Nếu bạnmuốn chỉ sử dụng SSH thì không nhập chử telnet trong lệnh Router#configure terminal Routerconfig#line vty 0 4 Routerconfig-line#transport input ssh telnet Routerconfig-line#^Z Rou
Trang 1M c L c ục Lục ục Lục
A Tổng quan an ninh mạng Cisco 2
1 Xác thực và chứng thực 2
2 Cấu hình mật khẩu truy cập 3
3 Tạo tài khoản người dùng 4
4 Tạo tiêu đề 5
5 SSH 6
7 Cấu hình SSH cho Client 9
B Nguyên tắc định tuyến 10
1 Tiến trình ARP 10
2 quá trình định tuyến Lan-to-Lan 11
3 quá trình định tuyến Lan-to-Wan 12
4 tiến trình của router 14
5 định tuyến tĩnh 15
6 định tuyến động 16
7 So sánh giao thức router và giao thức định tuyến 18
8 giao thức định tuyến 18
9 định tuyến vertor khoảng cách 19
10 định tuyến trạng thái kết nối (link-state routing) 21
11 Giao thức phổ biến 22
12 Khoảng (cách) quản trị 22
13 RIP (Giao thức thông tin định tuyến) 24
C Loại bỏ giao thức và dịch vụ 26
1 CDP 26
2 ICMP 31
3 Định tuyến nguồn 32
4 Dịch vụ nhỏ 32
5 Finger 32
6 Dịch vụ còn lại 32
7 Autosecure 33
8 Quản lý plane 33
Trang 2D Access Control Lists 34
1 Cách hoạt động của ACL 34
2 Quy trình của ACL 35
E Tạo Access Control Lists 37
1 ACL cơ bản 38
2 ACL mở rộng 38
2.1 Từ chối một máy chủ cụ thể 39
2.2 Từ chối một Subnet 39
2.3 Từ chối một mạng 40
2.4 Cấp Telnet từ một máy chủ cụ thể 40
2.5 Cấp FTP cho Subnet 41
3 Bảo vệ chống lại tấn công với ACL 41
3.1 Anti-DoS ACLs 41
3.2 Anti-SYN ACLs 41
3.3 Anti-Land ACLs 43
3.4 Anti-spoofing ACLs 44
V Logging Concepts 45
1 Cấu hình các Logging 46
2 Console Logging 46
3 Buffered Logging 47
4 Terminal Logging 47
5 Syslog Logging 48
6 Configuring Buffered Logging 49
6.1 ACL Logging 50
6.2 Anti-spoofing Logging 50
6.3 VTY Logging 51
7 Configuring Anti-spoofing Logging 51
Trang 3A Tổng quan an ninh mạng Cisco
o AAA gồm RADIUS và Kerberos Là phương pháp cung cấp đầy đủ các yêu cầu củaviêc xác thực, chứng thực và ủy quyền
2 Cấu hình mật khẩu truy cập
Bởi vì có nhiều phương thức truy cập vào router, để bảo mật bạn phải tạo các khóa tạicác điểm truy cập Dòng đầu tiên của việc bảo vệ là cung cấp mật khẩu cho các hình thứctruy cập
Thiết lập password cho console mode: Bởi vì kết nối qua cổng console là truy cập trựctiếp, nên phải có mật khẩu mạnh mẽ nó thường được tạo ra trong quá trình cài đặt router Đểthiết lập password cho cổng console bạn cần nhập cấu hình ở chế độ Terminal và sau đó nhậpdòng lệnh console 0
Router#config terminal Router(config)#line console 0 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z
Router#
Thiết lập password cho enable mode: Cũng tương tự như thiết lập password cho consolemode, có 2 điểm khác nhau là chuẩn enable password và enable secret password Enablesecret password được ưu tiên hơn vì enable secret password được mã hóa và không được đọctrong router
Router#config terminal Router(config)#enable secret p@55w0rd Router(config)#login
Trang 4Thiết lập password cho VTY mode: Cũng tương tự như console password, nhưng VTY
có 5 cổng nên khi thiết lập password bạn phải chỉ rõ là thiết lập password cho 1 cổng hay chotất cả
Thiết lập cho cổng VTY đầu tiên
Router#config terminal Router(config)#line vty 0 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z
Router
Thiết lập password cho tất cả các cổng VTY
Router#config terminal Router(config)#line vty 0 4 Router(config-line)#login Router(config-line)#password l3tm3!n Router(config-line)#^Z
Router
Cấu hình password : thiết lập cho console password là ACC3$$, VTY password là+3ln3+
