Embed Size (px)
Citation preview
CCNA
HỌC KỲ 3
Tài liệu hướng dẫn Version 1.0
Mục Lục (Học kỳ 2)
Bài 1: Giới thiệu Review LAB……………………………………………………………. 1-1 Bài 2: Triển khai VLANs và Trunks………………………………………………………. 2-1 Bài 3: Cải tiến hiệu suất với Spanning Tree.……………………………………………… 3-1 Bài 4: Định tuyến giữa các VLAN..………………………………………………………. 4-1 Bài 5: Bảo mật mạng mở rộng………..…………………………………………………… 5-1 Bài 6: Xử lý lỗi mạng Switch……….…………………………………………………….. 6-1 Bài 7: Tổng quan họat động định tuyến……..…………………………………………….. 7-1 Bài 8: Thiết lập VLSM…..………………………………………………………………… 8-1 Bài 9: Tirển khai OSPF……………………………………………….…………………… 9-1 Bài 10: Chuần đoán và xử lý lỗi OSPF…………………………………………………… 10-1
1-1
1-1
Thiết lập một mạng nhỏ
Bài 1: Giới thiệuReview Lab
1-2
1-2
Các chức năng của Cisco IOS User Interface
� CLI được dùng để nhập lệnh.
� Có những họat động khác nhau giữa router và switch, nhưng cả hai dùng chung CLI.
� Phím Enter dùng để thiết bị phân tích vàthực thi một lệnh.
� CLI dùng tập lệnh có phân tầng theo từng chế độ cấu hình.
� Người sử dụng có thể đánh trực tiếp hoặc dán cấu hình thông qua cổng console.
� Các chế độ cấu hình có các giao diện khác nhau.
� 2 chế độ cấu hình chính la chế độ User vàchế độ Privileged.
� Những sự thay đổi cấu hình không được lưu trữ tự động.
1-3
1-3
Overview of Cisco IOS Configuration Modes
1-4
1-4
Help Facilities of the Cisco IOS CLI
1-5
1-5
Commands Review Discussion
� What does the command accomplish?
� From what configuration mode is the command executed?
1-6
1-6
Access to the Remote Labs
Use this module review to complete an introductory lab,which will become the basis for all subsequent lab activities.
1-7
1-7
Tóm tắt
� Cấu hình cơ bản của router va switch bao gồm cấu hình hostname để xác định thiết bị, cấu hình các mật khẩu (passwords) để bảo mật, và cấu hình địa chỉ IP để tạo kết nôi.
� Bạn dùng CLI để nhập lệnh.
� Bạn dùng lệnh configure terminal để chuyển vào Global configuration mode. Để thóat khỏi Global configuration mode bạn có thể dùng lệnh end hoặc nhấn tổ hợp phím Ctrl-Z.
� CLI cung cấp cho bạn cơ chế context-sensitive help, console error messages, và command history buffer.
1-8
1-8
2-1
2-1
Xây dựng mạng switch kích thước trung bình
Bài 2: Triển khaiVLANs và Trunks
2-2
2-2
Những vấn đề trong một mạng được thiết kếnghèo nàn
� Không phân ranh giới được nhứng domain lỗi
� Broadcast domain lớn
� Khối lượng không biết địa chỉ MAC của thông tin unicast lớn
� Không phân ranh giới được những thông tin multicast
� Khó khăn trong quản lý vàhỗ trợ
� Có thể bị tổn thương về bảo mật
Một mạng được thiết kế nghèo nàn sẽ làm tăng chi phí hỗ trợ, làm giảm những dịch vụ có sẵn, và hạn chế hỗ trợ những ứng dụng và giải pháp mới. Hiệu suất ít làm ảnh hưởng đến những người dùng cuối và truy cập đến những tài nguyên trung tâm. Một vài vấn đề được đưa ra từ việc thiết kế mạng nghèo nàn như sau:
•Domain lỗi: một trong những lý do quan trọng nhất để triển khai một thiết kếmạng hiệu quả là lỗi xảy ra trong phạm vi nhỏ nhất. Khi những đường biên tầng 2 và 3 không được định nghĩa rõ ràng, lỗi trong một mạng có thể có ảnh hưởng rộng
•Broadcast domain: broadcast tồn tại trong mỗi mạng. Nhiều ứng dụng và thao tác mạng yêu cầu tính năng broadcast; vì thế không thể lọai bỏ chúng triệt để. Trong hòan cảnh này phải định nghĩa những đường ranh giới một cách rõ ràng, broadcast domain cũng nên có đường biên rõ ràng và một số thiết bị để làm giảm tối thiểu ảnh hưởng broadcast
•Khối lượng không biết địa chỉ MAC của thông tin unicast lớn: cisco catalyst switch giới hạn chuyển những unicast frame, có địa chỉ unicast, đến các port. Tuy nhiên, khi một frame có địa chỉ đích không tồn tại trong bảng địa chỉMAC, nó được flood ra tất cả các port ngọai trừ port nhận. Hành vi này được gọi là “unknown MAC unicast flooding”. Hành động flood này làm vượt traffic trên tất cả các port của switch, card mạng phải đấu tranh với số lượng frame lớn trên dây. Và khi dữ liệu được lan truyền trên dây mà nó không có mục đích, bảo mật có thể bị đe dọa
2-3
•Thông tin multicast đến các port không mong muốn: địa chỉ IP multicast làmột kỹ thuật cho phép thông tin IP được lan truyền từ một người gởi đến một nhóm người nhận bằng cách dùng cặp địa chỉ IP và MAC multicast. Giống như việc flood unicast và broadcast, những multicast frame cũng được flood ra tất cả các port trên switch. Một thiết kế thích hợp cho phép ngăn chặn những multicast frame trong khi vẫn cho phép chúng họat động
•Khó khăn trong việc quản lý và hỗ trợ: một mạng được thiết kế nghèo nàn cóthể bị phá rối và cung cấp tư liệu nghèo nàn và thiếu dòng thông tin được định nghĩa. Nó làm cho việc hỗ trợ, duy trì, và giải quyết vấn đề khó khăn và tốn thời gian.
•Có thể bị tổn thương về bảo mật: một mạng switch, nếu ít sự quan tâm về bảo mật tại tầng access có thể đe dọa đến tính tòan vẹn của tòan mạng
Một mạng được thiết kế nghèo nàn luôn luôn có tác động ngược lại và trởthành một gánh nặng về tài chính và hỗ trợ cho bất kỳ tổ chức nào
2-4
2-4
Tổng quan về VLAN
VLAN = Broadcast Domain = Logical Network (Subnet)
� Phân đọan
� Linh họat
� Bảo mật
Một VLAN là một broadcast domain logic mà có thể mở rộng trên nhiều LAN vật lý. Trong một mạng switch, VLAN cung cấp sự phân đọan và linh họat trong tổchức. Bạn có thể thiết kế một cấu trúc VLAN mà cho phép bạn nhóm những máy trạm lại với nhau theo tính năng, đội dự án, và các ứng dụng mà không quan tâm đến vị tri của người dùng. Bạn có thể gán mỗi port của switch đến một VLAN, theo cách đó tạo một tầng bảo mật. Những port trong cùng VLAN chia sẻ một broadcast domain, những port trong các VLAN khác nhau không cùng broadcast domain. VLAN cải tiến hiệu suất của mạng
Trong một mạng switch, VLANs cung cấp phân đọan và linh họat trong tổ chức. Dùng kỹ thuật VLAN, bạn có thể nhóm những port và user kết nối đến port thành những nhóm logic, chẳng hạn như những người cộng sự trong cùng phòng ban, những nhóm sản xuất theo tính năng, hoặc những nhóm người dùng chia sẻ cùng ứng dụng mạng
Một VLAN có thể tồn tại trên một switch đơn hoặc mở rộng trên nhiều switch. Những VLAN có thể gồm những máy trạm trong một tòa nhà hoặc trên nhiều. Những VLAN cũng có thể kết nối ngang qua WAN
2-5
2-5
Thiết kế VLANs cho một tổ chức
� Thiết kế VLAN phải quan tâm đến việc triển khai cơ chế địa chỉmạng phân cấp.
� Những lợi ích của địa chỉ phân cấp:
– Dễ quản ý và xử lý lỗi
– Hạn chế lỗi tối thiểu
– Giảm số dòng trong bảng định tuyến
Mỗi VLAN trong mạng switch tương ứng với một mạng IP. Vì thế thiết kếVLAN phải quan tâm đến cơ chế địa chỉ mạng phân cấp. Địa chỉ mạng phân cấp nghĩa là số mạng IP được gán đến những đọan mạng hay các VLAN trong một mô hình có trật tự. Những nhóm địa chỉ mạng liên tục được giữ lại và cấu hình trên những thiết bị trong một vùng mạng riêng biệt.
Một vài lợi ích của cơ chế địa chỉ phân cấp:
•Dễ quản lý và xử lý lỗi: một cơ chế địa chỉ phân cấp nhóm những địa chỉmạng một cách liên tục. Do đó, một cơ chế địa chỉ IP phân cấp giúp cho tìm, quản lý mạng và xử lý lỗi nhiều hiệu quả hơn
•Ít lỗi hơn: gán địa chỉ mạng một cách có trật tự có thể hạn chế lỗi và gán địa chỉ trùng lặp
•Giảm các dòng trong bảng định tuyến: trong một kế họach địa chỉ phân cấp, các giao thức định tuyến có thể thi hành route summarization, cho phép một dòng định tuyến đơn biểu diễn một tập hợp mạng IP. Route summarization làm cho bảng định tuyến có nhiều khả năng quản lý và cung cấp những lợi ích sau:
•Chu kỳ CPU ít hơn khi tính tóan lại bảng định tuyến hoặc sắp xếp những dòng của bảng định tuyến để tìm một dòng phù hợp
•Giảm bộ nhớ router
•Hội tụ nhanh hơn sau khi một thay đổi xảy ra trong mạng
•Xử lý lỗi dễ hơn
2-6
2-6
Hướng dẫn gán vùng địa chỉ IP
� Gán một IP Subnet trên một VLAN.
� Gán những vùng địa chỉ IP trong những block liên tục
Mô hình kiến trúc của hãng Cisco cung cấp một khung làm việc theo module cho việc thiết kế và triển khai mạng. Nó cũng cung cấp một cấu trúc lý tưởng để phủ một cơ chế địa chỉ IP phân cấp. Sau đây là một vài hướng dẫn:
•Thiết kế cơ chế địa chỉ IP để cho các block địa chỉ mạng là 2^n (ví dụ 4,8,16,32,…) được gán đến các subnet của các switch tầng access và distibution. Với phương này cho phép bạn summarize thành một địa chỉ mạng lớn hơn.
•Tại tầng distribution, tiếp tục gán địa chỉ mạng liên tục ngòai những thiết bị tầng access
•Một subnet cho một VLAN. Mỗi VLAN là một broadcast domain riêng biệt
•Khi có thể, subnet nên biểu diễn dạng binary để tránh chiều dài subnet mask thay đổi. Cách này giúp hạn chế lỗi và mâu thuẫn khi xử lý lỗi hoặc khi cấu hình những thiết bịhoặc segment mới
2-7
2-7
Những lọai thông tin trên mạng
Khi thiết kế VLAN cần phải xem xét những lọai thông tin trên mạng như:
� quản lý mạng
� IP telephone
� IP Multicast
� Dữ liệu thông thường
� Scavenger class
Sau đây liệt kê những lọai thông tin mạng khác nhau mà cần phải xem xét trước khi đặt thiết bị và cấu hình VLAN
•Network management: nhiều lọai thông tin quản lý mạng khác nhau có thể tồn tại trên mạng, chẳng hạn như BPDU, CDP update, SNMP, RMON. Để Làm cho xử lý lỗi mạng dễ hơn, một vài người thiết kế gán một VLAN riêng đểmang những lọai thông tin quản lý mạng chính
•Ip telephone: có 2 lọai thông tin IP telephone: thông tin tín hiệu giữa các thiết bị đầu cuối (điện thọai IP và softswitch, như Cisco Unified CallManager) vànhững gói tin dữ liệu của chính cuộc hội thọai voice. Người thiết kế thường cấu hình dữ liệu đến và từ điện thoại IP trên một VLAN riêng biệt được thiết kế cho thông tin voice để mà chúng có thể áp dụng QoS để xét độ ưu tiên cao cho thông tin voice
•Ip multicast: thông tin IP multicast được gởi từ một địa chỉ nguồn đến một nhóm mà nó được định nghĩa bởi một cặp địa chỉ IP và MAC đích. Ví dụ, ứng dụng tạo ra loại thông tin này là Cisco IP/TV broadcast và phần mềm bằng giao diện đồ họa để cấu hình nhanh máy trạm và máy chủ. Thông tin multicast cóthể tạo ra khối lượng dòng dữ liệu lớn ngang qua mạng. Ví dụ, dữ liệu video từ chương trình dạy trực tuyến, ứng dụng bảo mật, cisco meeting place, và Cisco TelePresence tăng nhanh trên một vài mạng. Switch phải được cấu hình đểtheo dõi những thông tin này được làm tràn ngập từ một thiết bị không yêu cầu, và các router phải được cấu hình để chắc chắn rằng thông tin multicast được chuyển đến đúng mạng được yêu cầu.
2-8
•Normal data: thông tin dữ liệu thông thường là thông tin ứng dụng điển hình mà nó liên quan đến tập tin và dịch vụ in ấn, email, trình duyệt internet, truy cập database, và các ứng dụng mạng chia sẻ khác. Dữ liệu này sẽ cần đối xửcùng cách hoặc khác cách trong những phần khác nhau của mạng, phụ thuộc vào khối lượng của mỗi lọai. Ví dụ lọai thông tin này là SMB, NCP, SMTP, SQL, HTTP
•Scavenger class: gồm tất cả thông tin của các giao thức hay những mẫu mà vượt quá dòng dữ liệu bình thường của chúng. Lọai thông tin này được sử dụng để bảo vệ mạng từ dòng thông tin khác thường mà có thể làm nguy hiểm đến các chương trình đang chạy ở các PC. Nó cũng được dùng cho thông tin “less than best effort”, như thông tin peer-to-peer
2-9
2-9
Ưu điểm của Voice VLANs� Các điện thọai được
phân đọan thành những mạng logic riêng biệt
� Cung cấp điều khiển và phân đọan mạng
� Cho phép người quản trị tạo và áp dụng QoS
� Cho phép người quản trị tạo và áp dụng chính sách bảo mật
Một vài Cisco Catalyst switch đưa ra một tính năng gọi là voice VLAN, mà cho phép bạn triển khai một kỹ thuật voice trên mạng dữ liệu. Bạn có thể phân các điện thọai thành những mạng logic riêng biệt, xem cơ sở hạ tầng voice và dữ liệu cùng vật lýTính năng voice VLAN đặt các điện thọai vào VLAN ngòai bất kỳ sự can thiệp của người dùng cuối. Đơn giản, người dùng gắn điện thoại vào switch, và switch cung cấp cho điện thọai những thông tin VLAN cần thiếtCó rất nhiều ưu điểm khi sử dụng voice VLAN. Người quản trị mạng có thể duy trì sựphân chia VLAN một cách không ranh giới, ngay cả các điện thọai di chuyển đến vị trímới. Bằng cách đặt các điện thọai vào VLAN, người quản trị mạng có những ưu điểm về phân đọan và điều khiển mạng. Nó cũng cho phép người quản trị giữ lại kỹ thuật IP đang tồn tại và dễ gán điện thọai IP vào các subnet khác nhau bằng cách dùng DHCP.Thêm vào đó, với điện thọai trong VLAN và subnet, người quản trị mạng có thể nhận dạng và xử lý lỗ imạng một cách dễ dàng và tạo ra và áp dụng QoS hoặc chính sách bảo mậtVới tính năng voice VLAN, người quản trị có tất cả ưu điểm về hội tụ cấu trúc hạ tầng vật lý, trong lúc duy trì kỹ thuật logic riêng biệt cho thiết bị đầu cuối voice và data. Cấu hình này tạo nhiều hiệu quả khi quản lý mạng có nhiều dịch vụ
2-10
2-10
Họat động của VLAN
Switch có họat động tương tự bridge. Mỗi VLAN mà bạn cấu hình trên switch thi hành học, quyết định chuyển và lọc, và cơ chế tránh lặp khi nếu VLAN làmột bridge vật lý riêng biệt
Switch thi hành VLAN bằng cách giới hạn chuyển thông tin đến port đích trong cùng VLAN. Vì thế, khi một frame đến 1 port trên switch, switch phải truyền lại frame đó chỉ đến những port cùng VLAN. Trong thực tế, một VLAN mà họat động trên một switch giới hạn truyền thông tin unicast, multicast, vàbroadcast.
Một port thường chỉ mang thông tin cho VLAN đơn mà nó thuộc. Đối với một VLAN mở rộng ngang qua nhiều switch, một đường trunk yêu cầu kết nối 2 switch. Một đường trunk có thể mang thông tin cho nhiều VLAN.
2-11
2-11
Những cơ chế thành viên của VLAN
Bạn cấu hình các port thuộc một VLAN phù hợp. Các port của Cisco catalyst switch có thể có một trong các cơ chế thành viên sau:
•Static VLAN: người quản trị sẽ gán các port vào các VLAN một cách tĩnh
•Dynamic VLAN: cisco catalyst switch hỗ trợ dynamic VLAN bằng cách dùng một VLAN Management Policy Server (VMPS). Một vài switch được thiết kế như là một VMPS; bạn cũng có thể thiết kế một máy chủ như một VMPS. VMPS chứa một cơ sở dữ liệu mà nó ánh xạ địa chỉ MAC được gán vào VLAN nào. Khi một frame đến một port động trên switch, switch truy vấn VMPS server để biết VLAN nào được gán với địa chỉ MAC nguồn của frame vừa nhận. Tại một thời điểm, một port động chỉ thuộc một VLAN. Nhiều host có thể họat động trên một port động chỉ khi chúng cùng VLAN.
•Voice VLAN: một voice VLAN port là một access port được gắn đến một Cisco IP phone, được cấu hình để dùng VLAN cho thông tin voice và VLAN khác cho thông tin dữ liệu mà được nhận từ một thiết bị được gắn đến phone
2-12
2-12
Giao thức trunking 802.1Q
Một đường trunk là một kết nối điểm nối điểm giữa một hay nhiều interface của switch và các thiết bị khác như router hoặc switch. Đường trunk Ethernet mang thông tin của nhiều VLAN trên một kết nối đơn và cho phép bạn mở rộng VLAN ngang qua mạng. Cisco hỗ trợ IEEE 802.1Q cho interface Fast Ethernet và gigabit Ethernet
Các đường trunk ethernet hỗ trợ những cơ chế trunk các nhau. Bạn có thể cấu hình interface là trunk hay không trunk, hoặc nó đàm phán trunk với interface kia.
Mỗi port 802.1q được gán đến một đường trunk. Tất cả các port trên một đường trunk là một native VLAN. Mỗi port 802.1q được gán một giá trị nhận dạng mànó dựa trên native VLAN ID (VID) của port (mặc định là VLAN1). Tất cả frame không gắn thẻ ghi địa chỉ được gán vào VLAN chỉ ra trong biến VID
2-13
2-13
802.1Q Frame
IEEE 802.1Q sử dụng một cơ chế gắn địa chỉ nội bộ bằng cách thêm một cột 4byte vào cột Source Address và Type hoặc Length của ethernet frame gốc. Bởi vì 802.1q thay đổi frame, thiết bị trunk tính tóan lại FCS của frame đã được chỉnh sửa.
Switch có nhiệm vụ tìm tại cột địa chỉ 4byte đã gắn vào và quyết định sẽ phân phát frame đến nơi nào. Một phần nhỏ của cột địa chỉ 4byte, chính xác là 3bit, được sử dụng để chỉ ra độ ưu tiên của frame. Chi tiết của cái này được chỉ ra trong chuẩn IEEE 802.1p. Header của 802.1q chứa cột 802.1p, vì thế bạn phải có 802.1q để có 802.1p
2-14
2-14
Hiểu về Native VLANs
Một đường trunk 802.1q và những port trunk được gán đến nó có một giá trịnative VLAN. 802.1q không gắn cột địa chỉ cho native VLAN . Vì thế, các trạm gốc có thể đọc nhưng frame không gắn cột địa chỉ nhưng không thể đọc bất kỳ frame khác bởi vì các frame này gắn cột địa chỉ
2-15
2-15
Tính năng VTP
VTP là một giao thức thông điệp tầng 2 nhằm duy trì tính ổn định cho cấu hình VLAN bằng cách quản lý việc tạo, xóa, và thay đổi tên của các VLAN ngang qua mạng. VTP hạn chế cấu hình lỗi và cấu hình không ổn định mà có thể lànguyên nhân các vấn đề, chẳng hạn như trùng lên VLAN hoặc chỉ ra lọai VLAN không đúng
Một VTP domain là một hay nhiều switch kết nối với nhau chia sẻ cùng môi trường VTP. Bạn có thể cấu hình một switch chỉ thuộc 1 VTP domain
Mặc định, một cisco catalyst switch không có domain quản lý đến khi nhận một quảng bá cho một domain trên đường trunk hoặc đến khi bạn cấu hình một domain. Cấu hình làm trên một VTP server được lan truyền ngang qua đường trunk đến tất cả switch kết nối trong mạng
2-16
2-16
� Không thể tạo, thay đổi, hoặc xóa VLANS
� Gởi và chuyển những quảng bá
� Đồng bộ
� Tạo VLANs
� Chỉnh sửa VLANs
� Xóa VLANs
� Gởi và chuyển quáng bá
� Đồng bộ
� Chỉ tạo VLANs cục bộ
� Chỉnh sửa VLANs cục bộ
� Xóa VLANs cục bộ
� Chuyển quảng bá
� Không đồng bộ
Cơ chế VTP
VTP họat động trong 3 cơ chế: server, transparent, hoặc client. Bạn có thể hòan thành những tác vụ khác nhau phụ thuộc vào cơ chế họat động của VTP. Đặc điểm của 3 cơ chế này như sau:
•Server: đây là cơ chế VTP mặc định., nhưng VLAN không được lan truyền trên mạng đến khi tên domain quản lý được chỉ ra hoặc được học. Khi bạn thay đổi cấu hình VLAN trên một VTP server, các thay đổi được lan truyền đến tất cả switch trong domain. Thông điệp VTP được gởi ra ngòai tất cả các kết nối trunk
•Transparent: khi bạn thay đổi cấu hình VLAN trong cơ chế transparent, thay đổi chỉ ảnh hưởng đến switch cục bộ và không lan truyền đến các switch khác trong domain. Cơ chế transparent chuyển thông điệp VTP mà nó được nhận trong domain
•Client: bạn không thể thay đổi cấu hình VLAN khi ở trong cơ chế client, tuy nhiên, một client có thể gởi bất kỳ VLAN hiện hành được liệt kê trong database của nó đến những switch trong cơ chế khác. Thông điệp VTP cũng được chuyển trong cơ chế client
VTP Client chạy hệ điều hành Cisco Catalyst không lưu VLAN trong NVRAM. Khi switch khởi động lại, VLAN không được giữ lại và revision number có giá trịbằng 0. tuy nhiên, Cisco IOS VTP client lưu VLAN trong tập tin vlan.dat trong bộ nhớ flash, bảng VLAN và revision number được giữ lại.
2-17
2-17
Họat động của VTP
� Thông điệp VTP được gởi như là multicast.
� VTP servers and clients được đồng bộ đến revision number sau cùng.
� Thông điệp VTP được gởi mỗi lần 5phút hoặc khi có thay đổi.
Thông điệp VTP được flood ngang qua domain quản lý. Thông điệp VTP được gởi mỗi lần 5 phút hoặc khi có thay đổi xảy ra. Những quáng bá được truyền trên VLAN mặc định (VLAN 1) dùng một multicast frame. Một revisin number được đưa vào mỗi thông điệp VTP. Revision number cao hơn chỉ ra thông tin đang được quảng bá là hiện hành hơn thông tin đã lưu
Một trong những thành phần chính nhất của VTP là revision number. Mỗi lần VTP server chỉnh sửa thông tin VLAN của nó, VTP server tăng revision number lên một. Sau đó, server gởi ra ngòai một thông điệp VTP với revision number mới hơn. Nếu revision number đang quảng bá cao hơn số được lưu trên switch khác trong VTP domain, switch sẽ ghi thông tin mới đè lên thông tin đang lưu.
Revision number của cơ chế transparent luôn luôn bằng 0
Một thiết bị nhận thông điệp VTP phải kiểm tra sự khác nhau của các biến trước khi cộng tác nhận thông tin VLAN. Đầu tiên, tên domain và mật khẩu trong thông điệp phải trùng với cấu hình của switch cục bộ. Kế tiếp, nếu revision number chỉ ra trong thông điệp cao hơn số đang lưu, switch cộng tác quảng bá thông tin VLAN.
Để khởi tạo lại revision number trên một vài Cisco catalyst switch, dùng lệnh delete vtp. Trên nhiều Cisco Catalyst switch bạn có thể thay đổi VTP domain thành một tên khác và sau đó đổi nó trở lại để khởi tạo lại revisin number
2-18
2-18
VTP Pruning
VTP Pruning dùng thông điệp VLAN để quyết định khi nào một đường trunk đang flood thông tin không cần thiết
Mặc định, một đường trunk mang thông tin của tất cả VLAN trong VTP domain. Nó không thường dùng cho một vài switch trong một mạng lớn không có port cục bộ được cấu hình trong mỗi VLAN.
Hình vẽ chỉ ra một mạng switch với VTP pruning được cấu hình. Chỉ có switch 2,4, và 5 hỗ trợ các port được cấu hình trong VLAN 3. Switch 5 khong chuyển thông tin broadcast từ máy X đến switch 1 và 3.
VTP pruning làm tăng băng thông có sẵn bằng cách giới hạn flood thông tin đến những đường trunk mà thông tin phải dùng để truy cập đến những thiết bịmạng phù hợp.
Bạn chỉ cấu hình VTP puning trên VTP server và không được trên client.
2-19
2-19
Cấu hình VLANs và Trunks
1. Cấu hình và kiểm tra VTP.
2. Cấu hình và kiểm tra 802.1Q trunks.
3. Tạo hay chỉnh sửa một VLAN trên VTP server switch.
4. Gán port đến VLAN và kiểm tra.
5. Thực hiện tạo, di chuyển và thay đổi.
6. Lưu cấu hình VLAN.
Bạn sử dụng các bước sau để cấu hình và kiểm tra một switch:
•Quyết định có sử dụng VTP hay không. Nếu VTP được dùng, cấu hình VTP trong cơ chế server, client, hoặc transparent
•Cho phép trunking trên các switch kết nối với nhau
•Tạo VLAN trên VTP server và có những VLAN lan truyền đến switch khác
•Gán port đến VLAN bằng cách tĩnh hay động
•Thực thi thêm, di chuyển, và thay đổi các port
•Lưu cấu hình VLAN
2-20
2-20
� VTP mặc định trên Cisco Catalyst switch:
– VTP domain name: None
– VTP mode: Server mode
– VTP pruning: Enabled or disabled (model specific)
– VTP password: Null
– VTP version: Version 1
� Một switch mới có thể tự động trở thành phần của domain khi nónhận được một thông điệp từ server.
