ tÊt c¶ c¸c m¸y kh¸c trong cïng segme
Khi mét thiÕt bÞ muèn göi mé
me ®ã sÏ lµ FF:FF:FF:FF:FF:FF theo sè thËp lôc ph©n.
, mäi thiÕt bÞ ®Òu ph¶i nhËn vµ xö lý gãi qu¶ng b¸.
MiÒn g líp 2 cßn ®−îc xem miÒn qu¶ng b¸ MAC. MiÒn qu¶ng b¸ MAC
tÊt c¶ c¸c thiÕt bÞ trong ame qu¶ng b¸ tõ mét host
® .
Switc 2 b¸ th× nã sÏ göi
ra tÊt c¶ c¸c port cña nã trõ port nhËn gãi vµo. Mçi thiÕt bÞ nhËn ®−îc gãi qu¶ng b¸
qu¶n
bao gåm
trong LAN
LAN cã thÓ nhËn ®−îc fr
ã
h lµ mét thiÕt bÞ líp . Khi switch nhËn ®−îc gãi qu¶ng
371
®Òu ph¶i xö ý th«ng tin n»m trong ®ã. §iÒu nµy lµm gi¶m hiÖu qu¶ ho¹t ®éng cña
m¹ng v× tèn ¨ng th«ng cho môc
Khi hai switch kÕt nèi víi nhau, kÝch th−íc miÒn qu¶ng b¸ ®−îc t¨ng lªn. VÝ
dô nh− h×nh 4.3.9.b-c, gãi qu¶ng b¸ ®−îc göi ra tÊt c¶ c¸c port cña Switch. 1 Switch
1 kÕt nèi víi Switch 2. Do ®ã gã
kÕt nèi vµo Switch 2.
HËu qu¶ lµ l−îng b¨ng th«ng kh¶ dông gi¶m xuèng v× tÊt c¶ c¸c thiÕt bÞ
ïng m iÒn qu¶ng b¸ ®
l
b ®Ých qu¶ng b¸.
i qu¶ng b¸ còng ®−îc truyÒn cho tÊt c¶ c¸c thiÕt bÞ
trong c ét m Òu ph¶i nhËn vµ xö lý gãi qu¶ng b¸.
372
Router lµ thiÕt bÞ líp 3. Router kh«ng chuyÓn tiÕp c¸c gãi qu¶ng b¸. Do ®ã
Ro
b¸.
4.3
c¸c thiÕt bÞ kh¸c cïng kÕt nèi vµo LAN ®ã. M¸y tr¹m chØ ®¬n gi¶n lµ sö dông NIC
®Ó
hoÆ
Switch lµ thiÕt bÞ líp 2 th«ng minh, cã thÓ häc ®Þa chØ MAC cña c¸c thiÕt bÞ
kÕt nèi vµo port cña nã. ChØ ®Õn khi thiÕt bÞ b¾t ®Çu truyÒn d÷ liÖu ®Õn switch th× nã
míi häc ®−îc ®Þa chØ MAC cña thiÕt bÞ vµo b¶ng chuyÓn m¹ch. Cßn tr−íc ®ã nÕu
thiÕt bÞ ch−a hÒ göi d÷ liÖu g× ®Õn switch th× switch ch−a nhËn biÕt g× vÒ thiÕt bÞ
nµy.
uter ®−îc sö dông ®Ó chia m¹ng thµnh nhiÒu miÒn ®ông ®é vµ nhiÒu miÒn qu¶ng
.10. Th«ng tin liªn l¹c gi÷a Switch vµ m¸y tr¹m
Khi mét m¸y tr¹m ®−îc kÕt nèi vµo mét LAN, nã kh«ng cÇn quan t©m ®Õn
truyÒn d÷ liÖu xuèng m«i tr−êng truyÒn.
M¸y tr¹m cã thÓ ®−îc kÕt nèi trùc tiÕp víi mét m¸y tr¹m kh¸c b»ng c¸p chÐo
c lµ kÕt nèi vµo mét thiÕt bÞ m¹ng nh− hub, switch hoÆc router b»ng c¸p th¼ng.
373
Tæng kÕt
Sau khi kÕt thóc ch−¬ng nµy, b¹n cÇn n¾m ®−îc c¸c ý quan träng sau:
* LÞch sö vµ chøc n¨ng cña Ethernet chia sÎ, b¸n song c«ng.
* §ông ®é trong m¹ng Ethernet
* Microsegment.
* CSMA/CD
* C¸c yÕu tè ¶nh h−ëng ®Õn ho¹t ®éng m¹ng
* Chøc n¨ng cña repeater
* Thêi
* Chøc n¨ng c¬ b¶n cña Fast Ethernet
* Ph©n ®o¹n m¹ng b»ng router, switch, vµ bridge
* Ho¹t ®éng c¬ b¶n cña switch
* Thêi gian trÔ cña Ethernet switch
* Sù kh¸c nhau gi÷a chuyÓn m¹ch líp 2 vµ líp 3
* ChuyÓn m¹ch ®èi xøng vµ bÊt ®èi xøng
* Bé ®Öm
* ChuyÓn m¹ch kiÓu store – and – forward vµ kiÓu cut – through.
* Sù kh¸c nhau gi÷a hub, bridge vµ switch
* Chøc n¨ng chÝnh cña switch
* C¸c chÕ ®é chuyÓn m¹ch chÝnh cña switch
gian truyÒn
374
* TiÕn tr×nh häc ®Þa chØ cña switch
* TiÕn tr×nh läc frame
* MiÒn ®ông ®é va miÒn qu¶ng b¸.
375
CHƯƠNG 5: Switch
Giíi thiÖu
ThiÕt kÕ m¹ng lµ mét c«ng viÖc ®Çy th¸ch thøc chø kh«ng chØ ®¬n gi¶n lµ kÕt
nèi c¸c m¸y tÝnh l¹i víi nhau. Mét hÖ thèng m¹ng ph¶i cã nhiÒu ®Æc ®iÓm nh− ®é
tin cËy cao, dÔ dµng qu¶n lý vµ cã kh¶ n¨ng më réng. §Ó thiÕt kÕ mét hÖ thèng
m¹ng víi ®Çy ®ñ nh÷ng ®Æc ®iÓm nh− vËy th× ng−êi thiÕt kÕ m¹ng cÇn ph¶i biÕt
®−îc r»ng mçi thµnh phÇn chÝnh trong m¹ng cã mét yªu cÇu thiÕt kÕ riªng biÖt.
Sù c¶i tiÕn ho¹t ®éng cña c¸c thiÕt bÞ m¹ng vµ kh¶ n¨ng cña m«i tr−êng
m¹ng ®· lµm cho c«ng viÖc thiÕt kÕ m¹ng ngµy cµng trë nªn khã kh¨n h¬n. ViÖc sö
dông nhiÒu lo¹i m«i tr−êng truyÒn kh¸c nhau vµ kÕt nèi LAN víi nhiÒu m¹ng bªn
ngoµi ®· lµm cho m«i tr−êng m¹ng trë nªn phøc t¹p. Mét m¹ng ®−îc thiÕt kÕ tèt lµ
m¹ng ®ã ph¶i t¨ng hiÖu qu¶ ho¹t ®éng h¬n vµ Ýt cã trë ng¹i khi m¹ng ph¸t triÓn lín
h¬n.
Mét m¹ng LAN cã thÓ tr¶i réng trong mét phßng, trong mét toµ nhµ hay trªn
nhiÒu toµ nhµ. Mét nhãm c¸c toµ nhµ thuéc vÒ mét tc, mét ®¬n vÞ th× ®−îc xem nh−
lµ mét tr−êng ®¹i häc vËy. ViÖc thiÕt kÕ c¸c m¹ng LAN lín cÇn x¸c ®Þnh c¸c tÇng
nh− sau:
* TÇng truy cËp: kÕt nèi ng−êi dïng ®Çu cuèi vµo LAN
* TÇng ph© −êi dïng ®Çu
cuèi LAN
cã thÓ
Öm vô ®Æc biÖt cña tÇng ®ã. C¸c ®Æc ®iÓm, chøc n¨ng vµ yªu
n phèi: cung cÊp c¸c chÝnh s¸ch kÕt nèi gi÷a c¸c ng
* TÇng trôc chÝnh: cung cÊp kÕt nèi nhanh nhÊt gi÷a c¸c ®iÓm ph©n phèi.
Mçi mét tÇng trªn khi thiÕt kÕ cÇn ph¶i chän lùa switch phï hîp nhÊt ®Ó
thùc hiÖn nh÷ng nhi
376
cÇu kü thuËt cña mçi switch tuú thuéc vµo thiÕt kÕ cña mçi tÇng trong LAN. Do
®ã b¹n cÇn n¾m ®−îc vai trß cña mçi tÇng vµ chän lùa switch nh− thÕ nµo cho
phï hîp víi tõng tÇng ®Ó b¶o ®¶m ho¹t ®éng tèi −u cho ng−êi dïng trong LAN.
Sau khi hoµn tÊt ch−¬ng tr×nh nµy, c¸c b¹n cã thÓ thùc hiÖn ®−îc nh÷ng
viÖc sau:
* M« t¶ 4 môc tiªu chÝnh trong thiÕt kÕ LAN.
* LiÖt kª c¸c ®iÓm quan träng cÇn l−u ý khi thiÕt kÕ LAN.
* HiÓu ®−îc c¸c b−íc thiÕt kÕ hÖ thèng LAN
* HiÓu ®−îc c¸c vÊn ®Ò n¶y sinh trong thiÕt kÕ cÊu tróc 1,2 vµ 3.
* M« t¶ m« h×nh thiÕt kÕ 3 tÇng.
* X¸c ®Þnh chøc n¨ng cña tõng tÇng trong m« h×nh 3 tÇng nµy.
* LiÖt kª c¸c Cisco switch sö dông cho tÇng truy cËp vµ c¸c ®Æc ®iÓm cña
chóng.
* LiÖt kª c¸c Cisco switch sö dông cho tÇng ph©n phèi vµ c¸c ®Æc ®iÓm cña
chóng.
* LiÖt kª c¸c Cisco switch sö dông cho tÇng trôc chÝnh vµ c¸c ®Æc ®iÓm cña
chóng.
5.1. ThiÕt kÕ LAN
5.1.1. C¸c môc tiªu khi thiÕt kÕ LAN
B−íc ®Çu tiªn trong thiÕt kÕ LAN lµ thiÕt lËp vµ ghi l¹i c¸c môc tiªu cña viÖc
thiÕt kÕ. Mçi mét tr−êng hîp hay mçi mét tæ chøc sÏ cã nh÷ng môc tiªu riªng. Cßn
nh÷ng yªu cÇu sau lµ nh÷ng yªu cÇu th−êng gÆp trong hÇu hÕt c¸c thiÕt kÕ m¹ng:
377
* Kh¶ n¨ng ho¹t ®éng ®−îc: ®−¬ng nhiªn yªu cÇu tr−íc nhÊt lµ m¹ng ph¶i
ho¹t ®éng ®−îc. M¹ng ph¶i ®¸p øng ®−îc nh÷ng yªu cÇu c«ng viÖc cña ng−êi dïng,
cung cÊp kÕt nèi gi÷a user vµ user, gi÷a user víi c¸c øng dông
* Kh¶ n¨ng më réng: m¹ng ph¶i cã kh¶ n¨ng lín h¬n n÷a. ThiÕt kÕ ban ®Çu
cã thÓ ph¸t triÓn lín h¬n n÷a mµ kh«ng cÇn nh÷ng thay ®æi c¬ b¶n cña toµn bé thiÕt
kÕ.
* Kh¶ n¨ng thÝch øng: m¹ng ph¶i ®−îc thiÕt kÕ víi mét c¸i nh×n vÒ nh÷ng
kü thuËt ph¸t triÓn trong t−¬ng lai. M¹ng kh«ng nªn cã nh÷ng thµnh phÇn lµm giíi
h¹n viÖc triÓn khai c¸c c«ng nghÖ kü thuËt míi vÒ sau nµy.
* Kh¶ n¨ng qu¶n lý: m¹ng ph¶i ®−îc thiÕt kÕ ®Ó dÔ dµng qu¶n lý vµ theo
dâi nh»m ®¶m b¶o ho¹t ®éng æn ®Þnh cña hÖ thèng.
5.1
ng LAN ®· cã cña m×nh hoÆc lËp kÕ
ho¹
sù
Asynchoronous. Transfer Mode (ATM) ch¼ng h¹n, sù më réng nµy cßn lµ do cÊu
tróc phøc t¹p cña LAN khi sö dông chuyÓn m¹ch LAN vµ m¹ng LAN ¶o (VLAN).
g, bµn cÇn quan
t©m nh÷ng vÊn ®Ò sau khi thiÕt kÕ LAN:
* MiÒn qu¶ng b¸
.2. Nh÷ng ®iÒu cÇn quan t©m khi thiÕt kÕ LAN
Cã nhiÒu tæ chøc muèn n©ng cÊp m¹
ch thiÕt kÕ vµ triÓn khai m¹ng LAN míi. Sù më réng trong thiÕt kÕ LAN lµ do
ph¸t triÓn víi mét tèc ®é nhanh chãng cña c¸c c«ng nghÖ míi nh−
§Ó tèi ®a hiÖu qu¶ ho¹t ®éng vµ l−îng b¨ng th«ng kh¶ dôn
* Chøc n¨ng vµ vÞ trÝ ®Æt server
* VÊn ®Ò ph¸t hiÖn ®ông ®é
* Ph©n ®o¹n m¹ng
378
Server cung cÊp dÞch vô chia sÎ tËp tin, m¸y in, th«ng tin liªn l¹c vµ nhiÒu
h vô øng dông kh¸c, server kh«ng thùc hiÖn chøc n¨ng nh− mét m¸y tr¹m th«ng
êng. Server ch¹y c¸c hÖ ®iÒu hµnh ®Æc biÖt nh− NetWare, Windows NT, UNIX,
dÞc
th−
vµ Linux. Mçi server th−êng giµnh cho mét chøc n¨ng riªng nh− Emai hoÆc chia sÎ
tËp
Ser
thè hay DNS lµ nh÷ng dÞch vô mµ mäi ng−êi trong tæ
chø
nhã
nh−
dïn
dis
th« ãm lµ ë
tr¹m ph©n phèi trung gian gÇn nhãm ng−êi dïng mµ nã phôc vô nhÊt. Nh− vËy giao
−ëng
®Õn c¸c m¹ng kh¸c. LAN switch líp 2 ®Æt trong MDF vµ c¸c IDF nªn cã ®−êng
h¬n dµnh cho c¸c
tin.
Server cã thÓ ®−îc ph©n thµnh hai lo¹i: Server toµn hÖ thèng vµ server nhãm.
ver toµn hÖ thèng cung cÊp dÞch vô cña nã ®Ó dïng cho mäi ng−êi dïng trong hÖ
ng m¹ng. VÝ dô nh− Email
c ®Òu cÇn sö dông v× tÝnh chÊt tËp trung cña nh÷ng dÞch vô nµy. Cßn server
m th× chØ cung cÊp dÞch vô ®Ó phôc vô cho mét nhãm ng−êi dïng cô thÓ. VÝ dô
nh÷ng dÞch vô xö lý vµ chia sÎ tËp tin cã thÓ chØ phôc vô cho mét nhãm ng−êi
g nµo ®ã th«i.
Server toµn hÖ thèng nªn ®Æt ë tr¹m ph©n phèi chÝnh (MDF – Main
tribution facility). Giao th«ng h−íng ®Õn server toµn hÖ thèng chØ ®i qua MDF
i chø kh«ng ®i qua c¸c m¹ng kh¸c. N¬i ®Æt lý t−ëng cho c¸c server nh
th«ng ®Õn c¸c server nµy chØ ®i trong m¹ng riªng cña IDF ®ã mµ kh«ng ¶nh h
100 Mb/s hoÆc server.
379
Ethernet node sö dông CSMA/CD. Mçi node ®Òu ph¶i chó ý ®Õn tÊt c¶ c¸c
node kh¸c khi truy cËp vµo m«i tr−êng chia sÎ hay cßn gäi lµ miÒn ®ông ®é. NÕu
hai node truyÒn d÷ liÖu cïng mét lóc th× ®ông ®é sÏ x¶y ra. Khi ®ông ®é x¶y ra,
nh÷ng d÷ liÖu ®ang trªn ®−êng truyÒn sÏ bÞ huû bá vµ mét tÝn hiÖu b¸o nghÏn ®−îc
ph¸t ra trong mäi m¸y trong miÒn ®ông ®é. Sau ®ã c¸c node ph¶i chê trong mét
kho¶ng thêi gian ngÉu nhiªn råi míi truyÒn l¹i d÷ liÖu cña m×nh. §ông ®é x¶y ra
nhiÒu qu¸ cã thÓ gi¶m l−îng b¨ng th«ng kh¶ dung trong m¹ng xuèng kho¶ng 35 –
40%.
Do ®ã chóng ta cÇn chia nhá mét miÒn ®ông ®é thµnh nhiÒu miÒn ®ông ®é
nhá h¬n, gióp gi¶m miÒn ®ông ®é trªn mçi miÒn vµ t¨ng l−îng b¨ng th«ng kh¶
dông cho mçi user. B¹n cã thÓ sö dông c¸c thiÕt bÞ líp 2 nh− brigde vµ switch ®Ó
chia 1 LAN thµnh nhiÒu miÒn ®ông ®é nhá, cßn router ®−îc sö dông ®Ó chia nhá
m¹ng ë líp 3.
380
Gãi qu¶ng b¸ lµ gãi d÷ liÖu cã ®Þa chØ MAC ®Ých lµ: FF: FF: FF:FF:FF:FF.
MiÒn qu¶ng b¸ lµ tËp hîp c¸c thiÕt bÞ cã thÓ nhËn ®−îc gãi qu¶ng b¸ xuÊt ph¸t tõ
bÊt kú thiÕt bÞ nµo trong tËp hîp ®ã. TÊt c¶ c¸c thiÕt bÞ nhËn ®−îc ®Òu ph¶i xö lý
th«ng tin trong ®ã, viÖc xö lý gãi qu¶ng b¸ nµy lµm gi¶m l−îng b¨ng th«ng cña mçi
host.
ThiÕt bÞ líp 2 cã thÓ thu nhá kÝch th−íc miÒn ®ông ®é nh−ng kh«ngthÓ thu
nhá kÝch th−íc cña miÒn qu¶ng b¸. ChØ cã router míi cã thÓ võa thu nhá kÝch th−íc
miÒn ®ông ®é võa thu nhá kÝch th−íc miÒn qu¶ng b¸ ë líp 3.
381
5.1.3. Ph−¬ng ph¸p t
§Ó cã 1 m¹ng LAN ho¹t ®éng hiÖu qu¶ vµ ®¸p øng ®−îc nhu cÇu cña ng−êi
sö dông, LAN cÇn ®−îc thiÕt kÕ vµ triÓn khai theo 1 kÕ ho¹ch víi ®Çy ®ñ hÖ thèng
c¸c b−íc sau:
* Thu thËp c¸c yªu cÇu vµ mong ®îi cña ng−êi sö dông m¹ng
* Ph©n tÝch c¸c d÷ liÖu vµ c¸c yªu cÇu thu thËp ®−îc
* ThiÕt kÕ cÊu tróc LAN líp 1, 2 vµ 3
* Ghi nhËn l¹i c¸c b−íc triÓn khai m¹ng vËt lý vµ logic
Qu¸ tr×nh thu thËp th«ng tin sÏ gióp cho b¹n x¸c ®Þnh vµ lµm s¸ng tá nh÷ng
vÊn ®Ò hiÖn t¹i cña hÖ thèng m¹ng. Nh÷ng th«ng tin nµy cã thÓ bao gåm lÞch sö
ph¸t triÓn tæ chøc, t×nh tr¹ng hiÖn t¹i, dù ¸n ph¸t triÓn, chÝnh s¸ch ho¹t ®éng vµ
qu¶n lý, hÖ thèng v¨n phßng vµ ph−¬ng thøc lµm viÖc, quan ®iÓm cña nh÷ng ng−êi
sÏ sö dông m¹ng LAN. Sau ®©y lµ nh÷ng c©u b¹n nªn hái khi thu thËp th«ng tin:
* Nh÷ng ng−êi nµo sÏ sö dông hÖ thèng m¹ng
hiÕt kÕ LAN
382
* Kü n¨ng cña hä ë møc nµo?
* Quan ®iÓm cña hä vÒ m¸y tÝnh vµ c¸c øng dông m¸y tÝnh lµ g×?
* C¸c v¨n b¶n chÝnh s¸ch vÒ tæ chøc ®−îc ph¸t triÓn nh− thÕ nµo?
* Cã d÷ liÖu nµo cÇn c«ng bè trong ph¹m vi giíi h¹n kh«ng?
* Cã ho¹t ®éng nµo cÇn giíi h¹n kh«ng?
* Nh÷ng giao thøc nµo ®−îc phÐp ch¹y trªn m¹ng?
* CÇn hç trîc c¸c m¸y tÝnh ®Ó bµn kh«ng?
* Ai lµ ng−êi chÞu tr¸ch nhiÖm vÒ ®Þa chØ LAN? §Æt tªn, thiÕt kÕ cÊu tróc vµ
cÊu h×nh?
n vÒ nh©n lùc, phÇn cøng vµ phÇn mÒm cña tæ chøc lµ nh÷ng g×?
Nh÷ng nguån tµi nguyªn nµy hiÖn ®ang ®−îc liªn kÕt vµ chia sÎ nh− thÕ nµo?
phÝ vµ kho¶ng thêi gi n thiÕt kÕ LAN. Mét ®iÓm rÊt quan träng
mµ b¹n cÇn n¾m ®−îc lµ nh÷ng vÊn ®Ò ho¹t ®éng ®ang tån t¹i trong hÖ thèng m¹ng
®· cã.
TÝnh kh¶ dông ®o l−êng møc ®é h÷u Ých cña hÖ thèng m¹ng, cã nhiÒu yÕu tè
¶nh h−ëng ®Õn tÝnh kh¶ dông, bao gåm nh÷ng yÕu tè sau:
* Th«ng l−îng
* Thêi gian ®¸p øng
* Kh¶ n¨ng truy cËp vµo tµi nguyªn m¹ng
* Tµi nguyª
Nguån tµi chÝnh mµ tæ chøc cã thÓ dµnh cho m¹ng lµ bao nhiªu?
Ghi nhËn l¹i toµn bé c¸c yªu cÇu trªn cho phÐp chóng ta −íc l−îng ®−îc chi
an ®Ó triÓn khai dù ¸
383
Mçi kh¸ch hµng ®Òu cã ®Þnh nghÜa kh¸c nhau vÒ tÝnh kh¶ dông cña m¹ng. VÝ
dô: kh¸ch hµng cÇn truyÒn tho¹i vµ video trªn m¹ng. Nh÷ng dÞch vô nµy ®ßi hái
nhiÒu b¨ng th«ng h¬n l−îng b¨ng th«ng ®ang cã trªn m¹ng. §Ó t¨ng l−îng b¨ng
th«ng kh¶ dông, cÇn ph¶i thªm nhiÒu tµi nguyªn vµo m¹ng nh−ng nh− vËy th× chi
phÝ sÏ t¨ng theo. Do ®ã thiÕt kÕ m¹ng ph¶i lµm sao cung cÊp ®−îc kh¶ n¨ng sö
dông lín nhÊt víi chi phÝ thÊp nhÊt.
Sau khi ph©n tÝch vÒ tÝnh kh¶ dông, b−íc tiÕp theo lµ ph©n tÝch c¸c yªu cÇu
cña hÖ thèng m¹ng vµ ng−êi sö dông m¹ng ®ã. VÝ dô khi cµng cã nhiÒu øng dông
m¹ng vÒ tho¹i vµ video th× nhu cÇu vÒ b¨ng th«ng m¹ng cµng t¨ng lªn nhiÒu h¬n.
Mét thµnh phÇn n÷a trong b−íc ph©n tÝch nµy lµ ®¸nh gi¸ yªu cÇu cña ng−êi
dïng. Mét m¹ng LAN mµ kh«ng thÓ cung cÊp th«ng tin nhanh chãng vµ chÝnh x¸c
cho ng−êi sö dông lµ mét m¹ng LAN v« dông. Do ®ã yªu cÇu cña tæ chøc vµ yªu
cÇu cña c¸c nh©n viªn trong tæ chøc ®ã ph¶i gÆp nhau.
B−íc kÕ tiÕp lµ quyÕt ®Þnh cÊu tróc tæng thÓ cña LAN thÓ tho¶ m·n mäi yªu
cÇu cña ng−êi sö dông. Trong gi¸o ng ta chØ tËp trung vµo cÊu tróc
h×nh Sao vµ h×nh sao më réng. CÊu tróc h×nh Sao vµ h×nh sao më réng sö dông kü
thu
thè
ThiÕt kÕ cÊu tróc LAN cã thÓ ®−îc ph©n thµnh 3 b−íc theo 3 m« h×nh OSI
nh
vËt lý vµ luËn
lý cña hÖ thèng m¹ng. CÊu tróc vËt lý cña m¹ng lµ s¬ ®å kÕt nèi vËt lý cña c¸c
tr×nh nµy, chó
Ët Ethernet 802,3 CSMA/CD. CÊu tróc h×nh Sao CSMA/CD ®ang lµ cÊu h×nh
ng trÞ hiÖn nay.
− sau:
• Líp M¹ng
• Líp liªn kÕt d÷ liÖu
• Líp vËt lý
B−íc cuèi cïng trong thiÕt kÕ LAN lµ ghi nhËn l¹i c¸c cÊu tróc
384
thµ
m¹ng. Nã còng bao gåm c¶ s¬ ®å tªn vµ ®Þa chØ ®−îc sö dông trong thiÕt kÕ LAN.
nh phÇn trong m¹ng LAN. Cßn thiÕt kÕ luËn lý lµ c¸ch ph©n dßng d÷ liÖu trong
S¬ ®å thiÕt kÕ LAN
Hå s¬ thiÕt kÕ LAN bao gåm nh÷ng thµnh phÇn quan träng sau:
• S¬ ®å cÊu tróc theo líp OSI
• S¬ ®å LAN luËn lý
• S¬ ®å LAN vËt lý
• B¶ng ¸nh x¹ vÞ trÝ, ®Þa chØ vµ t×nh tr¹ng sö dông cña tõng thiÕt bÞ trong
LAN (cut - sheet)
• S¬ ®å VLAN luËn lý
• S¬ ®å luËn lý líp 3
• S¬ ®å ®Þa chØ
385
386
Mét trong nh÷ng phÇn quan träng nhÊt mµ b¹n cÇn quan t©m khi thiÕt kÕ
m¹ng lµ c¸p vËt lý. HiÖn nay, hÇu hÕt c¸p sö dông cho LAN ®Òu dùa trªn c«ng nghÖ
Fast Ethernet. Fast Ethernet lµ Ethernet ®−îc n©ng cÊp tõ 10Mb/s lªn 100 Mb/s vµ
cã kh¶ n¨ng ho¹t ®éng song c«ng. Fast Ethernet vÉn sö dông cÊu tróc luËn lý h×nh
bus h−íng qu¶ng b¸ chuÈn Ethernet cña 10BASE – T vµ ph−¬ng ph¸p CSMA/CD
cho ®Þa chØ MAC.
387
Nh÷ng vÊn ®Ò trong thiÕt kÕ líp 1 bao gåm lo¹i c¸p sö dông, th−êng lµ c¸p
®ång hay c¸p quang vµ cÊu tróc tæng thÓ cña hÖ thèng c¸p. Mçi tr−êng c¸p líp 1
cã nhiÒu lo¹i nh− 10/100 BASE – TX CAT5, 5e hoÆc 6 UTP, STP, 100 BASE –
FX c¸p quang vµ chuÈn TIA/EIA – 568 – A vÒ c¸ch bè trÝ vµ kÕt nèi d©y.
B¹n nªn ®¸nh gi¸ cÈn thËn ®iÓm m¹nh ®iÓm m¹nh vµ yÕu cña cÊu tróc m¹ng
v× mét hÖ thèng m¹ng tån t¹i víi chÝnh hÖ thèng c¸p bªn d−íi cña nã. HÇu hÕt c¸c
sù cè m¹ng ®Òu x¶y ra ë líp 1. Do ®ã khi cã bÊt kú dù ®Þnh thay ®æi quan träng nµo
th× b¹n cÇn kiÓm tra toµn bé hÖ thèng c¸p ®Ó x¸c ®Þnh khu vùc cÇn n©ng cÊp hoÆc ®i
d©y l¹i.
388
B¹n nªn sö dông c¸p quang cho c¸c ®−êng trôc chÝnh trong thiÕt kÕ c¸p UTP
CAT 5e nªn sö dông cho ®−êng c¸p horizotal, lµ nh÷ng ®−êng c¸p nèi tõ hép c¾m
d©y cña mçi host kÐo vÒ tr¹m tËp trung d©y. ViÖc n©ng cÊp c¸p cÇn ph¶i ®−îc thùc
hiÖn −u tiªn so víi c¸c thay ®æi cÇn thiÕt kh¸c. Ngoµi ra b¹n cÇn ®¶m b¶o lµ toµn bé
hÖ thèng c¸p t−¬ng thÝch víi chuÈn c«ng nghiÖp nh− chuÈn TIA/EIA – 568 – A
ch¼ng h¹n.
ChuÈn TIA/EIA – 568 – A quy ®Þnh r»ng mäi thiÕt bÞ trong m¹ng cÇn
®−îc kÕt nèi vµo mét vÞ trÝ trung t©m b»ng c¸p horizontal. Kho¶ng c¸ch giíi h¹n
cña c¸p CAT 5e lµ UTP lµ 100m.
Trong cÊu tróc h×nh sao ®¬n chØ cã mét tñ nèi d©y lµ MDF. Tõ hép c¾m d©y
cña mçi host (Outlet) Õt nèi vµo c¸c bé tËp
onnect patch panel) ®Æt trong MDF. Patch cord
ta kÐp c¸p horizaontal vÒ MDF råi k
trung d©y HCC (Horizontal Cross C
lµ nh÷ng sîi c¸p ng¾n ®−îc sö dông ®Ó kÕt nèi c¸p horizontal vµo por cña switch
líp 2. Tuú theo phiªn b¶n switch, ®−êng uplink sÏ kÕt nèi tõ switch vµo cæng
Ethernet cña router líp 3 b»ng c¸p patch cord. Nh− vËy lµ host ®Çu cuèi ®· cã kÕt
nèi vËt lý hoµn chØnh vµo cæng cña router.