3 Tạo tài khoản người dùng
Thông thường không nên tạo tài khoản sử dụng cho từng cá nhân trên router, vì khi bạntạo thêm một tài khoản thì tài khoản sẽ được cấp cho mức độ khác về điều khiển và truy cậprouter:
Router#configure terminal Router(config)#line console 0 Router(config-line)#login Router(config-line)#password ACC3$$
Router(config-line)#^Z Router#
Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#login
Trang 5Router(config-line)#password +3ln3+
Router(config-line)#^Z Router#
Tạo tài khoản cho nhiều người quản lý router :
Router#configure terminal Router(conf)#username Auser password u$3r1 Router(conf)#username Buser password u$3r2 Router(conf)#username Cuser password u$3r3 Router(conf)#username Duser password u$3r4 Router(conf)#^Z
Router#
4 Tạo tiêu đề
Để có password riêng trên router, bạn phải tạo tiêu đề cảnh báo Tiêu đề cảnh báo có 4chức năng:
o Không cung cấp thông tin hoặc kỹ thuật cho kẻ tấn công sử dụng
o Hệ thống thông báo chấp dứt đăng nhập
o Xác định người dùng không được ủy quyền của hệ thống
o Ngăn chặn và bảo vệ người quản trị thiết bị
Warning!!! This system is designed solely for the authorized users of Company X on official business Users of this system understand that there is no expectation of privacy, and that use
of the system may be monitored and recorded Use of this system
is consent to said monitoring and recording Users of this system acknowledge that if monitoring finds evidence of misuse, abuse, and/or criminal activity, that system operators may provide monitoring and recording data to law enforcement officials.
Tạo tiêu đề cisco
Router Cisco có sẵn một số tiêu để:
o Tiêu đề MOTD dùng để cài đặt thông thông điệp cho ngày, bạn không muốn cài đặttiêu đề cảnh báo mỗi ngày và lo ngại về việc quên một ngày thì MOTD được dùng
để gửi thông báo cho người dùng, chẳng hạn như hệ thống tắt để update
Trang 6o Tiêu đề login là tiêu đề đặt khi đăng nhập, tiêu đề này được thiết lập trong cấu hìnhTerminal mode, và được phân cách bởi một ký tự ở lúc bắt đầu và lúc kết thúc, ví
dụ dùng chữ C là dấu phân cách cho login banner
Router#configure terminal Router(config)#banner login C Warning!!! This system is designed solely for the authorized users of Company X on official business Users of this system understand that there is no expectation of privacy, and that use of the system may be monitored and recorded Use of this system is consent to said monitoring and recording Users of this system acknowledge that if monitoring finds evidence of misuse, abuse, and/or criminal activity, that system
operators may provide monitoring and recording data to law enforcement officials.
C Router(config)#^Z Router#
o Tiêu đề EXEC sử dụng thông báo cho người dùng nhập EXEC hoặc là chế độ đặcquyền bạn có thể tao một tiêu đề mới là một tiêu đề cảnh báo hoặc bất cứ gì màbạn thích Cách thiết lập giống như là tiêu đề login nhưng chỉ khác lệnh bannerEXEC so với banner login
Ví dụ tạo tiêu đề EXEC với dấu phân cách là #
Router#configure terminal Router(config)#banner exec # Reminder!!! When you logged into this system, you acknowledged that you are an authorized user of Company X systems You also acknowledged that your use of this system may be monitored and recorded Finally, you agreed that if misuse, abuse, and/or criminal activity are found while monitoring, that law enforcement officials may be contacted.
