Triển khai giải pháp xây dựng hạ tầng mạng cho ngân hàng liên doanh lào – việt trên giải pháp tổng thể của cisco

Vì thế em đã lựa chọn đề tài “TRIỂN KHAI GIẢI PHÁP XÂY DỰNG HẠ TẦNG MẠNG CHO NGÂN HÀNG LIÊN DOANH LÀO – VIỆT TRÊN GIẢI PHÁP TỔNG THỂ CỦA CISCO ”  Với mong muốn đem những kiến thức côn

Sinh viªn thùc hiÖn : Phonevilay Bounthala

Líp : 51K2 - CNTT

M· sè sinh viªn : 1051078021

Vinh - 2014

2.GIỚI THIỆU TỔNG QUAN NGÂN HÀNG LIÊN DOANH LÀO – VIỆT 5

CHƯƠNG 1 LÝ THUYẾT 9

1.1 Định tuyến 9

1.2 Phân loại định tuyến 10

1.2.1.Static route - Định tuyến tĩnh 10

1.2.2.Cấu hình default route tương tự như cấu hình static route .12

1.3 Các giao thức định tuyến 15

1.3.1.Routing Information Protocol (RIP) 16

1.3.2 Open Shortest Path Firsst (OSPF) 22

1.3.3 Enhanced Inteior Gateway Routing Protocol(EIGRP) .26

1.4 Bảo mật bằng SSH, TelNet, PortSecurity cho các thiết bị hạ tầng mạng 30

1.4.1 SSH 30

1.4.2 TelNet 31

1.4.3 Port security 32

1.5 ACL- Access Control List 33

1.5.1 ACL là gì 33

1.5.2.Các kiểu ACL 33

1.6 Cấu hình ACL 34

1.6.1.Standard ACL 34

1.6.2 Extended ACL 36

1.6.3.Cấu hình ACL bằng tên 37

1.7 NAT (Network Address Translation) 38

1.7.1.NAT là gì 38

1.7.2 Các loại NAT 39

2.1 Cấu hình trên router viêng chăn 49

2.1.1 Cấu hình của swcore layer 3 50

2.1.2 Cấu hình trên sw1viengchan 55

2.1.3.Cấu hình Switch 2 client ở hội sở chính viengchan 60

2.2 Cấu hình của Router chi nhánh XiengKhoang 65

2.3 Cấu hình của Router chi nhánh Luangphabang 68

KẾT LUẬN 73

TÀI LIỆU THAM KHẢO 74

Switch 2600 là một trong các thiết bị mạng hàng đầu rất lý tưởng cho các chi nhánh văn phòng của các doanh nghiệp lớn và vừa, cho phép đơn giản hóa công tác triển khai và quản lý, hạ thấp chi phí và mức độ phức tạp của mạng lưới và

hỗ trợ các ứng dụng kinh doanh quan trọng

 Các sản phẩm này là một phần trong Kiến trúc mạng Doanh nghiệp Cisco® (Cisco® Enterprise Networks Architecture) mới, cho phép các ứng dụng

có được thông tin cần thiết về mạng để cung cấp các dịch vụ sáng tạo hơn cho người dùng cuối và giảm bớt việc các nhà quản trị CNTT phải xử lý trực tiếp các vấn đề về quản trị mạng

Vì thế em đã lựa chọn đề tài “TRIỂN KHAI GIẢI PHÁP XÂY DỰNG

HẠ TẦNG MẠNG CHO NGÂN HÀNG LIÊN DOANH LÀO – VIỆT TRÊN GIẢI PHÁP TỔNG THỂ CỦA CISCO ”

 Với mong muốn đem những kiến thức công nghệ thông tin mới nhất

đã được học tại nhà trường để áp dụng vào thực tế ,ứng dụng công nghệ thông tin vào công việc một cách khoa học và hiệu quả nhất

 NGÂN HÀNG LIÊN DOANH LÀO – VIỆT là một ngân hàng hàng đầu tại Lào với số chi nhánh đặt ở hầu hết các tỉnh trải rộng khắp cả nước Lào tạo thành một mạng lưới giao dịch rộng khắp

 Với nhu cầu đáp ứng cao và hiệu quả nhất trong việc ứng dụng công nghệ thông tin nhằm cung cấp ứng dụng thanh toán cho khách hàng khắp nơi ,đòi hỏi ngân hàng phải có một hạ tầng công nghệ thông tin tốt và hiệu quả cao

 Hiện tại NGÂN HÀNG LIÊN DOANH LÀO – VIỆT có tới gần 1000 cán bộ số lượng lớn người sử dụng thiết bị và hạ tầng công nghệ thông tin do

đó cơ sở hạ tầng của NGÂN HÀNG LIÊN DOANH LÀO – VIỆT được đầu tư với chi phí rất lớn trong đó các thiết bị cốt lõi của hạ tầng mạng đều được sử dụng thiết bị Cisco , và các máy chủ IBM thế hệ mới nhất

2.GIỚI THIỆU TỔNG QUAN NGÂN HÀNG LIÊN DOANH LÀO – VIỆT

Address: No.44 Avenue Lane Xang, Vientiane, Laos Phone:+856 21 219 907

Ngân hàng Liên doanh Lào Việt (LaoVietBank) được thành lập ngày 22 tháng 06 năm 1999 tại thủ đô Viêng Chăn, nước CHDCND Lào Là ngân hàng liên doanh giữa Ngân hàng TMCP Đầu tư & Phát triển Việt Nam (BIDV) và Ngân hàng TMCP Ngoại Thương Lào Đại chúng (BCEL)

Tên đầy đủ: Ngân hàng Liên doanh Lào Việt Tên tiếng Anh: Lao Viet Joint Venture Bank Tên Viết tắt: LAOVIETBANK hoặc LaoVietBank