389
Khi hÖ thèng m¹ng lín, cã nhiÒu host n»m ngoµi giíi h¹n 100m cña c¸p
hñ. Tñ nèi d©y thø hai ®−îc gäi lµ tr¹m ph©n
n 10 m cña c¸p CAT 5e UTP.
CAT 5e UTP th× b¹n cÇn cã nhiÒu h¬n mét tñ nèi d©y. B»ng c¸ch thiÕt lËp nhiÒu tñ
nèi d©y b¹n sÏ t¹o ra nhiÒu vïng bao p
phèi trung gian IDF (Intermediate distribution facilities). ChuÈn TIA/EIA – 568
– A quy ®Þnh r»ng IDF ®−îc kÕt nèi vµo MDF b»ng c¸p vertical hay cßn gäi lµ c¸p
trôc chÝnh (backbone). C¸p vertical ®−îc kÐo tõ IDF ®Õn MDF vµ ®−îc kÕt nèi vµo
bé tËp trung c¸p VCC (Vertical Cros Connect patch panel) ®Æt trong MDF. Chóng
ta th−êng sö dông c¸p quang cho ®−êng c¸p vertical v× ®−êng c¸p nµy th−êng dµi
h¬n giíi h¹
390
391
S¬ ®å luËn lý lµ s¬ ®å cÊu tróc m¹ng nh−ng kh«ng m« t¶ chÝnh x¸c c¸c chi
tiÕt å ®−êng ®i c¬ b¶n cña LAN bao
gåm
vÞ trÝ ®Æt MDF vµ IDF
•
dô:
thª
•
vµ
l¾p ®Æt ®−êng c¸p. S¬ ®å luËn lý chØ lµ s¬ ®
nh÷ng thµnh phÇn sau:
• X¸c ®Þnh
• Ghi l¹i lo¹i c¸p vµ sè l−îng sö dông ®Ó kÕt nèi c¸c IDF vµ MDF
Ghi l¹i sè l−îng c¸p ®Ó dµnh ®Ó t¨ng b¨ng th«ng gi÷a c¸c tñ nèi d©y. VÝ
nÕu c¸p vertical gi÷a IDF 1 vµ MDF ch¹y hÕt 80% th× sÏ sö dông
m 2 cÆp c¸p n÷a ®Ó t¨ng gÊp ®«i b»ng th«ng.
Cung cÊp hå s¬ chi tiÕt vÒ tÊt c¶ c¸c c¸p trong hÖ thèng, chØ sè danh ®Þnh
sè port cña chóng trªn HCC hoÆc VCC.
392
S¬
h×nh 5.1.4.h-
chó
nèi vµ
®Þn
thÓ 3 ®Ó thiÕt lËp l¹i kÕt
nèi
5.1
khiÓn luång, ph¸t hiÖn lçi, söa
lçi vµ gi¶m nghÏn m¹ch. Hai thiÕt bÞ líp 2 phæ biÕn nhÊt lµ bridge vµ switch. ThiÕt
bÞ l ®ông ®é.
®å luËn lý rÊt quan träng khi xö lý sù cè vÒ kÕt nèi m¹ng. VÝ dô nh− trªn
i: nÕu phßng 203 bÞ mÊt kÕt nèi th× b»ng c¸ch kiÓm tra trong cut sheet
ng ta sÏ x¸c ®Þnh ®−îc c¸p nèi tõ phßng nay ®Õn IDF lµ c¸p sè 203 – 1 vµ kÕt
o port sè 13 trªn HCC trong IDF. Sö dông ®ång hå ®o c¸p chóng ta sÏ x¸c
h ®o¹n c¸p nµy cã bÞ h− háng vÒ mÆt vËt lý hay kh«ng. NÕu cã th× chóng ta cã
sö dông 2 s¬i c¸p dù phßng cßn l¹i lµ 203 – 2 hoÆc 203 –
trong thêi gian chê söa ch÷a c¸p 203 – 1.
.5. ThiÕt kÕ líp 2.
Môc ®Ých cña thiÕt bÞ líp 2 trong m¹ng lµ ®iÒu
íp 2 sÏ quyÕt ®Þnh kÝch th−íc miÒn
§ông ®é vµ kÝch th−íc miÒn ®ông ®é lµ hai yÕu tè ¶nh h−ëng xÊu ®Õn hiÖu
qu¶ nªn chia nhá m¹ng thµnh c¸c miÒn ®ông
®é
(microsegment) b»ng switch vµ bridge ®Ó gi¶m ®ông ®é vµ kÝch th−íc miÒn ®ông
®é. Chóng ta cã thÓ sö dông switch kÕt hîp víi hub ®Ó cung cÊp møc ®é ho¹t ®éng
hîp lý
ho¹t ®éng cña m¹ng. Do ®ã chóng ta
cña m¹ng. Do ®ã chóng ta nªn chia nhá m¹ng thµnh c¸c miÒn ®ông ®é cùc nhá
cho mçi nhãm user vµ server kh¸c nhau.
393
M t ®Æc ®iÓm quan träng cña LAN switch é lµ nã cã thÓ ph©n bæ b¨ng th«ng
t 100Mb/s.
trªn tõng port. Nhê ®ã nã cã thÓ dµnh nhiÒu b¨ng th«ng h¬n cho ®−êng vertical,
uplink hoÆc ®−êng kÕt nèi vµo server. Lo¹i chuyÓn m¹ch nh− vËy gäi lµ chuyÓn
m¹ch bÊt ®èi xøng . ChuyÓn m¹ch bÊt ®èi xøng thùc hiÖn chuyÓn m¹ch gi÷a c¸c
port cã b¨ng th«ng kh«ng b»ng nhau, vÝ dô tõ port 10Mb/s sang por
§−êng vertical kÕt nèi tõ IDF ®Õn MDF ®Ó truyÒn d÷ liÖu gi÷a MDF vµ IDF.
Dung l−îng ®−êng vertical th−êng lín h¬n ®−êng horizontal. §−êng horizontal nèi
gi÷a IDF vµ m¸y tr¹m th−êng sö dông c¸p CAT 5e UTP vµ dµi kh«ng qu¸ 100mÐt.
Trong m«i tr−êng m¹ng th«ng th−êng, ®−êng horizontal cã b¨ng th«ng 10 Mb/s vµ
sö dông switch chuyÓn m¹ch bÊt ®èi xøng ®Ó kÕt hîp port 10 Mb/s vµ 100 Mb/s.
394
NhiÖm vô tiÕp theo lµ quyÕt ®Þnh sè l−îng port 10Mb/s vµ 100 Mb/s cÇn sö
dông trong MDF vµ mçi IDF. Ta cã thÓ quyÕt ®Þnh sè l−îng nµy dùa vµo yªu cÇu
cña user vÒ sè l−îng c¸p horizontal ®i vµo mçi phßng vµ tæng sè l−îng c¸p ®æ vµo
mçi vïng bao phñ. §ång thêi chóng ta còng tÝnh lu«n sè l−îng ®−êng vertical cÇn
thiÕ
IDF phôc vô cho mét vïng bao phñ gåm 18 phßng. Nh− vËy cÇn tæng céng lµ 4* 18
= 72 port trªn LAN switch trong mçi IDF.
−íc miÒn ®ông ®é x¸c ®Þnh bëi sè l−îng host ®−îc kÕt nèi vËt lý vµo
cïn
tõng host. Trong ®iÒu kiÖn lý t−ëng lµ ta kÕt nèi mét host vµo mét port cña switch
t¹o
hos
microsegment. NÕu kh«ng ®ñ ®iÒu kiÖn ®Ó lµm vËy th× b¹n cã thÓ sö dông hub ®Ó
kÕt c¸c host kÕt nèi vµo hub
trªn t b¨ng th«ng vµ cïng mét miÒn ®ông
®é.
t . VÝ dô: user yªu cÇu ph¶i cã 4 ®−êng horizontal ®i vµo mçi phßng. Mçi mét
KÝch th
g mét port cña switch. Tõ ®ã ta cã thÓ x¸c ®Þnh l−îng b¨ng th«ng kh¶ dông cho
thµnh mét microsegment chØ bao gåm host nguån vµ host ®Ých khi cã bÊt kú hai
t nµo thùc hiÖn th«ng tin liªn l¹c víi nhau. Do ®ã, kh«ng cã ®ông ®é trong
nèi nhiÒu host vµo mét port cña switch. Nh− vËy tÊt c¶
cïng mét port cña switch chia sÎ cïng mé
Do ®ã ®ông ®é cã thÓ x¶y ra.
395
− Catalyst 1700 ch¼ng h¹n kh«ng hç trî chia sÎ b¨ng
th«ng vµ miÒn ®ông ®é. Switch ®êi cò kh«ng l−u ®−îc nhiÒu ®Þa chØ MAC cho mét
port nªn hËu qu¶ lµ sinh ra nhiÒu qu¶ng b¸ vµ c¸c yªu cÇu ARP.
Mét sè switch ®êi cò nh
396
Ta th−êng sö dông hub ®Ó t¹o nhiÒu ®iÓm kÕt nèi ®Çu cuèi vµo mét ®−êng
c¸p
®ông ® o
yªu
horizontal. BiÖn ph¸p nµy cã thÓ chÊp nhËn ®−îc nh−ng nªn cÈn thËn v× miÒn
é nªn gi÷ æ kÝch th−íc nhá ®Ó cung cÊp ®ñ l−îng b¨ng th«ng cho host the
cÇu cña thiÕt kÕ.
397
t bÞ m¹nh nhÊt
trong cÊu tróc m¹ng.
kh¸c.
chia hÖ thèng m¹ng thµnh c¸c subnet theo ®Þa chØ líp 3.
Router lµ thiÕt bÞ líp 3 vµ ®−îc coi lµ mét trong nh÷ng thiÕ
ThiÕt bÞ líp 3 ®−îc sö dông ®Ó chia m¹ng LAN thµnh nhiÒu m¹ng riªng biÖt.
ThiÕt bÞ líp 3 cho phÐp th«ng tin liªn l¹c gi÷a 2 m¹ng th«ng qua ®Þa chØ líp 3, vÝ dô
nh− ®Þa chØ IP. TriÓn khai thiÕt bÞ líp 3 cho phÐp chia nhá m¹ng LAN vÒ mÆt vËt lý
vµ luËn lý. Router cßn cã thÓ kÕt nèi WAN nh− nèi ra Internet ch¼ng h¹n.
§Þnh tuyÕn líp 3 ph©n luång giao th«ng gi÷a c¸c m¹ng vËt lý dùa trªn ®Þa
chØ líp 3. Router kh«ng chuyÓn tiÕp c¸c gãi qu¶ng b¸ vÝ dô nh− gãi yªu cÇu ARP
ch¼ng h¹n. Do ®ã mçi cæng trªn router ®−îc xem lµ cöa vµo vµ cöa ra cña mét miÒn
qu¶ng b¸, lµ n¬i kÕt thóc cña qu¶ng b¸, ng¨n kh«ng cho qu¶ng b¸ sang c¸c m¹ng
Router ®−îc xem lµ bøc t−êng löa ®èi víi gãi qu¶ng b¸. Ngoµi ra router cßn
Khi b¹n muèn quyÕt ®Þnh sö dông router hay switch ë ®©u th× b¹n nªn nhí
c©u hái sau: “VÊn ®Ò mµ b¹n ®ang cÇn gi¶i quyÕt ë ®ã lµ g×?” NÕu vÊn ®Ò liªn quan
®Õn giao thøc h¬n lµ sù tranh chÊp th× router lµ gi¶i ph¸p phï hîp. Router cã thÓ
gi¶i quyÕt c¸c vÊn ®Ò liªn quan ®Õn møc ®é qu¶ng b¸ qu¸ nhiÒu, giao thøc kh«ng
c©n ®èi, c¸c vÊn ®Ò vÒ b¶o mËt vµ ®Þa chØ líp m¹ng. Router m¾c tiÒn h¬n vµ khã
cÊu h×nh h¬n so víi switch.
398
H×nh 5.1.5.b lµ mét vÝ dô vÒ hÖ thèng m¹ng cã nhiÒu m¹ng vËt lý kh¸c nhau.
n M¹ng 2 ®Òu ph¶i ®i qua router. Trong h×nh nµy, chóng
s¬ ®å ®Þa chØ líp 3 riªng biÖt. Trong s¬
®å ®i d©y c¸c líp 1, mçi m¹ng vËt lý ®−îc t¹o ra dÔ dµng b»ng c¸ch kÕt nèi c¸p
tæng qu¸t vÒ hÖ thèng m¹ng vµ ¸nh x¹ chóng vµo s¬ ®å vËt lý ®Ó sö dông khi xö lý
cè.
Mäi d÷ liÖu tõ M¹ng 1 ®Õ
ta cã hai miÒn qu¶ng b¸. Mçi miÒn cã mét
horizontal vµ vertical vµo switch líp 2. Sau ®ã c¸c m¹ng vËt lý nµy ®−îc kÕt nèi vµo
router lµm t¨ng kh¶ n¨ng b¶o mËt h¬n v× mäi giao th«ng ®i vµo hoÆc ®i ra mét
LAN ®Òu ph¶i qua router.
Sau khi b¹n ®· chia s¬ ®å IP cho client xong th× b¹n nªn lËp hå s¬ ®Ó ghi
nhËn l¹i mét c¸ch râ rµng vµ ®Çy ®ñ. B¹n nªn ®Æt mét sè quy −íc chung cho nh÷ng
®Þa chØ cña c¸c host quan träng trong m¹ng. S¬ ®å ®Þa chØ cÇn ®−îc thèng nhÊt vµ
hoµ hîp trªn toµn bé hÖ thèng m¹ng. B¹n nªn lËp hå s¬ ®Þa chØ ®Ó cã mét c¸i nh×n
sù
399
400
VLAN lµ mét kü thuËt kÕt hîp chuyÓn m¹ch líp 2 vµ ®Þnh tuyÕn líp 3 ®Ó
giíi h¹n miÒn ®ông ®é vµ miÒn qu¶ng b¸. VLAN cßn ®−îc sö dông ®Ó b¶o mËt
gi÷a c¸c nhãm VLAN theo chøc n¨ng cña mçi nhãm.
• Ph©n nhãm user theo phßng ban, ®éi nhãm vµ c¸c øng dông th−êng dïng.
• Router cung cÊp th«ng tin liªn l¹c gi÷a c¸c VLAN víi nhau.
401
C¸c port vËt lý ®−îc nhãm vµo mét VLAN. VÝ dô nh− h×nh 5.1.5.h, port P1,
P4, P5 ®−îc nhãm vµo VLAN.1. VLAN.2 cã c¸c port P2, P3, P5. Th«ng tin liªn l¹c
gi÷a VLAN.1. VLAN.2 b¾t buéc ph¶i th«ng qua router. Nhê vËy kÝch th−íc miÒn
®ông ®é gi¶m xuèng vµ router lµ n¬i quyÕt ®Þnh cho VLAN.1. vµ VLAN.2 cã thÓ
nãi chuyÖn víi nhau.
5.2. LAN switch
5.2.1. ChuyÓn
−îc c¸c yªu cÇu cña mét tæ chøc
èi
m¹ch LAN vµ tæng qu¸t vÒ tÇng truy cËp
§Ó x©y dùng mét m¹ng LAN tho¶ m·n ®
võa vµ lín, b¹n cÇn sö dông m« h×nh thiÕt kÕ ph©n cÊp. M« h×nh thiÕt kÕ ph©n cÊp
sÏ lµm cho thiÕt kÕ m¹ng thay ®æi dÔ dµng khi tæ chøc ph¸t triÓn lín h¬n n÷a. M«
h×nh nµy cã 3 tÇng nh− sau:
• TÇn truy cËp: Cung cÊp kÕt nèi vµo hÖ thèng m¹ng cho user
• TÇng ph©n phèi: Cung cÊp chÝnh s¸ch kÕt n
• TÇng trôc chÝnh: Cung cÊp vËn chuyÓn tèi −u gi÷a c¸c site
402
M« h×nh ph©n cÊp nµy cã thÓ ¸p dông cho bÊt kú thiÕt kÕ m¹ng nµo. §iÒu
quan träng lµm b¹n cÇn thÊy r»ng 3 tÇng nµy tån t¹i víi thµnh phÇn vËt lý riªng
biÖt, râ rµng. Mçi tÇng ®−îc ®Þnh nghÜa ®Ó ®¹i diÖn cho nh÷ng chøc n¨ng mµ chóng
t
erver m¸y tÝnh ®ã sÏ ®−îc dµnh trän b¨ng th«ng trªn
nèi vµo hub ®ã.
Chøc n¨ng cña tÇng truy cËp cßn bao gåm c¶ läc líp MAC vµ thùc hiÖn ph©n
®o¹n cùc nhá. Läc líp MAC cã nghÜa lµ switch chØ chuyÓn frame ra ®óng port kÕt
nèi vµo thiÕt bÞ ®Ých mµ th«i. Switch cßn cã thÓ t¹o ra c¸c segment líp 2 rÊt nhá gäi
lµ microsegment. Mçi segment nh− vËy chØ cã 2 thiÕt bÞ. §©y lµ kÝch th−íc nhá
nhÊt cã thÓ ®−îc cña mét miÒn ®ông ®é.
thùc hiÖn trong m¹ng.
TÇng truy cËp lµ ®iÓm kÕt nèi vµo m¹ng cña m¸y tr¹m vµ server. Trong LAN,
thiÕt bÞ ®−îc sö dông ë tÇng truy cËp cã thÓ lµ switch hoÆc hub.
NÕu sö dông hub th× b¨ng th«ng sÏ bÞ chia sÎ. NÕu sö dông switch th× b¨ng
th«ng sÏ ®−îc dµnh riªng cho mçi port. NÕu chóng ta nèi mét m¸y tr¹m hoÆc mé
s vµo mét port cña switch th×
kÕt nèi cña port ®ã. NÕu kÕt nèi hub vµo mét port cña switch th× b¨ng th«ng trªn
port ®ã sÏ chia sÎ cho mäi thiÕt bÞ kÕt
403
5.2.2. Switch sö dông ë tÇng truy cËp
Switch tÇng truy cËp ho¹t ®éng ë líp 2 cña m« h×nh OSI vµ cung cÊp mét sè
Þch vô nh− VLAN ch¼ng h¹n. Môc tiªu chÝnh cña switch tÇng truy cËp lµ cho phÐp
ng−êi dïng ®Çu cuèi truy cËp vµo m¹ng. B¹n nªn chän switch tÇng truy cËp thùc
hiÖn chøc n¨ng nµy víi chi phÝ thÊp vµ ®é c¶m nhËn trªn port cao.
Sau ®©y lµ mét sè dßng switch cña Cisco th−êng ®−îc dïng ë tÇng truy cËp:
• Catalyst 1900
• Catalyst 2820
• Catalyst 2950
• Catalyst 4000
• Catalyst 5000
Dßng Catalyst 1900 vµ 2820 lµ nh÷ng thiÕt bÞ truy cËp hiÖu qu¶ cho hÖ thèng
m¹ng võa vµ nhá. Dßng switch Catalyst 2950 cung cÊp ®−êng truy cËp hiÖu qu¶
¬n cho server vµ nhiÒu b¨ng th«ng h¬n cho ng−êi dïng nhê c¸c port Fast Ethernet.
ßng Catalyst 4000 vµ 5000 cã port Gigabit Ethernet lµ thiÕt bÞ ®Ó truy cËp hiÖu
qu¶ cho c¸c m¹ng lín.
d
h
D
404
405
TÇng ph©n phèi n»m gi÷a tÇng truy cËp vµ tÇng trôc chÝnh gióp x¸c ®Þnh vµ
cho phÐp c¸c gãi d÷ liÖu ®−îc di chuyÓn trong ®ã. ë tÇng nµy, hÖ thèng m¹ng ®−îc
• X¸c ®Þnh miÒn qu¶ng b¸ hay miÒn multicast
ph©n biÖt víi hÖ thèng trôc chÝnh. Môc tiªu cña tÇng ph©n phèi lµ cung cÊp giíi h¹n
chia thµnh nhiÒu miÒn qu¶ng b¸, ®ång thêi ¸p dông c¸c chÝnh s¸ch vÒ truy cËp, läc
gãi d÷ liÖu t¹i ®©y. TÇng ph©n phèi gióp c« lËp sù cè trong ph¹m vi mét nhãm vµ
ng¨n kh«ng cho sù cè t¸c ®éng vµo tÇng trôc chÝnh. Switch trong tÇng nµy ho¹t
®éng ë líp 2 vµ 3 cña m« h×nh OSI. Tãm l¹i, tÇng ph©n phèi thùc hiÖn c¸c chøc
n¨ng sau:
• §Þnh tuyÕn VLAN
406
• ChuyÓn ®æi m«i tr−êng m¹ng nÕu cÇn
• B¶o mËt.
5.2.4. Switch sö dông ë tÇng ph©n phèi:
Switch tÇng ph©n phèi lµ ®iÓm tËp trung cho c¸c switch tÇng truy cËp. Do ®ã,
c¸c switch tÇng nµy ph¶i g¸nh toµn bé l−îng giao th«ng tõ c¸c thiÕt bÞ tÇng truy cËp
nªn chóng ph¶i cã n¨ng lùc ho¹t ®éng cao. Switch tÇng ph©n phèi lµ ®iÓm kÕt thóc
cho miÒn qu¶ng b¸. TÇng nµy tËp trung giao th«ng cña VLAN vµ c¸c chÝnh s¸ch ®Ó
quyÕt ®Þnh dßng ch¶y cña giao th«ng. Do ®ã, switch cña tÇng ph©n phèi ho¹t ®éng
ë c¶ líp 2 vµ 3 trong m« h×nh OSI. Switch trong tÇng nµy th−êng lµ switch ®a líp.
Switch ®a líp lµ sù kÕt hîp chøc n¨ng cña router vµ switch vµo chung trong mét
thiÕt bÞ. Chóng ®−îc thiÕt kÕ ®Ó chuyÓn m¹ch giao th«ng víi hiÖu suÊt ho¹t ®éng
cao h¬n mét router th«ng th−êng. NÕu c¸c switch nµy kh«ng cã router module g¾n
trong nã th× b¹n cã c hiÖn chøc n¨ng
p 3.
i:
thÓ sö dông mét router riªng bªn ngoµi ®Ó thù
lí
Sau ®©y lµ c¸c dßng switch cña Cisco phï hîp víi tÇng ph©n phè
• Catalyst 2926G
• Catalyst 5000
• Catalyst 6000
407
4.1.1. Tæng qu¸t vÒ tÇng trôc chÝnh:
TÇng trôc chÝnh ®−îc chuyÓn m¹ch tèc ®é cao. NÕu switch tÇng nµy kh«ng cã
router module g¾n trong th× b¹n cã thÓ sö dông router riªng bªn ngoµi ®Ó thùc
hiÖn c¸c chøc n¨ng líp 3. TÇng nµy ®−îc thiÕt kÕ lµ kh«ng thùc hiÖn bÊt kú ho¹t
®éng c¶n trë gãi nµo v× nh÷ng ho¹t ®éng c¶n trë gãi d÷ liÖu nh− danh s¸ch kiÓm
tra truy cËp ch¼ng h¹n sÏ lµm chËm tèc ®é chuyÓn m¹ch gãi. CÊu tróc tÇng trôc
chÝnh nªn cã c¸c ®−êng dù phßng ®Ó æn ®Þnh ho¹t ®éng m¹ng, tr¸nh t×nh tr¹ng
chØ cã mét ®iÓm trung t©m duy nhÊt.
TÇng trôc chÝnh ®−îc thiÕt kÕ sö dông chuyÓn m¹ch líp 2 hoÆc líp 3. B¹n cã
thÓ sö dông switch ATM hoÆc Ethernet cho tÇng nµy.
5.2.6. Switch sö dông ë tÇng trôc chÝnh.
TÇng trôc chÝnh lµ x−¬ng sèng cña hÖ thèng m¹ng. Switch trong tÇng nµy cã thÓ
sö dông mét sè c«ng nghÖ líp 2. NÕu kho¶ng c¸ch gi÷a c¸c switch cã thÓ sö
dông c«ng nghÖ Ethernet. Mét sè c«ng nghÖ líp 2 kh¸c nh− chuyÓn m¹ch tÕ bµo
ATM (Asynchoronous Transfer Mode) còng cã thÓ ®−îc sö dông. Trong thiÕt kÕ
m¹ng, tÇng trôc chÝnh còng cã thÓ ®Þnh tuyÕn líp 3 nÕu cÇn thiÕt. Khi chän lùa
¶ switch cho tÇng nµy b¹n cÇn quan t©m ®Õn nh÷ng yÕu tè nh− sù cÇn thiÕt, gi¸ c
vµ kh¶ n¨ng ho¹t ®éng.
Sau ®©y lµ mét sè dßng Switch cña Cosco phï hîp cho tÇng trôc chÝnh:
408
• Catalyst 6500
• Catalyst 8500
• IGX 8400
• Lighstream 1010
409
Tæng kÕt
Sau khi kÕt thóc ch−¬ng tr×nh nµy, b¹n cÇn n¾m ®−îc c¸c ®iÓm quan
träng sau:
• Bèn môc tiªu chÝnh trong thiÕt kÕ LAN
• C¸c vÊn ®Ò cÇn quan t©m chÝnh yÕu trong thiÕt kÕ LAN.
• Nh÷ng vÊn ®Ò trong thiÕt kÕ Líp 1, 2 vµ 3.
• M« h×nh thiÕt kÕ 3 tÇng
• Chøc n¨ng cña mçi tÇng trong m« h×nh 3 tÇng nµy
• Cisco switch trong tÇng truy cËp vµ c¸c ®Æc ®iÓm cña chóng.
• Cisco switch trong tÇng ph©n phèi vµ c¸c ®Æc ®iÓm cña chóng
• Cisco switch trong tÇng trôc chÝnh vµ c¸c ®Æc ®iÓm cña chóng
- Kiểm tra các hiển thị của quá trình khởi động switch bằng HyperTerminal.
- Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh.
- Liệt kê các ch
- Kiểm tra cấu hình mặc định của Catalyst switch.
• C¸c b−íc trong thiÕt kÕ LAN
ế độ dòng lệnh cơ bản của switch.
410
- Đặt địa chỉ IP và cổng mặc định cho switch để cho phép kết nối và quản lý
switch qua mạng.
- Xem các cài đặt trên switch bằng một trình duyệt Web.
- Cài đặt tốc độ và hoạt động song công trên port của switch.
- Kiểm tra và quản lý bảng địa chỉ MAC của switch
- Cấu hình bảo vệ port.
- Quản lý tập tin cấu hình và IOS.
- Thực hiện khôi phục mật mã trên switch
- Nâng cấp IOS của switch.
6
6.1.1. Bắt đầu với phần vật lý của switch
.1. Bắt đầu với switch
Switch là một máy tính đặc biệt cũng có bộ xử lý trung tâm (CPU), RAM (Random
access memory), và hệ điều hành. Switch có các port dành cho mục đích kết nối
host và có một số port đặc biệt chỉ dành cho mục đích quản lý switch. Bạn có thể
xem và thay đổi cấu hình switch bằng cách kết nối vào cổng console.
Switch thường không có công tắc điện để bật tắt mà nó chỉ có cắm dây điện hay
không cắm dây điện mà thôi.
411
6 Đèn báo hiệu LED trên switch
.1.2.
ặt tr
theo dõi switchự hoạt động của switch :
•
•
• Port Mode LED: LED chế độ port.
•
rt, hiển thị trạng thái của port đó tùy theo chế độ hiển thị
LE c cấp nguồn và hoạt động tốt,
RP
ạng thái port.
Để chọn các chế độ hiển thị trạng thái khác nhau, bạn nhấn nút Mode một hoặc
LED chế
độ port
Màu của các
LED trạng thái
trên từng port
Mô tả
M ước của switch có một sô đèn báo hiệu LED ( Light-Emitting Diode) giúp
bạn
System LED: LED hệ thống.
Remote Power Supply (RPS): LED nguồn điện từ xa.
Port Status LED: LED trạng thái port. Mỗi port của switch có một đèn LED
nằm ở phía trên po
được cài đặt ở nút Mode.
D hệ thống cho biết hệ thống đã đượ
S LED cho biết switch có sử dụng bộ nguồn bên ngoài hay không.
LED chế độ port cho biết chế độ hiển thị hiện tại của các LED tr
nhiều lần cho đến khi LED chế độ port hiển thị đúng chế độ mà bạn muốn.
LED trạng thái port hiển thị các giá trị khác nhau tùy theo chế độ được cài đặt
trên nút Mode.
Tắt Không có kết nối
Màu xanh
Kết nối đang hoạt động
STAT
(Trạng
thái hoạt
động)
Màu xanh nhấp
nháy
Port đang truyền và nhận dữ liệu
412
Lúc màu xanh lúc
màu cam
Kết nối đang bị lỗi
Màu cam
Port không thực hiện chuyển gói vì nó đã bị tắt
chức năng này, hoặc có địa chỉ bị vi phạm cấu
hình, hoặc bị khóa do giao thức Spanning Tree.
Tắt Cứ mỗi một LED trên mỗi port bị tắt có nghĩa là
tổng băng thông sử
dụng giảm xuống một nửa.
Các đèn LED sẽ được tắt lần lượt từ phải sang
trái. Nếu một LED đầu tiên bên phải bị tắt có
nghĩa là switch đang sử dụng dưới 50% tổng
băng thông. Nếu 2 LED đầu tiên bên phải bị tắt
có nghĩa là switch đang sử dụng dưới 25% tổng
băng thông.
