tìm hiểu vlan và ospf trong mạng doanh nghiệp CHƯƠNG 1. GIỚI THIỆU 1.1 TỔNG QUAN Hệ thống mạng là sự kết nối và có thể chia sẻ dữ liệu giữa những thiết bị khác nhau. Các hệ thống mạng có thể ở quy mô trong một căn phòng, một tòa nhà, một khu vực hoặc có thể là toàn cầu. Trong thời buổi công nghệ thông tin phát triển rất nhanh hiện nay, thì việc xây dựng một hệ thống mạng hoạt động ổn định, bảo mật cao là điều quan trọng đối với bất kì công ty nào. Nhất là với những doanh nghiệp vừa và nhỏ, họ cần xây dựng một hệ thống mạng hoạt động hiệu quả và đi đôi với sự phù hợp về khả năng kinh tế và quản lí của họ. 1.2 NHIỆM VỤ ĐỀ TÀI Xây dựng hệ thống mạng cho doanh nghiệp vừa và nhỏ sẽ được phân tích qua các nội dung như sau: Nội dung 1: Tìm hiểu về quy trình xây dựng, thiết kế một hệ thống mạng cho một doanh nghiệp vừa và nhỏ. Nội dung 2: Tìm hiểu về một số khái niệm, cách cấu hình cơ bản, cần thiết cho một hệ thống mạng có thể hoạt động. Nội dung 3: Thực hiện cấu hình và mô phỏng mô hình mạng trên phần mềm Cisco Packet Tracer.
Trang 1KHOA ĐIỆN – ĐIỆN TỬ
BỘ MÔN VIỄN THÔNG
-o0o -BÁO CÁO ĐỒ ÁN 1 TÌM HIỂU VỀ VLAN VÀ GIAO THỨC ĐỊNH
TUYẾN ĐỘNG OSPF
GVHD: ThS Đinh Quốc Hùng SVTH: Lâm Trọng Nhân
MSSV: 1911749
TP HỒ CHÍ MINH, THÁNG 5 NĂM 2023
Trang 2Lời đầu tiên em xin cảm ơn giảng viên hướng dẫn của mình là thầy Đinh Quốc Hùng đãgiúp đỡ và hướng dẫn và chỉ bảo cho em trong thời gian em làm đồ án vừa qua, giúp em cóthêm định hướng cho tương lai của mình sau này.
Tiếp theo em xin cảm ơn quý thầy cô trong trường ĐH Bách Khoa Thành phố Hồ ChíMinh đã giảng dạy và truyền những kiến thức và cảm hứng đến tất cả những sinh viên như
em, để chúng em có thêm nhiều kiến thức, mở mang thêm cách tư duy, sáng tạo trong cuộcsống
Với những kiến thức còn thiếu sót, những kỹ năng còn hạn hẹp, em không thể tránhđược những sai lầm, rất mong nhận được những góp ý, nhận xét từ thầy cô
Em xin chân thành cảm ơn!
TP Hồ Chí Minh, tháng 5 năm 2023.
