Semester 4 PDF

CCNA
HỌC KỲ 4
Tài liệu hướng dẫn

Version 1.0
Mục Lục
(Học kỳ 4)
Bài 1: Triển khai EIGRP…………………………………………………………………... 1-1

Bài 2: Xử lý sự cố EIGRP…………………………………………………………………. 2-1
Bài 3: Giới thiệu sự họat động của danh sách kiểm tra truy cập………………………….. 3-1
Bài 4: Cấu hình và xử lý sự cố danh sách kiểm tra truy cập………………………………. 4-1
Bài 5: Uyển chuyển mạng với NAT và PAT……………………………………………… 5-1
Bài 6: Quá trình chuyển sang IPv6……………………………………………………….. 6-1
Bài 7: Nhập môn giải pháp VPN………………………………………………………….. 7-1
Bài 8: Thiết lập kết nối point-to-point WAN với PPP…………………………………….. 8-1
Bài 9: Thiết lập kết nối WAN với Frame-Relay………………………………………… 9-1
Bài 10: Sửa lỗi Frame Relay WANs…….………………………………………………… 10-1
Bài 1: Triển khai
EIGRP
Triển khai EIGRP
11
Tổng quan:
Chương này đề cập đến những tính năng của giao thức định tuyến EIGRP . Đây là giao
thức định tuyến độc quyền của Cisco , nó được thiết kế để giải quyết các nhược điểm
của cả giao thức định tuyến theo vector khoảng cách và giao thức định tuyến theo trạng
thái đường liên kết . Chương này cũng đề cập đến những kỹ thuật cơ bản của EIGRP
trong đó có tiến trình chọn đường đi .
Mục tiêu:
• Sau khi hoàn thành chương này , bạn có thể cấu hình , kiểm tra và xử lí sự cố về
EIGRP . Để làm được điều này , bạn phải hoàn thành các mục sau :
• Mô tả được hoạt động và cấu hình được giao thức định tuyến EIGRP , bao gồm cấu
hình chia tải và cấu hình chứng thực
• Chỉ ra các sự cố thường gặp khi cấu hình EIGRP và đưa ra phương pháp để giải quyết
sự cố đó .
1-1
Các đặc điểm của EIGRP
Vector khoảng cách nâng cao Thiết kế mạng linh động

Hội tụ nhanh chóng Sử dụng địa chỉ multicast và unicast thay vì
100% định tuyến không phân lớp sử dụng broadcast
không bị lặp vòng Hỗ trợ VLSM và các mạng con không liên tục
Cấu hình dễ dàng Cấu hình nhóm tuyến bằng tay tại bất cứ vị trí
Cập nhật một phần nào trong mạng
Chia tải trên các đường chi phí Hỗ trợ nhiều giao thức lớp mạng
bằng nhau và không bằng nhau 1-2
EIGRP là giao thức định tuyến độc quyền của Cisco , nó kết hợp các ưu
điểm của cả giao thức định tuyến theo vector khoảng cách và giao thức định
tuyến theo trạng thái đường liên kết . EIGRP là giao thức định tuyến theo
vector khoảng cách nâng cao . EIGRP còn được gọi là giao thức định tuyến
lai , nó bao gồm các tính năng sau đây :
•Tốc độ hội tụ nhanh : để có được tốc độ hội tụ nhanh , EIGRP sử dụng giải
thuật DUAL . Một router chạy EIGRP sẽ lưu sẵn tất cả các đường đi dự
phòng đến một đích nào đó , do đó nó áp ứng được việc thay thế nhanh
chóng đường đi chính ( trong trường hợp đường đi chính không sử dụng
được nữa ) . Nếu không có đường đi dự phòng nào tồn tại , router sẽ đi hỏi
các router láng giềng để tìm ra đường đi mới .
•Sử dụng băng thông hiệu quả : EIGRP không thực hiện cập nhật định kì ,
thay vào đó , khi có sự thay đổi về đường đi hoặc chi phí của đường đi ,
EIGRP chỉ gửi cập nhật thông tin về sự thay đổi đó chứ không gửi toàn bộ
bảng định tuyến .
•EIGRP hỗ trợ nhiều giao thức lớp mạng : EIGRP hỗ trợ AppleTalk , IPv4
,IPv6 và IPX nhờ sử dụng cấu trúc từng phần theo giao thức (PDMs –
Protocol Dependent Modules ) .
•Định tuyến không phân lớp : Vì EIGRP là giao thức định tuyến không phân
lớp nên thông tin về mạng đích được quảng bá kèm theo mặt nạ mạng . Tính
năng này giúp EIGRP hỗ trợ được các mạng con không liên tục (
discontiguous subnetwork ) và các mạng con có chiều dài mặt nạ mạng khác
nhau ( VLSMs – Variable Length Subnet Masks ) .
1-2
•Ít hao phí : EIGRP sử dụng mulitcast và unicast thay vì broadcast .Điều này
giúp cho các thiết bị đầu cuối không bị ảnh hưởng bởi các thông tin yêu cầu
cấu hình mạng và các thông tin cập nhật định tuyến .
•Chia tải : EIGRP hỗ trợ chia tải trên những đường có chi phí không bằng nhau
, cho phép người quản trị phân phối luồng dữ liệu đi trong mạng được tốt hơn .
•Dễ dàng nhóm tuyến : EIGRP cho phép người quản trị dễ dàng nhóm các
tuyến lại với nhau tại bất kì vị trí nào trong mạng , trong khi đó , giao thức
định tuyến theo vector khoảng cách chỉ thực hiện nhóm tuyến tại biên giới
mạng chính .
1-3
Các bảng của EIGRP
1-4
Mỗi router EIGRP duy trì một bảng láng giềng , bảng này bao gồm danh
sách các router EIGRP láng giềng kết nối trực tiếp và có quan hệ thân mật
với nó .
Mỗi router EIGRP duy trì một bảng cấu trúc mạng tương ứng với từng giao
thức ở lớp mạng . Bảng cấu trúc mạng chứa thông tin về tất cả các con
đường mà router học được . Router dựa vào bảng này để lựa chọn ra đường
đi tốt nhất và đặt những đường đi tốt nhất này vào trong bảng định tuyến .
Để tìm ra đường đi tốt nhất ( successor) và đường đi dự phòng ( feasible
successor ) cho một mạng đích nào đó , EIGRP sử dụng 2 thông số sau để
tính toán :
•Advertised Distance (AD) : là chi phí để đi đến mạng đích do router
láng giềng quảng bá qua .
•Feasible Distance (FD) : chi phí dùng để đi đến mạng đích , chi phí
này bằng chi phí AD cộng với chi phí mà router phải mất khi đi đến
router láng giềng .
Router so sánh tất cả các chi phí FD , lựa chọn ra chi phí thấp nhất và đưa
vào bảng định tuyến .
1-4
Tính toán đường đi của EIGRP (Router C)
1-5
VÍ DỤ : EIGRP tính toán đường đi ( Router C )

Bảng cấu trúc mạng của EIGRP lưu tất cả các các đường đi đến mạng đích
học được bởi các router láng giềng . Như các bạn thấy ở hình trên , Router A
và B gửi bảng định tuyến của chúng cho Router C ( xem bảng định tuyến
của C ở hình trên ) . Cả router A và router B đều có đường đi đến mạng
10.1.1.0/24 .
Router C có 2 đường đi đến mạng 10.1.1.0/24 trong bảng cấu trúc mạng của
mình . Chi phí mà router C dùng để đi đến router A và router B đều bằng
1000 . Chi phí này cộng với mỗi chi phí AD mà router A và router B quảng
bá , kết quả ta sẽ được chi phí FD mà router C phải trả để đi đến mạng
10.1.1.0/24 tương ứng thông qua Router A và Router C .
Router C chọn ra giá trị FD nhỏ nhất ( 2000 ) và đặt đường đi tốt nhất này
vào trong bảng định tuyến . Đường đi có chi phí thấp nhất và được đặt vào
trong bảng định tuyến gọi là đường đi chính ( successor route ) .
Kế tiếp , Router sẽ lựa chọn ra một đường đi dự phòng cho đường đi chính ,
gọi là đường đi chính khả dụng ( feasible successor route ). Để một đường đi
trở thành đường đi dự phòng , router kế cận phải có chi phí AD nhỏ hơn chi
phí FD của đường đi chính .
Nếu đường đi chính không còn giá trị nữa , có thể là do thay đổ cấu trúc
mạng hoặc là do láng giềng thay đổi chi phí , giải thuật DUAL sẽ kiểm tra
xem có đường đi chính dự phòng ( feasible successor - FS ) nào không . Nếu
có , DUAL sẽ sử dụng nó và không cần phải tính toán lại đường đi mới .
Nếu không có đường đi chính dự phòng nào cả , router thực hiện tính toán
lại đường đi chính mới .
1-5
Cấu hình EIGRP
RouterX(config)# router eigrp autonomous-system
RouterX(config-router)# network network-number
1-6
CẤU HÌNH VÀ KIỂM TRA CẤU HÌNH EIGRP .

Sử dụng câu lệnh router eigrp và network để thực hiện tiến trình định tuyến
bằng giao thức EIGRP . Lưu ý rằng EIGRP cần xác định một số hiệu hệ tự quản (
AS – autonomous system ) . Số hiệu hệ tự quản này không cần phải đăng kí . Tuy
nhiên , tất cả router trong cùng một hệ tự quản phải sử dụng chung một số hiệu hệ
tự quản để trao đổi thông tin định tuyến với nhau .
Câu lệnh network định ra vùng mạng chính kết nối trực tiếp với router . Tiến
trình định tuyến EIGRP sẽ kiểm tra xem những cổng kết nối nào có địa chỉ IP nằm
trong vùng mạng được chỉ định bởi câu lệnh network và bắt đầu thực hiện định
tuyến trên những cổng kết nối đó .
Ví dụ : Cấu hình EIGRP .

Bảng sau đây mô tả cấu hình EIGRP trên Router A
Router eigrp 100: kích hoạt tiến trình EIGRP cho hệ thống tự quản có số hiệu 100
Network 172.16.0.0: đưa mạng 172.16.0.0 vào tiến trình định tuyến EIGRP
Network 10.0.0.0: đưa mạng 10.0.0.0 vào tiến trình định tuyến EIGRP
Lưu ý : EIGRP gửi thông tin cập nhật ra những cổng kết nối thuộc về mạng
10.0.0.0 và mạng 172.16.0.0. Các cập nhật này bao gồm các thông tin từ mạng
10.0.0.0 , 172.16.0.0 và các mạng khác mà EIGRP học được .
1-6
Cấu hình mặc định của EIGRP đối với
các mạng không liên tục
Mặc định EIGRP không hỗ trợ quảng bá mạng con do đó không

hỗ trợ các mạng không liên tục
1-7
EIGRP tự động nhóm tuyến tại biên giới của mạng có phân lớp . Trong
một vài trường hợp , bạn có thể sẽ không muốn việc nhóm tuyến diễn
ra tự động . Ví dụ , nếu bạn có những mạng không liên tục , bạn cần
phải tắt chế độ nhóm tuyến tự động để tránh cho router khỏi bị nhầm
lẫn .
1-7
Sử dụng câu lệnh no auto-summary cho
các mạng không liên tục của EIGRP
Sử dụng câu lệnh no auto-summary để quảng bá mạng con , do đó

hỗ trợ được các mạng không liên tục
1-8
Để tắt chế độ nhóm tuyến tự động , sử cụng câu lệnh no auto-summary
1-8
Kiểm tra cấu hình EIGRP
RouterX# show ip route eigrp
Hiển thị các tuyến hiện tại của EIGRP trong bảng định tuyến
RouterX# show ip protocols

Hiển thị các thông số và trạng thái hiện tại của giao thức định tuyến
RouterX# show ip eigrp interfaces

Hiển thị các thông tin cấu hình trên cổng kết nối của EIGRP
RouterX# show ip eigrp interfaces

IP EIGRP interfaces for process 109
Xmit Queue Mean Pacing Time Multicast Pending

Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Di0 0 0/0 0 11/434 0 0
Et0 1 0/0 337 0/10 0 0
SE0:1.16 1 0/0 10 1/63 103 0
Tu0 1 0/0 330 0/16 0 0
1-9
Câu lệnh show ip route eigrp cho thấy các tuyến EIGRP trong bảng định tuyến
Câu lệnh show ip protocols cho thấy các thông số và trạng thái hiện tại của tiến
trình giao thức định tuyến đang chạy . Câu lệnh này chỉ ra số hiệu hệ tự quản của
EIGRP , đồng thời cũng chỉ ra thông tin về lọc tuyến , phân phối tuyến , láng
giềng và thông tin về khoảng cách.
Sử dụng câu lệnh show ip eigrp interfaces [type number] [ as-number] để chỉ
ra cổng kết nối nào đang chạy EIGRP , những thông tin về EIGRP học được trên
các cổng kết nối này . Nếu bạn chỉ định ra một cổng kết nối cụ thể bằng cách sử
dụng tùy chọn type number ( loại cổng kết nối – số thứ tự của cổng kết nối tương
ứng ) , thì chỉ có những thông tin liên quan đến cổng kết nối đó mới được hiển thị
. Nếu không chỉ định cụ thể , tất cả các cổng kết nối mà EIGRP đang chạy sẽ hiển
thị lên hết . Nếu bạn chỉ định cụ thể một hệ tự quản bằng cách sử dụng as-number
( số hiệu hệ tự quản ) , thì chỉ có các thông tin tiến trình định tuyến về hệ tự quản
đó được hiển thị . Nếu không chỉ định cụ thể , tất cả các tiến trình EIGRP sẽ được
hiện thị
Hiển thị của câu lệnh show ip eigrp interfaces

Interface: Cổng kết nối mà EIGRP được cấu hình trên đó.
Peers: Số lượng các router EIGRP láng giềng kết nối trực tiếp trên cổng kết nối
đó.
Xmit Queue Un/Reliable: Số lượng các hàng gói tin còn lại trong hàng đợi Tin
Cậy và Không Tin Cậy.
1-9
Mean SRTT: Khoảng thời gian trung bình đi và về của gói tin ( SRTT
smoothed round-trip time ) ( tính bằng mili giây ) đối với tất cả các láng giềng
trên cổng kết nối đó
Pacing Time Un/Reliable: Số mili giây phải đợi sau khi gửi các gói tin không
tin cậy và tin cậy
Multicast Flow Timer: Số mili giây phải đợi để xác nhận một gói tin
multicast từ tất cả các láng giềng trước khi gửi gói tin multicast kế tiếp
Pending Routes: Số lượng các tuyến trong các gói tin phải chờ trong hàng đợi
trước khi được gửi đi
1-10
Kiểm tra cấu hình EIGRP (tiếp theo.)
RouterX# show ip eigrp neighbors [detail]

Hiển thị ra các láng giềng được khám phá bởi IP EIGRP
RouterX# show ip eigrp neighbors