UTL
(mức độ
oạt đ
Màu xanh Nếu tất cả các LED trên port đều xanh có nghĩa
là switch đang sử dụng >= 50% tổng băng thông
h ộng
của
switch )
Tắt Port tương ứng đang ở chế độ bán song công (
half-dupplex)
FDUP
(Full-
duplex) Màu xanh Port tương ứng đang ở chế độ song công
Tắt Port tương ứng đang hoạt động ở tốc độ 0Mb/s 1 100
(Tốc độ) Màu xanh Port tương ứng đang hoạt động ở tốc độ 100Mb/s
413
6.1.3. Kiểm tra LED trong suốt quá trình khởi động switch
Khi bắt đầu cắm điện, switch sẽ tiến hành một loạt các bước kiểm tra gọi là tự
kiểm tra khi bật nguồn POST ( Power-On Self Test). POST tự động kiểm tra
các thành phần phần cứng để đảm bảo switch hoạt động đúng. LED hệ thống sẽ
cho biết quá trình POST kết thúc thành công hay bị lỗi. Khi switch mới được
cắm điện, quá trình POST đang chạy thì LED hệ thống còn tắt. Nếu sau đó LED
hệ thống bật lên màu xanh có nghĩa là quá trình POST đã kết thúc thành công.
Nếu LED hệ thống bật lên màu vàng có nghĩa là quá trình POST đã gặp lỗi.
POST gặp lỗi thường là những lỗi vật lý nghiêm trọng. switch không thể hoạt
động tin cậy nếu POST bị lỗi.
trạng thái trên mỗi 30 giây là quá trinhd
switch đang phát hiện cấu trúc mạng và dò tìm vòng lặp. Nếu sau đó LED trạng
thái trên port chuyển sang màu xanh có nghĩa switch đã thiết lập được kết nối
trê thái trên port tắt có nghĩa là
sw
switch, bạn cần kết nối một máy tính
vào switch để thiết lập phiên giao tiếp. Bạn có thể dùng cáp rollover để nối từ
cổn
LED trạng thái của các port cũng thay đổi trong suốt quá trình POST. LED
port sẽ bật lên màu cam trong khoảng
n port đó với hệ thống mạng. Nếu LED trạng
itch nhận thấy không có gì cắm vào port này cả.
6.1.4. Xem các thông tin hiển thị trong quá trình khởi động switch
Để cấu hình hoặc kiểm tra trạng thái của
g console ở mặt sau của switch vào cổng COM trên máy tính.
414
Hình 6.1.4.a. Kết nối máy tính vào cổng console của switch
Hình 6.1.4.b
415
Sau
mà bạn kết nối máy tính
vào
đó bạn chạy HyperTerminal trên máy tính. Trước tiên, bạn phải đặt tên cho
kết nối để bắt đầu cấu hình phiên giao tiếp HyperTerminal với switch. Sau đó
bạn gặp hộp thoại như hình 6.1.4.b, chọn cổng COM
switch rồi nhấn nút OK. Bạn gặp một hộp thoại tiếp theo như hình 6.1.4.c,
chọn các thông số như trên hình rồi ấn nút OK.
416
Hình 6.1.4.c. Cài đặt thông số cho HyperTerminal
Cắm điện cho switch. Các thông tin về quá trình khởi động switch sẽ hiện ra
trên màn hình HyperTerminal. Những thông tin này bao gồm thông tin về
switch, chi tiết về trạng thái POST và dữ liệu về phần cứng của switch.
417
Sau khi switch hoàn tất quá trình POST và khởi động xong, dấu nhắc của phần
đối thoại cấu hình hệ thông sẽ xuất hiện. Bạn có thể cấu hình switch bằng tay
hoặc với sự trợ giúp của phần đối thoại cấu hình. Phần đối thoại cấu hình trên
switch đơn giản hơn trên router.
418
Hình 6.1.4.d. Thông tin hiển thị của quá trình khởi động switch .
6.1.5. Chức năng trợ giúp của giao tiếp CLI trên switch
Giao tiếp dòng lệnh (CLI-Command-Line Interface) của Cisco switch rất giống
với giao tiếp dòng lệnh của Cisco router.
Lệnh help có thể được gọi một cách ngắn gọn bằng dấu chấm hỏi (?). Khi bạn
nhập dấu chấm hỏi tại dấu nhắc của hệ thống, switch sẽ hiển thị danh sách các
lện
Hình 6.1.5. Lệnh help trong chế độ EXEC người dùng.
Lệnh help có thể được sử dụng một cách linh hoạt. Để tìm danh sách các lệnh
bắt đầu với các ký tự mà bạn cần, bạn nhập các ký tự đó rồi liền tiêp sau đó là
dấu chấm hỏi (?), không chừa khoảng trắng giữa các ký tự với dấu chấm hỏi.
Khi đó bạn sẽ có kết quả hiển thị là danh sách các câu lệnh bắt đầu bằng các ký
tự mà bạn vừa mới nhập vào.
h mà bạn có thể sử dụng trong chế độ dòng lệnh hiện tại bạn đang ở.
419
Để hiện thị các từ khóa hoặc các tham số của một lệnh nào đó, bạn nhập câu
lệnh đó, cách một khoảng trắng rồi điền dấu chấm hỏi (?). switch sẽ hiện thị
các từ khóa hoặc tham số được sử dụng tại vị trí của dấu chấm hỏi trong câu
lệnh đó.
6.1.6. Các chế độ dòng lệnh của switch
Switch có một chế độ dòng lệnh. Chế độ mặc định là chế độ EXEC người dùng.
Chế độ này có dấu nhắc đại diện lớn hơn (>). Các lệnh trong chế độ EXEC
người dùng rất giới hạn trong việc thay đổi cài đặt đầu cuối, kiểm tra cơ bản và
hiện thị thông tin hệ thống.
Lệnh enable được sử dụng để di chuyển từ chế độ EXEC người dùng sang chế
độ EXEC đặc quyền. Chế độ EXEC đặc quyền có dấu nhắc là dấu thăng (#).
Các lệnh sử dụng được trong chế độ này cũng bao gồm tất cả các lệ h của chế
độ EXEC e cho phép
bạn truy cập vào các chế độ cấu hình sâu hơn. Bắt đầu từ chế độ EXEC đặc
ạn có thể cấu hình switch , do đó chế độ này cần được bảo vệ bằng
đặt mật
mã thì bạn sẽ được yêu cầu nhập mật mã trước khi vào được chế độ EXEC đặc
qu
Lệnh Giải thích
n
người dùng và còn có thêm lệnh configure. Lệnh configur
quyền là b
mật mã để cấm việc sử dụng ngoài ý muốn. Nếu người quản trị mạng
yền. Khi bạn nhập mật mã, mật mã se không hiển thị trên màn hình.
Show version Xem các thông tin về phần cứng và phần
xác
ule nào, phần
mềm nào.
mềm. Được sử dụng để xác định chính
switch đang sử dụng mod
Show running-config Hiển thị tập tin cấu hình đang chạy của
switch
Show interfaces Hiển thị trạng thái hoạt động của mỗi port,
số lượng gói vào/ra và bị lỗi trên port đó.
Show interface status Hiển thị chế độ hoạt động của port
420
Show controllers ethernet- Xem số lượng frame bị hủy bỏ, bị
controller
trì hoãn,
bị lỗi, bị đụng độ…
Show port Xem thông tin về quá trình tự kiểm tra khi
t nguồn của switch (POST) bậ
6.2
u hình mặc định của Catalyst switch
Khi mới cắm điện lần đầu tiên, switch chỉ có tập tin cấu hình mặc định. Tên
mặc định của switch là Switch . Không mật mã nào được cài đặt ở đường
console và vty.
. Cấu hình switch
6.2.1. Kiểm tra cấ
Hình 6.2.1.a. Cấu hình mặc định của switch
421
Bạn nên đặt mộ trên cổng giả lập VLAN 1 để quản lý
ặc định là switch không có địa chỉ IP nào cả.
Tất cả các port của switch được đặt ở chế độ tự động và đều nằm trong VLAN
1.
t địa chỉ IP cho switch
switch. M
VLAN 1 và VLAN quản lý theo mặc định của switch.
Mặc định, trong thư mục flash lưu IOS, có một file tên là env_vars và một thư
mục con tên là html. Sau khi switch đã được cấu hình, trong thư mục này sẽ có
thêm tập tin config.text và vlan.dat là tập tin cơ sở dữ liệu của VLAN.
Hình 6.2.1.b. Đặc điểm mặc định của các port trên switch
422
Hình 6.2.1.c. Cấu hình mặc định của VLAN
423
Hình 6.2.1.d. Nội dung mặc định của thư mục flash.
Bạn có thể kiểm tra phiên bản IOS và giá trị cho thanh ghi cấu hình bằng lệnh
sho
ặc
nhiên chạy tự động trên switch cho phép switch xây dựng cấu trúc không vòng
lặp trên toàn bộ mạng LAN.
w version.
Mặc định, switch chỉ có một miền quảng bá và chúng ta chỉ có thể quản lý và
cấu hình switch thông qua cổng console. Giao thức Spanning-Tree cũng m
424
Hình 6.2.1.e
Đối với mạng nhỏ thì cấu hình mặc đinh là đủ. Switch vẫn thực hiện
microsegment ngay, không cần cấu hình gì thêm.
6.2
hế đô EXEC người dùng hoặc chế độ EXEC đặc quyền. Để có thể
Tro đặc
quyền là Switch#, còn của chế độ EXEC người dùng là Switch>.
.2. Cấu hình Catalyst switch
Switch có thể đã được cấu hình trước đó và chúng ta có thể cần phải có mật mã
để vào được c
cấu hình switch chúng ta phải bắt đầu từ chế độ EXEC đặc quyền.
ng giao tiếp dòng lệnh (CLI), dấu nhắc mặc định của chế độ EXEC
425
Sa
• Xóa mọi thông tin về cơ sở dữ liệu đang có của VLAN bằng các xóa tập
tin startup-
config.
u đây là các bứớc bạn cần thực hiện để đảm bảo là cấu hình mới sẽ được thay
thế cho cấu hình cũ:
tin vlan.dat trong thư mục flash.
• Xóa tập tin cấu hình dự phòng của switch bằng cách xóa tập
• Khởi động lại switch .
Hình 6.2.2.a Xóa mọi cấu hình cũ trên switch
Ghi hồ sơ, bảo mật và quản lý là những công việc hết sức quan trọng đối với mọi
thiết bị mạng.
Chúng ta nên đặt tên cho switch và đặt mật mã cho đường console và vty.
Để có thể truy cập vào switch bằng Telnet hay bằng các ứng dụng TCP/IP khác thì
bạn cần đặt một địa chỉ IP và kh witch . VLAN 1 là
VLAN quản lý mặc định của switch. Tất cả các thiết bị mạng đều được đặt trong
ai báodefault gateway cho s
VLAN quản lý. Nhờ đó, từ một máy trạm quản lý bạn có thể truy cập, cấu hình và
quản lý tất cả các thiết bị liên mạng.
426
Hì
Mặc định, Fast Ethernet Port được đặt ở chế độ tự động về tốc độ và song công. Do
đó các
nh 6.2.2.b. Đặt tên và mật mã trên đường console và vty, đặt địa chỉ IP và
default gateway.
port này sẽ tự động thỏa thuận các thông số với thiết bị kết nối vào nó. Nếu
người quản trị mạng muốn chắc chắn một port nào đó có tốc độ và chế độ song
công như ý mình muốn thì có thể cấu hình bằng tay cho port đó.
427
Các thiết bị mạng thông minh có thể giao tiếp được bằng Web để cấu hình và quản
lý chúng. Sau khi switch đã được cấu hình địa chỉ IP và gateway, chúng ta có thể
truy c ch
bằng địa chỉ IP của switch và port 80 là port mặc định của HTTP. Bạn có thể mở
ập vào switch bằng web. Trình duyệt web truy cập và dịch vụ này trên swit
hoặc tắt dịch vụ HTTP trên switch và có thể chọn port khác cho dịch vụ này.
Hình 6.2.2.c. Cấu hình tốc độ và chế độ song công cho port cho
Hình 6.2.2.d. Mở dịch vụ HTTP và chọn port cho dịch vụ này trên switch.
428
Hình 6.2.2.e. Giao diện web của switch.
429
Hình 6.2.2.f. Giao diện quản lý web.
6.2.3.
Switch
n vào từ mỗi port . Các địa chỉ MAC
học đư ỉ MAC. Những gói dữ liệu nào có địa chỉ
MAC đích nằm trong bảng này sẽ được chuyển mạch ra đúng port đích.
Quản lý bằng địa chỉ MAC
học địa chỉ MAC của các thiết bị kết nối vào port của nó bằng cách kiểm
tra địa chỉ nguồn của gói dữ liệu mà nó nhậ
ợc sẽ được ghi vào bảng địa ch
Hình 6.2.3.a
430
Để kiểm tra các địa chỉ mà switch đã học được, bạn dùng lệnh show mac-address-
table trong chế độ EXEC đặc quyền.
Switch có thể tự động học vào bảo trì hàng ngàn địa chỉ MAC. Để tiết kiệm bộ nhớ
giúp tối ưu hóa hoạt đ óa đi khi
thiết bị tương ứng đã bị ngắt kết nối khỏi port, hoặc bị tắt điện hoặc đã được
huyển sang port khác trên cùng switch đó hoặc trên switch khác. Cho dù vì lý do
gì đi n được
gói dữ liệu nào có địa chỉ MAC đó nữa thì switch sẽ tự động xóa địa chỉ đó sau
300 gi
Thay vì chờ bảng địa chỉ tự động bị xóa vì hết thời hạn thì người quản trị mạng có
thể xó
cấu hình
trước
ộng của switch, các địa chỉ MAC học được nên x
c
ữa, nếu có một địa chỉ MAC nào đó trong bảng mà switch không nhận
ây.
a bảng địa chỉ MAC bằng lệnh clear mac-address-table trong chế độ EXEC
đặc quyền. Ngay cả những địa chỉ MAC do chính người quản trị mạng
đó cũng bị xóa bằng lệnh này.
Hình 6.2.3.b
6.2.4. Cấu hình địa chỉ MAC cố định
Bạn có thể quy đó của
switch. Lý d một trong
ết đinh gán một địa chỉ MAC cố định cho một port nào
o để gán cố định một địa chỉ MAC cho một port có thể là
những lý do sau:
431
• AC không bị xóa tự động do hết thời hạn trên bằng địa
• ột máy trạm đặc biệt nào đó của user đựơc kết nối vào một
địa chỉ MAC của máy này không đổi.
• Tăng khả năng bảo mật.
Để kh ỉ MAC cố định cho switch, bạn dùng lệnh sau:
umber> vlan
Giúp cho địa chỉ M
chỉ
Một server hay m
port trên switch và
ai báo một địa ch
Switch ( config)#mac-address-table static <mac-address of host> interface
FastEthernet <Ethernet n
Để xóa một địa chỉ MAC cố định đã được khai báo bạn dùng dạng no của câu lênh
trên
6.2.5. Cấu hình port bảo vệ
Bảo vệ hệ thống mạng là một trách nhiệm quan trọng của người quản trị mạng.
vào m
switch tầng truy cập là có khả năng truy cập dễ dàng nhất từ các ổ cắm dây đặt ở
các phòng. Bất kỳ người nào cũng có thể cắm PC hoặc máy tính xách tay của mình
ột trong những ổ cắm dây này. Do đó trên switch có một đặc tính gọi là port
bảo vệ giúp giới hạn số lượng địa chỉ mà switch có thể học trên một port. Bạn có
thể cấu hình cho switch thực hiện một động tác nào đó khi số lượng địa chỉ học
được trên port đó vượt quá giới hạn cho phép. Địa chỉ MAC bảo vệ có thể được
khai báo cố định. Tuy nhiên việc khai báo cố định điạ chỉ MAC bảo vệ rất phức tạp
và dễ gây ra lỗi.
432
Thay vì khai báo địa chỉ MAC bảo vệ cố định thì bạn có thể thực hiện như sau.
Trước tiên là bật chế độ port bảo vệ trên port mà bạn muốn. Số lượng địa chỉ MAC
trên port đó giới hạn là 1 thôi. Như vậy địa chỉ MAC đầu tiên mà switch tự động
học được sẽ trở thành địa chỉ cần bảo vệ.
Để kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security.
Hình 6.2.5
Các bước cơ bản để cấu hình port bảo vệ:
1. Vào chế độ cấu hình của port mà bạn cần.
2. mở chế độ truy cập cho port đó.
3. mở chế độ port bảo vệ.
4. Giới hạn số lượng địa chỉ MAC bảo vệ trên port đó (thường giới hạn 1 địa
chỉ MAC )
5. Chỉ định loại địa chỉ MAC bảo vệ là địa chỉ cố định (static), học tự động
(dynamic) hay sticky.
• Static: là địa chỉ MAC do người quản trị mạng khai báo cố định bằng
tay. Sau khi khai báo xong, địa chỉ này được lưu cố định trong bảng
địa chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch
bị mất điện, khởi động lại cũng không xóa mất địa chỉ cố định.
• Dynamic: là địa chỉ MAC do switch tư động học được. Loại địa chỉ
động này được lưu có thời hạn trên switch . Nếu trong một khoảng
thời gian nhất định mà switch không nhận được gói dữ liệu nào có địa
chỉ MAC đó nữa thì nó sẽ xóa địa chỉ này ra khỏi bảng.
433
• Sticky: là địa chỉ MAC c được tự động nhưng sau khi học
xong thì switch ghi địa chỉ này cố đinh vào bảng luôn và không xóa
c hiện động tác đóng port (Shutdown) hoặc treo port
hể để cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác
nhau nhưng nhìn chung đều theo các bước cơ bản như trên.
Sau đây là ví dụ về cấu hình port bảo vệ trên switch 2950:
ALSwitch (config)#interface fastethernet 0/4
ALSwitch (config-if)# switchport port-security ?
Aging Port-security aging commands
Mac-address Secure mac address
Maximum Max secure addrs
Violation Security Violation Mode
<cr>
ALSwitch (config-if)# switchport mode access
ALSwitch (config-if)# switchport port-security
ximum 1
AL
Thêm, bớt, chuyển đổi switch
Kh
au cho switch :
• Default gateway.
do switch họ
điạ chỉ đó nữa ngay cả khi switch bị tắt điện và khởi động lại.
6. Cấu hình cho switch thự
(Restrict) khi số lượng địa chỉ MAC học được trên port đó vượt quá giới hạn
cho phép.
Câu lệnh cụ t
ALSwitch (config-if)# switchport port-security ma
Switch (config-if)# switchport port-security mac-address sticky
ALSwitch (config-if)# switchport port-security violation shutdown
6.2.6.
i thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin
s
• Tên switch
• Địa chỉ IP của switch trong VLAN quản lý.
434
• Mật mã cho các đường truy cập switch.
Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng
hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đó.
ủa
S c ng trên một server nội bộ để sau đó có thể tải về bộ
nhớ flash khi cần thiết.
ủa chế độ EXEC đặc quyền được cài đặt bằng lênh
ạn truy cập về
mặt vật lý được nhưng lại không thể vào được chế độ EXEC người dùng hoặc đặc
uyền
Sau đây là các bước thực hiện để khôi phục mật mã trên switch 2900:
xong màn hình HyperTerminal.
2. Tắt điện của switch đi. Sau đó bạn vừa nhấn nút Mode ở mặt trước của
switch vừa cắm điện lại cho switch. Khi nào LED STAT trên switch tắt đi
thì bạn mới buông nút Mode ra.
3. Khi đó trên màn hình HyperTerminal sẽ có hiện thị như sau:
C2950 Boot Loader (C2950-HBOOT-MAC) Version
nên xóa một số cấu hình có thể gây tác động không tốt ở vị trí cũ và thêm cấu hình
mới cho vi trí mới của host. Ví dụ khi chuyển một host đang kết nối vào một port
có chế độ bảo vệ sang port khác hoặc switch khác, thì ở port cũ bạn nên xóa cấu
6.2.7. Quản lý tập tin hoạt động hệ thống của switch
Nhà quản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin hoạt động hệ thống c
các thiết bị mạng. Tập tin cấu hình hoạt động mới nhất nên được lưu dự phòng ra
server hoặc ra đĩa. Tập tin này không chỉ là thông tin nhạy cảm mà còn rất hữu
dụng khi cần khôi phục lại cấu hình cho thiết bị mạng.
IO ũng nên được lưu dự phò
6.2.8. Khôi phục mật mã trên switch 1900/2950
Vì lý do quản lý và bảo mật, switch thường được đặt mật mã trên đường console và
vty. Ngoài ra còn có mật mã c
enable password hoặc enable secret password. Mật mã này giúp đảm bảo chỉ có
nhưng user được phép mới có thể truy cập vào chế độ EXEC người dùng và đặc
quyền trên switch.
Tuy nhiên có một số tình huống bạn cần truy cập vào switch nhưng b
q vì không biết hoặc quên mật mã. Trong những trường hợp như vậy bạn cần
phải khôi phục lại mật mã trên switch .
1. Đảm bảo rằng bạn đã kết nối PC của mình vào cổng console trên switch và
đã mở
435
12.1 (11r) EA1, RELEASE
SOFT (fc1)
Compiled Mon 22-Jul-02 18:57 by antonio
WS-C2950-24 starting…
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The system has been interrupted prior to initializing the flash files
System. The following commands will initialize the flash files system.
And finish loading the operating system software:
Flash_init
Lo
Bo
r
Di
Ch câu lệnh
thứ
lash: sẽ cho biết nội dung của thư mục flash. Mặc
định, tên c ục flash sẽ có tên là
config.text
5. Bạn đổi định dạng tên của tập tin cấu hình như sau:
Re
6.
ad_helper
ot
4. Để khởi động tập tin hệ thống và kết thúc quá trình tải hệ điều hành, bạn
nhập các lệnh sau theo thứ tự như sau:
Flash_init
Load_helpe
r flash:
ú ý: Không được quên dấu hai chấm (:) ở liền sau chữ flash trong
3 ở trên.
Kết quả hiện thị của lệnh dir f
ủa tập tin cấu hình switch lưu trong thư m
.
name flash:config.text flash:config.old
Sau đó bạn gõ lệnh boot để khởi động lại switch
436
Lú i định dạng nên switch không tải
được tập tin cấu hình. Do đó sau khi khởi động xong bạn sẽ gặp câu thoại cấu
hìn
Continue with the configuration dialog? [yes/no] : N
Sau đó bạn sẽ vào được chế độ EXEC người dùng và đặc quyền mà không gặp
mậ
7.
8. Sau đó cho switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình
Switch#copy flash:config.text system
Source filename [config.text]?[enter]
Destination filenam
c náy switch sẽ tải tập tin cấu hình xuống RAM để chạy. Khi đó bạn có
Al
isco
AlSwitch (config-l
AlSwitch (config-line)#exit
config)#exit
Al
Destination filename [startup-config]?[enter]
Building configuration….
[OK]
c này tập tin cấu hình của switch đã bị đổ
h của switch như sau, bạn nhập ký tự N cho câu hỏi này:
t mã nữa.
Bạn trả lại tên cũ cho tập tin cấu hình bằng lệnh như sau:
Rename flash:config.old flash:config.text
này lên RAM:
:ruinning-config
e [ruinning-config] [enter]
9. Lú
thể thay đổi mật mã nếu muốn:
Switch#configure terminal
AlSwitch (config)#no enable secret
AlSwitch (config)#enable password c
AlSwitch (config)#line console 0
ine)#password cisco
AlSwitch (
Switch#copy ruinning-config startup-config
437
AlSwitch#
10. Bạn tắt điện cho switch rồi bật lại để kiểm tra xem mật mã mới đã được áp
dụng đúng chưa. Nếu chưa đúng thì bạn thực hiện quá trình trên lại từ đầu.
6.2.9. Nâng cấp firmware 1900/2950
IOS và firmware thường xuyên được phát hành phiên bản mới với các khắc
phục lỗ hổng cũ, thêm các đặc tính mới và tăng khả năng hoạt động. Nếu bạn
muốn hệ thống mạng được bảo vệ tốt hơn, hoạt động hiệu quả hơn với phiên
bản mới hơn của IOS thì bạn nên nâng cấp IOS.
Bạn có thể tải phiên bản IOS về server nội bộ của mình từ Trung tâm phần mềm
kết nối trực tuyến Cisco (CCO- Cisco Connection Online).
TỔNG KẾT
Sau khi hoàn tất chương này, bạn cần nắm được các ý chính sau:
• Thành phần cơ bản của Catalyst switch .
• Theo dõi trạng thái và hoạt động cảu switch thông qua đèn báo hiệu LED
• Kiểm tra thông tin xuất ra của quá trình khởi động switch bằng
HyperTerminal.
• Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh.
• Các chế độ mặc định của switch
• Đặt địa chỉ IP và default gateway cho switch để có thể kết nối và quản lý
switch qua mạng.
• Xem cấu hình switch với trình duyệt Web.
• Cài đặt tốc độ và chế độ song công cho port của switch .
• Kiểm tra và quản lý bảng địa chỉ MAC của switch .
• Cấu hình port bảo vệ.
• Quản lý tập tin cấu hình IOS.
• Thực hiện khôi phục mật mã cho switch
• Nâng cấp IOS cho switch
438
CHƯƠNG 6: CÊu h×nh switch
Giíi thiÖu
Switch lµ mét thiÕt bÞ m¹ng Líp 2 ho¹t ®éng nh− mét ®iÓm tËp trung kÕt nèi
cña m¸y tr¹m, server, router, hub vµ c¸c switch kh¸c.
Hub lµ mét thiÕt bÞ tËp trung kÕt nèi lo¹i cò, cÊp thÊp h¬n switch v× tÊt c¶ c¸c
thiÕt bÞ kÕt nèi vµo hub chia sÎ cïng mét b¨ng th«ng vµ cã thÓ x¶y ra tranh chÊp.
Hub chØ cã thÓ ch¹y b¸n song c«ng, nghÜa lµ t¹i mét thêi ®iÓm hub hoÆc truyÒn
hoÆc nhËn d÷ liÖu chø kh«ng thÓ thùc hiÖn ®ång thêi c¶ hai. Cßn switch th× cã thÓ
ch¹y song c«ng, truyÒn vµ nhËn d÷ liÖu song song ®ång thêi.
Switch lµ mét brigde ®a port: ChuyÓn m¹ch ®ang lµ mét c«ng nghÖ chuÈn
hiÖn nay trong cÊu tróc h×nh sao cña Ethernet LAN. Khi hai thiÕt bÞ kÕt nèi vµo
switch muèn liªn l¹c víi nhau th× switch thiÕt lËp mét m¹ch ¶o ®iÓm ®Õn - ®iÓm
µnh r ®ã nªn kh«ng cã kh¶ n¨ng x¶y ra ®ông ®é.
lµ rÊt quan träng ®èi víi ng−êi lµm vÒ m¹ng.
switch. Mét trong nh÷ng t¸c vô nµy lµ b¶o tr× switch vµ hÖ ®iÒu hµnh IOS
(Internetworking Oprating System) cña nã. Mét sè t¸c vô kh¸c liªn quan ®Õn viÖc
qu¶n lý c¸c cæng giao tiÕp cña switch, tèi −u ho¸ b¶ng ho¹t ®éng cña switch ®Ó
®¶m b¶o ®é tin cËy vµ b¶o mËt. Nh÷ng kü n¨ng vÒ cÊu h×nh switch, n©ng cÊp IOS,
kh«i phôc mËt m· lµ nh÷ng kü n¨ng rÊt quan träng cña ng−êi qu¶n trÞ m¹ng.
diªng cho hai thiÕt bÞ
ChÝnh v× vai trß quan träng cña switch trong hÖ thèng m¹ng hiÖn nay nªn
viÖc t×m hiÓu vµ cÊu h×nh switch
Mét switch hoµn toµn míi lu«n cã mét cÊu h×nh mÆc ®Þnh cña nhµ s¶n xuÊt.
CÊu h×nh nµy th−êng kh«ng ®¸p øng ®ñ c¸c yªu cÇu cña nhµ qu¶n trÞ m¹ng víi
439
Sau khi hoµn tÊt ch−¬ng nµy, b¹n cã thÓ thùc hiÖn nh÷ng c«ng viÖc sau:
Çn chÝnh cña Catalyst switch.
ning – Tree.
n¨ng suÊt gi¶m vµ kh¸ch hµng kh«ng hµi lßng.
Do ®ã c¸c c«ng ty lu«n mong muèn hÖ thèng m¹ng may tÝnh cña hä lu«n
ian ho¹t ®éng
−îc 99,999% thêi
ian h hÜa lµ chØ cho phÐp m¹ng ng−ng ho¹t ®éng trung
×nh m y 1 giê trong 4000 ngµy, hay 5,25 phót trong mét
n¨m.
NÕu cã thÓ thùc hiÖn ®−îc môc tiªu trªn th× hÖ thèng m¹ng sÏ thùc sù ho¹t
• X¸c ®Þnh c¸c thµnh ph
• Theo dâi ho¹t ®éng vµ tr¹ng th¸i cña switch th«ng qua c¸c b¸o c¸o hiÖu
LED.
• X¸c ®Þnh lîi Ých vµ nh÷ng nguy c¬ cña cÊu tróc dù phßng.
• M« t¶ vai tro cña Spanning - Tree trong m¹ng chuyÓn m¹ch cã dù phßng.
• X¸c ®Þnh c¸c thµnh phÇn quan träng trong ho¹t ®éng cña Span
• M« t¶ qu¸ tr×nh bÇu bridge gèc.
• LiÖt kª c¸c tr¹ng th¸i Spanning – Tree.
• So s¸nh giao thøc Spanning – Tree.
7.1. CÊu tróc dù phßng.
7.1.1. Sù dù phßng.
RÊt nhiÒu c«ng ty vµ tæ chøc ®· ph¸t triÓn ho¹t ®éng cña hä dùa trªn m¹ng
m¸y tÝnh. ViÖc truy cËp vµo file server, c¬ së d÷ liÖu, Internet, Intranet vµ Extranet
®ãng vai trß quan träng cho sù thµnh c«ng trong kinh doanh v× nÕu m¹ng bÞ ®øt,
ho¹t ®éng suèt 24 giê, 7 ngµy mét tuÇn. ViÖc thùc hiÖn 100% thêi g
th× cã thÓ kh«ng kh¶ thi nh−ng môc tiªu ®Æt ra lµ ph¶i b¶o ®¶m ®
go¹t ®éng. TØ lÖ nµy cã ng
bét ngµy trong 30 n¨m, ha
®éng rÊt tin cËy. §é tin cËy cña hÖ thèng m¹ng ®−îc ®¶m b¶o tõ viÖc trang bÞ c¸c
thiÕt bÞ cã ®é tin cËy cao ®Õn viÖc thiÕt kÕ hÖ thèng m¹ng cã dù phßng, cã kh¶ n¨ng
chÞu ®−îc lçi, héi tô nhanh ®Ó v−ît qua sù cè.