� Một VTP client có thể viết đè một database của VTP server database nếu client có revision number cao hơn.
� Một domain name không thể xóa sau khi nó đã được gán; nó chỉcó thể được gán lại.
Hướng dẫn cấu hình VTP
Khi tạo VLAN, bạn phải quyết định có sử dụng VTP hay không. Với VTP, bạn cóthể làm thay đổi cấu hình trên một hay nhiều switch, và những thay đổi này tự động lan truyền đến switch khác trong cùng VTP domain
Mặc định giá trị cấu hình VTP phụ thuộc vào mô hình switch và phiên bản phần mềm. Giá trị mặc định của cisco catalyst switch như sau:
•VTP domain name: None
•VTP mode: Server mode
•VTP pruning: Enabled or disabled (model specific)
•VTP password: Null
•VTP version: Version 1
VTP domain name có thể được chỉ ra hoặc được học. Mặc định, domain name không được cấu hình. Bạn có thể thiết lập password cho VTP domain name. tuy nhiên, nếu bạn không gán password giống nhau trên các switch trong domain , VTP không họat động được.
VTP pruning là một biến VLAN mà giao thức VTP quảng bá. Cấu hình hay không cấu hình VTP pruning trên một VTP server lan truyền thay đổi ngang qua domain
2-21
2-21
SwitchX# configure terminal
SwitchX(config)# vtp mode [ server | client | transparent ]
SwitchX(config)# vtp domain domain-name
SwitchX(config)# vtp password password
SwitchX(config)# vtp pruning
SwitchX(config)# end
Tạo một VTP Domain
Dùng lệnh vtp trong global configuration để chỉnh sửa cấu hình VTP, gồm tên tập tin lưu trữ, domain name, interface, và cơ chế. Dùng no vtp để xóa tên tập tin hoặc trả ra giá trị mặc định. Khi cơ chế VTP là transparent, bạn có thể lưu cấu hình VTP trong tập tin cấu hình của switch bằng cách dùng lệnh copy running-config
startup-config.
2-22
2-22
SwitchX(config)# vtp domain ICNDChanging VTP domain name to ICNDSwitchX(config)# vtp mode transparentSetting device to VTP TRANSPARENT mode.SwitchX(config)# end
SwitchX# show vtp statusVTP Version : 2Configuration Revision : 0Maximum VLANs supported locally : 64Number of existing VLANs : 17VTP Operating Mode : TransparentVTP Domain Name : ICNDVTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAAConfiguration last modified by 10.1.1.4 at 3-3-93 20:08:05SwitchX#
Ví dụ về cấu hình và kiểm tra VTP
Hình vẽ chứng minh những lệnh mà bạn dùng để cấu hình VTP và hiển thị trạng thái VTP. Đặc điểm của switch trong ví dụ như sau:
•Switch là transparent trong VTP domain
•VTP domain name là ICND
•Pruning không được cấu hình
•Revision number là 0
2-23
2-23
Những vấn đề 802.1Q
� Chắc chắn rằng nativeVLAN cho một đường trunk 802.1Q là giống nhau trên cả 2 đầu của đường trunk.
� Chú ý: native VLAN frames không được gắn cột địa chỉ.
� Một trunk port không thể làmột secure port.
� Tất cả 802.1Q trunking ports trong một nhómEtherChannel phải có cùng cấu hình
Giao thức 802.1q mang thông tin nhiều VLAN trên một liên kết đơn trên một mạng nhiều hãng khác nhau.
Đường trunk 802.1q có nhiều giới hạn. Bạn nên xem xét những vấn đề sau:
•Chắc chắn rằng native VLAN cho một đường trunk 802.1q là giống nhau trên cả 2 đầu của đường trunk. Nếu chúng khác, kết quả là lặp spanning tree.
•Những frame của native VLAN không được gán cột địa chỉ
Sau đây chỉ ra cách 802.1q tương tác với những tính năng khác của switch
•Secure ports: một trunk port không thể là một secure port
•Port grouping: bạn có thể nhóm những đường trunk thành những nhóm EtherChannel, nhưng tất cả đường trunk trong cùng nhóm phải có cùng cấu hình. Khi bạn tạo một nhóm đầu tiên, tất cả các port, sau khi các biến mà đã được cấu hình cho port đầu tiên bạn gán đến group, đều nhận giá trị này. Nếu bạn thay đổi cấu hình của một trong các biến này, switch sẽ lan truyền những thay đổi này đến tất cả các port trong nhóm. Những thiết lập gồm:
•Danh sách VLAN được cho phép
•Giá thành đường Spanning Tree Protocol cho mỗi VLAN
•Độ ưu tiên của STP port đối với mỗi VLAN
•Cấu hình STP PortFast
•Trạng thái trunkl; nếu một port trong nhóm ngừng trunk, tất cả các port ngừng trunk
2-24
2-24
Cấu hình 802.1Q Trunking
� Cấu hình một port như là port trunk
SwitchX(config-if)#
switchport mode trunk
switchport mode {access | dynamic {auto | desirable} | trunk}
SwitchX(config-if)#
� Cấu hình đặc điểm trunk của port
• Dùng lệnh switchport mode trong mode cấu hình interface để xét một Fast Ethernet hoặc giagabit ethernet port trở thành trunk port. Nhiều Cisco Catalyst Switch hỗ trợ Dynamic Trunking Protocol (DTP), mà quản lý đàm phán trunk tự động
Lệnh có 4 tùy chọn:
• Trunk: cấu hình port trở thành trunk cố định 802.1q và đàm phán với thiết bịkết nối để chuyển liên kết thành trunk
• Access: xóa trunk và đàm phán với thiết bị kết nối để chuyển kết nối thành không trunk
• Dynamic desirable: port sẽ tự động đàm phán với thiết bị kết nối để trở thành trunk hay không trunk. Nếu thiết bị kết nối đến ở trạng thái trunk hoặc trạng thái auto thì port trở thành trunk. Ngược lại, port sẽ là không trunk
• Dynamic auto: cho phép port trở thành trunk chỉ khi nếu thiết bị kết nối đến co trạng thái trunk hoặc mong muốn. Nếu không thi port trở thàh port không trunk
• Lệnh switchport nonegotiate chỉ ra rằng gói tin đàm phán DTP không được gởi trên interface tầng 2. switch không cam kết trong đàm phán DTP trên interface này. Lệnh này chỉ có giá trị khi interface ở trong mode trunk hoặc access. Lệnh này trả ra 1 lỗi nếu bạn cố gắng thực thi nó trong mode dynamic. Thêm no trước lệnh này để trả ra những thiết lập mặc định. Khi bạn cấu hình một port với lệnh switchport nonegotiate, port trunk chỉ khi nếu đầu bên kia của link được cấu hình trunk.
2-25
•Lệnh switchport nonegotiate không hình thành một đường trunk mode dynamic desirable hoặc dynamic auto
Sau đây chỉ ra những bước cấu hình một port là một port trunk theo 802.1q, bắt đầu trong priviledge EXEC mode
Step 1: vào mode cấu hình interface và port để cấu hình trunking
SwitchX(config)# interface int_type int_number
Step 2: Cấu hình một port như là VLAN trunk
SwitchX(config-if)# switchport mode trunk
Một vài Cisco Catalyst Switch chỉ hỗ trợ cách đóng gói 802.1q, mà được cấu hình tự động khi trunk được cho phép trên interface bằng cách dùng lệnh switchport mode trunk
2-26
2-26
SwitchX# show interfaces fa0/11 trunk
Port Mode Encapsulation Status Native vlanFa0/11 desirable 802.1q trunking 1
Port Vlans allowed on trunkFa0/11 1-4094
Port Vlans allowed and active in management domainFa0/11 1-13
SwitchX# show interfaces fa0/11 switchportName: Fa0/11Switchport: EnabledAdministrative Mode: trunkOperational Mode: downAdministrative Trunking Encapsulation: dot1qNegotiation of Trunking: OnAccess Mode VLAN: 1 (default)Trunking Native Mode VLAN: 1 (default). . .
Kiểm tra một đường Trunk
SwitchX# show interfaces interface [switchport | trunk]
Để kiểm tra cấu hình trunk trên nhiều cisco catalyst switch, dùng lệnh show
interface inerface switchport hoặc show interface interface trunk để hiển thịnhững biến trunk và thông tin VLAN của port
2-27
2-27
Hướng dẫn tạo VLAN
� Số VLANs tối đa là phụ thuộc vào switch.
� Hầu hết switch hỗ trợ 128 spanning tree instance riêng biệt, một cái trên một VLAN.
� VLAN 1 là Ethernet VLAN mặc định
� Những quảng bá Cisco Discovery Protocol và VTP được gởi trên VLAN 1.
� Địa chỉ IP của switch là trong VLAN quản lý (mặc định VLAN 1).
� Nếu sử dụng VTP, switch phải là VTP server hoặc transparentmới có thể tạo hoặc xóa VLANs.
Trước khi tạo VLAN, bạn quyết định xem có sử dụng VTP để duy thông tin cấu hình VLAN tòan cục của mạng
Hầu hết switch hỗ trỡ tối đa 128 thực thể spanning-tree. Nếu số VLAN trên switch vượt quá số thực thể spanning tree được hỗ trợ, khuyên rằng bạn nên cấu hình Multiple Spanning Tree Protocol (MSTP) trên switch để ánh xạ nhiều VLAN vào một thực thể spanning-tree
Số VLAN tối đa phụ thuộc vào switch. Nhiều switch tại tầng access có thể hỗ trợ đến 250 VLAN
Cisco catalyst switch có một cấu hình mặc định của hãng để hỗ trợ các lọai môi trường truyền và giao thức khác nhau. Ethernet VLAN mặc định là VLAN 1. những quảng bá CDP và VTP được gởi trên VLAN1
Bạn có thể giao tiếp với Cisco Catalyst Switch ở xa để quản lý, switch phải cómột địa chỉ IP. Địa chỉ IP này phải là địa chỉ của VLAN quản lý, mặc định làVLAN1. nếu VTP được cấu hình, trước khi tạo VLAN, switch phải ở trong cơ chếVTP server hoặc VTP transparent
2-28
2-28
Tạo một VLAN
SwitchX# configure terminalSwitchX(config)# vlan 2SwitchX(config-vlan)# name switchlab99
Sau đây liệt kê các lệnh được dùng để tạo VLAN:
•Vlan vlan-id : ID của VLAN được tạo và cấu hình. Vlan-id, trong khỏang 1-4094 khi enhanced software image được cài, trong khỏang 1-1005 khi standard software image được cài. Không được gõ vào 0. bạn có thể gõ vào một VID, hoặc nhiều VID bằng cách phân cách nhau bởi dấu “,”, hoặc một khỏang bằng dấu nối “_”
•Name vlan-name : (tùy chọn) chỉ ra tên VLAN, một chuỗi ASCII từ 1 đến 32 kítự mà phải là duy nhất trong domain
Mặc định, một switch trong cơ chế VTP server thì bạn có thể tạo, thay đổi, hoặc xóa VLAN. Nếu switch trong cơ chế VTP client, bạn không thể tạo, thay đổi, hoặc xóa VLAN
Nhiều Cisco Catalyst switch, bạn dùng lệnh vlan trong global configuration để tạo VLAN và vào cơ chế cấu hình VLAN. Thêm no trước lệnh này để xóa VLAN.
Để tạo một VLAN đến cơ sở dữ liệu của VLAN, gán một số và tên cho VLAN. VLAN 1 là VLAN mặc định của hãng. Khỏang VLAN bình thường được định nghĩa từ 1-1001. số VLAN từ 1002 đến 1005 được dành cho VLAN Token Ring và FDDI. Nếu switch trong cơ chế VTP Server hoặc VTP transparent, bạn có thểtạo, chỉnh sửa, hoặc xóa cấu hình VLAN 2 đến 1001 trong cơ sở dữ liệu VLAN (VID 1 và 1002 đến 1005 được tạo tự động và không thể xóa)
Các cấu hình VID từ 1 đến 1005 được lưu vào tập tin vlan.dat (cơ sở dữ liệu của VLAN). Bạn có thể hiển thị thông tin VLAN bằng cách gõ lệnh show vlan. Tập tin vlan.dat được lưu trong flash
2-29
Để tạo một Ethernet VLAN, bạn phải chỉ ra ít nhất 1 số. Nếu tên của VLAN không được chỉ ra, mặc định nó sẽ nối số đó vào từ vlan. Ví dụ, VLAN0004 sẽlà tên mặc định của VLAN 4 nếu tên không được chỉ ra.
2-30
2-30
SwitchX# show vlan id 2
VLAN Name Status Ports---- -------------------------------- --------- -------------------------------2 switchlab99 active Fa0/2, Fa0/12
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------2 enet 100002 1500 - - - - - 0 0
. . .SwitchX#
Kiểm tra một VLAN
SwitchX# show vlan [brief | id vlan-id || name vlan-name]
Sau khi cấu hình VLAN, bạn nên kiểm tra những biến của VLAN đó.
Dùng lệnh show vlan id vlan_number hoặc show vlan name vlan_name để hiển thị thông tin về một VLAN nào đó
Dùng lệnh show vlan brief để hiển thị một dòng cho mỗi VLAN mà hiển thị tên VLAN, trạng thái, và các port của switch
Dùng lệnh show vlan để hiển thị thông tin của tất cả VLAN đã được cấu hình. Lệnh này hiển thị những port được gán đến VLAN. Những biến VLAN khác được hiển thị gồm type (mặc định là Ethernet); security association ID (SAID), được sửdụng cho đường trunk FDDI; MTU (mặc định là 1500 cho ethernet VLAN); STP; và các biến khác được dùng cho Token Ring hoặc FDDI VLAN.
2-31
2-31
Gán Port của switch đến một VLAN
SwitchX# configure terminal
SwitchX(config)# interface range fastethernet 0/2 - 4
SwitchX(config-if)# switchport access vlan 2
SwitchX# show vlan
VLAN Name Status Ports---- -------------------------------- --------- ----------------------1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4
switchport access [vlan vlan# | dynamic]
SwitchX(config-if)#
Sau khi tạo một VLAN, bạn có thể gán một port hoặc một số port bằng tay đến VLAN đó. Tại một thời điểm, một port chỉ có thể thuộc một VLAN. Khi bạn gán một port đến VLAN bằng cách này, nó được biết như là một static-access port
Trên hầu hết Cisco catalyst switch, bạn gán port đến VLAN từ mode cấu hình interface bằng lệnh switchporrt access. Dùng tùy chọn vlan vlan_number đểthiết lập mối quan hệ static-access. Dùng tùy chọn dynamic để điều khiển và gán bằng VMPS.
2-32
2-32
SwitchX# show vlan briefVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa0/12 switchlab99 active Fa0/2, Fa0/3, Fa0/43 vlan3 active4 vlan4 active1002 fddi-default act/unsup1003 token-ring-default act/unsup
VLAN Name Status Ports---- -------------------------------- --------- -------------------------------1004 fddinet-default act/unsup1005 trnet-default act/unsup
SwitchX# show vlan brief
Kiểm tra các thành viên của VLAN
Dùng lệnh show vlan brief trong privileged EXEC để xem các thành viên của tất cảVLAN
2-33
2-33
Kiểm tra các thành viên của VLAN(tt.)
SwitchX# show interfaces fa0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 2 (switchlab99)
Trunking Native Mode VLAN: 1 (default)
--- output omitted ----
show interfaces interface switchport
SwitchX(config-if)#
Cách khác, dùng lệnh show interfaces interface switchport trong priviledge EXEC để hiển thị thông tin VLAN của một interface
2-34
2-34
� Khi dùng VTP, switch phải là VTP server hoặc transparent thì mới có thể tạo, thay đổi, hoặc xóa VLAN.
� Khai thay đổi VLAN từ một switch trong cơ chế VTP server, những thay đổi được lan truyền đến các switch khác trong VTP domain.
� Thay đổi VLAN hàm ý thay đổi mạng IP
� Sau khi một port được gán lại một VLAN mới, port đó tự động xóa khỏi VLAN trước đó.
� Khi xóa một VLAN, bất kỳ các port trong VLAN đó không được di chuyển đến một active VLAN sẽ không thể giao tiếp với các trạm khác.
Thực thị tạo, di chuyển, và thay đổi cho các VLAN
Tạo, di chuyển, và thay đổi VLAN
Khi sơ đồ mạng, những yêu cầu của doanh nghiệp, và thay đổi cá nhân, yêu cầu VLAN cũng thay đổi.
Để tạo, thay đổi, xóa VLAN, Switch phải là VTP server hoặc VTP transparent. Khi bạn thay đổi VLAN từ một switch trong cơ chế VTP server, những thay đổi tự động lan truyền đến các switch trong domain. Những thay đổi của switch trong cơ chế VTP transparent chỉ có ý nghĩa cục bộ tại switch đó; những thay đổi này không lan truyền trong domain
Tạo VLAN và gán port
Sau khi tạo VLAN mới, chắc chắn phải làm những thay đổi cần thiết đến việc gán port
Những VLAN riêng biệt ngụ ý là những mạng IP riêngt biệt. Chắc chắn lên kếhọach địa chỉ IP mới và triển khai đến các trạm trước khi di chuyển người dùng đến VLAN mới. Những VLAN riêng biệt cũng yêu cầu định tuyến giữa các VLAN để cho người dùng trong VLAN mới có thể giao tiếp với những VLAN khác. Định tuyến giữa các VLAN gồm thiết lập những biến IP và dịch vụ thích hợp, gồm default gateway và DHCP.
Thay đổi VLAN và các port thành viên
Để chỉnh sửa các thuộc tính của VLAN, như tên VLAN, dùng lệnh vlan vlan-
id trong global configuration
2-35
Để di chuyển một port đến VLAN khác, dùng cùng lệnh mà bạn đã dùng đểgán port từ đầu.
Không cần phải xóa port khỏi VLAN để làm thay đổi này. Sau khi bạn gán lại một port đến VLAN mới, port đó tự động xóa khỏi VLAN trước đó.
Xóa VLAN và các port
Khi xóa một VLAN từ một switch trong VTP server, VLAN được xóa từ tất cảswitch trong domain. Khi bạn xóa một VLAN từ một switch trong VTP transparent,, VLAN chỉ bị xóa trên switch đó. Dùng lệnh no vlan vlan-id đểxóa một VLAN
Để gán lại một port đến VLAN mặc định (VLAN1), dùng lệnh no switchport
access vlan trong interface configuration
2-36
2-36
Tóm tắt
� Một mạng được thiết kế nghèo nàn làm tăng hỗ trợ chi phí, giảm tính sẵn sàng của ứng dụng, và giới hạn hỗ trợ những ứng dụng và giải pháp mới.
� VLANs cung cấp phân đọan và tổ chức linh họat.
� Đường trunk Ethernet mang thông tin của nhiều VLAN trên một liên kết đơn và cho phép bạn mở rộng VLAN ngang qua mạng.
� VTP là một giao thức thông điệp tầng 2 mà nó duy trì tính tòan vẹn của cấu hình VLAN.
2-37
2-37
2-38
3-1
3-1
Xây dựng mạng switch có kích thước trung bình
Bài 3: Cải tiến hiệu suất với Spanning Tree
3-2
3-2
Những kỹ thuật kết nối
Sử dụngKỹ thuật
Cung cấp switch tốc độ cao đến những liên kết của switch, backbone với sự dự phòng
EtherChannel
Cung cấp switch tốc độ cao đến những liên kết của switch, backbone
10-Gigabit Ethernet
Kết nối các switch ở tầng access đến switch tầng distribution và các server truy suất cao đến switch
Gigabit Ethernet
Kết nối những thiết bị của người dùng đến switch tầng access
Fast Ethernet
Một số kỹ thuật có sẵn để kết nối các thiết bị trong mạng switch. Bạn chọn kỹthuật kết nối nào phụ thuộc vào khối lượng thông tin mà link gánh chịu. Bạn sẽthích sử dụng cáp hỗn hợp gồm cáp đồng và cáp quang, dựa trên khỏang cách, nhiễu, bảo mật, và những yêu cầu thương mại khác. Một vài kỹ thuật sau:
•Fast Ethernet (100Mp/s Ethernet): những tiêu chuẩn LAN này (IEEE 802.3u) họat động 100Mbps trên cáp xoắn đôi. Chuẩn Fast Ethernet cải tiến tốc độEthernet từ 10Mbps thành 100Mbps chỉ với một thay đổi nhỏ đến cấu trúc cáp đang tồn tại. Một switch có các port hỗ trợ cả 10Mb và 100Mb có thể di chuyển frame giữa các port mà không cần chuyển đổi giao thức tầng 2.
•Gigabit Ethernet: một mở rộng của chuẩn Ethernet IEEE802.3, Gigabit Ethernet tăng tốc độ Fast Ethernet lên 10 lần, đến 1000Mbps, hoặc 1Gbps. IEEE802.3z chỉ ra thao tác trên cáp quang, và IEEE802.3ab chỉ ra thao tác trên cáp xoắn đôi.
•10Giagabit Ethernet: 10Gigabit Ethernet được phê chuẩn như là một chuẩn Ethernet 802.3 vào tháng 6 năm 2002. kỹ thuật này là bước kế tiếp cho việc mởrộng hiệu suất và tính năng của một enterprise. Với sự phát triển của Gigabit Ethernet sẽ trở thành điển hình cho uplink
•EtherChannel: tính năng này cung cấp hội tụ băng thông trên những liên kết tầng 2 giữa 2 switch. EtherChannel ghép những port Ethernet riêng rẻ thành một port hoặc một liên kết logic. Tất cả interface trong mỗi bó EtherChannel phải được cấu hình với tốc độ, duplex và VLAN tương tự
3-3
3-3
Chọn thiết bị và cáp cần thiếtMỗi link cung cấp băng thông thích hợp cho tổng băng thông trên link đó.
Có 4 vấn đề trong việc thiết kế mạng cho hiệu suất cao: bảo mật, tính sẵn sàng, tính mở rộng, và khả năng quản lý. Sau đây mô tả việc chọn những thiết bị vàcáp mà bạn nên xem xét:
•Thay thế những hub và switch thừa kế với những switch mới tại tầng access. Chọn những thiết bị tại tầng access có số port phù hợp để hỗ trợ cho người dùng hiện tại và phát triển trong tương lai. Một vài người thiết kế có kế họach 30% cho phát triển. Nếu ngân sách cho phép, sử dụng switch theo dạng module để thích hợp cho việc mở rộng trong tương lai. Có Kế họach để hỗ trợ nguồn cấp phối theo dây và chất lượng của dịch vụ (QoS) nếu bạn nghĩ bạn phải triển khai IP telephone trong tương lai.
•Khi xây dựng cáp nối từ tầng access đến những thiết bị tầng distribution, nhớrằng kết nối này mang tổng traffic từ các thiết bị tầng access. Chắc chắn rằng những link này có băng thông thích hợp. Bạn có thể sử dụng EtherChannel đểcộng băng thông khi cần thiết.
•Tại tầng distribution, chọn các switch với hiệu suất thích hợp để đáp ứng tải cho tầng access. Thêm vào đó, có kế họach một vài port để trunk sau này khi thêm thiết bị tầng access. Những thiết bị tại tầng này nên là multilayer (layer 2 và 3) switch mà hỗ trợ định tuyến giữa các VLAN và tài nguyên mạng. Phụthuộc vào kích thước mạng, những thiết bị tầng distribution có thể có khung cố định hay module. Kế họach dự phòng trong việc chọn khung và trong kết nối đến tầng access và core, như là mục tiêu của doanh nghiệp.
3-4
•Thiết bị backbone phải hỗ trợ giao tiếp dữ liệu tốc độ cao giữa các module con. Chắc chắn kích thước backbone có thể mở rộng và kế họach dự phòng. Cisco có những công cụ trực tuyến giúp cho người thiết kế chọn lựa thiết bị vàuplink port phù hợp với doanh nghiệp và kỹ thuật. Một vài gợi ý mà bạn có thểsử dụng để lên kế họach băng thông giữa các thiết bị chính trên mạng:
•Liên kết từ tầng access đến distribution: liên kết này có thể là 1/20 của tổng băng thông của tất cả các thiết bị người dùng sử dụng liên kết này
•Từ tầng distribution đến core: không cao hơn ¼
•Giữa các thiết bị tầng core: có thể mang tất cả traffic với tốc độ bằng tổng băng thông của các liên kết từ distribution đến core.
3-5
3-5
Ưu điểm của EtherChannel
� Sự tập hợp logic của các liên kết tương tự giữa các switche
� Chia sẻ tải ngang qua các liên kết
� Được xem như là một port logic trong STP
� Dự phòng
Tăng sự triển khai của Ethernt switch đến desktop có thể là do sự tăng nhanh của ứng dụng yêu cầu băng thông cao. Những giao tiếp của ứng dụng mới, như video đến desktop, messaging, white-boarding, đòi hỏi tăng băng thông. Với sự triển khai của liên kết Ethernet nhanh hơn trong mạng, tổ chức cần phải kết hợp những tài nguyên đang tồn tại hoặc tăng tốc độ của uplink và core để tỷ lệ với hiệu suất ngang qua mạng backbone.
EtherChannel là một kỹ thuật mà Cisco triển khai ghép nhiều port Fast Ethernet hoặc Giga Ethernet trên switch thành một kênh logic. Lợi ích của EtherChannel là rẻ hơn media tốc độ cao trong lúc sử dụng lại những port của switch đang tồn tại.
Sau đây là những ưu điểm của EtherChannel:
•Cho phép tạo ra một liên kết logic tốc độ rất cao
•Chia sẻ tải giữa các liên kết vật lý
•Cung cấp khắc phục lỗi tự động
•Cấu hình trên liên kết logic thay cho liên kết vật lý
Kỹ thuật EtherChannel cung cấp mở rộng băng thông trong campus:
•Fast Ethernet: lên đến 800Mbps
•Gigabit Ethernet: lên đến 8Gbps
•10Gigabit Ethernet: lên đến 80Gbps
3-6
3-6
Kỹ thuật dự phòng
� Kỹ thuật dự phòng giới hạn những điểm lỗi đơn.
� Kỹ thuật dự phòng gây ra bão broadcast, nhiều bản copy của frame
Và bảng địa chỉ MAC không ổn định.
