Đồ án tốt nghiệp Quản Trị Mạng

GIỚI THIỆU CÁC GIAO THỨC ĐỊNH TUYẾN VÀ CÔNG NGHỆ CHUYỂN MẠCH và các GIỚI THIỆU CÔNG NGHỆ HIGH AVAILABILITY

dẫn, giúp đỡ quý báu của các thầy cô giáo bộ môn, ban giám hiệu, gia đình và bạn bè Với lòng kính trọng và biết ơn sâu sắc chúng tôi xin được bày tỏ lới cảm ơn chân thành tới:

Ban giám hiệu, Phòng đào tạo trường Cao Đẳng Nghề CNTT iSPACE đã tạo mọi điều kiện thuận lợi giúp đỡ chúng tôi trong quá trình học tập và hoàn thành đồ án này

Thầy Nguyễn Phi Thái, người thầy kính mến đã hết lòng giúp đỡ, dạy bảo, động viên và tạo mọi điều kiện thuận lợi cho chúng tôi trong suốt quá trình học tập và hoàn thành luận văn tốt nghiệp

Quý thầy cô giáo bộ môn Khoa mạng truyền thông cùng với các thầy cô trong hội đồng chấm luận văn đã cho chúng tôi những đóng góp quý báu để hoàn chỉnh đồ án này

Mặc dù chúng tôi đã có nhiều cố gắng để hoàn thiện bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn

Một lần nữa chúng tôi xin chân thành cảm ơn, chúc tất cả mọi người sức khỏe và thành đạt

LỜI GIỚI THIỆU

Cùng với tốc độ phát triển và ứng dụng rộng khắp của mạng lưới Internet hiện tại, mô hình hạ tầng mạng thông minh, ổn định, tính tương thích cao và hỗ trợ người dùng tối đa là nhu cầu cấp thiết cho tất cả các doanh nghiệp trong nước cũng như nước ngoài Mô hình hệ thống mạng đáp ứng cao cho người dùng có thể truy cập làm việc ở bất cứ đâu, bất cứ thời điểm nào có nhiều lợi điểm mà các doanh nghiệp đang quan tâm như chi phí vừa phải, tạo mạng lưới làm việc ổn định trong doanh nghiệp, giao dịch nhanh, thị trường rộng lớn… Chắc chắn sẽ là xu hướng phát triển thương mại trong tương lai mà các doanh nghiệp hướng tới

Đồ án này, chúng tôi tìm hiểu chi tiết về các ứng dụng và các dịch vụ triển khai hạ tầng mạng doanh nghiệp Từ đó đưa ra các giải pháp cụ thể cho từng doanh nghiệp trong việc xây dựng hạ tầng mạng Và chúng tôi đã xây dựng hạ tầng mạng cho doanh nghiệp với giải pháp

dự phòng và tính sẵn sàng cao dựa trên công nghệ High Availability (HA) với giao thức

Gateway Load Balancing Protocol (GLBP) kết hợp công nghệ Multiprotocol Label Switching - Virtual Private Network (MPLS-VPN)

NHẬN XÉT CỦA DOANH NGHIỆP

………

………

………

………

………

………

………

………

………

………

………

………

………

………

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ………

………

………

………

………

………

………

………

………

………

………

………

………

………

MỤC LỤC HÌNH

MỤC LỤC BẢNG

L

LACP Link Aggregation Control Protocol

M

N

O

P

UDP User Datagram Protocol

V

VLAN Virtual Local Area Network

W

Bảng - Thuật ngữ viết tắt

MỤC LỤC

ĐỒ ÁN TỐT NGHIỆP

Tên đồ án: XÂY DỰNG HẠ TẦNG MẠNG VÀ TRIỂN KHAI DỊCH VỤ CHO

DOANH NGHIỆP

I GIỚI THIỆU TỔNG QUAN VỀ ĐỒ ÁN

1 Yêu cầu và trọng tâm của đồ án

Xây dựng hạ tầng mạng cho công ty Hoàng Liêm đảm bảo tính sẵn sàng, dự phòng cao và cân bằng tải cho hệ thống

Yêu cầu triển khai cho công ty Hoàng Liêm gồm:

 Trụ sở chính đặt tại Sài Gòn với qui mô 300 nhân viên, gồm 5 phòng ban:

• Phòng nhân sự có 50 nhân viên

• Phòng kế toán có 50 nhân viên

• Phòng kinh doanh có 120 nhân viên

• Phòng kỹ thuật có 20 nhân viên

• Phòng tiếp thị có 60 nhân viên

 Chi nhánh đặt tại Bình Dương với qui mô 100 nhân viên, gồm có 5 phòng ban:

• Phòng nhân sự có 20 nhân viên

• Phòng kế toán có 20 nhân viên

• Phòng kinh doanh có 30 nhân viên

• Phòng kỹ thuật có 10 nhân viên

• Phòng tiếp thị có 20 nhân viên

Để đáp ứng những nhu cầu của công ty Hoàng Liêm, ta cấu hình, triển khai một số dịch vụ:

• Triển khai hệ thống định tuyến bằng giao thức RIPv2

• Triển khai VLAN chia phòng ban

• Triển khai GLBP tăng tính sẵn sàng và cân bằng tải cho hạ tầng mạng

• Triển khai hệ thống Primary Domain Controller trên chi nhánh Sài Gòn và Additional Domain Controller trên chi nhánh Bình Dương

• Triển khai dịch vụ Web server, DNS server, DHCP server, FTP server nội bộ

• Triển khai IOS Firewall tăng tính bảo mật cho công ty

Để đáp ứng những nhu cầu kết nối giữa 2 site Sài Gòn và Bình Dương, ta triển khai dịch vụ MPLS-VPN

2 Mô hình tổng quát của doanh nghiệp

Hình - Mô hình mạng chi nhánh Bình Dương

Hình - Mô hình mạng trụ sở chính Sài Gòn

Hình - Mô hình kết nối 2 site

II GIỚI THIỆU CÁC GIAO THỨC ĐỊNH TUYẾN VÀ CÔNG NGHỆ CHUYỂN

• Static routing

- Nhà quản trị cấu hình con đường tĩnh

- Router sẽ đưa con đường vào trong bảng định tuyến

- Con đường định tuyến tĩnh sẽ được đưa vào sử dụng

- Cú pháp:

Router(config)#ip route {destination

network} {subnet mask} {nexthop ip

address | outgoing interface}

<administrative distance>

Administrative distance (AD) là một tham số tùy chọn, chỉ ra độ tin cậy của một con đường Con đường có

giá trị càng thấp thì càng được tin

cậy Giá trị AD mặc định của tuyến đường tĩnh là 1.

