bao cao thuc tap eigrp ac_ls
DESCRIPTION
Báo Cáo Thực TậpTRANSCRIPT
Đề tài : Nghiên cứu cơ chế routing của cisco,
mô phỏng trên nền gns3
Giáo viên hướng dẫn : Thầy Võ Đỗ Thắng
Sinh viên thực hiện : Trần Quang Chiến
Báo cáo th c t pự ậ
Báo Cáo Thực Tập
Mục lụcI. Giao thức định tuyến EIGRP............................................2
1. Giới thiệu........................................................................2
2. Đặc điểm........................................................................2
3. Cấu hình EIGRP.............................................................3
4. Cấu hình xác thực MD5.................................................4
II. Access Control List (ACL).............................................5
1. Giới thiệu........................................................................5
2. Cách làm việc của ACL..................................................5
3. Phân loại ACL................................................................6
a. Standard ACL...............................................................6
b. Extended ACL..............................................................6
4. Các lệnh kiểm tra ACL...................................................7
III. Mô phỏng EIGRP và ACL trên GNS3...........................8
1
Báo Cáo Thực Tập
I. Giao thức định tuyến EIGRP1. Giới thiệu
EIGRP (Enhanced Interior Gateway Routing Protocol) là một giao thức định tuyến độc quyền của Cisco phát triển từ Interior Gateway Routing Protocol (IGRP).
EIGRP hỗ trợ định tuyến liên miền không theo lớp địa chỉ và hỗ trợ VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và chống vòng lặp (loop) tốt hơn.
Trong giao thức định tuyến này, Cisco đã kế thừa các ưu điểm của hai giao thức của định tuyến động là giao thức định tuyến theo vectơ khoảng cách và giao thức định tuyến theo trạng thái đường liên kết. Vì vậy, EIGRP được xem là giao thức lai. Tuy nhiên, cấu hình EIGRP lại đơn giản hơn cấu hình OSPF.
EIGRP là một sự lựa chọn lý tưởng cho các mạng lớn, đa giao thức dựa trên các router của Cisco.
2. Đặc điểm
Về bản chất, EIGRP hoạt động khác với IGRP. Về bản chất EIGRP là một giao thức định tuyến theo vectơ khoảng cách nâng cao nhưng khi cập nhật và bảo trì thông tin láng giềng và thông tin định tuyến thì nó làm việc giống như một giao thức định tuyến theo trạng thái đường liên kết.
So với các giao thức định tuyến theo vectơ khoảng cách thông thường, EIGRP có các ưu điểm sau :
Tốc độ hội tụ nhanh. Sử dụng băng thông hiệu quả, do EIGRP chỉ gửi thông tin cập nhật
một phần chứ không gửi toàn bộ bảng định tuyến. Nhờ vậy nó chỉ tốn một lượng băng thông tối thiểu.
Hỗ trợ VLSM (Variable Length Subnet Mask) và CIDR (Classless Interdomain Routing).
Hỗ trợ nhiều giao thức mạng. Không phụ thuộc vào giao thức định tuyến. Không cập nhật theo chu kỳ mà chỉ cập nhật khi cần thiết. Các
router EIGRP giữ liên lạc với nhau bằng các gói tin hello rất nhỏ.3. Cấu hình EIGRP
2
Báo Cáo Thực Tập
Sử dụng lệnh sau để khởi động cấu hình EIGRP và xác định hệ số tự quản :
Router(config)#router eigrp autonomous-system-number
Trong đó, autonomous-system-number là hệ số tự quản của giao thức EIGRP. Các router trong cùng một mạng thì thông số này phải giống nhau.
Tiếp tục, khai báo các đường mạng của router mà chúng ta đang cấu hình thuộc về hệ tự quản EIGRP :
Router(config-router)#network network-number
Trong đó, network-number là địa chỉ đường mạng kết nối trực tiếp với router ta đang cấu hình. Router EIGRP sẽ thực hiển quảng bá các đường mạng này cho các router khác trong cùng mạng.
Trong thực tế, khi cấu hình EIGRP trên các cổng seria thì ta cần đặt băng thông cho cổng này. Nếu chúng ta không thay đổi bằng thông của cổng, EIGRP sẽ sử dụng băng thông mặc định của cổng thay vì băng thông thực sự. Nếu đường kết nối thực sự chậm hơn, router có thể không hội tụ được, thông tin định tuyến cập nhật có thể bị mất hoặc là kết quả chọn đường không tối ưu. Để đặt băng thông cho một cổng serial trên router, chúng ta dùng câu lệnh sau :
Router(config-if)#bandwidth kilobits
Giá trị băng thông này sẽ được sử dụng để tính toán metric cho tiến trình định tuyến.
Cisco còn khuyến cáo nên thêm câu lệnh sau trong cấu hình EIGRP :
Router(config-if)#eigrp log-neighbor-changes
Câu lệnh này sẽ làm cho router xuất ra các câu thông báo mỗi khi có sự thay đổi của các router láng giềng thân mật giúp chúng ta theo dõi sự ổn định của hệ thống định tuyến và phát hiện được sự cố nếu có.