Trong khi thiết kế dự phòng có thể giới hạn khả năng của điểm lỗi đơn làm tòan bộ mạng switch hoặc bridge dán đọan, bạn phải xem xét những vấn đề mà thiết kếdự phòng gây ra. Một vài vấn đề có thể xảy ra với những liên kết và thiết bị dựphòng trong mạng switch như sau:
•Bão broadcast: không có chống loop, mỗi switch hoặc bridge làm tràn ngập broadcast. Trường hợp này được gọi bão broadcast
•Truyền nhiều frame: nhiều bản copy của frame unicast có thể được phân phát đến trạm đích. Nhiều giao thức mong chờ chỉ nhận một frame. Nhiều bản copy của frame có thể là nguyên nhân lỗi unrecoverable
•Bảng địa chỉ MAC không ổn định: bảng địa chỉ MAC không ổn định dẫn đến nhiều bảng copy của một frame được nhận trên những port khác nhau của switch. Việc chuyển dữ liệu có thể bị hỏng khi switch dùng tài nguyên mà đang copy với bảng địa chỉ MAC không ổn định
Những giao thức LAN tầng 2, như Ethernet, thiếu một cơ chế để nhận dạng vàhạn chế loop. Một vài giao thức tầng 3 thi hành cơ chế TTL để giới hạn số thời gian một thiết bị mạng tầng 3 có thể truyền lại một gói tin. Sự thiếu một cơ chế, những thiết bị tầng sẽ truyền lại frame bị loop vô hạn
Yêu cầu một cơ chế chống loop để giải quyết những vấn đề này.
3-7
3-7
� Máy D gởi một broadcast frame.
� Broadcast frames làm ngập lụt tất cả các port ngọai trừ port g
Broadcast Frames
Switch hoặc bridge gởi broadcast và multicast frame đến tất cả các port ngọai trừ port đã nhận. Một switch hoặc bridge chưa bao giờ học địa chỉ broadcast hoặc multicast bởi vì địa chỉ broadcast và multicast chưa bao giờ xuất hiện như là địa chỉ nguồn của một frame. Làm tràn ngập broadcast và multicast frame là một vấn đề trong một sơ đồ mạng switch với kỹ thuật dự phòng
3-8
3-8
Bão Broadcast
� Máy X gởi một broadcast.
� Những switch tiếp tục lan truyền thông tin broadcast mãi mãi
• Bão broadcast xảy ra khi mỗi switch trên mạng dự phòng làm tràn ngập broadcast frame. Những switch làm tràn ngập broadcast frame đến tất cả các port ngọai trừ port đã nhận.
Ví dụ:
Hình vẽ chứng minh bão broadcast. Sau đây mô tả những sự kiện gây nên bão broadcast:
1. Khi máy X gởi một broadcast frame, ví dụ một ARP cho default gateway của nó (router Y), switch A nhận frame
2. Switch A kiểm tra cột địa chỉ đích trong frame và quyết định rằng frame được flood đến liên kết Ethernet thấp hơn, segment 2
3. Khi bản copy của frame đến switch B, tiến trình lặp lại, và frame được chuyển đến segment 1
4. Bởi vì có một bản copy của frame cũng đến switch B ở liên kết Ethernet ởtrên, những frame này tạo loop trong cả 2 hướng, dù là sau đó trạm đích đã nhận được một bản copy của frame
• Bão broadcast có thể làm phá vỡ dòng traffic bình thường. Nó cũng có thể pháhủy tất cả các thiết bị trên mạng switch hoặc bridge vì CPU trong mỗi thiết bịtrên segment phải xử lý broadcast; vì thế, bão broadcast có thể khóa PC vàServer mà đang cố gắng xử lý tất cả broadcast frame.
• Một cơ chế tránh loop giới hạn vấn đề này bằng cách ngăn chặn một trong 4 interface từ frame đang truyền trong lúc họat động bình thường., vì thế bẻ gãy được loop.
3-9
3-9
Copy nhiều frame
� Máy X gởi một unicast frame đến router Y.
� Địa chỉ MAC của router Y không được học bởi các switch.
� Router Y sẽ nhận 2 bản copy của cùng frame.
• Trong một sơ đồ dự phòng, nhiều bản copy của cùng frame có thể đến một máy, nguyên nhân những vấn đề cho giao thức đang nhận. Hầu hết các giao thức không được thiết kế để nhận dạng nhiều copy của cùng frame. Thông thường, những giao thức sử dụng cơ chế đánh số thứ tự, giả sử việc truyền bị lỗi và sốthứ tự đó được đánh lại. Những giao thức khác cố gắng chuyển giao những frame trùng lặp này đến những giao thức tầng trên, với kết quả không dự đóan trước.
Ví dụ:
• Hình vẽ chứng minh copy nhiều frame xảy ra như thế nào. Sau đây, liệt kê những sự kiện:
1. Khi máy X gởi một unicast frame đến router Y, một bản copy được nhận trên kết nối ethernet trực tiếp, segment 1. tại thời điểm đó hoặc sau khỏang thời gian, switch A nhận được một bản copy của frame và đưa nó vào vùng đệm.
2. Nếu switch A kiểm tra cột địa chỉ đích trong frame và không tìm thấy dòng nào trong bảng địa chỉ MAC cho router Y, Switch A sẽ flood frame ra tất cả các port ngọai trừ port nhận.
3. Khi switch B nhận một bản copy của frame ngang qua switch A trên segment 2, switch B cũng chuyển một bản copy của frame đến segment 1 nếu nó không tìm thấy một dòng trong bảng địa chỉ MAC cho router Y.
4. Router nhận một bản copy thứ 2 của cùng frame.
• Một cơ chế tránh loop giới hạn vấn đề này bằng cách ngăn chặn một trong 4 interface từ frame đang truyền trong lúc họat động bình thường., vì thế bẻ gãy được loop.
3-10
3-10
� Máy X gởi một unicast frame đến router Y.
� Địa chỉ MAC của router Y không được học bởi switch.
� Switches A và B học địa chỉ MAC của máy X trên port 1.
� frame đến router Y bị flood
� Switch A và B học không đúng địa chỉ MAC của máy X trên port 2.
Bảng địa chỉ MAC không ổn định
Khi nhiều bản copy của một frame đến trên những port khác nhau của switch dẫn đến bảng địa chỉ MAC không ổn định. Sau đây mô tả vấn đề này.
Ví dụ:
Trong hình vẽ, switch B thêm một dòng, ánh xạ địa chỉ MAC của máy X đến port 1. sau đó, khi bản copy của frame được truyền đến port 2 của switch B ngang qua switch A, Switch B xóa dòng vừa thêm và thêm vào một dòng mới không đúng màánh xạ địa chỉ MAC của máy X đến port 2, mà kết nối đến segment 2.
Phụ thuộc vào kiến trúc bên trong, switch có thể hoặc không thể đối phó với sự thay đổi nhanh chóng của bảng địa chỉ MAC. Một cơ chế tránh loop giới hạn vấn đề này bằng cách ngăn chặn một trong 4 interface từ frame đang truyền trong lúc họat động bình thường., vì thế bẻ gãy được loop.
3-11
3-11
� Cung cấp một sơ đồ mạng dự phòng không có lặp bằng cách đặt những port nào đó vào trạng thái khóa
� Được đưa ra trong chuẩn IEEE 802.1D
� Nâng cao với triển khai Cisco PVST+
Giải quyết lặp với STP
STP cung cấp giải pháp chống lặp bằng cách quản lý những đường vật lý đến các segment mạng. STP cho phép dự phòng những đường vật lý trong lúc ngăn chặn những ảnh hưởng không mong muốn của lặp trong mạng. STP là một chuẩn được định nghĩa trong 802.1d được IEEE đưa ra.
Những hành vi của STP như sau:
•STP sẽ bắt buộc những port nào đó ở trạng thái dự phòng để chúng không lắng nghe, chuyển hay flood frame. Khi đó, tại mỗi thời điểm chỉ có một đường đến mỗi segment mạng.
•Nếu có một kết nối nào đó có vấn đề, STP thiết lập lại kết nối bằng cách tự động cho phép đường dự phòng trước đó họat động, nếu một kết nối tồn tại.
3-12
3-12
Họat động của Spanning-Tree
� Một root bridge trên broadcast domain.
� Một root port trên nonroot bridge.
� Một designated port trên segment.
� Các Nondesignated port không được sử dụng.
STP thực hiện những bước sau để cung cấp một sơ đồ mạng logic không lặp
1. Chọn một root bridge: STP có một tiến trình chọn root bridge. Trong mạng chỉcó một bridge có thể là root bridge. Trên root bridge, tất cả các port đều là designated port. Designated port thường ở trạng thái forwarding. Khi ở trạng thái forwarding, một port có thể gởi và nhận dữ liệu. Trong hình vẽ, switch X được chọn làm root bridge.
2. Chọn root port trên nonroot bridge: STP thiết lập một root port trên mỗi nonroot bridge. Root port là đường có giá thành thấp nhất từ nonroot bridge đến root bridge. Root port thường ở trạng thái forwarding. Giá thành của con đường Spanning-tree là một giá thành cộng dồn được tính tóan trên băng thông. Trong hình, đường có giá thành thấp nhất đến root bridge từ switch Y là ngang qua đường 100 Base-T Fast Ethernet.
3. Chọn designated port trên mỗi segment: trên mỗi segment, STP thiết lập một designated port. Designated port được chọn trên bridge mà có đường có giáthành thấp nhất đến root bridge. Designated port thường ở trạng thái forwarding, chuyển dữ liệu cho segment. Trong hình vẽ, designated port cho cả2 segment là trên root bridge bởi vì root bridge kết nối trực tiếp đến 2 segment này. Port 10Base-T Ethernet trên switch Y là nondesignated port bởi vì chỉ cómột designated port trên mỗi segment. Nondesignated port thường ở trạng thái bloking để bẻ gãy loop. Khi một port ở trạng thái blocking, nó không chuyển dữ liệu nhưng vẫn có thể nhận thông tin.
3-13
3-13
Chọn Root Bridge
� BPDU (mặc định gởi mỗi lần 2 giây)
� Root bridge = bridge với bridge ID nhỏ nhất
� Bridge ID =BridgePriority
MACAddress
Những switch và bridge đang chạy thuật tóan spanning-tree trao đổi thông điệp cấu hình với các switch và bridge khác theo chu kỳ 2 giây. Những switch và bridge trao đổi những thông điệp này dùng một multicast frame được gọi là BPDU (Bridge Protocol Data Unit). Một trong những thông tin trong BPDU là Bridge ID (BID).
STP gọi cho mỗi switch hoặc bridge được gán một BID duy nhất. BID gồm 8 byte (2 byte chỉ ra giá trị ưu tiên và 6 byte địa chỉ MAC). Giá trị ưu tiên mặc định là32,768, là giá trị khỏang giữa. Root bridge là bridge có BID nhỏ nhất.
Ví dụ:
Trong hình vẽ, cả 2 switch đều có cùng giá trị ưu tiên. Switch có địa chỉ MAC thấp nhất là root bridge. Trong ví dụ, switch X là root bridge với BID là0x8000(0c00.1111.1111).
3-14
3-14
Spanning tree chuyển mỗi port ngang qua nhiều trạng thái khác nhau
Trạng thái của các port trong Spanning-Tree
Có 5 trạng thái:
•Blocking
•Listening
•Learning
•Forwarding
•Disabled
Khi STP được cấu hình, mỗi bridge trong mạng khi bật nguồn đi ngang qua trạng thái blocking và những trạng thái trung gian listening và learning. Nếu được cấu hình thích hợp, sau đó các port ổn định ở trạng thái forwarding hoặc blocking. Những port forwarding cung cấp đường đi có giá thành thấp nhất đến root bridge. Trong khi một sơ đồ thay đổi, một port thi hành tạm thời trạng thái listening và learning.
Tất cả các port của bridge bắt đầu khởi tạo ở trạng thái blocking, mà chúng lắng nghe BPDU. Khi bridge đầu tiên bật lên, tính năng của nó như là một root bridge và chuyển đến trạng thái listening. Một sự vắng mặt BPDU trong một khỏang thời gian nào đó được gọi là maximum age(max_age), mặc định là 20 giây. Nếu một port ở trạng thái blocking vàkhông nhận một BPDU mới trong khỏang max_age, bridge sẽ chuyển từ trạng thái blocking sang listening. Khi một port ở trạng thái listening, nó có thể gởi và nhận BPDU để quyết định sơ đồ họat động. Tại thời điểm này, switch không chuyển bất kỳ dữ liệu nào của người dùng. Trong trạng thái listening, bridge thực hiện 3 bước sau:
•Chọn root bridge
•Chọn root port trên nonroot bridge
3-15
•Chọn designated port trên mỗi segment
Thời gian để một port chuyển từ trạng thái listening sang trạng thái learning hoặc từ trạng thái learning sang trạng thái forwarding được gọi là forward delay. Forward delay có giá trị mặc định là 15 giây
Trạng thái learning làm giảm khối lượng flood được yêu cầu khi bắt đầu chuyển dữ liệu. Nếu một port vẫn là designated hoặc root port tại cuối trạng thái learning, port chuyển đến trạng thái forwarding. Trong trạng thái forwarding, một port có thể gởi và nhận dữ liệu của người dùng. Những port không phải designated hoặc root port chuyển trở lại trạng thái blocking
Thông thường một port chuyển từ trạng thái blocking đến trạng thái forwarding mất khỏang 30 đến 50 giây. Bạn có thể điều chỉnh những thời gian này, nhưng những thời gian này là giá trị trung bình để thiết lập giá trị mặc định. Những giátrị mặc định để cho mạng có đủ thời gian thu thập tất cả thông tin đúng về một sơ đồ mạng
3-16
3-16
Mô tả PortFast
PortFast được cấu hình trên access ports, không phải trunk ports.
PortFast được cấu hình trên access port của switch để chuyển ngay từ trạng thái blocking sang trạng thái forwarding, bỏ qua trạng thái listening và learning. Bạn có thể sử dụng PortFast trên access port mà kết nối đến một máy trạm hoặc server để cho phép các thiết bị này kết nối đến mạng ngay mà không phải đợi spanning-tree hội tụ.
Nếu một interface được cấu hình PortFast nhận một BPDU, sau đó, Spanning tree có thể chuyển port đến trạng thái blocking sử dụng một tính năng được gọi là BPDU guard.
3-17
3-17
Cấu hình và kiểm tra PortFast
spanning-tree portfast
SwitchX(config-if)#
� Cấu hình PortFast trên một interface
spanning-tree portfast default
SwitchX(config)#
� Cấu hình PortFast trên tất cả interface không phải trunking
show running-config interface interface
SwitchX#
� Kiểm tra PortFast đã được cấu hình trên interface
OR
Bảng sau đây liệt kê các lệnh được dùng để cấu hình và kiểm tra PortFast trên một interface.
•Switch(config-if)#spanning-tree portfast: cấu hình PortFast trên access port và đưa ngay vào trạng thái forwarding.
•Switch(config-if)#no spanning-tree portfast: bỏ PortFast trên access port. Mặc định, PortFast không được cấu hình.
•Switch(config)#spanningtree portfast default: cho phép PortFast trên tất cảcác port không phải trunking. Khi tính năng này được cấu hình, port chuyển từtrạng thái blocking sang forwarding mà không cần chuyển sang các trạng thái trung gian.
•Switch#show running-config interface type slot/port: chỉ ra PortFast có được cấu hình trên port không. Nó cũng được dùng để chỉ ra nếu cấu hình đã xảy ra trên một EtherChannel link bằng cách chỉ ra port-channel channel_number
thay cho type slot/port
3-18
3-18
Ví dụ về họat động Spanning-Tree
Sau đây mô tả trạng thái của các port trong hình vẽ:
•Root bridge là switch Z, nó có BID nhỏ nhất.
•Root port là port 1 trên switch X và Y. Port 1 là đường có giá thành thấp nhất đến root trên cả 2 switch.
•Designated port trên switch Z là port 1 và 2. tất cả các port trên root là designated port. Port 2 của switch X là designated port cho segment giữa switch X và Y. Bởi vì switch X và Y có giá thành đường đi bằng nhau đến root bridge, designated port được chọn trên switch X bởi vì nó có BID thấp hơn Switch Y.
•Port 2 trên switch Y là nondesignated port trên segment và ở trạng thái blocking.
•Tất cả designated và root port đều ở trạng thái forwarding.
3-19
3-19
Giá thành đường đi Spanning-Tree
10010010 Mb/s
1019100 Mb/s
141 Gb/s
1210 Gb/s
Giá thành (Previous IEEE Specification)
Giá thành (Revised IEEE Specification)
Tốc độ đường truyền
Giá thành đường đi spanning tree là tổng giá thành đường đi được cộng dồn dựa trên băng thông của tất cả các link trong đường đi. Trong hình vẽ, một vài giáthành đường đi được chỉ ra trong 802.1D. Chuẩn 802.1D đã được sửa đổi; trong chuẩn cũ, giá thành được tính dựa trên băng thông 1000Mbps. Chuẩn mới sửdụng một tỉ lệ không tuyến tính, để phù hợp với interface tốc độ cao.
3-20
3-20
Tính tóan lại Spanning-Tree
Khi có một thay đổi sơ đồ do một liên kết bị lỗi, spanning tree điều chỉnh lại sơ đồ mạng để chắc chắn kết nối bằng cách chuyển port ở trạng thái blocking sang trạng thái forwarding.
Ví dụ: tính tóan lại spanning-tree
Trong hình vẽ, nếu switch Z (root bridge) lỗi và không gởi BPDU đến swtich Y trong khỏang thời gian max_age (mặc định 20 giây, tương đương 10BPDU bị lỗi), switch Y phát hiện không nhận được BPDU từ root bridge. Khi max_age trên switch Y hết thời gian trước khi một BPDU được nhận từ switch Z, một tính tóan lại spanning tree được khởi tạo. Switch Y chuyển port 2 từ trạng thái blocking sang listening đến learning, vàcuối cùng đến trạng thái forwarding.
Sau khi tất cả các port của switch chuyển đến trạng thái forwarding hoặc blocking, switch X trở thành root bridge và chuyển dữ liệu giữa các segment.
Hội tụ STP
Sự hội tụ trong STP là một trạng thái mà tất cả các port trên switch và bridge được chuyển đến trạng thái forwarding hoặc blocking. Hội tụ là cần thiết cho một mạng họat động bình thường. Đối với mạng switch hoặc bridge, một gợi ý chính là khối lượng thời gian yêu cầu để hội tụ khi sơ đồ mạng thay đổi.
Hội tụ nhanh là một tính năng mạng mong muốn bởi vì nó giảm khối lượng thời gian màcác port chuyển trạng thái và không gởi dữ liệu của người dùng. Thời gian hội tụ thông thường là 30 đến 50 giây đỗi với chuẩn 802.1D.
3-21
3-21
Per VLAN Spanning Tree Plus
Chuẩn 802.1D định nghĩa một Common Spanning Tree (CST) mà giả sử rằng chỉmột thực thể spanning tree cho tòan bộ mạng switch, không chú ý đến số VLAN. Trong một mạng chạy CST, những câu này đúng:
•Không thể chia sẻ tải, một uplink phải khóa tất cả VLAN.
•CPU thừa; chỉ một thực thể spanning tree phải được tính tóan.
PSVT+ định nghĩa một giao thức spanning tree mà có nhiều thực thể spanning tree đang chạy trên mạng, một thực thể của STP trên một VLAN. Trong một mạng đang chạy nhiều thực thể spanning tree, những câu này đúng:
•Chia sẻ tải có thể đạt được.
•Một thực thể spanning tree cho mỗi VLAN được duy trì có nghĩa là tốn CPU đối với các switch trên mạng (tốn băng thông được sử dụng cho mỗi thực thể để gởi BPDU).
Họat động PVST+
Trong môi trường Cisco PVST+, bạn có thể điều chỉnh những biến spanning tree để mà một nửa VLAN chuyển trên mỗi đường trunk uplink. Để đạt được điều này một cách dễ dàng, bạn cấu hình một switch được chọn là root bridge cho một nửa tổng số VLAN trong mạng, và một switch thứ 2 được chọn làm root bridge cho một nửa VLAN còn lại. Cung cấp những root switch khác nhau trên VLAN tạo ra một mạng nhiều dự phòng.
3-22
3-22
PVST+ Extended Bridge ID
Bridge ID without the
extended system ID
Extended bridge ID
with system ID
System ID = VLAN
Họat động spanning tree yêu cầu mỗi switch phải có một BID duy nhất. Trong chuẩn 802.1D ban đầu, BID gồm độ ưu tiên và địa chỉ MAC của switch, và tất cả VLAN được miêu tả bởi một CST. Bởi vì PVST+ yêu cầu mỗi thực thể spanning tree riêng biệt cho từng VLAN, cột BID yêu cầu mang thông tin VLAN ID(VID). Điều này được hòan thành bằng cách dùng lại một vùng của cột Priority như là một system ID mở rộng để mang VID.
Để làm cho phù hợp system ID mở rộng, 802.1D ban đầu, cột độ ưu tiên 16bit được chia lam 2 cột , kết quả BID như sau:
•Độ ưu tiên của bridge: một cột 4bit vẫn được sử dụng để mang giá trị ưu tiên. Bởi vì số bit bị giới hạn, độ ưu tiên mang giá trị được tính tóan trong lượng gia của 4096 hơn là giá trịtính tóan trong lượng gia của 1, khi nó là 16bit. Độ ưu tiên mặc định là 32,768, là giá trị ởkhỏang giữa.
•System ID mở rộng: một cột 12bit mang, trong trường hợp này, VID cho PVST+.
•Địa chỉ MAC: một cột 6byte lưu địa chỉ MAC của switch.
Với công dụng của địa chỉ MAC, một BID luôn luôn là duy nhất. Khi độ ưu tiên và system ID mở rộng đi liền với địa chỉ MAC của switch, mỗi VLAN trên switch được biễu diễn bởi một BID duy nhất.
Nếu độ ưu tiên không được cấu hình, mỗi switch có độ ưu tiên giống nhau, và việc chọn root của mỗi VLAN được dựa trên địa chỉ MAC. Phương pháp này là một phương pháp chọn root bridge ngẫu nhiên; vì lý do này, nên gán độ ưu tiên thấp nhất cho switch làm root bridge.
3-23
3-23
Giao thức Rapid Spanning Tree
RSTP, được định nghĩa trong chuẩn IEEE 802.1w, thay thế STP được định nghĩa trong 802.1D, trong lúc vẫn tương thích với STP. RSTP được xem như là một sựphát triển của chuẩn 802.1D hơn là một cuộc cách mạng. Thuật ngữ trong 802.1D về cơ bản vẫn giống nhau. Hầu hết những biến không thay đổi, vì thế những người dùng đã quen với 802.1D có thể cấu hình giao thức mới này.
RSTP làm giảm thời gian hội tụ của mạng khi có sự thay đổi sơ đồ vật lý hoặc những biến cấu hình xảy ra. RSTP định nghĩa thêm những luật thay thế và backup của port, và nó định nghĩa những trạng thái của port gồm discarding, learning, hoặc forwarding.
RSTP chọn một switch như là root của một sơ đồ đang họat động spanning tree vàgán nhưng luật của port cho các port trên switch, phụ thuộc vào port đó là phần nào của sơ đồ.
RSTP cung cấp kết nối nhanh nếu switch, port trên switch, hoặc VLAN bị lỗi. Một root port va designated port mới trên switch khác chuyển sang trạng thái forwarding ngang qua một bắt tay tường minh giữa chúng. RSTP cho phép cấu hình port trên switch để mà các port có thể chuyển sang trạng thái forwarding trực tiếp khi switch khởi động lại.
Per VLAN Rapid Spanning Tree Plus (PVRST+)
Chuẩn RSTP sử dụng CST, mà giả sử chỉ một thực thể spanning tree cho tòan bộmạng, không phụ thuộc vào số VLAN. PVRST+ định nghĩa một giao thức spanning tree mà có một thực thể RSTP trên 1 VLAN.
3-24
Multiple Spanning Tree Protocol(MSTP)
MSTP, được định nghĩa trong IEEE 802.1s và sau này được nhập vào IEEE 802.1Q-2003, định nghĩa một giao thức spanning tree mà có nhiều thực thể spanning tree đang chạy trên mạng. Nhưng không giống với PVRST+, mà cómột thực thể RSTP trên 1 VLAN, MSTP làm giảm tải switch bằng cách cho phép một thực thể spanning tree đơn chạy trên nhiều VLAN
Những luật của port trong RSTP
RSTP định nghĩa luật của port như sau:
•Root: một port có trạng thái forwarding được chọn cho sơ đồ spanning tree
•Designated port: một port có trạng thái forwarding được chọn cho mỗi segment
•Alternate: một đường thay thế đến root bridge mà nó khác với đường đi từ root port
•Backup: một đường dự phòng mà nó cung cấp kết nối dự phòng đến một segment đến port trên switch khác thực sự kết nối. Những port backup chỉ cóthể tồn tại ở nơi mà 2 port có cung kết nối trong một loopback bởi một liên kết point-to-point hoặb bridge với 2 hay nhiều kết nối đến một segment LAN chia sẻ
•Disabled: một port mà không có luật nào trong họat động của spanning tree
Root và designated port những được đưa vào trong sơ đồ họat động. Alternate và backup port không được đưa vào sơ đồ họat động
Trạng thái của những port trong RSTP
Trạng thái port điều khiển tiến trình forwarding và learning và cung cấp những giá trị của discarding, learning và forwarding. Bảng sau đây so sánh trạng thái của port trong STP và RSTPstates.
Trong sơ đồ ổn định, RSTP chắc chắn rằng mỗi root port và designated port chuyển đến trạng thái forwarding, trong khi đó những port alternate và backup luôn luôn ở trong trạng thái discarding
3-25
3-25
Cấu hình Spanning-Tree mặc định
� Cisco Catalyst switches hỗ trợ 3 lọai STP:
– PVST+
– PVRST+
– MSTP
� STP mặc định của Cisco Catalyst switches là PVST+ :
– Một thực thể STP riêng biệt cho mỗi VLAN
– Một root bridge cho tất cả VLAN
– Không chia sẻ tải
Cisco Catalyst swtich hỗ trợ 3 lọai giao thức spanning tree: PVST+, PVRST+, và MSTP
•PVST+: dựa trên chuẩn 802.1D và gồm những mở rộng của cisco, như backboneFast, UplinkFast, và PortFast
•PVRST+: dựa trên chuẩn 802.1w và có sự hội tụ nhanh hơn 802.1D
•MSTP(802.1s): kết hợp những mặt tốt nhất của PVST+ và chuẩn IEEE
3-26
3-26
Hướng dẫn cấu hình PVRST+
1. Cho phép PVRST+.
2. Thiết kế và cấu hình một switch là root bridge.
3. Thiết kế và cấu hình một switch là root bridge thứ2.
4. Kiểm tra cấu hình.
Để triển khai PVRST+, thực hiện những bước sau:
1. Cho phép PVRST+.
2. Thiết kế và cấu hình một switch là root bridge.
3. Thiết kế và cấu hình một switch là root bridge thứ 2.
4. Kiểm tra cấu hình.
3-27
3-27
Những lệnh triển khai PVRST+
spanning-tree mode rapid-pvst
SwitchX(config)#
� Cấu hình PVRST+
show spanning-tree vlan vlan# [detail]
SwitchX#
� Kiểm tra cấu hình spanning-tree
debug spanning-tree pvst+
SwitchX#
� Hiển thị những thông điệp sự kiện PVST+
Bảng sau đây mô tả những lệnh được dùng để cấu hình và kiểm tra PVRST+
•SwitchX(config)#spanningtree mode rapid-pvst: Thiết lập spanning tree làPVRST+
•SwitchX#show spanning-tree vlan vlan-number [detail]: Hiển thị thông tin spanning tree mà dựa trên VLAN hơn là dựa trên thực thể
•SwitchX#debug spanningtree pvst+: debug những sự kiện PVRST+
•SwitchX#debug spanningtree switch state: Debug những thay đổi trạng thái port. Chú ý, giống như tất cả lệnh debug, lệnh này có thể ảnh hưởng đến hiệu suất mạng
3-28
3-28
Kiểm tra PVRST+
The spanning-tree mode is set to PVRST.
