NHẬT KÝ THỰC TẬP TẠI TRUNG TÂM ATHENA

Họ tên: Đàm Văn Sáng

Là sinh viên thực tập tại Trung Tâm Đào Tạo Quản Trị Mạng Và An

Ninh Mạng Quốc Tế Athena.

Tuần 5 (Từ ngày 6/08/2014 tới ngày 13/08/2014)

Tên đề tài: Nguyên cứu cơ chế routing của Cisco mô phỏng trên nền GNS3.

Trong tuần này em đã làm được các phần sau:

Giới thiệu giao thức định tuyến EIGRP Và ACL.

Cấu hình EIGRP.

Cấu hình ACL.

1Báo Cáo Thực Tập Tuần 5

Phần 1 : Giới thiệu về giao thức EIGRP và ACL.

A. Giới thiệu về EIGRP1. Định nghĩa

EIGRP là một giao thức định tuyến do Cisco phát triển, chỉ chạy trên các sản

phẩm của Cisco. Đây là điểm khác biệt của EIGRP so với các giao thức khác.

EIGRP là một giao thức dạng Distance – vector được cải tiến (Advanced Distance

vector). EIGRP không sử dụng thuật toán truyền thống cho Distance – vector là thuật

toán Bellman – Ford mà sử dụng một thuật toán riêng được phát triển bởi J.J. Garcia

Luna Aceves – thuật toán DUAL. Cách thức hoạt động của EIGRP cũng khác biệt so với

RIP và vay mượn một số cấu trúc và khái niệm của OSPF như: xây dựng quan hệ láng

giềng, sử dụng bộ 3 bảng dữ liệu (bảng neighbor, bảng topology và bảng định tuyến).

Chính vì điều này mà EIGRP thường được gọi là dạng giao thức lai ghép (hybrid). Tuy

nhiên, về bản chất thì EIGRP thuần túy hoạt động theo kiểu Distance – vector: gửi thông

tin định tuyến là các route cho láng giềng (chỉ gửi cho láng giềng) và tin tưởng tuyệt đối

vào thông tin nhận được từ láng giềng. 

2. Đặc điểm

Một đặc điểm nổi bật trong việc cải tiến hoạt động của EIGRP là không gửi cập

nhật theo định kỳ mà chỉ gửi toàn bộ bảng định tuyến cho láng giềng cho lần đầu

tiên thiết lập quan hệ láng giềng, sau đó chỉ gửi cập nhật khi có sự thay đổi. Điều

này tiết kiệm rất nhiều tài nguyên mạng.

Việc sử dụng bảng topology và thuật toán DUAL khiến cho EIGRP có tốc độ hội

tụ rất nhanh.

EIGRP sử dụng một công thức tính metric rất phức tạp dựa trên nhiều thông số:

Bandwidth, delay, load và reliability.

Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route external.

EIGRP chạy trực tiếp trên nền IP và có số protocol – id là 88

2Báo Cáo Thực Tập Tuần 5

3. Thiết lập quan hệ láng giềng

Giống OSPF, ngay khi bật EIGRP trên một

cổng, router sẽ gửi các gói tin hello ra khỏi cổng để

thiết lập quan hệ láng giềng với router kết nối trực tiếp

với mình. Điểm khác biệt là các gói tin hello được gửi

đến địa chỉ multicast dành riêng cho EIGRP là

224.0.0.10 với giá trị hello – timer (khoảng thời gian định kỳ gửi gói hello) là 5s.

Và cũng giống như OSPF, không phải cặp router nào kết nối trực tiếp với nhau

cũng xây dựng được quan hệ láng giềng. Để quan hệ láng giềng thiết lập được giữa hai

router, chúng phải khớp với nhau một số thông số được trao đổi qua các gói tin hello, các

thông số này bao gồm:

Giá trị AS được cấu hình trên mỗi router.

Các địa chỉ đấu nối giữa hai router phải cùng subnet.

Thỏa mãn các điều kiện xác thực.

Cùng bộ tham số K.

Giá trị AS – Autonomous System

Khi cấu hình EIGRP trên các router, ta phải khai báo một giá trị dùng để định

danh cho AS mà router này thuộc về. Giá trị này buộc phải khớp nhau giữa hai router kết

nối trực tiếp với nhau để các router này có thể thiết lập được quan hệ láng giềng với nhau.