IP-EIGRP Neighbors for process 77
Address Interface Holdtime Uptime Q Seq SRTT RTO
(secs) (h:m:s) Count Num (ms) (ms)
172.16.81.28 Ethernet1 13 0:00:41 0 11 4 20
172.16.80.28 Ethernet0 14 0:02:01 0 10 12 24
172.16.80.31 Ethernet0 12 0:02:02 0 4 5 20
1-11
Sử dụng câu lệnh show ip eigrp neighbors để hiển thị ra các láng giềng được
phát hiện bởi EIGRP và cho thấy được láng giềng nào đang hoạt động , láng
giềng nào không hoạt động . Câu lệnh này cũng hữu ích trong việc gỡ rối một số
sự cố về vận chuyển gói tin .
Bảng sau đây mô tả các phần quan trọng của câu lệnh show ip eigrp neighbors
Process 77: Số hiệu hệ tự quản được chỉ định bởi câu lệnh router
Address: Địa chỉ IP của láng giềng
Interface: Cổng kết nối mà router nhận được gói hello từ láng giềng
Holdtime: Độ dài thời gian ( tính bằng giây ) mà IOS chờ và lắng nghe thông tin
từ láng giềng trước khi thông báo láng giềng không còn tồn tại . Nếu láng giềng
được cấu hình sử dụng giá trị thời gian này là mặc định , thì con số này nhỏ hơn
15 giây . Nếu láng giềng sử dụng giá trị khác , thì giá trị này cũng sẽ được hiển
thị.
Uptime: Thời gian trôi qua ( có định dạng – giờ : phút : giây ) kể từ khi router
thấy láng giềng lần đầu tiên.
Q Count: Số lượng gói tin EIGRP ( update , query , reply ) đang chờ trước khi
được gửi.
Seq Num: Số thứ tự của gói tin update , query , reply nhận được mới nhất từ láng
giềng
1-11
SRTT: Thời gian tính bằng mili giây cần thiết để một gói tin EIGRP gửi cho láng
giềng và nhận được xác nhận từ láng giềng đó.
RTO: Retransmission timeout ( RTO ) ( tính bằng mili giây ) : là thời gian phải chờ
trước khi thực hiện gửi lại gói tin nằm trong hàng đợi cho láng giềng.
Bảng sau đây mô tả các phần quan trọng của câu lệnh show ip eigrp neighbors
detail
Proces 77: Số hiệu hệ tự quản được chỉ định bởi câu lệnh router.
H: Cột này đưa ra danh sách thứ tự phiên làm việc đã thiết lập trước đó với láng
giềng . Số thứ tự được đánh số bắt đầu từ 0.
Address: Địa chỉ IP của láng giềng.
Interface: Cổng kết nối mà router nhận được gói hello từ láng giềng.
Holdtime: Độ dài thời gian ( tính bằng giây ) mà IOS chờ và lắng nghe thông tin từ
láng giềng trước khi thông báo láng giềng không còn tồn tại . Nếu láng giềng được
cấu hình sử dụng giá trị thời gian này là mặc định , thì con số này nhỏ hơn 15 giây .
Nếu láng giềng sử dụng giá trị khác , thì giá trị này cũng sẽ được hiển thị.
Uptime: Thời gian trôi qua ( có định dạng – giờ : phút : giây ) kể từ khi router thấy
láng giềng lần đầu tiên.
Q Count: Số lượng gói tin EIGRP ( update , query , reply ) đang chờ trước khi được
gửi.
Seq Num: Số thứ tự của gói tin update , query , reply nhận được mới nhất từ láng
giềng.
SRTT: Thời gian tính bằng mili giây cần thiết để một gói tin EIGRP gửi cho láng
giềng và nhận được xác nhận từ láng giềng đó.
RTO: Retransmission timeout ( RTO ) ( tính bằng mili giây ) : là thời gian phải chờ
trước khi thực hiện gửi lại gói tin nằm trong hàng đợi cho láng giềng.
Version: Phiên bản phần mềm mà láng giềng đang sử dụng.
Retrans: Số lần mà một gói tin đã được gửi lại.
Retries: Số lần cố gắng để gửi lại một gói tin.
Restart time: Thời gian trôi qua ( có định dạng – giờ : phút : giây ) kể từ khi một
neighbor nào đó khởi động lại.
1-12
RouterX# show ip eigrp topology [all]
Hiển thị bảng cấu trúc mạng của IP EIGRP

Không sử dụng thông số [all], hiển thị ra các đường đi chính ( successor ) và
các đường đi chính khả dụng (feasible successor )
RouterX# show ip eigrp topology
IP-EIGRP Topology Table for process 77
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 172.16.90.0 255.255.255.0, 2 successors, FD is 46251776
via 172.16.80.28 (46251776/46226176), Ethernet0
via 172.16.81.28 (46251776/46226176), Ethernet1
via 172.16.80.31 (46277376/46251776), Serial0
P 172.16.81.0 255.255.255.0, 2 successors, FD is 307200
via Connected, Ethernet1
via 172.16.81.28 (307200/281600), Ethernet1
via 172.16.80.28 (307200/281600), Ethernet0
via 172.16.80.31 (332800/307200), Serial0
1-13
Câu lệnh show ip eigrp topology hiển thị bảng cấu trúc mạng của EIGRP , trạng
thái chủ động hay thụ động của một tuyến , số lượng các đường đi chính (
successor ) và khoảng cách khả dụng ( feasible distance ) dùng để đi đến đích .
Hiển thị của câu lệnh show ip eigrp topology :

Codes: Trạng thái của bảng cấu trúc mạng . Trạng thái không tác động ( P :
Passive ) là trạng thái ổn định, sẵn sàng sử dụng được .Trạng thái tác động ( A :
Active ) là trạng thái đang trong tiến trình tìm kiếm đường đi mới bằng cách gửi
và nhận các gói Update , Query , Reply .
P- Passive: Chỉ ra rằng EIGRP không thực hiện tính toán đường đi đối với mạng
đích này.
A- Active: Chỉ ra rằng EIGRP đang thực hiện tính toán để tìm ra đường đi mới.
U- Update: Chỉ ra rằng có một gói tin update đã được gửi cho mạng đích.
Q- Query: Chỉ ra rằng có một gói tin query đã được gửi cho mạng đích.
R- Reply: Chỉ ra rằng có một gói tin reply đã được gửi cho mạng đích.
r- Reply status: Cờ này được bật lên sau khi EIGRP đã gửi một gói tin query và
đang phải chờ gói tin reply
172.16.90.0: Địa chỉ IP mạng đích
255.255.255.0: Mặt nạ mạng đích
1-13
Successors: Số lượng các đường đi chính . Số này tương ứng với số cổng đến
kế cận (next-hop) trong bảng định tuyến.
FD: Feasible Distance là chi phí thấp nhất để đến đi đến đích . Giá trị này
dùng để kiểm tra trong điều kiện khả dụng Feasible Condition (FC) . Nếu giá
trị AD của một router nhỏ hơn giá trị FD hiện tại thì điều kiện FC thỏa mãn và
đường đi qua router đó sẽ là đường đi chính khả dụng Feasible Successor. Sau
khi EIGRP đã định ra được feasible successor , nó không cần phải gửi query để
hỏi các láng giềng về mạng đích nữa .
Replies: Số lượng các gói tin reply đang chờ để nhận được thông tin về mạng
đích . Thông tin trong phần này chỉ xuất hiện khi mạng đích đang ở trạng thái
chủ động ( ACTIVE ) .
State: Trạng thái cụ thể của EIGRP về mạng đích , nó được hiển thị bằng số 0
, 1 , 2 , hoặc 3 . Thông tin này chỉ xuất hiện khi mạng đích ở trong trạng thái
chủ động ( ACTIVE ) .
Via: Địa chỉ ip của cổng đến kế tiếp dùng để đi đến mạng đích , n là kí tự đầu
tiên của các dòng này , trong đó n là số các đường đi chính ( successor ). Các
dòng còn lại là đường đi chính khả dụng ( feasible successor ).
(46251776/46226176): Số đầu tiên là chi phí mà EIGRP dùng để đi đến đích .
Số thứ hai là chi phí của láng giềng quảng bá qua Ethernet0 Cổng kết nối mà
thông tin được học từ nó.
Serial0: Cổng kết nối mà thông tin được học từ nó.
1-14
RouterX# show ip eigrp traffic
Hiển thị số lượng các gói tin EIGRP gửi đi và nhận vào
RouterX# show ip eigrp traffic

IP-EIGRP Traffic Statistics for process 77
Hellos sent/received: 218/205
Updates sent/received: 7/23
Queries sent/received: 2/0
Replies sent/received: 0/2
Acks sent/received: 21/14
1-15
Câu lệnh show ip eigrp traffic hiện thị số lượng các gói tin gửi và nhận
Bảng sau mô tả các phần được hiển thị ra
Proces 77: Số hiệu hệ tự quản được chỉ định bởi câu lệnh router
Hellos sent/received: Số lượng các gói hello đã gửi và đã nhận
Updates sent/received: Số lượng các gói update đã gửi và đã nhận
Queries sent/received: Số lượng các gói query đã gửi và đã nhận
Replies sent/received: Số lượng các gói reply đã gửi và đã nhận
Acks sent/received: Số lượng các gói ack đã gửi và đã nhận
1-15
Câu lệnh debug ip eigrp
RouterX# debug ip eigrp

IP-EIGRP: Processing incoming UPDATE packet
IP-EIGRP: Ext 192.168.3.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 –
256000 104960
IP-EIGRP: Ext 192.168.0.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 –
256000 104960
IP-EIGRP: Ext 192.168.3.0 255.255.255.0 M 386560 - 256000 130560 SM 360960 –
256000 104960
IP-EIGRP: 172.69.43.0 255.255.255.0, - do advertise out Ethernet0/1
IP-EIGRP: Ext 172.69.43.0 255.255.255.0 metric 371200 - 256000 115200
Lưu ý: Các tuyến của EIGRP chỉ trao đổi khi có sự thay đổi về cấu trúc mạng.
1-16
Câu lệnh debug ip eigrp trong chế độ EXEC giúp bạn phân tích các gói tin
EIGRP mà cổng kết nối gửi ra và nhận vào . Bởi vì câu lệnh debug ip eigrp
hiển thị ra rất nhiều thông tin , bạn chỉ nên sử dụng câu lệnh này khi không có
nhiều dữ liệu đi trong mạng .
Bảng sau mô tả các hiển thị của câu lệnh debug ip eigrp
IP-EIGRP: Chỉ ra rằng đây là gói tin EIGRP

Ext: Chỉ ra rằng các địa chỉ mạng sau là các địa chỉ ngoại mạng , nếu là địa
chỉ nội mạng thì kí hiệu là “Int”
Do not advertise out: Chỉ ra những interface mà EIGRP sẽ không quảng bá
thông tin định tuyến ra đó. Cấu hình này dùng để chống lặp vòng
trong mạng ( qui luật split horizon ).
M: Hiển thị chi phí đường đi , bao gồm chi phí được gửi đi ( Sent Metric –
SM ) và chi phí giữa router và láng giềng . Số đầu tiên là chi phí tổng hợp , 2
số kế tiếp là băng thông và độ trễ .
SM: Hiện thi ra đây là chi phí được quảng bá bởi láng giềng .
1-16
Chi phí của EIGRP
Các thông số mặc định dùng để tính toán chi phí của
EIGRP:
Băng thông
Độ trễ
Các thông số tùy chọn mà EIGRP có thể dùng để tính
toán chi phí :
Độ tin cậy
Tải
Lưu ý : Mặc dù MTU được trao đổi giữa các gói tin EIGRP và
giữa các router láng giềng, MTU không phải là yếu tố dùng để
tính toán đường đi của EIGRP
1-17
Chi phí của EIGRP

Chi phí của EIGRP được tính toán dựa trên nhiều thông số , nhưng 2 thông số
quan trọng nhất là băng thông và độ trễ
•Băng thông : giá trị băng thông nhỏ nhất giữa nguồn và đích
•Độ trễ : tổng độ trễ của các cổng kết nối trên đường đi .
Các thông số sau đây cũng có thể được sử dụng nhưng không được khuyến cáo
bởi vì thường dẫn đến việc thường xuyên tinh toán lại bảng cấu trúc mạng
•Độ tin cậy : giá trị này biểu thị độ tin cậy giữa nguồn và đích dựa trên gói tin
keepalives
•Tải : giá trị này biểu thị tải của các đường kết nối giữa nguồn và đích , được
tính toán dựa trên tốc độ truyền gói tin và băng thông được cấu hình trên cổng
kết nối .
Lưu ý : mặc dù Đơn Vị Truyền Dẫn Lớn Nhất ( Maximum Transmission Unit
– MTU ) được mang trong gói tin EIGRP và trao đổi giữa các router láng
giềng , MTU không phải là một yếu tố trong việc tính toán chi phí của EIGRP .
1-17
Cân bằng tải với EIGRP
Mặc định , EIGRP thực hiện cân bằng tải trên các đường có chi
phí bằng nhau:
– Mặc định , 4 đường có chi phí bằng nhau thấp nhất được đặt
vào bảng định tuyến .
Có thể có tới 16 tuyến đi về cùng một đích được lưu trong bảng
định tuyến :
– Số lượng tuyến tối đa có thể được cấu hình bằng câu lệnh
maximum-paths.
1-18
CHIA TẢI TRÊN NHỮNG ĐƯỜNG CÓ CHI PHÍ BẰNG NHAU
Tính năng chia tải trên những đường có chi phí bằng nhau cho phép router
phân phối dữ liệu trên các cổng kết nối với cùng một chi phí để đi đến đích .
Chia tải sử dụng được hết hiệu suất của đường truyền và tăng hiệu quả sử dụng
băng thông .
Đối với giao thức IP , phần mền Cisco IOS mặc định sẽ sử dụng cân bằng tải
cho 4 đường có chi phí bằng nhau . Nếu sử dụng câu lệnh maximum-paths
maximum-path , có thể cân bằng tải được tối đa cho 16 đường có chi phí bằng
nhau . Nếu bạn điều chỉnh maximum-path bằng 1 thì có nghĩa là bạn đã tắt chế
độ cân bằng tải . Nếu một gói tin được chuyển mạch theo từng tiến trình , thì
cân bằng tải trên những đường có chi phí bằng nhau được thực hiện đối với
từng gói tin . Nếu gói tin được chuyển mạch nhanh , thì cân bằng tải sẽ được
thực hiện đối với từng mạng đích .
Lưu ý : Nếu thực hiện kiểm tra cân bằng tải thì không thực hiện ping đến hoặc
ping từ một router có cổng kết nối đang ở chế độ chuyển mạch nhanh bởi vì
những gói tin được tạo ra từ các router này sẽ được xử lí theo kiểu chuyển
mạch theo tiến trình ,do đó sẽ dẫn đến những kết quả gây nhầm lẫn .
1-18
Cân bằng tải trên các đường có chi phí không
bằng nhau của EIGRP
RouterX(config-router)#
variance multiplier
Cho phép router cân bằng tải trên những tuyến có chi phí nhỏ hơn
giá trị multiplier đem nhân với chi phí nhỏ nhất đi đến đích .
Giá trị variance mặc định là 1, nghĩa là cân bằng tải trên những đường
có chi phí bằng nhau .
1-19
CẤU HÌNH CHIA TẢI TRÊN CÁC ĐƯỜNG CÓ CHI PHÍ KHÔNG BĂNG
NHAU
EIGRP cũng có thể chia tải trên những đường có chi phí không bằng nhau , và
được gọi là chia tải không cân bằng phí . Mức độ mà EIGRP chia tải trên các
cổng kết nối được thực hiện bằng câu lệnh variance
Bảng sau đây liệt kê ra các thông số trong câu lệnh variance
Multiplier: Giá trị này nằm trong khoảng từ 1 đến 128 . Giá trị mặc định là 1 , chỉ
ra rằng chỉ có cân bằng tải trên những đường có chi phí bằng nhau được thực hiện
. Giá trị multiplier định ra khoảng giá trị chi phí chấp nhận được dùng để thực
hiện cân bằng tải.
Lưu ý : mặc định thì dữ liệu được phân phối trên những đường có chi phí không
bằng nhau .
1-19
Ví dụ Variance
Router E chọn router C để đi đến mạng 172.16.0.0 bởi vì nó có khoảng cách

khả dụng nhỏ nhất bằng 20 .
Với giá trị variance bằng 2, router E cũng chọn router B để đi đến mạng
172.16.0.0 (20 + 10 = 30) < [2 * (FD) = 40].
Router D không được chọn để đi đến mạng 172.16.0.0 (vì 25 > 20).
1-20
Ví dụ : Câu hình câu lệnh variance

Trong hình trên , variance được cấu hình với giá trị là 2 , khoảng chi phí cần
dùng là từ 20 đến 45 , đó cũng chính là những khoảng cách khả dụng ( FD –
feasible distance) mà router E dùng để đi đến mạng 172.16.0.0 . Khoảng chi
phí trên chỉ ra những tuyến có thể được sử dụng .
Một tuyến được gọi là khả dụng nếu router kế cận gần mạng đích hơn router
hiện tại và nếu chi phí của đường đi dự phòng nằm trong khoảng mà
variance định ra . Cân bằng tải chỉ có thể sử dụng những tuyến khả dụng và
bảng định tuyến chỉ lưu những tuyến này thôi .
Có 2 điều kiện khả dụng được liệt kê ra sau đây :
•Chí phí tốt nhất hoặc khoảng cách khả dụng hiện tại ( feasible distance )
phải lớn hơn chi phí tốt nhất được quảng bá từ router kế cận ( advertised
distance ) . Nói cách khác , router kế cận trên đường đi phải gần đích hơn là
router hiện tại , điều này chống lại hiện tượng lặp vòng .
•Chi phí của đường đi dự phòng phải nhỏ hơn giá trị variance nhân với
khoảng cách khả dụng tốt nhất .
Nếu cả 2 điều kiện này được thỏa mãn thì tuyến đó được coi là khả dụng và
được đưa vào bảng định tuyến .
Trong hình trên , có 3 đường đi đến mạng 172.16.0.0 với các chi phí sau đây
:
1-20
•Đường đi 1 : 30 ( qua B )
•Đường đi 2 : 20 ( qua C )
•Đường đi 3 : 45 ( qua D )
Mặc định , router chỉ đặt đường đi thứ 2 ( qua C ) vào trong bảng định tuyến vì
nó có chi phí thấp nhất . Để chi tải trên đường đi thứ nhất và đường đi thứ 2 , sử
dụng giá trị variance bằng 2 vì 20 * 2 = 40 , chi phí này lớn hơn chi phí qua
đường đi thứ nhất .
Trong ví dụ này , Router E sử dụng router C là đường đi chính bởi vì nó có chi
phí thấp nhất ( 20 ) . Câu lệnh variance 2 áp dụng trên router E , đường đi qua
router B thỏa mãn để chia tải . Trong trường hợp này , khoảng cách khả dụng
qua router B nhỏ hơn 2 lần khoảng cách khả dụng của đường đi chính ( router C
).
Router D không được sử dụng để chi tải vì khoảng cách khả dụng qua router D
lớn hơn 2 lần khoảng cách khả dụng của đường đi chính ( router C ) . Trong ví
dụ này , router D sẽ không trở thành đường đi chính khả dụng với bất kì giá trị
variance nào . Bởi vì khoảng cách được quảng bá từ router D là 25 , lớn hơn
khoảng cách khả dụng của router E là 20 , do đó để tránh lặp vòng , router D
không được coi là đường đi chính khả dụng .
1-21
Chứng thực EIGRP bằng MD5
EIGRP hỗ trợ chứng thực EIGRP.