SwitchX# show spanning-tree vlan 30VLAN0030Spanning tree enabled protocol rstpRoot ID Priority 24606Address 00d0.047b.2800This bridge is the rootHello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 24606 (priority 24576 sys-id-ext 30) Address 00d0.047b.2800Hello Time 2 sec Max Age 20 sec Forward Delay 15 secAging Time 300Interface Role Sts Cost Prio.Nbr Type-------- ----- --- --- -------- ----Gi1/1 Desg FWD 4 128.1 P2pGi1/2 Desg FWD 4 128.2 P2pGi5/1 Desg FWD 4 128.257 P2p
Trong ví dụ, câu “Spanning tree enabled protocol rstp” chỉ ra rằng switch X đang chạy PVRST+
Switch X là root bridge cho VLAN30. độ ưu tiên 24606 bắt nguồn từ tổng độ ưu tiên được gán của 24576 và VLAN 30. địa chỉ MAC của switch X, là 00d0.047b.2800, được nối đến độ ưu tiên,24606, để tạo thành Bridge ID
Khi root bridge cho VLAN 30, tất cả interface của switch X là designated port trong trạng thái forwarding
3-29
3-29
Cấu hình Root vàSecondary Bridges
Nếu tất cả switch trong mạng đều được cấu hình với những thiết lập spanning tree mặc định, switch với địa chỉ MAC thấp nhất sẽ trở thành root bridge. Tuy nhiên, root bridge mặc định có thể không phải là một root bridge lý tưởng, bởi vìtraffic, số interface forwarding, hoặc lọai link.
Trước khi cấu hình STP, chọn một switch làm root của spanning tree. Switch này không cần phải switch mạnh nhất, nhưng nên là switch trung tâm trên mạng. Tất cả những dữ liệu ngang qua mạng xảy ra từ switch này. Những switch tầng distribution thường phục vụ như là root bởi vì những switch này không kết nối đến trạm cuối. Thêm vào đó, những di chuyển và thay đổi trong mạng ít ảnh hưởng đến các switch này.
Bằng cách tăng độ ưu tiên (số thấp) của switch phù hợp để mà nó trở thành root bridge., bạn bắt spanning tree thi hành tính tóan lại để mang lại một sơ đồ mới với switch thích hợp làm root
3-30
3-30
Cấu hình Root vàSecondary Bridges: SwitchA
spanning-tree vlan 1 root primary
� Lệnh này cho phép switch này là root của VLAN 1
spanning-tree vlan 2 root secondary
� Lệnh này cấu hình switch này là secondary root cho VLAN 2
Hoặc
spanning-tree vlan # priority priority
� Lệnh này cấu hình độ ưu tiên (lượng gia của 4096).
SwitchA(config)#
SwitchA(config)#
SwitchA(config)#
Switch với BID thấp nhất trở thành root của VLAN. Bạn có thể dùng những lệnh cấu hình đặc biệt để quyết định switch nào trở thành root bridge
Một cisco catalyst switch đang chạy PVST+ hoặc PVRST+ duy trì một thực thể spanning tree cho mỗi VLAN được cấu hình trên switch A. một BID duy nhất được gán cho mỗi thực thể. Đối với mỗi VLAN, switch với BID thấp nhất trở thành root bridge cho VLAN đó. Mỗi khi thay đổi độ ưu tiên của bridge, BID cũng thay đổi. Kết quả thay đổi này được dùng để tính lại root bridge cho VLAN
Để cấu hình một switch trở thành root bridge cho VLAN chỉ định, dùng lệnh spanning-
tree vlan vlan_id root primary. Với lệnh này, switch kiểm tra độ ưu tiên của root switch cho VLAN chỉ định. Bởi vì hỗ trợ system ID mở rộng, switch xét độ ưu tiên của nó là24576 cho VLAN chỉ định nếu giá trị này sẽ là nguyên nhân để switch trở thanh root switch cho VLAN này. Nếu có một switch khác của VLAN chỉ định có độ ưu tiên thấp hơn 24576, thì switch mà bạn đã cấu hình lệnh spanning-tree vlan vlan_id root primary
sẽ xét độ ưu tiên của nó đối với VLAN chỉ định là 4096 ít hơn độ ưu tiên của switch thấp nhất
3-31
3-31
Cấu hình Root vàSecondary Bridges: SwitchB
spanning-tree vlan 2 root primary
� Lệnh này cho phép switch này là root của VLAN 2
spanning-tree vlan 1 root secondary
� Lệnh này cấu hình switch này là secondary root cho VLAN 1
Hoặc
spanning-tree vlan # priority priority
� Lệnh này cấu hình độ ưu tiên (lượng gia của 4096).
SwitchB(config)#
SwitchB(config)#
SwitchB(config)#
Một secondary root là một switch mà có thể trở thành root bridge cho VLAN nếu primary root bị lỗi. Để cấu hình switch là secondary root bridge của VLAN, dùng lệnh spanning-
tree vlan vlan_id root secondary
Với lệnh này, độ ưu tiên của switch được chỉnh sửa từ giá trị mặc định 32768 thành 28672. giả sử rằng những bridge khác trong VLAN điều chỉnh độ ưu tiên mặc định của chúng, switch này trở thành root bridge khi primary root bridge lỗi. Bạn có thể thực thi lệnh này trên nhiều hơn một switch để cấu hình nhiều backup root bridge
3-32
3-32
Tóm tắt
� Một kỹ thuật switch dự phòng gồm nhiều multihomed switche vàEtherChannel.
� Một kỹ thuật switch dự phòng là nguyên nhân của những vấn đềlặp chẳng hạn như bão broadcast.
� Chuẩn 802.1D STP thiết lập một mạng không lặp.
� PVST+ và RSTP là sự phát triển của chuẩn STP nguyên thủy.
3-33
3-33
3-34
4-1
4-1
Xây dựng mạng switch có kích thước trung bình
Bài 4: Định tuyến giữa các VLAN
4-2
4-2
Tổng quan về VLAN-to-VLAN
� Những thiết bị tầng mạng kết hợp nhiều broadcast domain.
Giao tiếp giữa các VLAN xảy ra giữa các broadcast domain thông qua thiết bịtầng 3. trong một môi trường VLAN, các frame chỉ được chuyển trong cùng VLAN. VLAN thi hành chia mạng và traffic tại tầng 2. giao tiếp giữa các VLAN không thể xảy ra nếu không có thiết bị tầng 3, như router. Dùng IEEE 802.1Q đểcho phép trunking trên một subinterface của router.
Ví dụ:
Hình vẽ chứng minh một router gắn đến một switch chính. Cấu hình giữa router và switch thường đề cập đến như là router on a stick. Router có thể nhận packet trên một VLAN và chuyển chúng đến VLAN khác. Để thi hành tính năng định tuyến giữa các VLAN, router phải biết cách để đến các VLAN đang kết nối. Phải có một kết nối riêng biệt trên router cho mỗi VLAN, và phải cấu hình 802.1q trên những kết nối này. Router thực sự biết về những mạng kết nối trực tiếp với nó. Router phải học đường đi đến những mạng không kết nối trực tiếp.
4-3
4-3
Chia một Interface vật lý thành nhiều subinterface
� Một interface vật lý có thể chia thành nhiều subinterface
Để hỗ trợ 802.1q trunking, bạn phải chia Fast Ethernet Interface của router thành nhiều interface con logic, một interface logic trên một VLAN. Những interface con logic này được gọi là subinterface. Ngòai việc chia này, bạn có thể dùng một interface vật lý riêng biệt cho từng VLAN.
Ví dụ:
Trong hình vẽ, interface FastEthernet0/0 được chia thành nhiều subinterface: FastEthernet0/0.1, FastEthernet0/0.2, FastEthernet0/0.3
4-4
4-4
Định tuyến giữa các VLAN với 802.1Q Trunks
interface fastethernet 0/0ip address 10.1.1.1 255.255.255.0
interface fastethernet 0/0.2ip address 10.2.2.1 255.255.255.0encapsulation dot1q 2
Trong hình vẽ, interface FastEthernet0/0 được chia thành nhiều subinterface: FastEthernet0/0.1 và FastEthernet0/0.2. mỗi subinterface sẽ định tuyến đến một VLAN.
Dùng lệnh encapsulation dot1q vlan identifier (vlan identifier là số VLAN)
trên mỗi subinterface cho để cho phép đóng gói 802.1q trunking. Sốsubinterface không có trùng với số VLAN. Tuy nhiên, đặt 2 số giống nhau đểdễ hơn trong việc quản lý.
Những frame trong Native Vlan củ 802.1Q không mang cột địa chỉ. Vì thế, subinterface của native VLAN được cấu hình với encapsulation dot1q vlan
identifier native. Chắc chắn rằng VLAN được gán đến subinterface của native VLAN phải phù hợp với native VLAN trên switch mà nó kết nối đến.
4-5
4-5
Tóm tắt
� Định tuyến giữa các VLAN dùng một router on a stick sử dụng một router bên ngòai để chuyển traffic giữa các VLAN.
� router on a stick được cấu hình với subinterface cho mỗi VLAN và đóng gói 802.1q.
4-6
4-6
5-1
5-1
Xây dựng mạng switch kích thước trung bình
Bài 5: Bảo mật mạng mở rộng
5-2
5-2
Tổng quan về bảo mật Switch
Nhiều sự quan tâm xung quanh những tấn công bảo mật từ bên ngòai bức tường của tổ chức và tại những tầng trên OSI. Bảo mật mạng thường tập trung ở thiết bị định tuyến và lọc gói tin dựa trên header của tầng 3 và 5, port, kiểm duyệt trạng thái của gói tin, …trọng tâm này gồm những vấn đề xung quanh tầng 3 và ở trên, như traffic làm cách nào để vào mạng bên trong từ Internet. Mạng bên trong truy cập các thiết bị và giao tiếp tầng 2 không được quan tâm trong hầu hết mô tả bảo mật.
Router và switch là bên trong một tổ chức và được thiết kế để giao tiếp phùhợp bằng cách phân phát traffic của mạng trừ những cái không được cấu hình. Tính năng của chúng như là các thiết bị làm thuận tiện trong việc giao tiếp thường cấu hình bảo mật rất thấp và nộp cho những tấn công nguy hiểm. Nếu một cuộc tấn công tại tầng 2 trên một thiết bị mạng nội bộ, mạng có thể bị làm tổn thương nhanh chóng, thường ngòai sự phát hiện.
Giống Tầng 3, nơi bảo mật được thắt chặt trên các thiết bị trong mạng khi hành động nguy hiểm làm tổn thương tầng này càng tăng, tầng 2 cũng yêu cầu bảo mật để chống lại những cuộc tấn công. Nhiều tính năng bảo mật có sẵn trên switch và router, nhưng chúng phải được cấu hình để đạt hiệu quả. Trong cách giống nhau, bạn triển khai ACL cho bảo mật tầng cao, bạn phải thiết lập một chính sách và cấu hình tính năng thích hợp để bảo vệ chống ljai những hành động nguy hiểm tiềm năng trong lúc duy trì họat động mạng hằng ngày.
5-3
5-3
Các thao tác được khuyên: thiết bịswitch mới
� Xem xét hoặc thiết lập chính sách bảo mật của tổ chức.
� Bảo mật thiết bị switch :
– Đảm bảo truy cập switch an tòan.
– Bảo đảm các giao thức của switch.
– Giảm nhẹ tổn thương qua switch.
• Những điểm yếu bảo mật mạng gồm: mất mát của cá nhân, trộm cáp dữliệu, mạo nhận danh nghĩa, và mất tính tòan vẹn dữ liệu. Bạn nên thực hiện bảo mật cơ bản trên mỗi mạng để làm giảm những ảnh hưởng không mong muốn hoặc những hành động nguy hiểm có mục đích
Bạn nên theo những thao tác sau đây khi cài một thiết bị mới:
1. Xem xét hoặc thiết lập chính sách bảo mật của tổ chức
2. Những thiết bị switch an toàn bằng cách truy cập switch và các giao thức an tòan và giảm nhẹ tổn thương được giáng xuống ngang qua switch
Chính sách bảo mật của tổ chức
• Bạn nên xem xét tính chính sách của một tổ chức khi quyết định tầng nào và lọai bảo mật nào muốn triển khai. Bạn phải cần bằng giữa mục tiêu của bảo mật mạng và chi phí quản trị.
Chính sách bảo mật tốt có những đặc điểm sau:
• cung cấp một tiến trình kiểm tóan bảo mật mạng đang tồn tại
• Cung cấp một khung bảo mật chung cho triển khai bảo mật mạng
• Định nghĩa hành vi đối với dữ liệu điện tử không được cho phép
• Quyết định những công cụ và thủ tục nào cần cho tổ chức
5-4
•Nhất trí giữa các nhóm quyết định chính và định nghĩa nhiệm vụ của người dùng và người quản trị
•Định nghĩa một tiến trình để quản lý những sự cố bảo mật mạng
•Cho phép triển khai bảo mật tất cả các site và bắt buộc tuân thủ theo kế họach.
5-5
5-5
Các thao tác được khuyên:bảo mật switch
� Truy cập switch an tòan:
– Đặt password cho hệ thống.
– Truy cập vật lý đến cổng console an tòan.
– Truy cập thông qua telnet an tòan.
– Dùng SSH khi có thể.
– Tắt HTTP.
– Cấu hình thông điệp cảnh báo.
– Tắt các dịch vụ không cần thiết.
– Dùng syslog nếu có sẵn.
Sau đây là những thao tác được khuyên để truy cập switch an tòan:
•Đặt password cho hệ thống: dùng lệnh enable secret để xét password khi truy cập đến privileged mode của hệ thống Cisco. Bởi vì lệnh này thi hành MD5 hash trên password được cấu hình, password vẫn là chỗ yếu bị tấn công. Vìthế, thực hiện các thao tác chuẩn trong việc chọn lựa một password tiện lợi.
Cố gắng đặt password có cả ký tự và số cộng với những ký tự đặc biệt. Ví dụ, chọn “$pecial$” thay cho “specia1s”, trong đó ký tự “s” được thay bằng ký tự“$” và “l” được thay bằng số “1”.
•Truy cập đến cổng console an tòan: truy cập cổng console yêu cầu một tầng bảo mật cả vật lý và logic tối thiểu. Một người truy cập đến cổng console cóthể phục hồi hay tạo lại password đã cấu hình, vì thế cho phép người đó vượt qua tất cả bảo mật khác được triển khai trên hệ thống đó. Do đó, bắt buộc bảo mật truy cập vật lý đến cổng console.
•Truy cập an tòan đến line vty: đây là những bước được khuyên tối thiểu đểtruy cập telnet an tòan:
•Thi hành một ACL cơ bản cho các truy cập đến tất cả các line vty
•Cấu hình password cho tất cả line vty được cấu hình
•Nếu việc cài Cisco IOS software được cho phép, dùng giao thức SSH thay cho telnet để truy cập đến thiết bị ở xa
5-6
•Dùng SSH: giao thức SSH và ứng dụng cung cấp một kết nối ở xa đến router một cách an tòan. 2 phiên bản SSH có sẵn: SSHv1 và SSHv2. Cisco IOS software thi hành SSHv1. Nó mã hóa tất cả traffic, gồm password, giữa một console ở xa và một router ngang qua một giao dịch telnet. Bởi vì SSH gởi traffic không ở dạng plaintext, người quản trị có thể quản lý các giao dịch truy cập ở xa mà những người quan sát vô ý tứ sẽ không có thể xem. SSH server trong Cisco IOS software làm việc với những SSH client có sẵn bản thương mại và phổ biến.
•Tắt dịch vụ HTTP nếu không sử dụng: mặc dù Cisco IOS software cung cấp một HTTP server tích hợp để quản lý, bạn nên tắt nó để hạn chế sư phơi bày. Nếu yêu cầu dùng HTTP để truy cập đến switch, cấu hình ACL cơ bản để chỉcho phép truy cập từ những subnet được tin tưởng.
•Cấu hình thông điệp cảnh báo: cho cả 2 mục đích quản trị và hợp pháp, cấu hình một thông điệp cảnh báo hiển thị trước khi đăng nhập là một cách tiện lợi và hiệu quả để tăng cường bảo mật và chính sách sử dụng chung. Bằng chính sách rõ ràng về quyền sở hữu, cách sử dụng, truy cập, và chính sách bảo vệ trước khi đăng nhập, bạn cung cấp hỗ trợ tốt hơn cho khiếu kiện nếu có.
•Tắt những dịch vụ không cần thiết: mặc định, thiết bị Cisco triển khai nhiều TCP và UDP server để quản lý và tích hợp vào các môi trường đang tồn tại. Đối với hầu hết cài đặt, những dịch vụ này không yêu cầu, tắt chúng có thểgiảm rất lớn tính phơi bày bảo mật. Những lệnh này dùng để tắt những dịch vụ:
no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
•Cấu hình nhật ký cơ bản: để hỗ trợ và đơn giản trong việc xử lý lỗi và nghiên cứu bảo mật, theo dõi thông tin được nhận từ logging. Xem kết quả trong bộnhớ đệm. Để đưa ra logging hữu ích, tăng kích thước bộ nhớ đệm.
5-7
5-7
Các thao tác được khuyên: bảo mật switch (tt.)
� Bảo đảm các giao thức của switch:
– Bỏ CDP và chỉ sử dụng khi cần thiết.
– An tòan spanning tree.
� Giảm nhẹ tổn hại ngang qua một switch :
– Đề phòng cho các đường trunk.
– Tuy cập port vậy lý tối thiểu.
– Thiết lập cấu hình access-port chuẩn cho các port sử dụng vàkhông sử dụng.
Giao thức switch an tòan
Sau đây là những thao tác được khuyên để bảo đảm các giao thức của switch:
•Cisco Discovery Protocol: CDP không bộc lộ những thông tin bảo mật đặc biệt, nhưng nó có thể để cho người tấn công khai thác thông tin này trong một tấn công, nhờ đó một người tấn công biết thiết bị và thông tin địa chỉ IP để thi hành những lọai tấn công khác. Bạn nên theo 2 hướng dẫn sau về giao thức CDP:
•Nếu CDP không được yêu cầu, hoặc nếu một thiết bị được tìm thấy trong một môi trường không an tòan, tắt CDP tòan cục trên thiết bị
•Nếu CDP được yêu cầu, tắt CDP trên interface kết nối đến mạng không tin cậy. Bởi vì CDP là một giao thức ở tầng liên kết, nó không ảnh hưởng ngang qua mạng, trừ khi một cơ chế tunneling tầng 2 ở trong đó. Giới hạn nó để chỉ chạy giữa các thiết bị tin cậy, và tắt ởnhững nơi còn lại. Tuy nhiên, CDP được yêu cầu trên bất kỳ port nào mà đang gắn đến một Cisco IP phone để thiết lập một mối quan hệ tin cậy.
•Bảo mật sơ đồ spanning-tree: thật là quan trọng để bảo vệ tiến trình STP của các switch mà hình thành cấu trúc hạ tầng. BPDU mở đầu trong STP có thểtràn ngập một thiết bị hoặc đưa ra một cuộc tấn công DoS.
5-8
•Bước đầu tiên là định nghĩa root bridge đã dự định trong thiết kế và cấu hình độ ưu tiên của switch đó cố định để luôn trở thành root bridge. Làm giống như vậy đối với designated backup root bridge. Những hành động này bảo vệ trở lại những sơ xuất của STP khi switch mới được cài vào và bắt đầu trao đổi BPDU.
Trên một vài platform, tính năng BPDU guard có sẵn. Nếu vậy, cấu hình nó trên access port trong sự kết hợp với tính năng PortFast để bảo vệ mạng từ những xâm nhập BPDU không mong muốn. Lúc nhận BPDU, tính năng BPDU guard tự động tắt port.
Giảm nhẹ tổn hại ngang qua một switch
Theo những thao tác được khuyên sau đây để giảm nhẹ tổn hại ngang qua một switch:
•Tắt router và các port của switch không được dùng:
•Dùng lệnh shut trên tất cả các port và interface không được sử dụng.
•Đặt tất cả các port không sử dụng trong một VLAN “parking-lot”, mànhóm những port không sử dụng đến khi chúng được đặt vào dịch vụ.
•Cấu hình tất cả các port không được sử dụng như là access port, tắt đàm phán trunk tự động.
•Xem xét đối với các đường trunk: mặc định, switch đang chạy Cisco IOS Software được cấu hình để tự động đàm phán khả năng trunk. Trường hợp này đưa ra mối nguy hiểm cho cấu trúc hạ tầng bởi vì một thiết bị không bảo mật của công ty thứ 3 có thể được đưa vào mạng. Những tấn công tiềm năng gồm chặn traffic, đổi hướng traffic, DoS, và nhiều nữa. Để tránh nguy hiểm này, tắt tự động đàm phán trunk và cấu hình bằng tay cho những link yêu cầu.
•Truy cập thiết bị vật lý: bạn nên đóng truy cập vật lý đến switch để tránh đặt thiết bị lạ vào mạng với truy cập trực tiếp đến port của switch.
5-9
5-9
Port Security
Port security giới hạn truy cập port bằng địa chỉ MAC
• Port security là một tính năng được hỗ trợ trên Cisco Catalyst Switch mà giới hạn một số địa chỉ MAC được phép truy cập đến port. Switch có thể biết những địa chỉ này một cách động họăc có thể cấu hình tĩnh. Một port được cấu hình với port security chỉ chấp nhận frame từ những địa chỉ đã được học hoặc được cấu hình.
Có rất nhiều triển khai port security:
• Động (Dynamic): bạn chỉ ra có bao nhiêu địa chỉ MAC được phép truy cập đến port này tại một thời điểm. Bạn sử dụng phương thức động khi bạn chỉchú ý đến số lượng địa chỉ MAC hơn là những địa chỉ MAC cụ thể. Phụ thuộc vào cách cấu hình trên switch, những địa chỉ được học động này sẽ hết hạn sau một giai đọan, và những địa chỉ mới được học, đạt số địa chỉ tối đa màbạn đã định nghĩa.
• Tĩnh (Static): bạn chỉ ra những địa chỉ MAC nào được phép truy cập port. Bất kỳ địa chỉ MAC nào không được chỉ ra sẽ không được phép gởi frame đến port.
• Kết hợp giữa static và dynamic: bạn có thể chọn cách kết hợp giữa dynamic và static. Ví dụ, nếu số địa chỉ MAC được giới hạn là 4, và bạn cấu hình 2 địa chỉ MAC tĩnh, switch sẽ tự động học 2 địa chỉ MAC kế tiếp mà nó nhận trên port. Truy cập đến port bị giới hạn trong 4 địa chỉ này. 2 địa chỉ MAC được cấu hình tĩnh không hết hạn, nhưng 2 địa chỉ động được học có thể, phụ thuộc vào cấu hình switch
5-10
•Dynamic “sticky learning” : khi tính năng này được cấu hình trên 1 interface, interface sẽ chuyển những địa chỉ đã được học động thành các địa chỉ “sticky secure”. Tính năng này sẽ đưa những địa chỉ được học động vào tập tin running configuration khi nếu chúng được cấu hình tĩnh dùng lệnh switchport
port-security mac-address. Những địa chỉ ‘sticky learned” sẽ không hết hạn.
Tình huống
Tưởng tượng có 5 người mà laptop của của những người này được cho phép kết nối đến một port chỉ định trên switch khi họ đến một khu vực trong tòa nhà. Bạn muốn giới hạn chỉ có 5 địa chỉ MAC của các laptop này được phép truy cập port và cho phép không có địa chỉ nào được học một cách tự động.
Xử lý
Sau đây mô tả những bước thực hiện để đạt kết quả mong muốn đối với tình huống này.
1.Port security được cấu hình để cho phép chỉ 5 kết nối đến port, mỗi dòng sẽcấu hình cho mỗi địa chỉ MAC được cho phép. (bước này xây dựng bảng địa chỉ MAC với 5 địa chỉ cho phép kết nối đến port và cho phép không có địa chỉnào được học động.
2.Những frame của những kết nối cho phép được xử lý. (khi frame đến một port của switch, địa chỉ nguồn của nó được kiểm tra trở lại bảng địa chỉ MAC. Nếu địa chỉ nguồn phù hợp với một dòng trong bảng đối với port đó, frame được chuyển đến switch để xử lý giống như những frame khác trên switch.).
3.Những địa chỉ mới thì không cho phép để tạo những dòng trong bảng địa chỉMAC mới. (khi frame với địa chỉ MAC không hợp lệ đến port, switch biết địa chỉ này không có trong bảng địa chỉ MAC hiện hành và không tạo một dòng động cho địa chỉ mới này).
4.Switch hành động đối với những frame không hợp lệ. (switch không cho phép truy cập đến port và có một trong những hành động sau phụ thuộc vào cấu hình: (a) port bị tắt; (b) truy cập của địa chỉ MAC đó bị cấm và một thông điệp lỗi được tạo ra; © truy cập của địa chỉ MAC đó bị cấm nhưng không tạo ra thông điệp lỗi.
5-11
5-11
802.1X Port-Based Authentication
Truy cập mạng ngang qua switch yêu cầu sự xác nhận
Chuẩn IEEE 802.1X định nghĩa một điều khiển truy cập port và giao thức xác nhận để giới hạn những máy trạm không hợp lệ kết nối vào mạng ngang qua các port của switch. Server xác nhận sẽ chứng thực mỗi máy trạm màkết nối đến switch trước khi cung cấp những dịch vụ có sẵn cho máy trạm.
Đến khi máy trạm được xác nhận, 802.1X cho phép chỉ thông tin Extensible Authentication Protocol over LAN (EAPOL) được đi ngang qua port . Sau khi xác nhận thành công, thông tin thông thường có thể di chuyển ngang qua port.
Với sự xác nhận 802.1X, những máy trạm trong mạng có những luật đặc biệt sau:
•Client: thiết bị yêu cầu truy cập đến LAN và các dịch vụ switch, và trả lời cho những yêu cầu từ switch. Máy trạm phải chạy phần mềm client 802.1X, được đưa ra trong Windows XP. Port mà máy trạm kết kết nối đến là client trong chuẩn IEEE 802.1X.
•Authentication server: thi hành xác nhận client thực sự. Authentication server xác nhận client hợp lện và thông báo switch biết client hợp lệ để truy cập đến những dịch vụ của LAN và switch. Bởi vì switch họat động như một proxy, dịch vụ xác nhận là trong suốt đối với client. Hệ thống bảo mật RADIUS với mở rộng EAP thì chỉ hỗ trợ authentication server.
5-12
•Switch (cũng được gọi là người xác thực): điều khiển những truy cập vật lý đến mạng dựa trên trạng thái xác thực của client. Switch họat động như một proxy giữa client và authentication server, yêu cầu nhận dạng thông tin từclient, kiểm tra thông tin đó với authentication server, và chuyển trả lời đến client. Switch dùng một RADIUS software agent, mà có nhiệm vụ đóng gói vàmở gói EAP frame và tương tác với authentication server.