440
M¹ng cã kh¶ n¨ng chÞu ®−îc lçi nhê cã sù dù phßng. Dù phßng ë ®©y cã
nghÜa lµ chuÈn bÞ nh÷ng g× nhiÒu h¬n møc cÇn thiÕt b×nh th−êng. Nh−ng dù phßng
gióp t¨ng ®é tin cËy cña m¹ng nh− thÕ nµo?
Gi¶ sö nh− b¹n chØ cã mét c¸ch duy nhÊt ®Ó ®i lµm lµ ®i lµm b»ng xe h¬i cña
b¹n, vËy nÕu chiÕc xe h¬i nµy bÞ h− cã nghÜa lµ b¹n kh«ng thÓ ®i lµm cho ®Õn khi
chiÕc xe h¬i nµy ®−îc söa ch÷a xong.
NÕu chiÕc xe nµy cø trung binh 10 ngµy l¹i h− mÊt 1 ngµy th× kh¶ n¨ng sö
dông cña nã lµ 90%. §iÒu nµy cã nghÜa lµ cø 10 ngµy th× b¹n chØ ®i lµm ®−îc 9
ngµy. Do ®ã ®é tin cËy ®¹t ®−îc 90%.
NÕu b¹n mua thªm mét xe h¬i n÷a ®Ó ®i lµ. §óng lµ kh«ng cÇn thiÕt ph¶i cã
®Õn 2 chiÕc xe h¬i chØ ®Ó ®i lµm nh−ng b¹n l¹i cã xe dù phßng khi chiÕc xe chÝnh bÞ
h−. Nh− vËy viÖc ®i lµm cña b¹n sÏ kh«ng cßn bÞ phô thuéc vµo mét chiÕc xe n÷a.
C¶ hai chiÕc xe còng cã thÓ bÞ h− cïng mét lóc, kho¶ng 100 ngµy th× cã mét
ngµy nh− thÕ. Nh− vËy b¹n mua thªm chiÕc xe thø 2 ®Ó dù phßng, ®é tin cËy ®·
t¨ng lªn 99%.
H×nh 7.1.1
7.1.2. CÊu tróc dù phßng.
441
Môc tiªu cña cÊu tróc dù phßng lµ lo¹i bá ®iÓm tËp trung cña sù cè. TÊt c¶
c¸c hÖ thèng m¹ng cÇn ph¶i cã dù phßng ®Ó n©ng møc ®é b¶o ®¶m.
HÖ thèng ®−êng giao th«ng lµ mét vÝ dô vÒ cÊu tróc cã tÝnh dù phßng. NÕu
cã mét con ®−êng bÞ ®ãng l¹i ®Ó söa ch÷a th× sÏ lu«n cã ®−êng kh¸c ®Ó ®i ®Õn ®Ých.
−êng ®i vµo thÞ
VÝ dô cã mét c«ng ®ång c¸ch trung t©m thÞ trÊn bëi cã mét con s«ng. NÕu
chØ b¾c mét chiÕc cÇu qua s«ng ®ã th× cã nghÜa lµ chØ cã mét con ®
trÊn. CÊu tróc nh− vËy lµ kh«ng cã sù dù phßng.
NÕu c©y cÇu nµy bÞ ngËp hoÆc bÞ h− háng do tai n¹n th× sÏ kh«ng thÓ ®i vµo
thÞ trÊn b»ng chiÕc cÇu nµy ®−îc n÷a.
B¾c thªm mét chiÕc cÇu thø hai qua s«ng ®Ó t¹o cÊu tróc cã dù phßng. Khi
®ã ng−êi d©n ë ngo¹i « sÏ kh«ng cßn bÞ c¾t ®øt víi trung t©m thÞ trÊn khi mét c©y
cÇu bÞ h− háng n÷a.
442
H×nh 7.1.2. m« h×nh cã dù phßng vµ kh«ng cã dù phßng.
7.1.3. CÊu tróc chuyÓn m¹ch dù phßng.
HÖ thèng m¹ng cã thiÕt bÞ vµ ®−êng dù phßng sÏ cã kh¶ n¨ng tån t¹i cao
h¬n, tr¸nh ®−îc m« h×nh chØ cã mét ®iÓm trung t©m cña sù cè v× nÕu mét ®−êng kÕt
nèi hoÆc mét thiÕt bÞ gÆp sù cè th× ®−êng dù phßng hoÆc thiÕt bÞ dù phßng sÏ l·nh
tr¸ch nhiÖm thay thÕ.
VÝ dô nh− h×nh 7.1.3, nÕu Switch A bÞ h−, l−u l−îng tõ segment 2 sang
segment 1 vµ sang router vÉn cã thÓ ®i qua Switch B.
Switch B.
NÕu port 1 trªn Switch A bÞ h− thi giao th«ng vÉn cã thÓ ®i qua port 1 trªn
443
H×nh 7.1.3
ã, nhê ®ã nã cã
thÓ «ng biÕt g× vÒ ®Þa chØ cña m¸y
®Ých th× nµo nã häc ®−îc ®Þa chØ
MA ®−îc chuyÓn ra tÊt c¶ c¸c
por ñ
− h×nh 7.1.3 cã thÓ sÏ g©y ra
trËn · g ®Þa chØ MAC kh«ng æn ®Þnh.
¸.
−îc switch sö lý gièng nh− gãi qu¶ng b¸ lµ chuyÓn ra
tÊt
Switch häc ®Þa chØ MAC cña thiÕt bÞ kÕt nèi vµo port cña n
chuyÓn d÷ liÖu ®Õn ®óng ®Ých. NÕu switch kh
nã sÏ chuyÓn gãi ra tÊt c¶ c¸c port cho ®Õn khi
C cña thiÕt bÞ nµy. Gãi qu¶ng b¸ vµ multicast còng
t c a switch.
ChÝnh v× vËy, cÊu tróc chuyÓn m¹ch dù phßng nh
b o qu¶ng b¸, chuyÓn nhiÒu l−ît frame vµ b¶n
7.1.4. TrËn b·o qu¶ng b
Gãi multicast còng ®
c¶ c¸c port trõ port nhËn gãi vµo.
444
H×nh 7.1.4.a
H×nh 7.1.4.b. HËu qu¶ lµ g©y ra mét trËn b·o qu¶ng b¸ trªn m¹ng.
445
Ta xÐt vÝ dô trªn h×nh 7.1.4.a: gi¶ sö Host X göi mét gãi qu¶ng b¸ vµ gãi yªu
cÇu ARP ®Ó hái ®Þa chØ líp 2 cña router ch¼ng h¹n. KhÝ ®ã switch A nhËn ®−îc gãi
qu¶ng b¸ nµy sÏ chuyÓn gãi qu¶ng b¸ nµy sÏ chuyÓn gãi ra tÊt c¶ c¸c port. Switch B
còng thùc hiÖn nh− vËy. KÕt qu¶ lµ Switch B sÏ nhËn l¹i c¸c gãi qu¶ng b¸ ®−îc göi
tõ Switch A vµ ng−îc l¹i, Switch A còng nhËn l¹i c¸c gãi qu¶ng b¸ ®−îc göi tõ
¸ cña nhau vµ l¹i chuyÓn tiÕp ra
tÊt c¶ c¸c port.
Cø nh− vËy, mçi mét gãi qu¶ng b¸ mµ switch nhËn vµo sÏ ®−îc nh©n ra tÊt
c¶ c¸c port g©y lªn trËn b·o qu¶ng b¸ trªn m¹ng. TrËn b·o qu¶ng b¸ nµy sÏ ®−îc
tiÕp tôc cho ®Õn khi nµo mét trong hai switch bÞ ng¾t kÕt nèi ra. Switch vµ c¸c thiÕt
bÞ ®Çu cuèi sÏ bÞ qu¸ t¶i v× ph¶i sö lý qu¸ nhiÒu c¸c gãi qu¶ng b¸ vµ kh«ng thÓ sö lý
®−îc c¸c gãi d÷ liÖu kh¸c cña user. Khi ®ã hÖ thèng m¹ng xem nh− bÞ tª liÖt.
7.1.5. TruyÒn nhiÒu l−ît frame.
CÊu tróc m¹ng chuyÓn m¹ch dù phßng cã thÓ lµm cho thiÕt bÞ ®Çu cuèi nhËn
®−îc nhiÒu frame trung lÆp nhau.
Switch B. C¶ hai Switch nµy nhËn ®−îc gãi qu¶ng b
H×nh 7.1.5
Ta xÐt vÝ dô trªn h×nh 7.1.5: gi¶ sö r»ng c¶ hai switch võa míi xo¸ ®Þa chØ
chØ MAC cña router Y trong b¶ng ARP cña m×nh lªn nã göi mét frame trùc
i Route
MAC cña Router Y trªn b¶ng ®Þa chØ v× hÕt thêi h¹n vµ gi¶ sö r»ng Host X vÉn cßn
gi÷ ®Þa
tiÕp tí r Y. Router Y nhËn ®−îc gãi gi÷ liÖu nµy v× nã n»m trong cïng
segment víi Host X.
446
Router Y trªn b¶ng ®Þa chØ nªn nã chuyÓn frame ra tÊt c¶ c¸c port cña nã. T−¬ng tù
trªn switch B còng vËy. KÕ −îc nhiÒu frame trïng nhau.
§i n
h.
CÊu tróc m¹ng chuyÓn m¹ch dù phong cã thÓ lµm cho c¸c switch häc ®−îc
th«ng tin sai vÒ ®Þa chØ, switch sÏ häc ®−îc mét ®Þa chØ MAC trªn mét port mµ
trong khi ®Þa chØ MAC nµy thËt sù n»m trªn port kh¸c.
Switch A còng nhËn ®−îc frame nµy nh−ng kh«ng cã ®Þa chØ MAC cña
t qu¶ lµ Router Y nhËn ®
Òu µy lµm cho c¸c thiÕt bÞ tèn tµi nguyªn ®Ó xö lý nhiÒu frame kh«ng cÇn thiÕt.
7.1.6. C¬ së d÷ liÖu ®Þa chØ MAC kh«ng æn ®Þn
H×nh 7.1.6
Ta xÐt vÝ dô nh− trªn h×nh 7.1.6: gi¶ sö ®Þa chØ MAC cña Router Y kh«ng cã
trong b¶ng ®Þa chØ cña c¶ hai switch.
Gi¶ sö host X göi mét gãi d÷ liÖu trùc tiÕp ®Õn Router Y. Switch A vµ B ®Òu
nhËn ®−îc gãi g÷i liÖu nµy vµ häc ®−îc ®Þa chØ MAC cña Host X lµ n»m trªn port
0. Sau khi ®ã d÷ liÖu nµy ®−îc hai switch chuyÓn ra tÊt c¶ c¸c port v× trªn hai
switch ®Òu ch−a cã ®Þa chØ MAC cña Router Y. KÕt qu¶ lµ switch A nhËn l¹i gãi d÷
liÖ õ
Switch A vµo port 1.
trª
7.2. Giao thøc Spanning Tree (Giao thøc ph©n nh¸nh c©y).
7.2.1. CÊu tróc dù phßng vµ Spanning Tree.
u nµy tõ switch B vµo port 1 vµ ng−îc l¹i, Switch B còng nhËn l¹i d÷ liÖu t
Khi ®ã Switch A vµ B häc l¹i lµ ®Þa chØ MAC cña Host X n»m
n port 1, kÕ tiÕp, khi Router Y göi mét gãi d÷ liÖu cho Host X, Switch Avµ B
còng ®Òu nhËn ®−îc gãi d÷ liÖu tõ Router Y ®Õn Host X sÏ bÞ r¬i vµo vßng lÆp.
447
CÊu tróc m¹ng dù phßng ®−îc thiÕt kÕ ®Ó b¶o ®¶m m¹ng tiÕp ho¹t ®éng khi
cã mét sù cè x¶y ra, user sÏ Ýt bÞ gi¸n ®o¹n c«ng viÖc cña hä h¬n. Mäi sù gi¸n ®o¹n
do sù cè g©y ra cµng ng½n cµng tèt.
H×nh 7.2.1.a. Mét vÝ dô vÒ cÊu tróc dù phßng.
Trong hÖ thèng m¹ng, chóng ta t¹o nhiÒu kÕt nèi gi÷a c¸c switch vµ bridge
®Ó dù phßng. C¸c kÕt nåi nµy sÏ t¹o ra c¸c vßng lÆp vËt lý trong m¹ng nh−ng nÕu cã
mét kÕt nèi bÞ ®øt thi l−u l−îng cã thÓ ®−îc chuyÒn sang kÕt nèi kh¸c.
Switch ho¹t ®éng ë líp 2 cña m«i h×nh OSI vµ thùc hiÖn quyÕt ®Þnh chuyÓn
gãi ë líp nµy. Khi Switch kh«ng x¸c ®Þnh ®−îc port ®Ých th× nã sÏ chuyÓn gãi ra tÊt
c¶ rt
nhËn gãi vµo. Do ®ã,
To L
«ng tin líp 2 trong gãi d÷ liÖu kh«ng cã
µo vßng lÆp líp 2 cña cÊu tróc m¹ng chuyÓn
m¹ch, nã sÏ bÞ lÆp vßng ®Õn v« tËn v× kh« rong frame gióp lo¹i
bá èng m¹ng tiªu tèn b¨ng th«ng vµ cã thÓ
dÉn Õ
c¸c port. Gãi qu¶ng b¸ vµ multicast còng ®−îc göi ra tÊt c¶ c¸c port trõ po
m¹ng chuyÓn m¹ch kh«ng ®−îc cã vßng lÆp, v× nh− vËy sÏ
g©y ra nhiÒu sù cè nh− ®· ph©n tÝch ë c¸c phÇn trªn.
ë líp 3, mçi khi gãi d÷ liÖu ®i qua mét Router, tr−êng thêi gian sèng (Time
Live – TTL) sÏ gi¶m ®i mét gi¸ trÞ vµ gãi d÷ liÖu sÏ bÞ huû bá khi tr−êng TT
®¹t ®Õn gi¸ trÞ 0. Trong khi ®ã, phÇn th
tr−¬ng TTL. Do ®ã, nÕu frame bÞ r¬i v
ng cã th«ng tin nµo t
frame khi bÞ lÆp vßng. §iÒu ®ã lµm hÖ th
® n bÞ tª liÖt.
448
Tãm l¹i, m¹ng chuyÓn m¹ch víi switch vµ bridge kh«ng thÓ cã vßng lÆp
nh−ng chóng ta vÉn cÇn x©y dùng cÊu tróc m¹ng vËt lý cã vßng l¾p ®Ó dù phßng khi
spanning - tree. ThuËt to¸n nµy tån t¹i kh¸ nhiÒu thêi
x¶y ra sù cè, nh»m ®¶m b¶o ho¹t ®éng cña hÖ thèng m¹ng.
VËy gi¶i ph¸p lµ vÉn cho phÐp cÊu tróc vËt lý cã vßng lÆp nh−ng chóng ta sÏ
t¹o cÊu tróc luËn lý kh«ng cã vßng lÆp. VÝ dô nh− trªn h×nh 7.2.1.a, giao th«ng tõ
c¸c user kÕt nèi vµo Cat - 4 ®Õn server Farm kÕt nèi vµo Cat - 5 sÏ ®i qua ®−êng kÕt
nèi gi÷a Cat - 1 vµ Cat - 2 mÆc dï cã tån t¹i ®−êng kÕt nèi vËt lý gi÷a Cat - 4 vµ Cat
- 5.
CÊu tróc luËn lý kh«ng vßng lÆp lµ mét cÊu tróc d¹ng ph©n nh¸nh c©y, t−¬ng
tù nh− cÊu tróc luËn lý h×nh sao hay h×nh sao më réng.
ThuËt to¸n ®−îc sö dông ®Ó t¹o cÊu tróc luËn lý kh«ng vßng lÆp lµ thuËt to¸n
gian ®Ó héi tô. Do ®ã cã mét
thuËt to¸n míi h¬i gäi lµ rapid spanning - tree víi thêi gian tinh to¸n cÊu tróc luËn
lý kh«ng vßng lÆp rót ng¾n h¬n.
H×nh 7.2.1.b. CÊu tróc luËn lý kh«ng vßng lÆp ®−îc t¹o ra bëi Spanning - Tree.
CÊu tróc nµy theo d¹ng ph©n nh¸nh h×nh c©y, t−¬ng tù nh− cÊu tróc luËn lý h×nh
sao më réng.
449
7.2.2. Giao thøc Spanning - Tree.
Ethernet bridge vµ switch cã thÓ triÓn khai giao thøc Spanning - Tree
IEEE802.1D vµ sö dông thuËt to¸n spanning - tree ®Ó x©y dùng cÊu tróc m¹ng ng¾n
nhÊt kh«ng vßng lÆp.
§Ó x©y dùng m¹ng theo d¹ng ph©n nh¸nh h×nh c©y, tr−íc tiªn giao thøc
Spanning - Tree ph¶i chän mét ®iÓm lµm gèc (root bridge). XuÊt ph¸t tõ mét bridge
gèc nµy, c¸c ®−êng liªn kÕt ®−îc xem xÐt vµ tÝnh to¸n ®Ó ph©n nh¸nh ra t¹o cÊu
tróc m¹ng theo d¹ng h×nh c©y, b¶o ®¶m r»ng chØ cã mét ®−êng duy nhÊt ®i tõ gèc
®Õn tõng node trong m¹ng. Nh÷ng ®−êng kÕt nèi nµo d− thõa trong cÊu tróc h×nh
c©y sÏ bÞ kho¸ l¹i. TÊt c¶ c¸c gãi d÷ liÖu nhËn ®−îc tõ ®−êng liªn kÕt bÞ kho¸ nµy sÏ
bÞ huû bá.
H×nh 7.2.2.a. Giao thøc Spanning - Tree x©y dùng m¹ng h×nh luËn lý h×nh c©y. KÕt
nèi nµo d− thõa, t¹o thµnh vßng lÆp sÏ bÞ kho¸ l¹i.
Giao thøc Spanning - Tree ®ßi hái thiÕt bÞ m¹ng ph¶i trao ®æi th«ng tin víi
nhau ®Ó cã thÓ ph¸t hiÖn ra vßng lÆp trong m¹ng. Th«ng ®iÖp trao ®æi nµy ®−îc gäi
lµ Bridge Protocol Data Unit (BPDU). KÕt nèi nµo t¹o thµnh vßng lÆp sÏ bÞ ®Æt vµo
tr¹ng th¸i kho¸. Trªn kÕt nèi nµy kh«ng nhËn gãi d÷ liÖu nh−ng vÉn nhËn c¸c gãi
BPDU ®Ó x¸c ®Þnh kÕt nèi ®ã cßn ho¹t ®éng hay kh«ng. NÕu cã mét kÕt nèi bÞ ®øt
hay mét thiÕt bÞ h− háng th× mét cÊu tróc h×nh c©y míi sÏ ®−îc tÝnh to¸n l¹i.
BPDU chøa ®Çy ®ñ c¸c th«ng tin gióp cho switch thùc hiÖn ®−îc c¸c viÖc
sau:
450
• Chän mét switch lµm gèc cho cÊu tróc h×nh c©y.
• TÝnh to¸n ®−êng ng¾n nhÊt tõ mçi node ®Õn switch gèc. §−êng ng¾n nhÊt
®−êng cã chi phÝ thÊp nhÊt. Chi phÝ cña ®−êng kÕt nèi ®−îc tÝnh to¸n dùa trªn tèc
é cña ®−êng kÕt nèi ®ã.
• Trong tõng LAN segment, chØ ®Þnh ra mét switch gÇn nhÊt víi switch gèc.
Switch ®−îc chØ ®Þnh (designated switch) sÏ l¾m gi÷ mäi th«ng tin liªn l¹c gi÷a
LAN vµ switch gèc.
• Trªn mçi switch kh«ng ph¶i lµ gèc chän mét port lµm port gèc (root port)
lµ port cã ®−êng kÕt nèi ng¾n nhÊt vÒ gèc.
• C¸c port cßn l¹i ®−îc xem xÐt ®Ó lµm port chØ ®Þnh (designated port).
Nh÷ng port nµo kh«ng ®−îc chØ ®Þnh ®Òu bÞ kho¸ l¹i.
lµ
®
H×nh 7.2.2.b. Gi¸ trÞ chi phÝ mÆc ®inh t−¬ng øng víi tèc ®é cña ®−êng kÕt nèi.
7.2.2.c. C¸c th«ng tin n»m trong gãi BP H×nh DU.
451
H×n hi
t
qu¸ tr×nh bÇu chän bridge gèc Tõ bridge gèc, hai nh¸nh
tõ port 1/1, 1/2 ®−îc më lªn
−îc chän lµm port
−îc chän lµm port gèc ®Ó nèi vÒ gèc. Sau khi
®· x¸c ®Þnh xong port gèc ®Ó
xem
segme t LAN chØ cã mét
sw
vµ Cat - C sÏ chØ ®Þnh ra mét switch ®
Cat - B
Cat - C
ning - tree.
ng m¹ng tu©n theo c¸c nguyªn t¾c
h 7.2.2.d. Mét vÝ dô ®Ó kÕt qu¶ tÝnh to¸n cña giao thøc Spanning - Tree. Sau k
Ýnh to¸n xong, vÒ mÆt luËn lý, cÊu tróc m¹ng sÏ cã d¹ng rÏ nh¸nh c©y, kh«ng cßn
vßng lÆp n÷a.
Ta xÐt vÝ dô nh− h×nh 7.2.2.c. Ba switch Cat - A, Cat - B vµ Cat - C ®−îc nèi
thµnh vßng trßn víi nhau. Nh− vËy lµ tån t¹i mét vßng lÆp vÒ mÆt vËt lý. §Çu tiªn,
®· chän Cat - A lµm gèc.
®Ó kÕt nèi xuèng hai switch Cat - B vµ Cat - C. Trªn
Cat - B, port 1/1 cã chi phÝ nèi vÒ gèc thÊp nhÊt nªn port nµy ®
gèc. T−¬ng tù trªn Cat - C, port 1/1 ®
thiÕt lËp kÕt nèi vÒ bridge gèc, Cat - B vµ Cat - C sÏ
xÐt c¸c port cßn l¹i. Chóng nhËn thÊy port 1/2 cña chóng cïng nèi vµo mét
nt LAN. §Ó t¹o cÊu tróc h×nh c©y, trong mçi segmen
itch ®−îc më mét ®−êng ®Ó kÕt nèi tõ gèc vµo segment LAN ®ã. Do ®ã, Cat - B
−îc truy xuÊt vµo segment LAN nµy. KÕt qu¶,
®−îc chän vµ port 1/2 cña nã ®−îc chØ ®Þnh më kÕt nèi vµo segment LAN.
kh«ng ®−îc chØ ®inh nªn port 1/2 cña nã bÞ kho¸ l¹i.
7.2.3. Ho¹t ®éng cña span
Khi m¹ng ®· æn ®Þnh vµ héi tô chØ cã mét c©y duy nhÊt trong mét m¹ng.
§Ó ®¹t ®−îc kÕt qu¶ nµy, c¸c switch tro
sau:
452
• ChØ cã mét bridge gèc duy nhÊt cho mét m¹ng.
• Trong tõng segment LAN, chØ ®−îc duy nhÊt mét port ®i vµo segment LAN
•
Po
C¸c port kh«ng ®−îc chØ ®Þnh sÏ huû bá d÷
port kho¸ (B - Bloking).
7.2.4. Qu¸ tr×nh chän bridge gèc.
Muèn x©y dùng cÊu tróc h×nh c©y th× tr−íc tiªn ph¶i cã mét ®iÓm lµm gèc ®Ó
®ã ph
chän ra mét bridge gèc sÏ t¸c ®éng ®Õn dßng giao th«ng trong m¹ng.
Khi c¸c switch míi ®−îc bËt ®iÖn, chóng sÏ tr
vµ dùa gã
Tr−êng BID bao gåm gi¸ trÞ ®é −u tiªn cña switch vµ ®Þa chØ MAC cña switch ®ã.
Gi¸ trÞ −u tiªn mÆc ®Þnh cña switch lµ 32768. MÆc ®Þnh, c¸c gãi BPDU ®−îc g−i ®i
i©y/lÇ
• Trªn mçi bridge kh«ng ph¶i lµ gèc chØ cã mét port duy nhÊt lµm port gèc
lµ port kÕt nèi vÒ gèc ng¾n nhÊt.
®ã.
Kh«ng sö dông c¸c port nµo kh«ng ®−îc chØ
rt gèc vµ port ®−îc chØ ®Þnh lµm c¸c port ®−
®Þnh.
îc sö dông ®Ó chuyÓn d÷ liÖu.
liÖu. C¸c port nµy ®−îc gäi lµ
tõ ©n nh¸nh cho c©y. Do ®ã viÖc ®Çu tiªn lµ tÊt c¶ c¸c switch trong m¹ng ph¶i
ao ®æi c¸c gãi BPDU víi nhau
i nµy ®Ó chän ra bridge gèc. vµo th«ng tin bridge ID (BID) trong c¸c
2 g n.
H×nh 7.2.4.a. Néi dung gãi BPDU.
453
H×nh 7.2.4.b. CÊu tróc cña tr−êng BID. 2 byte ®Çu lµ gi¸ trÞ −u tiªn cña switch. Gi¸
trÞ nµy n»m trong kho¶ng tõ 0 - 65535, gi¸ trÞ mÆc ®Þnh lµ 32768. 6 byte sau lµ ®Þa
chØ MAC cña switch.
§Çu tiªn mçi switch ®Òu tù cho nã lµ gèc. Do ®ã trong gãi BPDU ®Çu tiªn
mµ mçi switch göi ®i, tr−êng Root BID vµ sender BID ®Òu cã gi¸ trÞ −u tiªn vµ ®Þa
chØ MAC cña chÝnh nã. Sau ®ã mçi switch sÏ lÇn l−ît nhËn ®−îc c¸c goi BPDU tõ
nh÷ng switch kh¸c. Mçi khi switch nhËn ®−îc mét gãi BPDU cã tr−êng Root BID
thÊp h¬n Root BID nã ®ang cã th× nã sÏ thay thÕ Root BID thÊp h¬n vµo gãi BPDU
råi göi ®i. Cø nh− vËy, cuèi cïng c¸c switch sÏ thèng nhÊt ®−îc víi nhau switch
nµo cã BID thÊp nhÊt lµm bridge gèc.
H×nh 7.2.4.c. Mét vÝ dô vÒ néi dung gãi BPDU ®Çu tiªn cña Cat - A göi ®i.
NÕu kh«ng cÊu h×nh g× c¶, gi¸ trÞ mÆc ®Þnh trªn c¸c switch ®Òu b»ng nhau vµ
b»ng 32768. Do vËy switch nµo nµo cã ®Þa chØ MAC nhá nhÊt (®Þa chØ MAC th×
kh«ng bao giê trïng nhau gi÷a c¸c switch) sÏ cã BID nhá nhÊt vµ switch ®ã sÏ lµm
gèc. Ng−êi qu¶n trÞ m¹ng muèn t¸c ®éng vµo viÖc quyÕt ®Þnh chän bridge gèc th×
454
cã thÓ cµi ®Æt gi¸ trÞ −u tiªn cña switch nhá h¬n gi¸ trÞ mÆc ®Þnh, khi ®ã BID cña
switch sÏ cã gi¸ trÞ nhá h¬n. Tuy nhiªn b¹n chØ lªn lµm ®iÒu nµy khi b¹n n¾m râ
luång giao th«ng trong m¹ng cña m×nh.
H×nh 7.2.4.d. Sau mét qu¸ trinh trao ®æi gãi BPDU, c¸c switch sÏ chän ra ®−îc
switch nµo cã BID nhá nhÊt lµm gèc.
7.2.5. C¸c tr¹ng th¸i port Spanning - Tree.
Th«ng tin trao ®æi cña c¸c giao thøc ph¶i mÊt mét kho¶ng thêi gian míi
truyÒn ®i hÕt cho toµn bé hÖ thèng m¹ng. Khi mét ph©n nµo ®ã cña cÊu tróc m¹ng
bÞ thay ®æi th× c¶ hÖ thèng kh«ng thÓ nhËn biÕt ®−îc ®iÒu nµy cïng mét lóc vµ ngay
lËp tøc mµ ph¶i lÇn l−ît sau ®ã mét kho¶ng thêi gian. §ã chÝnh lµ thêi gian trÔ lan
truyÒn. ChÝnh v× vËy, nÕu switch ®æi tr¹ng th¸i cña mét port tõ thô ®éng sang ho¹t
®éng ngay lËp tøc cã thÓ sÏ g©y ra vßng lÆp.
Trªn switch sö dông giao thøc Spanning - Tree, mçi port sÏ ë mét trong n¨m
tr¹ng th¸i nh− h×nh 7.2.5.a.
ë tr¹ng th¸i kho¸, port chØ nhËn gãi BPDU. C¸c gãi d÷ liÖu kh¸c sÏ bÞ huû bá
vµ kh«ng hÒ cã häc ®Þa chØ ë tr¹ng th¸i nµy. MÊt kho¶ng 20 gi©y ®Ó chuyÓn tõ tr¹ng
th¸i nµy sang tr¹ng th¸i kÕ tiÕp lµ tr¹ng th¸i nghe.