Trang 3MỤC LỤC
CHƯƠNG 1 GIỚI THIỆU 1
1.1 TỔNG QUAN 1
1.2 NHIỆM VỤ ĐỀ TÀI 1
CHƯƠNG 2 LÝ THUYẾT 2
2.1 QUY TRÌNH XÂY DỰNG MỘT HỆ THỐNG MẠNG DOANH NGHIỆP VỪA VÀ NHỎ 2
2.1.1 Hệ thống mạng là gì? 2
2.1.2 Các bước để xây dựng một hệ thống mạng doanh nghiệp 3
2.1.3 Các quy tắc khi xây dựng hệ thống mạng doanh nghiệp 6
2.2 MỘT SỐ KHÁI NIỆM KHI CẤU HÌNH MẠNG DOANH NGHIỆP 7
2.2.1 Mô hình OSI và mô hình TCP/IP 7
2.2.2 Ethernet và VLAN 9
2.2.3 Spanning Tree Protocol (STP) 14
2.2.4 Giao thức Open Shortest Path First (OSPF) 17
2.2.5 Access Control List (ACL) 19
2.2.6 Network Address Translation (NAT) 20
CHƯƠNG 3 THỰC HIỆN CẤU HÌNH VÀ MÔ PHỎNG 23
3.1 XÂY DỰNG MÔ HÌNH MẠNG VÀ CẤU HÌNH TRÊN CISCO PACKET TRACER 23
3.2 KẾT QUẢ MÔ PHỎNG 38
3.2 ĐÁNH GIÁ KẾT QUẢ 42
CHƯƠNG 4 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 43
4.1 KẾT LUẬN 43
4.2 HƯỚNG PHÁT TRIỂN 43
TÀI LIỆU THAM KHẢO 45
Trang 4DANH MỤC HÌNH MINH HỌA
Hình 2.1: Mô hình mạng đơn giản 2
Hình 2.2: Mô hình mạng phân cấp của Cisco 3
Hình 2.3: Thi công hệ thống mạng 5
Hình 2.4: Một số nguyên tắc khi xây dựng mạng doanh nghiệp 7
Hình 2.5: Mô hình OSI và mô hình TCP/IP 7
Hình 2.6: Các bộ phận của một đường kết nối vật lý ethernet 10
Hình 2.7: Một số ví dụ về tiêu chuẩn cho cáp của Ethernet 11
Hình 2.8: Đầu kết nối RJ45, cổng RJ45 11
Hình 2.9: Cấu trúc khung (frame) của Ethernet 12
Hình 2.10: Cấu trúc của địa chỉ MAC 13
Hình 2.11: Các switch có kết nối dự phòng 15
Hình 2.12: Ví dụ về PVST 15
Hình 2.13: Bảng trang thái port của IEEE STP 16
Hình 2.14: Cấu trúc gói tin Hello 18
Hình 2.15: Một số giá trị Metric của các cổng 19
Hình 3.1: Mô hình mạng công ty A mô phỏng trên Cisco Packet Tracer 23
Hình 3.2: Liệt kê cấu hình từng thiết bị bằng Excel 24
Hình 3.3: Kiểm tra cấu hình trên RouterBien 26
Hình 3.4: KIểm tra cấu hình trên MultilayerSwitch2 27
Hình 3.5: Kiểm tra đồng bộ VLAN trên MultilayerSwitch1 28
Hình 3.6: Kiểm tra đồng bộ VLAN trên switch access Tang4 29
Hình 3.7: Gán cổng VLAN 10 và VLAN 20 trên switch access Tang4 30
Hình 3.8: Kiểm tra cấu hình SVI trên MultilayerSwitch1 31
Hình 3.9: Kiểm tra bảng định tuyến trên MultilayerSwitch1 35
Hình 3.10:Cấu hình DHCP server cho từng VLAN 36
Hình 3.11:Xin IP từ DHCP server trên PC KeToan1 38
Hình 3.12: Xin IP từ DHCP server trên PC ThuKi1 39
Trang 5Hình 3.13:Kết quả ping từ KeToan1 đến ThuKi1 40
Hình 3.14:Kết quả từ ThuKi1 đến GiamDoc 41
Hình 3.15:Kết quả khi mô phỏng kết nối với Internet của PC KiThuat1 41
Hình 3.16:Bảng NAT trên RouterBien 42
DANH MỤC CÁC TỪ VIẾT TẮT
Trang 6BDR Back-up Designated Router
DR Designated Router
IP Internet Protocol
LAN Local Area Network
LSA Link State Advertisements
LSDB Link State Data Base
LSU Link State Update
MAC Media Access Control
NAT Network Address Translation
NIC Network Interface Card
OSI Open System Interconnection
OSPF Open Shortest Path First
PVST Per Vlan Spanning Tree
RSTP Rapid Spanning Tree Protocol
SPF Shortest Path First
STP Spanning Tree Protocol
TCP Transmission Control Protocol
UDP User Datagram Protocol
Trang 7VLAN Virtual Local Area Network
WAN Wide Area Network
Trang 8CHƯƠNG 1 GIỚI THIỆU
hệ thống mạng hoạt động hiệu quả và đi đôi với sự phù hợp về khả năng kinh tế và quản lícủa họ
Trang 9lý giống như một mạng LAN vật lý.