Trạng thái của port quyết định client được phép truy cập đến mạng. Đầu tiên Port có trạng thái không hợp lệ. Trong trạng thái này, port không cho phép thông tin đi ra và đi vào ngọai trừ những thông tin của giao thức 802.1X. Khi client được xác nhận một cách thành công, port chuyển sang trạng thái hợp lệ, cho phép tất cả các thông tin của client một cách bình thường.
Nếu switch yêu cầu nhận dạng client và client không hỗ trợ 802.1X, port giữlại trạng thái không hợp lệ, và client không được phép truy cập đến mạng.
Khi một client có 802.1X kết nối đến một port và khởi tạo tiến trình xác nhận bằng cách gởi một EAPOL-start frame đến switch mà switch không chạy 802.1X, và không trả lời cho frame vừa nhận, client bắt đầu gởi frame khi nếu port ở trạng thái hợp lệ.
Nếu client được xác nhận một cách thành công (nhận một Accept frame từ authentication server), port thay đổi trạng thái thành hợp lệ, và tất cả frame từclient hợp lệ được cho phép ngang qua port.
Nếu sự xác nhận lỗi, port giữ lại trạng thái không hợp lệ, nhưng sự xác nhận cóthể lặp lại. Nếu authentication server không đến được, switch có thể truyền lại yêu cầu. Nếu không nhận được trả lời từ server sau một số lần cố gắng chỉ định, sự xác nhận lỗi, và truy cập mạng không được cho phép.
Khi một client thóat ra, nó gởi một thông điệp EAPOL-logout, khi đó port của switch chuyển sang trạng thái không hợp lệ.
5-13
5-13
Visual Objective 2-1: Configuring Expanded Switched Networks
Subnet VLAN Devices10.1.1.0 1 Core Switches, CoreRouter, SwitchX10.2.2.0 2 CoreRouter, RouterA
10.3.3.0 3 CoreRouter, RouterB10.4.4.0 4 CoreRouter, RouterC10.5.5.0 5 CoreRouter, RouterD
10.6.6.0 6 CoreRouter, RouterE10.7.7.0 7 CoreRouter, RouterF
10.8.8.0 8 CoreRouter, RouterG10.9.9.0 9 CoreRouter, RouterH
5-14
5-14
Tóm tắt
� Những thao tác được khuyên để bảo mật sơ đồ switch gồm đặt password, tắt những port không sử dụng, cấu hình xác nhận, vàdùng port security.
� Để bảo mật một switch, bạn phải bảo đảm truy cập đến switch vànhững giao thức mà switch sử dụng.
5-15
5-15
5-16
6-1
6-1
Xây dựng mạng switch kích thước trung bình
Bài 6: Xử lý lỗi mạng switch
6-2
6-2
Switches Troubleshooting
Những gợi ý về xử lý lỗi :
� Trở nên quen thuộc với họat động bình thường của switch.
� Có một sơ đồ mạng logc và vật lý chính xác
� Có một kế họach.
� Không giả lập những thầnh phần đang làm việc ngòai việc kiểm tra nó đầu tiên
Có nhiều cách để sửa lỗi một switch. Phát triển một đường đi xử lý lỗi hoặc kiểm tra kế họach làm việc tốt hơn là phương pháp đóan hay bỏ bỏ sót. Có một vài gợi ý để xử lý lỗi hiệu quả:
•Mất thời gian để trở nên quen thuộc với họat động bình thường của switch: website cisco.com có nhiều thông tin kỹ thuật mà mô tả cách switch làm việc. Hướng dẫn cấu hình trong các trường hợp riêng biệt thật là hữu ích.
•Đối với nhiều trường hợp phức tạp, có trên tay một sơ đồ mạng logic và vật lý chính xác: một sơ đồ vật lý chỉ ra các thiết bị và cáp được kết nối như thế nào. Một sơ đồ logic cho biết nhữnng segment (VLAN) tồn tại trong mạng, và router nào cung cấp định tuyến giữa các segment. Một sơ đồ spanning-tree cũng rất hữu ích cho xử lý lỗi phức tạp. Bởi vì một switch có thể tạo ra những segment khác nhau bằng cách triển khi VLAN, những kết nối vật lý không nói được tòan bộ câu chuyện. Bạn phải biết switch được cấu hình như thế nào để biết những segment (VLAN) nào tồn tại và chúng được kết nối logic như thế nào.
•Có một kế họach: một vài vấn đề và giải pháp là rõ ràng; những cái khác thìkhông. Dấu hiệu mà bạn thấy trong mạng có thể là kết quả của nhiều vấn đề trong những vùng hay tầng khác nhau. Trước khi nhảy đến kết luận, cố gắng kiểm tra trong một cách có cấu trúc cái gì đang làm việc và cái gì không. Bởi vì mạng cóthể là phức tạp, nó giúp cô lập những vùng có vấn đề. Một cách để làm điều này là dùng mô hình 7 tầng OSI. Ví dụ, kiểm tra kết nối vật lý (tầng 1), kiểm tra những kết nối trong VLAN (tầng 2), kiểm tra kết nối giữa các VLAN khác nhau (tầng 3), và … Gỉa sử switch được cấu hình đúng, nhiều vấn đề gặp phải sẽ liên quan đến tầng vật lý (cáp và port).
6-3
•Đừng giả sử một thành phần đang làm việc ngòai việc kiểm tra nó đầu tiên: nếu một PC không thể đăng nhập vào một server ngang qua mạng, nó có thể do một số vấn đề. Đừng giả sử những thàh phần cơ bản đang làm việc đúng ngòai việc kiểm tra chúng đầu tiên-một vài người cũng có thể thay đổi cấu hình vàkhông thông báo cho bạn biết những thay đổi này. Thường mât một phút đểkiểm tra cơ bản (ví dụ, những port được kết nối đúng và họat động), và nó cóthể tiết kiệm nhiều thời gian quý giá
6-4
6-4
Xử lý kết nối của Port
Nếu bạn có kinh nghiệm trong vấn đề kết nối, điều đầu tiên để kiểm tra là port. Port là nền tảng của mạng switch. Nếu chúng không làm việc, không có việc gìlàm! Một vài port có ý nghĩa đặc biệt vì vị trí của chúng trong mạng và khối lượng thông tin chúng mang. Những cái này là những port nối đến những switch, router và server khác. Chúng có thể có nhiều phức tập để xử lý bởi vì chúng mang ưu điểm của các đặc tính đặc biệt, như trunking và EtherChannel. Tuy nhiên, không bỏ qua những port khác-chúng cũng quan trọng vì chúng kết nối các người dùng trong mạng.
Gợi ý phần cứng
Phần cứng có thể là một trong những lý do làm cho switch có vấn đề. Để lọai trừcấc vấn đề phần cứng, kiểm tra những điều sau:
•Trạng thái cả 2 port của một link: chắc chắn rằng cả 2 không tắt. Người quản trịcó thể tắt bằng tay một hoặc 2 port, hoặc phần mềm của switch có thể tắt một trong các port bởi vì một lỗi cấu hình. Nếu một port tắt và port kia không, trạng thái của port không tắt sẽ là “notconected” (bởi nó không nhận biết được người hàng xóm ở đầu bên kia của dây). Trạng thái của port tắt sẽ nói vài điều giống như “disable” hoặc “errDisable” (phụ thuộc vào cái gì của port bị tắt thực sự). Liên kết sẽ không họat động nếu cả hai không được bật.
•Lọai cáp được sử dụng cho kết nối: bạn nên sử dụng cáp Cat 5 cho kết nối 100Mbps, và Cat 5e cho 1Gbps hoặc nhanh hơn. Bạn sử dụng cáp RJ45 thẳng cho những trạm cuối, router, hoặc server để kết nối đến switch hoặc hub. Bạn sử dụng cáp chéo cho kết nối giữa switch đến switch hoặc từ hub đến switch. Khỏang cách tối đa cho cáp đồng Ethernet và Fast Ethernet là 100m.
6-5
•Một tiến trình phần mềm tắt một port: đèn của port có màu cam chỉ ra rằng phần mềm của switch đã tắt port, bởi cách giao tiếp của người dùng hoặc bởi các tiến trình bên trong spanning tree BPDU, Root Guard, hoặc port security
Gợi ý cấu hình
Cấu hình của port là lý do khác là cho port có vấn đề. Một vài gợi ý về cấu hình như sau:
•VLAN mà các port thuộc không xuất hiện. Mỗi port của switch thuộc một VLAN. Nếu VLAN bị hủy, thì các port trở thành không họat động (inactive)
Tập hợp những mã sau chứng tỏ rằng lệnh show interface interface sẽ không cho biết lỗi khi VLAN của port không tồn tại
SwitchX# sh int fa0/2
FastEthernet0/2 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0017.596d.2a02 (bia
0017.596d.2a02)
Description: Interface to RouterA F0/0
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
Tuy nhiên lệnh show interface interface chỉ ra rằng port không họat động vàsẽ không có tính năng đến khi lỗi VLAN được thay thế
SwitchX# sh int fa0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 5 (Inactive)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Một vài switch chỉ một ánh sáng cam đều đặn trên mỗi port mà VLAN được gán không xuất hiện. Nếu trên switch có số lượng lớn port có màu cam, đừng hỏang sợ. Nó có thể là tất cả các port thuộc cùng VLAN, mà VLAN đã bị hủy. Khi bạn tạo VLAN trở lại, port sẽ họat động trở lại. Một port nhớ nó đã được gán với VLAN nào
6-6
•Đàm phán tự động (autonegotiation) được cho phép: autonegotiation là một tính năng tùy chọn của chuẩn Fast Ethernet (IEEE 802.3u) mà nó cho phép thiết bị tự động trao đổi thông tin về khả năng tốc độ và duplex trên một liên kết. Bạn không nên sử dụng autonegotiation cho các port mà hỗ trợ thiết bị cấu trúc mạng, như switch, router, server hoặc printer. Thiết lập tự động đàm phán tốc độ và duplex là hành vi mặc định trên các port của switch mà có khả năng này. Tuy nhiên, bạn nên cấu hình các port mà kết nối đến các thiết bị cố định có tốc độ và duplex đúng hơn là cho phép tính năng autonegotiation. Cấu hình này giới hạn những vấn đề về đàm phán và chắc chắn rằng bạn luôn luôn biết chính xác các port họat động như thế nào.
6-7
6-7
Xử lý lỗi về VLAN và Trunk
Native VLAN không phù hợp
Cấu hình Native VLAN trên 2 đầu đường trunk phải giống nhau. Nhớ rằng khi một switch nhận một frame không gắn cột địa chỉ nó sẽ gán đến native VLAN của đường trunk. Nếu một đầu của đường trunk cấu hình native VLAN là VLAN 1, và đầu kia cấu hình native VLAN là VLAN2, một frame được gởi từ VLAN1 trên một cạnh thì được nhận trên VLAN của đầu bên kia. VLAN1 để lộ qua VLAN2. Không có lý do hành vi này sẽ được yêu cầu, và vấn đề kết nối sẽ xảy ra trong mạng nếu một native VLAN tồn tại không phù hợp.
Cơ chế trunk không phù hợp
Bạn nên cấu hình đường trunk một cách tĩnh mỗi khi có thể. Tuy nhiên, những port của Cisco Catalyst switch chạy DTP mặc định cố gắng đàm phán đường trunk một cách tự động. Giao thức này có thể quyết định trunk và giao thức nào trên một port của switch khi nó kết nối đến thiết bị khác mà cũng có khả năng đàm phán đường trunk tự động.
Ví dụ cơ chế DTP
•Dynamic auto: tạo một đường trunk dựa trên yêu cầu DTP từ switch kết nối đến. Dynamic auto không khởi động tiến trình đàm phán; vì thế, 2 switch cấu hình Dynamic Auto không hình thành đường trunk.
•Dynamic Desirable: giao tiếp với switch kết nối đến thông qua DTP. Interface sẽtrở thành một trunk nếu switch kết nối đến có thể trở thành một trunk.
6-8
VLANs và IP subnet
Mỗi VLAN phải tương ứng với một IP subnet duy nhất. Hai thiết bị trong cùng VLAN phải có địa chỉ cùng subnet. Với traffic bên trong VLAN, thiết bị đang gởi nhận dạng đích như là cục bộ và gởi một ARP broadcast để phát hiện địa chỉ MAC của đích.
Hai thiết bị trong các VLAN khác nhau nên có địa chỉ khác subnet. Với traffic bên trong VLAN, thiết bị gởi nhận dạng đích như ở xa và gởi một ARP broadcast cho địa chỉ MAC của default gateway.
Kết nối bên trong VLAN
Hầu hết thời gian, những vấn đề liên quan đến kết nối bên trong VLAN là kết quả cấu hình lỗi của người dùng. Ví dụ, nếu bạn cấu hình một router on a stick hoặc Multilayer Switching không đúng, thì một gói tin từ một VLAN không thể đến VLAN khác. Để tránh cấu hình lỗi và để xử lý lỗi hiệu quả, bạn nên hiểu cơ chế của thiết bị tầng 3. nếu bạn chắc chắn rằng thiết bị đã được cấu hình phù hợp, switch vẫn chưa đưa vào, thì một bug của software hoặc phần cứng của hãng có thể là nguyên nhân.
Một lỗi cấu hình khác ảnh hưởng đến định tuyến giữa các VLAN là cấu hình lỗi trên thiết bị người dùng cuối, chẳng hạn như PC. Một trường hợp thông thường là PC cấu hình sai default gateway. Có quá nhiều PC có cùng default gateway có thể là nguyên nhân làm cho CPU của default gateway tăng cao, làm ảnh hưởng đến tốc độ chuyển gói tin.
6-9
6-9
Xử lý lỗi VTP
Không thể thấy chi thiết về VLAN trong kết quả của lệnh show run
Hệ thống VTP client và server yêu cầu các cập nhật VTP từ các VTP server khác được lưu ngay mà không cần sự can thiệp của người dùng. Một cơ sở dữ liệu VLAN đã được giới thiệu như là một phương pháp để lưu ngay cập nhật VTP cho VTP client và server. Trong một vài phiên bản phần mềm, cơ sở dữ liệu VLAN này được lưu trong một file riêng biệt trong flash, được gọi là tập tin vlan.dat. Bạn có thể xem thông tin VTP và VLAN được lưu trong vlan.dat nếu bạn dùng lệnh show vtp status.
Những switch trong cơ chế VTP server và client không lưu tòan bộ cấu hình VLAN và VTP vào tập tin startup-config trong NVRAM khi bạn dùng lệnh copy
running-config startup-config. Nó lưu cấu hình trong tập tin vlan.dat. Hành vi này không ảnh hưởng đến hệ thống đang chạy cơ chế VTP transparent. Những switch trong cơ chế VTP transparent lưu tòan bộ cấu hình VLAN và VTP vào tập tin startup-config trong NVRAM khi bạn dùng lệnh copy run start. Ví dụ, nếu bạn xóa tập tin vlan.dat trên VTP server hoặc client sau khi bạn cấu hình VLAN, và sau đó khởi động lại switch, VTP sẽ lấy lại giá trị mặc định (tất cả VLAN được cấu hình bị xóa). Nhưng nếu xóa tập tin vlan.dat trên VTP transparent, và sau đókhởi động lại switch, nó giữ lại cấu hình VTP. Đây là một ví dụ về cấu hình VTP mặc định.
Bạn có thể cấu hình khỏang VLAN từ 2 đến 1000 khi switch là VTP server hoặc transparent. Nhưng trên Cisco Catalyst switch 2960, bạn chỉ có thể cấu hình khỏang VLAN mở rộng từ 1025 đến 4094 trên VTP transparent.
6-10
6-10
Xử lý lỗi VTP (tt.)
Kiểm tra những cấu hình này nếu switch không trao đổi thông tin VTP:
� Tất cả các port kết nối giữa các switch được cấu hình như đường trunk.
� Các VLAN là active trong tất cả server switches.
� Có ít nhất một VTP server switch.
� Tên domain VTP và password, nếu có, phù hợp trên tất cả switch (phân biệt chữ hoa và thường).
� Tất cả switch chạy cùng phiên bản VTP.
� Kiểm tra tên domain và phiên bản VTP trên transparent switches.
� Nhận biết rằng các VLAN trong khỏang mở rộng không lan truyền trên VTP phiên bản 1 và 2.
Cisco Catalyst switch không trao đổi thông tin VTP
• Có rất nhiều lý do tại sao VTP lỗi để trao đổi thông tin VLAN. Kiểm tra những thông tin sau nếu switch chạy VTP bị lỗi trong việc trao đổi thông tin VLAN:
• Thông tin VTP chỉ chuyển qua port trunk. Chắc chắn rằng tất cả các port kết nối giữa các switch được cấu hình như đường trunk
• Chắc chắn rằng tất cả VLAN là active trên tất cả VTP server switch
• Một trong các switch phải là VTP server trong domain. Tất cả những thay đổi của VLAN phải được làm trên switch này để lan truyền đến các VTP client.
• Tên domain phải phù hợp và phân biệt chữ hoa và thường. Ví dụ, CISCO và cisco là 2 tên domain khác nhau.
• Chắc chắn rằng không có password giữa server và client. Nếu bất kỳ password được xét, chắc chắn rằng password phải giống nhau trên cả 2 đầu. Password cũng phân biệt chữ hoa và thường.
• Mỗi switch trong domain phải sử dụng VTP cùng phiên bản. VTP phiên bản 1 và 2 không tương thích trên cùng domain VTP. Không cho phép VTP phiên bản 2 trừ khi mỗi switch trong domain VTP hỗ trợ phiên bản 2
6-11
•Một switch trong cơ chế transparent và sử dụng VTP phiên bản 2 lan truyền tất cả thông điệp VTP, không phụ thuộc vào domain VTP. Tuy nhiên, một switch đang chạy VTP phiên bản 1 chỉ lan truyền những thông điệp VTP đến switch trong cùng domain. Switch trong cơ chế transparent sử dụng VTP phiên bản 1 hủy các thông điệp VTP nếu chúng không cùng domain VTP.
•Những VLAN trong khỏang mở rộng không lan truyền. Vì thế bạn phải cấu hình các VLAN mở rộng bằng tay trên mỗi thiết bị mạng
•Các cập nhật từ VTP server không được cập nhật trên client khi client thực sựcó revision number cao hơn. Thêm vào đó, client không lan truyền các cập nhật VTP đến những switch nối với nó nếu client có revision number cao hơn cái mà server đã gởi.
Cài mới Switch là nguyên nhân mạng bị lỗi
Một switch được cài mới có thể là nguyên nhân của những vấn đề trong mạng khi tất cả switch trong mạng cùng domain VTP, và bạn cài thêm một switch vào mạng mà không có cấu hình VLAN và VTP mặc định
Nếu revision number của switch mới cài vào domain VTP cao hơn revision đang tồn tại trên các switch trong domain VTP, cơ sở dữ liệu VLAN của switch mới sẽ ghi đề lên cơ sở dữ liệu VLAN của domain. Điều này xảy ra khi switch là một VTP client hoặc VTP server. Một VTP server có thể xóa thông tin VLAN trên một VTP server. Dấu hiện nhận biết vấn đề này là khi nhiều port trong mạng đi vào trạng thái inactivenhưng tiếp tục được gán đến một VLAN không tồn tại.
Để ngăn chặn vấn đề này xảy ra, luôn luôn chắc chắn rằng revision number của tất cả switch mà bạn cài mới vào domain VTP thấp hơn revision number của các switch đang tồn tại trong domain VTP
Tất cả các port inactive sau khi khởi động lại
Các port của switch di chuyển đến trạng thái inactive khi chúng là thành viên của các VLAN không tồn tại trong cơ sở dữ liệu VLAN. Một vấn đề thông thường là tất cả các port di chuyển đến trạng thái inactive sau khi khởi động lại. Thường, bạn sẽ thấy điều này khi switch được cấu hình như là một VTP client, khi switch khởi động lại, nó sẽ mất tất cả cơ sở dữ liệu VLAN và lànguyên nhân làm uplink port và bất kỳ port khác không thuộc VLAN 1 trởthành inactive
Hòan thành những bước sau để giải quyết vấn đề này:
1.Tạm thời thay đổi cơ chế VTP sang transparent
2.Tạo VLAN để uplink port được gán đến cơ sở dữ liệu VLAN
3.Thay đổi cơ chế VTP trở lại client sau khi uplink port bắt đầu chuyển gói tin.
6-12
6-12
Xử lý lỗi Spanning Tree
Sử dụng biểu đồ mạng
Trước khi xử lý lỗi lặp trong mạng switch, bạn phải biết ít nhất những điều sau:
•Sơ đồ mạng
•Vị trí của root bridge
•Vị trí của những port bị block và đường dự phòng
Biết này là điều cơ bản với những lý do sau:
•Trước khi bạn có thể quyết định sửa cái gì trong mạng, bạn phải biết mạng trông như thế nào khi nó họat động bình thường
•Hầu hết tất cả các bước xử lý lỗi sử dụng lệnh show để cố gắng nhận dạng những điều kiện lỗi. Biết về mạng giúp bạn tập trung trên những port chính của thiết bịchính
Nhận ra một loop trong mạng switch
Loop gây nên bão broadcast có thể làm phá hủy hiệu quả trên mạng. Ngày nay với đường truyền tốc độ cao và những thiết bị cung cấp việc chuyển tại tại tầng phần cứng, nó không giống như host đơn, như server, sẽ làm hạ bện một network bằng broadcast. Cách tốt nhất để nhận dạng loop là bắt lại traffic trên một link và kiểm tra thấy những gói tin giống nhau nhiều lần. Tuy nhiên, nếu tất cả người dùng trong domain có vấn đề về kết tại tại cùng thời điểm, bạn nghi ngờ một loop. Kiểm tra sựsử dụng port trên thiết bị để biết xem có những gía trị không bình thường hay không.
6-13
Phục hồi kết nối một cách nhanh chóng
Người quản trị thường không có thời gian để tìm nguyên nhân gây nên loop, và thích hợp để phục hồi kết nối ngay khi có thể. Cách dễ nhất trong trường hợ này là tắt các port mà cung cấp đường dự phòng bằng tay.
Tắt các port để bẻ gãy loop
Nếu bạn có thể nhận dạng một phần của mạng bị ảnh hưởng nhất, bắt đầu tắt các port trong vùng này. Hoặc, nếu có thể, đầu tiên tắt các port ở trạng thái bloking. Mỗi lần tắt một port, kiểm tra để thấy nếu bạn có kết nối được phục hồi trong mạng. Bằng cách nhận dạng tắt những port nào để dừng loop, bạn cũng nhận dạng đường dự phòng nơi port này tồn tại. Nếu port này có trạng thái blocking, bạn có thể tìm link mà lỗi đã xuất hiện.
Ghi lại những sự kiện STP
Nếu bạn không thể nhận dạng nguyên nhân của vấn đề, hoặc nếu vấn đề là thóang qua, cho phép ghi lại những sự kiện STP trên switch của mạng. Nếu bạn muốn giới hạn sốthiết bị để cấu hình, ít nhất cho phép ghi lại trên các thiết bị mà có port blocking; sựchuyển tiếp của một port block là nó tạo nên loop.
Dùng lệnh debug spanning-tree events để cho phép thông tin debug STP. Dùng lệnh logging buffered trong global configuration để bắt thông tin debug này trong vùng đệm của thiết bị. Bạn cũng có thể cố gắng để gởi kết quả debug đến một thiết bịsyslog. Không may mắn, khi loop xảy ra, bạn hiếm khi duy trì được kết nối đến một server syslog.
Tạm thời tắt những tính năng không cần thiết
Tắt những tính năng không cần thiết để giúp đơn giản cấu trúc mạng và dễ nhận dạng vấn đề. Ví dụ, EtherChannel là một tính năng cho phép nhóm nhiều đường vật lý thành một đường logic, vì thế tắt tính năng này trong quá trình xử lý lỗi tạo nên ý nghĩa. Như một luật, làm cấu hình đơn giản khi có thể để dễ xử lý lỗi.
Chỉ định Root Bridge
Rất thường, thông tin về vị trí root bridge không có sẵn tại lúc xử lý lỗi. Không cho STP quyết định switch nào trở thành root bridge. Đối với mỗi VLAN, bạn thường định nghĩa switch nào tốt nhất để trở thành root bridge. Switch nào tốt nhất trở thành root bridge phụ thuộc vào việc thiết kế mạng. Thường chọn switch mạnh ở giữa mạng. Nếu bạn đặt root bridge ở vị trí trung tâm của mạng với kết nối trực tiếp đến các server vàrouter, sẽ giảm được khỏang cách trung bình từ client đến server và router. Đối với mỗi VLAN, chỉ định switch nào sẽ phục vụ như root bridge và backup root bridge.
Kiểm tra RSTP đã được cấu hình
Các giao thức spanning tree 802.1d và PVST+ có thời gian hội tụ trong khỏang 30 và50 giây. Giao thức spanning tree RSTP và PVRST+ có thời gian hội tụ trong vòng 1 hoặc 2 giây. Thời gian hội tụ chậm chỉ ra rằng không phải tất cả switch trong mạng được cấu hình với RSTP. Dùng lệnh show spanning-tree để kiểm tra cơ chế spanning-tree.
6-14
6-14
Visual Objective 2-2: Troubleshooting Switched Networks
WG Switch Routerfa0/0
A 10.1.1.10 10.2.2.12B 10.1.1.20 10.3.3.12 C 10.1.1.30 10.4.4.12
D 10.1.1.40 10.5.5.12E 10.1.1.50 10.6.6.12F 10.1.1.60 10.7.7.12
G 10.1.1.70 10.8.8.12H 10.1.1.80 10.9.9.12
6-15
6-15
Tóm tắt
� Xử lý lỗi mạng switch hiệu quả bắt đầu bằng cách hiểu cái gì làm một tính năng mạng đúng.
� Vấn đề phần cứng và lỗi cấu hình có thể là nguyên nhân của lỗi kết nối của port.
� Native VLAN không phù hợp và cơ chế trunk không phù hợp cóthể ngăn chặn việc thiết lập một đường trunk.
� Hiểu cách VTP làm việc như thế nào cách phòng ngự tốt nhất khi xử lý lỗi VTP.
� Một trong các đối tượng cơ bản khi xử lý một lỗi STP là bẽ gãy loop và phục hồi kết nối ngay khi có thể.
6-16
6-16
7-1
7-1
Medium-Sized Routed Network Construction
Bài 7: Tổng quan hoạt động định tuyến
7-2
7-2
Tuyến tĩnh
� Sử dụng một tuyến mà người quản trị cấu hình cụ thể vào trong router
Tuyến động
� Sử dụng một tuyến học được từ giao thức định tuyến, tuyến tự động được cập nhật khi mạng thay đổi
Tuyến tĩnh và tuyến động
Các Router có thể chuyển các gói tin dựa vào tuyến tĩnh hoặc tuyến động
tùy vào cấu hình. Có hai cách để chỉ cho router làm thế nào để chuyển gói tin tới mạng không kết nối trực tiếp tới:
•Tĩnh: Router học các tuyến do người quản trị cấu hình cụ thể. Người quản trị phải tự cập nhật khi nào mạng bị thay đổi đòi hỏi
phải thay đổi tuyến.