Bảng - Cú pháp tạo static routing

 Default route

- Đường mặc định là đường mà Router sẽ sử dụng trong trừơng hợp router không tìm thấy đường đi nào phù hợp trong bảng định tuyến để tới đích của gói dữ liệu

- Chúng ta thường cấu hình đường mặc định cho đường ra internet của Router vì Router không cần phải lưu thông tin định tuyến tới từng mạng trên internet

- Cú pháp:

Router(config)# ip route 0.0.0.0 0.0.0.0

{nexthop ip address | outgoing interface}

Default route được sử dụng để gửi các packet đến các mạng đích mà

không có trong bảng định tuyến

Thường được sử dụng trên các mạng ở dạng stub network (mạng chỉ có một con đường để đi ra bên ngoài)

Router#show running-config

Bảng - Lệnh tạo và kiểm tra default route

• Dynamic routing

Routing Protocol là ngôn ngữ giao tiếp giữa các router Một giao thức định tuyến cho phép các router chia sẻ thông tin về các mạng Router sử dụng các thông tin này để xây dựng và duy trì bảng định tuyến của mình

 Các loại giao thức định tuyến:

 Distance Vector:

RIP, IGRP Hoạt động theo nguyên tắt hàng xóm, nghĩa là mỗi router sẽ gửi bảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình Các router đó so sánh với bảng routing-table mà mình hiện có và kiểm tra xem route của mình và route mới nhận được, route nào tốt hơn sẽ được cập nhất Các routing-update sẽ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell , 90 giây đối với IGRP) Do đó, khi có sự thay đổi trong mạng, các router sẽ biết được trạng thái của các đoạn mạng

- Ưu điểm:

Dễ cấu hình, router không phải xử lý nhiều.

mà chỉ gởi khi nào có một sự thay đổi nhất trong topology mạng

• Routing Information Protocol

• Enhanced Interior Gateway Routing Protocol

• Open Shortest Path First

 Routing Information Protocol :

 Một số tính chất:

- Giao thức định tuyến Distance Vector

- Sử dụng hop-count làm metric Maximum hop-count là 15

- Administrative distance là 120

- Hoạt động theo kiểu tin đồn

- Gởi update định kỳ sau 30 giây Thông tin gởi đi là toàn bộ bảng định tuyến

- RIP v1 và RIP v2

- RIP v1: classful không gửi subnetmask

- RIPv2: classless hỗ trợ VLSM có kèm theo subnetmask, authentication

Router(config)#router rip kích hoạt giao thức định tuyến RIP trên router

Router(config-router)#network

<network address>

khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gởi và nhận RIP update

Show ip protocol kiểm tra hoạt động

Show ip protocol Xem routing protocol timer

Show protocols Xem các protocols nào được cấu hình trên các

interface

Bảng - Lệnh tạo và kiểm tra RIP

 Interior Gateway Routing Protocol :

 Một số tính chất:

- Giao thức định tuyến Distance Vector

- Sử dụng kết hợp giữa băng thông và độ trễ làm metric

- Administrative distance là 100

- Hoạt động theo kiểu tin đồn

- Gởi update định kỳ sau 90 giây Thông tin gởi đi là toàn bộ bảng định tuyến

- Classful không gửi subnetmask

- Là giao thức riêng của Cisco

Router(config)#router igrp <AS> Kích hoạt giao thức định tuyến RIP trên

router

Router(config-router)#network

<network address>

Khai báo các network cần quảng bá

cũng như kích hoạt các interface được phép gởi và nhận IGRP updateShow ip protocol

Kiểm tra hoạt độngShow ip route

nhận trên router

No debug ip igrp events

Tắt chế độ debugundebug all

trên các interfaceDebug ip igrp transactions Xem các sự IGRP events được xử lý trên

router

Bảng - Lệnh tạo và kiểm tra IGRP

Autonomous System: là một mạng được quản trị chung với các chính sách định tuyến chung Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông tin tìm đường với nhau

 Enhanced Interior Gateway Routing Protocol :

 Một số tính chất:

- Giao thức độc quyền của Cisco

- Giao thức định tuyến classless

- Giao thức distance-vector

- Chỉ gởi update khi có sự thay đổi trên mạng

- Hỗ trợ các giao thức IP, IPX và AppleTalk

- Hỗ trợ VLSM/CIDR

- Cho phép thực hiện quá trình summarization tại biên mạng

- Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL

- Xây dựng và duy trì các bảng neighbor table, topology table và routing table

- Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability

- Cho phép cân bằng tải trên các con đường có giá thành không bằng nhau

- Giá trị AD bằng 90

- Khắc phục được vấn đề discontiguous network gặp phải đối với các giao thức RIPv1 và IGRP

Router(config-router)# no auto-summar Tắt chức năng auto-summary

tại biên mạng

show ip route

Kiểm trả hoạt động

show ip route eigrp

show ip eigrp neighbors

Bảng - Lệnh tạo và kiểm EiGRP

 Open Shortest Path First :

 Một số tính chất:

- Chuẩn mở

- Giao thức link-state

- Chỉ hỗ trợ giao thức IP

- Gom nhóm các network và router vào trong từng area Luôn tồn tại area

0 (backbone area) Tất cả các area khác (nếu có) đều phải nối vào area 0

- Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các đích

- Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau

- Hỗ trợ VLSM/CIDR

- Chỉ gởi update khi có sự thay đổi trên mạng

- Khắc phục vấn đề liên quan đến discontiguous network

- Xây dựng và duy trì các neighbor database, topology database

- Giá trị AD bằng 110

Router#show ip ospf database

Router#show ip ospf interface

Router#show ip ospf neighbor

Bảng - Lệnh tạo và kiểm tra OSPF

2 Virtual Local Area Network

• Khái niệm

VLAN là mạng LAN ảo VLAN là một miền quảng bá được tạo bởi Switch không phụ thuộc vào vị trí vật lý Nhưng thay đổi cấu hình của VLAN điều được thực hiện trên phần mền không cần thay đổi cáp và các thiết bị vật lý

VLAN được nhóm theo một nhóm logic về chức năng và gói dữ liệu chỉ được chuyển mạch trong cùng một VLAN đảm bảo tính an toàn bảo mật và dễ quản lý hơn

Hình - VLAN

• Nguyên tắc hoạt động

Mỗi cổng trên switch có thể gán cho một VLAN khác nhau Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau Nhờ đó mạng LAN hoạt động hiệu quả hơn

Thành viên của VLAN được xác định theo cổng của switch, mặc định tất cả các cổng trên switch đều thuộc VLAN mặc định VLAN 1

Xác định thành viên VLAN theo cổng tức là cổng đã được gán vào VLAN nào thì thiết bị kết nối vào cổng đó thuộc VLAN đó, không phục thuộc vào thiết bị kết nối là thiết bị gì, địa chỉ bao nhiêu Với cách chia VLAN theo cổng như vậy, tất cả các người dùng kết nối vào cùng một cổng sẽ nằm trong cùng một VLAN Cách chia VLAN này giúp việc quản lý đơn giản hơn vì không cần tìm trong cơ sở dữ liệu phức tạp để xác định thành viên trong mỗi VLAN

Có thể chia VLAN theo địa chỉ MAC, logic hoặc theo loại giao thức Không cần quản lý nhiều ở các tủ nối dây nữa vì thiết bị kết nối vào mạng thuộc VLAN nào là tùy theo địa chỉ của thiết bị đó được gán vào VLAN đó Có khả năng thông báo cho quản trị mạng khi có một người dùng đầu cuối lạ, không có trong cơ sở dữ liệu kết nối vào mạng

• Ưu điểm của VLAN

Cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý nữa Nhờ đó công việc quản lý tập trung và dể dàng hơn

Có tính linh động cao dể dàng cho việc thay đổi các thiết bị trong LAN

Kiểm soát giao thông mạng dễ dàng

Gia tăng bảo mật, các VLAN khác nhau không truy cập được vào nhau

Tiết kiệm băng thông của mạng, VLAN có thể chia nhỏ LAN thành các đoạn Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền

• Các loại VLAN

VLAN dựa trên cổng- port based VLAN: mỗi cổng ethernet hoặc fast

ethernet được gắn với một VLAN xác định Do đó mỗi máy tính hay thiết bị host kết nối một cổng của switch đều phụ thuộc vào VLAN đó Đây là cách cấu hình VLAN đơn giản

và phổ biến nhất

VLAN theo địa chỉ MAC- MAC address based VLAN: mỗi địa chỉ MAC được

gán tới một VLAN nhất định Cách cấu hình này rất phức tạp và khó khăn trong việc quản lý

VLAN theo giao thức- protocol based VLAN: tương tự với VLAN dựa trên

địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC Cách cấu hình này không thông dụng

Switch(config)#VLAN <number VLAN>

Switch(config)#no VLAN <number VLAN> Xóa VLAN đã tạo

Bảng - Tạo và xóa VLAN

- Các port trong primary VLAN được gọi là promicuous port

- Secondary VLAN có thể bao gồm isolated hoặc community VLAN

- Các host thuộc isolated VLAN chỉ truyền thông được với host đang thuộc primary VLAN

- Các host thuộc community VLAN chỉ truyền thông được với các host nằm trong cùng community VLANs và các host ở primary VLAN

- Private VLAN chỉ triển khai được trên các switch 3560 hoặc trở lên chứ không triển khai được trên switch 2960

Sw1(config)# vtp transparent Set switch ở mode VTP

transparent

Sw1(config-VLAN)# private-VLAN isolated Định nghĩa VLAN 100 là isolated

VLAN

Sw1(config-VLAN)# private-VLAN primary Định nghĩa VLAN 101 là primary

VLANSw1(config-VLAN)# private-VLAN

association add 100

Liên kết primary VLAN với isolate VLAN

Sw1(config)# interface FastEthernet0/1 Truy cập vào cổng f0/1

Sw1(config-if)#switch mode private VLAN

Sw1(config-if)#switchport private-VLAN

host-association 101 100

Gắn host port vào isolated VLAN

100 có VLAN 101 là primary VLANSw1# show interface fastethernet0/1

- Khái niệm Access-list không còn bó hẹp trong ý nghĩa dùng để chặn traffic, hay chặn các IP Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử khác nhau

- Ví dụ: không cho phép range IP 192.168.1.1 - 192 168.1.100 telnet đến

Switch(config)#VLAN access-map blockMap 2 Khởi tạo VLAN access

- Voice VLAN là VLAN giành cho lưu lượng thoại

- Voice VLAN cho phép các port trên switch có khả năng truyền lưu lượng Voice IP từ một IP phone

Switch(config)#interface fasethernet

Switch(config-if)#switchport voice VLAN

Bảng - Cấu hình voice VLAN

3 VLAN Trunking Protocol

VTP flood thông điệp quảng bá- advertisement qua VTP domain 5 phút một lần, hoặc khi có sự thay đổi xảy ra trong cấu hình VLAN.