Địa chỉ: 44 Đại lộ LaneXang, Thủ đô Viêng Chăn, Nước CHDCND Lào Bối cảnh ra đời: Việt Nam – Lào là hai quốc gia có những mối quan hệ, giao lưu, thông thương mật thiết trong các mặt kinh tế, chính trị, văn hóa và xã hội Nó được xây dựng, vun đắp trong suốt quá trình lịch sử đấu tranh, xây dựng

và phát triển của mỗi đất nước trong suốt hơn 50 năm qua Mối quan hệ đặc biệt

đó đã được Chủ tịch Hồ Chí Minh và Chủ tịch Kaysone Phomvihane vun đắp thành tình hữu nghị đặc biệt Mặc dù được Đảng, Chính phủ và nhân dân hai nước tiếp tục gây dựng, duy trì và tiếp nối quan hệ trên ngày càng phát triển lớn mạnh nhưng quan hệ kinh tế, giao thương lại chưa xứng tầm Các hoạt động kinh doanh, xuất nhập khẩu, đầu tư còn rất hạn chế, hoạt động thông thương còn manh mún, nhỏ lẻ Từ những yêu cầu trên, cần có một “cầu nối” đặc biệt và hữu hiệu trong các lĩnh vực kinh tế, tài chính để thúc đẩy và phát huy tiềm năng của mỗi nước Với mục tiêu đó, Ngân hàng Liên doanh Lào Việt được thành lập đã

và đang đáp ứng, đóng góp ngày càng hiệu quả cho quan hệ giao lưu, thông thương, hợp tác toàn diện giữa hai nước theo mong muốn, nguyện vọng của Đảng, Chính phủ và nhân dân hai nước

Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) và Ngân hàng TMCP Ngoại thương Lào Đại chúng (BCEL) – hai ngân hàng thương mại quốc

doanh hàng đầu của hai nước đã xúc tiến hợp tác cùng góp vốn thành LaoVietBank Sứ mệnh đầu tiên của LaoVietBank là đóng vai trò cầu nối phục

vụ cho các hoạt động kinh doanh thương mại, tài chính giữa hai nước – bước đi tiên phong trong chương trình hợp tác hữu nghị, toàn diện đã được thỏa thuận bởi Chính phủ hai nước

Chủ sở hữu là BIDV (chiếm 65% vốn điều lệ) và BCEL (chiếm 35% vốn điều lệ) Tại thời điểm năm 1999, cả BIDV và BCEL đều là các Ngân hàng thương mại quốc doanh 100% vốn thuộc sở hữu nhà nước Đến nay, cả hai ngân hàng đều đã thực hiện cổ phần hóa với vốn sở hữu nhà nước chiếm chi phối Trong đó BCEL là NHTM lớn nhất tại Lào, BIDV là một trong bốn NHTM lớn nhất tại Việt Nam

Có sự quan tâm chỉ đạo, tạo điều kiện của Nhà nước, Chính phủ và Ngân hàng trung ương hai nước Trong đó đáng kể nhất là một loạt các văn bản pháp luật, quy định… giành riêng cho hoạt động giao thương giữa 2 nước Trong lĩnh vực ngân hàng, tiêu biểu nhất là Quy chế thanh toán Lào - Việt Nam của Ngân hàng Nhà nước Việt Nam

Sứ mệnh:

- Kết nối hai nền kinh tế Lào - Việt Nam: Trở thành Ngân hàng đi đầu trong việc cung cấp các giải pháp ngân hàng, tài chính cho các chủ thể có quan

hệ thương mại, đầu tư giữa Việt Nam và Lào

- Đóng góp quan trọng vào sự nghiệp phát triển kinh tế - xã hội của Việt Nam và Lào: LaoVietBank trở thành một tổ chức kinh tế lớn mạnh, kinh doanh

đa quốc gia, đóng góp quan trọng vào sự phát triển kinh tế của hai nước Việt Nam và Lào

Hệ thống giá trị cốt lõi:

LaoVietBanktập trung xây dựng và hình thành giá trị cốt lõi với 3 trục căn bản:

- Khách hàng là trung tâm, là mục tiêu hoạt động kinh doanh;

- Quản trị rủi ro là nền tảng của quản trị điều hành toàn hệ thống;

- Nhân sự và công nghệ là nhân tố quyết định sự thành công

Vị thế của Ngân hàng Liên doanh Lào Việt: Tại thị trường Lào, LaoVietBank đứng thứ 4 về quy mô tổng tài sản và huy động vốn, đứng thứ 3 về quy mô tổng dư nợ và đứng thứ 2 về quy mô vốn điều lệ (Chỉ sau Ngân hàng TMCP Ngoại Thương Lào Đại chúng) LaoVietBank được biết đến là một ngân hàng thương mại tiên phong trong đổi mới các sản phẩm dịch vụ, đi đầu trong triển khai ứng dụng hệ thống Corebanking hiện đại nhất, đáp ứng chất lượng dịch vụ cao Qua quá trình xây dựng và phát triển, LaoVietBank đã khẳng định

vị thế, có uy tín trong hệ thống ngân hàng tại Lào; là Ngân hàng lớn nhất trong Khối Liên doanh và Ngân hàng nước ngoài tại Lào, đồng thời là Ngân hàng có vốn đầu tư của Việt Nam lớn nhất tại Lào

Các sản phẩm dịch vụ nổi bật:

- Đóng vai trò chủ đạo về cầu nối thanh toán song phương Việt Nam – Lào, bằng Kíp Lào (LAK), Việt Nam đồng (VND) Bên cạnh đó các ngoại tệ

thanh toán thông dụng khác như: USD, THB, EUR cũng được sử dụng

- Dịch vụ chuyển đổi VND/LAK: thông qua LaoVietBank, đồng Việt

Nam đã xuất hiện và được chấp nhận thanh toán ngày càng phổ biến trên thị trường Lào, ngược lại các doanh nghiệp Việt Nam cũng dễ dàng chấp nhận đồng Kíp Lào trong các quan hệ mua bán, trao đổi hàng hóa, dịch vụ với Lào