Các router tự xác định mình trong các gói tin EIGRP gửi đi.
Các router chứng thực nguồn gốc của các thông tin cập nhật định
tuyến mà nó nhận được.
Các láng giềng tham gia chứng thực phải được cấu hình cùng
một khóa.
1-22
Bạn có thể cấu hình chứng thực các láng giềng EIGRP , các router có thể tham
gia vào quá trình định tuyến dựa trên mật khẩu đã được định nghĩa trước . Mặc
định , không có chứng thực được sử dụng trong các gói tin EIGRP . EIGRP có thể
được cấu hình để sử dụng chứng thực với thuật toán MD5 .
Khi bạn cấu hình chứng thực với láng giềng , router sẽ thực hiện chứng thực
nguồn gốc của các gói tin quảng bá thông tin định tuyến . Đối với chứng thực kiểu
MD5 , bạn phải cấu hình một chìa khoá chứng thực ( authentication key ) và định
danh của khóa ( key ID ) trên cả router gửi và router nhận thông tin định tuyến .
Chìa khóa được đề cập đến như là mật khẩu vậy .
1-22
Các bước cấu hình chứng thực MD5 cho
EIGRP
1. Tạo ra chuỗi khóa, là một nhóm các khóa (hay còn gọi là các
mật khẩu).
2. Gán định danh khóa cho mỗi khóa.
3. Xác định các khóa.
4. (Tùy chọn) Chỉ ra thời gian sống của một khóa.
5. Bật chứng năng chứng thực MD5 trên cổng kết nối.
6. Chỉ định chuỗi khóa mà cổng kết nối sẽ sử dụng.
1-23
Khóa MD5 trong mỗi gói tin EIGRP chống lại thông tin định tuyến sai lệch từ
một nguồn không tin cậy .
Mỗi khóa có một định danh của khóa ( Key ID ) , được lưu trữ tại nội bộ mỗi
router . Sự kết hợp của định danh của khóa và cổng kết nối được mang theo gói
tin chỉ ra một thuật toán chứng thực duy nhất và khóa chứng thực MD5 được sử
dụng .
EIGRP cho phép bạn quản lí các khóa bằng các chuỗi khóa . Mỗi khóa được
định nghĩa trong một chuỗi khóa , và có thể chỉ ra thời gian hoạt động của khóa
đó ( thời gian sống ) . Trong suốt khoảng thời gian sống của khóa , thông tin cập
nhật định tuyến được gửi đi kèm theo khóa này . Chỉ có một gói tin chứng thực
được gửi đi , bất kể là có bao nhiêu khóa tồn tại . Phần mềm sẽ kiểm tra các số
khóa theo thứ tự từ thấp nhất đến cao nhất , và khóa đầu tiên có giá trị sẽ được
dùng .
Khóa không thể sử dụng được trong khoảng thời gian mà nó chưa được kích
hoạt . Vì vậy , người ta khuyến cáo rằng đối với một chuỗi khóa nào đó thì thời
gian hoạt động của khoá phải xen kẽ nhau để tránh trường hợp có một khoảng
thời gian mà không có khóa nào hoạt động . Nếu tồn tại khoảng thời gian mà
không có khóa nào hoạt động , chứng thực với láng giềng sẽ không xảy ra , do
đó thông tin cập nhật định tuyến sẽ không thực hiện được .
Lưu ý rằng : Rất quan trọng để router biết thời gian chính xác để xoay vòng việc
sử dụng khóa đồng bộ với các router khác . Điều này sẽ chắc chắn được tất cả
các router dùng chung một khóa tại cùng một thời điểm .
1-23
Cấu hình chứng thực MD5 cho EIGRP
RouterX(config)#
key chain name-of-chain
Vào chế độ cấu hình chuỗi khóa
RouterX(config-keychain)#
key key-id
Chỉ định khóa và vào chế độ cấu hình cho định danh khóa
1-24
Thực hiện các bước sau để tạo ra chuỗi khóa :

Bước 1 : Gõ vào câu lệnh key chain để vào cấu hình . Bảng sau mô tả các
thông số của các câu lệnh này
Name-of-chain: Tên của chuỗi khóa chứng thực mà một khóa thuộc về .
Bước 2 : Sử dụng câu lệnh key để chỉ ra một khóa định danh để sử dụng . Bảng
sau mô tả thông số của câu lệnh này
Key-id: Số ID của một khóa của một chuỗi khóa . Số này nằm trong khoảng từ
0 đến 2147483647 . Số định danh khóa không cần phải liên tục .
1-24
Cấu hình chứng thực MD5 cho EIGRP (
tiếp theo.)
RouterX(config-keychain-key)#
key-string text
Chỉ định chuỗi kí tự khóa ( mật khẩu )
accept-lifetime start-time {infinite | end-time | duration
seconds}
(Tùy chọn) chỉ định thời gian mà khóa được sử dụng cho các gói tin nhận
vào
send-lifetime start-time {infinite | end-time | duration
seconds}
(Tùy chọn) chỉ định thời gian mà khóa được sử dụng cho các gói tin gửi đi
1-25
Bước 3 : Sử dụng câu lệnh key-string để chỉ ra chuỗi kí tự của khóa này ( mật
khẩu ) . Bảng sau mô tả các thông số của câu lệnh này .
Text: Chuỗi kí tự dùng để chứng thực các gói tin EIGRP gửi đi và nhận vào .
Chuỗi kí tự có độ dài từ 1 đến 80 , có thể bao gồm các kí tự chữ hoa , chữ
thường . Kí tự đầu tiên không thể là một con số , chuỗi kí tự này có phân biệt
chữ hoa và chữ thường .
Bước 4 : Bước này là bước tùy chọn , sử dụng câu lệnh accept-lifetime để chỉ
ra thời gian mà khóa được chấp nhận dùng cho việc xác thực một gói tin nhận
vào . Nếu bạn không dùng câu lệnh accept-lifetime , thì thời gian này là vô tận
. Bảng sau mô tả thông số của câu lệnh này
Start-time: Thời gian bắt đầu kể từ khi khóa được chỉ định bằng câu lệnh key ,
có giá trị xác thực một gói tin nhận vào .
Infinitive: Khóa có giá trị trên các gói tin nhận vào tính từ thời điểm bắt đầu và
không có thời điểm kết thúc.
1-25
End-time: Khóa có giá trị trên các gói tin nhận vào tính từ thời điểm bắt đầu đến
thời điểm kết thúc . Cú pháp này giống với start-time. Giá trị thời điểm kết thúc
phải đứng sau giá trị thời điểm bắt đầu . Giá trị mặc định của thời điểm kết thúc
là vô tận.
Seconds: Độ dài thời gian tính bằng giây mà khóa có giá trị sử dụng trên các gói
tin nhận vào . Khoảng này từ 1 đến 2147483646
Bước 5 : Bước này là bước tùy chọn , chỉ ra khoảng thời gian mà khóa này được
sử dụng cho việc gửi gói tin đi , sử dụng câu lệnh send-lifetime . Nếu không dùng
câu lệnh này , thời gian mặc định là vô tận . Bảng này mô tả các thông số của
lệnh này
Start-time: Thời gian bắt đầu kể từ khi khóa được chỉ định bằng câu lệnh key ,
có giá trị xác thực một gói tin gửi đi .
Infinitive: Khóa có giá trị trên các gói tin gửi đi tính từ thời điểm bắt đầu và
không có thời điểm kết thúc.
End-time: Khóa có giá trị trên các gói tin gửi đi tính từ thời điểm bắt đầu đến
thời điểm kết thúc . Cú pháp này giống với start-time. Giá trị thời điểm kết thúc
phải đứng sau giá trị thời điểm bắt đầu . Giá trị mặc định của thời điểm kết thúc
là vô tận.
Seconds: Độ dài thời gian tính bằng giây mà khóa có giá trị sử dụng trên các gói
tin gửi đi . Khoảng này từ 1 đến 2147483646
Lưu ý : Nếu câu lệnh service password-encryption không được sử dụng khi
thực hiện chứng thực EIGRP , các kí tự của khóa sẽ được lưu dưới dạng không
mã hóa trong cấu hình của router . Nếu có sử dụng câu lệnh service password-
encryption thì khóa sẽ được lưu dưới dạng mã hóa và loại mã hóa là loại 7 .
1-26
Cấu hình chứng thực MD5 cho EIGRP (
tiếp theo.)
RouterX(config-if)#
ip authentication mode eigrp autonomous-system md5
Chỉ định chứng thực MD5 cho các gói tin EIGRP
RouterX(config-if)#
ip authentication key-chain eigrp autonomous-system
name-of-chain
Kích hoạt chứng thực cho các gói tin EIGRP sử dụng khóa trong chuỗi khóa
1-27
Để cấu hình chứng thực MD5 với EIGRP , thực hiện các bước sau :
Bước 1 : Vào chế độ cấu hình cho cổng kết nối mà bạn muốn thực hiện chứng
thực trên đó
Bước 2 : Sử dụng câu lệnh ip authentication mode eigrp md5 để chỉ ra chứng
thực MD5 được sử dụng cho các gói tin EIGRP . Bảng sau mô tả thông số của
câu lệnh này
Autonomous-system: Hệ số tự quản của EIGRP mà chứng thực được dùng
Bước 3 : Sử dụng câu lệnh ip authentication key-chain eigrp để chỉ ra chuỗi

khóa nào được dùng để chứng thực các gói tin EIGRP . Bảng sau mô tả các
thông số của câu lẹnh này
Autonomous-system :hệ số tự quản của EIGRP mà chứng thực được dùng

Name of chain: tên của chuỗi chứng thực mà khóa này thuộc về
1-27
Ví dụ cấu hình chứng thực MD5 cho
EIGRP
RouterX
<output omitted>
key chain RouterXchain
key 1
key-string firstkey
accept-lifetime 04:00:00 Jan 1 2006 infinite
send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006
key 2
key-string secondkey
send-lifetime 04:00:00 Jan 1 2006 infinite
<output omitted>
!
interface Serial0/0/1
bandwidth 64
ip address 192.168.1.101 255.255.255.224
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 RouterXchain
1-28
Ví dụ : Cấu hình chứng thực MD5

Hình ảnh này chỉ ra cấu hình chứng thực MD5 EIGRP cho router X
Chứng thực MD5 được cấu hình trên cống kết nối s0/0/1 với câu lệnh ip
authentication mode eigrp 100 md5 . Câu lệnh ip authentication key-
chain eigrp 100 RouterXchain chỉ ra chuỗi khóa RouterXchain được sử
dụng cho hệ số tự quản 100 của EIGRP
Câu lệnh key chain RouterXchain dùng để cấu hình các thông số cho chuỗi
khóa RouterXchain . Ở đây có 2 khóa được định nghĩa . Khóa 1 được đặt là
firstkey bằng câu lệnh key-string firstkey . Khóa này được áp dụng cho các
gói tin nhận vào bởi router X từ 4:00 ẠM ngày 1 tháng 1 năm 2006 đến vô
tận . Tuy nhiên câu lệnh send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1
2006 chỉ ra rằng khóa này chỉ được sử dụng cho các gói tin được gửi đi
trong vòng một phút của ngày 1 tháng 1 năm 2006 . Về sau nó sẽ không còn
giá trị cho các gói tin gửi đi nữa .
Khóa 2 được đặt là secondkey bằng câu lệnh key-string secondkey . Khóa
này được áp dụng cho các gói tin nhận được bởi RouterX từ 4:00 AM ngày 1
tháng 1 năm 2006 , được thực hiện bởi câu lệnh accep-lifetime 04:00:00
Jan 1 2006 infinite . Khóa này có thể được sử dụng khi các gói tin được gửi
từ 4:00 AM ngày 1 tháng 1 năm 2006 ,được thực hiện bởi câu lệnh send-
lifetime 4:00:00 Jan 1 2006 infinite .
1-28
Do đó , routerX chấp nhận và cố gắng kiểm tra chứng thực MD5 đối với tất cả
các gói tin EIGRP với định danh khóa bằng 1 . Router X cũng chấp nhận gói tin
có định danh khóa bằng 2 .Tất cả các chứng thực MD5 khác đều bị từ chối .
Router X gửi tất cả các gói EIGRP sử dụng khóa 2 vì khóa 1 không còn giá trị
để gửi các gói tin đi .
1-29
Ví dụ cấu hình chứng thực MD5 cho
EIGRP
RouterY
<output omitted>
key chain RouterYchain
key 1
key-string firstkey
key 2
key-string secondkey
<output omitted>
!
interface Serial0/0/1
bandwidth 64
ip address 192.168.1.102 255.255.255.224
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 RouterYchain
1-30
Hình trên chỉ ra cấu hình chứng thực EIGRP MD5 cho routerY .
Cấu hình chứng thực MD5 trên cổng kết nối s0/0/1 bằng câu lệnh ip
authentication mode eigrp 100 md5 . Câu lệnh ip authentication key-chain
eigrp 100 RouterYchain chỉ ra rằng chuỗi khóa RouterYchain đang được
sử dụng cho EIGRP với hệ số tự quản 100 .
Câu lệnh key chain routerYchain dùng để vào chế độ cấu hình cho chuỗi
khóa RouterYchain . Có 2 khóa được định nghĩa . Khóa 1 được đặt là
firstkey bằng câu lệnh key-string firstkey . Khóa này được áp dụng cho
các gói tin nhận được bởi router Y từ 4:00 AM ngày 1 tháng 1 năm 2006 ,
thực hiện bằng câu lệnh accept-lifetime 04:00:00 Jan 1 2006 infinite .
Khóa này có thể dùng khi các gói tin gửi từ 4:00AM ngày 1 tháng 1 năm
2006 , thực hiện bằng câu lệnh send-lifetime 04:00:00 Jan 1 2006 infinite .
Khóa 2 được đặt là secondkey bằng câu lệnh key-string secondkey . Khóa
này được sử dụng cho các gói tin nhận được từ router Y từ 4:00 AM ngày 1
tháng 1 năm 2006 , được thực hiện bằng câu lệnh accept-lifetime 04:00:00
Jan 1 2006 infinite . Khóa này có thể được sử dụng khi các gói tin được gửi
từ 4:00 AM ngày 1 tháng 1 năm 2006 , được thực hiện bằng câu lệnh send-
lifetime 04:00:00 Jan 1 2006 infinite .
Do đó , RouterY chấp nhận và cố gắng chứng thực MD5 với bất kì một gói
tin EIGRP nào với định danh khóa bằng 1 hoặc 2 . Router Y sử dụng khóa 1
để gửi tất cả các gói tin EIGRP bởi vì nó là khóa có giá trị đầu tiên trong
chuỗi khóa .
1-30
Kiểm tra chứng thực MD5
RouterX#
*Jan 21 16:23:30.517: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102
(Serial0/0/1) is up: new adjacency
RouterX#show ip eigrp neighbors