Một VTP advertisement bao gồm có ivision- number, tên VLAN, số hiệu VLAN, và thông tin về các switch có port gắn với mỗi LAN

Bằng sự cấu hình VTP server và việc truyền bá thông tin thông qua các vertisement, tất cả các switch đều biết về tên VLAN và số hiệu VLAN của tất cả các VLAN

Một trong những thành phần quan trọng của VTP advertisement là tham

VTP hoạt động ở 3 chế độ: server, client, transparent

Switch ở chế độ VTP server có thể tạo, chỉnh sửa và xóa VLAN VTP server lưu cấu hình VLAN trong NVRAM của nó VTP Server gửi thông điệp ra tất cả các port trunk của nó

Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN VTP Client có chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất

cả các port trunk của nó VTP Client không lưu cấu hình trong NVRAM mà chỉ đặt trên RAM vì nó có thể học cấu hình VLAN từ server Do đó, chế độ client rất hữu dụng khi switch không có đủ bộ nhớ để lưu một lượng lớn thông tin VLAN

Switch ở chế độ transparent sẽ nhận và chuyển tiếp các VTP update do các switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này

Nếu transparent switch nhận được thông tin cập nhật VTP nó cũng không cập nhật vào

cơ sở dữ liệu của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng không gửi thông tin cập nhật cho các switch khác Trên transparent switch chỉ có một việc duy nhất là chuyển tiếp thông điệp VTP Switch hoạt động ở transparent- mode chỉ

có thể tạo ra các VLAN cục bộ Các VLAN này sẽ không được quảng bá đến các switch khác

Switch(VLAN)# VTP prunning Enable VTP prunnig

Switch(config)# interface fastethernet 0/1 Chọn interface để thiết lập

Switch(config-if)#switchport trunk

Switch#show interface fastethernet 0/1

STP được định nghĩa trong chuẩn IEEE 802.1D STP dựa trên một tập các tham

số để hoạt động Có 3 tham số quan trọng: BrIDge ID (BID), Path Cost, Port ID

BrIDge ID (BID): được dùng để xác định switch trung tâm của mạng gọi là rootbrIDge Được tạo thành từ hai thành phần: brIDge priority (2 bytes) và địa chỉ MAC (6 bytes)

BrIDge priority được gán bởi người quản trị, ngầm định là 32768

BID càng thấp càng được ưu tiên

Path cost là tham số để xác định đường đi đến rootbrIDge

Path cost là tổng path cost của các links giữa 2 switch

Path cost được switch sử dụng để xác định đường đi tốt nhất đến switch trrung tâm Path cost càng thấp thì đường đó càng tốt

Port ID cũng được dùng để xác định đường đi đến switch trung tâm Nó gồm 2 phần:

- Port priority (6 bits): do người quản trị cấu hình, mặc định 128

- Port number (10 bits) là số định dạng của switch

Port ID càng thấp thì càng được ưu tiên

• Hoạt động của Spanning Tree

Hình - Mô hình hoạt động của STP

 Gồm 3 bước:

• Bầu chọn root switch: Switch có brIDge-ID nhỏ nhất sẽ được bầu chọn Thông thường, brIDgeID được hình thành gồm giá trị priority (2 bytes)

và MAC của switch

• Xác định root port: là cổng trên những non-root switch có kết nối ngắn nhất về rootswitch

• Xác định designated port trên từng segment: Khi có nhiều switch kết nối vào một segment, đây là cổng của switch chịu trách nhiệm đẩy traffic ra khỏi segment

 Bầu chọn root switch:

Chỉ một switch có thể là root của một cây spanning tree

Để tìm ra root, các switch phải bầu chọn

Từng switch sẽ bắt đầu hoạt động spanning tree của nó bằng cách tạo và gửi các gói STP BPDU, trong đó thông báo chính nó là root Nếu một switch nghe một BPDU tốt hơn (tức là BPDU có brIDgeID nhỏ hơn), switch đó sẽ không khai báo nó là root nữa Thay vào đó, switch sẽ bắt đầu gửi ra các BPDU nhận được từ switch ứng cử viên tốt hơn

Cuối cùng, tất cả các switch ngoại trừ switch có brIDge ID tốt nhất sẽ ngừng gửi BPDU

Switch chiến thắng trong quá trình bầu cử trở thành root switch

Nếu người quản trị muốn chỉ định một switch làm rootbrIDge thì chỉ cần cấu hình brIDge priority của switch đó nhỏ nhất trong mạng

Bầu chọn root port:

Sau khi root brIDge đã được bầu chọn, các switch còn lại cần phải xác định root port

Root port là cổng gần root brIDge về mặt đường đi (cost) Tất cả các switch không phải là root brIDge phải bầu chọn root port

Switch sử dụng path cost để quyết định 1 cổng có phải là root port hay không.Port có path cost đến root brIDge nhỏ nhất sẽ chọn là root port

 Bầu chọn designated port:

Mỗi đoạn mạng (segment) sẽ cố 1 designated port

Một designated port là cổng mà từ đó gữi nhận lưu lượng từ root brIDge

Designated port được bầu chọn dựa trên path cost của nó đến root brigde

• Các trạng thái của Spanning Tree

Switch(config)# interface interface_ID Chọn interface

Switch(config-if)#spanning-tree port- Cấu hình một priority cho cho cổng trên

priority priority switch

Switch(config-if)#spanning-tree VLAN

VLAN_ID port-priority priority

Cấu hình một priority cho cho cổng trên switch dùng trong cổng Access

Switch(config-if)#spanning tree cost

Switch(config-if)#spanning tree VLAN

VLAN_ID cost cost

Cấu hình cost cho cổng trên switch dùng trong cổng Access

Switch(config-if)#spanning-tree VLAN

Show spanning-tree

Kiểm tra cấu hình STP trên switch

Show spanning-tree VLAN VLAN_ID

brigde

Show spanning-tree VLAN VLAN_ID

Bảng - Lệnh cấu hình và kiểm tra STP

EtherChannle còn cung cấp đặc tính dự phòng với vài kết nối vật lý Nếu một trong những kết nối vật lý bị hỏng, lưu lượng trên link đó sẽ được tự động chuyển sang kết nối kế cận Quá trình chuyển đổi xảy ra trong vài mili giây.