455
H×nh 7.2.5.a. C¸c tr¹ng th¸i port Spanning - Tree. Khi kÕt nèi b¾t ®Çu ®−îc më lªn,
tr¹ng th¸i ®Çu tiªn cña port lµ tr¹ng th¸i kho¸ (Blocking). Sau khi thuËt to¸n
Spanning - Tree tÝnh to¸n xong vµ chän port ®ã lµ port gèc hay lµ port chØ ®Þnh cña
mét segment LAN th× port sÏ ®−îc lÇn l−ît chuyÓn sang tr¹ng th¸i nghe
(Listenning), tr¹ng th¸i häc (Learning) vµ cuèi cïng tr¹ng th¸i truyÒn d÷ liÖu
(Forwarding).
ë tr¹ng th¸i nghe, switch chØ x¸c ®Þnh xem port nµy cã kÕt nèi vÒ gèc víi chi phÝ
thÊp nhÊt hay kh«ng, cã t¹o vßng lÆp hay kh«ng. NÕu kÕt qu¶ port nµy kh«ng ®−îc
chän lµm port gèc vµ còng kh«ng ®−îc chØ ®Þnh lµm port nèi vµo mét segment
LAN nµo th× port sÏ ®−îc ®−a trë vÒ tr¹ng th¸i kho¸. Tr¹ng th¸i nghe kÐo dµi
kho¶ng 15 gi©y, kho¶ng thêi gian nµy gäi lµ thêi gian chê chuyÓn tr¹ng th¸i
(Forward delay). Trong tr¹ng th¸i nghe, port vÉn kh«ng chuyÓn gãi d÷ liÖu, ch−a
häc ®Þa chØ MAC, vÉn chØ xö lý gãi BPDU th«i.
Sau ®ã, port chuyÓn tõ tr¹ng th¸i nghe sang tr¹ng th¸i häc. ë tr¹ng th¸i nµy,
port ch−a chuyÓn d÷ liÖu cña user nh−ng ®· b¾t ®Çu häc ®Þa chØ MAC tõ c¸c gãi d÷
liÖu nhËn ®−îc vµ vÉn xö lý gãi BPDU. Tr¹ng th¸i häc kÐo dµi kho¶ng 15 gi©y vµ
kho¶ng thêi gian nµy còng ®−îc gäi thêi gian chê chuyÓn tr¹ng th¸i (Forward
delay).
Sau cïng, port chuyÓn tõ tr¹ng th¸i häc sang tr¹ng th¸i truyÒn d÷ liÖu. ë
tr¹ng th¸i nµy, port thùc hiÖn truyÒn d÷ liÖu cña user, häc ®Þa chØ MAC ®ång thêi
vÉn xö lý gäi BPDU.
456
Mét port cã thÓ r¬i vµo tr¹ng th¸i kh«ng ho¹t ®éng (disable). Tr¹ng th¸i nµy
lµ do ng−êi qu¶n trÞ cµi ®Æt cho port b»ng lÖnh shutdown hoÆc do chÝnh b¶n th©n
port kh«ng cã kÕt nèi hoÆc bÞ h−, kh«ng ho¹t ®éng ®−îc.
Kho¶ng thêi gian cña mçi tr¹ng th¸i nh− ®· nªu ë trªn lµ kho¶ng thêi gian
mÆc ®Þnh ®−îc tÝnh cho mét hÖ thèng m¹ng cã tèi ®a 7 switch trªn mét nh¸nh tÝnh
tõ gèc.
7.2.6. Spanning - Tree tÝnh to¸n l¹i.
Sau khi hÖ thèng m¹ng chuyÓn m¹ch ®· héi tô, tÊt c¶ c¸c port trªn mäi
switch vµ bridge ®Òu ë tr¹ng th¸i truyÒn d÷ liÖu hoÆc tr¹ng th¸i kho¸. Port truyÒn
d÷ liÖu lµ port cã thÓ truyÒn , nhËn d÷ liÖu vµ BPDU. Port kho¸ lµ port chØ nhËn gãi
BPDU mµ th«i.
Khi cÊu tróc m¹ng cã sù thay ®æi, switch vµ bridge sÏ tÝnh to¸n l¹i cÊu tróc
h×nh c©y vµ cã thÓ g©y c¶n trë cho giao th«ng m¹ng cña user khi ®ang trong qu¸
tr×nh tÝnh to¸n.
Thêi gian héi tô theo chuÈn IEEE 801.1D cho cÊu tróc h×nh c©y míi lµ
kho¶ng 50 gi©y. Khi cÊu tróc m¹ng cã sù thay ®æi x¶y ra, sau thêi gian chê tèi ®a
(max - age) lµ 20 gi©y ®Ó x¸c ®Þnh sù thay ®æi ®ã, Spanning - Tree míi b¾t ®Çu tÝnh
l¹i vµ chuyÓn tr¹ng th¸i cho port. Tõ tr¹ng th¸i kho¸, port ®−îc chuyÓn sang tr¹ng
th¸i nghe. Sau ®ã ë tr¹ng th¸i nghe 15 gi©y råi míi chuyÓn sang tr¹ng th¸i häc vµ ë
tr¹ng th¸i häc 15 gi©y råi míi chuyÓn sang tr¹ng th¸i truyÒn d÷ liÖu. Nh− vËy tæng
céng lµ 50 gi©y ®Ó cÊu tróc m¹ng chuyÓn sang cÊu h×nh c©y míi ®¸p øng theo sù
thay ®æi.
457
H×nh 7.2.6.a
VÝ dô mét cÊu tróc m¹ng chuyÓn m¹ch ®· héi tô nh− trªn. Theo chu kú mÆc
®Þnh, cø 20 gi©y c¸c switch l¹i thùc hiÖn trao ®æi gãi BPDU mét lÇn. Gi¶ sö kÕt nèi
trªn port 1/1 cña Cat - B bÞ ®øt. Khi ®ã Cat - B kh«ng cßn nhËn ®−îc gãi BPDU
theo ®Þnh kú trªn port 1/1 n÷a. Trong khi ®ã Cat - B vÉn nhËn ®−îc gãi BPDU ®Òu
®Æn trªn port 1/2. Cat - B ®îi hÕt thêi gian chê tèi ®a (max - age) lµ 20 gi©y míi x¸c
®Þnh kÕt nèi trªn port 1/1 ®· chÕt vµ b¾t ®Çu chuyÓn sang tr¹ng th¸i cho port 1/2.
Port 1/2 kh«ng thÓ chuyÓn ngay tõ tr¹ng th¸i kho¸ sang tr¹ng th¸i chuyÒn d÷ liÖu
®−îc mµ ph¶i tr¶i qua 2 tr¹ng th¸i trung gian lµ tr¹ng th¸i nghe vµ tr¹ng th¸i häc,
mçi tr¹ng th¸i trung gian nµy kÐo dµi 15 gi©y. Nh− vËy tæng céng lµ 50 gi©y kÓ tõ
lóc kÕt nèi trªn port 1/1 cña Cat - B bÞ ®øt, m¹ng míi chuyÓn xong sang cÊu tróc
míi ®Ó ®¸p øng theo sù cè nµy.
458
H×nh 7.2.6.b. KÕt qu¶ tÝnh l¹i lµ cÊu tróc míi nh− h×nh vÏ.
7.2.7. Giao thøc Rapid Spanning - Tree.
Giao thøc Rapid Spanning - Tree ®−îc ®Þnh nghÜa trong chuÈn IEEE 802.1w.
Giao thøc nµy giíi thiÖu c¸c vÊn ®Ò míi sau:
• Lµm râ h¬n vai trß vµ tr¹ng th¸i cña port.
• §Þnh nghÜa c¸c lo¹i kÕt nèi cã thÓ chuyÓn nhanh sang tr¹ng th¸i truyÒn d÷
liÖu.
• Cho phÐp c¸c switch trong m¹ng ®· héi tô tù göi c¸c gãi BPDU cña nã chø
kh«ng chØ riªng gãi BPDU cña bridge gèc.
Tr¹ng th¸i kho¸ (bloocking) ®−îc ®æi tªn thµnh tr¹ng lo¹i bá (discarding).
Port lo¹i bá ®ãng vai trß lµ mét port dù phßng. Trong mçi segment cã mét port
®−îc chØ ®Þnh (designated port) ®Ó kÕt nèi vµo segment ®ã. NÕu port chØ ®Þnh nµy bÞ
sù cè th× port lo¹i bá t−¬ng øng sÏ ®−îc thay thÕ ngay cho port ®ã.
459
H×nh 7.2.7.a. Port 1 trªn Switch Y lµ port thay thÕ cho port 1 trªn Switch X.
C¸c kÕt nèi ®−îc ph©n thµnh c¸c lo¹i nh− kÕt nèi ®iÓm - ®Õn - ®iÓm, kÕt nèi chia
sÎ vµ kÕt nèi biªn cuèi (edge - link). KÕt nèi ®iÓm - ®Õn - ®iÓm lµ kÕt nèi gi÷a hai
switch. KÕt nèi chia sÎ lµ kÕt nèi cã nhiÒu switch cïng kÕt nèi vµo. KÕt nèi biªn
cuèi lµ kÕt nèi tõ switch xuèng host, kh«ng cßn switch nµo kh¸c xen gi÷a. Ph©n
biÖt thµnh nhiÒu lo¹i kÕt nèi cô thÓ nh− vËy, viÖc nhËn biÕt sù thay ®æi cÊu tróc
m¹ng sÏ nhanh h¬n.
KÕt nèi ®iÓm - ®Õn - ®iÓm vµ kÕt nèi biªn cuèi sÏ ®−îc chuyÓn vµo tr¹ng th¸i
truyÒn d÷ liÖu ngay lËp tøc v× kh«ng hÒ cã vßng lÆp trªn nh÷ng kÕt nèi d¹ng nµy.
460
H×nh 7.2.7.b. C¸c lo¹i kÕt nèi trong Rapid Spanning - Tree.
Thêi gian héi tô sÏ kh«ng l©u h¬n 15 gi©y kÓ tõ khi cã sù thay ®æi.
Giao thøc Rapid Spanning - Tree, hay IEEE 802.1w sÏ thùc sù thay thÕ cho
giao thøc Spanning - Tree, hay IEEE 802.1D.
TæNG kÕt
Sau khi hoµn tÊt ch−¬ng nµy, b¹n cÇn n¾m ®−îc c¸c ý quan träng sau:
• Sù dù phßng vµ vai trß quan träng cña nã trong hÖ thèng m¹ng.
• C¸c thµnh phÇn chÝnh trong cÊu tróc m¹ng dù phßng.
• TrËn b·o qu¶ng b¸ vµ t¸c h¹i cña nã trong m¹ng chuyÓn m¹ch.
• TruyÒn nhiÒu l−ît frame vµ t¸c h¹i cña nã lªn m¹ng chuyÓn m¹ch.
• Nguyªn nh©n vµ hËu qu¶ cña viÖc c¬ së d÷ liÖu ®Þa chØ MAC kh«ng æn
®Þnh.
• Lîi Ých vµ nguy c¬ cña cÊu tróc m¹ng dù phßng.
461
• Vai trß cña Spanning - Tree trong cÊu tróc m¹ng dù phßng.
• C¸c ho¹t ®éng c¬ b¶n cña Spanning - Tree.
• Qu¸ tr×nh bÇu bridge gèc.
• C¸c tr¹ng th¸i Spanning - Tree.
• So s¸nh giao thøc Spanning - Tree vµ giao thøc Rapid Spanning - Tree.
462
CHƯƠNG 8 : VLAN
GIỚI THIỆU
Mét ®Æc tÝnh quan träng cña m¹ng chuyÓn m¹ch Ethernet lµ m¹ng LAN
¶o(VLAN).VLAN lµ mét nhãm l«gic c¸c thiÕt bÞ m¹ng hoÆc c¸c usur. C¸c thiÕt bÞ
m¹ng hoÆc user ®−îc nhãm l¹i theo chøc n¨ng, phßng ban hoÆc theo øng dông chø
kh«ng theo vÞ trÝ vËt lý n÷a. C¸c thiÕt bÞ trong mét VLAN ®−îc giíi h¹n chØ th«ng
tin liªn l¹c víi c¸c thiÕt bÞ trong cïng VLAN. ChØ cã router míi cung cÊp kÕt nèi
gi÷a c¸c VLAN kh¸c nhau. Cisco ®ang cè g¾ng h−íng tíi sù t−¬ng thÝch víi c¸c
nhµ s¶n xuÊt kh¸c nhau nh−ng mçi nhµ s¶n xuÊt ®· ph¸t triÓn s¶n phÈm VLAN
riªng ®éc quyÒn cña hä cho nªn chóng cã thÓ kh«ng hoµn toµn t−¬ng thÝch víi
nhau.
VLAN víi c¸ch ph©n nguån tµi nguyªn vµ user theo l«gic ®· lµm t¨ng hiÖu
qu¶ ho¹t ®éng cña toµn bé hÖ thèng m¹ng. C¸c c«ng ty, tæ chøc th−êng sö dông
VLAN ®Ó ph©n nhãm user theo l«gic mµ kh«ng cÇn quan t©m ®Õn vÞ trÝ vËt lý cña
hä. Nhê ®ã, user trong phßng Maketing sÏ ®−îc nhãm vµo Maketing VLAN, user
trong phßng KÜ thuËt ®−îc ®Æt vµo VLAN kÜ thuËt.
Víi VLAN,m¹ng cã kh¶ n¨ng ph¸t triÓn, b¶o mËt vµ qu¶n lý tèt h¬n v×
router trong cÊu tróc VLAN cã thÓ ng¨n gãi qu¶ng b¸, b¶o mËt vµ qu¶n lý dßng l−u
l−îng m¹ng.
VLAN lµ mét c«ng cô m¹nh trong thiÕt kÕ vµ cÊu h×nh m¹ng. Víi VLAN
c¸c c«ng viÖc thªm bít, chuyÓn ®æi trong cÊu tróc m¹ng khi cÇn thiÕt trë nªn ®¬n
gi¶n h¬n rÊt nhiÒu. VLAN cßn gióp gia t¨ng b¶o mËt vµ kiÓm so¸t qu¶ng b¸ Líp 3.
Tuy nhiªn nÕuVLAN ®−îc cÊu h×nh kh«ng ®óng sÏ lµm cho m¹ng ho¹t ®éng kÐm
hoÆc cã khi kh«ng ho¹t ®éng ®−îc. Do ®ã, khi thiÕt kÕ m¹ng, viÖc n¾m ®−îc c¸ch
triÓn khai VLAN trªn nhiÒu switch kh¸c nhau lµ rÊt quan träng.
Sau khi hoµn tÊt ch−¬ng tr×nh nµy, c¸c b¹n cã thÓ thùc hiÖn ®−îc nh÷ng viÖc
sau:
+§Þnh nghÜa VLAN
+LiÖt kª c¸c Ých lîi cña VLAN
+Gi¶i thÝch VLAN ®−îc sö dông ®Ó t¹o miÒn qu¶ng b¸ nh− thÕ nµo.
463
+Gi¶i thÝch router ®−îc sö dông ®Ó th«ng tin liªn l¹c gi÷a c¸c VLAN nh− thÕ
nµo.
+LiÖt kª c¸c lo¹i VLAN
+§Þnh nghÜa ISL vµ 802.1Q
+Gi¶i thÝch c¸c kh¸i niÖm VLAN theo ®Þa lý.
+CÊu h×nh VLAN cã cè ®Þnh trªn dßng Catalyst 29xx switch.
+KiÓm tra vµ l−u cÊu h×nh VLAN
+Xo¸ VLAN khái cÊu h×nh switch.
8.1 Kh¸i niÖm vÒ VLAN
8.1.1 Giíi thiÖu vÒ VLAN
VLAN lµ mét nhãm c¸c thiÕt bÞ m¹ng kh«ng bÞ giíi h¹n theo vÞ trÝ vËt lý
hoÆc theo LAN switch mµ chóng kÕt nèi vµo.
VLAN lµ mét segment m¹ng theo l«gic dùa trªn chøc n¨ng, ®éi nhãm hoÆc
øng dông cña mét tæ chøc chø kh«ng phô thuéc vÞ trÝ vËt lý hay kÕt nèi vËt lý trong
m¹ng. TÊt c¶ c¸c m¸y tr¹m vµ server ®−îc sö dông bëi cïng mét nhãm lµm viÖc sÏ
®−îc ®Æt trong cïng VLAN bÊt kÓ vÞ trÝ hay kÕt nèi vËt lý cña chóng.
Mäi c«ng viÖc cÊu h×nh VLAN hoÆc thay ®æi cÊu h×nh VLAN ®Òu ®−îc thùc
hiÖn trªn phÇn mÒm mµ kh«ng cÇn thay ®æi c¸p vµ thiÕt bÞ vËt lý.
Mét m¸y tr¹m trong mét VLAN chØ ®−îc liªn l¹c víi file server trong cïng
VLAN víi nã. VLAN ®−îc nhãm theo chøc n¨ng l«gic vµ mçi VLAN lµ mét miÒn
qu¶ng b¸, do ®ã gãi d÷ liÖu chØ ®−îc chuyÓn m¹ch trong cïng mét VLAN.
VLAN cã kh¶ n¨ng më réng, b¶o mËt vµ qu¶n lý m¹ng tèt h¬n. Router trong
cÊu tróc VLAN thùc hiÖn ng¨n chÆn qu¶ng b¸, b¶o mËt vµ qu¶n lý nguån giao
th«ng m¹ng. Switch kh«ng thÓ chuyÓn m¹ch giao th«ng gi÷a c¸c VLAN kh¸c nhau.
Giao th«ng gi÷a c¸c VLAN ph¶i ®−îc ®Þnh tuyÕn qua router.
464
H×nh 8.1.1 Ph©n ®o¹n m¹ng LAN theo kiÓu truyÒn thèng vµ theo VLAN.
8.2.1 MiÒn qu¶ng b¸ víi VLAN vµ router
Mét VLAN lµ mét miÒn qu¶ng b¸ ®−îc t¹o nªn bëi mét hay nhiÒu switch.
H×nh 8.1.2.a cho thÊy t¹o 3 miÒn qu¶ng b¸ riªng biÖt trªn ba switch nh− thÕ nµo.
§Þnh tuyÕn Líp 3 cho phÐp router chuyÓn gãi gi÷a c¸c miÒn qu¶ng b¸ víi nhau.
H×nh 8.1.2.a.3 miÒn qu¶ng b¸ trªn 3 switch kh¸c nhau.
Trong h×nh 8.1.2.b chóng ta thÊy 3 VLAN tøc lµ 3 miÒn qu¶ng b¸ kh¸c nhau
®−îc t¹o ra trªn mét switch vµ mét router. Router sÏ sö dông ®Þnh tuyÕn Líp 3 ®Ó
chuyÓn giao th«ng gi÷a 3 VLAN.
465
H×nh 8.1.2.b. 3 VLAN 3 miÒn qu¶ng b¸ trªn mét switch.
Switch trong h×nh 8.1.2.b sÏ truyÒn frame lªn cæng giao tiÕp cña router khi:
+Gãi d÷ liÖu lµ gãi qu¶ng b¸.
+Gãi d÷ liÖu cã ®Þa chØ MAC ®Ých lµ mét trong c¸c ®Þa chØ MAC cña router.
NÕu m¸y tr¹m 1 trong VLAN kÜ thuËt muèn göi d÷ liÖu cho m¸y tr¹m 2 trong
VLAN B¸n hµng, hai m¸y nµy n»m trong hai miÒn qu¶ng b¸ kh¸c nhau, thuéc hai
m¹ng kh¸c nhau, do ®ã ®Þa chØ MAC ®Ých trong gãi d÷ liÖu sÏ lµ ®Þa chØ MAC cña
default gateway cña m¸y tr¹m 1. V× vËy ®Þa chØ MAC ®Ých cña gãi d÷ liÖu nµy sÏ lµ
®Þa chØ MAC cña tæng Fa0/0 trªn router. Gãi d÷ liÖu ®−îc chuyÓn ®Õn router, b»ng
®Þnh tuyÕn IP, router sÏ chuyÓn gãi ®Õn ®óng VLAN B¸n hµng.
NÕu m¸y tr¹m 1 trong VLAN kÜ thuËt muèn göi gãi d÷ liÖu cho m¸y tr¹m 2
trong cïng VLAN th× ®Þa chØ MAC ®Ých cña gãi d÷ liÖu sÏ chÝnh lµ ®Þa chØ MAC
cña m¸y tr¹m 2.
Tãm l¹i, switch sÏ xö lý chuyÓn m¹ch gãi d÷ liÖu khi cã chia VLAN nh− sau:
+§èi víi mçi VLAN switch cã mét b¶ng chuyÓn m¹ch riªng t−¬ng øng
466
+NÕu switch nhËn ®−îc gãi d÷ liÖu tõ mét port n»m trong VLAN 1 ch¼ng
h¹n, th× switch sÏ chØ t×m ®Þa chØ MAC ®Ých trong b¶ng chuyÓn m¹ch cña VLAN 1
mµ th«i.
+§ång thíi switch sÏ häc ®Þa chØ MAC nguån trong gãi d÷ liÖu vµ ghi vµo
b¶ng chuyÓn m¹ch cña VLAN 1 nÕu ®Þa chØ MAC nµy ch−a ®−îc biÕt.
+Sau ®ã switch quyÕt ®Þnh chuyÓn gãi d÷ liÖu.
+Switch nhËn frame vµo tõ VLAN nµo th× switch chØ häc ®Þa chØ nguån cña
frame vµ t×m ®Þa chØ ®Ých cho frame trong mét b¶ng chuyÓn m¹ch t−¬ng øng víi
VLAN ®ã.
8.1.3 Ho¹t ®éng cña VLAN
Mçi port trªn switch cã thÓ g¸n cho mét VLAN kh¸c nhau. C¸c port n»m
trong cïng mét VLAN sÏ chia sÎ gãi qu¶ng b¸ víi nhau. C¸c port kh«ng n»m trong
cïng VLAN sÏ kh«ng chia sÎ gãi qu¶ng b¸ víi nhau. Nhê ®ã m¹ng LAN ho¹t ®éng
hiÖu qu¶ h¬n.
H×nh 8.1.3.a VLAN cè ®Þnh.
Thµnh viªn cè ®Þnh cña VLAN ®−îc x¸c ®Þnh theo port. Khi thiÕt bÞ kÕt nèi
vµo mét port cña switch, tuú theo port thuéc lo¹i VLAN nµo th× thiÕt bÞ sÏ n»m
trong VLAN ®ã.
MÆc ®Þnh, tÊt c¶ c¸c port trªn mét switch ®Òu n»m trong VLAN qu¶n lý.
VLAN qu¶n lý lu«n lu«n lµ VLAN 1 vµ chóng ta kh«ng thÓ xo¸ VLAN nµy ®−îc.
467
Sau ®ã chóng ta cã thÓ cÊu h×nh g¸n port vµo c¸c VLAN kh¸c. VLAN cung cÊp
b¨ng th«ng tin nhiÒu h¬n cho user so víi m¹ng chia sÎ. Trong m¹ng chia sÎ, c¸c
user cïng chia sÎ mét b¨ng th«ng trong m¹ng ®ã, cµng nhiÒu user trong mét m¹ng
chia sÎ th× l−îng b¨ng th«ng cµng thÊp h¬n vµ hiÖu suÊt ho¹t ®éng cµng gi¶m ®i.
Thµnh viªn ®éng cña VLAN ®−îc cÊu h×nh b»ng phÇn mÒm qu¶n lý m¹ng.
B¹n cã thÓ sö dông CiscoWorks 2000 hoÆc CiscoWorks for Switch Internetworks
®Ó t¹o VLAN ®éng. VLAN ®éng cho phÐp c¸c ®Þnh thµnh viªn dùa theo ®Þa chØ
MAC cña thiÕt bÞ kÕt nèi vµo switch chø kh«ng cßn x¸c ®Þnh theo port n÷a. Khi
thiÕt bÞ kÕt nèi vµo switch, switch sÏ t×m trong c¬ së d÷ liÖu cña nã ®Ó x¸c ®Þnh
thiÕt bÞ nµy thuéc lo¹i VLAN nµo.
H×nh 8.1.3.b VLAN ®éng
*CÊu h×nh VLAN b»ng c¸c phÇn mÒm VLAN qu¶n lý tËp trung.
*Cã thÓ chia VLAN theo ®Þa chØ MAC, ®Þa chØ l«gic hoÆc theo lo¹i giao
thøc.
*Kh«ng cÇn qu¶n lý nhiÒu ë c¸c tñ nèi d©y n÷a v× thiÕt bÞ kÕt nèi vµo m¹ng
thuéc VLAN nµo lµ tuú theo ®Þa chØ cña thiÕt bÞ ®ã ®· ®−îc g¸n vµo VLAN.
*Cã kh¶ n¨ng th«ng b¸o cho qu¶n trÞ m¹ng khi cã mét user l¹, kh«ng cã
trong c¬ së d÷ liÖu kÕt nèi vµo m¹ng.
X¸c ®Þnh thµnh viªn VLAN theo port tøc lµ port ®· ®−îc g¸n vµo VLAN nµo
th× thiÕt bÞ kÕt nèi vµo port ®ã thuéc VLAN ®ã, kh«ng phô thuéc vµo thiÕt bÞ kÕt
nèi lµ thiÕt bÞ g×, ®Þa chØ bao nhiªu. Víi c¸ch chia VLAN theo port nh− vËy, tÊt c¶
c¸c user kÕt nèi vµo cïng mét port sÏ n»m trong cïng mét VLAN. Mét user hay
nhiÒu user cã thÓ kÕt nèi vµo mét port vµ sÏ kh«ng nhËn thÊy lµ cã sù tån t¹i cña
468
VLAN. C¸ch chia VLAN nµy gióp viÖc qu¶n lý ®¬n gi¶n h¬n v× kh«ng cÇn t×m
trong c¬ së d÷ liÖu phøc t¹p ®Ó x¸c ®Þnh thµnh viªn cña mçi VLAN.
Ng−êi qu¶n trÞ m¹ng cã tr¸ch nhiÖm cÊu h×nh VLAN b»ng tay vµ cè ®Þnh.
Mçi mét port trªn switch còng ho¹t ®éng gièng nh− mét port trªn bridge. Bridge sÏ
chÆn luång l−u l−îng nÕu nã kh«ng cÇn thiÕt ph¶i ®i ra ngoµi segment. NÕu gãi d÷
liÖu cÇn ph¶i chuyÓn qua bridge vµ switch kh«ng biÕt ®Þa chØ ®Ých hoÆc gãi nhËn
®−îc lµ gãi qu¶ng b¸ th× míi chuyÓn ra tÊt c¶ c¸c port n»m trong cïng miÒn qu¶ng
b¸ víi port nhËn gãi d÷ liÖu vµo.
H×nh 8.1.3.c. Chia VLAN theo port.
8.1.4 Ých lîi cña VLAN
Lîi Ých cña VLAN lµ cho phÐp ng−êi qu¶n trÞ m¹ng tæ chøc m¹ng theo l«gÝc
chø kh«ng theo vËt lý n÷a. Nhê ®ã nh÷ng c«ng viÖc sau cã thÓ thùc hiÖn dÔ dµng
h¬n:
*Di chuyÓn m¸y tr¹m trong LAN dÔ dµng.
* Thªm m¸y tr¹m vµo LAN dÔ dµng.
*Thay ®æi cÊu h×nh LAN dÔ dµng.
469
*KiÓm so¸t giao th«ng m¹ng dÔ dµng.
*Gia t¨ng kh¶ n¨ng b¶o mËt.
TÊt c¶ c¸c user ®−îc g¾n vµo cïng port lµ cïng mét VLAN.
H×nh 8.1.4
8.1.5 C¸c lo¹i VLAN
Cã 3 lo¹i thµnh viªn VLAN ®Ó x¸c ®Þnh vµ kiÓm so¸t viÖc sö lý c¸c gãi d÷ liÖu:
*VLAN theo port
*VLAN theo ®Þa chØ MAC
*VLAN theo giao thøc
470
H×nh 8.1.5.1. 3 lo¹i thµnh viªn VLAN
*User thuéc lo¹i VLAN nµo lµ tuú thuéc vµo port kÕt nèi cña user ®ã.
*Kh«ng cÇn t×m trong c¬ së d÷ liÖu khi x¸c ®Þnh thµnh viªn VLAN
*DÔ dµng qu¶n lý b»ng giao diÖn ®å ho¹(GUIs). Qu¶n lý thµnh viªn cña
VLAN theo port còng dÔ dµng vµ ®¬n gi¶n.
*B¶o mËt tèi ®a gi÷a c¸c VLAN
*Gãi d÷ liÖu kh«ng bÞ “rß rØ” sang c¸c miÒn kh¸c.
*DÔ dµng kiÓm so¸t qua m¹ng
471
H×nh 8.1.5.b.X¸c ®Þnh thµnh viªn VLAN theo port.
*User thuéc lo¹i VLAN nµo lµ tuú thuéc vµo ®Þa chØ MAC cña user ®ã
*Linh ho¹t h¬n nh−ng t¨ng ®é t¶i lªn giao th«ng m¹ng vµ c«ng viÖc qu¶n trÞ
m¹ng.
*¶nh h−ëng ®Õn hiÖu suÊt ho¹t ®éng, kh¶ n¨ng më réng vµ kh¶ n¨ng qu¶n trÞ
v× qu¶n lý thµnh viªn cña VLAN theo ®Þa chØ MAC lµ mét viÖc phøc t¹p.
*TiÕn tr×nh xö lý gÇn gièng nh− c¸c líp trªn.
H×nh 8.1.5.c X¸c ®Þnh thµnh viªn VLAN theo ®Þa chØ MAC.
Sè l−îng VLAN trªn mét switch phô thuéc vµo c¸c yÕu tè sau:
472
+Dßng giao th«ng
+Lo¹i øng dông
+Sù qu¶n lý m¹ng
+Sù ph©n nhãm
Ngoµi ra mét yÕu tè quan träng mµ chóng ta cÇn quan t©m lµ kÝch th−íc cña switch
vµ s¬ ®å chia ®Þa chØ IP
VÝ dô: Mét m¹ng sö dông ®Þa chØ m¹ng cã 24 bÝt subnet mask, nh− vËy mçi subnet
cã tæng céng 254 ®Þa chØ host. Chóng ta nªn sö dông mèi t−¬ng quan mét- mét
gi÷a VLAN vµ IP subnet. Do ®ã, mçi VLAN t−¬ng øng víi mét IP subnet, cã tèi
®a 254 thiÕt bÞ.