Một VLAN đơn giản là một tập hợp của các cổng của switch nằm trong cùng một miềnbroadcast Các cổng có thể được nhóm vào các VLAN khác nhau trên từng switch và trênnhiều switch Bằng cách tạo ra nhiều VLAN, các switch sẽ tạo ra nhiều miền broadcast.Lúc đó, khi một gói tin dạng broadcast được gửi bởi một thiết bị nằm trong một VLAN sẽđược chuyển đến những thiết bị khác trong cùng VLAN, và dĩ nhiền sẽ không ảnh hưởngđến các VLAN khác
Trang 10Mỗi VLAN nên có một dãy địa chỉ IP riêng và các thiết bị trong cùng VLAN được sửcùng dãy địa chỉ mạng này Tuy nhiên, ta vẫn có thể đặt nhiều địa chỉ trong một VLAN vàdùng tính năng gán địa chỉ IP thứ 2 (secondary address) trên các router để định tuyến giữacác VLAN và các subnet Bạn cũng có thể thiết kế một mạng dùng chỉ một subnet trênnhiều VLAN và dùng router với chức năng proxy-arp để chuyển lưu lượng giữa các máytrong các VLAN này
Bên cạnh đó chúng ta có VLAN dùng riêng (private VLAN) có thể được xem như gồmmột subnet trên nhiều VLAN Các switch thuần tuý hoạt động lớp 2 chuyển các khung tingiữa các thiết bị trên cùng một VLAN nhưng nó không chuyển các khung tin giữa các thiết
bị khác VLAN Để chuyển dữ liệu giữa hai VLAN, một thiết bị switch lớp 3 hoặc routerphải được dùng
2.1.2 Private VLAN (VLAN dùng riêng)
Private VLAN cho phép một switch tách biệt các máy trạm và xem các máy trạm này nằm trên các VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet Một tình huống phổ biến để triển khai private VLAN là trong các trung tâm lưu trữ dữ liệu của các nhà cung cấp dịch vụ Nhà cung cấp dịch vụ có thể cài đặt một router và một switch Sau
đó, nhà cung cấp sẽ gắn các thiết bị từ các khách hàng khác nhau vào cùng một switch Private VLAN cho phép nhà cung cấp dịch vụ dùng một subnet duy nhất cho cả toà nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng trong một switch duy nhất
Một private VLAN bao gồm các đặc điểm sau:
- Các cổng cần giao tiếp với các thiết bị khác
- Các cổng cần giao tiếp với nhau và các thiết bị khác, thường là router
- Các cổng giao tiếp chỉ với những thiết bị dùng chung
Trang 11Hình: Mô hình Private VLAN
Để hỗ trợ những nhóm cổng trên, một private VLAN bao gồm VLAN chính
(primary VLAN) và một hoặc nhiều VLAN phụ (secondary VLAN) Các cổng trong
primary VLAN được gọi là promicuous có nghĩa là nó có thể gửi và nhận các khung tin với bất kỳ các cổng nào khác, kể cả với những cổng được gán vào secondary VLAN Các thiết bị được truy cập chung, chẳng hạn như router hay server thường được đặt vào trong primary VLAN Các cổng khác, chẳng hạn như các cổng của khách hàng sẽ gắn vào một trong những secondary VLAN Secondary VLAN thường có một trong hai dạng là VLAN dùng chung (community VLAN) và VLAN tách biệt (isolated VLAN) Các kỹ sư sẽ chọn lựa kiểu tùy thuộc vào thiết bị có là một thành phần của tập hợp các cổng cho phép gửi khung tin vào và ra (community VLAN) Còn kiểu cổng bị tách biệt (isolated port) sẽ
không thể truyền đến các cổng khác ngoài VLAN
Trang 122.1.3 Phân loại VLAN.