•Động: Router tự học các tuyến sau khi người quản trị cấu hình một
giao thức định tuyến. Sau khi router được cấu hình giao thức định
tuyến, router sẽ tự động cập nhật kiến thức các tuyến bất kỳ khi
nào mạng thay đổi. Giao thức định tuyến học và cập nhật các tuyến
bằng cách trao đổi thông tin định tuyến với các router khác trong mạng.
7-3
7-3
Giao thức định tuyến
� Routing protocols: sử dụng giữa các router để xác định đường đi tới mạng mục tiêu, và duy trì tuyến đó trong bảng định tuyến
� Sau khi đã xác định đường đi, một router có thể chuyển các gói routedprotocol tới mạng đã học được
Định tuyến động dựa vào các giao thức định tuyến để quảng bá các kiến
thức về tuyến. Một giao thức định tuyến định nghĩa các nguyên tắc mà một router sử dụng khi nó thông tin với các router lân cận để xác định
đường đi tới các mạng mục tiêu và duy trì tuyến đó trong bảng định tuyến.
Giao thức định tuyến mô tả các thông tin sau:
•Làm thế nào các cập nhật được gởi đi
•Thông tin cập nhật gì được gởi đi
•Khi nào thông tin cập nhật được gởi đi
•Làm thế nào để xác định người nhận các cập nhật
7-4
7-4
� Một autonomous system là một tập hợo các mạng trong một vùng quản trị chung.
� Giao thức định tuyến “trong” IGP hoạt động trong một AS
� Giao thức định tuyến “ngoài” EGP hoạt động giữa các AS
Autonomous Systems: Giao thức định tuyến “trong” và giao thức định tuyến “ngoài”
Một AS là một tập các mạng dưới một sự quản trị chung và chia sẻ cùng
một chiến lược về định tuyến.
Có hai kiểu giao thức định tuyến:
•Interior gateway protocols (IGPs): Các giao thức định tuyến được sử dụng để trao đổi thông tin định tuyến bên trong một AS: Routing Information Protocol version 2 (RIPv2), Enhanced Interior Gateway Routing (EIGRP), and Open Shortest Path First (OSPF).
•Exterior gateway protocols (EGPs): Các giao thức định tuyến được sử dụng để định tuyến giữa các AS: Border Gateway Protocol (BGP).
7-5
7-5
Lớp các giao thức định tuyến
Bên trong một AS, đa số các IGP có thể phân lớp theo một trong hai thuật toán:
•Distance vector: Cách tiếp cận để xác định hướng và khoảng cách tới mọi đích trong mạng.
•Link-state: Các tiếp cận sử dụng thuật toán tìm đường ngắn nhất
bằng cách xác định toàn bộ hoặc một phần sơ đồ chính xác của mạng
•Advanced Distance Vector: Đây là một cách tiếp cận nâng cấp của phương thức distance vector bởi tổ hợp một số đặt điểm của thuật
toán link-state và distance vector.
Không có một thuật toán nào là tốt nhất cho tất cả các tình huống mạng
7-6
7-6
Sử dụng Metric để chọn đường tốt nhất
Nhiều tuyến tớu một đích đến có thể tồn tại. Khi một thuật toán định tuyến
cập nhật bảng định tuyến, mục tiêu chính mục tiêu chính của thuật toán là xác định đường tốt nhất để đưa vào bảng định tuyến. Mỗi giao thức định
tuyến sử dụng một đại lượng đo khác nhau, gọi là metric, để xác định
đường đi tốt nhất. Thuật toán sinh ra một con số metric cho mỗi tuyến
trong mạng. Metric càng nhỏ, đường đi đó càng tốt.
Metric có thể được tính từ một đặc điểm của đường đi. Metric phức tạp
hơn được tính bằng các tổ hợp một vài đặc điểm. Metric mà giao thức
định tuyến sử dụng có thể sử dụng các đặc điểm như sau:
•Hop count: Số lần mà một gói sẽ được gởi qua cổng ra của một router (số router tuyến đi qua)
•Bandwidth: Dung lượng của một liên kết, ví dụ thông thường một liên kết 10-Mb/s Ethernet tốt hơn một đường thuê 64-kb/s
•Delay: Tổng thời gian yêu cầu để chuyển một gói từ nguồn tới đích
•Load: Tải của tài nguyên mạng như router hoặc liên kết
•Reliability: Thường được tính từ tỷ lệ bit lỗi trên mỗi liên kết
•Cost: Một giá trị cấu hình được mà trong các Cisco routers mặc định được tính theo tỷ lệ nghịch với băng thông của cổng giao tiếp
7-75
7-7
Administrative Distance: Đánh giá các nguồn định tuyến
Routers chọn nguồn định tuyến theo giá trị AD tốt hơn (nhỏ hơn) :
� OSPF có AD là 110.
� EIGRP có AD là 90.
Nhiều giao thức định tuyến và các định tuyến tĩnh có thể sử dụng cùng
một lúc. Nếu có vài nguồn cung cấp thông tin định tuyến, giá trị AD được sử dụng để đánh giá mức độ tin tưởng tới các nguồn định tuyến đó. Bằng
cách chỉ định một giá trị AD, các router Cisco có thể phân xử việc lựa chọn các nguồn thông tin định tuyến.
Giá trị của AD là các số nguyên từ 0 tới 255. Giao thức định tuyến có AD
nhỏ hơn sẽ được tin cậy hơn một giao thức có AD lớn hơn. Như trong
hình, nếu router A nhận một tuyến tới 172.16.0.0 qua cả hai giao thức
EIGRP và OSPF, router A sẽ dùng AD để chọn tuyến nào là tin cập hơn để đặt vào bảng định tuyến. Giao thức định tuyến tin cập hơn sẽ có AD bé hơn.
Một số giá trị AD mặc định trong Cisco router:
• Connected network: 0
• Static route: 1
• EIGRP: 90
• OSPF: 110
• RIPv2: 120
• External EIGRP: 170
• Không biết hoặc không tin cậy: 255 (không sử dụng để gởi gói)
Nếu cần sử dụng giá trị không phải mặc định, chúng ta có thể sử dụng lệnh để cấu hình AD trên từng router, từng giao thức và từng tuyến một.
7-8
7-8
Giao thức định tuyến Distance Vector
Định kỳ router chuyển một bản sao của bảng định tuyến tới các router láng giềng và cộng tích lũy khoảng cách tới các mạng
Đa số các giao thức distance vector gởi các cập nhật thông tin định tuyến
theo chu kỳ tới các thiết bị kết nối trực tiếp tới nó, đa số sử dụng địa chỉ IP broadcast. Các giao thức định tuyến distance vector vẫn định kỳ gởi thông
tin định tuyến ngay cả khi không có sự thay đổi trong mạng.
Trong môi trường thuần distance vector, các cập nhật theo chu kỳ này bao
gồm toàn bộ bảng định tuyến. Khi nhận một bảng định tuyến đầy đủ từ router láng giềng, một router sẽ kiểm tra tất cả các tuyến đã biết và thay
đổi bảng định tuyến của nó nếu cần thiết. Quá trình này được biết như
“định tuyến theo tin đồn” bởi vì các router hiểu được mạng dựa trên kiến thức, cái nhìn về mạng của các router láng giềng.
7-9
7-9
Nguồn thông tin và khám phá các tuyến
Routers khám phá ra tuyến tốt nhất đến các đích từ mỗi láng giềng
Router A học về mạng không kết nối trực tiếp với nó (10.3.0.0 và 10.4.0.0) dựa vào thông tin nó nhận được từ router B. Mỗi hàng trong bảng định tuyến có một khoảng cách tích lũy thể hiện nó cách mạng mục tiêu bao xa
(số router) theo hướng đã cho.
7-10
7-10
Duy trì thông tin định tuyến
Quá trình cập nhật từng bước từ router tới router
Bảng định tuyến phải được cập nhật khi mạng thay đổi. Tương tự như quá trình khám phá mạng, các cập nhật mạng thay đổi sẽ được xử lý từng bước từ router đến router.
Giải thuật distance vector yêu cầu các router gởi toàn bộ bảng định tuyến tới các router láng giềng với nó. Các cập nhật sẽ được gởi theo chu kỳ trong khoảng thời gian nhất định. Các bảng định tuyến cũng có thể gởi lập
tức sử dụng trigger update khi router phát hiện một sự thay đổi sơ đồ mạng.
Khi router nhận một cập nhật từ một router láng giềng, router so sánh cập
nhật với bảng định tuyến của nó. Để tính metric mới, router thêm khoảng
cách tới router láng giềng vào trong khoảng cách tích lũy trong bảng định tuyến của router láng giềng. Nếu router học được từ láng giềng của nó một tuyến tốt hơn (tổng metric nhỏ hơn) tới một mạng, nó sẽ cập nhật
bảng định tuyến của nó. Mỗi hàng trong bảng định tuyến bao gồm thôn tin
về tổng chi phí (metric) và địa chỉ IP của router kệ cận đầu tiên trên tuyến tới mỗi mạng.
7-11
7-11
Không nhất quán thông tin định tuyến:Counting to Infinity và Routing Loops
Mỗi nút duy trì khoảng các từ nó tới mỗi mạng đích có thể
Counting to Infinity
Ngay trước khi mạng 10.4.0.0 bị chết, tất cả các router đều có kiến thức
nhất quán về các tuyến trên mạng trong bảng định tuyến của nó. Mạng
được gọi là được hội tụ. Router C kết nối trực tiếp tới mạng 10.4.0.0 với khoảng cách là 0 (hop). Đường đi từ router A tới mạng 10.4.00 qua router B sẽ có khoảng cách là 2.
7-12
7-12
Counting to Infinity
Việc hội tụ chậm làm các tuyến bất nhất quán
Khi mạng 10.4.0.0 chết, router C phát hiện lỗi này và dừng việc chuyển
các gói ra cổng E0 của nó. Tuy nhiên, router A và B vẫn chưa nhận được thông báo về lỗi này. Router vẫn tin tưởng nó có thể chuyển gói tới mạng
10.4.0.0 thông qua router B. Bảng định tuyến của router A vẫn phản ảnh một đường đi tới mạng 10.4.0.0 với khoảng cách là 2.
7-13
7-13
Counting to Infinity (tiếp)
Router C kết luận rằng nó có đường tốt nhất tới mạng 10.4.0.0 qua router B
Khi router B gởi cập nhật toàn bộ bảng định tuyến theo chu kỳ tới router C, router C tin tưởng rằng bây giờ nó có một đường đi tới mạng 10.4.0.0 qua router B. Router C cập nhật bảng định tuyến mới của nó phản ảnh một đường đi tới mạng 10.4.0.0 thông qua router B với khoảng cách là 2.
7-14
7-14
Counting to Infinity (tiếp)
Router A cập nhật bảng định tuyến của nó để phản ảnh khoảng cách mới (do lỗi) của nó
Router B nhận một cập nhật mới từ router C và cập nhật bảng định tuyến
của nó để phản ảnh khoảng cách mới (3). Router A nhận một bảng định tuyến mới từ router B, phát hiện khoảng cách tới 10.4.0.0 đã bị thay đổi, và tính toán lại khoảng cách từ nó tới mạng 10.4.0.0 là 4.
7-15
7-15
Counting to Infinity (tiếp)
Khoảng các tới mạng 10.4.0.0 đếm tới mãi mãi
Ở điểm này, các bảng định tuyến của cả 3 router đều không đúng, nó trình
bày mạng 10.4.0.0 có thể tới được bởi một đường đi không tồn tại, với một khoảng cách có giá trị vô nghĩa. Các cập nhật bảng định tuyến sẽ liên
tục được gởi ra với số khoảng cách tăng lớn hơn. Gói tin mà gởi tới
10.4.0.0 sẽ không bao giờ tới được đích, nó sẽ chuyển liên tục giữa các
router gây nên vòng lặp.
Các router cập nhật nhau theo một cách không đúng, sai lầm khi nhận
định trạng thái của 10.4.0.0. Không có biện pháp để ngăn chặn quá trình
này, khoảng cách distance vector sẽ gia tăng mỗi khi bảng định tuyến được chuyển cho router khác. Cập nhật này liên tục nảy nở bởi vì mạng đích không bao giờ được báo là chết.
7-16
7-16
Giải quyết Counting to Infinity:Định nghĩa một số maximum
• Một giới hạn số router mà tuyến đi qua được thiết lập để ngăn chặn việc lặp mãi mãi
Giải pháp để giải quyết vấn đề counting to infinity là định nghĩa một số maximum. Giao thức distance vector định nghĩa một số maximum coi là số vô hạn (infinity).
Trong hình trình bày việc định nghĩa một số infinity là 16 hop. Khi metric đạt tới giá trị này, mạng 10.4.0.0 được xem là không thể kết nối tới, và router sẽ dừng quảng bá các cập nhật routing gây nên sự gia tăng metric này.
7-17
7-17
Tuyến bị lặp vòng
Gói tới mạng 10.4.0.0 bị lặp vòng giữa router B và C
Định nghĩa một số maximum là một giải pháp để ngăn chặn việc gia tăng
liên tục metric, nhưng việc tuyến bị lặp vòng (routing loop) cũng phải được ngăn chặn. Một sự lặp vòng xuất hiện khi hai hoặc nhiều router có thông
tin định tuyến sai lầm rằng một đường đi tới một mạng đích nào đó tồn tại
thông qua các router khác.
Một số kỹ thuật hiện nay được sử dụng để ngăn chặn lặp vòng như: split horizon, route poisoning, poison reverse, hold-down timers, và triggered updates.
Trong ví dụ này, một gói gởi tới mạng 10.4.0.0 đến router A. Theo bảng
định tuyến của router A, router A chuyển gói ra cổng S0. Gói đến router B
và sẽ được forward ra cổng S1 như được chỉ trong bảng định tuyến của B. Router C nhận được gói và bảng định tuyến của nó chỉ rằng gói nên chuyển ra cổng S0. Như vậy gói sẽ trở về router B, và lại chuyển về router C cứ như thế mãi mãi.
7-18
7-18
Giải pháp chống lặp vòng: Split Horizon
Không bao giờ gởi thông tin về một tuyến về hướng mà tuyến đó được học
Một cách để tránh lặp vòng và tăng tốc độ hội tụ của mạng. Nguyên tắc
của split horizon là không gởi thông tin về một tuyến quay lại hướng mà từ đó thông tin này được gởi tới nó (hướng mà tuyến được học)
Trong hình mô tả làm thế nào split-horizon ngăn chặn lặp vòng:
Router B có thể gởi gói tới mạng 10.4.0.0 qua router C. Không cần thiết
router B thông báo cho router C rằng router B gởi gói tới mạng 10.4.0.0 qua router C.
Router B gởi thông tin định tuyến về tuyến tới mạng 10.4.0.0 cho router A. Không cần thiết router A thông báo cho router B về tuyến của nó tới
10.4.0.0.
Khi router C thông báo rằng kết nối của nó tới mạng 10.4.0.0 chết, router
B thấy rằng nó không còn đường đi nào tới mạng 10.4.0.0 và kết luận rằng
mạng 10.4.0.0 là không thể kết nối. Router C không sử dụng router B để thử truy cập đến 10.4.0.0.
7-19
7-19
Giải pháp chống lặp vòng:Route Poisoning và Poison Reverse
Router quảng bá khoảng cách của tuyến bị chết là số vô hạn
Route poisoning là một cơ chế khác để giúp ngăn chặn lặp vòng.
Khi mạng 10.4.0.0 không còn có thể sử dụng, router C “đầu độc” kết nối
của nó tới mạng 10.4.0.0 bởi gởi cập nhật của liên kết đó mà có metric là số vô hạn (16). Bởi đầu độc các tuyến của router C tới mạng 10.4.0.0, router C sẽ không bị ảnh hưởng bởi những cập nhật sai về mạng 10.4.0.0 từ các router láng giềng.
7-20
7-20
Giải pháp chống lặp vòng:Route Poisoning và Poison Reverse (tiếp)
Poison reverse overrides split horizon.
Khi router B thấy metric tới mạng 10.4.0.0 đạt tới số vô hạn, router V gởi một cập nhật, gọi là poison reverse, quay về router C. Poison reverse chỉ ra rằng mạng 10.4.0.0 là không thể kết nối tới. Đảm bảo rằng router C sẽ không bị ảnh hưởng bởi các cập nhật không đúng về mạng 10.4.0.0.
7-21
7-21
Giải pháp chống lặp vòng: Hold-Down Timers
Router sẽ giữ một tuyến bị chết ở trạng thái “possibly down” trong một thời gian cho phép đủ để các router khác tính toán lại khi mạng thay đổi
Hold-down timer được sử dụng để ngăn chặn các thông điệp cập nhật
thông thường làm phục hồi một cách không đúng một tuyến đang bị chết. Hold-down timers buộc router không cho phép bất cứ sự thay đổi nào ảnh
hưởng đến tuyến trong một khoảng thời gian nhất định. Chu kỳ hold-down
này khác nhau đối với từng giao thức định tuyến, nhưng thường là gấp 3 lần chu kỳ cập nhật bảng định tuyến.
Hold-down timers làm việc như sau:
Khi một router nhận được một cập nhật từ một láng giềng mà chỉ rằng một
tuyến bây giờ không thể truy xuất tới, router sẽ đánh dấu tuyến đó là “possibly down” và sẽ bắt đầu Hold-down timers.
Nếu một cập nhật đến từ láng giềng với một metric tốt hơn metric được
ghi nhận ban đầu của tuyến đang bị “possibly down”, router sẽ đánh dấu
tuyến này là “accessible”, mạng được cho phép lại. Hold-down timer bị xóa bỏ.
Tại bất kỳ lúc nào khi hold-down timer còn hiệu lực, một cập nhật được nhận từ router láng giềng với metric bằng hoặc xấu hơn metric của tuyến
đang trong trạng thái hold-down, cập nhật này sẽ bị bỏ qua. Bỏ qua cập
nhật với metric bằng hoặc xấu hơn có tác dụng dành nhiều thời gian hơn
cho sự thay đổi lang truyền qua toàn bộ mạng.
Trong chu kỳ hold-down, tuyến xuất hiện trong bảng định tuyến là “possibly down”. Router vẫn cố gắng chuyển gói tới mạng “possibly down”
7-22
7-22
Triggered update
Router sẽ gởi cập nhật khi một thay đổi trong bảng định tuyến của nó
Trong ví dụ trước, routing loop gây ra bởi thông tin bị tính toán sai do việc
cập nhật không nhất quán, hội tụ chậm, và các cơ chế làm việc theo định thời. Hội tụ chậm có thể xuất hiện nếu router phải chờ đến chu kỳ cập nhật
tiếp theo, trước khi có thể thông tin cho router láng giềng về sự thay đổi
của mạng.
Bảng định tuyến thường được cập nhật tới các router láng giềng trong một khoảng thời gian nhất định. Triggered update là một cập nhật được gởi ngay
khi sự kiện thay đổi diễn ra. Router phát hiện sự thay đổi lập tức gởi một
cập nhật tới các router láng giềng, các router router láng giềng tới lượt nó sẽ gởi các triggered update đến các router láng giềng của chúng. Làn sóng
thông báo này sẽ được lang truyền qua suốt toàn bộ mạng nơi tuyến được
chỉ định bị thay đổi.
Triggered update sẽ hiệu quả nếu như đảm bảo rằng làn sóng các cập nhật
sẽ tới mọi router một cách tức thì. Tuy nhiên có 2 vấn đề xảy ra:
Gói chứa triggered update có thể bị mất hoặc hư hỏng trên một liên kết
trong mạng
Cập nhật không thể xảy ra tức thời. Có thể một router chưa nhận một cập
nhật tức thời sẽ gởi một cập nhật thông thường làm những tuyến bị lỗi
được phục hồi lại tại một láng giềng mà đã nhận cập nhật tức thời rồi. Kết hợp giữa triggered update và kỹ thuật hold-down có thể ngăn chặn được
vấn đề này.
7-23
7-23
Ngăn chặn tuyến bị lặp vòng
Router A, D và E có nhiều tuyến tới mạng 10.4.0.0. Ngay khi router B phát
hiện mạng 10.4.0.0 chết, router lập tức loại bỏ tuyến tới mạng này. Router sẽ gởi triggered update tới router A và D, “đầu độc” tuyến tới mạng 10.4.0.0 ở các router này bằng cách cập nhật metric là số vô hạn.
Router D và A nhận triggered update và bắt đầu hold-down timer, và đánh
dấu mạng 10.4.0.0 là “possibly down”. Router D và A tới lượt nó gởi các triggered update cho router E, chỉ rằng khả năng không thể đến mạng
10.4.0.0. Router E cũng bắt đầu hold-down timer cho tuyến đến mạng
10.4.0.0.
Router A và D gởi một poison reverse tới router B, cập nhật này chỉ rằng
mạng 10.4.0.0 không thể được truy xuất.
Bởi vì router E nhận một triggered update từ router A và D, router E cũng
gởi một poison reverse về router A và D.
7-24
7-24
Ngăn chặn tuyến bị lặp vòng (tiếp)
Router A, D và E sẽ giữ trạng thái hold-down cho đến khi một trong các
điều kiện sau xảy ra:
•Hết hiệu lực thời gian hold-time
•Nhận một cập nhật chỉ rằng có tuyến mới có metric tốt hơn
•Hết hiệu lực tuyến do tới thời gian flush timer, tuyến bị loại bỏ ra
khỏi bảng định tuyến
Trong khi hold-down, router A, D, và E giả sử rằng trạng thái của mạng
10.4.0.0 là “possibly down” và sẽ cố định tuyến gói tin tới mạng đích.
Trong hình trình bày router E cố gởi gói tới mạng 10.4.0.0. Gói sẽ gởi tới
router B. Tuy nhiên, bởi vì router B không có tuyến tới mạng 10.4.0.0. Router B sẽ hủy gói tin và gởi về một thông điệp ICMP “network unreachable”
7-25
7-25
Ngăn chặn tuyến bị lặp vòng (tiếp)
Khi mạng 10.4.0.0 hoạt động trở lại, router B gởi một triggered update tới
router A và router D để thông báo. Sau khi thời gian hold-down hết hạn, routers A và D thay đổi tuyến tới mạng từ “possibly down” tới trạng thái
hoạt động.
Router A và D gởi tới router E một cập nhật mà chỉ rằng mạng 10.4.0.0 là hoạt động. Router E cập nhật bảng định tuyến sau một hết hạn hold-down.
7-26
7-26
Giao thức định tuyến Link-State
Sau thời gian ban đầu gởi ồ ạt LSAs, các router link-state routers chỉ gởi những cập nhật nhỏ, theo sự kiện tới tất cả các router khác
Để duy trì thông tin định tuyến, link-state sử dụng các LSA (link-state
advertisement), một topological database, giải thuật tìm đường ngắn nhất (SPF), cây lưu kết quả của giải thuật SPF và một bảng định tuyến. Các
giao thức link-state bao gồm OSPF và IS-IS. IS-IS là giao thức định tuyến
thường được sử dụng bởi các ISP lớn và không nằm trong phạm vi tài liệu
này, tài liệu này chủ yếu trình bày về OSPF.
OSPF định nghĩa trong RFC 2328 về khái niệm và hoạt động. Link-stat tập
hợp thông tin định tuyến từ tất cả các router khác trong mạng hoặc trong
một vùng của mạng. Sau khi tất cả các thông tin là được tập hợp ở mỗi router, các router tính toán đường đi tốt nhất tới tất cả các mạng mục tiêu
một cách độc lập với nhau.
Bởi vì mỗi router duy trì riêng cho nó một hình ảnh của mạng, nên router ít khi trao đổi các thông tin định tuyến sai lệch tới các router láng giềng. Một
link tương tự như một cổng của router. Trạng thái của liên kết (link-state)
là một mô tả của cổng và quan hệ của nó với router láng giềng. Một mô tả của cổng bao gồm một số thông tin như: địa chỉ IP, subnet-mask, kiểu mạng mà nó kết nối, các router kết nối tới mạng này... Tập hợp của các
trạng thái liên kết tạo thành một topological database hay còn gọi là link-
state database. Link-state được sử dụng để tính toàn đường đi tốt nhất
qua mạng. Các router link-state tìm đường tốt nhất tới các mạng đích sử dụng thuật toán Dijkstra trên topological database để tạo các cây SPF. Đường tốt nhất được chọn từ cây SPF và đặt vào bảng định tuyến.
7-27
7-27
Định tuyến phân cấp OSPF
� Bao gồm các vùng và AS
� Tối thiểu dữ liệu cập nhật định tuyến
OSPF có khả năng chia một AS thành các nhóm nhỏ hơn gọi là vùng
(area). Các cập nhật định tuyến vẫn xuất hiện giữa các vùng, nhưng đa số thời gian hoạt động, cập nhật và tính toán lại database chỉ xảy ra
trong từng vùng.
Khi một lỗi xuất hiện trong mạng, như một láng giềng không thể kết nối
tới, giao thức link-state gởi LSA tới tất cả các router trong vùng sử dụng một địa chỉ multicast đặc biệt. Mỗi router trong vùng nhận được
một LSA, cập nhật nó trong database, và chuyển LSA cho các router
láng giềng của nó. LSA làm các router trong vùng tính toán lại các tuyến. Bởi vì LSA phải gởi tới toàn bộ vùng, và tất cả các router trong
vùng phải tính toán lại bảng định tuyến nên số router trong một vùng cũng nên giới hạn.
Trong hình, nếu vùng 1 có một vấn đề, router trong khác vùng khác
không cần tính toán lại.
Sơ đồ phân cấp áp dụng trong OSPF có một số thuận lợi quan trọng
sau:
•Giảm thường xuyên tính toán SPF
•Bảng định tuyến nhỏ hơn
•Giảm số lượng cập nhật quá lớn
7-28
7-28
Các thuật toán của giao thức Link-State
Thuật toán giao thức link-state được biết như giao thức SPF duy trì một
database phức tạp của sơ đồ mạng. Không giống như giao thức distance vector, các giao thức link-state phát triển và duy trì sự nhận diện đầy đủ các router trên mạng và làm thế nào chúng kết nối. Sự nhận biết này
được thực hiện bằng cách trao đổi các LSA với các router khác trên
mạng. Mỗi router mà đã trao đổi các LSA sẽ xây dựng một topological
database sử dụng tất cả các LSA nhận được. Một thuật toán SPF sau đó sẽ sử dụng database này để tính toán đường đi tới từng mạng mục tiêu. Thông tin này sẽ được sử dụng để cập nhật bảng định tuyến.
Thay vì sử dụng các cập nhật định kỳ, các LSA trao đổi khi có sự kiện
trong mạng. Điều này có thể tăng tốc độ hội tụ bởi vì nó không chờ một chuỗi thời gian phải hết hiệu lực trước khi được hội tụ.