Thieu hinh ve ko co hinh
PhÇn header cña frame sÏ ®−îc ®ãng gãi l¹i vµ ®iÒu chØnh ®Ó cã thªm th«ng
tin vÒ VLAN ID tr−íc khi frame ®−îc truyÒn lªn ®−êng truyÒn kÕt nèi gi÷a c¸c
switch. C«ng viÖc nµy gäi lµ d¸n nh·n cho frame. Sau ®ã, phÇn header cña frame
®−îc tr¶ l¹i nh− cò tr−íc khi truyÒn xuèng cho thiÕt bÞ ®Ých.
Cã hai ph−¬ng ph¸p chñ yÕu ®Ó d¸n nh·n frame lµ Intr – Switch Link(ISL) vµ
802.1Q.ISL tõng ®−îc sö dông phæ biÕn nh−ng b©y giê ®ang thay thÕ bëi 802.1Q.
XÐt vÝ dô trªn h×nh 8.1.5.d: Switch l−u riªng tõng b¶ng chuyÓn m¹ch t−¬ng
øng víi mçi VLAN. Switch nhËn frame vµo tõ VLAN nµo th× chØ häc ®Þa chØ nguån
vµ t×m ®Þa chØ ®Ých trong b¶ng chuyÓn m¹ch cña VLAN ®ã. Nhê ®ã switch b¶o ®¶m
chØ thùc hiÖn chuyÓn m¹ch trong cïng mét VLAN. B©y giê gi¶ sö m¸y tr¹m trong
VLAN1 cña switch A göi gãi d÷ liÖu cho m¸y tr¹m trong VLAN 1 cña switch B.
Switch A nhËn ®−îc gãi d÷ liÖu nµy vµo tõ port n»m trong VLAN1, do ®ã nã t×m
®Þa chØ ®Ých trong b¶ng chuyÓn m¹ch cña VLAN1. Sau ®ã switch x¸c ®Þnh lµ ph¶i
chuyÓn frame nµy lªn ®−êng backbone. Tr−íc khi chuyÓn frame lªn ®−êng
473
backbone th× Switch A sÏ ®ãng gãi l¹i cho frame, trong ®ã phÇn header cña frame
cã thªm th«ng tin vÒ VLAN ID cho biÕt gãi d÷ liÖu nµy thuéc VLAN1. C«ng viÖc
nµy gäi lµ d¸n nh·n frame. Sau ®ã Switch B nhËn ®−îc gãi d÷ liÖu tõ ®−êng
backbone xuèng, dùa vµo VLAN ID trong gãi, Switch x¸c ®Þnh gãi d÷ liÖu nµy tõ
VLAN1 nªn nã t×m ®Þa chØ ®Ých trong b¶ng chuyÓn m¹ch cña VLAN1. Switch B
t×m ®−îc port ®Ých cña gãi d÷ liÖu. Tr−íc khi chuyÓn gãi xuèng m¸y ®Ých, Switch
t×m ®−îc port ®Ých cña gãi d÷ liÖu. Tr−íc khi chuyÓn gãi xuèng m¸y ®Ých, Switch
B tr¶ l¹i ®Þnh d¹ng ban ®Çu cña phÇn header trong gãi d÷ liÖu, hay cßn gäi lµ gì
nh·n frame.
M« pháng LAN (LANE – LAN Emulation) lµm cho m¹ng ATM(Asynchronous
Transfer Mode) b¾t ch−íc gièng m¹ng Ethernet. Trong LANE, kh«ng cã d¸n nh·n
frame mµ sö dông kÕt nèi ¶o ®Ó biÓu thÞ choVLAN ID.
8.2 CÊu h×nh VLAN
8.2.1. CÊu h×nh VLAN c¬ b¶n
Trong m«i tr−êng chuyÓn m¹ch, mét m¸y tr¹m chØ nhËn ®−îc giao th«ng nµo
göi ®Õn nã. Nhê ®ã, mçi m¸y tr¹m ®−îc dµnh riªng vµ trän vÑn b¨ng th«ng cho
®−êng truyÒn vµ nhËn. Kh«ng gièng nh− hÖ thèng hus chia sÎ chØ cã mét m¸y tr¹m
®−îc phÐp truyÒn t¹i mét thêi ®iÓm, m¹ng chuyÓn m¹ch cã thÓ cho phÐp nhiÒu
phiªn giao dÞch cïng mét lóc trong mét miÒn qu¶ng b¸ mµ kh«ng lµm ¶nh h−ëng
®Õn c¸c m¸y tr¹m kh¸c bªn trong còng nh− bªn ngoµi miÒn qu¶ng b¸. VÝ dô nh−
trªn h×nh 8.2.1.a, cÆp A/B, C/D, E/F cã thÓ ®ång thêi liªn l¹c víi nhau mµ kh«ng
¶nh h−ëng ®Õn c¸c cÆp m¸y kh¸c.
474
H×nh 8.2.1.a
Mçi VLAN cã mét ®Þa chØ m¹ng Líp 3 riªng: Nhê ®ã router cã thÓ chuyÓn
gãi gi÷a c¸c VLAN víi nhau.
Chóng ta cã thÓ x©y dùng VLAN cho m¹ng tõ ®Çu cuèi - ®Õn - ®Çu cuèi hoÆc theo
giíi h¹n ®Þa lý.
H×nh 8.2.1.b VLAN tõ ®Çu cuèi- ®Õn - ®Çu cuèi.
Mét m¹ng VLAN tõ ®Çu cuèi - ®Õn - ®Çu cuèi cã c¸c ®Æc ®iÓm nh− sau:
*User ®−îc ph©n nhãm vµo VLAN hoµn toµn kh«ng phô thuéc vµo vÞ trÝ vËt
lý, chØ phô thuéc vµo chøc n¨ng c«ng viÖc cña nhãm.
*Mäi user trong cïng mét VLAN ®Òu cã chung tØ lÖ giao th«ng 80/20(80%
giao th«ng trong VLAN, 20% giao th«ng ra ngoµi VLAN)
*Khi user di chuyÓn trong hÖ thèng m¹ng vÉn kh«ng thay ®æi VLAN cña
user ®ã.
*Mçi VLAN cã nh÷ng yªu cÇu b¶o mËt riªng cho mäi thµnh viªn cña VLAN
®ã.
B¾t ®Çu tõ tÇng truy cËp, port trªn switch ®−îc cÊp xuèng cho mçi user. Ng−êi sö
dông di chuyÓn trong toµn bé hÖ thèng m¹ng ë mäi thêi ®iÓm nªn mçi switch ®Òu
475
lµ thµnh viªn cña mäi VLAN. Switch ph¶i d¸n nh·n frame khi chuyÓn frame gi÷a
c¸c switch tÇng truy cËp víi switch ph©n phèi.
ISL lµ giao thøc ®éc quyÒn cña Cisco ®Ó d¸n nh·n cho frame khi truyÒn frame gi÷a
c¸c switch víi nhau vµ víi router. CßnIEEE802.1Q lµ mét chuÈn ®Ó d¸n nh·n
frame. Catalyst 2950 kh«ng hç trî ISL trunking.
C¸c server ho¹t ®éng theo chÕ ®é client/server. Do ®ã c¸c server theo nhãm nªn ®Æt
trong cïng VLAN víi nhãm user mµ server ®ã phôc vô, nh− vËy sÏ gi÷ cho dßng
l−u l−îng tËp trung trong VLAN, gióp tèi −u ho¸ ho¹t ®éng chuyÓn m¹ch líp 2.
Router ë tÇng trôc chÝnh ®−îc sö dông ®Ó ®Þnh tuyÕn gi÷a c¸c subnet. Toµn bé hÖ
thèng nµy cã tØ lÖ l−u l−îng lµ 80% l−u l−îng trong néi bé mçi VLAN, 20% giao
th«ng ®i qua router ®Õn c¸c server toµn bé hÖ thèng vµ ®i ra internet, WAN.
8.2.2. Vlan theo ®Þa lý.
VLAN tõ ®Çu cuèi - ®Õn - ®Çu cuèi cho phÐp ph©n nhãm nguån tµi nguyªn
sö dông, vÝ dô nh− ph©n nhãm user theo server sö dông, nhãm dù ¸n vµ theo phßng
ban... Môc tiªu cña VLAN tõ ®Çu ®Õn cuèi - ®Õn - ®Çu cuèi lµ gi÷ 80% giao th«ng
trong néi bé cña VLAN.
Khi c¸c hÖ thèng m¹ng tËp ®oµn thùc hiÖn tËp trung tµi nguyªn m¹ng th×
VLAN tõ ®Çu cuèi - ®Õn - ®Çu cuèi rÊt khã thùc hiÖn môc tiªu cña m×nh. Khi ®ã
user cÇn ph¶i sö dông nhiÒu nguån tµi nguyªn kh¸c nhau kh«ng n»m trong cïng
VLAN víi user. ChÝnh v× xu h−íng sö dông vµ ph©n bè tµi nguyªn m¹ng kh¸c ®i
nªn hiÖn nay VLAN th−êng ®−îc t¹o ra theo giíi h¹n cña ®Þa lý.
Ph¹m vi ®Þa lý cã thÓ lín b»ng c¶ mét toµ nhµ hoÆc còng cã thÓ chØ nhá víi
mét switch. Trong cÊu tróc VLAN nµy. Tû lÖ l−u l−îng sÏ lµ 20/80, 20% giao
th«ng trong néi bé VLAN vµ 80% giao th«ng ®i ra ngoµi VLAN.
§iÓm nµy cã nghÜa lµ l−u l−îng ph¶i ®i qua thiÕt bÞ líp 3 míi ®Õn ®−îc 80%
nguån tµi nguyªn. KiÓu thiÕt kÕ nµy cho phÐp viÖc truy cËp nguån tµi nguyªn ®−îc
thèng nhÊt.
476
H×nh 8.2.2
8.2.3 CÊu hinh VLAN cè ®Þnh.
VLAN cè ®Þnh lµ VLAN ®−îc cÊu h×nh theo port trªn switch b»ng c¸c phÇn
mÒm qu¶n lý hoÆc cÊu h×nh trùc tiÕp trªn switch. C¸c port ®· ®−îc g¸n vµo VLAN
nµo th× nã sÏ gi÷ nguyªn cÊu h×nh VLAN ®ã cho ®Õn khi ®−îc thay ®æi b»ng lÖnh.
§©y lµ cÊu tróc VLAN theo ®Þa lý, c¸c user ph¶i ®i qua thiÕt bÞ líp 3 míi truy cËp
80% tµi nguyªn m¹ng. Lo¹i VLAN cè ®Þnh ho¹t ®éng tèt trong nh÷ng m¹ng cã ®Æc
®iÓm nh− sau:
• Sù di chuyÓn trong m¹ng ®−îc qu¶n lý vµ kiÓm so¸t.
• Cã phÇn mÒm qu¶n lý VLAN m¹nh ®Ó cÊu h×nh port trªn switch.
• Kh«ng dµnh nhiÒu t¶i cho ho¹t ®éng duy tri ®Þa chØ MAC cña thiÕt bÞ ®Çu
cuèi vµ ®iÒu chØnh b¶ng ®Þa chØ.
VLAN ®éng th× kh«ng phô thuéc vµo port trªn switch.
Sau ®©y lµ c¸c h−íng dÉn khi b¹n cÊu h×nh VLAN trªn Cisco 29xx switch:
• Sè l−îng VLAN tèi ®a phô thuéc vµo switch.
• VLAN 1 lµ VLAN mÆc ®Þnh cña nhµ s¶n xuÊt.
477
• VLAN 1 lµ VLAN Ethernet mÆc ®Þnh.
• Giao thøc ph¸t hiÖn thiÕt bÞ Cisco (Cisco Discovery Protocol – CDP) vµ
giao thøc VLAN Trunking (VTP) ®Òu giö gãi qu¶ng b¸ cña m×nh trong VLAN 1.
• §Þa chØ IP cña Catalyst 29xx mÆc ®Þnh n»m trong miÒn qu¶ng b¸ VLAN 1.
• Switch ph¶i ë chÕ ®é VTP server ®Ó t¹o, thªm hoÆc xo¸ VLAN.
ViÖc t¹o VLAN trªn switch rÊt ®¬n gi¶n vµ râ rµng. NÕu b¹n sö dông switch
víi cisco IOS, b¹n vµo chÕ ®é cÊu h×nh VLAN b»ng lÖnh vlan database ë chÕ ®é
EXEC ®Æc quyÒn, sau ®ã b¹n t¹o VLAN:
Switch # vlan database.
Switch (vlan) # vlan vlan_number.
Switch (vlan) # exit.
Sau khi ®· cã VLAN trªn switch, b−íc tiÕp theo lµ c¸c b¹n g¸n port vµo
VLAN:
Switch (config) # interfase fastethernet 0/9.
Switch (config-if)#switchport access vlan vlan_number.
8.2.4. Kiểm tra cÊu h×nh VLAN.
B¹n dïng c¸c lÖnh sau ®Ó kiÓm tra cÊu h×nh VLAN: show vlan, show vlan
brief, show vlan id id_number.
B¹n nªn nhí 2 ®iÒu kiÖn sau:
• TÊt c¶ c¸c VLAN ®−îc t¹o ra chØ b¾t ®Çu ®−îc sö dông khi ®· cã port ®−îc
ph©n cho nã.
• MÆc ®Þnh, tÊt c¶ c¸c port ethernet ®Òu n»m trong VLAN 1.
478
H×nh 8.2.4.a
H×nh 8.2.4.b
8.2.5. L−u cÊu h×nh VLAN.
B¹n nªn l−u cÊu h×nh VLAN thµnh mét tËp tin v¨n b¶n ®Ó cã thÓ biªn tËp l¹i
hoÆc ®Ó dù phßng.
479
B¹n cã thÓ l−u cÊu h×nh switch b»ng lÖnh copy running-config tftp hoÆc b»ng
chøc n¨ng ghi l¹i v¨n b¶n (capture text) cña HyperTerminal.
H×nh 8.2.5
8.2.6. Xo¸ VLAN.
Xo¸ mét VLAN trªn switch còng gièng nh− mét dßng lÖnh xo¸ trong cÊu
h×nh router vËy. §¬n gi¶n lµ b¹n t¹o VLAN b»ng lÖnh nµo th× b¹n dïng d¹ng ®ã
cña c©u lÖnh ®ã ®Ó xo¸ VLAN.
Khi mét VLAN ®· bÞ xo¸ ®i th× tÊt c¶ c¸c port cña VLAN ®ã sÏ ë tr¹ng th¸i
kh«ng ho¹t ®éng nh−ng vÉn thuéc vÒ VLAN ®· bÞ xo¸ cho ®Õn khi nµo c¸c port nµy
®−îc cÊu h×nh sang VLAN kh¸c.
H×nh 8.2.6. Xo¸ port 0/9 khái VLAN 300.
480
8.3. Xö lý sù cè VLAN.
8.3.1. Giíi thiÖu chung.
HiÖn nay VLAN ®−îc sö dông phæ biÕn. Víi VLAN, ng−êi kü s− m¹ng cã
thÓ linh ho¹t h¬n trong thiÕt kÕ vµ triÓn khai hÖ thèng m¹ng. VLAN gióp giíi h¹n
miÒn qu¶ng b¸, gia t¨ng kh¶ n¨ng b¶o mËt vµ ph©n nhãm theo logic. Tuy nhiªn, víi
c¬ b¶n chuyÓn m¹ch LAN, sù cè cã thÓ xay ra khi chóng ta triÓn khai VLAN.
Trong bµi nµy sÏ cho thÊy mét vµi sù cè cã thÓ x¶y ra víi VLAN vµ cung cÊp cho
c¸c b¹n mét sè c«ng cô vµ kü thuËt sö lý sù cè.
Sau khi hoµn tÊt bµi nµy c¸c b¹n cã thÓ thùc hiÖn c¸c viÖc sau:
• Ph©n tÝch hÖ thèng ®Ó tiÕp xóc víi sù cè cña VLAN.
• Gi¶i thÝch c¸c b−íc xö lý sù cè nãi chung trong m¹ng chuyÓn m¹ch.
• M« t¶ sù cè Spanning – Tree dÉn ®Õn trËn b·o qu¶ng b¸ nh− thÕ nµo.
• Sö dông lÖnh show vµ debug ®Ó xö lý sù cè VLAN.
8.3.2. TiÕn tr×nh xö lý sù cè VLAN.
§iÒu quan träng lµ b¹n ph¶i ph¸t triÓn c¸c b−íc xö lý sù cè trªn switch mét
c¸ch cã hÖ thèng. Sau ®©y lµ c¸c b−íc cã thÓ gióp cho b¹n x¸c ®Þnh sù cè trong
m¹ng chuyÓn m¹ch:
1. KiÓm tra c¸c biÓu hiÖn vËt lý, nh− tr¹ng th¸i LED.
2. B¾t ®Çu tõ mét cÊu h×nh trªn mét switch vµ kiªm tra dÇn ra.
3. KiÓm tra kÕt nèi líp 1.
4. KiÓm tra kÕt nèi líp 2.
5. Xö lý sù cè VLAN x¶y ra trªn nhiÒu switch.
Khi xay ra sù cè, b¹n nªn kiÓm tra xem ®©y lµ mét sù cè lÆp ®i lÆp l¹i hay lµ
sù cè biÖt lËp. Mét sè sù cè lÆp ®i lÆp l¹i cã thÓ lµ do sù gia t¨ng cña c¸c dÞch vô
phôc vô cho m¸y tr¹m, lµm v−ît qua kh¶ n¨ng cÊu h×nh, kh¶ n¨ng ®−êng trunking
vµ kh¶ n¨ng truy cËp tµi nguyªn trªn server.
481
VÝ dô: ViÖc sö dông c¸c c«ng nghÖ web vµ c¸c øng dông truyÒn thèng nh−
truyÒn t¶i file, email...sÏ lµm gia t¨ng mËt ®é giao th«ng lµm cho toµn bé hÖ thèng
bÞ tr× trÖ.
H×nh 8.3.1
HiÖn nay rÊt nhiÒu m¹ng LAN ph¶i ®èi mÆt víi m« h×nh giao th«ng ch−a
®−îc tÝnh tr−íc, lµ kÕt qu¶ cña sù gia t¨ng giao th«ng trong intranet, Ýt ph©n nhãm
server h¬n vµ t¨ng sö dông multicast. Nguyªn t¾c 80/20 víi chØ cã 20% giao th«ng
®i lªn c¸c ®−êng trôc chÝnh ®· trë lªn l¹c hËu. Ngµy nay, c¸c tr×nh duyÖt web néi
bé cã thÓ cho phÐp user x¸c ®Þnh vµ truy cËp th«ng tin ë bÊt kú ®©u trong m¹ng néi
bé cña tËp ®oµn.
NÕu m¹ng th−êng xuyªn bÞ nghÏn m¹ch, qu¸ t¶i, rít gãi vµ truyÒn l¹i nhiÒu
lÇn th× nghÜa lµ cã qu¸ nhiÒu port cho mét ®−¬ng trunk hoÆc cã qu¸ nhiÒu yªu cÇu
truy suÊt vµo c¸c nguån tµi nguyªn cña toµn hÖ th«ng vµ c¸c server intranet.
NghÏn m¹ch còng cã thÓ do phÇn lín giao th«ng ®Òu ®−îc truyÒn lªn ®−êng
trôc chÝnh, hoÆc lµ do user më ra nhiÒu tµi nguyªn vµ nhiªu øng dông ®a ph−¬ng
tiÖn. Trong tr−êng hîp nµy thÞ hÖ thèng m¹ng nªn n©ng cÊp ®Ó ®¸p øng nhu cÇu
ph¸t triÓn.
8.3.3. Ng¨n trÆn c¬n b·o qu¶ng b¸.
482
TrËn b·o qu¶ng b¸ x¶y ra khi cã qu¸ nhiÒu gãi qu¶ng b¸ ®−îc nhËn vµo trªn
mét port. ViÖc sö lý chuyÓn m¹ch c¸c gãi nµy cho hÖ thèng m¹ng ch©m ®i. Chóng
ta cã thÓ cÊu h×nh cho switch kiÓm so¸t b·o trªn tõng port. MÆc ®Þnh, chÕ ®é kiÓm
so¸t b·o trªn switch bÞ t¾t ®i.
§Ó ng¨n chÆn b·o qu¶ng b¸, chóng ta ®Æt mét gi¸ trÞ ng−ìng cho port ®Ó huû
gãi d÷ liÖu vµ ®ãng port khi gi¸ trÞ ng−ìng nµy bÞ v−ít qua.
STP (Spanning - Tree Protocol) cã mét sè sù cè bao gåm trËn b·o qu¶ng b¸,
lÆp vßng, rít gãi BPDU va gãi d÷ liÖu. Chøc n¨ng cña STP lµ b¶o ®¶m kh«ng cã
vßng lÆp tån t¹i trong m¹ng b»ng c¸ch chän ra mét bridge gèc. Bridge gèc nµy lµ
®iÓm gèc cña cÊu tróc h×nh c©y vµ n¬i kiÓm so¸t ho¹t ®éng cña giao thøc STP.
NÕu cÇn ph¶i gi¶m l−îng giao th«ng BPDU th× b¹n sÏ cµi ®Æt gi¸ trÞ tèi ®a
cho c¸c kho¶ng thêi gian ho¹t ®éng cña bridge gèc. §Æc biÖt lµ b¹n nªn ®Æt gi¸ trÞ
tèi ®a 30 gi©y cho kho¶ng thêi gian chuyÓn tr¹ng th¸i (Forward delay) vµ thêi gian
chê tèi ®a (max - age) lµ 40 gi©y.
Mét port vËt lý trªn router hoÆc switch cã thÓ lµ thµnh viªn cña mét hoÆc
nhiÒu cÊu tróc h×nh c©y nÕu port nµy kÕt nèi vµo ®−êng trunk.
L−u ý: VTP chØ ch¹y trªn Catalyst switch chø kh«ng ch¹y trªn router.
Trªn switch kÕt nèi vµo router, b¹n nªn cÊu h×nh cho switch ®ã ch¹y ë chÕ ®é
VTP transparent cho ®Õn khi nµo Cisco hç trî VTP trªn router cña hä.
Giao thøc Spanning - Tree ®−îc xem lµ mét trong nh÷ng giao thøc líp 2
quan träng nhÊt trªn Catalyst switch. b»ng c¸ch ng¨n chÆn c¸c vßng luËn lý trong
m¹ng chuyÓn m¹ch, STP cho phÐp cÊu tróc líp 2 vÉn cã c¸c ®−êng d− ®Ó dù phßng
mµ kh«ng g©y ra tr©n b·o qu¶ng b¸.
483
TẬP 4
CHƯƠNG I:PHÂN CHIA ĐỊA CHỈ IP
GIỚI THIỆU
Sự phát triển không ngừng của Internet đã làm cho những nhà nghiên cứu bất ngờ.
Một trong những nguyên nhân làm cho Internet phát triển nhanh chóng như vậy là
do sự linh hoạt, uyển chuyển của thiết kế ban đầu. Nếu chúng ta không có các biện
pháp phân phối địa chỉ IP thì sự phát triển của Internet sẽ làm cạn kiệt nguồn địa
chỉ IP. Để giải quyết vấn đề thiếu hụt địa chỉ IP, nhiều biện pháp đã được triển
khai. Trong đó, một biện pháp đã được triển khai rộng rãi là chuyển đổi địa chỉ
mạng (Network Address Translation – NAT).
NAT là một cơ chế để tiết kiệm địa chỉ IP đăng kí trong một mạng lớn và giúp đơn
giản hóa việc quản lý địa chỉ IP. Khi một gói dữ liệu được định tuyến trong một
thiết bị mạng, thường là firewall hoặc các router biên, địa chỉ IP nguồn sẽ được
chuyển đổi từ địa chỉ mạng riêng thành địa chỉ IP công cộng định tuyến được. Điều
này cho phép gói dữ liệu được truyền đi trong trong mạng công cộng, ví dụ như
Internet. Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa
chỉ riêng để phát vào trong mạng nội bộ. Một dạng của NAT, được gọi là PAT
(Port Address Translation), cho phép nhiều địa chỉ riêng được dịch sang một địa
chỉ công cộng duy nhất.
Router, server và các thiết bị quan trọng khác trong mạng thường đòi hỏi phải được
cấu hình bằng tay địa chỉ IP cố định. Trong khi đó, các máy tính client không cần
thiết phải đặt cố định một địa chỉ mà chỉ cần xác định một dải địa chỉ cho nó. Dải
địa chỉ này thường là một subnet IP. Một máy tính nằm trong subnet có thể được
phân phối bất kì địa chỉ nào nằm trong subnet đó.
484
Giao thức DHCP (Dynamic Host Configuration Protocol) được thiết kế để phân
phối địa chỉ IP và đồng thời cung cấp các thông tin cấu hình mạng quan trọng một
cách tự động cho máy tính. Số lượng máy client chiếm phần lớn trong hệ thống
mạng, do đó DHCP thực sự là công cụ tiết kiệm thời gian cho người quản trị mạng.
Sau khi hoàn tất chương này, các bạn có thể:
• Xác định địa chỉ IP riêng được mô tả trong RFC 1918.
• Nắm được các đặc điểm của NAT và PAT.
• Phân tích các lợi điểm của NAT.
• Phân tích cách cấu hình NAT và PAT, bao gồm cả chuyển đổi cố định,
chuyển đổi động và chuyển đổi overloading.
• Xác định các lệnh dùng để kiệm tra cấu hình NAT và PAT.
• Liệt kê các bước xử lý sự cố NAT và PAT.
• Nắm được các ưu điểm và nhược điểm của NAT.
• Mô tả các đặc điểm của DHCP.
• Phân tích sự khác nhau giữa BOOTP và DHCP.
• Phân tích quá trình cấu hình DHCP client.
• Cấu hình DHCP server.
• Xử lý sự cố DHCP.
• Phân tích yêu cầu đặt lại DHCP.
1.1. Chia địa chỉ mạng với NAT và PAT
1.1.1. Địa chỉ riêng
RFC 1918 dành riêng 3 dải địa chỉ IP sau:
• 1 địa chỉ lớp A: 10.0.0.0/8.
• 16 địa chỉ lớp B: 172.16.0.0 – 172.31.255.255 (172.16.0.0/12).
485
• 256 địa chỉ lớp C: 192.168.0.0-192.168.255.255 (192.168.0.0/16).
Những địa chỉ trên chỉ dùng cho mạng riêng, mạng nội bộ. Các gói dữ liệu có địa
chỉ như trên sẽ không định tuyến được trên Internet.
Địa chỉ Internet công cộng phải được đăng ký với một công ty có thẩm quyền
Internet, ví dụ như American Registry for Internet Numbers (ARIN) hoặc Réseaux
IP Européens (RIPE) và The Regional Internet Registry phụ trách khu vực Châu
Âu và Bắc Phi. Địa chỉ IP công cộng còn có thể được thuê từ một nhà cung cấp
dịch vụ Internet (ISP). Địa chỉ IP riêng được dành riêng và có thể được sử dụng bởi
bất kỳ ai. Điều này có nghĩa là có thể có 2 mạng hoặc 2 triệu mạng sử dụng cùng
một địa chỉ mạng riêng. Router trên Internet sẽ không định tuyến các địa chỉ RFC
1918.ISP cấu hình Router biên ngăn không cho các lưu lượng của địa chỉ riêng
được phát ra ngoài.
NAT mang đến rất nhiều lợi ích cho các công ty và Internet. Trước đây, khi không
có NAT, một máy tính không thể truy cập Internet với địa chỉ riêng. Bây giờ, sau
khi có NAT, các công ty có thể cấu hình địa chỉ riêng cho một hoặc tất cả các máy
tính và sử dụng NAT để truy cập Internet.
1.1.2. Giới thiệu NAT và PAT
NAT được thiết kế để tiết kiệm địa chỉ IP và cho phép mạng nội bộ sử dụng địa chỉ
IP riêng. Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định
tuyến được bằng cách chạy phần mềm NAT đặc biệt trên thiết bị mạng. Điều này
giúp cho mạng riêng càng được tách biệt và giấu được địa chỉ IP nội bộ.
NAT thường được sử dụng trên Router biên của mạng một cửa. Mạng một cửa là
mạng chỉ có một kết nối duy nhất ra bên ngoài. Khi một host nằm trong mạng một
cửa muốn truyền dữ liệu cho một host nằm bên ngoài nó sẽ truyền gói dữ liệu đến
Router biên giới. Router biên giới sẽ thực hiện tiến trình NAT, chuyển đổi địa chỉ
486
riêng của host nguồn sang một địa chỉ công cộng định tuyến được. Trong thuật ngữ
NAT, mạng nội bộ có nghĩa là tập hợp các địa chỉ mạng cần chuyển đổi địa chỉ.
Mạng bên ngoài là tất cả các địa chỉ khác còn lai.
Mạng cục bộ chỉ có một cửa ra mạng bên ngoài.
Hình 1.1.2.a. Mạng một cửa
Cisco định nghĩa các thuật ngữ NAT như sau:
• Địa chỉ cục bộ bên trong (Inside local address): là địa chỉ được phân phối
cho các host bên trong mạng nội bộ. Các địa chỉ này thường không phải là
địa chỉ được cung cấp bởi InterNIC (Internet Network Information Center)
hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ này thường là địa chỉ riêng
RFC 1918.
• Địa chỉ toàn cục bên trong (Inside global address): là địa chỉ IP hợp pháp
được cung cấp bởi InterNIC hoặc bởi nhà cung cấp dịch vụ Internet. Địa chỉ
này đại diện cho một hoặc nhiều địa chỉ nội bộ bên trong đối với thế giới bên
ngoài.
487
• Địa chỉ cục bộ bên ngoài (Outside local address): là địa chỉ riêng của host
nằm bên ngoài mạng nội bộ.
• Địa chỉ toàn cục bên ngoài (Outside global address): là địa chỉ công cộng
hợp pháp của host nằm bên ngoài mạng nội bộ.