- Cung cấp các sản phẩm cho vay, bảo lãnh đối với các doanh nghiệp, cá

nhân của Lào và các doanh nghiệp Việt Nam có hoạt động tại Lào

- Dịch vụ thanh toán quốc tế: với kinh nghiệm và uy tín của mình, thông

qua LaoVietBank, khách hàng có thể thanh toán hàng hóa, dịch vụ tới các quốc gia, vùng lãnh thổ một cách nhanh chóng và an toàn

- Dịch vụ tư vấn, xúc tiến đầu tư cho các doanh nghiệp Việt Nam mong

muốn tham gia đầu tư, sản xuất kinh doanh vào thị trường Lào

Hệ thống mạng lưới:

Đến năm 2013, mạng lưới kinh doanh của Ngân hàng Liên doanh Lào Việt đã có mặt ở hầu hết các khu vực và tỉnh thành phát triển của Lào và 2 khu vực trọng điểm tại Việt Nam Hiện LaoVietBank có Hội sở chính, 07 Chi nhánh

và 03 Phòng giao dịch trên toàn hệ thống, trong đó:

- Tại thủ đô Viêng Chăn là: Hội Sở chính và 02 Phòng giao dịch (Phòng giao dịch Chợ Sáng và Phòng giao dịch Sikhay)

- Chi nhánh: Chi nhánh Champasak (thành lập năm 2001), Chi nhánh Savanakhet (thành lập năm 2009), Chi nhánh Attapue (thành lập năm 2011), Chi nhánh Xiêng Khoảng (thành lập năm 2012), Chi nhánh Luông Prabang (thành lập tháng 3/2013) và Phòng giao dịch Khăm Muộn (thành lập tháng 7/2013);

Các thuật ngữ

1 Hopcount: là số router mà gói tin đi qua

2 AS - Autonomous System : hệ tự quản, nhiều mạng nằm dưới sự quản

lý của 1 chính sách trong vùng

3 AD - Administrative Distance : xác định độ tin cậy của router, chỉ số của AD nằm trong khoảng từ 0-255 và chỉ số AD càng nhỏ thì độ tin cậy của router càng cao( ưu tiên cho việc tìm đường đi tốt nhất)

4 Broadcast : là thuật ngữ được sử dụng để mô tả cách thức truyền tin được gửi từ 1 điểm đến tất cả các điểm khác Trong trường hợp này, có 1 nguồn gửi nhưng thông tin được gửi đến tất cả các nguồn nhận trong cùng 1 kết nối

5 Unicast : là 1 thuật ngữ được sử dụng để mô tả cách thức truyền tin được gửi từ 1 điểm đến 1 điểm khác Trong trường hợp này chỉ có 1 nguồn gửi

gộp(aggregation) các địa chỉ mạng lại thành một địa chỉ được biểu diễn bằng prefix mask(nghĩa là bằng số bit biểu diễn cho mặt nạ) Cách biểu diễn này không quan tâm đến địa chỉ thuộc lớp nào CIDR khắc phục được vấn đề thiếu hụt địa chỉ và bảng định tuyến lớn

CHƯƠNG 1 LÝ THUYẾT 1.1 Định tuyến

Định tuyến là gì : hiểu đơn giản là tìm đường đi từ “một mạng này sang một mạng khác” bằng cách tối ưu nhất

Định tuyến được áp dụng vào các thiết bị hạ tầng mạng được gọi là Router

Định tuyến được chia làm hai loại : Định tuyến tĩnh và định tuyến động

Cơ chế hoạt động của routing :

Router thực hiện các bước sau để tiến hành quá trình routing : 1) Mỗi một khung dữ liệu được nhận thì sẽ sử dụng trường kiểm tra dữ liệu (FCS – Frame Check Sequence) để đảm bảo rằng khung dữ liệu không bị lỗi nếu khung dữ liệu bị lỗi thì bỏ qua và không thực hiện cho các bước tiếp theo

2) Kiểm tra khung dữ liệu từ nguồn gửi là tầng dữ liệu Address, và chỉ xử

lý dữ liệu gửi đến cho router này là địa chỉ broad cast hoặc multicast

3) Lọc bỏ các gói tin trong khung dữ liệu gồm cả header và trailer, chỉ giữ lại gói tin chứa đị chỉ IP

4) So sánh gói tin chứa địa chỉ IP trong nguồn gửi với bảng routing table

và sau đó tìm kiếm router có địa chỉ giống với cái IP từ nguồn gửi Router này

sẽ thực hiện định danh cổng đi ra ngoài của router với router tiếp theo (next-ho) chính là nguồn gửi khung dữ liệu ở bước 1

5) Xác định địa chỉ đích liên kết dữ liệu sử dụng các gói tin chuyển tiếp đến router tiếp theo hoặc máy chủ đích ( theo chỉ dẫn trong bảng định tuyến )

6) Đóng gói gói tin chứa địa chỉ IP bên trong một data-link mới bao gồm

cả header và trailer thích hợp cho việc gửi đi khung dữ liệu (Frame) ra bên ngoài thông qua giao diện vật lý (port)

Hình 1.: Minh họa quá trình ip routing cho 2 router

1.2 Phân loại định tuyến

1.2.1.Static route - Định tuyến tĩnh

Ưu điểm : Tiết kiệm băng thông

Nhược điểm :

- Không phù hợp với các mạng lớn

- Không có cơ chế tự động thay đổi đường đi khi bị lỗi

Với định tuyến tĩnh thì các thông số như talbe Address chẳng hạn thì được người quản trị trực tiếp cài đặt

Cú pháp thực hiện cấu hình định tuyến tĩnh :

Ip route destination_network subnet_mask Gateway

Trong đó :

Ip route : là câu lệnh điều kiện

Destination_network : là mạng cần để route ra bên ngoài

Subnet_mask : là mặt nạ mạng của destination_network Gateway : là cổng ra của mạng cần route