7-29
7-29
� Lợi ích:
– Hội tụ nhanh:
� Các thay đổi được báo cáo ngay lập tức bởi nguồn bị ảnh hưởng
– Chống việc lặp vòng tuyến:
� Các router biết về sơ đồ mạng
� Các gói link-state có số tuần tự và số xác nhận
– Thiết kế mạng phân cấp cho phép tối ưu các tài nguyên
� Hạn chế:
– Yêu cầu đánh kể các tài nguyên:
� Memory (Ba bảng: adjacency, topology, forwarding)
� CPU (Thuật toán Dijkstra’s yêu cầu nhiều, nhất là khi mạng bất ổn
– Yêu cầu thiết kế mạng chặc chẽ
– Cấu hình có thể phức tạp khi tinh chỉnh các thông số và khi thiết kế phức tạp
Lợi ích và hạn chế của Link-State
7-30
7-30
Tóm tắt
� Định tuyến động yêu cầu người quản trị cấu hình hoặc là giao thức distance vector hoặc link-state
� Giao thức distance vector bao gồm các giải pháp như split horizon, route poisoning, và hold-down timers để ngăn chặn routing loops.
� Giao thức link-state cho phép mở rộng với cơ sở hạ tầng mạng lớn tốt hơn distance vector, nhưng yêu cầu thiết kế chặc chẽ hơn
7-31
7-31
7-32
8-1
8-1
Medium-Sized Routed Network Construction
Bài 8: Thiết lập VLSM
Tổng quan:
• Variable-length subnet masks (VLSMs) được phát triển để cho phép có nhiều mức địa chỉ IP trong một mạng. Cơ chế này chỉ được dùng khi nó được hỗ trợ bởi các nghi thức định tuyến có hỗ trợ VLSM, ví dụ như là RIPv2, OSPF, va EIGRP. VLSM là một kỹthuật quan trong trên những mạng định tuyến lớn. Mục tiêu bài này sẽ miêu tả các khả năng của VLSMs.
Mục tiêu:
• Mục tiêu của bài sẽ giúp bạn có thể miêu tả cơ chế họat động của VLSM và CDIR trên Cisco routers. Và giải thích cách Cisco routers thiết lập cơ chế gom route, Những khả năng này bao gồm những mục tiêu:
• Cách tình subnet mask.
• Miêu tả mục đích của cơ chế VLSM và cách tính VLSM.
• Miêu tả cách gom route và cách router quản lý cơ chế gom route.
8-2
8-2
Subnetting Review
Để xác định mạng con (subnet), bạn sẽ “mượn” những bits từ phần host ID của địa chỉ IP:
� Số mạng con (subnet) có được tùy thuộc vào số bits “mượn”.
– Số mạng con (subnet) có được = 2s , với s là số bits “mượn”.
� Số hosts trên mỗi mạng con (subnet) có được tùy thuộc vào sốbits còn của phần host ID không được “mượn”.
– Số hosts trên mỗi mạng con (subnet) = 2h -2, với h là số bits còn lại của phần host ID không được mượn.
– One address is reserved as the network address.
– 1 địa chỉ là địa chỉ mạng (network address).
– 1 địa chì là địa chỉ broadcast (broadcast address).
Cách tính số subnetworks và số hosts:
•Luôn nhớ rằng địa chỉ IP có độ dài 32 bits và gồm có 2 phần: phần network ID và phần host ID. Độ dài của phần network ID và phần host ID tùy thuộc vào lớp địa chỉ. Số lượng địa chỉ host có thể sử dụng cũng tùy thuộc vào lớp địa chỉ.
•Số lượng bits mặc định cho phần network ID được xem như là classful prefix length. Vì thế, một địa chỉ lớp A có classful prefix length là /8 , một địa chỉ lớp B có classful prefix length là /16, một địa chỉ lớp C có classful prefix length là/24.
8-3
8-3
Possible Subnets and Hosts for a Class C Network
Địa chỉ subnet được tạo bằng cách lấy những bits thuộc phần host của các lớp địa chỉ lớp A, lớp B, và lớp C. Thông thường một người quản trị mạng gán địa chỉ subnet cục bộ. Giống địa chỉ IP, mỗi subnet phải có một địa chỉ mạng riêng.
Mỗi lần mượn bits từ phần host, sẽ có ít nhất một bits còn lại cho phần host, vàsẽ có thể được dùng cho hosts. Và số lượng địa chỉ hosts có thể được gán trên mỗi subnet sẽ giảm theo lũy thừa 2.
8-4
8-4
Possible Subnets and Hosts for a Class B Network
Khi bạn mượn bits từ phần host. Điều quan trọng cần chú ý là số subnet có thểtạo được từ việc mượn bao nhiêu bits. Mượn 2 bits tạo được 4 subnets (2^2=4). Mỗi lần mượn 1 bit khác từ phần host số subnet có thể tạo ra theo lũy thừa cơ số 2 và số lượng host cũng theo lũy thừa cơ số 2 trừ đi 2.
8-5
8-5
Possible Subnets and Hosts for a Class A Network
8-6
8-6
Subnetting Review Exercise
Để hia nhỏ một mạng (network) với một địa chỉ riêng (private address) 172.16.0.0/16 để tạo ra 100 mạng con (subnets) và sửdụng được tối đa sô địa chỉ hosts cho mỗi mạng con (subnets), cần phải xem xét các vấn đề sau:
� Cần “mượn” bao nhiêu bits?
� Subnet mask mới là gi?
� Địa chỉ mạng của 4 mạng con (subnets) đầu tiên?
� Vùng địa chỉ hosts của 4 mạng con (subnets) đầu tiên?
8-7
8-7
What Is a Variable-Length Subnet Mask?
Subnet 172.16.14.0/24 is divided into smaller subnets.
– Subnet with one mask (/27).
– Then further subnet one of the unused /27 subnets into multiple /30 subnets.
8-8
8-8
A Working VLSM Example
8-9
8-9
A Working VLSM Example (Cont.)
8-10
8-10
A Working VLSM Example (Cont.)
8-11
8-11
A Working VLSM Example (Cont.)
8-12
8-12
Understanding Route Summarization
Routing protocols can summarize addresses of several networks into one address.
8-13
8-13
Classful Routing Overview
� Những nghi thức định tuyến classful không gửi subnet mask kèm theo địa chỉ network trong quá trình gửi cập nhật.
� Trong cùng mạng, yêu cầu subnet mask phải đồng bộ, chỉ dùng một subnet mask cho toàn bộ mạng.
� Cơ chế gom routes được trao đổi giữa những mạng (networks).
� Một số nghi thức định tuyến classful:
– RIPv1
– IGRP
Lưu ý: Nghi thức định tuyến classful là những nghi thức định tuyến truyền thống, được dùng để giải quyết các vấn đề tương thích. RIP version 1 va Interior Gateway Routing Protocol (IGRP) là classful routing.
•Nghi thức classful thật sự là những nghi thức định tuyến distance vector, nókhông gửi thông tin subnet mask trong quá trình cập nhật thông tin định tuyến.
•Khi dùng nghi thức định tuyến classful, tất cả các mạng con (subnetworks) của cùng mạng chính (major network) – lớp A, B, hoặc C – phải dùng chung subnet mask. Những routers chạy nghi thức định tuyến classful tự động thực hiện gom route khi quảng bá ra mạng ngòai.
•Khi nhận được 1 gói dữ liệu cập nhật, router chạy nghi thức định tuyến classful thực hiện một trong những hành động sau cho các route:
oNếu thông tin định tuyến cập nhật cùng mạng chính (major network) với giao tiếp nhận (receiving interface), thì router sẽ dùng subnet mask của giao tiếp nhận cho thông tin định tuyến đó.
oNếu thông tin định tuyến cập nhật không cung mạng chính (major network) với giao tiếp nhận (receiving interface), thì router dùng classful mask mặc định (theo lớp địa chỉ) như sau:
• Lớp A, classfull mask mặc định là 255.0.0.0.
• Lớp B, classfull mask mặc định là 255.255.0.0.
• Lớp C, classfull mask mặc định là 255.255.255.0.
8-14
8-14
Classless Routing Overview
� Những nghi thức định tuyến classful gửi subnet mask kèm theo địa chỉ network trong quá trình gửi cập nhật.
� Những nghi thức định tuyến classless hỗ trợ VLSM, một mạng cóthể có nhiều subnet mask.
� Cơ chế gom routes phải được điều khiển bằng tay.
� Một số nghi thức định tuyến classless:
– RIPv2
– EIGRP
– OSPF
� RIPv2 và EIGRP mặc định chạy như là classful, và gom route được trao đổi giữa những mạng.
– Lệnh no auto-summary buộc những nghi thức này họat động theo classless.
•Các nghi thức định tuyến classless có thể được xem như là những nghi thức định tuyến thế hệ thứ 2, bởi vì chúng được thiết kế để giải quyết những giới hạn của những nghi thức định tuyến classful. Một trong những giới hạn lớn nhất trong môi trường mạng classfull đó là subnet mask không được trao đổi trong quá trình cập nhật thông tin định tuyến, vì thế yêu cầu phải dùng cùng subnet mask cho tất cả các mạng con (subnetworks) trong cùng mạng chính (major network).
•Một giới hạn khác của classful đó là việc gom route tự động khi cập nhật thông tin định tuyến ra mạng khác (mạng khác mang chính).
•Trong môi trường mạng classless, tiến trình gom route được điều khiển thủcông. Bởi vì các route của mạng con (subnet) sinh ra các route thông qua miền định tuyến (routing domain), vi thế bạn sẽ có thể cần thực hiện gom route thủ công để tối ưu hóa kích thước của bảng định tuyến (routing table). Những nghi thức định tuyến classful bao gồm: RIPv2, EIGRP, và OSPF.
8-15
8-15
Summarizing Within an Octet
8-16
•Để cho phép router gom tối đa các địa chỉ IP lại thành 1 địa chỉ, thì kếhoạch IP addressing nên liên tiếp nhau. Điều này càng quan trong khi thực hiện chia IP theo VLSM. Mô hình VLSM cho phép sử dụng địa chỉIP tối đa dể quá trình cập nhật thông tin định tuyến được hiệu quả khi bạn dùng mô hình địa chỉ phân cấp.
•Gom route sẽ làm giảm việc chiếm dụng vùng nhớ trên router và làm giảm việc chiếm dụng vùng nhớ của các thông tin nghi thức định tuyến. Những yêu cầu cho việc thực hiện gom route được hiệu quả:
•Những địa chỉ IP phải cùng số bit cao nhiều nhất.
•Các nghi thức định tuyến phải căn cứ trên việc sử lý định tuyến với các địa chỉ IP 32 bits và prefix length có thể lên tới 32 bits.
•Các nghi thức định tuyến phải gui kèm subnet mask khi cập nhật thông tin theo chuẩn IP 32 bits.
8-16
Summarizing Addresses in a VLSM-Designed Network
8-17
Chọn lựa những routes từ Route Summaries:
Nếu nhiều hơn một dòng route trong bảng định tuyến khớp với địa chỉ đích, route nào có subnet mask dài nhất trong bảng định tuyến sẽ được ưu tiên sử dụng. Nhiều route có thể khớp đến 1 đích, nhưng route cósubnet mask dài nhất sẽ được sử dụng.
8-17
Route Summarization Operation in Cisco Routers
192.16.5.33 /32 Host
192.16.5.32 /27 Subnet
192.16.5.0 /24 Network
192.16.0.0 /16 Block of Networks
0.0.0.0 /0 Default
� Supports host-specific routes, blocks of networks, and default routes
� Routers use longest prefix match
8-18
Những nghi thức định tuyến classful gom route tự động tại vùng ranh giới mạng. Hành động này không thể thay đổi, nhưng có một vài kết quảquan trong bạn cần lưu ý:
•Những mạng con (subnets) sẽ không được cập nhật cho các mạng chính (major network) khác.
•Những subnets không liên tục sẽ không thể thấy bởi các router.
8-18
Summarizing Routes in a Discontiguous Network
� Classful RIPv1 và IGRP không gửi subnets, và vì thếkhông thể hỗ trợ subnet “không liên tục”.
� Classless RIPv2, EIGRP và OSPF có thể gửi subnets, và vì thế có thể hỗ trợ subnet “không liên tục”.
8-19
8-19
Tóm tắt
� Subnetting cho phép bạn sử dụng địa chỉ một cách hiệu quả bằng cách sử lý một miền broadcast lớn và chia nó thành những miền nhỏ hơn có thể quản lý được.
� VLSM cho phép bạn sử dụng địa chỉ IP hiệu quả hơn bằng cách tạo ra mô hình địa chỉ phân tầng nhiều lớp.
� Lợi ích của cơ chế gom route là làm cho bảng định tuyến gọn hơn và có không bị ảnh hưởng bởi những sự thay đổi mô hình mạng.
8-20
8-20
9-1
9-1
Triền khai OSPF đơn miền
Bài 9: Triển khai OSPF
9-2
9-2
Tổng quan OSPF
� Khởi tạo quan hệ kế cận quan gói hello
� Truyền LSAs thay cho cập nhật bảng định tuyến
– Link: giao diện của Router
– State: miêu tả giao diện và quan hệ với router kế cận
� Tràn ngập LSAs đến các router chạy OSPF trong miền, kể cả các router xa
� Tập hợp các LSAs sinh bời các router OSPF và tạo CSDL các kết nối và trạng thài của nó
� Sử dụng thuật toán SPF tìm ra đường ngắn nhất tới các đích và đặt vào bảng định tuyến của router
OSPF là một link-state routing protocol. Bạn có thể hiểu một link như là một interface trên một router. Trạng thái(state) của link là mô tả của interface và mối quan hệ của nó với router lận cận. Một mô tả của interface bao gồm địa chỉ IP của interface, subnet mask, lọai network mà nó kết nối đến. Tập hợp tất cả link state tạo thành một link-state database
Theo chu kỳ (30phút) và khi router thay đổi trạng thái, nó gởi ngay tức khắc gói tin link-state advertisement (LSA) để quảng bá trạng thái của nó. Gói tin LSA gồm thông tin về các interface, metric, và các biến khác. Khi router thu thập thông tin link-state, nó sử dụng thuật tóan Shortest Path First (SPF) để tính tóan con đường ngắn nhất đến mỗi node.
Một topological (link-state) database là một bức tranh về mối quan hệ giữa các router trong mạng. Topological database chứa các LSA đã nhận từ các router trong cùng một area. Vì thế các router trong cùng area chia sẻ cùng thông tin, chúng có topological database giống nhau
9-3
OSPF sử dụng mô hình mạng phân cấp 2 lớp. Có 2 thành phần chính trong mô hình này:
•Area: một area là một nhóm những mạng liên tục nhau. Đây là cách chia logic của một autonomous system.
•Autonomous system(AS): một AS bao gồm một tập hợp những network dưới một người quản trị chung mà chúng chia sẻ một chiến lược routing. Một AS, thỉnh thỏang được gọi là 1 domain, có thể chia thành nhiều area.
Trong mỗi AS, một backbone area phải được định nghĩa. Backbone area là một vùng chuyển tiếp bởi vì tất cả vùng khác giao tiếp qua nó. Đối với OSPF, những area không phải làbackbone có thể được cấu hình thêm vào như là một stub area, totally stubby area, hoặc not-so-stubby area (NSSAs) để giảm kích thước link-state database và bảng định tuyến
Những router họat động trong mô hình mạng phân cấp 2 lớp có những thực thể định tuyến khác nhau và những tính năng trong OSPF khác nhau. Sau đây diễn giải một vài ví dụ trong hình vẽ:
•Router B là backbone router. Nó cung cấp kết nối giữa các area khác nhau
•Router C, D và E là Area Border Router (ABR). ABR kết nối đến nhiều area, duy trì một link-state database riêng biệt cho mỗi area mà nó kết nối, và định tuyến traffic đến hoặc từnhững area khác nhau
9-3
Cấu trúc phân cấp OSPF
� Giảm thiểu kích cỡ bảng định tuyến
� Hạn chế tác động khi cấu trúc mạng bị thay đổi trong phạm vi một vùng
9-4
•Router F, G và H là nonbackbone router. Chúng biết topology của area màchúng thuộc và có link-state database giống nhau.
•Phụ thuộc vào cấu hình của những area không phải là backbone (stub area, totally stubby area, NSSA), ABR sẽ quảng bá default route đến những router không phải là backbone. Nonebackbone router sẽ sử dụng default route đểchuyển tất cả traffic trong area hoặc trong domain đến ABR.
•Router A là Autonomous System Boundary Router (ASBR), kết nối đến domain bên ngòai hay AS khác
•Router I là router thuộc domain hoặc AS khác
9-5
9-5
Các liên kết kế cận: Gói Hello
Các router kế cận phải nhận dạng những router khác trước khi trao đổi thông tin bởi vị định tuyến của OSPF phụ thuộc vào trạng thái của link giữa 2 router. Tiến trình này được thực hiện bởi giao thức Hello. Giao thức hello thiết lập và duy trì mối quan hệ kế cận giữa các router bằng cách chắc chắn rằng giữa chúng phải có mối quan hệ 2 chiều. Mối quan hệ 2 chiều xảy ra khi một router thấy mình được liệt kê trong gói Hello nhận từ người kế cận.
Mỗi interface tham gia vào OSPF gởi gói Hello theo chu kỳ bằng địa chỉmulticast 224.0.0.5. gói hello gồm những thông tin sau:
•Router ID: là một số 32bit, có giá trị duy nhất để nhận diện router. Mặc định chọn địa chỉ IP cao nhất của interface đang họat động, trừ khi loopback interface hoặc router ID được cấu hình. Ví dụ, địa chỉ 172.16.12.1 sẽ được chọn hơn 172.16.1.1. sự nhận diện này quan trọng trong việc thiết lập vàchẩn đóan xử lý lỗi về mối quan hệ kế cận và trao đổi thông tin định tuyến
•Hello và dead interval: hello interval chỉ ra tần suất router gởi gói hello, tính theo giây. Mặc định hello interval trong mạng multiaccess là 10 giây. Dead interval là thời gian router chờ lắng nghe từ router kế cận trước khi xóa nó khỏi dịch vụ. Mặc định dead interval gấp 4 lân hello interval. Dead và hello interval phải giống nhau trên những router kế cận, nếu không mối quan hệ kế cận sẽ không được thiêt lập.
9-6
•Neighbor: liệt kê những router kế cận đã thiết lập mối quan hệ 2 chiều.
•Area ID: để giao tiếp, 2 router phải chia sẻ cùng một segment và những interface của chúng phải cùng area trên segment đó. Những router kế cận phải cũng subnet và mask. Những router này sẽ có cùng link-state database.
•Router priority: độ ưu tiên của router, nó là một số 8bit. OSPF sử dụng giá trịnày để chọn DR và BDR.
•Địa chỉ IP của DR và BDR.
•Authentication password: nếu sự xác thực được cấu hình, 2 router phải trao đổi cùng password. Sự xác thực này không yêu cầu, nhưng nếu được cấu hình, 2router phải có cùng password.
•Stub area flag: một stub area là một area đặc biệt. 2 router phải cùng stub area flag trong gói hello. Thiết kế stub area là một kỹ thuật làm giảm những cập nhật định tuyến bằng cách thay thế chúng với một default route.
9-7
9-7
Thuật toán SPF
� Đặt mỗi router vào gốc cây và tính đường ngắn nhất tới từng đích dựa trên
giá thành (cost) cộng dồn
� Giá thành (Cost) = Reference Bandwidth / Interface Bandwidth (b/s)
10
110
1
1
Thuật tóan SPF đặt mỗi router vào gốc cây và tính đường ngắn nhất tới từng đích dựa trên giá thành cộng dồn. LSA được gởi đến tất cả các router trong area bằng cách dùng một thuật tóan tin cậy, mà chắc chắn rằng tất cả router trong area cócùng link-state database chính xác. Mỗi router sử dụng thông tin trong link-state database để tính cây đường đi ngắn nhất, với nó là gốc cây. Sau đó, router sử dụng cây này để định tuyến traffic. Trong hình vẽ router A là gốc cây
Mỗi router có một ảnh toppology, mặc dù tất cả các router xây cây đường đi ngắn nhất cùng link-state database
Giá thành của một interface là chí phí để gởi một gói tin ngang qua một interface nào đó. Giá thành của interface tỉ lệnh nghịch với băng thông của interface đó, vìthế băng thông cao thì giá thành thấp. Đường T1 có giá thành cao hơn đường 10-Mbps Ethernet.
Công thức tính giá thành: cost=reference bandwidth/interface bandwidth (b/s)
Mặc định reference bandwidth là 10^8 (100,000,000) hoặc gần bằng bandwidth của Fast Ethernet. Giá thành của đường 10Mbps là 10^8/10^7=10 và đường T1 là10^8/1,544,000=64
Có thể dùng lệnh ospf auto-cost reference-bandwidth ref-bw để chỉnh sửa reference bandwidth lớn hơn Fast Ethernet
9-8
9-8
Cấu hình OSPF đơn miền
network address wildcard-mask area area-id
� Gắn mạng đến miền OSPF cụ thể
router ospf process-id
� Định nghĩa OSPF như một phương thức routing động
RouterX(config)#
RouterX(config-router)#
Lệnh router ospf sử dụng số nhận diện tiến trình như (process ID) là một đối số. Process ID là duy nhất dùng để nhận dạng các tiến trình định tuyến. Process ID không cần phải trùng với process ID trên router OSPF khác.
Lệnh network chỉ ra những mạng IP trên router tham gia vào OSPF. Đối với mỗi network, bạn phải chỉ ra area mà network đó thuộc vào. Lệnh network có các đối số sau:
•Address: có thể là địa chỉ của một subnet, hay interface.
•Wildcard-mask: chỉ ra phần nào của địa chỉ IP sẽ bị kiểm tra, 0 là kiểm tra và 1 là không kiểm tra. Ví dụ, wildcard-mask 0.0.0.0 chỉ ra rằng kiểm tra tất cả 32 bit trong địa chỉ.
•Area-id: area được gán với khỏang địa chỉ OSPF. Nó có thể có dạng cơ số 10 hoặc cơ số 10 phân cách bởi dấu chấm (0.0.0.1).
Trong trường hợp 8 bit không liên tục, tính tóan wildcard-mask có thể gây ra lỗi. Bạn có thể tránh lỗi này bằng cách chỉ ra địa chỉ IP của interface và wildcard-mask là 0.0.0.0.
9-9
Để chỉnh sửa router ID với địa chỉ loopback, đầu tiên định nghĩa một loopback interface với lệnh sau:
routerX(config)#interface loopback <number>
Địa chỉ IP cao nhất, được dùng làm router ID, bị viết đè khi cấu hình một địa chỉ cho loopback interface. Khi loopback interface được cấu hình, OSPF có nhiều tin cậy hơn bởi vì loopback interface này luôn luôn họat động và không có trạng thái down như interface thật. Dó đó, địa chỉ loopback nên được sử dụng cho các router chính. Nếu địa chỉ loopback được quảng bá bằng lệnh network area, sử dụng một địa chỉ private sẽ tiết kiệm địa chỉ IP thật. Chú ý, địa chỉ loopback yêu cầu subnet khác nhau cho mỗi router, trừ khi địa chỉ host của nó được quảng bá
Sử dụng một địa chỉ mà không quảng bá sẽ tiết kiệm địa chỉ IP thật, nhưng không giống như một địa chỉ được quảng bá, địa chỉ không quảng bá sẽ không xuất hiện trong bảng OSPF và vì thế không thể truy cập ngang qua mạng. Do đó, sử dụng địa chỉ Private sẽ dễ cho việc debug và thay đổi vùng địa chỉ.
9-9
Cấu hình Loopback Interfaces
Router ID:
� Con số xác định router trong OSPF
� Mặc định: Địa chỉ IP lớn nhất của các interface đang hoạt động khi tiến trình OSPF khởi động
� Có thể bị thay đổi bởi loopback interface: địa chỉ IP lớn nhất của các loopback interface đang hoạt động
� Có thể chỉ định bởi lệnh router-id
9-10
Bạn có thể sử dụng các lệnh show để xem cấu hình OSPF. Lệnh show ip
protocols hiển thị các biến về thời gian, lọc, giá thành, mạng và những thông
tin khác của tòan bộ router
Lệnh show ip route hiển thị những con đường mà router biết và cách chúng
học những con đường này. Lệnh này là cách tốt nhất để biết kết nối giữa
router cục bộ và đích.
Bảng sau đây mô tả những cột chỉ ra trong lệnh show ip route
•O: cột này chỉ ra phương pháp đã học để biết một con đường. Nó có thể có
một trong những giá trị sau:
•I: IGRP
•R: RIP
•….
•E2, IA: Cột này chỉ ra con đường thuộc lọai nào. Nó có thể có một trong
những giá trị sau:
•*: chỉ ra đường cuối cùng được chọn khi chuyển một packet.
•IA: đường nội bộ trong một area
•…
9-10
Kiểm tra cấu hình OSPF
RouterX# show ip protocols
� Kiềm tra OSPF đã được cấu hình
RouterX# show ip route
� Hiển thị các đích học bởi giao thức OSPF
RouterX# show ip route
Codes: I - IGRP derived, R - RIP derived, O - OSPF derived,
C - connected, S - static, E - EGP derived, B - BGP derived,
E2 - OSPF external type 2 route, N1 - OSPF NSSA external type 1 route,
N2 - OSPF NSSA external type 2 route
Gateway of last resort is 10.119.254.240 to network 10.140.0.0
O 10.110.0.0 [110/5] via 10.119.254.6, 0:01:00, Ethernet2
O IA 10.67.10.0 [110/10] via 10.119.254.244, 0:02:22, Ethernet2
O 10.68.132.0 [110/5] via 10.119.254.6, 0:00:59, Ethernet2
O 10.130.0.0 [110/5] via 10.119.254.6, 0:00:59, Ethernet2
O E2 10.128.0.0 [170/10] via 10.119.254.244, 0:02:22, Ethernet2
. . .
9-11
•172.150.0.0: địa chỉ mạng đích.
•[110/5]: số đầu tiên là adminitrative distance (AD), số thứ 2 là giá thành.
•0:01:00: chỉ ra thời gian cuối cùng con đường được cập nhật (giờ:phút:giây).
•Ethernet2: chỉ ra interface sẽ đi qua để đến mạng đích.
9-12
9-12
Kiểm tra cấu hình OSPF(tt)
RouterX# show ip ospf
Routing Process "ospf 50" with ID 10.64.0.2
<output omitted>
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Number of areas transit capable is 0
External flood list length 0
Area BACKBONE(0)
Area BACKBONE(0)
Area has no authentication
SPF algorithm last executed 00:01:25.028 ago
SPF algorithm executed 7 times
<output omitted>
� Hiển thị OSPF router ID, timers, và statistics
RouterX# show ip ospf
Dùng lệnh show ip ospf để kiểm tra giá trị router ID. Lệnh này cũng hiển thị những cấu hình về thời gian và những thống kê khác, gồm thời gian mà thuật tóan SPF đã thực thi. Lệnh này cũng có những biến tùy chọn vì thế bạn có thể chỉ ra thông tin thêm nữa.
Hình vẽ chỉ ra một phần kết quả của lệnh này trên router X.