Router(config)#^Z Router#
5 SSH
Trang 7Mặc dù nhiều người quản trị thường dùng Telnet nhưng về bảo mật thì nó không thật sựmạnh mẽ vì nó không được mã hóa, tất cả lệnh và câu trả lời được đọc ở dạng cleartext bằngcách bắt gói tin
SSH là vỏ bọc an toàn cung cấp mức độ cao hơn về bảo mật cho việc truy cập router từ
xa, sử dụng mã khóa thông dụng RSA, SSH thiết lập kênh mã hóa cho thông tin giữa client
6 Cấu hình SSH cho Router
Sử dung ACL điều khiển truy cập VTY, ACL được dùng để điều chỉnh truy cập của cácđối tượng trên router
Ví dụ dưới đây, ACL 23 sử dụng để xác định host nó được phép truy cập router dướiquyền một nhà quản trị, hostname đơn giản là router, domainname là scp.mil, usename làSSHUser và password là No+3ln3+
Router#configure terminal Router(config)#ip domain-name scp.mil Router(config)#access-list 23 permit 192.168.51.45 Router(config)#line vty 0 4
Router(config-line)#access-class 23 in Router(config-line)#exit
Router(config)#username SSHUser password No+3ln3+
Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#exit
Router(config)#
Cấu hình router được đóng lại để kết thúc nhưng bạn phải mở RSA để nhận cặp khóa và
sử dụng, cần một ít thời gian để tạo ra cặp khóa
Ví dụ dòng lệnh tạo ra một cặp mã khóa RSA với 1024 bit
Router#configure terminal Router(config)#crypto key generate rsa The name for the keys will be: Router.scp.mil Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys Choosing a key modulus greater
Trang 8How many bits in the modulus [512]: 1024 Generating RSA keys
Router#
Tiếp theo là xác định số thử lại cho tước khi ngắt kết nối router Mặc định thiết lập là 3tối đa là 5, thiết lập này hiếm khi thay đổi nhưng dưới đây ta thay nó thành 2, sau khi thửxong thì kết nối sẽ ngắt
Router#configure terminal Router(config)#ip ssh authentication-retries 2 Router(config)#^Z
Router#
Cuối cùng là cấu hình VTY trên router cho phép hoạt động cả telnet và SSH Nếu bạnmuốn chỉ sử dụng SSH thì không nhập chử telnet trong lệnh
Router#configure terminal Router(config)#line vty 0 4 Router(config-line)#transport input ssh telnet Router(config-line)#^Z
Router#
Kiểm tra
Trên router, bạn muốn chạy một số lệnh để tìm ra người kết nối và kết nối như thế nào,các lệnh đó sẽ hiển thị trạng thái kết nối SSH của bạn, có nhiều khác nhau giữa các phiên bảnIOS, làm theo các bước sau
Nếu bạn chạy IOS 12.1, bạn muốn thấy trạng thái kết nối SSH và user kết nối, dùng lệnh
show ip ssh
Router#show ip ssh
Trang 9Connection Version Encryption State Username
Router#
Nếu bạn chạy IOS 12.2, có 2 lệnh để xem thông tin SSH Một là sử dụng Show ip ssh nó
sẽ hiển thị danh sách chi tiết về thời gian chờ và phiên bản Thứ 2 là dùng lệnh Show ssh
hiển thị tên user
Router#show ip ssh SSH Enabled - version 1.5 Authentication timeout: 45 secs; Authentication retries: 2 Router#show ssh
Connection Version Encryption State Username
SSHUser Router#
7 Cấu hình SSH cho Client
Cần cấu hình SSH ở cả server và client, cấu hình ở client không phức tạp nói chung làbạn phải cài đặt và cấu hình để sử dụng ứng dụng này trên router Có nhiều chương trình sửdụng để cài dặt SSH client Trong ví dụ này dùng chương trình PuTTY
Trang 10Khi cấu hình, bạn phải cho biết mã hóa mình sử dụng, bạn chọn RSA Bổ sung thêm, bạncần cho biết username và password Bạn đã có được bảo mật và hoạt động của nó cũngkhông khác gì Telnet.
