Đề tài : Nghiên cứu cơ chế routing của cisco,

mô phỏng trên nền gns3

Giáo viên hướng dẫn : Thầy Võ Đỗ Thắng

Sinh viên thực hiện : Trần Quang Chiến

Báo cáo th c t pự ậ

Báo Cáo Thực Tập

Mục lụcI. Giao thức định tuyến EIGRP............................................2

1. Giới thiệu........................................................................2

2. Đặc điểm........................................................................2

3. Cấu hình EIGRP.............................................................3

4. Cấu hình xác thực MD5.................................................4

II. Access Control List (ACL).............................................5

1. Giới thiệu........................................................................5

2. Cách làm việc của ACL..................................................5

3. Phân loại ACL................................................................6

a. Standard ACL...............................................................6

b. Extended ACL..............................................................6

4. Các lệnh kiểm tra ACL...................................................7

III. Mô phỏng EIGRP và ACL trên GNS3...........................8

1

Báo Cáo Thực Tập

I. Giao thức định tuyến EIGRP1. Giới thiệu

EIGRP (Enhanced Interior Gateway Routing Protocol) là một giao thức định tuyến độc quyền của Cisco phát triển từ Interior Gateway Routing Protocol (IGRP).

EIGRP hỗ trợ định tuyến liên miền không theo lớp địa chỉ và hỗ trợ VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và chống vòng lặp (loop) tốt hơn.

Trong giao thức định tuyến này, Cisco đã kế thừa các ưu điểm của hai giao thức của định tuyến động là giao thức định tuyến theo vectơ khoảng cách và giao thức định tuyến theo trạng thái đường liên kết. Vì vậy, EIGRP được xem là giao thức lai. Tuy nhiên, cấu hình EIGRP lại đơn giản hơn cấu hình OSPF.

EIGRP là một sự lựa chọn lý tưởng cho các mạng lớn, đa giao thức dựa trên các router của Cisco.

2. Đặc điểm

Về bản chất, EIGRP hoạt động khác với IGRP. Về bản chất EIGRP là một giao thức định tuyến theo vectơ khoảng cách nâng cao nhưng khi cập nhật và bảo trì thông tin láng giềng và thông tin định tuyến thì nó làm việc giống như một giao thức định tuyến theo trạng thái đường liên kết.

So với các giao thức định tuyến theo vectơ khoảng cách thông thường, EIGRP có các ưu điểm sau :

Tốc độ hội tụ nhanh. Sử dụng băng thông hiệu quả, do EIGRP chỉ gửi thông tin cập nhật

một phần chứ không gửi toàn bộ bảng định tuyến. Nhờ vậy nó chỉ tốn một lượng băng thông tối thiểu.

Hỗ trợ VLSM (Variable Length Subnet Mask) và CIDR (Classless Interdomain Routing).

Hỗ trợ nhiều giao thức mạng. Không phụ thuộc vào giao thức định tuyến. Không cập nhật theo chu kỳ mà chỉ cập nhật khi cần thiết. Các

router EIGRP giữ liên lạc với nhau bằng các gói tin hello rất nhỏ.3. Cấu hình EIGRP

2

Báo Cáo Thực Tập

Sử dụng lệnh sau để khởi động cấu hình EIGRP và xác định hệ số tự quản :

Router(config)#router eigrp autonomous-system-number

Trong đó, autonomous-system-number là hệ số tự quản của giao thức EIGRP. Các router trong cùng một mạng thì thông số này phải giống nhau.

Tiếp tục, khai báo các đường mạng của router mà chúng ta đang cấu hình thuộc về hệ tự quản EIGRP :

Router(config-router)#network network-number

Trong đó, network-number là địa chỉ đường mạng kết nối trực tiếp với router ta đang cấu hình. Router EIGRP sẽ thực hiển quảng bá các đường mạng này cho các router khác trong cùng mạng.

Trong thực tế, khi cấu hình EIGRP trên các cổng seria thì ta cần đặt băng thông cho cổng này. Nếu chúng ta không thay đổi bằng thông của cổng, EIGRP sẽ sử dụng băng thông mặc định của cổng thay vì băng thông thực sự. Nếu đường kết nối thực sự chậm hơn, router có thể không hội tụ được, thông tin định tuyến cập nhật có thể bị mất hoặc là kết quả chọn đường không tối ưu. Để đặt băng thông cho một cổng serial trên router, chúng ta dùng câu lệnh sau :

Router(config-if)#bandwidth kilobits

Giá trị băng thông này sẽ được sử dụng để tính toán metric cho tiến trình định tuyến.

Cisco còn khuyến cáo nên thêm câu lệnh sau trong cấu hình EIGRP :

Router(config-if)#eigrp log-neighbor-changes

Câu lệnh này sẽ làm cho router xuất ra các câu thông báo mỗi khi có sự thay đổi của các router láng giềng thân mật giúp chúng ta theo dõi sự ổn định của hệ thống định tuyến và phát hiện được sự cố nếu có.