RouterX# sh ip ospf
Routing Process "ospf 50" with ID 10.64.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
Initial SPF schedule delay 5000 msecs
Minimum hold time between two consecutive SPFs 10000 msecs
Maximum wait time between two consecutive SPFs 10000 msecs
Incremental-SPF disabled
Minimum LSA interval 5 secs
Minimum LSA arrival 1000 msecs
LSA group pacing timer 240 secs
9-13
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 0. Checksum Sum 0x000000
Number of opaque AS LSA 0. Checksum Sum 0x000000
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Number of areas transit capable is 0
External flood list length 0
Area BACKBONE(0)
Area BACKBONE(0)
Area has no authentication
SPF algorithm last executed 00:01:25.028 ago
SPF algorithm executed 7 times
Area ranges are
Number of LSA 6. Checksum Sum 0x01FE3E
Number of opaque link LSA 0. Checksum Sum 0x000000
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
9-14
Lệnh show ip ospf interface kiểm tra xem interface được cấu hình trong
area nào. Nếu không có địa chỉ loopback được cấu hình, địa chỉ cao nhất của interface sẽ được chọn làm router ID. Lệnh này cũng hiển thị hello
interval và dead interval và chỉ ra mối quan hệ kế cận
Kết quả lệnh show ip ospf interface
•Ethernet: trạng thái tầng physical và data link của interface
•Internet address: địa chỉ IP của interface, subnet mask, và địa chỉ area
•AS: số AS, router ID, loại mạng, giá thành
•Transmit delay: thời gian trễ, trạng thái của interface, và độ ưu tiên của
router
•Designated router: Chỉ ra router ID của DR và địa chỉ IP của nó
•Backup Designated router: Chỉ ra router ID của BDR và địa chỉ IP của
nó.
•Timer intervals configured: những thời gian đã cấu hình
•Hello: số giây đến khi gói hello kế tiếp được gởi ra khỏi interface
•Neighbor count: số router kế cận có mối quan hệ 2 chiều
9-14
RouterX# show ip ospf interface ethernet 0
Ethernet 0 is up, line protocol is up
Internet Address 192.168.254.202, Mask 255.255.255.0, Area 0.0.0.0
AS 201, Router ID 192.168.99.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State OTHER, Priority 1
Designated Router id 192.168.254.10, Interface address 192.168.254.10
Backup Designated router id 192.168.254.28, Interface addr 192.168.254.28
Timer intervals configured, Hello 10, Dead 60, Wait 40, Retransmit 5
Hello due in 0:00:05
Neighbor Count is 8, Adjacent neighbor count is 2
Adjacent with neighbor 192.168.254.28 (Backup Designated Router)
Adjacent with neighbor 192.168.254.10 (Designated Router)
RouterX# show ip ospf interface
Kiểm tra cấu hình OSPF (tt.)
� Kiềm tra area ID và thông tin liên kết
9-15
Lệnh show ip ospf neighbor hiển thị thông tin về các router kế cận của
một interface.
Mỗi dòng trong hình vẽ chỉ ra thông tin tóm tắt của một router kế cận.
9-15
RouterX# show ip ospf neighbor
ID Pri State Dead Time Address Interface
10.199.199.137 1 FULL/DR 0:00:31 192.168.80.37 FastEthernet0/0
172.16.48.1 1 FULL/DROTHER 0:00:33 172.16.48.1 FastEthernet0/1
172.16.48.200 1 FULL/DROTHER 0:00:33 172.16.48.200 FastEthernet0/1
10.199.199.137 5 FULL/DR 0:00:33 172.16.48.189 FastEthernet0/1
Kiểm tra cấu hình OSPF(tt.)
RouterX# show ip ospf neighbor
� Hiển thị thông tin router kế cận trên thực giao diện
9-16
Bảng sau liệt kê những cột trong lệnh show ip ospf neighbor.
•Neighbor: router ID của router kế cận.
•Interface address: địa chỉ IP của interface.
•In the area: area và thông qua interface này để biết router kế cận.
•Neighbor priority: độ ưu tiên của router kế cận, trạng thái của router kếcận.
•State: trạng thái OSPF.
•State changes: tổng số thay đổi trạng từ khi router kế cận được phát
hiện. Giá trị này có thể khởi tạo lại bằng lệnh clear ip ospf counters
neghbor.
•DR is: router ID của DR đối với interface.
•BDR is: router ID của BDR đối với interface.
•Options: những tùy chọn của gói hello (E bit. Có thể có 2 giá trị 0 và 2;
2 chỉ ra rằng area không phải là stub; 0 chỉ ra rằng area là một stub).
•Dead timer due in: thời gian đợi trước khi xóa một router kế cận.
9-16
RouterX# show ip ospf neighbor 10.199.199.137
Neighbor 10.199.199.137, interface address 192.168.80.37
In the area 0.0.0.0 via interface Ethernet0
Neighbor priority is 1, State is FULL
Options 2
Dead timer due in 0:00:32
Link State retransmission due in 0:00:04
Neighbor 10.199.199.137, interface address 172.16.48.189
In the area 0.0.0.0 via interface Fddi0
Neighbor priority is 5, State is FULL
Options 2
Dead timer due in 0:00:32
Link State retransmission due in 0:00:03
Kiểm tra cấu hình OSPF(tt.)
9-17
•Neighbor is up for: số giờ:phút:giây từ khi router kế cận có mối quan hệ 2
chiều.
•Index: vị trí của router kế cận trong area và hàng đợi truyền lại trong AS.
•Retransmission queue length: số thành phần trong hàng đợi.
•Number of retransmission: số thời gian cập nhật gói tin đã được gởi lại trong
lúc flooding.
•First: vị trí bộ nhớ về chi tiết flooding.
•Next: vị trí bộ nhớ về chi tiết flooding.
•Last transmission scan length: số LSA trong sự truyền lại gói tin cuối cùng.
•Maximum: số LSA tối đa mà có thể gởi trong bất kỳ sự truyền lại gói tin.
•Last retransmission scan time: thời gian phải tốn để xây dựng sự truyền lại gói
tin cuối cùng.
•Maximum: thời gian phải tốn tối đa để xây dựng bất kỳ sự truyền lại gói tin.
9-18
9-18
RouterX# debug ip ospf events
OSPF:hello with invalid timers on interface Ethernet0
hello interval received 10 configured 10
net mask received 255.255.255.0 configured 255.255.255.0
dead interval received 40 configured 30
OSPF: rcv. v:2 t:1 l:48 rid:200.0.0.117
aid:0.0.0.0 chk:6AB2 aut:0 auk:
RouterX# debug ip ospf packet
OSPF: rcv. v:2 t:1 l:48 rid:200.0.0.116
aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x0
Các lệnh OSPF debug
Kết quả của lệnh debug ip ospf events phải hiển thị nếu bất kỳ một trong những trường hợp sau xảy ra:
•Subnet mask của những router trong cùng mạng không phù hợp
•Hello interval của router không giống với hello interval của router kế cận
•Dead interval của router không giống với dead interval của router kế cận
Nếu một router được cấu hình OSPF không thấy một router kế cận, thực hiện các bước sau:
•Chắc chắn rằng cả 2 router cấu hình cùng subnet mask và cùng hello interval vàdead interval
•Chắc chắn rằng cả 2 router cùng một area và cùng lọai area
Ví dụ kết quả của lệnh debug ip ospf events: “OSPF: hello packet with mismatched E bit” có nghĩa rằng router này và router kế cận không cùng lọai area. Một router được cấu hình là transit area và router được cấu hình là stub area
Để hiển thị thông tin về mỗi gói OSPF được nhận, dùng lệnh debug ip ospf packet
trong privileged EXEC mode. Thêm no trước lệnh này để tắt debug. Kết quả của lệnh debug ip ospf packet sẽ khác nhau phụ thuộc vào sự chứng thực đã cấu hình. Bảng sau chỉ ra kết quả của lệnh này với sự chứng thực MD5:
•V: phiên bản OSPF
•T: Lọai gói OSPF, có thể là một trong những lọai sau:
9-19
•1: hello
•2: data description
•3: link-state request
•4: link-state update
•5: link-state acknowledgment
•L: chiều dài gói OSPF (Byte)
•Rid: router ID
•Aid: area ID
•Chk: checksum
•Aut: lọai chứng thực, có thể là một trong những lọai sau:
•0: không chứng thực
•1: simple password
•2: MD5
•Auk: khóa chứng thực
•Keyid: id của khóa MD5
•Seq: số thứ tự
9-20
9-20
Cân tải với OSPF
Cân tải OSPF:
� Các đường phải có cùng giá thành (cost)
� Mặc định, tối đa 4 đường bằng nhau có thể cùng được miêu tảtrong bảng định tuyến
� Có thể thay đồi mặc định và có tối đa 16 đường:
– (config-router)# maximum-paths <value>
� Để đảm bảo các đường có cùng giá thành, có thể chỉ định giáthành của một giao diện qua lệnh:
– (config-if)# ip ospf cost <value>
Cân tải là một tính năng chuẩn của IOS image và có sẵn ở tất cả platform. Nógắn liền với tiến trình chuyển gói tin trong router, và cho phép router sử dụng nhiều đường để chuyển gói tin đến đích. Số đường được sử dụng bị giới hạn bởi số entry mà giao thức định tuyến đưa vào bảng định tuyến. Mặc định là 4 đường, ngọai trừ BGP. BGP có giá trị mặc định là 1. số đường tối đa có thể cấu hình là 16.
9-21
9-21
Cân tải với OSPF
Giá thành của một interface trong OSPF là chi phí yêu cầu để gởi một gói tin ngang qua một interface nào đó. Giá thành của interface tỉ lệ nghịch với băng thông của interface đó. Băng thông càng cao giá thành càng thấp. Mặc định, router tính giá thành của một interface dựa vào băng thông. Tuy nhiên, bạn cóthể áp đặt giá thành của interface bằng lệnh ip ospf cost {value} trong mode cấu hình interface.
Nếu có nhiều đường đến cùng đích có giá thành bằng nhau, OSPF có thể lưu giữ 16 next hop đến cùng đích trong bảng định tuyến (được gọi là cân tải). Mặc định, router OSPF hỗ trợ 4 đường có giá thành bằng nhau đến một đích. Dùng lệnh maximum-paths trong global configuration để cấu hình số đường có giáthành bằng nhau trong bảng định tuyến, ví dụ:
routerX(config)#router ospf 1
routerX(config-router)#maximum-paths ?
<1-16> number of páth
routerX(config-router)#maximum-paths 3
Bạn có thể dùng lệnh show ip route để tìm những đường có giá thành bằng nhau. Trong ví dụ, chỉ ra có 3 đường có giá thành bằng nhau để đến mạng đích 194.168.20.0.
9-22
RouterX# show ip route 194.168.20.0
Routing entry for 194.168.20.0/24
Known via "ospf 1", distance 110, metric 74, type intra area
Redistributing via ospf 1
Last update from 10.10.10.1 on Serial1, 00:00:01 ago
Routing Descriptor Blocks:
* 20.20.20.1, from 204.204.204.1, 00:00:01 ago, via Serial2
Route metric is 74, traffic share count is 1
30.30.30.1, from 204.204.204.1, 00:00:01 ago, via Serial3
Route metric is 74, traffic share count is 1
10.10.10.1, from 204.204.204.1, 00:00:01 ago, via Serial1
Route metric is 74, traffic share count is 1
Chú ý rằng có 3 khối mô tả 3 định tuyến. Mỗi khối là một đường. Dấu (*) chỉ ra con đường này sẽ được chọn khi chuyển traffic mới. “traffic” có thể là một packet hoặc tòan bộ chuỗi packet, điều này phụ thuộc nào cân tải của router làper-destination hay per-packet
9-23
9-23
Xác thực OSPF
� OSPF hỗ trợ 2 xác thực:
– Dạng hiển thị password
– Xác thực với MD5
� Router xác thực trên từng gói tin OSPF.
� Router xác thực trên từng địa chỉ nguồn của từng gói tin OSPF mà nó nhận được.
� Cấu hình mỗi “khóa” (“key”) hay (password); mỗi cặp liên kết phải có cùng một khóa
Sự xác thực có thể được cấu hình để yêu cầu những router tham gia vào định tuyến phải có password đã định nghĩa trước
Khi cấu hình chứng thực trên router, router sẽ chứng thực nguồn của mỗi gói tin mà nó nhận. Sự chứng thực này được hòan thành bằng cách trao đổi khóa (thường như là password) giữa router nhận và gởi.
Mặc định, OSPF không được cấu hình xác thực, nghĩa rằng tất cả những trao đổi định tuyến trên mạng đều không được xác thực. OSPF hỗ trợ 2 phương pháp xác thực:
•Hiển thị password
•MD5
Xác thực MD5 gồm một số thứ tự không giảm trong mỗi gói OSPF để bảo vệtấn công trở lại.
9-24
9-24
Cấu hình xác thực OSPF password hiển
ip ospf authentication-key password
RouterX(config-if)#
� Gán một password để sử dụng với router kế cận
RouterX(config-if)#
ip ospf authentication [message-digest | null]
� Chỉ ra lọai xác thực của interface (as of Cisco IOS Release 12.0)
RouterX(config-router)#
area area-id authentication [message-digest]
� Chỉ ra lọai các thực của một area
OR
Để cấu hình xác thực theo phương pháp hiển thị pasword thực hiện những bước sau:
Step 1: dùng lệnh ip ospf authentication-key password để gán một password để sử dụng với các router kế cận mà chúng có phương pháp xác thực là hiển thị password. Password được tạo bởi lệnh này được xem như là một khóa sẽ được thêm trực tiếp vào OSPF header. Một password khác nhau có thể được gán đến mỗi network trên mỗi interface. Tất cả router trên cùng mạng phải có cùng password để có khả năng trao đổi thông tin OSPF.
Step 2: dùng lệnh ip ospf authentication để chỉ ra lọai xác thực
những biến trong lệnh này:
•Message-digest: (tùy chọn) chỉ ra rằng xác thực MD5 sẽ được sử dụng
•Null: (tùy chọn) không cấu hình xác thực. Tùy chọn này hữu dụng khi muốn ghi đè password hoặc xác thực MD5 đã được cấu hình trên area
Dùng lệnh ip ospf authentication không có biến để cấu hình xác thực plaintext password. Trước khi dùng lệnh này, cấu hình password cho interface bằng lênh ip ospf authentication-key
Lệnh ip ospf authentication được giới thiệu trong Cisco IOS release 12.0. Tương thích ngược, lọai xác thực cho một area vẫn được hỗ trợ. Nếu interface không được chỉ ra lọai xác thực, thì lọai xác thực mặc định là area (mặc định làkhông xác thực). Để cấu hình xác thực cho một area OSPF, dùng lệnh area
area-id authentication [message-disget].
9-25
9-25
Ví dụ về cấu hình xác thực plaintext password
Dựa vào ví dụ trong hình vẽ chứng minh cấu hình, kiểm tra và xử lý lỗi của xác thực plaintext password.
Xác thực plaintext được cấu hình trên interface s0/0/1 với lệnh ip ospf
authentication. Interface được cấu hình với một khóa xác thực là“plainpas”.
Chú ý rằng các interface kết nối router 1 và 2 được cấu hình cùng lọai xác thực với cùng khóa.
9-26
9-26
Kiểm tra xác thực Plaintext Password
RouterX#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.2.2.2 0 FULL/ - 00:00:32 192.168.1.102 Serial0/0/1
RouterX#show ip route
<output omitted>
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
O 10.2.2.2/32 [110/782] via 192.168.1.102, 00:01:17, Serial0/0/1
C 10.1.1.0/24 is directly connected, Loopback0
192.168.1.0/27 is subnetted, 1 subnets
C 192.168.1.96 is directly connected, Serial0/0/1
RouterX#ping 10.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
Hình vẽ chỉ ra kết quả của lệnh show ip ospf neighbor và show ip route.
Chú ý rằng neighbor state là FULL, chỉ ra rằng 2 router thiết lập mối quan hệ kếcận thành công. Bảng định tuyến kiểm tra rằng địa chỉ 10.2.2.2 được học thông qua OSPF trên kết nối serial.
Kết quả của lệnh ping địa chỉ loopbak interface được hiển thị chứng tỏ rằng link đang họat động.
9-27
9-27
Triển khai OSPF
9-28
9-28
Tóm tắt
� OSPF là một classless, link-state routing protocol. Nó sử dụng một mô hình vùng phân cấp để hội tụ nhanh.
� OSPF trao đổi gói hello để thiết lập mối quan hệ kế cận giữa 2 router.
� Thuật tóan SPF dựa vào giá thành để tính đường đi tốt nhất. Giá thành thấp hơn chỉ ra đường đi tốt hơn.
� Lệnh router ospf process-id được dùng để cho phép OSPF trên router router.
� Dùng loopback interface để giữ router ID ổn định.
� Lệnh show ip ospf neighbor hiển thị thông tin của router kế cận trên một interface.
� Lệnh debug ip ospf events và debug ip ospf packets có thể được sử dụng để chẩn đóan và xử lý lỗi OSPF
� Mặc định, OSPF sẽ cân tải ngang qua 4 đường có giá thành bằng nhau.
� Có 2 lọai xác thực: Plaintext and MD5.
9-29
9-29
9-30
10-1
10-1
Triển khai OSPF đơn miền
Bài 10:Chẩn đóan và xử lý lỗi OSPF
10-2
10-2
Các thành phần của chẩn đoán và xử lý lỗi OSPF
3 thành phần chính của chẩn đóan và xử lý lỗi gồm:
•Mối quan hệ kế cận
•Bảng định tuyến
•Sự xác thực
10-3
10-3
Chẩn đóan và xử lý lỗi về mối quan hệ kếcận
Neighbor state là FULL có nghĩa là tốt. Nếu neighbor state có những trạng thái khác, nó có thể chỉ ra một vấn đề. Ví dụ, kết quả của lệnh show ip ospf neighbor
Dùng lệnh show ip ospf interface để xem có lỗi tầng physical và tầng data link hay không. “administratively down” chỉ ra rằng interface chưa được cho phép. Nếu trạng thái của interface không phải là up/up, thì sẽ không có mối quan hệ kếcận. Trong ví dụ, serial 0/0/1 là up/up
Để thiết lập một mối quan hệ kế cận với router kết nối trực tiếp, cả 2 router phải cùng kích thước MTU. Để kiểm tra kích thước MTU của interface, dùng lệnh show interface. Trong ví dụ, kích thước MTU LÀ 1500bytes
RouterX# sh ip int fa0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 10.2.2.3/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
10-4
Lệnh network mà bạn cấu hình dưới tiến trình định tuyến OSPF chỉ ra những interface nào của router tham gia vào OSPF và quyết định interface thuộc area nào. Nếu một interface xuất hiện dưới lệnh show ip ospf interface, thì interface này đang chạy OSPF. Trong ví dụ, interface s0/0/1 và s0/0/0 đang chạy OSPF
RouterX# sh ip ospf interface
Serial0/0/1 is up, line protocol is up
Internet Address 10.23.23.1/24, Area 0
Process ID 100, Router ID 192.168.1.65, Network Type POINT_TO_POINT,
Cost: 1562
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:04
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.1.81
Suppress hello for 0 neighbor(s)
Simple password authentication enabled
Serial0/0/0 is up, line protocol is up
Internet Address 10.140.1.2/24, Area 0
Process ID 100, Router ID 192.168.1.65, Network Type POINT_TO_POINT,
Cost: 1562
Transmit Delay is 1 sec, State POINT_TO_POINT,
Những router OSPF trao đổi gói hello để thiết lập mối quan hệ kế cận. Có 4 thông tin trong gói hello phải phù hợp trước khi thiết lập mối quan hệ kế cận:
•Area ID
•Hello và dead interval
•Password của xác thực
•Stub area flag
Để biết bất kỳ một thông tin nào không phù hợp, dùng lệnh debug ip ospf adj. Ví dụ sau chứng minh thiết lập mối quan hệ kế cận thành công trên interface serial 0/0/1
*Feb 17 18:41:51.242: OSPF: Interface Serial0/0/1 going Up
*Feb 17 18:41:51.742: OSPF: Build router LSA for area 0,
router ID 10.1.1.1, seq 0x80000013
*Feb 17 18:41:52.242: %LINEPROTO-5-UPDOWN: Line protocol on
10-5
Interface Serial0/0/1, changed state to up
*Feb 17 18:42:01.250: OSPF: 2 Way Communication to 10.2.2.2 on
Serial0/0/1, state 2WAY
*Feb 17 18:42:01.250: OSPF: Send DBD to 10.2.2.2 on
Serial0/0/1 seq 0x9B6 opt 0x52 flag 0x7 len 32
*Feb 17 18:42:01.262: OSPF: Rcv DBD from 10.2.2.2 on
Serial0/0/1 seq 0x23ED opt0x52 flag 0x7 len 32 mtu 1500 state
EXSTART
*Feb 17 18:42:01.262: OSPF: NBR Negotiation Done. We are the
SLAVE
*Feb 17 18:42:01.262: OSPF: Send DBD to 10.2.2.2 on
Serial0/0/1 seq 0x23ED opt 0x52 flag 0x2 len 72
*Feb 17 18:42:01.294: OSPF: Rcv DBD from 10.2.2.2 on
Serial0/0/1 seq 0x23EE opt0x52 flag 0x3 len 72 mtu 1500 state
EXCHANGE
*Feb 17 18:42:01.294: OSPF: Send DBD to 10.2.2.2 on
Serial0/0/1 seq 0x23EE opt 0x52 flag 0x0 len 32
*Feb 17 18:42:01.294: OSPF: Database request to 10.2.2.2
*Feb 17 18:42:01.294: OSPF: sent LS REQ packet to
192.168.1.102, length 12
*Feb 17 18:42:01.314: OSPF: Rcv DBD from 10.2.2.2 on
Serial0/0/1 seq 0x23EF opt0x52 flag 0x1 len 32 mtu 1500 state
EXCHANGE
*Feb 17 18:42:01.314: OSPF: Exchange Done with 10.2.2.2 on
Serial0/0/1
*Feb 17 18:42:01.314: OSPF: Send DBD to 10.2.2.2 on
Serial0/0/1 seq 0x23EF opt 0x52 flag 0x0 len 32
*Feb 17 18:42:01.326: OSPF: Synchronized with 10.2.2.2 on
Serial0/0/1, state FULL
*Feb 17 18:42:01.330: %OSPF-5-ADJCHG: Process 10, Nbr 10.2.2.2
on Serial0/0/1 from LOADING to FULL, Loading Done
*Feb 17 18:42:01.830: OSPF: Build router LSA for area 0,
router ID 10.1.1.1, seq 0x80000014
10-6
10-6
Chẩn đoán và xử lý lỗi bảng định tuyến
Một con đường OSPF trong bảng định tuyến có thể có mã khác nhau:
•O: một con đường trong vùng từ một router trong cùng area
•O IA: một con đường ngoài vùng từ một router khác area
•O E1 hoặc E2: một con đường bên ngòai từ một AS khác
Nếu bạn có OSPF đơn miền, bạn sẽ không thấy bất kỳ con đường O IA trong bảng định tuyến. Trong ví dụ sau, có cả con đường O IA và O E2
RouterX# sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
ia - IS-IS inter area, * - candidate default, o - ODR, P
- periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
O 172.16.31.100 [110/1563] via 10.140.1.1, 00:03:15, Serial0/0/0
10-7
10.0.0.0/24 is subnetted, 5 subnets
C 10.2.2.0 is directly connected, FastEthernet0/0
O IA 10.1.1.0 [110/1563] via 10.140.1.1, 00:03:15, Serial0/0/0
O 10.140.2.0 [110/3124] via 10.140.1.1, 00:03:15, Serial0/0/0
[110/3124] via 10.23.23.2, 00:03:15, Serial0/0/1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.64/28 is directly connected, Loopback0
O E2 192.168.1.81/32 [110/1563] via 10.23.23.2, 00:03:17, Serial0/0/1
Lệnh network mà bạn cấu hình dưới tiến trình OSPF cũng chỉ ra những mạng được OSPF quảng bá.
Lệnh show ip protocols chỉ ra có lọc bất kỳ con đường nào không, mà có thể ảnh hưởng đến những con đường được thấy trong bảng định tuyến. Trong ví dụ sau, cũng hiển thị những mạng đã được cấu hình để quảng bá đến các router OSPF khác
RouterX# sh ip protocols
Routing Protocol is "ospf 100"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 192.168.1.65
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
10.2.2.3 0.0.0.0 area 0
10.23.23.1 0.0.0.0 area 0
10.140.1.2 0.0.0.0 area 0
192.168.1.65 0.0.0.0 area 0
Reference bandwidth unit is 100 mbps
Routing Information Sources:
Gateway Distance Last Update
192.168.1.81 110 00:04:52
172.16.31.100 110 00:04:52
Distance: (default is 110)
10-8
10-8
Chẩn đoán và xử lý lỗi xác thực PlaintextPassword
� Xác thực Plaintext trên routerX, không xác thực trên routerY
RouterX#debug ip osp adj
*Feb 17 18:54:01.238: OSPF: Rcv pkt from 192.168.1.102, Serial0/0/1 :
Mismatch Authentication Key - Clear Text
RouterY#debug ip ospf adj
*Feb 17 18:53:13.050: OSPF: Rcv pkt from 192.168.1.101, Serial0/0/1 :
Mismatch Authentication Key - Clear Text
� Xác thực trên router X và routerY, nhưng khác password
RouterX#debug ip ospf adj
*Feb 17 18:51:31.242: OSPF: Rcv pkt from 192.168.1.102, Serial0/0/1 :
Mismatch Authentication type. Input packet specified type 0, we use type 1
RouterY#debug ip ospf adj
*Feb 17 18:50:43.046: OSPF: Rcv pkt from 192.168.1.101, Serial0/0/1 :
Mismatch Authentication type. Input packet specified type 1, we use type 0
Lệnh debug ip ospf adj được dùng để hiển thị những sự kiện liên quan đến mối quan hệ kế cận và rất hữu ích khi chẩn đóan và xử lý lỗi xác thực
Ví dụ:
Nếu xác thực plaintext password được cấu hình trên interface serial 0/0/1 của routerX và trên interface serial 0/0/0 của router Y, nhưng khác password, kết quả2 router này không thiết lập được mối quan hệ kế cận trên link đó.
Kết quả lệnh debug ip ospf adj chỉ ra trong hình chứng tỏ rằng router thông báo khóa xác thực không phù hợp; không có gói OSPF nào được gởi giữa 2 router kếcận
10-9
10-9
Chẩn đóan và xử lý lỗi OSPF
10-10
10-10
Tóm tắt
� Chẩn đóan và xử lý lỗi OSPF được gợi ý tìm ở: mối quan hệ kếcận, bảng định tuyến và sự xác thực .
� Dùng lệnh show ip interface để kiểm tra MTU của một OSPFinterface.
� Dùng lệnh show ip ospf interface để giúp chẩn đóan và xử lý lỗi có cấu hình OSPF trên interface hay không
� Dùng lệnh debug ip ospf adj để chẩn đóan và xử lý lỗi xác thực.
10-11
10-11
10-12