có nhiều phần quan trọng ở tầng Data Link
Địa chỉ MAC được chia làm 2 phần, mỗi phần chứa 6 số hệ thập lục phân Phần thứ nhất
là 6 số đại điện cho mã nhà cung cấp hay là OUI (Organization Unique identifier), phầnthứ 2 là 6 số bên trái định nghĩa bởi nhà cung cấp sử dụng làm số serial
ARP(RFC 826) dùng tạo kết nối giữa tầng 2 và tầng 3 trong mô hình OSI, ví dụ sau dữliệu di chuyển từ host tới máy khách
Ví dụ dữ liệu đi từ Node1 tới Node2 trên phân đoạn mạng đi qua các bước:
- Node1 gửi broadcast trên mạng gửi địa chỉ tầng Data Link cho Node2
Trang 11- Khi Node1 gửi 1 broadcast thì các Node khác trên mạng đều nhân được và sẽ loại
bỏ khi biết là không phải gửi cho mình
- Node2 nhân thông báo yêu cầu địa chỉ MAC và gửi địa chỉ MAC ở địa chỉ tầngData Link node2 lưu lại địa chỉ MAC của Node1
- Node1 nhận được gói từ địa chỉ tầng Data Link của Node2
2 quá trình định tuyến Lan-to-Lan
Quá trình truyền dữ liệu từ máy chủ đến các máy khác trong mang Lan thì không quá phức tạp, ví dụ sau một router kết nối 2 mạng, xác địn 2 hosttrên mạng sử dụng Tcp/IP
Trang 12Lan-to-Trong ví dụ trên ta thấy 2 mạng cùng kết nối qua 1 router, đã cho sẵn giao diệnEthernet và địa chỉ IP Node7 muốn có được một gói tín từ Node10, định tuyến từrouter
- Node7 có IP nguồn là 10.0.10.115 và địa chỉ MAC là node7 điểm đến có địa chỉ
IP là 20.0.20.207 và điểm đến địa chỉ MAC vẫn chưa biết
- Khi router nghe được yêu cầu cho địa chỉ MAC từ host 20.0.20.207, nó sẽ trả lờicho node7 địa chỉ MAC , sau đó node7 sẽ gửi gói tin qua router điểm đến của địachỉ IP là 20.0.20.207 và địa chỉ MAC của giao diện E0 cho router
- Mỗi lần router nhận được gói tin, nó sẽ gửi broadcast cho địa chỉ MAC của20.0.20.207 từ địa chỉ IP là 10.0.10.115 với địa chỉ MAC nguồn của router vàđiểm đến địa chỉ MAC là node10 Node10 nhận gói tin và trả lời như bước trên
3 quá trình định tuyến Lan-to-Wan
Trang 13Quá trình định tuyến Lan-to-Wan cũng không khác gì nhiều so với quá trình địnhtuyến Lan-to-Lan gói tin từ Ethernet này được đóng gói chuyển qua nhiều router
và quay về Ethernet
xảy ra các bước để gói tin đi từ Node7 đến Node10:
1 Node7 tạo ra yều cầu cho địa chỉ Mac của Node10 với ip là 50.0.50.150
2 Router kết nối tới mạng 10.0.10.0 biết được mạng mà nó cấn đến nó sẽ trả lờicho Node7 địa chỉ MAC của nó
3 Node7 tạo gói tin đi từ ip nguồn là 10.0.10.115 và điểm đến có địa chỉ ip là50.0.50.150 và địa chỉ nguồn MAC của Node7 tới địa chỉ MAC của router mớinhận được
Trang 144 Router nhận được gói tin này sẽ không thay đổi địa chỉ ip nguồn và ip nhận, nó
sẽ đóng gói gói tin thay đổi phù hợp như PPP hoặc Fram reply như ví dụ
5 Router đó tiếp tục gửi gói tin đến một router khác, mỗi lần gửi như vậy đềukhông thay đổi địa chỉ ip
6 Khi gói tin đến được mạng 50.0.50.0, xóa bỏ đóng gói và đến địa chỉ50.0.50.150 và địa chỉ MAC của Node10
4 tiến trình của router
Hình dưới đây sẽ cho thấy độ phức tạp của mạng và gói tin phải đi qua nhiềumạng router sẽ giao tiếp với các mạng đó để xác định được tình huống xảy ra
Trang 15Để các router có thể trao đổi dữ liệu thì phải có sự liên lạc với nhau, các router kếtnối với nhau bằng địa chỉ logic, router phải có cách xác định mạng để truyền dữliệu, dùng broadcast để việc truyền dữ liệu được nhanh hơn.