Ngoài ra, ta có nếu các đường mạng kết nối với router có thể tổng hợp được (summary-address), ta có thể quảng bá đường mạng tổng hợp đó trong đường serial kết nối với router hàng xóm bằng lệnh :

Router(config-if)#ip summary-address eigrp autonomous-system-number ip-summary-address administrative-distance

Thông thường, thông số độ tin cậy của EIGRP (administrative-distance) là 5. Tuy nhiên ta có thể thay đổi thông số này trong khoảng 1 – 255. Khi chúng ta

3

Báo Cáo Thực Tập

muốn tổng hợp bằng tay, thì ta nên tắt chế độ tự động tổng hợp của EIGRP bằng lệnh :

Router(config-router)#no auto-summary.

Một số lệnh cấu hình khác : Chặn interface cập nhật thông tin định tuyến:

Router(config-router)#passive interface-number Quảng bá đường Defaul route :

Router(config)#0.0.0.0 0.0.0.0 [interface|next-hop address]Router(config)#router eigrp autonomous-system-numberRouter(config-router)#redistribute static {…}

Các câu lệnh kiểm tra : Show ip routeShow ip eigrp neighbors…

4. Cấu hình xác thực MD5

EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực này, các

password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash được gửi đi.

Các router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục cấu hình xác thực

trên EIGRP sẽ gồm các bước như sau:

Trên các router sẽ khai báo một key – chain dùng cho xác thực. Key – chain là một

tập hợp các key được sử dụng để xác thực. Câu lệnh :

R(config)#key chain tên của key-chain

R(config-keychain)#

R(config-keychain)#key key-id

R(config-keychain-key)#key-string password

R(config-if)#ip authentication mode eigrp AS md5

R(config-if)#ip authentication key-chain eigrp AS tên-key-chain

II. Access Control List (ACL)

1. Giới thiệu

4

Báo Cáo Thực Tập

ACLs là một danh sách các câu lệnh điều kiện được áp dụng cho lưu lượng đi qua

một cổng interface của router. Danh sách này cho phép router biết loại gói tin nào

được chấp nhận (Permit) hay loại gói tin bị từ chối (Deny) dựa trên các điều kiện cụ

thể do người quản trị quy định.

Sự chấp nhận hay từ chối dữ liệu dựa vào nhiều yếu tố như : đại chỉ IP nguồn, địa

chỉ IP đích, giao thức sử dụng, số port,…

ACL được dùng để quản lý lưu lượng mạng, bảo vệ và phân quyền truy cập ra hoặc

vào hệ thống mạng.

2. Cách làm việc của ACL

Mỗi ACLs là một danh sách các câu lệnh xác định việc chấp nhận hay từ chối gói

dữ liệu theo chiều vào (in) hay chiều ra (out) trên cổng interface của router. Router sẽ

5

Báo Cáo Thực Tập

lần lượt kiểm tra các câu lệnh này theo thứ tự từ trên xuống của ACLs. Do đó, thứ tự

khai báo của ACL rất quan trọng.

Nếu có một điều kiện đúng thì router sẽ thực hiện câu lệnh đó và không kiểm tra

các điều kiện còn lại nữa. Nếu không có điều kiện nào khớp thì lệnh “deny all” sẽ

được thực hiện, lệnh này sẽ loại bỏ tất cả. Vì vậy, trong Access-list cần có ít nhất một

câu lệnh permit.

3. Phân loại ACL

Access-list gồm 2 loại chính : Standard ACL và Extended ACL.

a. Standard ACL

Standard ACL là dạng ACL đơn giản, nó chỉ kiểm tra thông tin của địa chỉ IP của

nguồn và đích của gói tin.

Cách cấu hình Standard ACL:

Router(config)#access-list access-list-number {deny | permit} source [source-

wildcard]

Trong đó :

access-list-number : đánh dấu ACL, số này trong khoảng 1-99

hoặc 1300-1999.

deny | permit : hành động được áp dụng cho câu lệnh.

source : dãy IP có thể là địa chỉ mạng, địa chỉ host.

[source-wildcard] : dùng để xác định dãy ip của source được xét.

b. Extended ACL

Extended ACL là một dạng ACL nâng cao, kiểm tra gói tin đi vào hoặc ra dựa trên

nhiều thông tin như :

Địa chỉ nguồn

Địa chỉ đích

Giao thức sử dụng (tcp, udp, ip, …)

Cổng port nguồn

6

Báo Cáo Thực Tập

Cổng port đích

…

Cách cấu hình Extended ACL :

Router(config)# access-list access-list-number {deny | permit} protocol ip-source

[source-wildcard] ip-destination [destination-wildcard] [ep | lt | gt] [destination-port]

Trong đó :

access-list-number : đánh dấu ACL, số này trong khoảng 100-199

hoặc 2000-2699.

deny | permit : hành động được áp dụng cho câu lệnh.

protocol : giao thức được sử dụng (tcp, udp, ip, …).

ip-source (destination): địa chỉ IP nguồn (đích), có thể là đường

mạng, host, …

source (destination)-wildcard : xác định dãy ip của nguồn (đích)

được xét.

ep | lt | gt : các phương pháp so sánh với destination-port phía sau, eq

là so sánh bằng, lt là so sánh nhỏ hơn, gt là so sánh lớn hơn.

destination-port : cổng đích sử dụng để kiểm tra, giá trị trong khoảng

0-65535.

4. Các lệnh kiểm tra ACL

Show running-config

Show access-list access-list-number

….

7

Báo Cáo Thực Tập

III. Mô phỏng EIGRP và ACL trên GNS3 Cho mô hình mạng như bên dưới :

8