Gateway có thể là số hiệu cổng của router chứa địa chỉ mạng hoặc

là địa chỉ ip của router sẽ nhận mạng cần đưa ra

 Cơ chế làm việc của định tuyến tĩnh

1 Người quản trị mạng sẽ cấu hình các đường cố định cho router

2 Router cài đặt các dữ liệu về đường đi vào bảng định tuyến

3 Các gói dữ liệu truyền giữa các mạng được đi theo đường định tuyến này

 Các bước thực hiện cấu hình IP Routing Static

1 Xác địn các mạng có trong hệ thống mạng cũng như các subnetmask của các mạng và các cổng outgoing/ingoing của các router

2 Vào chế đố cấu hình global router bằng cú pháp sau Enable Config terminal

3 Nhập lệnh ip route với các thông số đã có từ bước 1

Ip router Destination_network Subnet_mask Getway

hợp không tìm thấy đường đi nào phù hợp trong bảng định tuyến tới đích của gói tin

Cấu trúc lệnh : Ip route 0.0.0.0 0.0.0.0 Gateway (địa chỉ cổng đến hoặc là

số hiệu của cổng ra)

1.2.2.Cấu hình default route tương tự như cấu hình static route

Dynamic route – Định tuyến động

Ưu điểm :

- Phù hợp cho các hệ thống mạng lớn

- Tự động tìm kiếm đường đi khi bị lỗi

Nhược điểm:

- Chi phí xây dựng và vận hành cao

Với định tuyến động thì, người quản trị không phải mất thời gian cấu hình các bảng định tuyến cho router, mà thay vào đó, các router sẽ học và lưu lại các

số liệu vào bảng định tuyển

Dynamic route có rất nhiều chủng loại Để phân loại chúng, người ta xây dựng lên khái niệm AS (Autonomous System) AS là một tập hợp các network devices chịu chung một cơ chế quản trị nào đấy 1AS có thể gói gọn trong bán kính của 1 LAN hoặc rộng hơn cho cả 1 WAN Mỗi một AS sẽ được gán 1 con

số để phân biệt lẫn nhau

Việc phân loại bắt đầu như sau:

a Để liên lạc bên trong 1 AS, ta sẽ sử dụng các Interior Gateway Routing Protocol

b Để liên lạc giữa các AS với nhau, chúng ta sẽ nhờ đến các Exterior Gateway Routing Protocol

Đối với nhóm này, chúng ta lại có thêm 3 phân dòng nhỏ khác đó là :

c Distance Vector - Đại diện tiêu biểu là RIP v1, RIP v2, IGRP

d Link-state - Đại diện tiêu biểu là OSPF

e Balanced Hybrid - Đại diện tiêu biểu là EIGRP

Thuật toán tìm đường

Thuật toán vectơ khoảng cách (hay còn gọi là thuật toán Bellman-Ford) yêu cầu mỗi router gửi một phần hoặc toàn bộ bảng định tuyến cho các router láng giềng kết nối trực tiếp với nó Dựa vào thông tin cung cấp bởi các router láng giềng ,thuật toán vectơ khoảng cách sẽ lựa chọn đường đi tốt nhất

Sử dụng các giao thức định tuyến theo vectơ khoảng cách thường tốn ít tài nguyên của hệ thống nhưng tốc độ đồng bộ giữa các router lại chậm và thông số được lựa chọn đường đi có thể không phù hợp với những hệ thống mạng lớn Chủ yếu các giao thức định tyến theo vectơ khoảng cách chỉ xác định đường đi bằng khoảng cách (số lượng hop) và hướng đi (vectơ) đến mạng đích

Theo thuật toán này ,các router sẽ trao đổi bảng định tuyến với nhau theo định kỳ

Do vậy ,loại định tuyến này chỉ đơn giản là mỗi router chỉ trao đổi bảng định tuyến với các router láng giềng của mình Khi nhận được bảng định tuyến

từ router láng giềng, router sẽ lấy con đường nào đến mạng đích có chi phí thấp nhất rồi cộng thêm khoảng cách của mình vào đó thành một thông tin hoàn chỉnh về con đường đến mạng đích với hướng đi ,thông số đường đi từ chính nó đến đích rồi đưa vào bảng định tuyến đó gửi đi cập nhật tiếp cho các router kế cận khác RIP và IGRP là 2 giao thức định tuyến theo vectơ khoảng cách ( RIP ver1 & ver2, IGRP & EIGRP )

Chuyển bảng định tuyến cho router láng giềng theo định kỳ và tính lại vectơ khoảng cách Và thuật toán này cũng gây ra lỗi nghiêm trọng đó là định

tuyến lặp Nguyên nhân gây ra đó là do bảng định tuyến chưa kịp cập nhật thông tin mới và router lại sử dụng các thông tin cũ và truyền thông tin, cứ thế thông tin mới truyền đi cho các router khác lại là thông tin cũ

Hình 2 Lỗi định tuyến lặp

 Trạng thái đường liên kết (Link State routing)

Thuật toán chọn đường theo trạng thái đường liên kết (hay còn gọi là thuật toán chọn đường ngắn nhất ) thực hiện trao đổi thông tin định tuyến cho tất

cả các router khi bắt đầu chạy để xây dựng một bản đồ đầy đủ về cấu trúc hệ thống mạng Mỗi router sẽ gửi gói thông tin tới tất cả các router còn lại Các gói này mang thông tin về các mạng kết nối vào router Mỗi router thu thập các thông tin này từ tất cả các router khác để xây dựng một bản đồ cấu trúc đầy đủ của hệ thống mạng Từ đó router tự tính toán và chọn đường đi tốt nhất đến mạng đích để đưa lên bảng định tuyến Sau khi toàn bộ các router đã được hội tụ thì giao thức định tuyến theo trạng thái đường liên kết chỉ sử dụng gói thông tin nhỏ để cập nhật ,về sự thay đổi cấu trúc mạng chứ không gửi đi toàn bộ bảng định tuyến Các gói thông tin cập nhật này được truyền đi cho tất cả router khi

có sự thay đổi xảy ra, do đó tốc độ hội tụ nhanh hơn so với giao thức định tuyến theo vectơ khoảng cách,nên giao thức định tuyến theo trạng thái đường liên kết