IP-EIGRP neighbors for process 100
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.1.102 Se0/0/1 12 00:03:10 17 2280 0 14
RouterX#show ip route
<output omitted>
Gateway of last resort is not set
D 172.17.0.0/16 [90/40514560] via 192.168.1.102, 00:02:22, Serial0/0/1
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
D 172.16.0.0/16 is a summary, 00:31:31, Null0
C 172.16.1.0/24 is directly connected, FastEthernet0/0
C 192.168.1.96/27 is directly connected, Serial0/0/1
D 192.168.1.0/24 is a summary, 00:31:31, Null0
RouterX#ping 172.17.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.17.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms
1-31
Kiểm tra chứng thực MD5

Hình trên hiển thị những thông số của câu lệnh show ip eigrp neighbors và
show ip route trên router X .
Bảng láng giềng ở hình trên cho thấy địa chỉ ip của router Y , nó chỉ ra rằng 2
router này đã thực hiện mối quan hệ thân mật thành công . Bảng định tuyến chỉ
ra rằng network 172.17.0.0 đã được học bởi EIGRP trên kết nối serial . Do đó ,
chứng thực MD5 cho EIGRP đã thành công giữa router X và router Y .
Kết quả của ping thành công tới địa chỉ cổng kết nối Fast Ethernet của router Y
cho thấy kết nối đó hoạt động .
1-31
Tóm lược
EIGRP là giao thức định tuyến theo vector khoảng cách nâng cao
, không phân lớp và chạy giải thuật DUAL
Để trao đổi thông tin định tuyến , số hiệu hệ tự quản EIGRP trên
tất cả các router phải giống nhau.
EIGRP có khả năng cân bằng tải trên những đường có chi phí
không bằng nhau .
EIGRP hỗ trợ chứng thực MD5 nhằm chống lại các router giả
mạo , không có quyền truy cập vào mạng của bạn
1-32
1-32
1-33
1-33
1-34
Bài 2: Xử lí sự cố
EIGRP
Triển khai EIGRP
2-1
Tổng quan:
• EIGRP có khả năng mở rộng tốt đối với mạng đang phát triển . Nhưng khả năng mở
rộng này cho thấy sự phức tạp trong thiết kế , cấu hình và duy trì nó . Bài học này giới
thiệu một vài vấn đề thường gặp xung quanh mạng EIGRP và lưu đồ phương pháp để
xử lí các vấn đề này .
Mục tiêu:
• Sau khi hoành thành bài học này , bạn sẽ chỉ ra được các vấn đề gặp phải của EIGRP
và đưa ra các phương pháp để xử lí . Để có được điều này , bạn phải hoàn thành các
mục sau :
• Mô tả các công đoạn của việc xử lí sự cố mạng EIGRP
• Chỉ ra và xử lí sự cố mối quan hệ láng giềng EIGRP
• Chỉ ra và xử lí sự cố bảng định tuyến EIGRP
• Chỉ ra và xử lí sự cố chứng thực EIGRP
2-1
Các công đoạn xử lí sự cố EIGRP
2-2
Các công đoạn chính của việc xử lí sự cố EIGRP bao gồm :

•Xử lí sự cố mối quan hệ láng giềng
•Xử lí sự cố bảng định tuyến
•Xử lí vấn đề chứng thực EIGRP
2-2
Xử lí sự cố láng giềng EIGRP
2-3
Ví dụ mẫu sau đây từ câu lệnh show ip eigrp neighbors chỉ ra rằng mối quan
hệ láng giềng giữa 2 router EIGRP đã thiết lập thành công .
RouterX# show ip eigrp neighbor

(sec) (ms) Cnt Num
1 10.23.23.2 Se0/0/1 13 00:02:26 29 2280 0 15
0 10.140.1.1 Se0/0/0 10 00:28:26 24 2280 0 25
Để router EIGRP có thể thiết lập mối quan hệ láng giềng , cả 2 router phải kết
nối trực tiếp với nhau và có cùng một địa chỉ mạng . Nếu có thông tin nhật kí
nói rằng “ not on com mon subnet” có nghĩa là có địa chỉ ip câu hình không
đúng trên cổng kết nối ở một trong 2 router EIGRP . Sử dụng câu lệnh show
interface interface để kiểm tra lại địa chỉ IP .
Trong đoạn hiển thị sau đây , địa chỉ của cổng kết nối là 10.2.2.3/24
2-3
RouterX# sh ip int fa0/0
FastEthernet0/0 is up, line protocol is up
Internet address is 10.2.2.3/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Câu lệnh network được cấu hình trong chế độ định tuyến EIGRP chỉ ra rằng
những cổng kết nối nào tham gia vào quá trình định tuyến EIGRP . Phần
“Routing for networks “ của câu lệnh show ip protocols chỉ ra những mạng
nào đã được cấu hình ; bất kì cổng kết nối nào nằm ở mạng này đều tham gia
vào quá trình định tuyến EIGRP . Trong phần hiển thị sau đây , EIGRP chạy
trên những cổng kết nối có địa chỉ nằm trong 10.0.0.0 và 192.168.1.0
Câu lệnh show ip eigrp interfaces chỉ ra ngay trên những cổng kết nối nào
EIGRP đang chạy và có bao nhiêu láng giềng được tìm thấy trên cổng kết nối
đó . Trong phần hiển thị này không có láng giềng nào trên cổng kết nối Fast
Ethernet 0/0 và có một láng giềng trên cổng kết nối s0/0/0
Các router EIGRP thiết lập mối quan hệ láng giềng bằng cách trao đổi các gói
tin hello . Các thành phần sau đây trong gói tin EIGRP phải khớp với nhau
trước khi mối quan hệ láng giềng được thiết lập .
•Hệ số hệ tự quản
•Giá trị K của EIGRP
Lưu ý : Giá trị K của EIGRP được sử dụng trong tiến trình lựa chọn đường đi
của EIGRP và được đề cập trong chương trình CCNP
Bạn có thể sử dụng câu lệnh debug eigrp packets để xử lí sự cố khi thông tin
trong gói hello không khớp với nhau . Trong ví dụ này , giá trị K không khớp
với nhau
RouterX# debug eigrp packets
Mismatched adjacency values
01:39:13: EIGRP: Received HELLO on Serial0/0 nbr 10.1.2.2
01:39:13:AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ
un/rely 0/0
01:39:13: K-value mismatch
2-4
Xử lí sự cố bảng định tuyến EIGRP
2-5
Tuyến EIGRP xuất hiện với kí hiệu “D” trong bảng định tuyến , chỉ ra rằng đây
là tuyến nội mạng bên trong một hệ tự quản và nếu xuất hiện với kí hiệu “D
EX” thì đó chính là một tuyến ngoại mạng nằm bên ngoài hệ tự quản . Nếu
không có tuyến EIGRP nào trong bảng định tuyến , nghĩa là đã có vấn đề ở lớp
1 hoặc lớp 2 hoặc vấn đề về quan hệ láng giềng EIGRP .
Trong phần hiện thị này , mạng 172.16.31.0/24 là một tuyến nội mạng bên
trong một hệ tự quản , và mạng 10.3.3.0/24 là một tuyến được phân phối vào
trong EIGRP
RouterX# sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
2-5
D 172.16.31.0/24 [90/40640000] via 10.140.1.1, 00:01:09, Serial0/0/0
O 172.16.31.100/32 [110/1563] via 10.140.1.1, 00:26:55,
Serial0/0/0
C 10.23.23.0/24 is directly connected, Serial0/0/1
D EX 10.3.3.0/24 [170/40514560] via 10.23.23.2, 00:01:09,Serial0/0/1
C 10.2.2.0/24 is directly connected, FastEthernet0/0
Câu lệnh show ip eigrp topology chỉ ra số định danh router ( router ID ) của
EIGRP . Router ID của EIGRP là địa chỉ ip cao nhất được gán cho một cổng
kết nối loopback . Nếu không có cổng loopback nào được cấu hình , địa chỉ ip
cao nhất của bất kì cổng kết nối nào đang hoạt động sẽ được chọn làm router
ID . Không có 2 router EIGRP nào có thể có cùng một router ID . Nếu có , bạn
sẽ gặp phải vấn đề trao đổi thông tin định tuyến giữa 2 router có cùng router ID
.
Trong ví dụ này , router ID là 192.168.1.65
RouterX# show ip eigrp topology
IP-EIGRP Topology Table for AS(100)/ID(192.168.1.65)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,

r - reply Status, s - sia Status
P 10.1.1.0/24, 1 successors, FD is 40514560

via 10.140.1.1 (40514560/28160), Serial0/0/0
via Connected, FastEthernet0/0
via 10.23.23.2 (40514560/28160), Serial0/0/1
via Connected, Serial0/0/1
via Connected, Loopback0
via 10.23.23.2 (40640000/128256), Serial0/0/1
via 10.23.23.2 (41024000/40512000), Serial0/0/1
via 10.140.1.1 (41024000/40512000), Serial0/0/0
via Connected, Serial0/0/0
2-6
Các tuyến EIGRP đã được tìm thấy trong bảng cấu trúc mạng
nhưng kô có trong bảng định tuyến , cần phải liên hệ với Cisco
Technical Assistance Center ( TAC ) ( trung tâm hỗ trợ kĩ thuật
Cisco ) để chẩn đoán sự cố .
Kỹ thuật lọc tuyến cho phép thông tin định tuyến được sàng lọc khi
chúng đi vào hoặc gửi đi đến một láng giềng . Bộ lọc tuyến này có
thể dẫn đến nguyên nhân mất tuyến trong bảng định tuyến . Câu
lệnh show ip protocols chỉ ra xem có bộ lọc tuyến nào đang được
áp dụng cho EIGRP hay không .
Mặc định , EIGRP định tuyến có phân lớp và thực hiện nhóm tuyến
tự động . Việc nhóm tuyến tự động gây ra các vấn đề kết nối đối
với mạng không liên tục . Câu lệnh show ip protocols chỉ ra có
việc nhóm tuyến tự động đang được thực hiện hay không .
Trong ví dụ sau , không có bộ lọc tuyến nào được áp dụng cho hệ

tự quản EIGRP 100 và EIGRP đang thực hiện nhóm tuyến tự động
RouterX# sh ip protocols
Routing Protocol is "eigrp 100"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum hopcount 100
EIGRP maximum metric variance 1
Redistributing: eigrp 100
EIGRP NSF-aware route hold timer is 240s
Automatic network summarization is in effect
Automatic address summarization:
192.168.1.0/24 for FastEthernet0/0, Serial0/0/0, Serial0/0/1
Summarizing with metric 128256
10.0.0.0/8 for Loopback0
Summarizing with metric 28160
Maximum path: 4
2-7
Xử lí sự cố chứng thực EIGRP
Chứng thực MD5 thành công giữa router X và router Y
RouterX# debug eigrp packets

EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
*Jan 21 16:38:51.745: EIGRP: received packet with MD5 authentication, key id = 1
*Jan 21 16:38:51.745: EIGRP: Received HELLO on Serial0/0/1 nbr 192.168.1.102
*Jan 21 16:38:51.745: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe
erQ un/rely 0/0
RouterY# debug eigrp packets

(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY,
SIAREPLY)
RouterY#
*Jan 21 16:38:38.321: EIGRP: received packet with MD5 authentication, key id = 2
*Jan 21 16:38:38.321: EIGRP: Received HELLO on Serial0/0/1 nbr 192.168.1.101
*Jan 21 16:38:38.321: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 pe
erQ un/rely 0/0
2-8
Ví dụ : Thực hiện chứng thực MD5 thành công

Hiện thị của câu lệnh debug eigrp packets trên routerX trong hình trên mô tả
rằng router X đang nhận các gói tin EIGRP kèm theo chứng thực MD5 và định
danh khóa là 1 nhận được từ router Y .
Tương tự , hiển thị của câu lệnh debug eigrp packets trên router Y trong hình
trên mô tả rằng router Y đang nhận các gói tin EIGRP kèm theo chứng thực
MD5 và định danh khóa là 2 nhận được từ router X
2-8
Xử lí sự cố chứng thực MD5 của EIGRP
Chứng thực MD5 không thành công giữa router X và router Y
khi khóa 2 của router X bị thay đổi
RouterX(config-if)#key chain RouterXchain

RouterX(config-keychain)#key 2
RouterX(config-keychain-key)#key-string wrongkey
RouterY#debug eigrp packets

(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
RouterY#
*Jan 21 16:50:18.749: EIGRP: pkt key id = 2, authentication mismatch
*Jan 21 16:50:18.749: EIGRP: Serial0/0/1: ignored packet from 192.168.1.101, opc
ode = 5 (invalid authentication)
*Jan 21 16:50:18.749: EIGRP: Dropping peer, invalid authentication
*Jan 21 16:50:18.749: EIGRP: Sending HELLO on Serial0/0/1
*Jan 21 16:50:18.749: AS 100, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
*Jan 21 16:50:18.753: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.101
(Serial0/0/1) is down: Auth failure
RouterY#show ip eigrp neighbors

RouterY#
2-9
Ví dụ : Xử lí sự cố chứng thực MD5

Trong ví dụ trên , chuối kí tự khóa của khóa 2 của router X được sử dụng khi
gói tin EIGRP được gửi đi , không giống với chuỗi kí tự khóa ở phía router Y
Hiện thị của câu lệnh debug eigrp packets trên router Y ở hình trên chỉ ra
Router Y đang nhận các gói tin EIGRP kèm theo chứng thực MD5 và định
danh khóa bằng 2 từ router X ,nhưng xác thực không khớp đã xảy ra . Các gói
tin EIGRP từ router X bị từ chối , và mối quan hệ láng giềng được thông báo
không thành công . Hiển thị của câu lệnh show ip eigrp neighbors cho thấy
router Y không có bất cứ một láng giềng nào .
Hai router cố gắng tái thiết lập lại mối quan hệ láng giềng .Vì trong trường hợp
này , mỗi router sử dụng khóa khác nhau . Router X chứng thực gói tin hello
gửi bởi Router Y sử dụng khóa 1 . Tuy nhiên khi router X gửi gói tin hello cho
router Y lại sử dụng khóa 2 dẫn đến chứng thực không khớp . Tại router X ,
mối quan hệ chỉ thực hiện được trong chốc lát . Hiện thị của câu lệnh show ip
eigrp neighbors trên Router X cho thấy Router X liệt kê láng giềng router Y
trong bảng láng giềng trong một khoảng thời gian ngắn mà thôi .
2-9
RouterX#
*Jan 21 16:54:09.821: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100:
Neighbor
192.168.1.102 (Serial0/0/1) is down: retry limit exceeded
*Jan 21 16:54:11.745: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100:
Neighbor
192.168.1.102 (Serial0/0/1) is up: new adjacency
RouterX# show ip eigrp neighbors
(sec) (ms) Cnt Num
0 192.168.1.102 Se0/0/1 13 00:00:38 1 5000 1 0
2-10
Tóm lược
Có rất nhiều vấn đề khi xử lí sự cố EIGRP , như là xử lí sự cố mối