Để nắm được cách phân loại VLAN là gì, chúng ta cần căn cứ vào cấu tạo của từng mạng VLAN Nói đúng hơn chính cách thức tạo nên VLAN sẽ hỗ trợ người dùng phân loạimạng máy tính ảo Tính đến thời điểm hiện tại, có hai mạng VLAN phổ biến là Static
VLAN hay VLAN tĩnh và Dynamic VLAN hay VLAN động
2.1.3.1 Static VLAN (VLAN tĩnh).
VLAN tĩnh còn được gọi là VLAN dựa trên cổng được tạo bằng cách gán các cổng cho một VLAN theo cách thủ công Khi một thiết bị được kết nối với một cổng, nó sẽ tự động giả định VLAN mà cổng đó được gán Nếu người dùng thay đổi cổng và vẫn cần truycập vào cùng một VLAN, người quản trị mạng phải gán cổng cho VLAN theo cách thủ công Các VLAN tĩnh thường được sử dụng để giảm phát sóng và tăng tính bảo mật Vì các VLAN tĩnh có chi phí quản trị nhỏ và cung cấp khả năng bảo mật tốt hơn các thiết bị chuyển mạch truyền thống nên chúng được sử dụng rộng rãi Một điểm mạnh khác của VLAN tĩnh là khả năng kiểm soát nơi người dùng di chuyển trong một mạng lớn Bằng cách gán các cổng cụ thể trên các thiết bị chuyển mạch trong mạng, người quản trị mạng
có thể kiểm soát việc truy cập và giới hạn tài nguyên mạng mà người dùng có thể sử dụng
2.1.3.2 Dynamic VLAN (VLAN động).
VLAN động được tạo bằng cách gán máy chủ cho một VLAN khi máy chủ đượccắm vào một bộ chuyển đổi sử dụng địa chỉ phần cứng được lưu trữ trong cơ sở dữ liệu.VLAN động sử dụng một máy chủ trung tâm được gọi là VMPS (Máy chủ chính sáchthành viên VLAN) VMPS được sử dụng để xử lý các cấu hình cổng của mọi switch trênmạng VLAN Máy chủ VMPS giữ một cơ sở dữ liệu chứa địa chỉ MAC của tất cả các máytrạm có VLAN mà nó thuộc về Điều này cung cấp ánh xạ địa chỉ VLAN đến MAC Sơ đồánh xạ này cho phép các máy chủ di chuyển bên trong mạng và kết nối với bất kỳ bộchuyển mạch nào, là một phần của mạng VMPS và vẫn duy trì cấu hình VLAN của nó.Khối lượng công việc ban đầu cần thiết để cấu hình VMPS là lớn, do đó các VLAN độngkhá hiếm Khi một máy chủ được kết nối với một bộ chuyển mạch, nó sẽ được kiểm tradựa trên cơ sở dữ liệu VMPS về tư cách thành viên VLAN của nó trước khi cổng đượckích hoạt và được gán cho một VLAN Điều này ngăn máy chủ nước ngoài truy cập vàomạng bằng cách chỉ cần cắm máy trạm vào ổ cắm trên tường
Trang 132.1.3.3 Sự khác biệt giữa VLAN tĩnh và VLAN động.
Sự khác biệt chính giữa VLAN tĩnh và VLAN động là các VLAN tĩnh được cấu hình theo cách thủ công bằng cách gán các cổng cho một VLAN trong khi các VLAN động
sử dụng cơ sở dữ liệu lưu trữ ánh xạ VLAN đến MAC để xác định VLAN mà một máy chủ
cụ thể được kết nối Điều này cung cấp tính linh hoạt hơn trong các VLAN động cho phép các máy chủ di chuyển trong mạng thay vì mạng tĩnh Nhưng việc cấu hình máy chủ
VMPS có chứa ánh xạ VLAN đến MAC đòi hỏi nhiều công việc ban đầu Do đó, các quản trị viên mạng có xu hướng thích các VLAN tĩnh hơn
2.1.4 VLAN hoạt động như thế nào và khi nào cần sử dụng VLAN 2.1.4.1 VLAN hoạt động như thế nào?
VLAN được tạo bằng cách thêm tag hoặc header vào mỗi frame Ethernet Tag này cho mạng biết frame sẽ được gửi đến VLAN nào Các thiết bị trong những VLAN khác nhau không thể nhìn thấy lưu lượng của nhau trừ khi chúng đều kết nối với router được cấuhình cho phép việc này
Trang 142.1.4.2 Khi nào cần sử dụng VLAN?
Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau:
Giả sử một công ty có 3 bộ phận là: Engineering, Marketing, Accounting, mỗi bộ phận trên lại trải ra trên 3 tầng Để kết nối các máy tính trong một bộ phận với nhau thì ta
có thể lắp cho mỗi tầng một switch Điều đó có nghĩa là mỗi tầng phải dùng 3 switch cho 3
bộ phận, nên để kết nối 3 tầng trong công ty cần phải dùng tới 9 switch Rõ ràng cách làm trên là rất tốn kém mà lại không thể tận dụng được hết số cổng (port) vốn có của một
switch Chính vì lẽ đó, giải pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài nguyên
Hình: mô hình VLAN
Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch, và switch này
được chia VLAN Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các VLAN tương ứng là
Marketing và kế toán (Accounting) Cách làm trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng (port) sẵn có của switch
Trang 15Từ đây ta có thể nhìn thấy chúng ta nên sử dụng VLAN trong một số trường hợp sau:
- Có nhiều user trong mạng LAN
- Lưu lượng quảng bá (broadcast traffic) lớn
- Các bộ phận làm việc cần gia tăng tính bảo mật hoặc bị làm chậm vì có quá nhiều bản tin quảng bá
- Chuyển đổi một switch đơn thành nhiều switch ảo
2.1.5 Cấu trúc thông tin của VLAN.
2.1.5.3 Trunks Port (cổng trung kế)
Là port đấu nối giữa các switch để đồng bộ các thông tin VLAN giữa các Switch
Đấu nối với thiết bị định tuyến hỗ trợ chuẩn của cổng Trunk trên switch để định tuyến cho các máy trong các VLAN có thể truyền thông với nhau
2.1.5.4 VLAN Trunking:
IEEE 802.1Q: Gọi tắt là chuẩn dot 1q, đây là chuẩn mở, được sử dụng trên thiết bị của rất nhiều hãng sản xuất thiết bị Các thiết bị của các hãng khác nhau có hỗ trợ chuẩn này đều có thể đấu nối với nhau
Cisco Inter-Switch Link (ISL): Là chuẩn Trunking riêng của Cisco, chỉ hỗ trợ thiết
bị Cisco Tuy nhiên, không phải bất kỳ switch nào của Cisco cũng hỗ trợ chuẩn này, ví dụ trên switch 2960 chỉ hỗ trợ dot 1q
Trang 162.1.5.5 Access port (cổng truy cập)
Là port được kết nối với switch khác nhau Loại giao diện này có thể mang lưu
lượng của nhiều VLAN, do đó cho phép bạn mở rộng các VLAN trên toàn bộ mạng của mình Các khung được gắn thẻ bằng cách gán VLAN ID cho mỗi khung khi chúng đi qua giữa các công tắc
2.1.5.6 VLAN Access port:
Kết nối thiết bị vào VLAN, cho phép các máy truy cập dữ liệu
Kết nối với các Access Switch để mở rộng VLAN
Ngày nay, ngoài việc chia VLAN trên switch, người ta còn có thể chia VLAN trên Access point WiFi, các switch ảo của các phần mềm ảo hóa chuyện nghiệp như VMware Esxi
2.1.6.6 Sự khác biệt giữa Trunk port và Access Port:
Hình: Hình phân biệt sự khác nhau giữa Access port và Trunks port
Trang 172.1.6 Ưu nhược điểm của VLAN.
2.1.6.1 Ưu điểm.