ít bị lặp vòng hơn Mặc dù các giao thức loại này ít bị lỗi về định tuyến hơn nhưng lại tiêu tốn nhiều tài nguyên hệ thống hơn Do đó chúng có mức tiền cho thiết bị cao hơn nhưng bù lại chúng có khả năng mở rộng hơn so với giao thức định tuyến theo vectơ khoảng cách

Khi trạng thái của một đường liên kết nào đó thay đổi thì gói quảng bá trạng thái đường liên kết LSA(Link-State Advertisements) được truyền đi trên khắp hệ thống mạng Tất cả các router đều nhận được gói thông tin này và dựa vào đó để điều chỉnh lại việc định tuyến của mình Phương pháp cập nhật như vậy tin cậy hơn ,dễ kiểm tra hơn và tốn ít băng thông đường truyền hơn so với kiểu cập nhật của vectơ khoảng cách OSPF và IS –IS là 2 giao thức định tuyến theo trạng thái đường liên kết

Hiều về classful và classless là gì :

Classful routing không quảng bá address mask cùng với địa chỉ destination trong update Do đó classful routing phải cùng với địa chỉ lớp mạng của địa chỉ đích Nếu địa chỉ đích là connected, SubnetMask đuợc lấy cùng với SubnetMask được config trên interface kết nối đến mạng đó Nếu địa chỉ destination không connected, router sẽ lấy địa chỉ SubnetMask default của địa chỉ đích

Classless routing cho phép router gởi SubnetMask trong quảng bá router

Do đó, classless cho phép sử dụng VLSM (cho phép phân chia các subnet trên mạng và các subnet có thể kết nối được với nhau ) Ngoài ra, classless cho phép phân bệt các subnet all-zeros và subnet dành cho broadcast (all-ones), trong khi classfull thì không

1.3 Các giao thức định tuyến

Với các mô hình mạng lớn như ngày nay, thì việc áp dụng và cấu hình định tuyến tĩnh là một việc rất vất vả cho các quản trị viên và thường mang đến các lỗi trong quá trình cài đặt

Để giải quyết các vấn đề đó, thì người ta sẽ tạo ra các giao thức địn tuyến động, thay vì người quản trị nhập và cài đặt đường định tuyến cho router thì với

giao thức định tuyến, router sẽ tự học và lưu trữ đường đi của mạng nhằm tìm đường đi tốt nhất và hiệu quả nhất

Chúng ta sẽ nắm bắt tóm gọn về giao thức định tuyến như sau : Giao thức định tuyến khác hẳn về giao thức được định tuyến về cả chức năng và nhiệm vụ

Giao thức định tuyến được sử dụng trong giao tiếp giữa các router với nhau

Giao thức định tuyến cho phép các router chia sẻ các thông tin về định tuyến mà nó biết ra các router khác trong mạng Từ đó, các router có thể xây dựng và bảo trì bảng định tuyến của nó

Dựa vào mức độ phức tạp của một mạng, số router và yêu cầu bảo mật mà người ta chọn các loại định tuyến phù hợp

Sau đây là một giao thức định tuyến sẽ nói trong đồ án tốt nghiệp này là :

1 Routing Information Protocol (RIP)

2 Open Shortest Path First (OSPF)

3 Enhanced Inteior Gateway Routing Protocol(EIGRP)

1.3.1.Routing Information Protocol (RIP)

RIP gồm có 2 phiên bản : RIP ver1 và RIP ver2 Và hiện nay RIP ver2 là phiển bản được sử dụng nhiều trong các hạ tầng mạng cho doanh nghiệp vừa và nhỏ Có số lượng thiết bị router ít ( dưới 15 thiết bị)

a RIP version 1

Các điểm chính

1 Được định nghĩa trong RFC 1058,được công bố vào năm 1988

2 Sử dụng giao thức định tuyến classful, và dùng thuật toám vector khoảng cách để tìm đường

3 Metric = Hopcount

4 Hopcount nhỏ hơn hoặc bằng 15

5 Cập nhật gói tin broadcast mỗi 30s

6 Cho phép nhóm các mạng con cùng major

Các hạn chế

1 Không hỗ trợ mạng liên tục VLSM hoặc CIDR

2 Không gửi gói tin chứa subnet mask trong quá trình cập nhật định tuyến

3 Không hỗ trợ chứng thực bảo mật

Cấu hình RIP 1

Routerx(config)interface fa0/1 Routerx(config)ip add 12.0.10.1 255.255.255.0 Routerx(config)no shutdown

Routerx(config)interface fa0/0 Routerx(config)ip add 12.0.20.1 255.255.255.0 Routerx(config)no shutdown

Routerx(config)router rip Routerx(config)verison 1 Routerx(config)network 12.0.0.0 Routerx(config)do wr

VD

Cho mô hình mạng như bên dưới :

Chúng ta sẽ thực hiện như sau : Bước 1 : tại các cổng của các router trong mô hình mạng trên, ta lần lượt cấu hình địa chỉ ip tương ứng như trong mô hình

Bước 2: thiết đặt rip Các bước cụ thể RouterVinh:

routerx(config)#hostname VINH vinh(config)#int fa0/0

vinh(config-if)#ip add 12.0.0.1 255.255.255.0 vinh(config-if)#no sh

vinh(config-if)#exit vinh(config)#router rip vinh(config-router)verison 1 vinh(config-router)network 12.0.0.0 vinh(config-router)exit