Hình 1.1.2.b. Host nội bộ 10.0.0.3 muốn gửi gói dữ liệu cho một host nằm ngoài
128.23.2.2. Gói dữ liệu được gửi tới router biên giới RTA.
Hình 1.1.2.c. RTA nhận thấy gói dữ liệu này đươc gửi ra ngoài internet nên nó
thực hiên tiến trình NAT, chuyến đổi địa chỉ nguồn 10.0.0.3 thành địa chỉ công
cộng là 179.9.8.80. Sauk hi thực hiện NAT xong, gói dữ liệu từ RTA đi ra sẽ có địa
chỉ nguồn là một địa chỉ công cộng hợp pháp 179.9.8.80.
488
Hình 1.1.2.d. Sau đó server 128..23.2.2 có thể gửi lại một gói trả lời. Khi đó gói
trả lời sẽ có địa chỉ đích là 179.9.8.80.
Hình 1.1.2.e. RTA nhận thấy gói dữ liệu này được gửi từ bên ngoài vào trong
mạng nội bộ. RTA sẽ tìm trong bảng NAT để ánh xạ từ địa chỉ đích công cộng sang
địa chỉ riêng tương ứng. Sau khi thực hiên NAT xong, gói dữ liệu từ RTA phát vào
trong mạng nội bộ sẽ có địa chỉ đích là địa chỉ riêng của host đích 10.0.0.3.
Xét ví dụ hình 1.1.2.b, đối với RTA:
• Địa chỉ nội bộ bên trong là 10.0.0.3.
• Địa chỉ toàn cục bên trong là: 179.9.8.80.
• Địa chỉ toàn cục bên ngoài là: 128.23.2.2.
489
1.1.3. Các đặc điểm của NAT và PAT
Chuyển đổi NAT rất hữu ích cho nhiều mục đích khác nhau và có thể chuyển đổi
động hoặc cố định. NAT cố định được thiết kế để ánh xạ một-một, từ một địa chỉ
nội bộ sang một địa chỉ công cộng tương ứng duy nhất. Điều này rất tốt đối với
những host cần phải có địa chỉ nhất định để truy cập từ Internet. Những host này có
thể là các server toàn hệ thống hoặc các thiết bị mạng.
NAT động được thiết kế để ánh xạ một địa chỉ IP riêng sang một địa chỉ công
cộng một cách tự động. Bất kỳ địa chỉ IP nào nằm trong dải địa chỉ IP công cộng
đã được định trước đều có thể được gán cho một host bên trong mạng. Overloading
hoặc PAT có thể ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ IP công cộng vì
mỗi địa chỉ riêng được phân biệt bằng số port.
PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi
chuyển đổi. Số port được mã hóa 16 bit. Do đó có tới 65.536 địa chỉ nội bộ có thể
được chuyển đổi sang một địa chỉ công cộng. Thực tế thì số lượng port có thể gán
cho một địa chỉ IP là khoảng 4000 port. PAT sẽ cố gắng giữ nguyên số port nguồn
ban đầu. Nhưng nếu số port này đã bị sử dụng thi PAT sẽ lấy số port còn trống đầu
tiên trong các nhóm port 0-511, 512-1023, 1024-65535.
Khi không còn số port nào còn trống và vẫn còn địa chỉ IP công cộng khác đã được
cấu hình thì PAT sẽ chuyển sang địa chỉ IP công cộng kế tiếp và bắt đàu xác định
số port nguồn như trên. Quá trình này sẽ được thực hiện cho đến khi nào hết số
port và địa chỉ IP công cộng còn trống.
490
Hình 1.1.3.a.
.
Hình 1.1.3.b.
491
Hình 1.1.3.c. Host 10.0.0.3 gửi gói dữ liệu ra internet. Trong gói dữ liệu này, địa
chỉ IP nguồn là 10.0.0.3, port là 1444
Hình 1.1.3.d. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.3 sang địa
chỉ 179.9.8.80, port nguồn vẫn giữ nguyên là 1444.
Hình 1.1.3.e. Bây giờ Host 10.0.0.4 cũng gửi gói dữ liệu ra internet với địa chỉ
nguồn là 10.0.0.4, port nguồn là 1444
492
Hình 1.1.3.f. Router thực hiện chuyển đổi địa chỉ IP nguồn từ 10.0.0.4 sang
179.9.8.80. Port nguồn là 1444 lúc này phải đổi sang 1445. Như vậy theo như
bảng NAT trong hình ta thấy địa chỉ công cộng 179.9.8.80: 1444 là tương ứng với
10.0.0.3:1444, 179.9.8.80:1445 tương ứng với 10.0.0.4:1444. Bằng cách sử dụng
kết hợp với số port như vậy, PAT có thể ánh xạ một địa chỉ IP công cộng cho nhiều
địa chỉ riêng bên trong.
NAT cung cấp những lợi điểm sau:
• Không cần phải gán địa chỉ IP mới cho từng host khi thay đổi sang một ISP
mới. Nhờ đó có thể tiết kiệm được thời gian và tiền bạc.
• Tiết kiệm địa chỉ thông qua ứng dụng ghép kênh cấp độ port. Với PAT, các
host bên trong có thể chia sẻ một địa chỉ IP công cộng để giao tiếp với bên
ngoài. Với cách cấu hình này, chúng ta cần rất ít địa chỉ công cộng, nhờ đó
có thể tiết kiệm địa chỉ IP.
• Bảo vệ mạng an toàn vì mạng nội bộ không để lộ địa chỉ và cấu trúc bên
trong ra ngoài.
1.1.4. Cấu hình NAT và PAT
493
1.1.4.1. Chuyển đổi cố định
Để cấu hình chuyển đổi cố định địa chỉ nguồn bên trong, chúng ta cấu hình các
bước như sau:
Bước Thực hiện Ghi chú
1 Thiết lập mối quan hệ chuyển đổi giữa địa
chỉ nội bộ bên trong và địa chỉ đại diện
bên ngoài
Router (config) # ip nat inside
source static local-ip global-ip
Trong chế độ cấu hình toàn
cục, bạn dùng câu lệnh no ip
nat inside source static để
xóa sụ chuyển đổi địa chỉ cố
định.
2 Xác định cổng kết nối vòa mạng bên
trong.
Router (config) # interface type number
Sau khi gõ lệnh interface,
dấu nhắc của dòng lệnh sẽ
chuyển từ (config) # sang
(config-if) #
3 Đánh dấu cổng này là cổng kết nối vào
mạng nội bộ bên trong.
Router (config-if) # ip nat inside
4 Thóat khỏi chế độ cấu hình cổng hiện tại.
Router (config-if) # exit
5 Xác định cổng kết nối ra mạng công cộng
bên ngoài.
Router (config) # interface type number
494
6 Đánh dấu cổng này là cổng kết nối ra
mạng công cộng bên ngoài.
Router (config-if) # ip nat outside
Hình vẽ - 2 hình
Hình 1.1.4.a Sự chuyển đổi địa chỉ sẽ được thưc hiện giữa hai cổng inside và
outside
495
Hình 1.1.4.b. Cấu hình NAT chuyển đổi cố định từ địa chỉ 10.1.1.2 sang
192.168.1.2. Khi có một gói dữ liệu từ host 10.1.1.2 được gửi ra ngoài internet,
router GW sẽ chuyển đổi địa chỉ nguồn 10.1.1.2 của gói dữ liệu sang địa chỉ
192.168.1.2 trước khi phát gói ra cổng s0.
1.1.4.2. Chuyển đổi động
Để Chuyển đổi động địa chỉ nguồn bên trong, chúng ta cấu hình theo các bước như
sau:
Bước Thực hiện Ghi chú
1 Xác định dải địa chỉ đại diện bên ngoài
Rourter (config) # ip nat pool name start-ip
end-ip [netmask netmask /prefix-length
prefix-length]
Trong chế độ cấu hình
toàn cục, gõ lệnh no ip
nat pool name để xóa dải
địa chỉ đại diên bên ngoài.
2 Thiết lập ACL cơ bản cho phép những địa
chỉ nội bộ bên trong nào được chuyển đổi.
Router (config) # access-list access-list-
number permit source [source-wildcard]
Trong chế độ cấu hình
toàn cục, gõ lệnh no
access-list access-list-
number để xóa ACL đó.
3 Thiết lập mối liên quan giữa địa chỉ nguồn
đã được xác định trong ACL ở bước trên với
dải địa chỉ đại diện bên ngoài:
Router (config) # ip nat inside source list
access-list-number pool name
Trong chế độ cấu hình
toàn cục, gõ lênh no ip
nat inside source để xóa
sự chuyển đổi động này
4 Xác định cổng kết nối vào mạng nội bộ Sau khi gõ xong lệnh
496
Router (config) # interface type number interface, dấu nhắc của
dòng lệnh sẽ chuyển đổi
từ config sang (config-if)#
5 Đánh dấu cổng này là cổng kết nối vào mạng
nội bộ.
Router (config-if) # ip nat inside
6 Thóat khỏi chế độ cổng hiện tại.
Router (config) # exit
7 Xác định cổng kết nối ra bên ngoài.
Router (config) # interface type number
8 Đánh dấu cổng này là cổng kết nối ra bên
ngoài.
Router (config) # ip nat outside
Danh sách điều khiển truy cập (ACL – Access Control List) cho phép khai báo
những địa chỉ nào được chuyển đổi. Bạn nên nhớ là kết thúc một ACL luôn có câu
lệnh ẩn cấm tuyệt đối để tránh những kết quả không dự tính được khi một ACL có
quá nhiều điều kiện cho phép. Cisco khuyến cáo là không nên dùng điều kiện cho
phép tất cả permit any trong ACL sử dụng cho NAT vì câu lệnh này làm hao tốn
quá nhiều tài nguyên của Router và do đó có thể gây ra sự cố mạng.
497
Hình 1.1.4.c
Xét ví dụ hình 1.1.4.c: Dải địa chỉ công cộng đại diện ben ngoài có tên là nat-
pool1, bao gồm các địa chỉ từ 179.9.8.80 đến 179.9.95. Địa chỉ nội bộ bên trong
được phép chuyển đổi được định nghĩa trong access-list 1 là 10.1.0.0 – 10.1.0.255.
Như vậy, gói dữ liệu nào trong mạng nội bộ đi ra ngoài Internet có địa chỉ nguồn
nằm trong dải địa chỉ 10.1.0.0 – 10.1.0.255 sẽ được chuyển đổi địa chỉ nguồn sang
một trong bất kỳ địa chỉ nào còn trống trong dải địa chỉ công cộng 179.9.8.80 –
179.9.8.95. Host 10.1.1.2 sẽ không được chuyển đổi địa chỉ vì địa chỉ của nó
không được cho phép trong acces-list 1, do đó nó không truy cập được Internet.
Overloading hay PAT
Overloading được cấu hình theo hai cách tùy theo địa chỉ IP công cộng được cấp
phát như thể nào. Một ISP có thể cho một hệ thống mạng của khách hàng sử dụng
chung một địa chỉ IP công cộng duy nhất, đia jchỉ IP công cộng này chính là địa
chỉ của cổng giao tiểp trên Router nối về ISP. Sau đây là ví dụ cấu hình cho tình
huống này:
498
Router (config) # access-list 1 permit 10.0.0.0 0.0.255.255
Router (config) ip nat inside source list 1 interface serial0/0 overload
Bước Thực hiện Ghi chú
1 Tạo ACL để cho phép những địa chỉ nội bộ
nào được chuyển đổi.
Router(config) # access-list acl-number
permit source [source-wildcard]
Trong chế độ cấu hình
toàn cục, gõ lệnh no
access-list access-list-
number để xóa access-list
tương ứng.
2A Thiết lập mối liên quan giữa địa chỉ nguồn đã
được xác định trong access-list ở bước trên với
địa chỉ đại diện là địa chỉ của cổng kết nối với
bên ngoài.
Router (config) # ip nat inside source list acl-
number interface interface overload
Trong chế độ cấu hình
toàn cục, gõ lệnh no ip
nat inside source để xóa
sự chuyển đổi động này.
Từ khóa overload để cho
phép chạy PAT
Hoặc
2B
Khai báo dải địa chỉ đại diện bên ngoài dùng
overload.
Router (config) ip nat pool name start-ip end-
ip
[netmask netmask / prefix-length prefix-
length]
Thiết lập chuyển đổi overload giữa địa chỉ nội
bộ đã được xác định trong ACL ở bước 1 với
dải địa chỉ đại diện bên ngoài mới khai báo ở
499
trên.
Router (config) # ip nat inside source list acl-
number pool name overload
3 Xác định cổng kết nối với mạng nội bộ.
Router (config) # interface type number
Router (config-if) # ip nat inside
Sau khi gõ lệnh interface,
dấu nhắc của dòng lệnh sẽ
được đổi từ (config)#
sang (config-if)#
4 Xác định cổng kết nối với bên ngoài.
Router (config) # interface type number
Router (config-if) # ip nat outside.
Một cách khác để cấu hình Overload là khi ISP cung cấp một hoặc nhiều địa chỉ IP
công cộng để cho hệ thống mạng khách hàng sử dụng làm dải địa chỉ chuyển đổi
PAT. Cấu hình ví dụ cho tình huống này như sau:
• Xác định địa chỉ nội bộ được phép chuyển đổi là 10.0.0.0/16:
500
Router (config) # access-list 1 permit 10.0.0.0.0.0.255.255
• Khai báo dải địa chỉ đại diện bên ngoài với tên là nat-pool2, bao gồm các địa
chỉ trong subnet 179.9.8.20/28:
Router (config) # ip nat pool nat-pool2 179.9.8.20 netmask
255.255.255.240
• Thiết lập sự chuyển đổi Overload địa chỉ nội bộ được xác định trong access-
list 1 với dải địa chỉ đại diện nat pool2:
Router (config) # ip nat inside source list 1 pool nat-pool2 overload
Hình 1.1.4.d.
Xét ví dụ hình 1.1.4.d: địa chỉ nội bộ bên trong được phép chuyển đổi được xác
định trong access-list 1 là 192.168.2.0/24 và 192.168.3.0/24. Địa chỉ đại diện bên
ngoài là địa chỉ của cổng serial 0, cổng kết nối ra Internet. Như vậy phải toàn bộ
địa chỉ bên trong được chuyển đổi PAT với một địa chỉ IP đại diện duy nhất là địa
chỉ của cổng kết nối ra Internet, cổng serial 0.
501
1.1.5. Kiểm tra cấu hình PAT
Sau khi NAT đã được cấu hình, chúng ta có thể dùng lệnh clear và show để kiểm
tra hoạt động của NAT.
Mặc định, trong bảng chuyển đổi NAT động, mỗi một cặp chuyển đổi địa chỉ sẽ bị
xóa đi sau một khoảng thời gian không sử dụng. Với chuyển đổi không sử dụng chỉ
số Port thì khoảng thời gian mặc định là 24 giờ. Chúng ta có thể thay đổi khoảng
thời gian này bằng lệnh ip nat translation timeout timeout_seconds trong chế độ
cấu hình toàn cục.
Các thông tin về sự chuyển đổi có thể được hiển thị bằng các lệnh sau:
Lệnh Giải Thích
Clear ip nat translation *
Xóa mọi cặp chuyển đổi địa chỉ động
trong bảng NAT.
Clear ip nat translation inside global-
ip local-ip [outside local-ip global-ip]
Xóa một cặp chuyển đổi địa chỉ động
bên trong hoặc cả bên trong và bên
ngoài tương ứng với địa chỉ cụ thể được
khai báo trong câu lệnh.
Clear ip nat translation protocol inside
global-ip global-port local-ip local-port
[outside local-ip local-port global-ip
global-port]
Xóa một cặp chuyển đổi địa chỉ động
mở rộng.
Show ip nat translations Hiển thị bảng NAT đang hoạt động.
Show ip nat statistics Hiển thị trạng thái hoạt động của NAT.
502
Hình 1.1.5.a
Hình 1.1.5.b
Chúng ta có thể dùng lệnh show run để kiểm tra lại các giá trị cần khai báo trong
các câu lệnh cấu hình NAT, access-list, interface.
1.1.6. Xử lý sự cố cấu hình NAT và PAT
Thường rất khó xác định nguyên nhân của sự cố khi kết nối IP bị sự cố trong môi
trường NAT. Nhiều khi chúng ta nhầm lẫn là do NAT gây ra nhưng thực sự
nguyên nhân lại nằm ở chỗ khác.
Khi cố gắng xác định nguyên nhân sự cố của một kết nối IP, chung ta nên cố gắng
xác định loại trừ khả năng từ NAT trước. Sau đay là các bước để kiểm tra hoạt
động của NAT:
1. Dựa vào tập tin cấu hình, xác định rõ ràng NAT thực hiện những gì.
2. Kiểm tra bảng NAT xem các chuyển đổi địa chỉ có đúng không.
3. Kiểm tra hoạt động NAT xảy ra như thế nào bằng các lệnh show và
debug.
4. Xem chi tiết những gì xảy ra cho một gói dữ liệu và kiểm tra xem router
có định tuyến đúng cho gói dữ liệu hay không.
503
Sử dụng lệnh debug ip nat để kiểm tra hoạt động của NAT, hiển thị các thông tin
về mỗi gói được chuyển đổi NAT bởi router. Lệnh debug ip nat detal còn cung
cấp thêm một số thông tin liên quan đến sự chuyển của mỗi gói giúp chúng ta xác
định lỗi, ví dụ như lỗi không xác định được địa chỉ đại diện bên ngoài.
Hình 1.1.6
Xét ví dụ hình 1.1.6. Hai dòng đầu tiên cho thấy các gói yêu cầu và trả lời DNS
được phát đi. Những dòng còn lại cho biết về một kết nối Telnet từ một host bên
trong tới một host bên ngoài mạng.
Để giải mã những thông tin hiển thị của lệnh debug, chúng ta dựa vào những điểm
mấu chốt sau:
• Dấu * kế bên từ NAT cho biết sự chuyển đổi đang được thực hiện trên
đường chuyển mạch nhanh. Gói dữ liệu đầu tiên của một phiên đối thoại
luôn được xử lý chuyển mạch nên chuyển mạch chậm. Các gói dữ liệu tiếp
theo được truyền chuyển mạch nhanh với bộ đệm, không cần xử lý nhiều
như gói đầu tiên.
504
• S= a.b.c.d là địa chỉ nguồn.
• Địa chỉ nguồn a.b.c.d được dịch sang w.x.y.z.
• D=e.f.g.h là địa chỉ đích.
• Giá trị trong giấu ngoặc vuông là chỉ số danh đinh IP. Thông tin này có thể
sẽ hữu dụng vì dựa vào đó chúng ta sẽ tìm được những gói dữ liệu tương
ứng được phân tích từ những phần mền phân tích giao thức khác.
1.1.7. Những vấn đề của NAT
NAT có những ưu điểm sau:
• Tiết kiệm địa chỉ đăng ký hợp pháp bằng cách cho phép sử dụng địa chỉ
riêng.
• Tăng tính linh hoạt của các kết nối ra mạng công cộng. Chúng ta có thể triển
khai nhiều dải địa chỉ chia tải để đảm bảo độ tin cậy của kết nối mạng công
cộng.
• Nhất quán hồ sơ địa chỉ mạng nội bộ. Nếu mạng không sử dụng địa chỉ IP
riêng và NAT mà sử dụng địa chỉ công cộng thì khi thay đổi địa chỉ công
cộng, toàn bộ hệ thống mạng phải đặt lại địa chỉ. Chi phí cho việc đặt lại địa
chỉ toàn bộ các thiết bịi mạng nội bộ được giữ nguyên khi thay đổi địa chỉ
công cộng.
NAT cũng không phải là không có nhược điểm. Khi chuyển đổi địa chỉ như vậy sẽ
làm mất đi một số chức năng đặc biệt của giao thức và ứng dụng có cần đến các
thông tin địa chỉ IP trong gói IP. Do đó cần phải có thêm các hỗ trợ khác cho thiết
bị NAT.
NAT làm tăng thời gian trễ. Thời gian trễ chuyển mạch sẽ lớn hưon do đó phải
chuyển đổi từng địa chỉ IP trong mỗi dữ liệu. Gói dữ liệu đầu tiên luôn phải sử lý
chuyển mạch nên thời gian chuyển mạch nhanh hơnnếu có bộ đệm.
505
Hiệu suất hoạt động cũng là một vấn đề cần được quan tâm vì NAT được thực hiện
trong tiến trình chuyển mạch. CPU phải được kiểm tra từng gói dữ liệu để quyết
định gói dữ liệu đó có cần chuyển đổiđịa chỉ hay không. CPU phải thay đổi phần
gói IP của gói dữ liệu và cũng có htể phải thay cả phần đóng gói TCP hoặc UDP.
Một nhược điểm đáng kể khi sử dụng NAT là sự mất đi khả nặng truy tìm địa chỉ
IP đầu cuối-đến-đầu cuối. Việc truy theo gói dữ liệu sẽ trở nên khó hơn do gói dữ
liệu thay đổi địa chỉ nhiều lần qua nhiều trạm NAT. Hacker sẽ rất khó khăn khi
muốn xác định địa chỉ nguồn hoặc đích của gói dữ liệu.
NAT cũng làm cho một số ứng dụng sử dụng địa chỉ IP không hoạt động được vì
nó giấu địa chỉ IP đầu cuối-đến-đầu cuối. Những ứng dụng sử dụng địa chỉ vật lý
thay vì sử dụng tên miền sẽ không đến được đích nằm sau router NAT. Đôi khi, sự
cố này có thể tránh được bằng cách ánh xạ NAT cố định.
Cisco IOS NAT hỗ trợ các loại lưu lượng sau:
• ICMP
• File Transfer Protocol (FTP), bao gồm lệnh PPRRT và PÁV.
• Dịch vụ NetBIOS qua TCP/IP, gói dự liệu, tên và phiên giao tiếp.
• RealNetworks’ RealAudio
• White Pines’ CUSeeMe
• Xing Technologies’ StreamWorks
• DNS “A” and “PTR” queries
• H.323/Microsoft NetMeeting, IOS versions 12.0(1)/ 12.0(1) T và sau đó.
• VDOnet’s VDOLive, IOS version 11.3(4)11.3(4)T và sau đó.
• VXtreme’s Web Theater, IOS versions 11.3(4)11.3(4)T và sau đó.
• IP Multicast, IOS version 12.0(1)T chỉ chuyển đổi địa chỉ nguồn.
Cisco IOS NAT không hỗ trợ các loại giao thức sau:
506
• Thông tin cập nhật bảng định tuyến.
• Chuyển đổi vùng DNS.
• BOOTP
• Giao thức talk and ntalk.
• Giao thức quản lý mạng đơn giản – Simple Network Management Protocol
(SNMP)
1.2. DHCP
1.2.1. Giới thiệu DHCP
Giao thức cấu hình họat động (DHCP – Dynamic Host Configuration Protocol)
làm việc theo chế độ client-server. DHCP cho phép các DHCP client trong một
mạng IP nhận cấu hình IP của mình từ một DHCP server. Khi sử dụng DHCP thì
công việc quản lý mạng IP sẽ ít hơn vì phần lớn cấu hình IP của client được lấy về
từ server. Giao thức DHCP được mô tả trong RFC 2131.
Một DHCP client có thể chạy hầu hết các hệ điều hành Windows, Netvell Netửae,
Sun Solaris, Linux và MAC OS. Client yêu cầu server DHCP cấp một địa chỉ cho
nó. Server này quản lý việc cấp phát địa chỉ IP, sẽ gửi trả lời cấu hình IP cho client.
Một DHCP có thể phục vụ cho nhiều subnet khác nhau nhưng không phục vụ cho
cấu hình router, switch và các server khác vì những thiết bị này cần phải có địa chỉ
IP cố định.
507
Hình 1.2.1.a. Client gửi trực tiếp quảng bá một yêu cầu DHCP. Trường hợp đơn
giản nhất là có DHCP server nằm trong cùng subnet với client, server DHCP này
sẽ nhận được gói yêu cầu. Server thấy phần GIADDR bỏ trống thì biết client nằm
trong cùng subnet với server. Đồng thời server sẽ đọc địa chỉ vật lý (địa chỉ MAC)
của client.
Hình 1.2.1.b. Server sẽ lấy một địa chỉ IP trong dải địa chỉ tương ứng để cấp cho
client. Sau đó server dùng địa chỉ của vật lý của client để gửi gói trả lời lại cho
client.
508
Hình 1.2.1.c. Hệ điều hành trên DHCP client sẽ dùng những thông tin nhận được
trong gói trả lời server để cấu hình IP cho client đó.
Server chạy DHCP thực hiện tiến trình xác định địa chỉ IP cấp cho client. Client sử
dụng địa chỉ được cấp từ server trong một khoảng thời gian nhất định do người
quản trị mạng quy định. Khi thời này hết hạn thì client phải yêu cầu cấp lại địa chỉ
mới mặc dù thông thường client sẽ vẫn được cấp lại địa chỉ cũ.
Các nhà quản trị mạng thường sử dụng dịch vụ DHCP vì giải pháp này giúp quản
lý hệ thống mạng dễ và có khả năng mở rộng. Cisco router có thể sử dụng Cisco
IOS có hỗ trợ Easy IP để làm DHCP server. Mặc định , Easy IP cấp cấu hình IP
cho client sử dụng trong 24 tiếng. Cơ chế này rất tiện lợi cho các văn phòng nhỏ
hoặc những văn phòng tại nhà, người sử dụgn tại nhà có thể tận dụng diạhc vụ
DHCP và NAT của router mà không cần phải có thêm một server NT hoặc UNIX.
Người quản trị mạng cài đặt dải địa chỉ cho DHCP server còn có thể cung cấp
nhiều thông tin khác như địa chỉ DNS server, địa chỉ WINS server và tên miền.
Hầu hết các DHCP server đều cho phép người quản trị mạng khai báo những địa
chỉ MAC nào cần phục vụ và tự động cấp cho những địa chỉ MAC này địa chỉ IP
không thay đổi mỗi lần chúng yêu cầu.
DHCP sử dụng giao thức UDP (User Datagram Protocol) làm giao thức vận
chuyển của nó. Client gửi thông điệp cho server trên port 67. Server gửi thông điệp
cho client trên port 68.
509
1.2.2. Những điểm khác nhau giữa BOOTP và DHCP
Đầu tiên cộng đồng Internet phát triển giao thức BOOTP để cấu hình cho máy trạm
không có ổ đĩa. BOOTP được định nghĩa trong RFC 951 vào năm 1985. Là một
phiên bản đi trước của DHCP nên BOOTP cũng có nhiều đặc điểm họat động
tương tự như DHCP. Cả hai giao thức này đêgu dựa trên cơ sở client-server và sử
dụng port UDP 67, 68. Hai port này hiện vẫn được biết đến như là port BOOTP.
Một cấu hình IP cơ bản bao gồm 4 thông tin sau:
• Địa chỉ IP.
• Địa chỉ Gateway.
• Subnet mask.
• Địa chỉ DNS server.
BOOTP không tự động cấp phát địa chỉ IP cho một host. Khi client yêu cầu một
địa chỉ IP, BOOTP server tìm trong bảng đã được cấu hình trước xem có hàng nào
tương ứng với địa chỉ MAC của client hay không.Nếu có thì địa chỉ IP tương ứng
sẽ được cung cấp cho client. Điều này có nghĩa là địa chỉ MAC và địa chỉ IP tương
ứng phải được cấu hình trước trên BOOTP server.
Sau đây là hai điểm khác nhau cơ bản giữa BOOTP và DHCP:
• DHCP cấp một địa chỉ IP cho một client trong một khoảng thời gian nhất
định. Hết khoảng thời gian này địa chỉ IP có thể được cấp cho client khác.
Client có thể lấy địa chỉ mới hoặc vẫn có thể tiếp tục giữ địa chỉ cũ.
• DHCP cung cấp cho client nhiều thông tin cấu hình IP khác như địa chỉ
WINS server, tên miền.
510
BOOTP DHCP
Ánh xạ cố định giữ địa chỉ MAC và
địa chỉ IP
Ánh xạ tự động giữa địa chỉ MAC và
dải địa chỉ IP tương ứng.
Cấp cố định Cấp trong một khoảng thời gian nhất
định
Chỉ cung cấp 4 thông tin cơ bản của
cấu hình IP
Có thể cung cấp hơn 30 thông tin cấu
hình IP
1.2.3. Những đỉểm chính của DHCP
Có 3 cơ chế dùng để cấp phaqst một địa chỉ IP cho client:
• Cấp phát tự động – DHCP tự động chọn một địa chỉ IP trong dải địachỉ được
cấu hình và cấp địa chỉ IP đó cố định, không thay đổi cho một client.
• Cấp phát cố định – Địa chỉ IP của một client do người quản trị mạng quyết
định. DHCP chỉ truyền địa chỉ này cho client đó.
• Cấp phát động – DHCP cấp và thu hồi lại một địa chỉ IP của client theo một
khoảng thời gian giới hạn.
Trong phần này chúng ta tập trung vào cơ chế cấp phát động. Một số thông số cấu
hình được liệt kê trong IÈT RFC 1533 là:
• Subnet mask
• Router
• Tên miền
• Server DNS
• WINS server
Chúng ta có thể tạo trên DHCP server nhiều dải địa chỉ IP và thông số như trên
tương ứng. Mỗi một dải địa chỉ dành riêng cho một subnet IP. Điều này cho phép
511
có thể có nhiều DHCP cùng trả lời và IP client có thể di động. Nếu có nhiều server
cùng trả lời thì client có thể chọn một trả lời duy nhất.
Hình 1.2.3
1.2.4. Họat động của DHCP
Quá trình DHCP client lấy cấu hình DHCP diễn ra theo các bước sau:
1. Client phải có cấu hình DHCP khi bắt đầu tiến trình tìm các thành viên trong
mạng. Client gửi một yêu cầu cho server để yêu cầu cấu hình IP. Đôi khi
client có thể đề nghị trước địa chỉ IP mà nó muốn, ví dụ như khi nó hết thời
gian sử dụng địa chỉ IP hiện tại và muốn gia hạn thêm thời gian. Client sẽ
xác định được DHCP server bằng cách gửi gói quảng bá gọi là
DHCPDISCOVER.