quan hệ láng giềng, bảng định tuyến, và sự cố xác thực
Sự cố láng giềng EIGRP xảy ra là do khai báo câu lệnh network
không đúng , các thông tin mang trong gói hello không khớp với
nhau . Sử dụng câu lệnh show ip eigrp neighbors để giải quyết
sự cố này.
Nguyên nhân mất tuyến trong bảng định tuyến có thể là do bị lọc
tuyến hoặc tự động nhóm tuyến ở các mạng không liên tục. Sử
dụng câu lệnh show ip route để xử lí sự cố này.
Câu lệnh debug eigrp packets có thể giúp bạn giải quyết các sự
cố chứng thực MD5 .
2-11
2-11
2-12
2-12
Bài 3: Giới thiệu hoạt động
của danh sách kiểm tra truy
cập
Danh sách kiểm tra truy cập
3-1
Tổng quan:
• Danh sách kiểm tra truy cập cơ bản ( Standard ACLs ) và danh sách kiểm tra truy
cập mở rộng ( Extended ACLs ) có thể được sử dụng để phân loại gói tin IP . ACLs
được áp dụng cho nhiều tính năng như mã hóa , định tuyến theo chính sách , chất
lượng dịch vụ , chuyển đổi địa chỉ ( NAT ) , chuyển đổi địa chỉ theo port ( PAT )
• Bạn cũng có thể sử dụng danh sách kiểm tra truy cập cơ bản và mở rộng trên các
cổng kết nối của router để kiểm tra việc truy cập ( bảo mật ) . Hệ điều hành IOS của
cisco áp đặt danh sách kiểm tra truy cập trên cổng kết nối theo một hướng cụ thể nào
đó ( chiều vào và chiều ra ) . Chương này mô tả hoạt động của các loại ACLs và
hướng dẫn cách cấu hình ACLs cho IPv4 .
Mục tiêu:
• Sau khi hoàn thành chương này , bạn sẽ biết được cách áp đặt danh sách kiểm tra
truy cập dựa trên yêu cầu của mạng , biết cách cấu hình , kiểm tra và xử lí sự cố
ACLs trên mạng có kích thước trung bình . Để làm được điều này , bạn phải hoàn
thành các mục sau :
• Mô tả các loại danh sách kiểm tra truy cập của IPv4 ACLs
• Cấu hình và xử lí sự cố danh sách kiểm tra truy cập cơ bản , danh sách kiểm tra
truy cập mở rộng , danh sách kiểm tra truy cập dạng số và danh sách kiểm tra
truy cập dạng tên .
3-1
Tại sao phải sử dụng ACLs
Sàng lọc : Quản lí dữ liệu IP bằng cách lọc các gói tin đi xuyên qua router
Phân loại : Xác định dữ liệu cho các điều khiển đặc biệt
3-2
Sàng lọc
Khi số lượng kết nối của router ra ngoại mạng tăng lên , và số lượng kết nối ra
Internet cũng tăng lên dẫn đến việc kiểm soát truy cập trở nên khó khăn hơn .
Người quản trị mạng gặp phải tình huống làm sao cấm các truy cập không mong
muốn trong khi vẫn đảm bảo cho phép các truy cập hợp lệ . Ví dụ , bạn có thể sử
dụng một danh sách kiểm tra truy cập để cấm các mạng khác truy cập vào các dữ
liệu nhạy cảm ở mạng kế toán .
Phân Loại
Router cũng sử dụng danh sách kiểm tra truy cập để định ra một loại dữ liệu nào
đó . Một khi đã có ACL và đã phân loại được dữ liệu , bạn có thể cấu hình để
hướng dẫn router kiểm soát dữ liệu đó . Ví dụ , bạn có thể sử dụng ACL để chỉ ra
một mạng con là dữ liệu nguồn và định độ ưu tiên của nó cao hơn các dữ liệu khác
khi đi trên kết nối WAN đang bị nghẽn .
3-2
Các ứng dụng của ACLs: Sàng lọc
Cho phép hoặc từ chối các gói tin đi xuyên qua router
Cho phép hoặc từ chối truy cập vty đến router hoặc từ router
Nếu không có ACLs, tất cả gói tin sẽ được vận chuyển đến tất cả vùng mạng
3-3
ACLs cung cấp một công cụ quan trọng để kiểm soát dữ liệu đi trên mạng . Công
cụ lọc gói tin giúp kiểm soát việc lưu chuyển các gói tin đi trên mạng .
Cisco cung cấp ACLs để cho phép hoặc cấm :
•Các dữ liệu đi đến hoặc xuất phát từ một cổng kết nối nào đó , và các dữ liệu đi
xuyên qua router
•Dữ liệu telnet đi vào hoặc đi ra từ cổng vty của router .
Mặc định , tất cả dữ liệu được cho phép đi ra và đi vào tất cả các cổng kết nối của
router .
Khi router loại bỏ gói tin , một vài giao thức sẽ gửi trở lại một gói tin đặc biệt
dùng để thông báo với nơi gửi rằng : không thể đi đến đích được . Đối với giao
thức IP , khi một gói tin bị loại bỏ , thông báo “Destination Unreachable (U.U.U)”
sẽ trả lời cho gói ping và thông báo “Administratively prohibited” ( !A * ! A )” sẽ
trả lời cho gói traceroute .
3-3
Các ứng dụng của ACLs: Phân loại
Điều khiển đặc biệt dữ liệu dựa trên việc kiểm tra gói tin
3-4
ACLs có thể phân loại các loại dữ liệu khác nhau . Tính năng này cho phép kiểm
soát dữ liệu đã được định nghĩa trong ACLs , như là :
•Chỉ ra dữ liệu nào sẽ được mã hóa khi đi trên kết nối VPN .
•Chỉ ra những tuyến nào sẽ được phân phối từ một giao thức định tuyến này vào
giao thức định tuyến kia
•Sử dụng với bộ lọc tuyến để chỉ ra tuyến nào sẽ được đính kèm trong thông tin
cập nhật định tuyến giữa các router
•Sử dụng định tuyến dựa theo chính sách để chỉ ra loại dữ liệu nào sẽ được mang
trên kết nối đã lựa chọn trước
•Sử dụng với NAT để định ra những địa chỉ nào sẽ được chuyển đổi
3-4
Hoạt động của ACL theo chiều đi ra
Nếu không có điều kiện nào thỏa mãn , gói tin sẽ bị loại bỏ
3-5
ACLs là một loạt các qui luật được áp đặt để kiểm soát các gói tin đi vào cổng kết
nối , đi xuyên qua router và đi ra khỏi cổng kết nối . ACLs sẽ không áp dụng các
qui luật này đối với các gói tin xuất phát từ router . Thay vào đó , ACLs được khai
báo thành các điều kiện mà router sẽ dựa vào đó để kiểm tra dữ liệu đi xuyên qua
cổng kết nối của nó .
ACLs hoạt động theo 2 cách :
•Inbound ACLs ( ACLs theo chiều vào ) : các gói tin đi vào cổng kết nối sẽ được
kiểm tra trước khi chúng được định tuyến ra cổng kết nối ngoài
Inbound ACLs hiệu quả vì nó tiết kiệm được việc tra cứu thông tin định tuyến
trong trường hợp gói tin đó bị loại bỏ nếu không vượt qua được điều kiện kiểm tra .
Nếu gói tin vượt qua được điều kiện kiểm tra , kế đến nó sẽ được định tuyến .
•Outbound ACLs ( ACLs theo chiều ra ) : các gói tin đi vào cổng kết nối được
định tuyến và đẩy ra cổng kết nối ngoài , kế đến chúng sẽ bị kiểm tra bởi
Outbound ACL .
Ví dụ : Outbound ACL
Hình trên cho ta một ví dụ về outbound ACL . Khi có một gói tin đi vào cổng kết
nối , router kiểm tra xem trong bảng định tuyến có thông tin về tuyến này hay
không . Nếu không có thông tin định tuyến về gói tin đó , nó sẽ bị loại bỏ
Kế đến , router sẽ kiểm tra xem cổng kết nối ngoài có được áp đặt ACL hay không
. Nếu cổng kết nối ngoài không bị ràng buộc bởi ACL , gói tin sẽ được gửi đi .
3-5
Ví dụ hoạt động của Outbound ACL :
•Nếu cổng kết nối ngoài là S0 , không bị ràng buộc bởi một ACL nào cả , gói
tin sẽ được gửi thẳng ra S0
•Nếu cổng kết nối ngoài là S1, cổng này bị ràng buộc bởi ACL , gói tin không
được gửi ra khỏi cổng kết nối S1 cho đến khi nó vượt qua được các điều kiện
kiểm tra của ACL bị áp đặt trên đó . Tùy thuộc vào kết quả kiểm tra , gói tin sẽ
được cho phép hoặc từ chối .
Đối với các danh sách kiểm tra áp đặt cho cổng kết nối ngoài , “permit “ nghĩa
là gói tin được gửi thẳng ra cổng kết nối đó , “deny” nghĩa là gói tin bị loại bỏ
Ví du : Inbound ACL
Với inbound ACL , khi một gói tin đi vào cổng kết nối , router kiểm tra xem
cổng kết nối này có bị ràng buộc bởi ACL hay không . Nêu cổng kết nối vào
không bị ràng buộc bởi ACL , router kiểm tra thông tin định tuyến xem thử gói
tin này có được định tuyến hay không . Nếu gói tin không thể định tuyến được ,
router sẽ loại bỏ gói tin .
Ví dụ hoạt động của ACL :
•Nếu cổng kết nối vào là E0 , cổng kết nối này không bị ràng buộc bởi ACL ,
gói tin được xử lí bình thường và router kiểm tra xem gói tin này có định tuyến
được hay không .
•Nếu cổng kết nối vào là E0 , cổng kết nối này bị ràng buộc bởi ACL , gói tin
sẽ không được xử lí định tuyến cho tới khi nó vượt qua các điều kiện kiểm tra
của ACL áp đặt trên cổng kết nối đó . Dựa trên kết quả của việc kiểm tra này ,
gói tin được cho phép hay từ chối .
Đối với Inbound ACLs , “permit” nghĩa là tiếp tục xử lí định tuyến gói tin sau
khi nó đi vào cổng kết nối , “deny” nghĩa là loại bỏ gói tin
3-6
Danh sách kiểm tra: Từ chối hay Cho phép
3-7
Danh sách các điều kiện của ACL có thứ tự logic từ trên xuống . ACL sẽ kiểm tra
gói tin từ trên xuống dưới , một điều kiện một lần . Nếu có một gói tin thỏa mãn
một điều kiện trong danh sách , các điều kiện còn lại sẽ được bỏ qua và gói tin sẽ
được cho phép hoặc bị tự chối tùy theo điều kiện mà nó thỏa mãn . Nếu gói tin
không thỏa mãn một điều kiện , nó sẽ được kiểm tra bởi điều kiện kế tiếp . Quá
trình kiểm tra thỏa mãn điều kiện khai báo được thực hiện cho đến khi kết thúc
danh sách .
Cuối danh sách kiểm tra , tồn tại ngầm định một điều kiện thỏa mãn tất cả các gói
tin . Điều kiện kiểm tra cuối cùng này sẽ từ chối tất cả các gói tin . Thay vì chuyển
gói tin vào hoặc ra cổng kết nối , router sẽ loại bỏ tất cả các gói tin còn lại này .
Điều kiện cuối cùng này thường được gọi tên là điều kiện “implicit deny” . Vì có
điều kiện này tồn tại , ACL phải có ít nhất một điều kiện cho phép trong danh sách
của nó , nếu không thì ACL sẽ loại bỏ tất cả các gói tin .
Bạn có thể áp đặt ACL vào nhiều cổng kết nối . Tuy nhiên , chỉ có một ACL được
áp đặt cho một giao thức , cho một hướng và cho một cổng kết nối mà thôi .
3-7
Các loại ACLs
ACL dạng cơ bản

– Kiểm tra địa chỉ nguồn
– Cho phép hoặc từ chối toàn bộ chồng giao thức
ACL dạng mở rộng
– Kiểm tra địa chỉ nguồn và đích
– Cho phép hoặc từ chối cụ thể một giao thức và ứng dụng
Hai phương pháp dùng để xác định ACL dạng cơ bản
và ACL dạng mở rộng :
– ACL dạng số sử dụng số để xác định
– ACL dạng tên sử dụng tên mô tả hoặc số để xác định
3-8
ACLs có thể phân chia thành các loại sau :

•ACLs cơ bản : ACLs cơ bản kiểm tra địa chỉ nguồn của gói tin . Kết quả kiểm tra
dẫn đến cho phép hoặc từ chối toàn bộ chồng giao thức , dựa trên địa chỉ mạng
nguồn , địa chỉ mạng con hoặc địa chỉ ip của host
•ACLs mở rộng : ACLs mở rộng kiểm tra cả địa chỉ nguồn và địa chỉ đích . Nó còn
kiểm tra cụ thể về giao thức , cổng ứng dụng và các thông số khác , cho phép người
quản trị kiểm soát chi tiết và linh động hơn
Có 2 phương pháp bạn có thể sử dụng để định nghĩa ACL cơ bản và ACL mở rộng
:
•ACLs dạng số sử dụng chữ số để định nghĩa
•ACLs dạng tên sử dụng tên để định nghĩa
3-8
Làm thế nào để xác định ACLs
IPv4 ACL dạng số cơ bản (1–99) kiểm tra điều kiện cho tất cả địa chỉ ip
nguồn . Vùng mở rộng (1300–1999).
IPv4 ACL dạng số mở rộng (100–199) kiểm tra điều kiện cho tất cả địa
chỉ nguồn và đích , chỉ ra giao thức TCP/IP , và cổng ứng dụng đích .
Vùng mở rộng (2000–2699).
ACL dạng tên xác định ACL dạng cơ bản và dạng mở rộng bằng tên gọi
3-9
Khi bạn tạo ACLs dạng số , bạn chỉ ra chữ số dành cho ACL trong khai báo đầu
tiên . Điều kiện kiểm tra cho một ACL sẽ khác nhau dựa vào các chữ số định
nghĩa ACL cơ bản hay mở rộng .
Bạn có thể tạo ra nhiều ACL cho một giao thức . Chọn ra các chữ số khác nhau
cho mỗi ACL được tạo mới cho một giao thức nào đó . Tuy nhiên bạn chỉ có thể
áp đặt được một ACL cho một giao thức , một hướng và một cổng kết nối .
ACL có chữ số từ 1 đến 99 hoặc từ 1300 đến 1999 là các ACL dạng cơ bản . ACL
có chữ số từ 100 đến 199 hoặc từ 2000 đến 2699 là các ACL dạng mở rộng .
Bảng trên liệt kê ra các vùng số ACL khác nhau cho mỗi giao thức
Lưu ý : Kể từ phiên bản IOS 12.0 , ACLs cho IPv4 đã được mở rộng thêm . Bảng
này chỉ ra ACL cơ bản cho IPv4 được cung cấp thêm vùng số từ 1300 đến 1999
và ACL mở rộng được cung cấp thêm vùng số từ 2000 đến 2699
ACL dạng tên cho phép bạn định nghĩa các ACL cơ bản và mở rộng dưới dạng
tên gọi , thay vì dưới dạng chữ số . ACL dạng tên cho phép bạn làm việc linh hoạt
hơn đối với các điều kiện trong danh sách .
3-9
Khai báo điều kiện của ACL kèm theo số
thứ tự
Yêu cầu tối thiểu IOS 12.3