VLAN cho phép quản trị viên mạng thiết lập các mạng riêng biệt bằng cách cấu hình thiết bị mạng, chẳng hạn như bộ định tuyến, mà không cần điều chỉnh hệ thống cáp Một VLAN cho phép người quản trị mạng phân chia, thiết lập và thay đổi mạng để tổ chức
và lọc dữ liệu cho phù hợp
VLAN cũng rất quan trọng vì chúng cải thiện hiệu quả mạng tổng thể bằng cách nhóm các thiết bị thường xuyên giao tiếp nhất VLAN cung cấp khả năng bảo vệ trong các mạng lớn hơn bằng cách cho phép mức độ kiểm soát thiết bị cao hơn Các VLAN để kiểm soát lưu lượng nâng cao hầu hết được các tổ chức lớn hơn thiết lập cho các thiết bị phân vùng lại
Bởi vì các máy trạm chỉ có thể được chuyển sang một VLAN khác thông qua một
sự thay đổi trong thiết lập chuyển mạch, nên việc định vị các máy trạm này rất dễ dàng
Người dùng có thể trao đổi tệp và dịch vụ nhanh hơn nếu họ có một VLAN duy nhất cho tất cả những người làm việc cùng nhau trong một dự án nhất định Nếu người
dùng chuyển đổi bàn làm việc của họ sau khi kết nối với mạng, máy tính của họ vẫn ở
trong cùng một VLAN, miễn là các VLAN được gắn đúng cách Nếu quản trị viên mạng muốn chặn các kết nối đến máy chủ hoặc máy tính khác, chúng có thể bị tắt trong VLAN của họ Người dùng sau đó có thể được cung cấp quyền kiểm soát một cách chọn lọc trong các VLAN khác
2.1.6.2 Nhược điểm:
Một gói tin có thể bị rò rỉ từ VLAN này sang VLAN khác
Cần có một bộ định tuyến mạnh để kiểm soát khối lượng việc trong các mạng lớn
Một VLAN không thể chuyển tiếp lưu lượng mạng tới các VLAN khác
Trang 182.2.1 Giao thức Open Shortest Path First.
Các giao thức định tuyến động (Dynamic Routing Protocol) về cơ bản trao đổi thôngtin để các router có thể xây dựng các tuyến đường Các router tìm hiểu thông tin về cácmạng con, các đường đến các mạng con đó và thông tin số liệu về mức độ của mỗi đườngroute so với các đường route khác Sau đó, giao thức định tuyến có thể chọn tuyến đườngtốt nhất hiện tại cho mỗi mạng con, xây dựng bảng định tuyến IP
Link State là giao thức xây dựng đường đi tốt nhất (Shortest path first) thông qua giảithuật Dijkstra Các router chỉ cần trao đổi thông tin của nhau như trạng thái đường link, địachỉ IP mà không cần gửi cả bảng định tuyến Sau khi có thông tin nó sẽ xây dựng ra mộtbảng định tuyến và đường đi tốt nhất OSPF – Open Shortest Path First là một giao thức
Trang 19định tuyến link – state điển hình Đây là một giao thức được sử dụng rộng rãi trong cácmạng doanh nghiệp
Hoạt động của OSPF có thể chia thành 4 bước:
B1 Mỗi router bầu 1 router-id định danh duy nhất trên 1 vùng Xét theo thứ tự:
- Admin đặt bằng câu lệnh cấu hình
Hình 2.14: Cấu trúc gói tin Hello.
Để thiết lập được kết nối láng giềng thì phải có các đặc điểm sau: phải có cùng Area IDtức là chung vùng, cùng 1 subnet, Hello timer-Dead timer có cùng giá trị, Xác thựcAuthentication để tham gia vào OSPF,…
B3 Xây dựng bảng Link-state Database (LSDB).
Khi thiết lập xong quan hệ láng giềng, các router sẽ gửi các gói tin LSU (Link stateupdate) có chứa thông tin là LSA (Link state Advertisement) để thành lập bảng LSDB cho
Trang 20từng con LSA chứa các thông tin như router ID, địa chỉ IP của cổng, trạng thái của cổng
đó, cost,… Các trạng thái của router trong LSDB:
- Môi trường point-to-point trạng thái sẽ là
Full/ - Môi trường multiaccess sẽ thực hiện bầu chọn trên mỗi subnet
1 DR (designated router) sẽ nhận tất cả các LSU và gửi cho các con còn lại
1 BDR (Back-up designated router) chỉ nhận tất cả các LSU chứ không gửi đi
Các router còn lại là DR-other chỉ nhận LSU từ DR
Việc bầu chọn này diễn ra trên các cổng kết nối theo trình tự:
- Xét Priority, cao nhất thì được làm DR, cao thứ hai được làm BDR
- Nếu Priority bằng nhau thi xét tới router id
Thay vì tất cả các router đều phải nhận tất cả các LSU và gửi chúng đi thì phân chia rõvai trò như trên, việc bầu chọn này giúp tiết kiệm được tài nguyên mạng rất lớn
B4 Thiết lập bảng định tuyến.