Router sẽ sử dụng thông tin kết nối gồm loại mạng và băng thông để xác định định tuyếnnhư ví dụ trên router nói là để gói tin đi từ mạng A tới mạng N thì gói tin phải đi từmạng A tới mạng B tới mạng D tới mạng H tới mạng J tới mạng K tới mạng M tới mạng
N định tuyến nhanh nhất không phải là đường thẳng
Trang 16- Giảm băng thông
- Giảm tải router vì không cần tính toán tìm đường đi
Cấu hình định tuyến như hình trên :
MarketingRouter#config terminal MarketingRouter(config)#ip route 10.0.10.0 255.255.255.0 20.0.20.1
MarketingRouter(config-line)#^Z MarketingRouter#
FinanceRouter#config terminal FinanceRouter(config)#ip route 30.0.30.0 255.255.255.0 20.0.20.2 FinanceRouter(config-line)#^Z
FinanceRouter#
6 định tuyến động
Chúng ta không mất nhiều thời gian cho việc nhập lệnh để định tuyến tĩnh nhưng
nó chỉ sử dụng trong những mạng rất nhỏ, và đơn giản nhưng khi mạng phức tạp thì địnhtuyến tĩnh không còn hợp lý nữa nếu có hàng chục router muốn kết nối đến 1 số mạng,thì định tuyến tĩnh sẽ trở nên rất phức tạp
Trang 17Khi đó phải sử dụng định tuyến động giao thức định tuyến động có thể hội tụ đểchắc rằng tất cả các bộ định tuyến trong mạng có cái nhìn nhất quáng Giao thức địnhtuyến động có nghĩa là tìm đường đi tốt nhất trong mạng.
Giao thức định tuyến động sử dụng toán học để xác định định tuyến và liên lạc vớicác router khác
Bởi vì router thường xuyên trao đổi dữ liệu , nó có thể thay đổi và cấn được nângcấp sự linh hoạt đó làm cho giao thức định tuyến động được yêu thích Nếu router đi đếnmột mạng nào đó thì các router còn lại sẽ cấu hình lại và tìm đường để dữ liệu này có thể
đi đến mạng đó Như ví dụ sau:
Trang 18Trong trường hợp trên không tìm thấy hoạt động của 2 Finance router và router có
sử dụng định tuyến động các router khác cấu hình lại và tìm đến các Finance router, khicác router này hoạt động trở lại thì các router khác sẽ cấu hình lại cho hợp lý
7 So sánh giao thức router và giao thức định tuyến
Thường có xu hướng nhầm lẫn thật sự khi có sự khác nhau giữa giao thức router
và giao thức định tuyến, chúng ta sẽ tìm hiểu về sự khác nhau giữa chúng và vẽ một ranhgiới rõ ràng để không nhầm lẫn