Cho phép sắp xếp lại thứ tự các khai báo bằng cách sử dụng số thứ
tự
– Đối với IOS phiên bản 12.3 trở về trước , chương trình soạn thảo
kí tự được sử dụng để tạo ra các khai báo , sau đó các khai báo
được copy vào router theo đúng thứ tự
Cho phép gỡ bỏ một dòng khai báo từ danh sách bằng cách sử dụng
số thứ tự
– Với ACLs dạng tên trong các phiên bản IOS 12.3 trở về trước,
bạn phải sử dụng no {deny | permit} protocol source source-
wildcard destination destination-wildcard để gỡ bỏ từng khai
báo
– Với ACLs dạng số trong các phiên bản IOS 12.3 trở về trước ,
bạn phải gỡ bỏ toàn bộ danh sách nếu muốn gỡ bỏ từng dòng
khai báo
3-10
Có rất nhiều thuận lợi khi sử dụng khai báo điều kiện kèm theo số thứ tự :
• Bạn có thể chỉnh sửa thứ tự của các điều kiện
• Bạn có thể gỡ bỏ từng điều kiện một từ danh sách ACL
• Các điều kiện khi thêm vào danh sách sẽ phụ thuộc vào số thứ tự của điều kiện
đó . Đối với IOS phiên bản 12.3 trở về trước , tính năng này không hỗ trợ , chính
vì vậy , khi các điều kiện được thêm vào trong danh sách , chúng sẽ được đưa
vào cuối danh sách .
• Tính năng điều kiện kèm theo số thứ tự là tính năng mới của Cisco IOS cho phép
sử dụng các số thự tự để dễ dàng thêm , xóa hoặc sắp xếp lại thứ tự các điều kiện
trong danh sách IP ACL . Với phiên bản IOS 12.3 trở về sau , điều kiện thêm vào
sau có thể nằm ở bất kì vị trí nào trong danh sách dựa vào số thứ tự của nó .
• Các phiên bản IOS 12.3 trở về trước , chỉ có ACL dạng tên mới cho phép gỡ bỏ
các điều kiện từ danh sách bằng cách sử dụng lệnh no {deny | permit } protocol
source source-wildcard destination destination-wildcard , trong đó khai báo
protocol source source-wildcard destination destination-wildcard trùng với
dòng điều kiện mà bạn muốn gỡ bỏ . Với ACL dạng số , bạn phải gỡ bỏ toàn bộ
danh sách và tái tạo lại nó bằng các điều kiện khác mà bạn muốn . Với phiên bản
IOS 12.3 trở về sau , bạn cũng có thể sử dụng câu lệnh no sequence-number để
xóa bỏ một điều kiện nào đó trong danh sách .
3-10
Khuyến cáo khi cấu hình ACLs
ACLs cơ bản hay mở rộng chỉ ra đối tượng nào cần sàng lọc
Chỉ có một ACL cho một cổng kết nối , cho một giao thức và cho một
hướng .
Thứ tự của các dòng khai báo điều khiển việc kiểm tra , do đó , các
dòng khai báo chi tiết nên đưa lên đầu danh sách
Lần kiểm tra cuối cùng luôn luôn ngầm định từ chối tất cả , do đó mỗi
danh sách cần phải có ít nhất một khai báo cho phép
ACLs được tạo ra toàn cục và được áp đặt vào cổng kết nối của
router theo chiều đi vào hoặc đi ra
Một ACL có thể lọc các gói tin đi qua router , đi tới router hoặc xuất
phát từ router , tùy thuộc vào cách áp đặt ACLs
Khi áp đặt ACLs:
– Để ACL mở rộng gần với nguồn
– Để ACL cơ bản gần với đích
3-11
Thiết kế và triển khai tốt ACL cung cấp một bộ phận bảo mật quan trọng trong
mạng chúng ta . Để có được kết quả như mong muốn , sử dụng các khuyến cáo sau
đây :
•Dựa theo điều kiện kiểm tra sẽ tùy chọn sử dụng ACL cơ bản , ACL mở rộng ,
ACL dạng tên hay ACL dạng số
•Chỉ sử dụng được 1 ACL cho 1 giao thức , cho 1 hướng và cho 1 cổng kết nối . Có
thể có nhiều ACL trên một cổng kết nối , nhưng mỗi ACL đó phải dành cho các
giao thức khác nhau hoặc các hướng khác nhau .
•ACL phải được tổ chức sao cho trình tự xử lí đi từ trên xuống dưới . Các điều kiện
chi tiết sẽ được đặt lên phía trên các điều kiện tổng quát . Các điều kiện được kiểm
tra nhiều sẽ được đặt phía trên các điều kiện được kiểm tra ít hơn .
•ACL luôn tồn tại một khai báo từ chối tất cả ở cuối danh sách
-Chỉ trừ khi cuối danh sách của bạn có khai báo cho phép tất cả , còn mặc định thì
ACL sẽ từ chối tất cả các gói tin không thỏa mãn các điều kiện kiểm tra ở phía trên
-Tất cả các ACL nên có một khai báo cho phép tất cả ở cuối danh sách . Nếu không
, tất cả gói tin sẽ bị loại bỏ .
-Bạn phải tạo ra ACL trước khi áp đặt nó vào cổng kết nối . Với hầu hết các phiên
bản Cisco IOS ,nếu cổng kết nối bị ràng buộc bởi một danh sách ACL rỗng thì tất
cả gói tin được cho phép đi qua
3-11
-Phụ thuộc vào bạn áp đặt ACL như thế nào , ACL sẽ lọc các gói tin đi xuyên
qua router , đi đến hoặc xuất phát từ router ví dụ như các gói tin đi vào hoặc đi
ra cổng vty của router .
-Thường thì bạn nên đặt ACL mở rộng càng gần với nơi xuất phát của gói tin
mà bạn muốn từ chối càng tốt . Bởi vì ACL cơ bản không chỉ ra địa chỉ đích ,
bạn phải để ACL cơ bản càng gần với đích mà bạn muốn từ chối gói tin càng
tốt nhằm mục đích cho phép gói tin có thể đi đến được các mạng trung gian
3-12
ACLs động
ACLs động (lock-and-key): Người dùng muốn đi qua router sẽ bị

chặn lại cho tới khi họ thực hiện telnet và chứng thực thành công
tới router
3-13
Ngoài ACL cơ bản , ACL mở rộng , còn có các loại ACL sau :
•Dynamic ACLs ( lock-and-key) : ACL động
•Reflexive ACLs : ACL phản xạ
•Time-based ACLs : ACL theo thời gian
Dynamic ACLs
Dynamic ACLs phụ thuộc vào kết nối Telnet , chứng thực ( nội bộ hay từ xa ) , và
ACL mở rộng . Cấu hình Lock-and-key đi kèm với ứng dụng của ACL mở rộng sẽ
từ chối tất cả các gói tin đi qua router . Người dùng muốn đi qua router sẽ bị từ chối
bởi ACL mở rộng cho đến khi họ sử dụng Telnet để kết nối với Router và chứng
thực thành công . Kết nối Telnet sau đó sẽ bị ngắt và một dòng điều kiện của ACL
động sẽ được thêm vào ACL mở rộng trước đó . Nó cho phép gói tin đi qua trong
một khoảng thời gian giới hạn ; cũng có thể cấu hình thời gian nhàn rỗi và thời gian
hết hạn cho ACL động .
Khi nào sử dụng ACL động

Sau đây là một số lí do phổ biến để sử dụng ACL động :
•Sử dụng ACL động khi bạn muốn một người dùng hoặc một nhóm người dùng ở
xa truy cập vào các máy tinh trong mạng từ Internet . Lock-and-key chứng thực
người dùng và sau đó cho phép truy cập không giới hạn xuyên qua tường lửa của
router trong một khoảng thời gian giới hạn
3-13
•Sử dụng ACL động khi bạn muốn các mạng nội bộ kết nối với các mạng ở xa
được bảo vệ bởi tường lửa .Với tính năng lock-and-key , bạn chỉ có thể kết nối
với các máy ở xa bằng một số máy ở mạng nội bộ . Lock-and-key yêu cầu
người dùng chứng thực thông qua một máy chủ TACACS + hoặc một máy chủ
bảo mật trước khi cho phép truy cập vào các máy ở xa .
Các thuận lợi khi sử dụng ACLs động

ACL động có các thuận lợi về mặt bảo mật hơn ACL cơ bản và ACL mở rộng :
•Sử dụng cơ chế thách thức để chứng thực từng người dùng
•Quản lí đơn giản hơn trong môi trường mạng lớn
•Trong nhiều trường hợp , giảm thiểu số lượng xử lí của router đối với ACLs
•Giảm thiểu cơ hội phá hoại của Hacker
•Tạo ra quyền truy cập động cho người dùng xuyên qua tường lửa mà không
làm ảnh hưởng tới các cấu hình bảo mật khác
Ví dụ cấu hình ACL động :
Mặc dù cấu hình ACL động không nằm trong chương trình của phần này , ví dụ
sau đây chỉ ra các bước cần thiết đề cấu hình ACL động .
Phần cấu hình sau đây tạo ra user và password để chứng thực . Thời gian nhàn
rỗi được chỉnh là 10 phút
RouterX(config)#username test password 0 test

RouterX(config)#username test autocommand access-enable host timeout 10
Cấu hình sau đây cho phép người dùng thực hiện telnet đến router sẽ được
chứng thực và loại bỏ tất cả các loại dữ liệu khác
RouterX(config)#access-list 101 permit tcp any host 10.1.1.1 eq telnet

RouterX(config)#interface Ethernet0/0
RouterX(config-if)#ip address 10.1.1.1 255.255.255.0 ip access-group 101 in
Cấu hình sau tạo ra ACL động và được áp đặt cho access-list 101 . Thời gian
hết hạn được chỉnh là 15 phút
3-14
RouterX(config)#access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0
0.0.0.255 172.16.1.0 0.0.0.255
Cấu hình sau đây yêu cầu người dùng phải chứng thực khi thực hiện kết nối
telnet đến router
RouterX(config)#line vty 0 4
RouterX(config-line)#login local
Sau khi bạn thực hiện các bước cấu hình trên , khi người dùng ở địa chỉ
10.1.1.2 thực hiện kết nối telnet thành công tới 10.1.1.1 , ACL động được áp
đạt ngay sau đó . Kết nối telnet bị ngắt và người dùng có thể kết nối được đến
mạng 172.16.1.0
3-15
ACLs phản xạ
ACLs Phản xạ : Dùng để cho phép dữ liệu từ bên ngoài vào giới hạn dữ
liệu từ bên trong gửi ra đối với phiên làm việc khởi tạo từ bên trong
3-16
ACL phản xạ
ACL phản xạ cho phép gói tin ip bị lọc dựa trên các thông tin phiên làm việc ở
lớp trên . Chúng thường được dùng để cho phép dữ liệu ở ngoài và giới hạn dữ
liệu ở trong trả lời lại các phiên làm việc xuất phát từ mạng bên trong của router .
ACL phản xạ chỉ lưu các dòng tạm thời . Các dòng này được tạo ra tự động khi có
một phiên làm việc IP mới bắt đầu , ví dụ , với một gói tin ở ngoài , dòng khai báo
được tự động gỡ bở khi phiên làm viêc kết thúc . ACL phản xạ không được áp đặt
trực tiếp lên cổng kết nối nhưng được “ẩn mình” trong một ACL mở rộng mà
ACL mở rộng này được áp đặt vào cổng kết nối
ACL phản xạ cung cấp một hình thức lọc phiên làm việc tốt hơn là thông số
established trong Access-list mở rộng . ACL phản xạ sẽ khó bị tấn công giả mạo
hơn bởi vì nhiều điều kiện kiểm tra phải thỏa mãn trước khi gói tin được cho phép
; ví dụ cả địa chỉ nguồn và đích , và cổng ứng dụng , ACK bits và RST bits đều
được kiểm tra .
Những thuận lợi của ACL phản xạ .

ACL phản xạ là một phần quan trọng của việc bảo mật mạng chống lại hacker và
có thể kết hợp với tường lửa để phòng vệ . ACL phản xạ cung cấp khả năng bảo
mật chống lại tấn công giả mạo và tấn công từ chối dịch vụ . ACL phản xạ sử
dụng đơn giản , kiểm soát tốt hơn những gói tin đi vào mạng của bạn .
3-16
Ví dụ cấu hình ACL phản xạ
Mặc dù toàn bộ cấu hình cho ACL phản xạ nằm ngoài chương trình , cấu hình
sau đây chỉ ra các bước cần thiết để cấu hình ACL phản xạ . Ví dụ này dùng
ACL phản xạ để cho phép gói tin ICMP ở mạng phía ngoài và mạng phía trong
trong khi nó chỉ cho phép các gói tin TCP xuất phát và được khởi tạo từ bên
mạng phía trong . Tất cả các gói tin khác đều bị từ chối
Cấu hình sau để cho router theo dõi dấu vết của các gói tin xuất phát từ mạng
bên trong
RouterX(config)#ip access-list extended outboundfilters

permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
Cấu hình sau đây tạo ra một chính sách cho mạng bên trong , bắt buộc router
phải kiểm tra các dữ liệu đi vào xem nó có phải được khởi tạo từ vùng mạng
trong hay không và ràng buộc vào ACL phản xạ , tcptraffic được gắn vào ACL
inboundfilters
RouterX(config)#ip access-list extended inboundfilters

permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluate tcptraffic
Cấu hình sau áp đặt ACL cho cả chiều ra và chiều vào của cổng kết nối
RouterX(config-if)#ip address 172.16.1.2 255.255.255.0
RouterX(config-if)#ip access-group inboundfilters in
RouterX(config-if)#ip access-group outboundfilters out
ACL phản xạ chỉ định nghĩa kèm theo ACL dạng tên cho giao thức IP . Chúng
không thể định nghĩa kèm theo ACL dạng số hoặc ACL dạng tên cơ bản hoặc
với các giao thức khác .
3-17
ACLs theo thời gian
ACLs theo thời gian: Cho phép kiểm soát truy cập dựa theo thời gian
trong ngày và trong tuần
3-18
ACL theo thời gian
ACL theo thời gian có chức năng giống với ACL mở rộng , nhưng chúng kiểm
soát truy cập dựa trên thời gian . Để triển khai ACL theo thời gian , bạn tạo ra một
khoảng thời gian trong ngày và trong tuần . Khoảng thời gian được xác định bởi
tên gọi và sau đó được tham chiếu bằng chức năng . Chính vì vậy , sự giới hạn
thời gian được đính kèm trong chức năng của nó
Những thuận lợi của ACL theo thời gian

ACL theo thời gian nhiều thuận lợi :
•Người quản trị mạng kiểm soát tốt hơn đối với việc cho phép hoặc từ chối người
dùng truy cập vào tài nguyên . Tài nguyên có thể là ứng dụng , xác định bởi địa
chỉ IP và mặt nạ mạng , cổng ứng dụng ; định tuyến theo chính sách ; hoặc là các
dữ liệu kích hoạt đường kết nối quay số
•Người quản trị mạng có thể chỉnh chính sách bảo mật theo thời gian như sau :
-Bảo mật biên bằng cách sử dụng tường lửa của Cisco IOS hoặc ACL
-Tính toàn vẹn dữ liệu với kỹ thuật Cisco Encryption hoặc IPSec
-Định tuyến theo chính sách và chức năng hàng đợi đươc nâng cao
-Khi tốc độ truy cập từ nhà cung cấp khác nhau vào các thời điểm trong ngày , có
thể định tuyến tự động lại dữ liệu hiệu quả về chi phí
3-18
-Nhà cung cấp dịch vụ có thể thay đổi cấu hình CAR để hỗ trợ QoS , SLAs
được dùng để thương lượng trong một khoảng thời gian nào đó trong ngày
-Người quản trị mạng có thể kiểm soát các thông tin nhật kí . Các khai báo
ACL có thể ghi nhật kí các gói tin ở các thời điểm trong ngày nhưng không liên
tục . Chính vì vậy , người quản trị mạng có thể cấm truy cập mà không phải
kiểm tra các thông tin nhật kí được tạo ra trong thời gian cao điểm
Ví dụ ACL theo thời gian
Mặc dù toàn bộ cấu hình của ACL theo thời gian không nằm trong phạm vi của
chương trình , ví dụ sau đây chỉ ra các bước cần thiết để cấu hình ACL theo
thời gian . Trong ví dụ này , kết nối telnet từ mạng bên trong ra mạng bên ngoài
được cho phép trong các ngày thứ 2 , thứ 4 và thứ 6 , trong thời gian hành chính
Cấu hình sau định nghĩa khoảng thời gian cho ACL và đặt tên cho khoảng thời
gian đó
RouterX(config)#time-range EVERYOTHERDAY
RouterX(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00
Cấu hình sau áp đặt khoảng thời gian cho ACL :
RouterX(config)#access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0