Ngoài ra, ta có nếu các đường mạng kết nối với router có thể tổng hợp được (summary-address), ta có thể quảng bá đường mạng tổng hợp đó trong đường serial kết nối với router hàng xóm bằng lệnh :
Router(config-if)#ip summary-address eigrp autonomous-system-number ip-summary-address administrative-distance
Thông thường, thông số độ tin cậy của EIGRP (administrative-distance) là 5. Tuy nhiên ta có thể thay đổi thông số này trong khoảng 1 – 255. Khi chúng ta
3
Báo Cáo Thực Tập
muốn tổng hợp bằng tay, thì ta nên tắt chế độ tự động tổng hợp của EIGRP bằng lệnh :
Router(config-router)#no auto-summary.
Một số lệnh cấu hình khác : Chặn interface cập nhật thông tin định tuyến:
Router(config-router)#passive interface-number Quảng bá đường Defaul route :
Router(config)#0.0.0.0 0.0.0.0 [interface|next-hop address]Router(config)#router eigrp autonomous-system-numberRouter(config-router)#redistribute static {…}
Các câu lệnh kiểm tra : Show ip routeShow ip eigrp neighbors…
4. Cấu hình xác thực MD5
EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực này, các
password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash được gửi đi.
Các router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục cấu hình xác thực
trên EIGRP sẽ gồm các bước như sau:
Trên các router sẽ khai báo một key – chain dùng cho xác thực. Key – chain là một
tập hợp các key được sử dụng để xác thực. Câu lệnh :
R(config)#key chain tên của key-chain
R(config-keychain)#
R(config-keychain)#key key-id
R(config-keychain-key)#key-string password
R(config-if)#ip authentication mode eigrp AS md5
R(config-if)#ip authentication key-chain eigrp AS tên-key-chain
II. Access Control List (ACL)
1. Giới thiệu
4
Báo Cáo Thực Tập
ACLs là một danh sách các câu lệnh điều kiện được áp dụng cho lưu lượng đi qua
một cổng interface của router. Danh sách này cho phép router biết loại gói tin nào
được chấp nhận (Permit) hay loại gói tin bị từ chối (Deny) dựa trên các điều kiện cụ
thể do người quản trị quy định.
Sự chấp nhận hay từ chối dữ liệu dựa vào nhiều yếu tố như : đại chỉ IP nguồn, địa
chỉ IP đích, giao thức sử dụng, số port,…
ACL được dùng để quản lý lưu lượng mạng, bảo vệ và phân quyền truy cập ra hoặc
vào hệ thống mạng.
2. Cách làm việc của ACL
Mỗi ACLs là một danh sách các câu lệnh xác định việc chấp nhận hay từ chối gói
dữ liệu theo chiều vào (in) hay chiều ra (out) trên cổng interface của router. Router sẽ
5
Báo Cáo Thực Tập
lần lượt kiểm tra các câu lệnh này theo thứ tự từ trên xuống của ACLs. Do đó, thứ tự
khai báo của ACL rất quan trọng.
Nếu có một điều kiện đúng thì router sẽ thực hiện câu lệnh đó và không kiểm tra
các điều kiện còn lại nữa. Nếu không có điều kiện nào khớp thì lệnh “deny all” sẽ
được thực hiện, lệnh này sẽ loại bỏ tất cả. Vì vậy, trong Access-list cần có ít nhất một
câu lệnh permit.
3. Phân loại ACL
Access-list gồm 2 loại chính : Standard ACL và Extended ACL.
a. Standard ACL
Standard ACL là dạng ACL đơn giản, nó chỉ kiểm tra thông tin của địa chỉ IP của
nguồn và đích của gói tin.
Cách cấu hình Standard ACL:
Router(config)#access-list access-list-number {deny | permit} source [source-
wildcard]
Trong đó :
access-list-number : đánh dấu ACL, số này trong khoảng 1-99
hoặc 1300-1999.
deny | permit : hành động được áp dụng cho câu lệnh.
source : dãy IP có thể là địa chỉ mạng, địa chỉ host.
[source-wildcard] : dùng để xác định dãy ip của source được xét.
b. Extended ACL
Extended ACL là một dạng ACL nâng cao, kiểm tra gói tin đi vào hoặc ra dựa trên
nhiều thông tin như :
Địa chỉ nguồn
Địa chỉ đích
Giao thức sử dụng (tcp, udp, ip, …)
Cổng port nguồn
6
Báo Cáo Thực Tập
Cổng port đích
…
Cách cấu hình Extended ACL :
Router(config)# access-list access-list-number {deny | permit} protocol ip-source
[source-wildcard] ip-destination [destination-wildcard] [ep | lt | gt] [destination-port]
Trong đó :
access-list-number : đánh dấu ACL, số này trong khoảng 100-199
hoặc 2000-2699.
deny | permit : hành động được áp dụng cho câu lệnh.
protocol : giao thức được sử dụng (tcp, udp, ip, …).
ip-source (destination): địa chỉ IP nguồn (đích), có thể là đường
mạng, host, …
source (destination)-wildcard : xác định dãy ip của nguồn (đích)
được xét.
ep | lt | gt : các phương pháp so sánh với destination-port phía sau, eq
là so sánh bằng, lt là so sánh nhỏ hơn, gt là so sánh lớn hơn.
destination-port : cổng đích sử dụng để kiểm tra, giá trị trong khoảng
0-65535.
4. Các lệnh kiểm tra ACL
Show running-config
Show access-list access-list-number
….
7
Báo Cáo Thực Tập
III. Mô phỏng EIGRP và ACL trên GNS3 Cho mô hình mạng như bên dưới :
8