1 Giao thức Router là gì ?
Các đặt trưng của giao thức Router
Nó phải chứa thông tin địa chỉ tầng Network
Phải có phương thức định vị một máy chủ trên một mạng Giao thức Router dùng địa chỉ máy của các user để nhận diện khi mà truyền mộtgói tin trong mạng hầu hết các lệnh trên giao thức Router là giao thức Internethoặc là IP Giao thức Router là Novell’s IPX/SPX (phiên bản Microsoft IPX/SPX
là NWLink) và AppleTalk, TCP/IP, IXP/SPX AppleTalk cho địa chỉ tầng mạngtrong mô hình OSI
2 Giao thức định tuyến là gì ?
Trong khi giao thức Router được sử dụng để mang dữ liệu từ máy chủ tới máykhách thì giao thức định tuyến được sử dụng để mang dữ liệu trên mạng tớimáy khách qua các Router Giao thức định tuyến là một phương thức truyềnthông báo và nâng cấp định tuyến giữa các router
Router sử dụng giao thức định tuyến để tạo, duy trì và thay đổi dữ liệu địnhtuyến router sử dung giao thức định tuyến để chuyển tiếp các gói tin trên mạngtới các máy khác trong mạng và bao gồm việc tìm đường tốt nhất cho gói dữliệu
Router sử dụng giao thức định tuyến để tìm hiểu về tình trạng và cấu hình củamạng không kết nối trực tiếp
Các giao thức định tuyến như là RIP, IGRP, OSPF
8 giao thức định tuyến
Phần trước là chủ đề về giao thức định tuyến, bầy giờ ta tìm hiểu về các lệnh trong giaothức định tuyến và xem ví dụ về cách hoạt động của giao thức có 2 loại lệnh là DistanceVector và Link-State
Bất kể sử dụng loại giao thức định tuyến nào thì nó đều là định tuyến động và tồn tại 2chức năng:
- Cập nhập router và bảng định tuyến phù hợp
Trang 19- Dự kiến cập nhật giữa các router
Để thực hiện 2 tiến trình quan trọng đó thì phải theo các nguyên tắc sau:
- Tần số cập nhật giữa các router
- Số lượng dữ liệu chứa khi cập nhật
- Tìm thích hợp máy nhận dữ liệu router
- Tính toán các đường đi khác nhau và chọn ra đường đi tốt nhất, xác định côngthức khi đã tìm được thuật toán định tuyến
- Thuật toán định tuyến là tìm đường đi dữ liệu trên mạng, để tính toán, thuật toánphải sử dụng
- một số biến làm số liệu, số liệu này sử dụng để tìm đường
một số biến sử dụng làm số liệu cho việc tìm đường:
- Hop Count – là số các router mà dữ liệu phải đi qua để tìm điểm đến công thức làmột số nhỏ hơn Hops, thấp hơn tổng các điểm mà gói dữ liệu phải đi qua Đó làđường đi tốt
- Cost – là số liên kết có thể được xác định bởi người quản trị hoặc được tính bởirouter nói chung thấp hơn số Cost này thì tuyến đường tốt
- Bandwidth – là gồm tất cả các băng thông cung cấp các link
- MTU (maximum transmission Unit) – là một thông báo lớn nhất mà liên kết địnhtuyến
- Load – là số lượng công việc CPU phải thực hiện và số gói tin CPU phải phân tích
và tính toán
Bất kể chọn giao thức định tuyến nào, thì sẽ không có một nguyên tắc duy nhất đểlựa chọn giao thức tốt nhất dựa trên thuật toán Giao thức định tuyến phải thay đổithích ứng với mạng thay đổi, và đều có thể dùng Distance Vertor hay Link-State Khirouter thay đổi các bản dựa trên thông tin cập nhật từ giao thức định tuyến thì đượcgọi là hội tụ
9 định tuyến vertor khoảng cách
Định tuyến vector khoảng cách tính toán khoảng cách cho các phân khúc mạng và chỉđạo cần thiết tiếp cận các phân khúc mạng đó Thuật toán vector khoảng cách là thiết
kế đi qua các bảng định tuyến của các router gần nhau trên cùng một mạng việcthông qua các bảng định tuyến gọi là cập nhật đường đi giữa các router, trong trưởnghợp có sự thay đổi cấu trúc như là một router không hoạt động, thì cập nhật sẽ thôngbáo ngay cho các router khác biết
Trang 20Trong định tuyến vector khoảng cách, bảng định tuyến thông qua các router dọc theophân khúc mạng chia sẻ trong hình 3-10 router A và router B sẽ chia sẽ bảng địnhtuyến trên phân đoạn mạng giữa chúng Ra giao diện E2 của router A và giao diện E0của router B.