Router Cualo routerx(config)#hostname cualo cualo(config)#int fa0/0

cualo(config-if)#ip add 12.0.0.2 255.255.255.0 cualo(config-if)#no sh

cualo(config)#int fa0/1 cualo(config-if)#ip add 23.0.0.1 255.255.255.0 cualo(config-if)#no sh

cualo(config-if)#exit cualo(config)#router rip cualo(config-router)verison 1 cualo(config-router)network 12.0.0.0 cualo(config-router)network 23.0.0.0 cualo(config-router)exit

Router YenThanh routerx(config)#hostname yenthanh yenthanh(config)#int fa0/1

cualo(config-if)#ip add 23.0.0.2 255.255.255.0 cualo(config-if)#no sh

yenthanh (config-if)#exit yenthanh (config)#router rip yenthanh (config-router)verison 1

yenthanh (config-router)network 23.0.0.0 yenthanh (config-router)exit

b RIP version 2

Các điểm chính

1 RIP v2 được phát triển trên nền tảng của RIP v1 từ năm 1993 và đến năm 1998 chính thức được đưa vào sử dụng, áp dụng các điểm nổi bật của RIPv1 và cung cấp thêm các đặc tính mới

2 Sử dụng giao thức classless và thuật toán tìm đường vector khoảng cách dể định tuyến

3 Hỗ trợ cho các mạng không liên tục VLSM hoặc CIDR

4 Hỗ trợ chứng thực định tuyến, tăng mức độ bảo mật

5 Địa chỉ next-hop cũng được đưa vào trong thông tin gói tin cập nhật routing

6 Sử dụng gói tin multicast để quảng bá mạng và cập nhật routing table thay vì broadcast như trong RIP v1

Hình 3 Gói tin hello giữa RIPv1 và RIPv2

Bảng so sánh giữa RIP v1 và RIP v2

Cấu hình RIPv2:

Các bước cấu hình trong RIP v2 tương đương như RIP v1, tuy nhiên thay

vì dùng câu lệnh version 1 thì chúng ta thay thế bằng câu lệnh version 2 hoặc

nếu ta không gõ câu lệnh này thì, router ngầm hiểu là RIP v1

Chứng thực trong RIP v2 RIP v2 hỗ trợ 2 loại chứng thực : đó là plaintext và mã hóa MD5

Khi chứng thực bằng plaintext chúng ta dễ dàng bắt gói tin và đọc được key Trong khi đó thì chứng thực MD5 sẽ mã hóa key chứng thực thành chuỗi

ký tự gây khó khăn cho việc đọc chúng

1 Chứng thực Plaintext

a Cấu hình

Routerx(Config)#hostname R1 R1(config)#key chain [name]

Classless Routing Protocol

Uses Hold- Down Timers

Use of Split Horizon

or Split Horizon w/

Poison Reverse

Max Hop count

= 15

Auto Summary

Support CIDR

Supports VLSM

Uses Authen- tication

R1(config-keychain-key)#exit R1(config)#int [port_connect_diffirent_router]

R1(config-if)#ip rip authentication key-chain [name](step 2) R1(config-ip)#ip rip authentication mode text

b Ví dụ

Routerx(config)#host R1

R1(config)#key chain test

R1(config-keychain)#key 1 R1(config-keychain-key)#key-string 123@abc R1(config-keychain-key)#exit

R1(config)#int fa0/0 R1(config-if)#ip rip authentication key-chain test R1(config-ip)#ip rip authentication mode text

2 Chứng thực mã hóa MD5

Routerx(Config)#hostname R1 R1(config)#key chain [name]

R1(config-keychain)#key [number]

R1(config-keychain-key)#key-string [key-string]

R1(config-keychain-key)#exit R1(config)#int [port_connect_diffirent_router]

R1(config-if)#ip rip authentication key-chain [name](step 2) R1(config-ip)#ip rip authentication mode MD5

1.3.2 Open Shortest Path Firsst (OSPF)

Các điểm chính

1 Được công bố lần đầu vào năm 1987

2 Phiên bản released được công bố vào năm 1987 và được lưu trữ bằng định danh RFC 1131, phiên bản này ngừng phát triển trong một thời gian ngắn

sau

3 Phiên bản OSPFv2 released được công bố vào năm 1991 bằng định

danh RFC 1247

4 Năm 1998 cập nhật phiên bản 2 với định danh RFC 2328

5 Phiên bản OSPFv3 được giới thiệu vào năm 1999 với mục đích phát

triển cho Ipv6 Được định danh bằng số hiệu RFC 2740

6 OSPF sử dụng giao thức classless và thuật toán Dijkstra Shoterst Path

First (SPF) để tìm đường đi tốt nhất trong mạng

7 Hỗ trợ các mạng không liên tục VLSM hoặc CIDR

8 Hỗ trợ chứng thực định tuyến, tăng mức độ bảo mật

9 Có AD = 110

10 Metric được tính theo bandwith trên cổng chạy OSPF

11 Cổng hoạt động của OSPF là 89

12 Cho phép nhóm các mạng con cùng major

Các kiểu gói tin trong OSPF:

có liên hệ với nó

2 Database Description(DBD) Kiểm tra dữ liệu đồng bộ giữa các

router

router với nhau

4 Link-State Update(LSU) Gửi các bản ghi chính xác của

link-state

5

Link-State Acknowledgement (LSAck)

Nhận diện các gói tin đã học đƣợc trong quá trình trao đổi thông tin

o Gói tin Hello

Hình 6 Cấu trúc gói tin hello của OSPF

Các nhiệm vụ của gói tin hello

 Tổng hợp các thiết bị router được gọi là neighbors và thiết lập các mối liên hệ đó

 Quảng bá các đường đi trên router đó để trở thành một neighbors

 Được sử dụng cho một mạng lớn nhắm chọn lọc các router được thiết kế

và sao lưu các router đã thiết kế đó

 Gửi thông tin ID router

o Gói tin Link-State Update

Hình 7 Cấu trúc gói tin LSU

Các nhiệm vụ của gói tin LSU

 Phân phối các quảng bá về trạng thái link-state

 Chứa nội dung về các router neighbors và chí phí đường đi

Cấu hình định tuyến OSPF:

RouterX(config)#hostname R1 R1(config)#int port_connect R1(config-if)#ip add address subnetmask

R1(config-if)#no sh R1(config-if)#exit

R1(config)#router ospf process-id [1-65535]

R1(config-router)#network network-address wildcard-ask area

area-id

R1(config-router)#exit

Trong đó :

o Network address : là mạng cần để đƣa vào bảng định tuyến

R1(config-if)#ip ospf authentication R1(config-if)#ip ospf authentication-key LapTest R2(config)#interface se0/1/0

R2(config-if)#ip ospf authentication R2(config-if)#ip ospf authentication-key LapTest

2 Chứng thực MD5

RouterX(Config)#Hostname R1

R1(config)#int port_authentication_MD5

R1(config-if)#ip ospf authentication message-digest

R1(config-if)#ip ospf message-digest-key 1 MD5 [key-string]

VD:

R1(config)#interface se0/1/0 R1(config-if)#ip ospf authentication message-digest R1(config-if)#ip ospf message-digest-key 1 MD5 LapTest R2(config)#interface se0/1/0

R2(config-if)#ip ospf authentication message-digest R2(config-if)# ospf message-digest-key 1 MD5 LapTest

1.3.3 Enhanced Inteior Gateway Routing Protocol(EIGRP)

Các điểm chính

1 EIGRP là một giao thức định tuyến được CISCO phát triển từ các nền tảng RIP và OSPF từ năm 1985 Các chuẩn RIP và OSPF có thể chạy trên các hãng khác nhau, nhưng chuẩn EIGRP chỉ chạy trên các thiết bị CISCO

2 EIGRP là một giao thức classless, cho phép hỗ trợ các mạng không liên tục VLSM hoặc CIDR

3 EIGRP sử dụng véc tơ khoảng cách được cải tiến và sử dụng thuật toán J.J Garcia Luna Aceves – thuật toán DUAL Để tìm kiếm đường đi tốt nhất cho bảng routing

4 Một đặc điểm nổi bật trong việc cải tiến hoạt động của EIGRP là không gửi cập nhật theo định kỳ mà chỉ gửi toàn bộ bảng định tuyến cho láng

giềng cho lần đầu tiên thiết lập quan hệ láng giềng, sau đó chỉ gửi cập nhật khi

có sự thay đổi Điều này tiết kiệm rất nhiều tài nguyên mạng

5 Việc sử dụng bảng topology và thuật toán DUAL khiến cho EIGRP có tốc độ hội tụ rất nhanh

6 EIGRP sử dụng một công thức tính metric rất phức tạp dựa trên nhiều thông số: Bandwidth, delay, load và reliability

7 Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route external

8 EIGRP chạy trực tiếp trên nền IP và có số protocol – id là 88

Các kiểu gói tin trong EIGRP

Gửi ra một thông điệp truy vấn cho tất cả các router láng giềng yêu cầu nếu chúng biết một con đường cho router này

4 Acknowledgement Là một gói tin hello không chửa dữ liệu, đây là một

gói tin không đáng tin cậy

Cấu hình định tuyến EIGRP

RouterX(config)#hostname R1

R1(config)#router eigrp autonomous-system

R1(config-router)#network network-address

VD:

RouterX(config)#hostname R1

R1(config-if)#ip add 192.16.10.1 255.255.255.0 R1(config-if)#no sh

R1(config)#router eigrp 1 R1(config-router)#network 192.16.10.0 RouterY(config)#hostname R2

R2(config-if)#ip add 192.16.10.2 255.255.255.0 R2(config-if)#no sh

R2(config-if)#ip add 172.16.10.1 255.255.255.0 R2(config-if)#no sh

R2(config)#router eigrp 1 R2(config-router)#network 192.16.10.0 R2(config-router)#network 172.16.10.0 RouterZ(config)#hostname R3

R3(config-if)#ip add 172.16.10.2 255.255.255.0 R3(config-if)#no sh

R3(config)#router eigrp 1 R3(config-router)#network 172.16.10.0

i Truy cập vào cổng vật lý cần thực hiện cấu hinh

ii Thực hiện lệnh ip authentication mode eigrp

autonomous-system md5

iii Thực hiện lệnh ip authentication key-chain eigrp autonomous-system

name-of-chain

iv Tạo key-chain với lệnh Key chain name-of-chain

v Tạo key ID với lệnh Key number_id

vi Tạo key-string với lệnh Key-String string-key

Router jack

Jack(config)#int fa0/0 Jack(config-if)#ip add 192.168.12.1 255.255.255.0

Jack(config-if)#no sh Jack(config-if)#exit

Jack(config)#key chain LapTest

Jack(config-keychain)#Key 1

Jack(config-keychain-key)#key-string 123@abc

Jack(config- keychain-key)#exit

Jack (config)#interface fastEthernet 0/0 Jack (config-if)#ip authentication mode eigrp 12 md5 Jack (config-if)#ip authentication key-chain eigrp 12 LapTest

Router Jonh

Jonh(config)#int fa0/0 Jonh(config-if)#ip add 192.168.12.1 255.255.255.0

Jonh(config-if)#no sh Jonh(config-if)#exit

Jonh(config)#key chain LapTest

2 Bảo mật bằng SSH, TelNet, PortSecurity cho các thiết bị hạ tầng mạng 2.1 SSH

SSH hay còn gọi là Secure Shell là một giao thức cho phép tăng độ bảo mật khi truy cập vào các thiết bị mạng, quá trình giao tiếp giữa thiết bị client và server thì đƣợc mã hóa đồng thời bằng SSH version 1 và version 2 Khuyến nghị nên sử dụng SSH version 2 vì chuẩn 2 hỗ trợ mã hóa giữ liệu cao hơn (RSA)

SSH đƣợc CISCO đƣa vào các sản phẩm của hãng

1) SSH version 1 đƣợc đƣa vào Cisco IOS Software Release 12.0.5.S 2) SSH Client đƣợc đƣa vào Cisco IOS Software Release 12.1.3.T