Về mặt cấu hình, giá trị AS này nằm ở vị trí trong câu lệnh rất giống với giá trị process –

id khi so sánh với câu lệnh cấu hình OSPF. Tuy nhiên, giá trị process – id trong cấu hình

OSPF chỉ có ý nghĩa local trên mỗi router và có thể khác nhau giữa các router nhưng giá

trị AS trong cấu hình EIGRP bắt buộc phải giống nhau giữa các router thuộc cùng một

routing domain.

3Báo Cáo Thực Tập Tuần 5

Câu lệnh để đi vào mode cấu hình EIGRP:

R(config)#router eigrp số AS <-- Giá trị này bắt buộc phải giống nhau giữa các router.

R(config-router)#

Chúng ta cần lưu ý rằng khái

niệm AS được dùng với EIGRP không

phải là khái niệm AS được dùng trong

các giao thức định tuyến ngoài (VD:

BGP). 

Với định tuyến ngoài, mỗi AS là một

tập hợp các router thuộc về một doanh

nghiệp nào đó cùng chung một sự quản

lý về kỹ thuật, sở hữu, chính sách định tuyến và sẽ được cấp một giá trị định danh cho AS

gọi là ASN – Autonomous System Number từ tổ chức quản lý địa chỉ Internet và số hiệu

mạng quốc tế (IANA – Internet Assigned Numbers

Các địa chỉ đấu nối

Để hai router thiết lập được quan hệ láng giềng với nhau, hai địa chỉ đấu nối giữa

hai router phải cùng subnet. Trên hình 1, để R1 và R2 thiết lập được quan hệ láng giềng,

bắt buộc hai địa chỉ IP1 và IP2 phải cùng subnet.

Thỏa mãn các điều kiện xác thực

Như đã trình bày trong các bài viết trước, để tăng cường tính an ninh trong hoạt

động trao đổi thông tin định tuyến, ta có thể cấu hình trên các router các password để chỉ

các router thống nhất với nhau về password mới có thể trao đổi thông tin định tuyến với

nhau. Hai router nếu có cấu hình xác thực thì phải thống nhất với nhau về password được

cấu hình thì mới có thể thiết lập quan hệ láng giềng với nhau.

4Báo Cáo Thực Tập Tuần 5

Cùng bộ tham số K

EIGRP sử dụng một công thức tính metric rất phức tạp, là một hàm của 04 biến số:

bandwidth, delay, load, reliability. Metric = f (bandwidth, delay, load, reliability)

Các biến số này lại có thể được gắn với các trọng số để tăng cường hoặc giảm bớt ảnh

hưởng của chúng gọi là các tham số K gồm 5 giá trị K1, K2, K3, K4 và K5. Các router

chạy EIGRP bắt buộc phải thống nhất với nhau về bộ tham số K được sử dụng để có thể

thiết lập quan hệ láng giềng với nhau. Ta thấy rằng không giống như với OSPF, EIGRP

không yêu cầu phải thống nhất với nhau về cặp giá trị Hello – timer và Dead – timer

(EIGRP gọi khái niệm này là Hold – timer) giữa hai neighbor. Các giá trị Hello và Hold

mặc định của EIGRP là 5s và 15s.

4. Bảng Topology, FD, AD, Successor và Feasible Successor

Sau khi đã thiết lập xong quan hệ láng giềng, các router láng giềng của nhau ngay

lập tức gửi cho nhau toàn bộ các route EIGRP trong bảng định tuyến của chúng. Khác với

RIP, bảng định tuyến chỉ được gửi cho nhau lần đầu tiên khi mới xây dựng xong quan hệ

láng giềng, sau đó, các router chỉ gửi cho nhau các cập nhật khi có sự thay đổi xảy ra và

chỉ gửi cập nhật cho sự thay đổi ấy. Một điểm khác biệt khác nữa khi so sánh với RIP là

khi một router nhận được nhiều route từ nhiều láng giềng cho một đích đến A nào đó thì

giống như RIP, nó sẽ chọn route nào tốt nhất đưa vào bảng định tuyến để sử dụng còn

khác với RIP là các route còn lại nó không loại bỏ mà lưu vào một “kho chứa” để sử

dụng cho mục đích dự phòng đường đi. “Kho chứa” này được gọi là bảng Topology. Vậy

bảng Topology trên một router chạy EIGRP là bảng lưu mọi route có thể có từ nó đến

mọi đích đến trong mạng và bảng định tuyến là bảng sẽ lấy và sử dụng các route tốt nhất

từ bảng Topology này.