Khi router nhận được cập nhật sẽ thêm thông tin mới vào router Thuật toán thêm mộthop đến số lượng hop của mỗi hop phải đi qua để đến đích.Hình 3-11 trình bày bảngđịnh tuyến căn bản bao gồm các hop
Trang 2110 định tuyến trạng thái kết nối (link-state routing)
Khi định tuyến vector khoảng cách sử dụng số lượng hop trên bảng định tuyến để xácđịnh đường đi Định tuyến Link-State sử dụng một hệ thống số liệu phức tạp hơn, tất
cả các router duy trì một quản điểm nhất quán của mạng như trong định tuyến vectorkhoảng cách Nhưng cũng là tất cả nhận thức của cấu trúc mạng hoàn chỉnh
Định tuyến Link-State biết đến mỗi phân khúc mạng, và có những tùy chọn khác nhau
để tiếp cận mỗi phân khúc đó Quan trọng trong định tuyến Link-State là hội tụ và để
có được mạng hội tụ phải làm theo các bước như hình 3-12, một mạng phức tạp như
sơ đồ và các bước để hội tụ
Các bước cho một mạng hội tụ như sau:
1 Router xác định xem có bao nhiêu router kết nối trực tiếp với mình như trong ví
dụ router 3 kết nối với router 4 và router 6
Trang 222 Router gửi LSP (Link-State packets) trên mạng, LSP chứa dữ liệu cho các routernhận được, như trong hình thì router 7 gửi LSP chia đến các phân khúc mạng kếtnối với router 7 10.0.0.0, 11.0.0.0, 12.0.0.0, 14.0.0.0
3 Router trong mạng chấp nhận tất cả LSP và xây dựng cấu trúc cơ sở dữ liệu củamạng LSP trên tất cả router xây dựng quan điểm nhất quán này
4 Các thuật toán SPE (Shortest Path First) được sử dụng để xác định khả năng tiếpcận của mỗi mạng và con đường ngắn nhất giữa các mạng.Các thuật toán SPFđược thực hiện trên tất cả các router , để tất cả đều kết thúc với cùng một quanđiểm cấu trúc liên kết của mạng.Mỗi router biết con đường tốt nhất đến mỗi phânđoạn
5. Router sử dụng các tính toán SPF để xác định đường dẫn (ngắn nhất) cho đến từngmạng đích trên liên mạng
OSPF (Giao thức OSPF) là một giao thức trạng thái liên kết thường thay thế RIPtrong liên mạng ngày càng tăng
BGP (Giao thức cổng đường biên) là một giao thức định tuyến liên miền thườngđược sử dụng bởi các nhà cung cấp dịch vụ Internet
RTMP (Giao thức bảo trì bảng định tuyến) là giao thức định tuyến của Apple CácRTMP router tự động cập nhật các thay đổi cấu trúc liên kết trong mạng
12 Khoảng (cách) quản trị
Khi các router có khả năng sử dụng bộ định tuyến tĩnh, định tuyến động, và nhiều giaothức, khả năng nhìn thấy các bảng định tuyến hiện tại trở nên quan trọng hơn tăng tínhphức tạp của mạng
Có một chức năng trong router được gọi là quản trị khoảng cách Quản trị khoảng cách cóchức năng sử dụng rõ ràng, và được quản lý khi hai hoặc nhiều phương pháp trong cácrouter của một đường dẫn đến một đích đến Ví dụ, nếu bạn bước vào một định tuyến tĩnh
về việc làm thế nào để có được vị trí, sau đó RIP xác định được một định tuyến đến địađiểm đó, định tuyến mà router phải sử dụng?