0.0.0.255 eq telnet time-range EVERYOTHERDAY
Cấu hình sau áp đặt ACL lên cổng kết nối :
RouterX(config-if)#ip address 10.1.1.1 255.255.255.0
RouterX(config-if)#ip access-group 101 in
Khoảng thời gian này dựa trên thời gian hệ thống của router . Có thể sử dụng
thời gian hệ thống của router nhưng tính năng này chạy tốt nhất là với giao thức
NTP ( Network Time Protocol ) .
3-19
Các bit wildcard: Làm thế nào để kiểm tra
các bit địa chỉ tương ứng
0 nghĩa là kiểm tra sự phù hợp trong các bit địa chỉ tương ứng
1 nghĩa là lờ đi các bit địa chỉ tương ứng
3-20
Tính năng lọc địa chỉ được thực hiện bằng cách sử dụng mặt nạ Wildcard của
ACL , dùng để kiểm tra hoặc bỏ qua các bit tương ứng trong địa chỉ ip . Mặt nạ
Wildcard dành cho các bit địa chỉ ip sử dụng các số 0 và 1 để chỉ ra làm sao để
tương tác với các bit địa chỉ ip tương ứng , nó tuân theo qui luật sau :
•Bit 0 của mặt nạ WildCard : Các bit tương ứng trong vùng địa chỉ phải giống
nhau
•Bit 1 của mặt nạ WildCard : Không cần kiểm tra các bit tương ứng trong vùng
địa chỉ ( lờ đi )
Lưu ý : Mặt nạ wildcard thỉnh thoảng được nói tới như là mặt nạ mạng ngược
Nếu điều chỉnh mặt nạ Wildcard một cách cẩn thận , bạn có thể cho phép hoặc từ
chối các gói tin chỉ với một dòng khai báo .Bạn có thể lựa chọn 1 địa chỉ ip hoặc
nhiều địa chỉ ip
Hình ảnh trên chỉ ra làm thế nào để kiểm tra các bit địa chỉ tương ứng .
Lưu ý : Hoạt động của mặt nạ Wildcard khác với mặt nạ mạng . Bit “0” trong mặt
nạ Wildcard chỉ ra rằng các bit tương ứng trong phần địa chỉ phải giống nhau . Bit
“1” trong mặt nạ Wildcard chỉ ra rằng các bit tương ứng trong phần địa chỉ không
quan trọng và có thể lờ đi được
3-20
Bit wildcard dùng kiểm tra vùng mạng con ip
Kiểm tra sự phù hợp của các địa chỉ trong vùng từ
172.30.16.0/24 đến 172.30.31.0/24.
Địa chỉ và mặt nạ wildcard:
172.30.16.0 0.0.15.255
3-21
Ví dụ : thực hiện tính toán mặt nạ Wildcard cho địa chỉ ip mạng con
Trong hình trên , người quản trị mạng muốn kiểm tra một vùng địa chỉ ip mạng
con để thực hiện cho phép hoặc từ chối truy cập . Giả sử địa chỉ ip trên thuộc về
lớp B ( 2 octet đầu tiên là địa chỉ mạng ) , có 8 bits dùng để chia mạng con ( octet
thứ 3 dùng cho mạng con ) . Người quản trị mạng muốn sử dụng mặt nạ Wildcard
để biểu diễn các mạng con từ 172.30.16.0/24 đến 172.30.31.0/24
Sử dụng một khai báo ACL để biểu diễn vùng mạng con này , sử dụng địa chỉ
172.30.16.0 cho ACL . Tiếp theo đó là khai báo mặt nạ wildcard .
2 octet đầu tiên trong phần địa chỉ ip là giống nhau (172.30) , nên mặt nạ
wildcard sẽ là các bit 0 tại vị trí 2 octet đầu tiên của nó
Vì phần địa chỉ của host chúng ta không quan tâm, do đó tại vị trí octet cuối của
mặt nạ wildcard sẽ là các bit 1 .Trong ví dụ này , octet cuối cùng của mặt nạ
wildcard viết dưới dạng thập phân là 255
Tại vị trí octet thứ 3 , cũng chính là vị trí được chia subnet , mặt nạ wildcard là
15 , viết dưới dạng nhị phân là 00001111 , khớp với 4 bit đầu tiên của địa chỉ ip .
3-21
Trong trường hợp này , mặt nạ wildcard sẽ kiểm tra các mạng con có địa chỉ từ
172.30.16.0/24 . 4 bit cuối trong octet này , mặt nạ wildcard chỉ ra các bit trong
phần địa chỉ ip tương ứng sẽ bị lờ đi . Tại vị trí này , các bit địa chỉ có thể là 1
hoặc 0 tùy ý . Do đó , mặt nạ wildcard sẽ biểu diễn được các mạng con 16 , 17 ,
18 , … cho đến 31 . Mặt nạ wildcard sẽ không biểu diễn các mạng con khác
ngoài vùng này ra .
Trong ví dụ này , địa chỉ 172.30.16.0 với mặt nạ wildcard 0.0.15.255 dùng để
biểu diễn các mạng con từ 172.30.16.0/24 đến 172.30.31.0/24
Trong một vài trường hợp , bạn phải sử dụng nhiều hơn một khai báo ACL để
biểu diễn một vùng các mạng con . Ví dụ để biểu diễn vùng mạng từ
10.1.4.0/24 đến 10.1.8.0/24 , sử dụng 10.1.4.0 0.0.3.255 và 10.1.8.0
0.0.0.255
3-22
Tóm tắt các bit mặt nạ wildcard
172.30.16.29 0.0.0.0 kiểm tra sự

phù hợp của tất cả các bit địa chỉ
Tóm tắt mặt nạ wildcard này bằng
cách sử dụng từ khóa host
(host 172.30.16.29)
0.0.0.0 255.255.255.255
lờ đi tất cả các bit địa chỉ
Biểu diễn vắn tắt bằng
từ khóa any
3-23
Sử dụng bit 0 và bit 1 trong mặt nạ wildcard để kiểm tra sự phù hợp hoặc lờ đi các
bit tương ứng trong phần địa chỉ IP . Sử dụng chữ số thập phân để biểu diễn các
chữ số nhị phân của mặt nạ wildcard có thể gây nên sự nhàm chán . Hầu hết các
trường hợp sử dụng mặt nạ wildcard , bạn có thể sử dụng bằng cách viết tắt . Cách
viết tắt giảm số lượng các chữ số phải gõ vào khi cấu hình điều kiện kiểm tra
Ví dụ : dùng mặt nạ wildcard để biểu diễn một địa chỉ ip duy nhất
Trong ví dụ này ,thay vì phải gõ vào là 172.30.16.29 0.0.0.0 , bạn có thể sử dụng
host 172.30.16.29 . Trong trường hợp này từ viết tắt là host
Ví dụ : dùng mặt nạ wildcard để biểu diễn bất kì một địa chỉ ip nào
Trong ví dụ này , thay vì phải gõ vào 0.0.0.0 255.255.255.255 , bạn có thể sử

dụng từ khóa any
3-23
Tóm lược
ACLs có thể được sử dụng cho việc sàng lọc các gói tin ip hoặc
xác định các dữ liệu cho mục đích điều khiển đặc biệt
ACLs thực hiện kiểm tra từ trên xuống dưới và có thể cấu hình
cho các dữ liệu đi vào và đi ra
Bạn có thể tạo ra một ACL bằng cách sử dụng tên hoặc số. ACL
dạng tên hoặc số có thể cấu hình thành dạng cơ bản hoặc mở
rộng, và nó quyết định cái gì sẽ được sàng lọc .
ACL phản xạ , ACL động , ACL theo thời gian cung cấp thêm
nhiều tính năng cho ACL cơ bản và ACL mở rộng
Đối với bit mặt nạ wildcard , bit 0 nghĩa là kiểm tra sự phù hợp
của các bit địa chỉ tương ứng và bit 1 nghĩa là lờ đi các bit địa chỉ
tương ứng
3-24
3-24
3-25
3-25
3-26
Bài 4: Cấu hình và xử lí sự cố
danh sách kiểm tra truy cập
Danh sách kiểm tra truy cập
4-1
Tổng quan:
Bài học này mô tả các bước cấu hình ACL dạng tên , dạng số , dạng cơ bản và dạng mở
rộng. Bài học này cũng giải thích làm thế nào để kiểm tra ACL đang hoạt động đúng và
đề cập đến một số lỗi cấu hình thường gặp phải tránh .
Mục tiêu:
Sau khi hoàn thành bài học này , bạn có thể cấu hình và xử lí sự cố IPv4 ACL dạng cơ
bản , dạng mở rộng , dạng số và dạng tên . Để làm được điều này , bạn phải hoàn tất
các mục sau :
• Cấu hình và kiểm tra cấu hình IPv4 ACL dạng số cơ bản
• Cấu hình và kiểm tra cấu hình IPv4 ACL dạng số mở rộng
• Cấu hình và kiểm tra cấu hình cả IPv4 ACL dạng tên cơ bản và dạng tên mở rộng
• Xác định và giải quyết một số lỗi cấu hình thường gặp
4-1
Kiểm tra gói tin với IPv4 ACL dạng số cơ
bản
42
IPv4 ACL dạng số cơ bản được đánh số từ 1 đến 99 và từ 1300 đến 1999. IPv4
ACL dạng tên cơ bản lọc các gói tin dựa trên địa chỉ nguồn và mặt nạ mạng , và
chúng cho phép hoặc từ chối toàn bộ chồng giao thức TCP/IP . Kiểu lọc theo
dạng ACL cơ bản có thể không cung cấp các khả năng lọc mà bạn muốn . Có thể
bạn muốn lọc chính xác hơn các gói tin đi trong mạng .
4-2
Cấu hình IPv4 ACL dạng số cơ bản
RouterX(config)#
access-list access-list-number
{permit | deny | remark} source [mask]
Sử dụng số ACL từ 1 đến 99.
Khai báo đầu tiên được gán số thứ tự là 10 , và các khai báo liền kề được gán số thứ tự
tăng thêm 10 .
Mặt nạ wildcard mặc định là 0.0.0.0 (chỉ dùng cho ACL dạng cơ bản).
no access-list access-list-number gỡ bỏ toàn bộ ACL.
remark cho phép bạn thêm chú thích vào ACL.
RouterX(config-if)#
ip access-group access-list-number {in | out}
Kích hoạt ACL trên cổng kết nối.
Đặt kiểm tra theo chiều vào hoặc chiều ra
no ip access-group access-list-number {in | out} gỡ bỏ ACL ra khỏi cổng kết nối .
43
Để cấu hình một IPv4 ACL dạng số cơ bản trên Cisco router , bạn phải tạo ra một
IPv4 ACL cơ bản và kích hoạt nó trên cổng kết nối . Câu lệnh access-list tạo ra
một khai báo trong danh sách IPv4 ACL . Hình trên mô tả cú pháp của câu lệnh
này
Câu lệnh ip access-group áp đặt ACL sẵn có vào cổng kết nối . Chỉ có 1 ACL cho
một giao thức , một hướng và một cổng kết nối . Hình trên mô tả cú pháp của câu
lệnh này .
Lưu ý : Để gỡ bỏ ACL ra khỏi cổng kết nối , đầu tiên gõ lệnh no ip access-group
trên cổng kết nối và sau đó gõ câu lệnh no access-list để gỡ bỏ toàn bộ ACL
Bảng này cho ta một ví dụ về các bước cần thiết để cấu hình và áp đặt cấu hình
cho một ACL dạng số cơ bản trên router
Bước 1 : Sử dụng câu lệnh access-list để tạo ra một dòng khai báo cho IPv4 ACL
dạng cơ bản
RouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255
Sử dụng câu lệnh no access-list access-list-number để gỡ bỏ toàn bộ ACL

Phần khai báo trên biểu diễn các địa chỉ có dạng 172.16.x.x
Sử dụng tùy chọn remark để thêm mô tả cho ACL
4-3
Bước 2 : Sử dụng câu lệnh interface để lựa chọn ra cổng kết nối cần áp đặt
ACL
RouterX(config)#interface ethernet 1
Sau khi bạn gõ câu lệnh interface vào , dấu nhắc lệnh sẽ chuyển thành
(config-if)#
Bước 3 : Sử dụng câu lệnh ip access-group để kích hoạt ACL trên cổng kết
nối đó
RouterX(config-if)# ip access-group 1 out
Để gỡ bỏ ACL ra khỏi cổng kết nối , sử dụng câu lẹnh no ip access-group

access-list number trên cổng kết nối đó
Ví dụ : Thêm vào các khai báo có kèm theo số thứ tự , ví dụ sau thêm một
khai báo vào danh sách ACL đã có sẵn
RouterX# show ip access-list
Standard IP access list 1

2 permit 10.4.4.2, wildcard bits 0.0.255.255
RouterX(config)# ip access-list standard 1
RouterX(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255

4-4
Ví dụ 1 : IPv4 ACL dạng số cơ bản

(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)
RouterX(config)# interface ethernet 0

Chỉ cho phép các mạng nội bộ

45
Ví dụ : Sử dụng IPv4 ACL dạng số cơ bản – Chỉ cho phép các mạng nội bộ giao
tiếp với nhau
Phần sau đây mô tả cú pháp câu lệnh trình bày ở hình trên
Các thông số kèm theo của câu lệnh access-list
1 : số của ACL , chỉ ra rằng đây là ACL cơ bản

Permit : chỉ ra các gói tin thỏa mãn điều kiện khai báo sẽ được cho phép chuyển đi
172.16.0.0 : chỉ ra đây là mạng nguồn
0.0.255.255 : mặt nạ Wildcard , các bit 0 chỉ ra phần phải kiểm tra sự phù hợp , các
bit 1 chỉ ra phần không cần phải kiểm tra và có thể lờ đi
Ip access-group 1 out : Áp đặt ACL vào cổng kết nối và thực hiện lọc theo chiều
ra
ACL này chỉ cho các gói tin từ mạng nguồn 172.16.0.0 được chuyển ra khỏi cổng
E0 và cổng E1 . Các gói tin không xuất phát từ mạng 172.16.0.0 sẽ bị từ chối .
4-5
RouterX(config)# access-list 1 deny 172.16.4.13 0.0.0.0

(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)

Cấm một host truy cập
46
Ví dụ : IPv4 ACL dạng số cơ bản – Từ chối một host truy cập
Phần sau mô tả cú pháp câu lệnh trình bày ở phần trên
1 : Số của ACL , chỉ ra đây là ACL cơ bản

Deny : chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ không được chuyển đi
172.16.4.13 : Địa chỉ ip nguồn của host
0.0.0.0 : mặt nạ dùng để kiểm tra sự phù hợp của tất cả các bit ( đây là mặt nạ
mặc định )
Permit : chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ được chuyển đi
0.0.0.0 : địa chỉ ip nguồn của host
255.255.255.255 : mặt nạ wildcard ; các bit 0 chỉ ra phần phải kiểm tra sự phù
hợp , bit 1 chỉ ra phần không cần kiểm tra . Tất cả các bit 1 trong phần mặt nạ chỉ
ra tất cả 32 bit trong phần địa chỉ ip sẽ không được kiểm tra sự phù hợp . Nói
cách khác , bất kì địa chỉ nào cũng đều thỏa mãn .
ACL này được thiết kế để loại bỏ các gói tin xuất phất từ một địa chỉ cụ thể ,
trong trường hợp này là 172.16.4.13 , tất cả các gói tin khác được chuyển đi trên
cổng E0 bình thường . Phần khai báo 0.0.0.0 255.255.255.255 cho phép tất cả gói
tin từ bất cứ nguồn nào . Phần khai báo này có thể viết tắt bằng từ khóa any
4-6
RouterX(config)# access-list 1 deny 172.16.4.0 0.0.0.255

RouterX(config)# access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)

Cấm một mạng con truy cập
47
Ví dụ : IPv4 ACL dạng số cơ bản – Từ chối một mạng con truy cập
Phần sau mô tả cú pháp câu lệnh trình bày ở phần trên
1 : Số của ACL , chỉ ra đây là ACL cơ bản

Deny : chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ không được chuyển đi
172.16.4.0 : địa chỉ ip nguồn của mạng con
0.0.0.255 : mặt nạ Wildcard , các bit 0 chỉ ra phần phải kiểm tra sự phù hợp , bit
1 chỉ ra phần không cần kiểm tra . Các bit 0 trong 3 octet đầu tiên chỉ ra phần các
phần địa chỉ ip phải kiểm tra sự phù hợp , 255 ở octet cuối cùng chỉ ra phần địa
chỉ ip không cần phải kiểm tra
Permit : chỉ ra rằng các gói tin thỏa mãn điều kiện sẽ được chuyển đi
Any : viết tắt cho phần địa chỉ ip nguồn . Từ viết tắt any chỉ ra tất cả các địa chỉ
nguồn đều thỏa mãn điều kiện kiểm tra
ACL này dùng để loại bỏ các gói tin từ mạng con 172.16.4.0 , các gói tin khác
được chuyển trên cổng kết nối E0 bình thường .
4-7
ACL dạng cơ bản kiểm soát truy cập VTY
RouterX(config-line)#
access-class access-list-number {in | out}
Giới hạn kết nối vào và ra giữa cổng vty và địa chỉ trong ACL
Example:
access-list 12 permit 192.168.1.0 0.0.0.255
(implicit deny any)
!
line vty 0 4
access-class 12 in
Chỉ cho phép các host trong mạng 192.168.1.0 0.0.0.255 kết nối đến
cổng vty của router
48
Để kiểm soát các gói tin đi vào và ra khỏi router ( không đi xuyên qua router ) ,
bạn sẽ bảo vệ các cổng ảo của router . Các cổng ảo này gọi là các cổng vty . Mặc
định có 5 cổng được đánh số từ 0 đến 4 . Khi được cấu hình , Cisco IOS có thể hỗ
trợ nhiều hơn 5 cổng vty .
Giới hạn truy cập vty là kĩ thuật chính để nâng cao độ bảo mật mạng và chỉ ra
những địa chỉ nào được phép telnet vào router
Lọc các gói tin telnet thường được xem như là chức năng của ACL mở rộng vì nó
lọc các giao thức lớp cao . Tuy nhiên , vì bạn sử cụng câu lệnh access-class để lọc
các phiên telnet vào và ra trên cổng vty bằng địa chỉ nguồn , nên bạn có thể sử
dụng khai báo ACL dạng cơ bản để kiểm soát truy cập cổng vty .
Ví dụ : trong ví dụ này , bạn cho phép các thiết bị trong mạng 192.168.1.0
0.0.0.255 thiết lập phiên telnet với router . Dĩ nhiên là người dùng phải biết mật
khẩu để vào cấu hình router .
Lưu ý là sự giới hạn truy cập được áp đặt cho tất cả cổng vty từ 0 đến 4 , vì bạn
không thể kiểm soát được người dùng sẽ kết nối vào cổng vty nào . Khai báo
ngầm định từ chối tất cả vẫn được áp dụng cho ACL khi sử dụng các khai báo
access-class
4-8
Kiểm tra gói tin với IPv4 ACL dạng số
mở rộng
49
Để kiểm soát chính xác hơn các gói tin , ta sử dụng IPv4 ACL mở rộng có số từ
100 đến 199 và từ 2000 đến 2699 hoặc sử dụng ACL dạng tên để kiểm tra địa chỉ
IPv4 nguồn và đích . Thêm vào đó , tại cuối dòng khai báo của ACL mở rộng ,
bạn có thể chỉ định giao thức , ứng dụng TCP hoặc UDP để thực hiện lọc gói tin
chi tiết hơn . Để chỉ ra một ứng dụng , bạn có thể cấu hình số cổng của ứng dụng
.
Các cổng ứng dụng quen thuộc và các giao thức IP
20 (TCP) FTP data