Các thông tin được lưu trong bảng Topology và các thông số được xem xét rất

nhiều khi khảo sát hoạt động của EIGRP: FD, AD, Successor và Feasible Successor.

5Báo Cáo Thực Tập Tuần 5

5. Tính toán metric với EIGRP

Metric của EIGRP được tính theo một công thức rất phức tạp với đầu vào là 04

tham số: Bandwidth min trên toàn tuyến, Delay tích lũy trên toàn tuyến (trong công thức

sẽ ghi ngắn gọn là Delay), Load và Reliabily cùng với sự tham gia của các trọng số K:

Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3*

Delay]*256*[K5/(Reliabilty + K4)]

Ta lưu ý về đơn vị sử dụng cho các tham số trong công thức ở trên:

Bandwidth: đơn vị là Kbps.

Delay: đơn vị là 10 micro second.

Load và Reliability là các đại lượng vô hướng.

Nếu K5 = 0, công thức trở thành:

Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3*

Delay]*256

Mặc định bộ tham số K được thiết lập là: K1 = K3 = 1; K2 = K4 = K5 = 0 nên

công thức dạng đơn giản nhất ở mặc định sẽ là: Metric = [10^7/Bandwidth min +

Delay]*256.

6Báo Cáo Thực Tập Tuần 5

6. Cân bằng tải trên những đường không đều nhau (Unequal Cost Load –

balancing)

Một đặc điểm nổi trội của EIGRP là giao thức này cho phép cân bằng tải ngay cả

trên những đường không đều nhau. Điều này giúp tận dụng tốt hơn các đường truyền nối

đến router.

7. Xác thực MD5 với EIGRP

EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực này, các

password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash được gửi đi. Các

router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục cấu hình xác thực trên

EIGRP sẽ gồm các bước như sau:

Trên các router sẽ khai báo một key – chain dùng cho xác thực. Key – chain là một tập

hợp các key được sử dụng để xác thực. Câu lệnh :

R(config)#key chain tên của key-chain

R(config-keychain)#

R(config-keychain)#key key-id

R(config-keychain-key)#key-string password

R(config-if)#ip authentication mode eigrp AS md5

R(config-if)#ip authentication key-chain eigrp AS tên-key-chain

7Báo Cáo Thực Tập Tuần 5

B. Giới thiệu về ACL

1. Định nghĩa

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của

router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và

loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ

nguồn, địa chỉ đích hoặc chỉ số port.

2. Phân loại ACL.

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt

gần đích (Destination). 

Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao

thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers

trong tầng “Transport layer header”. Nên đặt gần nguồn (source).

8Báo Cáo Thực Tập Tuần 5

Phần 2 : cấu hình EIGRP và ACL

A. EIGRP

Yêu cầu :

1. Cấu hình định tuyến EIGRP trên các router R1,R2,R3 (AS 1).

2. R1 cấu đường default route ra internet đồng thời quảng bá cho các router

R1,R2.

3. Tắt các đường cập nhật không cần thiết.

Router R1

9Báo Cáo Thực Tập Tuần 5

Bảng định tuyến trước khi cấu hình

Cấu hình trên R1

Router R2

10Báo Cáo Thực Tập Tuần 5

Bảng định tuyến trước khi cấu hình

Cấu hình EIGRP trên R2

Router R3

11Báo Cáo Thực Tập Tuần 5

Bảng định tuyến trước khi cấu hình

Cấu hình trên R3

12Báo Cáo Thực Tập Tuần 5

Kiểm tra EIGRP

Bảng định tuyến R1 sau khi cấu hình

13Báo Cáo Thực Tập Tuần 5

Bảng định tuyến R2 sau khi cấu hình

Bảng định tuyến R3 sau khi cấu hình

Ping giữa PC1 và PC2

14Báo Cáo Thực Tập Tuần 5

B. Cấu hình ACL

Ngăn tất cả gói tin từ đường mạng 172.16.1.0/24 đến đường mạng 172.16.2.0/24.

Tạo ACL

Áp ACL vào interface:

Chặn các địa chỉ đường mạng 172.16.1.0/24 ra ngoài internet.( chặn không ping được google.com)

15Báo Cáo Thực Tập Tuần 5

Tạo ACL

Áp ACL vào interface

Kiểm tra ACL

Ping từ PC1 đến PC2

16Báo Cáo Thực Tập Tuần 5

Ping đến 8.8.8.8

17Báo Cáo Thực Tập Tuần 5