Trang 23Đây là nơi mà khoảng cách quản trị đi điều khiển Một giá trị thấp hơn, mức độ tin tưởngtrong router trong định tuyến đó cao hơn Một số khoảng cách quản trị mặc định được liệt
kê trong bảng sau đây
Vì vậy, nếu bạn đã có một định tuyến tĩnh và một định tuyến RIP, các định tuyến tĩnh sẽ
là định tuyến ưu tiên mà các router sử dụng.Khi xem bảng định tuyến, không những bạn
sẽ được thấy các định tuyến hiện tại đến mạng lưới, mà bạn còn sẽ thấy phương phápđược sử dụng Những đoạn cấu hình sau đây cho thấy một phần của các bảng định tuyếncho ba thiết bị định tuyến trong một mạng:
Trong các cấu hình này, bạn có thể xác định các định tuyến trên mỗi router Bạn cũng cóthể xác định các định tuyến đang kết nối trực tiếp và các định tuyến được sử dụng RIP.Cách mà bạn xác định đó là bởi các dấu hiệu ở trước của mỗi định tuyến Ví dụ, trong các
ví dụ, tất cả các định tuyến với một chữ C được kết nối giao diện Định tuyến với R được
Trang 24Đối với định tuyến RIP, lưu ý rằng các số 120 được hiển thị trong ngoặc đơn sau khi địnhtuyến 120 là một chỉ số về khoảng cách quản trị của định tuyến này.
(Số sau dấu gạch chéo là số hop).
13 RIP (Giao thức thông tin định tuyến)
RIP, hoặc là Giao thức thông tin định tuyến, là một trong những giao thức định tuyến đơngiản nhất có thể được thực hiện Nó cũng không có bảo mật quan trọng, được phát sóng
RIP chức năng bằng cách thông báo các tuyến đường lân cận của các bộ định tuyến màcác bộ định tuyến hiện nay có thể đạt được Các tuyến đường hiện nay được tạo ra trongquá trình cấu hình đơn giản của việc thiết lập RIP trong các bộ định tuyến.Đoạn cấu hình sau đây cho thấy cấu hình RIP trên ba router, left, right and center
Ripv2
Để giải quyết một số vấn đề liên quan đến Rip, Ripv2 thì được giới thiệu như một giaothức định tuyến một lợi thế an ninh là có thể yêu cầu sử dụng xác thực cho cập nhật Rip,
Trang 25từ một quan điểm mạng cấu hình tương tự như Ripv1, như ví dụ trước sau đây là đoạncấu hình trên 3 router sử dụng Ripv2 thay vì Ripv1
Sử dụng xác thực như là khóa và MD5 Sau đây là đoạn cấu hình thiết lập xác thựcRipv2 Trong đoạn này trước tiên router nói yêu cầu xác thực Rip, sau đó khóa được tạo:
Trang 26Tất cả router trao đổi cập nhật định tuyến trên cùng một mạng phải sử dụng cùng một cấuhình để phù hợp chứng thực khi router cấu hình, nếu bạn nhập lệnh show running-config,bạn phải nhận phần mới trong đầu ra:
C Loại bỏ giao thức và dịch vụ
1 CDP
CDP(Cisco Discovery Protocol) là 1 giao thức của Cisco, giao thức này hoạt động ở lớp2(data link layer) trong mô hình OSI, nó có khả năng thu thập và chỉ ra các thông tin của cácthiết lân cận được kết nối trực tiếp, những thông tin này rất cần thiết và hữu ích như tên thiết
bị ,cổng kết nối ,loại, dòng thiết bị cho bạn trong quá trình xử lý sự cố mạng được chạy mặcđịnh trên hầu hết thiết bị của Cisco
Nhưng CDP không hỗ trợ chứng thực ,như vậy bất cứ ai có khả năng làm giả các góiCDP để gởi đến thiết bị của Cisco đều có khả năng làm tràn bảng CDP