OSPF LSA chứa thông tin hữu ích, nhưng chúng không chứa thông tin cụ thể mà routercần thêm vào bảng định tuyến IPv4 của nó Từng router sẽ phải dựa trên các thông tin đó
và tự xây dựng bảng định tuyến của nó bằng cách sử dụng giao thức Shortest Path First
(SPF) Giao thức này tính toán chi phí đường đi dựa trên Metric:
8
10 ( )
Bandwidth bps
Hình 2.15: Một số giá trị Metric của các cổng
Thuật toán SPF dùng thuật toán Dijkstra tính toán tất cả các đường đi cho một mạngcon-nghĩa là tất cả các đường đi có thể từ router đến mạng con đích Nếu có nhiều hơn một
Trang 21tuyến đường tồn tại, bộ định tuyến sẽ so sánh các số liệu, chọn đường đi có số liệu tốt nhất(thấp nhất) để thêm vào bảng định tuyến.
Khi có sự thay đổi xảy ra, ví dụ một cổng kết nối bị rớt từ up/up xuống down/down thìrouter có cổng kết nối đó sẽ thay đổi LSA và gửi đi, các router khác trong vùng sẽ cập nhậtđược thông tin và tính toán, thay đổi các đường đi với thông tin mới
2.2.2 Access Control List (ACL).
ACL – Access Control List là một danh sách các điều kiện dùng để quản lý lưu lượngtruy cập mạng, xác định ngăn chặn đối tượng trên một thiết bị và được cài đặt trong router
và switch
Access Control List có thể được chia thành hai loại chính:
Standard ACL: Access list được tạo ra chỉ bằng cách sử dụng địa chỉ IP nguồn Các
ACL này cho phép hoặc chặn toàn bộ lưu lượng với các giao thức từ 1 nguồn Chúngkhông phân biệt giữa lưu lượng IP như UDP, TCP và HTTPS Standard ACL được đánh sốtrong khoảng 1-99 hoặc 1300-1999 để thiết bị nhận biết đây là standard ACL
Extended ACL: Đây là access list được sử dụng rộng rãi vì nó có thể phân biệt lưu
lượng IP Nó sử dụng cả địa chỉ IP nguồn và đích và số port để hiểu lưu lượng IP, từ đó cóthể chỉ định lưu lượng IP nào sẽ được phép hoặc bị từ chối Extended ACL được đánh số100-199 và 2000-2699 để nhận biết
ACL được sử dụng cho tất cả các thiết bị định tuyến khác nhau đảm bảo về hiệu suất
và an toàn bảo mật Vì thế mà ACL là lựa chọn tốt nhất dành cho các điểm cuối mạng nhưserver Việc đặt ACL sẽ phụ thuộc vào yêu cầu trong hệ thống mạng của quản trị viên.Chẳng hạn như router biên của mạng giáp với internet công cộng là vị trí đặt ACL thíchhợp nhất hỗ trợ lọc lưu lượng mạng tốt hơn
Nguyên tắc hoạt động của ACL:
Access list là một danh sách gồm nhiều dòng Khi được truy xuất, ACL sẽ được đọc vàthi hành từng dòng 1 từ trên xuống dưới, dòng nào chứa thông tin khớp với gói tin đangđược xem xét dòng đấy sẽ được thi hành ngay các dòng phía dưới sẽ được bỏ qua Cuốicùng của ACL luôn là một dòng ngầm định “deny” tất cả có nghĩa gói tin không khớp với