Việc phân phối tải qua các đường của một bundle (etherchannel) được thực hiện theo thuật toán hashing Thuật toán này có thể sử dụng : Địa chỉ IP nguồn, đích; hoặc địa chỉ MAC nguồn, đích, hoặc có thể sử dụng TCP/UDP cổng

Có hai giao thức được dùng để hình thành nên Etherchannel PaGP và LACP

b Các giao thức trong Etherchannel

Port Aggregation Protocol:

Các gói tin PAgP được trao đổi giữa các switch trên các port etherchannel Các thông số của switch láng giềng được xác định (như khả năng của port) và sẽ được so sánh với switch cục bộ Các port có cùng neighbor ID và khả năng hình thành nhóm sẽ được nhóm lại với nhau thành các kết nối etherchanel

PAgP hình thành nên etherchannel chỉ trên những port được cấu hình cùng static VLAN hoặc là cùng loại trunking PAgP cũng thay đổi các thông số động của

etherchannel nếu một trong những port của bundle bị thay đổi Ví dụ nếu thông số VLAN, speed, tốc độ duplex của một port trong một etherchannel bị thay đổi, PagP sẽ thay đôi các thông số đó trong tất cả các port còn lại PAgP có thể được cấu hình ở chế

độ active (desirable) trong đó một switch chủ động yêu cầu switch đầu xa hình thành nên etherchannel Khi switch hoạt động trong chế độ passive của PAgP, switch sẽ chỉ bắt tay nếu switch đầu xa yêu cầu nó

 Link Aggregation Control Protocol - 802.1ad:

LACP cũng gửi các gói trên các port etherchannel của switch Tuy nhiên LACP cũng gán vai trò port đến các đầu cuối của etherchannel Các switch có độ ưu tiên thấp nhất

sẽ được phép ra quyết định về các port nào sẽ được tham gia vào etherchannel ở một thời điểm Các port được chọn lựa và trở thành active theo giá trị độ ưu tiên priority của

nó, trong đó giá trị ưu tiên thấp sẽ có mức ưu tiên cao Một tập hợp 16 kết nối tiềm năng có thể được chỉ ra cho một etherchannel Thông qua LACP, một switch sẽ chọn lựa

ra 8 port có độ ưu tiên thấp nhất như là các member active của etherchannel Các port còn lại sẽ nằm trong trạng thái standby và sẽ được enable nếu một trong những kết nối active bị down Cũng giống như PAgP, LACP có thể được cấu hình trong mode active, trong đó một switch sẽ chủ động hỏi switch đằng xa bắt tay hình thành etherchannel Chế độ passive thì switch chỉ chủ động hình thành etherchannel chỉ nếu switch đầu xa khởi tạo nó

c Cấu hình Etherchannel

 Cấu hình PAgP ethechannel

Switch(config-if)#channel-protocol pagp

Switch(config-if)#channel-group number mode {on | auto | desirable }

• ON: Ở mode này thì switch tự động enale etherchannel tuy nhiên nó lại không gởi hay nhận bất kỳ gói PAgP nào, do đó mà phải cấu hình on mode ở hai đầu

• Auto: Switch sẽ tự động enable ethechannel nếu nó nhận được PAgP packet

• Desirable: Switch sẽ tự động cố gắng yêu cầu đầu kia chuyển kết nối sang thành Etherchannel

 Cấu hình LACP - 802.1ad

Switch(config)#lacp system-priority

priority

Xác định system priority để xác định Switch nào làm Switch điều khiển Ethechannel Hoặc nếu Priority bằng nhau thì Switch nào có điạ chỉ MAC nhỏ hơn sẽ được chọn

Switch(config-if)#channel-protocol

Switch(config-if)#channel-group

number mode {on | passive |

Switch(config-if)#lacp port-priority

xem cổng nào là active

Bảng - Lệnh cấu hình LACP

Khi các cổng được cấu hình như là thành viên của etherchannel, switch sẽ tự động tạo ra các cổng etherchannel Interface này sẽ đại diện cho cả bundle

Switch(config)# interface type mod/num

Switch(config-if)# channel-protocol pagp

Switch(config-if)# channel-group number mode {on | {auto | desirable}

[non-silent]}

Bảng - Tạo cổng etherchannel

Trên tất cả các switch của Catalyst (2970, 3560, 4500 và 6500), ta có thể cấu hình

để chọn giao thức PAgP và LACP Các model cũ hơn như 2950 có thể chỉ hỗ trợ PAgP Từng interface nằm trong etherchannel phải được cấu hình và gán cùng một nhóm duy nhất (từ 1 đến 64)

Switch#show etherchannel 1 detail

Switch #show etherchannel summary

Switch # show pagp {group-id} neighbor

Switch # show pagp {group-id} countersSwitch # show pagp {group-id} internal

Switch # show lacp {group-id} neighbor

Switch # show lacp {group-id} couters

Switch # show lacp {group-id} internal

Bảng - Các lệnh để kiểm tra cấu hình etherchannel

5 Access Control List (ACL) - Vlan Access List

• Khái niệm Access Control List

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny) Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port

• Hoạt động của ACL

ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list Nếu có một điều kiện được so khớp (matched) trong danh sách thì

nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định

“deny any” được thực hiện Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all) Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit

• Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách

• Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích

• Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không Nếu không thì packet có thể sẽ được gửi tới mạng đích Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó

• Các loại ACL

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

- Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt gần đích (Destination)

- Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong tầng “Transport layer header” Nên đặt gần nguồn (source)

• VLAN Access Control List (VACLs)

Vlan Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng Cho phép kiểm soát lưu lượng chạy trên Switch Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạng

Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)

Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

Khi muốn lọc giao thông di chuyển từ 1 VLAN này tới VLAN khác, chúng ta sẽ

sử dụng Acess Control List, chúng ta sẽ sử dụng dựa trên định tuyến một danh sách điều khiển truy cập ( Router base ACL) hoặc RACL

Nhưng cái mà chúng ta muốn là lọc gói tin trong 1 VLAN và định tuyến danh sách điều khiển truy cập không giúp được chúng ta Lúc này chúng ta sẽ sử dụng VLAN Access Control List

III MULTILAYER SWITCH

1 Giới thiệu

Multilayer Switching là một thuật ngữ để chỉ công nghệ sử dụng phần cứng để forwarding dựa trên thông tin của nhiều layer trên mô hình OSI

Theo Cisco, hoạt động của các Multilayer Switch gồm 2 loại:

- Route caching: Đây là thế hệ đầu tiên, còn được gọi là MLS, Netflow LAN switching, flow-based hay demand-based switching

- Topology-based: Đây là thế hệ thứ hai, còn được biết đến với cái tên Cisco Express Forwarding (CEF)

Như mô hình OSI hay TCP/IP, dữ liệu trước khi truyền đi phải được đóng gói

(encapsulation) khi đi qua từng layer và khi nhận dữ liệu phải được gỡ bỏ (decapsulation) dần Với multilayer switch, giống như switch thông thường, dữ liệu nhận vào vẫn là frame Nhưng để ngắn gọn và phân biệt, các dữ liệu cần đến chức năng routing ta gọi nó là packet, nếu không thì gọi là frame

6 Cơ bản về MLS

• Các khái niệm

Đối với MLS, thiết bị được yêu cầu có hai thành phần là Route Processor (RP) và Switch Engine (SE) Ngoài ra, hai thành phần này dùng Multilayer Switching Protocol (MLSP) để triển khai hoạt động

Hoạt động của MLS dựa vào các bảng:

• CAM (Content-Addressable Memory) hay còn gọi là bảng MAC, đây là một thành phần cơ bản của switch Bảng cấu trúc thành từng dòng, các thông tin trong 1 dòng gồm: port, địa chỉ MAC tương ứng, VLAN tương ứng

• TCAM (Ternary Content-Addressable Memory) cũng là một thành phần cơ bản quan trọng của switch Từ “ternary” mang nghĩa là 3 trạng thái: 0, 1 và X Đây là nơi các access control list (ACLs) đặt vào, có thể là security ACLs hoặc QoS ACLs Một switch có thể chứa nhiều TCAM

Đối với MLS, TCAM còn dùng để định nghĩa các flow – gọi là flow mask, cụ thể như sau:

• Nếu không có ACL, một flow là các packet cùng IP đích

• Nếu có standard ACLs, một flow là các packet cùng địa chỉ IP nguồn và đích

• Nếu có extended ACLs, một flow là các packet cùng địa chỉ IP nguồn, IP đích, protocol và port

MLS cache là bảng chứa các entry về flow, kích thước tối đa 128K Entry lưu trong cache có “aging time” để loại bỏ những flow không dùng đến nữa

• Cơ chế

Cơ chế của MLS là “route once, switch many”

Đối với một flow, RP sẽ thực hiện chức năng routing của mình đối với packet đầu tiên – trong khi đó MLSP giúp SE học các entry về flow đó vào cache Các packet sau đó SE sẽ thực hiện switching mà không cần RP nữa

Một packet khi đến sẽ được kiểm tra thông tin header với các entry lưu trong cache Nếu

có thì thực hiện quá trình switching Nếu không thì đây được coi là một flow mới và RP sẽ nhận nhiệm vụ xử lý

• Ưu và nhược điểm của MLS

MLS nhanh hơn router về mặt forwarding nhờ sử dụng phần cứng

Hoạt động của MLS chỉ gặp vấn đề thực sự khi hệ thống mạng bất ổn và thay đổi nhiều lần trong thời gian ngắn (do các neighbor, route,…) Khi đó MLS cache sẽ liên tục phải xây dựng lại và RP hoạt động nhiều gây hao tổn tài nguyên và giảm hiệu suất

“Aging time” có thể là vấn đề làm phình to kích thước dữ liệu trong một cache giới hạn, đó là khi lưu lượng mạng lớn, trong đó có nhiều packet chỉ xuất hiện trong thời gian ngắn

Quá trình hoạt động của CEF có thể mô tả qua các bước sau:

1 Packet đến switch sẽ được đặt vào hàng đợi

2 Packet khi ra khỏi hàng đợi sẽ được đọc thông tin layer 3 để đối chiếu với FIB Nếu không tìm thấy thì packet sẽ bị drop bỏ

3 Sau khi có thông tin next-hop IP từ FIB, switch sẽ tìm thông tin next-hop MAC trong Adjacency table để thực hiện rewrite: MAC nguồn – đích, TTL, layer 3 checksum và layer 2 checksum

4 Packet được chuyển đến đích

Như đã thấy, CEF không sử dụng đến Layer 3 Engine (như RP trong MLS) khi xử lý các packet thông thường CEF chỉ dùng nó trong quá trình xây dựng và cập nhật FIB, Adjacency table và xử lý các packet đặc biệt như:

1 IP TTL hết hạn

2 MTU bị vượt quá

3 ICMP redirect

4 Thông tin FIB đã đầy

IV GIỚI THIỆU CÔNG NGHỆ HIGH AVAILABILITY (HA)