3) SSH Command Line đƣợc đƣa vào Cisco IOS Software Release 12.2.2.T

4) SSH version2 đƣợc hỗ trợ và đƣa vào Cisco IOS Software Release 12.1(19)E

Cấu hình SSH

RouterX(config)#User user-name Passworrd password

RouterX(config)#Crypto Key Genarate RSA

RouterX(config)#Ip SHH ver1/2 hoặc no ip ssh ver để thực hiện cả 2

phiên bản

RouterX(config)#ip ssh time-out time-life-of-session

RouterX(config)#Ip SSH authentication-retries limited-login RouterX(config)#line vty 0-number [1-16]

RouterX(config)#transport input ssh / telnet RouterX(config)#login local

RouterX(config)#exit Đăng nhập SSH từ Client

ssh -l username address-router-destination (v1)

ssh –l username –V 2 address-router-destionation (v2)

2.2 TelNet Giao thức TelNet cho phép bạn thiết lập kết nối TCP/IP đến một máy chủ, Telnet chophép bạn đăng nhập từ site to site hoặc client to server, bằng một tài khoản Telnet cho phép đăng nhập thông qua một địa chỉ IP hoặc một tên miền của đích đến

Giao thức Telnet cũng có những điểm chung nhƣ SSH, nhƣng độ an toàn

và bảo mật thì không cao nhƣ SSH Các mật khẩu mã hóa của Telnet dễ dàng đƣợc giải mã ngƣợc bằng các công cụ có trên internet Do đó các chuyên gia khuyến nghị hạn chế sử dụng telnet

Cấu hình Telnet

RouterX(Config)#hostname new-name-router RouterX(config)#line vty 0-x x = {1-16}

RouterX(config)#password string-password

RouterX(config)#login Đăng nhập bằng telnet tại client telnet ip-destination / domain-name-destination 2.3 Port security

Port security là một tính năng chỉ hoạt động trên các thiết bị switch trong

hạ tầng mạng

Port Security cung cấp ba tính năng sau :

1) Hạn chế các địa chỉ MAC đƣợc chỉ định về việc trao đổi thông tin qua

hạ tầng thiết bị switch, hoặc cấm các địa chỉ MAC đó trao đổi thông tin với các địa chỉ MAC khác

2) Giới hạn các địa chỉ MAC có thể sử dụng chung một cổng mạng trên thiết bị switch

3) Sự kết hợp của hai ý chính vừa nêu

Cấu hình Port Security

SwitchX(config)#interface port-set-security

SwitchX(config)#switchport mode access SwitchX(config)#switchport port-security SwitchX(config)#switchport port-security maximum 1

SwitchX(config)#switchport port-security mac-address value SwitchX(config)#switchport port-security violation mode

ACL cho phép các quản trị viên bảo vệ hệ thống mạng và các host đặc biệt tránh ra khỏi các mối nguy hại từ internet hoặc các mạng không đảm bảo an toàn

ACL : Filtering(Lọc) 1) Cho phép hoặc cấm các gói tin được trao đổi thông qua router 2) Cho phép hoặc cấm gói tin vty (Virtual Terminal Line) truy cập hoặc truy xuất tới router

3) Nếu không có ACL, thì tất cả các gói tin dễ dàng trao đổi giữa các host trong và ngoài mạng

ACL : Classification(Phân loại) Kiểm tra, xử lý các gói tin, lưu lượng truy cập đặc biệt

1.2.2.Các kiểu ACL

ACL có hai kiểu, đó là Standard ACL và Extended ACL Standard ACL :

- Kiểm tra địa chỉ nguồn

- Thực hiện việc cấm hoặc không cấm cho giao thức

Extended ACL:

- Kiểm tra địa chỉ nguồn và đích

- Thực hiện việc cấm hoặc không cấm trên các địa chỉ, ứng dụng, giao thức cụ thể

Để định danh cho các kiẻu ACL, ta có hai cách

Cấm dành cho quản trị vty

RouterX(config-line)#access-class access-list-number {in|out}

VD:

Chỉ cho phép các mạng 172.16.0.0 đƣợc hoạt động trong router RouterX(config)#access-list 10 permit 172.16.0.0 0.0.255.255 RouterX(config)#access-list 10 deny 0.0.0.0 255.255.255.255 RouterX(config)#int fa0/0

RouterX(config-if)#ip access-group 10 out RouterX(config)#int fa0/1

RouterX(config-if)#ip access-group 10 out Cấm host 172.16.4.13

RouterX(config)#access-list 10 deny 172.16.4.13 0.0.0.0 RouterX(config)#access-list 10 permit 0.0.0.0 255.255.255.255 RouterX(config)#int fa0/0

RouterX(config-if)#ip access-group 10 out Cấm subnet mask cụ thể

RouterX(config)#access-list 10 deny 172.16.4.0 0.0.0.255 RouterX(config)#access-list 10 permit any

RouterX(config)#int fa0/0 RouterX(config-if)#ip access-group 10 out Chỉ cho phép host 172.16.4.13 truy cập vào router bằng vty RouterX(config)#access-list 55 permit 172.16.4.13 0.0.0.0 RouterX(config)#access-list 55 deny any

RouterX(config)#line console RouterX(config)#line vty 0 4 RouterX(config-line)#access-class 55 in

RouterX(config-line)#exit

1.3.2 Extended ACL RouterX(config)#access-list access-list-number {permit|deny} protocol source source-wildcard [operator porrt] destination destination-wildcard [operator port] [established] [log]

RouterX(config)#interface port_apply_rules RouterX(config-if)#ip access-group access-list-number {in|out}

Trong đó

- Access-list-number = 100-199 | 2000-2699

- port_apply_rules : số hiệu cổng vật lý sẽ áp dụng luật ACL

Hình 8 Một số cổng của các ứng dụng trong ACL