2. Khi server nhận được gói quảng bá, nó sẽ tìm trong cơ sở dữ liệu của nó và
quyết định là có trả lời được yêu cầu này không. Nếu server không trả lời
yêu cầu thì nó sẽ gửi gói trả lời trực tiếp bằng DHCPOFFER về cho client,
trong đó mời client sử dụng cấu hình IP của server. Trong DHCPOFER có
512
thể có các thôngtin cho client về địa chỉ IP, địa chỉ DNS server và thời gian
sử dụng địa chỉ này.
3. Nếu client nhận thấy lời mời của server phù hợp thì nó sẽ gửi quảng bá một
DHCPREQUEST để yêu cầu cung cấp những thông cố cụ thể của cấu hình
IP. Tại sao lúc này client lại gửi quảng bá mà nó không gửi trực tiếp cho
server? Do thông điệp đầu tiên là DHCPDISCOVER đã được gửi quảng bá
nên thông điệp này có thể sẽ đến được nhiều server DHCP khác nhau. Khi
đó, có thể sẽ có nhiều server cùng mời một client chấp nhận. Thông thường
lời mời mà client nhận được đầu tiên sẽ được chấp nhận.
4. Server nào nhận được DHCPREQUEST cho biết client đã chấp nhận sử
dụng cấu hình IP mà server đã mời thì server đó sẽ gửi trả lời trực tiếp cho
client một gói DHCPACK. Rất hiếm khi nhưng cũng có thể server sẽ không
gửi DHCPACK vì có thể cấu hình IP đó đã được cấp cho client khác rồi.
5. Sau khi client nhận được DHCPACK thì có thể bắt đầu sử dụng địa chỉ IP
ngay.
6. Nếu client phát hiện rằng địa chỉ IP này đã được sử dụng trong cùng mạng
nội bộ với nó thì client sẽ gửi thông điệp DHCPDECLINE và bắt đầu tiến
trình DHCP lại từ đầu. Hoặc nếu client nhận được thông điệp DHCPNAK từ
server trả lời cho thông điệp DHCPREQUEST thì sau đso client cũng bắt
đầu tiến trình lại từ đầu.
7. Nếu client không cần sủ dụng địa chỉ IP này nữa thì client guiử thống điệp
DHCPRELEASE cho server.
513
Hình 1.2.4.a. Tiến trình hoạt động DHCP
Tùy theo quy định của mỗi tổ chức, công ty, người quản trị mạng có thể cấp cố
định cho một địa chỉ IP nằm trong dải địa chỉ của một DHCP server. Cisco IOS
DHCP server luôn luôn phải kiểm tra một địa chỉ IP đã được sử dụng trong mạng
hay chưa trước khi mời client sử dụng địa chỉ IP đó. Server sẽ phát một yêu cầu
ICMP echo, hay còn gọi là ping, đến các địa chỉ IP nằm trong dải địa chỉ của mình
trước khi gửi DHCPOFFER cho client. Số lượng ping mặc định được sủ dụng để
kiểm tra một địa chỉ IP là 2 gói và chúng ta có thể cấu hình con số này được.
Hình 1.2.4.b. Thứ tự các thông điệp DHCP được gửi đi trong tiến trình DHCP.
514
1.2.5. Cấu hình DHCP
Tương tự như NAT, DHCP server cũng yêu cầu người quản trị mạng phải khai báo
trước dải địa chỉ. Câu lệnh ip dhcp pool dùng để khai báo dải địa chỉ mà server có
thể cấp pháp cho host.
Câu lệnh đầu tiên, ip dhcp pool, tạo dải địa chỉ với một tên cụ thể và đặt router
vào chế độ cấu hình DHCP. Trong chế độ cấu hình DHCP, lệnh network được
dùng để xác định dải địa chỉ được cấp phát. Nếu trong mạng đã có sử dụng cố định
một số địa chỉ IP nằm trong dải đã khai báo thì chúng ra quay trở lại chế độ cấu
hình toàn cục.
Chúng ra sử dụng lệnh ip dhcp excluded-address để cấu hình cho Router loại trừ
một số hoặc một dải địa chỉ khi phân phối địa chỉ cho client. Những địa chỉ dành
riêng này thường được cấu hình cố định cho những host quan trọng và cho các
cổng của Router.
Hình 1.2.5. Cấu hình ví dụ một DHCP server trên router
Thông thường, chúng ta còn có thể cấu hình thêm nhiều thông tin khác ngoài thông
tin về địa chỉ IP cho một DHCP server. Trong chế độ cấu hình DHCP, chúng ta
dùng lệnh default-router để khai báo cổng mặc định gateway, lệnh dns-server để
khai báo địa chỉ của DNS server, lệnh netbios-name-server dùng để khai báo cho
WINS server.
515
Dịch vụ DHCP được chạy mặc định trên các phiên bản Cisco IOS có hỗ trợ dịch
vụ này. Để tẳt dịch vụ này, chúng ta dùng lệnh no service dhcp và dùng lệnh ip
service dhcp để chạy lại dịch vụ này.
Lệnh Giải thích
network
network-number
[mask /
/prefix-length]
Khai báo địa chỉ mạng và subnet mask tương ứung cho dải
địa chỉ DHCP. Chiều dài bit thuộc phần network có thể
được khai báo bằng subnet mask hoặc bằng con số thể
hiện số lượng bit, con số này luôn có dấu xổ phải (/) đứng
trước.
Default-router
Addresss
[address2 …
Address8]
Khai báo địa chỉ của cổng mặc định gateway cho DHCP
client. Mặc dù chỉ cần một địa chỉ những trong cấu lệnh
này bạn có thể khai báo tới 8 địa chỉ.
Dns-server
Address
[address2 …
Address8]
Khai báo địa chỉ của DNS server cho DHCP client. Mặc
dù chỉ cần một địa chỉ những trong câu lệnh này bạn có
thể khai báo tối đa 8 địa chỉ.
Netbios-name-
Server address
[address2…
Khai báo địa chỉ NetBios WINS server cho các Microsoft
DHCP client. Mặc dù chỉ cần một địa chỉ những trong câu
lệnh này bạn có thể khai báo tới 8 địa chỉ.
516
Address8]
Domain-name
Name
Khai báo tên miền cho client.
Lease [days
[hours}
[minutes] /
infinite]
Khai báo khoảng thời gian cho phép client được sử dụng
một địa chỉ IP. Thời gian mặc định là một ngày.
1.2.6. Kiểm tra hoạt động DHCP
Để kiểm tra họat động DHCP, bạn dùng lệnh show ip dhcp binding. Lệnh này sẽ
hiển thị danh sách các địa chỉ IP đã được dịch vụ DHCP cấp phát cho các host nào
tương ứng.
Để xem các thông điệp DHCP mà router đã gửi đi và nhận vào, chúng ta dùng lệnh
show ip dhcp server statistics. Lệnh này sẽ hiển thị các thông tin về số lượng các
thông điệp DHCP mà Router đã gửi đi và nhận vào.
Hình 1.2.6
1.2.7. Xử lý sự cố DHCP
517
Để xử lý sự cố của họat động DHCP server chúng ta có thể dùng lệnh debug ig
dhcp server events. Lệnh này sẽ cho biết chu kỳ kiểm tra của server để xem địa
chỉ IP nào đã hết thời hạn được sử dụng và tiến trình lấy lại hoặc cấp phát một địa
chỉ IP.
Hình 1.2.7.
1.2.8. Chuyển tiếp DHCP
DHCP client sử dụng IP quảng bá để tìm DHCP server trong mạng nội bộ. Điều gì
sẽ xảy ra khi server và client không nằm trong cùng một mạng và bị ngăn cách
nhau bởi Router? Router không hề chuyển tiếp gói quảng bá.
DHCP không phải là một dịch vụ quan trọng duy nhất sử dụng quảng bá Cisco
router và các thiết bị khác cũng sử dụng quảng bá để tìm TFTP server. Một số
client cần sử dụng quảng bá để tìm TACACS server. TACACS server là một
server bảo vệ. Thông thường, trong cấu trúc mạng phân cấp phức tạp, client này
phát quảng bá để tim server thì mặc định là router sẽ không chuyển các gói quảng
bá ra ngoài subnet của client.
Tuy nhiên có nhiều client sẽ không thể hoạt động được nếu không có những dịc vụ
như DHCP chẳng hạn, khi đó phải chon lựa một trong hai giải pháp. Người quả trị
mạng có thể đặt server cho mọi subnet trong mạng hoặc là sử dụng đặc tính giúp
518
đỡ địa chỉ của Cisco IOS. Việc chạy các dich vụ như DHCP hay DNS trên nhiều
máy tính sẽ tạo sự quá tải và khó quản trị nên giải pháp đầu không hiệu quả. Nếu
có thể thì người quản trị mạng nên sử dụng giải pháp thứ hai là dùng lệnh ip
helper-address để chuyển tiếp yêu cầu quảng bá cho những dịch vụ UDP quan
trọng này.
Khi sử dụng đặc tính giúp đỡ địa chỉ, router sẽ có thể được cấu hình để tiếp nhận
yêu cầu quảng bá của một dịch vụ UDP và sau đó chuyển tiếp yêu cầu đó một cách
trực tiếp đến một địa chỉ IP cụ thể. Mặc định, lệnh ip helper-address có thể cho
phép chuyển tiếp yêu cầu của 8 dịch vụ UDP sau:
• Time
• TACES
• DNS
• BOOTP/DHCP server
• BOOTP/DHCP client
• TFTP
• Dịch vụ NetBIOS name
• Dịch vụ NetBIOS datagram
Chúng ta xét cụ thể dịch vụ DHCP, client phát quảng bá gói DHCPDISCOVER ra
mạng nội bộ của nó. Gói quảng bá này sẽ đến được Gateway chính là router. Nếu
trên router có cấu hình lệnh ip helper-address thì gói DHCP này sẽ dược chuyển
tiếp cho một địa chỉ IP xác định. Trước khi chuyển tiếp gói yêu cầu này, Router sẽ
điền địa chỉ của cổng Router kết nối với client vào phần GIADDR của gói
DHCPDISCOVER. Địa chỉ này sẽ là địa chỉ Gateway cho DHCP client sau khi
client lấy được địa chỉ IP.
519
DHCP server nhận được gói DHCPDISCOVER. Đựa vào địa chỉ nằm trong phần
GIADDR server sẽ xác định được Gateway này tương ứng với dải địa chỉ nào. Sau
đó server sẽ lấy một địa chỉ IP còn trống trong dải để cấp cho client.
Hình 1.2.8.a. Cấu trúc gói DHCP
Hình 1.2.8.b. Chuyển tiếp DHCP
520
Hình 1.2.8.c. Client A gửi quảng bá DHCPDISCOVER và router chuyển tiếp yêu
cầu này cho server DHCP 192.168.2.254. Trước khi chuyển tiếp yêu cầu này
router điền địa chỉ của cổng kết nối với client A là 192.168.1.1 vào phần GIADDP
của gói DHCPDISCOVER.
Hình 1.2.8.d. DHCP server nhận được gói yêu cầu DHCP từ router. Dựa vào địa
chỉ 192.168.1.1 trong phần GIADDR, server sẽ xác định được client A nằm trong
subnet nào và chọn một địa chỉ IP còn trống trong giải địa chỉ tương ứng để cấp
cho client A.. Trong gói trả lời của DHCP server chúng ta thấy client A được cấp
địa chỉ 192.168.1.10.
521
TỔNG KẾT
Sau đây là những điểm quan trọng cần nắm trong chương này:
• Địa chỉ riêng được sử dụng cho các mạng riêng, nội bộ và không bao giờ
được định tuyến trên các Router Internet công cộng.
• NAT thay đổi phần IP header của gói dữ liệu để chuyển đổi địa chỉ nguồn
hoặc đích hoặc cả hai.
• PAT sử dụng một địa chỉ IP công cộng duy nhất cùng với số port để ánh xạ
cho nhiều địa chỉ nội bộ bên trong.
• Chuyển đổi NAT có thể được thực hiện cố định hoặc tự động tùy theo mục
đích sử dụng.
• NAT và PAT có thể được cấu hình để chuyển đổi cố định, chuyển đổi động
và chuyển đổi overloading.
• Lệnh clear và show được sử dụng để kiểm tra họat động của NAT và PAT.
• Lệnh debug ip nat được sử dụng để tìm sự cố của cấu hình NAT và PAT.
• Những ưu điểm và nhược điểm của NAT
• DHCP làm việc theo chế độ client-server, cho phép client lấy cấu hình IP từ
một DHCP server.
• BOOTP là một phiên bản trước của DHCP và cũng có nhiều đặc điểm họat
động giống DHCP nhưng BOOTP chỉ cấp phát địa chỉ cố định.
• DHCP server quản lý dải địa chỉ IP và các thông số tương ứng kèm theo.
Mỗi một dải địa chỉ tương ứng với một subnet IP.
• DHCP client thực hiện 4 bước để lấy cấu hình IP từ server.
• DHCP server thường được cấu hình để phân phối nhiều địa chỉ IP.
• Lệnh show ip dhcp binding dùng để kiểm tra họat động của DHCP.
522
• Lệnh debug ip dhcp server events được dùng để tìm sự cố của DHCP.
• Khi DHCP server và client không nằm trong cùng một mạng và bị ngăn cách
bởi Router, chúng ta dùng lệnh ip helper-address để router chuyển tiếp yêu
cầu DHCP.
2.2. Các công nghệ WAN
2.2.1.Kênh quay số (dial-up)
Hình 2.2.1. Kết nối WAN thông qua modem và mạng điện thoại.
Modem và đường điện thoại quay số dùng tín hiệu tương tự cung cấp kết nối
chuyển mạch, dung lượng thấp, phù hợp cho nhu cầu truyền dữ liệu tốc độ thấp, rẻ
tiền.
Điện thoại truyền thống sử dụng cáp đồng kết nối từ máy điện thoại của thuê bao
đến tổng đài mạng điện thoại chuyển mạch công cộng (PSTN – Public switched
telephone network). Tín hiệu truyền đi trên đường truyền này là tín hiệu tương tự
biến đổi liên tục để truyền tiếng nói. Do đó, đường truyền này không phù hợp với
tín hiệu số nhị phân của máy tính. Modem tại đầu phát phải thực hiện điều chế tín
nhị phân sang tính hiệu tương tự rồi mới đưa tín hiệu xuống đường truyền. Modem
tại đầu thu giải điều chế tín hiệu tương tự thành tín hiệu nhị phân như ban đầu.
523
Đặc điểm vật lý của đường truyền và kết nối PSTN khiến tốc độ của tín hiệu bị hạn
chế. Giới hạn trên khoảng 33 kb/giây. Tốc độ này có thể tăng lên khoảng 56
kb/giây nếu tín hiệu được truyền trực tiếp qua một kết nối số.
Đối với nhưng doanh nhiệp nhỏ thì đường truyền này phù hợp vì họ chỉ cần trao
đổi các thông tin về bảng lương, giá cả, các báo cáo thông thường và email. Hơn
nữa, họ có thể sử dụng cách quay số tự động vào ban đêm hoặc vào ngày nghỉ cuối
tuần để truyền tải dữ liệu có dung lượng lớn và lưu dữ liệu dự phòng, vì trong
nhưng khoảng thời gian này mức giá cước thấp hơn bình thường. Tổng chi phí
cước phụ thuộc và khoảng cách giữa các điểm kết nối, thời gian trễ và thời gian
thực hiện cuộc gọi.
Ưu điểm của modem và đường truyền tương tự là thực hiện đơn giản ở mọi nơi,
chi phí thấp. Nhược điểm là tốc độ thấp, thời gian thực hiện kết nối lâu, có thời
gian trễ và nghẽn mạch, việc truyền thoại và video không được tốt với tốc độ thấp
như vậy.
2.2.2. ISDN
Các đường trung kế của PSTN được thay đổi từ tín hiệu tương tự phân kênh theo
tần số sang tín hiệu số phân kênh theo thời gian (TDM). Bước tiếp theo là mạch
vọng nội bộ kết nối từ tổng đài đến thuê bao cũng truyền tín hiệu số. Do đó, đường
truyền này có dung lượng cao hơn.
ISDN (Integrated Services Digital Network) là kết nối số TDM. Kết nối này sử
dụng các kênh B (Bearer) 64 Kb/giây để truyền thoại hoặc dữ liệu và một kênh báo
hiệu D (Delta) dùng để thiết lập cuộc gọi và nhiều mục đích khác.
524
Giao tiếp tốc độ cơ bản BRI ISDN cung cấp hai kênh B 64 Kb/giây và một kênh D
16 Kb/giây phù hợp cho cá nhân, gia đình và các công ty nhỏ. Nếu nhu cầu lớn hơn
nữa thì chúng ta có giao tiếp PRI ISDN. PRI cung cấp 23 kênh B 64 Kb/giây và
một kenh Điểm 64 Kb/giây ở Bắc Mỹ, tổng tốc độ bit lên tới 1.544 Mb/giây. Ở
Châu Âu, Australia và nhiều nơi khác trên thế giới, ISDN PRI cung cấp 30 kênh B
và một kênh D, tổng tốc độ bit lên tới 2,048 Mb/giây. Kết nối T1 có tốc độ PRI ở
Bắc Mỹ, kết nối E1 có tốc độ PRI quốc tế.
Kênh Điểm BRI không được tận dụng hết khả năng vì nó chỉ được sử dụng để điều
khiển cho 2 kênh B. Một số nhà cung cấp dịch vụ cho phép kênk D truyền dữ liệu
ở tốc độ thấp, ví dụ như kết nối X.25 với tốc độ 9,6 kb/giây.
Đối với mạng WAN nhỏ thì kết nối BRI ISDN là một kết nối lý tưởng . BRI có
thời gian thiết lập cuộc gọi nhỏ hơn một giây, kênh B 64 kb/giây cung cấy dung
lượng lớn hơn một kết nối tương tự với modem. Nếu nhu cầu dung lương cao hơn
thì kênh B thứ 2 sẽ được kích hoạt để cung cấp tốc độ 128 kb/giây. Mặc dù như
vậy vẫn chưa phù hợp cho truyền video nhưng cũng đã cho phép thực hiện cùng
lúc nhiều cuộc đối thoại cùng với các luồng lưu lượng khác.
Hình 2.2.a. ISDN
525
Một ứng dụng thông thường của ISDN là cung cấp thêm dung lượng truyền cho
đường truyền thuê riêng. Đường truyền thuê riêng được sử dụng chính, trong
những thời điểm nhu cầu dung lượng tăng cao thì ISDN được kích hoạt để hỗ trợ
thêm. Ngoài ra, ISDN còn được sử dụng làm đường truyền dự phòng trong trường
hợp đường truyền thuê riêng gặp sự cố. Chi phí cước của ISDN được tính trên từng
kênh B và cũng tương tự như kết nối thoại quay số.
Với PRI ISDN, ta có thể kết nối hai điểm với nhau bằng nhiều kênh B. Do đó, ta
có thể thực hiện được hội nghị truyền hình (video conference), kết nối dữ liệu tốc
độ cao, không có thời gian trễ và nghẽn mạch, nhưng chi phí sẽ cao khi khoảng
cách giữa các điểm khá lớn
Hình 2.2.2.b. Cấu trúc chung của mạng WAN với ISDN, Router cần phải có cổng
giao tiếp ISDN hoặc phải kết nối thông qua bộ chuyển đổi giao tiếp.
2.2.3.Đường truyền thuê riêng (leased line)
Khi cần phải có một kết nối dành riêng cố định thì sử dụng đường truyền thuê
riêng với dung lượng có thể lên tới 2,5 Gb/giây.
526
Loại Chuẩn Dung lượng
56 DS0 56 Kbps
64 DS0 64 Kbps
T1 DS1 1.544 Mbps
E1 ZM 2.048 Mbps
E3 M3 34.064 Mbps
J1 Y1 2.048 Mbps
T3 DS3 44.736 Mbps
OC-1 SONET 51.84 Mbps
OC-3 SONET 155.54 Mbps
OC-9 SONET 466.56 Mbps
OC-12 SONET 622.08 Mbps
OC-18 SONET 933.12 Mbps
OC-24 SONET 1244.16 Mbps
OC-36 SONET 1866.24 Mbps
OC-48 SONET 2488.32 Mbps
Hình 2.2.3.a. Các đường truyền WAN và băng thông tương ứng.
Một kết nối điểm-đến-điểm thiết lập một đường truyền WAN từ vị trí của thuê bao
thông qua mạng của nhà cung cấp dịch vụ đến điểm đích. Đườn truyền điểm-đến-
điểm này thườn được thuê từ nhà cung cấp dịch vụ nên được gọi là đường truyền
thuê riêng. Đường truyền thuê riêng có thể được cung cấp với nhiều mức dung
527
lượng khác nhau. Giá cả phụ thuộc vào mức băng thông yêu cầu và khoảng cách
giữa hai điểm kết nối. Đương nhiên, giá thuê một đường truyền riêng điểm-đến-
điểm sẽ cao hơn nhiều so với các đường chia sẻ khác như Frame Relay. Đôi khi chi
phí cho đường thuê riêng quá cao so với nhu cầu mà ta sử dụng được. Chi phí này
sẽ hiệu quả hơn nếu các kết nối này được sử dụng để nối nhiều vị trí trung tâm.
Dung lượng cố định có ưu điểm là không có thời gian trễ và nghẽn mạch giữa hai
điểm cuối, phù hợp cho nhiều ứng dụng như thương mại điện tử.
Để thực hiện kết nối thuê riêng ta cần phải có CSU/DSU và đường truyền từ
nhà cung cấp dịch vụ, router phải có cổng Serial, mỗi cổng tương ứng với một kết
nối.
Hình 2.3.b. Mạng WAN với đường truyền thuê riêng.
Đường kết nối trực tiếp thường được sử dụng để kết nối giữa các toà nhà, cung cấp
dung lượng truyền cố định. Đường truyền thuê riêng là một chọn lựa truyền thống
từ trước tới nay, tuy nhiên nó cũng có nhiều nhược điểm. Lưu lượng WAN luôn
biến đổi nhưng dung lượng đường truyền cố định. Do đó, băng thông đường truyền
ít khi nào bằng với lưu lượng thực tế. Mỗi router tại mỗi điểm cuối cần phải có một
528
cổng Serial cho một kết nối, do đó chi phí cho thiết bị sẽ tăng thêm. Mỗi lần muốn
thay đổi dung lượng đường truyền ta cần phải liên hệ với nhà cung cấp dịch vụ.
Đường truyền thuê riêng cung cấp kết nối trực tiếp điểm-đến-điểm giữa các LAN
và kết nối nhiều chi nhánh riêng lẻ vào mạng chuyển mạch gói.
2.2.4.X.25
Do đường truyền thuê riêng có chi phí cao nên các nhà cung cấp dịch vụ đã giới
thiệu mạng chuyển mạch gói sử dụng đường truyền chia sẻ để giảm bớt chi phí.
Mạng chuyển mạch gói đầu tiên là mạng X.25. X.25 cung cấp tốc độ bit thấp, dung
lượng chia sẻ qua dịch vụ chuyển mạch hoặc cố định.
X.25 là một giao thức lớp Mạng và các thuê bao được cung cấp một địa chỉ mạng.
Khi có yêu cầu từ một tập hợp các địa chỉ, mạch ảo SVC sẽ được thiết lập, mỗi
SVC được phân biệt bằng một địa chỉ số kênh. Các gói dữ liệu được dán nhãn theo
chỉ số kênh này, dựa vào đó các gói dữ liệu được truyền đến đúng địa chỉ mạng
đích. Trên một kết nối vật lý có thể thiết lập nhiều kênh truyền.
Thuê bao có thể kết nối vào mạng X.25 bằng kết nối thuê riêng hoặc bằng kết nối
quay số. Mạng X.25 cũng có thể cung cấp kênh truyền cố định PVC cho các thuê
bao.
529
Hình 2.2.4. Mạng X25
X.25 có chi phí thấp và hiệu quả vì chi phí cước được tính theo lưu lượng dữ liệu
chứ không tính theo thời gian kết nối và khoảng cách của kết nối. Dữ liệu được
truyền đi với bất kỳ tốc độ nào lên tới mức độ tối đa của đường truyền. Nhưng
mạng X.25 thường có dung lượng thấp, tối đa là 48 Kb/giây. Ngoài ra thời gian
truyền gói dữ liệu cũng bị trễ do đặc trưng của mạng chia sẻ.
Công nghệ X.25 từ lâu đã không còn được sử dụng rộng rãi. Frame Relay đã thay
thế cho X.25
Ứng dụng thường thấy của X.25 là trên các máy đọc thẻ tín dụng. Tại các trung
tâm thương mại, siêu thị, khi khach hàng sử dụng thẻ để thanh toán thì các máy
đọc thẻ sẽ sử dụng X.25 để liên hệ với máy tính trung tâm xác định giá trị của thẻ,
thực hiện giao dịch thanh toán. Một số công ty còn sử dụng X.25 trên mạng VAN (
Value-add network). VAN là một mạng riêng được các công ty thuê từ nhà cung
cấp dịch vụ để thực hiện trao đổi dữ liệu về tài chính và nhiều thông tin thương mại
530
khác. Đối với những ứng dụng này, băng thông thấp và thời gian trễ cao không
phải là vấn đề lớn, trong khi đó chi phí thấp lại là một ưu điểm của X.25.
2.2.5. Frame Relay.
Do nhu cầu băng thông ngày càng cao và yêu cầu thời gian chuyển mạch gói nhanh
hơn, nhà cung cấp dịch vụ đã giới thiệu Frame Relay, Frame Relay cũng hoạt động
như X.25 nhưng có tốc độ cao hơn, lên đến 4 Mb/giây hoặc hơn nữa.
Frame Relay có một số đặc điểm khác với X.25. Trong đó, điểm khác biệt quan
trọng nhất là: Frame Relay là giao thức đơn giản hơn, hoạt động ở lớp liên kết dữ
liệu thay vì ở lớp Mạng.
Frame Relay không thực hiện điều khiển luồng và kiểm tra lỗi. Do đó, thời gian trễ
do chuyển mạch frame giảm đi.
Hình 2.2.5. Mạng Frame Relay
Hầu hết các kết nối Frame Relay đều là kết nối PVC, chứ không phải là SVC. Kết
nối từ mạng của khách hàng vào mạng của nhà cung cấp dịch vụ thường là kết nối
thuê riêng hoặc cũng có thể là kết nối quay số nếu nhà cung cấp dịch vụ có sử dụng
đường ISDN, Kênh D ISDN được sử dụng để thiết lập kết nối SVC trên một hay
531
nhiều kênh B. Giá cước Frame Relay được tính theo dung lượng kết nối và dung
lượng thoả thuận trên các PVC>
Frame Relay cung cấp kết nối chia sẻ có băng thông truyền cố định, có thể truyền
được cả tiếng nói. Frame Relay là một chọn lựa lý tưởng cho kết nối giữa các
LAN. Router trong LAN chỉ cần một cổng vật lý, trên đó cầu hình nhiều kết nối ảo
VC. Kết nối thuê riêng để kết nối vào mạng Frame Relay khá ngắn nên chi phí
cũng tương đối hiệu quả khi nối giữa các LAN.
2.2.6. ATM
Các nhà cung cấp dịch vụ đã nhìn thấy nhu cầu cần phải có công nghệ cung cấp
mạng chi sẻ cố định với thời gian trễ thấp, ít nghẽn mạch và băng thông cao. Giải
pháp của họ chính là ATM (Asychronous Transfer Mode) với tốc độ 155 Mb/giây.
So với các công nghệ chia sẻ khác như X.25, Frame Relay thì sơ đồ mạng WAN
ATM cũng tương tự.
Hình 2.2.6. ATM.
ATM là một công nghệ có khả năng truyền thoại, video và dữ liệu thông qua mạng
riêng và mạng công cộng. ATM được xây dựng dựa trên cấu trúc tế bào (cell) chứ
không dựa trên cấu trúc frame. Gói dữ liệu được truyền đi trên mạng ATM không
được gọi là frame mà gọi là tế bào (cell). Mỗi tế bào ATM luôn có chiều dài cố
định là 53 byte. Tế bào ATM 53 byte này chứa 5 byte phần ATM header, tiếp theo
532
sau là 48 byte của phần dữ liệu. Tất cả các tế bào ATM đều có kích thước nhỏ, cố
định như nhau. Do đó, không có các gói dữ liệu khác lơn hơn trên đường truyền,
mọi tế bào đều không phải chờ lâu. Thời gian truyền của mỗi gói là như nhau. Do
đó, các gói đến đích cách nhau đều đặn, không có gói nào đến quá chậm so với gói
trước. Cơ chế này rất phù hợp cho truyền thoại và video vì những tín hiệu này vốn
rất nhạy cảm với vấn đề thời gian trễ.
So với các frame lơn hơn của Frame Relay và X.25 thì tế bào ATM 53 byte không
được hiệu quả bằng. Khi có một packet lớn của lớp Mạng cần phải phân đoạn nhỏ
hơn thì cữ mỗi 48 byte phải có 5 byte cho phần ATM header. Công việc ráp các
phân đoạn lại thành packet ban đầu ở ATM switch đầu thu sẽ phức tạp hơn. Hơn
nữa, việc đóng gói như vậy làm cho đường truyền ATM phải tốn nhiều hơn 20%
băng thông so với Frame Relay để truyền cùng một lượng dữ liệu lớp Mạng.
ATM cung cấp cả kết nối PVC và SVC mặc dù PVC được sử dụng nhiều hơn
trong WAN. Cũng như các công nghệ chia sẻ khác, ATM cho phép thiết lập kết nối
ảo trên một kết nối vật lí.
2.2.7. DSL
Digital Subscriber Line – DSL là một công nghệ truyền băng rộng sử dụng đường
truyền hai dây xoắn của hệ thống điện thoại để truyền dữ liệu với băng thông lớn
đến thuê bao dùng dịch vụ. Kỹ thuật truyền băng rộng ghép nhiều dải tần số khác
nhau trên cùng một đường truyền vật lý để truyền dữ liệu xDSL bao gồm các công
nghệ DSL như sau:
Asymmetric DSL (ADSL)
Symmetric DSL (SDSL)
High Bit Rate DSL (HDSL)
ISDN DSL (IDSL)
Consumer DSL (CDSL), cũ
Bạn đang đọc truyện trên: Truyen4U.Com