1 Khái niệm

Một network được cung cấp tính năng High Availability nghĩa là các cơ sở hạ tầng mạng hay các server quan trọng trong network đó luôn luôn ở trong trạng thái có thể được truy cập đến vào bất kỳ thời điểm nào

Hot Standby Routing Prototocol là một trong những số tính năng cung cấp khả năng Redundancy ở layer 3 cho các host trong network HSRP sẽ tối ưu hóa việc cung cấp các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta gặp

sự cố trong mạng

Virtual Router Redundancy Protocol và Gateway Load Balancing Protocol cũng là

những giao thức cung cấp khả năng Redundancy ở layer 3

VRRP là một giao thức standard

GLBP là giao thức của Cisco, được cải tiến từ VRRP và cung cấp thêm tính năng cân bằng tải

8 Host Standby Redundancy Protocol

Một network được cung cấp tính năng High Availability nghĩa là các cơ sở hạ tầng mạng hay các server quan trọng trong network đó luôn luôn ở trong trạng thái có thể được truy cập đến vào bất kỳ thời điểm nào

Hot Standby Routing Prototocol là một trong những số tính năng cung cấp khả năng Redundancy ở layer 3 cho các host trong network HSRP sẽ tối ưu hóa việc cung cấp các đường kết nối khi phát hiện một đường link bị fail và những cơ chế phục hồi sau khi ta gặp

sự cố trong mạng

Virtual Router Redundancy Protocol và Gateway Load Balancing Protocol cũng là

những giao thức cung cấp khả năng Redundancy ở layer 3

VRRP là một giao thức standard

GLBP là giao thức của Cisco, được cải tiến từ VRRP và cung cấp thêm tính năng cân bằng tải

 Host Standby Redundancy Protocol

Hình - Mô hình hoạt động của HSRP

Tất cả router trong một HSRP group có một vai trò cụ thể và tương tác với nhau theo một phương pháp xác định:

Virtual Router: thực tế chỉ là một cặp IP address và MAC address mà tất cả các thiết bị đầu cuối dùng nó làm IP default gateway Active router xử lý tất cả packet và tất cả các frame được gửi tới virtual router address

Active Router: trong HSRP group một router sẽ được chọn làm active router Active router thực tế là thiết bị vật lý forward packet và nó cũng là thiết bị gửi MAC address ảo đến các thiết bị đầu cuối.

Trong mô hình trên router A được giả định ở vai trò active và forward tất cả các frame đến địa chỉ MAC là 0000.0c07.acXX với XX là số group của HSRP XX là hệ số hexa

Địa chỉ IP và địa chỉ MAC tương ứng của virtual router được duy trì trong bảng ARP của mỗi router thuộc HSRP group Để kiểm tra bảng ARP trong bảng ARP ta dùng lệnh show

ip arp

Hình - Bảng ARP của virtual router

Hình trên hiển thị bảng ARP của một router đang làm thành viên của HSRP group 1 trong Vlan 10 Trong bảng ARP trên ta thấy rằng virtual router có địa chỉ là 172.16.10.110 và

có một Well-known MAC là 0000.0c07.ac01 với 01 là số group Số HSRP group 1 hiện thị dưới dạng cơ số 10 và 01 là dưới hệ cơ số 16

HSRP standby router luôn theo dõi trạng thái hoạt động của HSRP group và sẽ nhanh chóng chuyển trạng thái forwarding packet nếu active router không có hoạt động Cả hai active router và standby router sẽ truyền hello message để thông báo cho tất cả router khác trong group HSRP biết rằng vai trò của nó lúc này là gì? Các router dùng địa chỉ destination multicast 224.0.0.2, kiểu truyền UDP port 1985 Và địa chỉ IP source là địa chỉ IP của sending router

Ngoài ra bên trong HSRP group có thể chứa một số router khác nhưng vai trò của nó không phải active hay standby Những router dạng này sẽ monitor hello message được gửi bởi active và standby router để chắc chắn rằng active và standby router đang tồn tại trong HSRP group Router này chỉ forward những packet đến chính địa chỉ IP của nó nhưng không

forward packet được đặt địa chỉ đến virtual router Những router dạng này sẽ đọc message tại mỗi thời gian giữa hai gói tin hello.

Hình - Standby router giả định làm active router

Khi một router là active roter thì nó sẽ giữ IP ảo và MAC ảo của virtual router chịu trách nhiệm phấn phối gói tin

Các trạng thái trong giao thức HSRP:

Một HSRP router có thể có 1 trong 6 trạng thái: initial, learn, listen, speak, standby, active

Hình - Những trạng thái của HSRP router

Trong HSRP thì chỉ có duy nhất một active router và một standby router

Tất cả các router đều bắt đầu ở trạng thái initial, điều này hiển thị rằng HSRP đang không hoạt động Sau đó nó sẽ chuyển sang trạng thái learn, ở trạng thái này router sẽ mong chờ thấy được HSRP packet và từ những packet này nó quyết định xem virtual IP là gì

và xác định active router trong HSRP group

Khi một interface thấy HSRP packet và quyết định xem virtual IP là gì thì nó tiếp tục chuyển sang trạng thái listen Mục đích của trạng thái listen là để xác định xem có active hay standby router cho HSRP group Nếu như đã có active hay standby router rồi thì nó vẫn giữ nguyên trạng thái Tuy nhiên nếu gói tin hello không được thấy từ bất kỳ router nào,

interface chuyển sang trạng thái Speak

Trạng trạng thái Speak, các router chủ động tham dự vào quá trình chọn lựa ra active router, standby router bằng cách nhìn vào gói tin hello để xác định vai trò

Có 3 dạng timer được sử dụng trong giao thức HSRP đó là active, standby, hello Nếu như không có một gói tin hello nào được nhận từ Active HSRP router trong khoảng thời gian active, thì router chuyển sang trạng thái HSRP mới

Active timer: dùng để monitor Active Router Timer sẽ reset lại vào bất kỳ thời điểm nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Active Router

Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với field trong HSRP hello message.

Standby timer: dùng để monitor standby router Timer sẽ reset lại vào bất kỳ thời điểm nào khi một router trong group HSRP nhận được gói tin hello được gửi ra từ Standby Router Giá trị Timer expire phù hợp với giá trị hold time đang được set tương ứng với field trong HSRP hello message

Hello timer: thời gian của hello packet Tất cả HSRP router trong bất kỳ trạng thái nào của HSRP đều tạo ra hello packetkhi mà hello timer expire

Hình - Quá trình hoạt động của các trạng thái trong HSRP

Ở trong trạng thái Standby, bởi vì router lúc này như là một ứng viên để trở thành Active Router kế tiếp Nó định kỳ gửi ra các gói tin hello Nó cũng listen các hello message từ active router Trong một mạng HSRP thì chỉ có duy nhất một standby router

Hình - Quá trình listen của standby router

Trong active state, router có nhiệm vụ forward packet Nó gửi địa chỉ MAC ảo của group Nó cũng có nhiệm vụ hồi đáp các gói tin ARP request hướng đến IP ảo Active router cũng định kỳ gửi ra các hello message Trong một HSRP group chỉ có duy nhất một active router

9 Virtual Router Redundancy Protocol

Giao thức VRRP là một giao thức chuẩn thay thế cho HSRP, được định nghĩa trong RFC2338 VRRP thì rất giống với HSRP vì vậy ta chỉ cần lọc sự khác nhau giữa hai giao thức

và sự khác nhau về chức năng Sau đây là liệt kê một số sự khác nhau giữa HSRP và VRRP:

VRRP tạo ra một gateway dự phòng từ một nhóm các router Router active được gọi là master router, tất cả các router còn lại đều trong trạng thái backup Router master là router

có độ ưu tiên cao nhất trong nhóm VRRP

Chỉ số nhóm của VRRP thay đổi từ 0 đến 255; độ ưu tiên của router thay đổi từ 1 cho đến 254 (254 là cao nhất, mặc định là 100)

Địa chỉ MAC của router ảo sẽ có dạng 0000.5e00.01xx, trong đó xx là một số dạng thập lục phân chỉ ra số của nhóm

Các quảng bá của VRRP được gửi mỗi chu kỳ một giây Các router backup có thể học các chu kỳ quảng bá từ router master

Mặc định, tất cả các VRRP router được cấu hình theo chế độ pre-empt Nghĩa là nếu có router nào có độ ưu tiên cao hơn độ ưu tiên của router master thì router đó sẽ chiếm quyền

VRRP không có cơ chế để theo dõi một cổng của router

VRRP dùng địa chỉ multicast 224.0.0.18, dùng giao thức IP 112 VRRP có trong router IOS phiên bản Cisco IOS Software Release 12.0 (18) ST

10.Gateway Load Balancing Protocol

• Khái niệm

GLBP là một giao thức độc quyền của Cisco được thiết kế đểkhắc phục những hạn chế của giao thức dự phòng cho router hiện tại Một số trong những khái niệm làtương tự như với HSRP / VRRP, nhưngcác thuật ngữ khác nhau và tính năng và mạnh mẽ và năng động

GLBP cung cấp các router backup tự động cho các host cấu hình với một gateway mặc định duy nhất trênmạng LAN theo chuẩn IEEE 802,3

GLBP thực hiện một chức năng tương tự nhưng không giống với HSRP và VRRP

VRRP HSRP và các giao thức cho phép nhiều router để tham gia vào một nhóm Virtual Router cấu hình với một địa chỉ Virtual IP Một Router được bầu là Active Router để chuyển tiếp địa chỉ IP ảo đến cho nhóm Các Router khác trong nhóm làm dự phòng khi Active

Router bị chết

GLBP cung cấp cân bằng tải trên nhiều thiết bị định tuyến (gateway) bằng cách sử dụng một địa chỉ Virtual IP và nhiều địa chỉ Virtual MAC.Mỗi client được cấu hình với cùng địa chỉ Virtual IP, và tất cả các Router trong Virtual Router group tham gia vào quá trình chuyển tiếp packet Khi một client gửi lên ARP Request yêu cầu địa chỉ MAC của Virtual IP,GLBP gửi trả lại ARP Reply với địa chỉ Virtual MAC đã được gán cho một Router trong nhóm.Kết quả là các client sử dụng cùng một địa chỉ gateway,nhưng khác địa chỉ MAC cho nó

GLBP giao tiếp với nhau thông qua địa chỉ multicast 224.0.0.102, User Datagram

Protocol (UDP) cổng 3222 (source và destination ) Hello message được gửi đi 3s/lần, Hold time là 10s

Các lợi ích của GLBP :

 Load sharing : bạn có thể cấu hình trên GLBP để cho traffic của các client trong LAN được chia tải trên các router trong GLBP group,qua đó cân bằng tải ( load balancing) trên các router trong group Vấn đề load – balancing được đề cập ở phần sau

 Multiple Virtual Routers : GLBP hỗ trợ lên tới 1024 virtual routers (GLBP group) , và mỗi group có 4 virtual router

 Preemption : GLBP cho phép bạn có khả năng chiếm quyền một con active router với một con backup router có priority cao hơn

 Authentication : GLBP dùng password dạng simple text để xác thực giữa các thành viên trong GLBP group để phát hiện lỗi trong khi cấu hình Các router trong GLBP group mà có chuỗi string xác thực khác với các router thành viên khác thì sẽ không được chấp nhận

• Active Virtual Gateway – AVG

 Tất cả các Router trong group bầu chọn ra một con Router tốt nhất làm Active Virtual Gateway – AVG ,các Router còn lại làm backup cho AVG Router AVG là route có giá trị