21 (TCP) FTP control
23 (TCP) Telnet
25 (TCP) Simple Mail Transfer Protocol (SMTP)
53 (TCP/UDP) Domain Name System (DNS)
69 (UDP) TFTP
80 (TCP) HTTP
4-9
Cấu hình IPv4 ACL dạng số mở rộng
RouterX(config)#
access-list access-list-number {permit | deny}
protocol source source-wildcard [operator port]
destination destination-wildcard [operator port]
[established] [log]
Thiết lập các thông số cho dòng khai báo này
RouterX(config-if)#
ip access-group access-list-number {in | out}
Kích hoạt ACL mở rộng trên cổng kết nối
410
Để cấu hình IPv4 ACL dạng số mở rộng trên thiết bị router Cisco , tạo ra một IPv4 Acl và
kích hoạt nó trên cổng kết nối . Sử dụng câu lệnh access-list để tạo ra các khai báo trong
điều kiện kiểm tra . Bảng sau giải thích cú pháp của câu lệnh .
Access-list-number : Chỉ ra danh sách kiểm tra có số nằm trong khoảng từ 100 đến 199
hoặc từ 2000 đến 2699
Permit | deny : Chỉ ra dòng khai báo này cho phép hay từ chối gói tin
Protocol : IP,TCP,UDP,ICMP, GRE hoặc IGRP
Source and destination: Chỉ ra địa chỉ ip nguồn và đích
Source-wildcard and destination-wildcard : Mặt nạ wildcard ; 0 chỉ ra phần địa chỉ
phải kiểm tra sự phù hợp , 1 chỉ ra phần không cần phải kiểm tra
Operator [ port | app-name ] : thông số này có thể là Lt ( nhỏ hơn ) , gt ( lớn hơn ) và
eq ( bằng ) , neq ( không bằng ) . Số cổng ứng dụng có thể là nguồn hoặc đích , tùy thuộc
vào vị trí cấu hình trong ACL . Để thay thế cho số port ứng dụng , có thể sử dụng tên cho
các ứng dụng quen thuộc như là Telnet , FTP , SMTP , vv
Established : Chỉ sử dụng cho giao thức TCP theo chiều vào . Cho phép các gói tin TCP
đi qua khi gói tin này là gói trả lời phiên làm việc khởi tạo từ bên ngoài . Loại gói tin này
có bit ACK ( xem phần ví dụ extended ACL với từ khóa Established )
Log : lưu lại nhật kí lên màn hình console
Lưu ý : cú pháp câu lệnh access-list được liệt kê ở đây dành cho giao thức TCP . Không
phải tất cả các thông số và tùy chọn đều được liệt kê ra . Để có được cú pháp chi tiết , xin
tham khảo các tài liệu về Cisco IOS tại cisco.com
4-10
Ví dụ : ACL mở rộng với thông số establish
Trong phần ví dụ sau , thông số established của ACL mở rộng cho phép trả lời
cho gói tin xuất phát từ mail host : 128.88.1.2 . Điều kiện được thỏa mãn nếu
gói tin TCP có bit ACK hoặc bit RST , chỉ ra rằng gói tin này thuộc về kết nối
đã có . Nếu không có thông số established trong khai báo ACL , mail host chỉ
có thể nhận các gói SMTP và không thể gửi nó đi được .
access-list 102 permit tcp any host 128.88.1.2 established

access-list 102 permit tcp any host 128.88.1.2 eq smtp
interface serial 0
ip access-group 102 in
Câu lệnh ip access-group áp đặt ACL mở rộng lên cổng kết nối . Chỉ có một
ACL cho một giao thức , một hướng và một cổng kết nối .
Bảng sau định nghĩa các thông số của câu lệnh ip access-group
Access-list-number: Chỉ ra số của ACL được áp đặt lên cổng kết nối
In | out: ACL được áp đặt theo chiều vào hoặc chiều ra . Chiều ra là chiều
mặc định
Bảng này cung cấp các bước cần thiết để cấu hình và áp đặt ACL mở rộng lên
router .
Bước 1: Định nghĩa IPv4 Acl dạng mở rộng .Sử dụng câu lệnh access-list
RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0

0.0.0.255 eq 21
Trong ví dụ này , access-list 101 từ chối các gói tin TCP từ mạng nguồn
172.16.4.0 , sử dụng mặt nạ wildcard 0.0.0.255 đến đích 172.16.3.0 , sử dụng
mặt nạ wildcard 0.0.0.255 và cổng 21 ( Cổng điều khiển FTP )
Bước 2 : Chọn ra cổng kết nối muốn cấu hình bằng cách sử dụng câu lệnh
interface
Sau khi câu lệnh interface được gõ vào , dấu nhắc lệnh chuyển thành (config-
if)
4-11
Bước 3 : Áp đặt IPv4 ACL mở rộng cho cổng kết nối bằng cách dùng câu lệnh
ip access-group
RouterX(config-if)# ip access-group 101 in
Sử dụng câu lệnh show ip interfaces để kiểm tra rằng IP ACL được áp đặt cho
cổng kết nối
4-12
Ví dụ IPv4 ACL dạng số mở rộng
RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
RouterX(config)# access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)

Cấm dữ liệu FTP đi từ mạng 172.16.4.0 qua 172.16.3.0 ra khỏi E0

Cho phép tất cả dữ liệu còn lại
413
Ví dụ : IP ACL mở rộng dạng số - Cấm dự liệu FTP từ mạng con
Phần sau mô tả cú pháp câu lệnh trình bày ở hình trên
101 : Số của ACL , chỉ ra đây là IPv4 ACL mở rộng

Deny : Chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ không được chuyển đi
Tcp : giao thức ở lớp vận chuyển
172.16.4.0 0.0.0.255 : địa chỉ ip nguồn và mặt nạ ; 3 octet đầu tiên phải giống
nhau , trong khi octet cuối cùng thì không cần
172.16.3.0 0.0.0.255 : Địa chỉ ip đích và mặt nạ ; 3 octet đầu tiên phải giống nhau
, trong khi octet cuối cùng thì không cần
Eq 21 : cổng kết nối đích của FTP điều khiển
Eq 20 : cổng kết nối đích của dữ liệu FTP
Out : Ap đặt ACL 101 vào cổng kết nối E0 theo chiều ra
Khai báo deny sẽ từ chối các dữ liệu FTP từ mạng 172.16.4.0 đến mạng
172.16.3.0
Khai báo permit cho phép các dữ liệu khác đi ra khỏi cổng kết nối E0
4-13
Ví dụ IPv4 ACL dạng số mở rộng
RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

RouterX(config)# access-list 101 permit ip any any
(implicit deny all)

Cấm dữ liệu telnet từ mạng 172.16.4.0 ra E0

Cho phép tất cả các dữ liệu còn lại
414
Ví dụ : IP ACL mở rộng dạng số - Cấm dự liệu telnet từ mạng con
Phần sau mô tả cú pháp câu lệnh trình bày ở hình trên
101 : Số của ACL , chỉ ra đây là IPv4 ACL mở rộng

Deny : Chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ không được chuyển đi
Tcp : giao thức ở lớp vận chuyển
172.16.4.0 0.0.0.255 : địa chỉ ip nguồn và mặt nạ ; 3 octet đầu tiên phải giống nhau
, trong khi octet cuối cùng thì không cần
any : Thỏa mãn bất kì địa chỉ ip đích nào
Eq 23 hoặc eq telnet : cổng đích hoặc ứng dụng ; trong ví dụ này nó chỉ ra cổng
ứng dụng telnet = 23
Permit : chỉ ra rằng các gói tin thỏa mãn điều kiện kiểm tra sẽ được chuyển đi
Ip any : bất kì giao thức ip nào xuất phát từ bất kì nguồn nào
Any : bất kì đích đến nào
Out : Ap đặt ACL 101 vào cổng kết nối E0 theo chiều ra
Ví dụ này từ chối các gói tin telnet đi từ mạng 172.16.4.0 ra cổng kết nối E0 .Tất cả
các gói tin IP khác được cho phép đi ra khỏi cổng E0
4-14
Cấu hình IP ACL dạng tên
RouterX(config)#
ip access-list {standard | extended} name
Chuỗi kí tự tên gọi phải là duy nhất
RouterX(config {std- | ext-}nacl)#

[sequence-number] {permit | deny} {ip access list test conditions}
{permit | deny} {ip access list test conditions}
Nếu như không cấu hình , số thứ tự được tạo ra tự động , bắt đầu từ 10 và tăng dần
thêm 10
no sequence number gỡ bỏ một khai báo trong ACL dạng tên
RouterX(config-if)#
ip access-group name {in | out}
Kích hoạt ACL dạng tên trên cổng kết nối
415
ACL dạng tên cho phép bạn chỉ định ACL dạng cơ bạn và dạng mở rộng bằng tên gọi thay
vì bằng các con số
ACL dạng tên cho phép bạn xóa từng dòng khai báo trong ACL . Nếu bạn đang sử dụng
IOS phiên bản 12.3 , bạn có thể sử dụng số thứ tự để chèn và các khai báo bất cứ đâu trong
ACL dạng tên .Nếu bạn đang sử dụng IOS phiên bản trở về trước , bạn chỉ có thể chèn vào
các khai báo ở phía cuối ACL dạng tên .
Bởi vì bạn có thể xóa từng dòng khai báo trong ACL dạng tên , bạn có thể chỉnh sửa ACL
mà không phải xóa và cấu hình lại toàn bộ ACL .
Tạo IP ACL dạng tên cơ bản
Để tạo ra IP ACL dạng tên cơ bản , làm theo các bước sau đây .
Bước 1 : ip access-list standard name
Định nghĩa ra một IP ACL dạng tên cơ bản và gán tên cho nó
Bước 2 : Gõ vào một trong các dòng sau
[sequence-number] deny {source [source-wildcard] |any}
[sequence-number] permit {source [source-wildcard] |any}
Trong chế độ cấu hình ACL , chỉ ra một hoặc nhiều khai báo permit hoặc deny , nó
sẽ quyết định gói tin được đi qua hay bị loại bỏ
Bước 3 : exit
Thoát khỏi cấu hình access-list
Tạo IP ACL dạng tên mở rộng
4-15
Để tạo ACL dạng tên mở rộng , làm theo các bước sau đây
Bước 1 : ip access-list extended name
Định nghĩa IP ACL dạng tên mở rộng và gán tên cho nó
Bước 2 : Gõ vào một trong các dòng sau đây :
sequence-number] {deny | permit} protocol source source-wildcard

destination destination-wildcard [precedence precedence] [tos tos]
sequence-number] {deny | permit} protocol any any
sequence-number] {deny | permit} protocol host source host destination
Trong chế độ cấu hình access-list , chỉ ra điều kiện để cho phép hoặc từ chối .
Từ khóa any có thể được dùng để thay thế cho địa chỉ 0.0.0.0 và mặt nạ
wildcard 255.255.255.0 cho địa chỉ nguồn , địa chỉ đích hoặc cả 2 . Bạn có thể
sử dụng từ khóa host để viết tắt cho wildcard 0.0.0.0 của địa chỉ nguồn hoặc
đích . Đặt từ khóa host ở phía trước địa chỉ .
Bước 3 : exit
Thoát khỏi chế độ cấu hình access-list
Ví dụ : Thêm vào các khai báo kèm theo số thứ tự :
ở ví dụ sau , có một dòng khai báo mới được thêm vào ACL
Standard IP access list MARKETING

RouterX(config)# ip access-list standard MARKETING
RouterX(config-std-nacl)# 15 permit 10.5.5.5 0.0.0.255
4-16
Standard IP access list MARKETING
4-17
Ví dụ IPv4 ACL dạng tên cơ bản
RouterX(config)#ip access-list standard troublemaker

RouterX(config-std-nacl)#deny host 172.16.4.13
RouterX(config-std-nacl)#permit 172.16.4.0 0.0.0.255
RouterX(config-std-nacl)#interface e0
RouterX(config-if)#ip access-group troublemaker out
Cấm một host truy cập
418
Phần sau giải thích cú pháp câu lệnh thể hiện ở hình trên
Standard : chỉ ra rằng đây là access-list dạng tên cơ bản

Troublemarker : tên của ACL
Deny : chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ bị loại bỏ
Host 172.16.4.13 : Địa chỉ ip nguồn , host thay thế cho mặt nạ wildcard 0.0.0.0
Permit : Chỉ ra các gói tin thỏa mãn điều kiện kiểm tra sẽ được gửi đi
172.16.4.0 0.0.0.255 : Địa chỉ ip nguồn và mặt nạ ; 3 octet đầu tiên phải giống
nhau và octet cuối cùng thì không cần phài giống nhau
Ip access-group troublemarker out : áp đặt ACL “troublemarker” vào cổng kết
nối E0 theo chiều out
4-18
Ví dụ IPv4 dạng tên mở rộng
RouterX(config)#ip access-list extended badgroup

RouterX(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 any eq 23
RouterX(config-ext-nacl)#permit ip any any
RouterX(config-ext-nacl)#interface e0
RouterX(config-if)#ip access-group badgroup out
Cấm telnet từ một mạng con
419
Phần sau giải thích cú pháp câu lệnh được trình bày trong hình trên
Extended : chỉ ra đây là ACL dạng tên mở rộng

Badgroup : tên của ACL
Deny : các gói tin thỏa mãn điều kiện kiểm tra sẽ bị loại bỏ
Tcp : giao thức ở lơp vận chuyển
172.16.4.0 0.0.0.255 : địa chỉ ip nguồn và mặt nạ , 3 octet đầu tiên phải giống
nhau , octet cuối cùng không cần giống nhau
Any : thỏa mãn với bất kì địa chỉ ip nào
Eq 23 hoặc eq telnet : port đích hoặc tên của ứng dụng . Trong ví dụ này , nó chỉ
ra số của cổng ứng dụng cho telnet , đó là 23
Permit : Chỉ ra rằng các gói tin thỏa mãn đìều kiện kiểm tra sẽ được gửi đi
Ip : giao thức ở lớp mạng
Any : từ khóa thỏa mãn tất cả nguồn và đích
Ip access-group badgroup out : Áp đặt ACL “badgroup” vào cổng kết nối E0
theo chiều đi ra .
4-19
Khai báo chú thích trong ACL
RouterX(config)#
ip access-list {standard|extended} name
Tạo ra một ACL dạng tên
RouterX(config {std- | ext-}nacl)#

remark remark
Tạo chú thích cho ACL dạng tên
Or
RouterX(config)#
access-list access-list-number remark remark
Tạo chú thích cho ACL dạng số
420
Các dòng khai báo chú thích sẽ không được thực hiện kiểm tra . Chúng đơn giản
chỉ là các dòng chú thích giúp bạn dễ nhìn hơn và dễ xử lí sự cố hơn đối với ACL
dạng tên hoặc ACL dạng số
Mỗi dòng chú thích bị giới hạn bởi 100 kí tự . Các chú thích có thể ở trước hoặc
sau khai báo permit hoặc deny . Bạn phải thống nhất đặt chú thích ở đâu để mô tả
được các khai báo permit hoặc deny một cách rõ ràng . Sẽ rất khó phân biệt nếu
như có một vài dòng chú thích ở trước khai báo permit , deny rồi lại có một vài
dòng chú thích ở sau khai báo permit hoặc deny
Để thêm các chú thích cho IP ACL dạng tên , sử dụng câu lệnh remark remark
trong chế độ cấu hình ACL . Để thêm chú thích cho ACL dạng số , sử dụng câu
lệnh access-list access-list-number remark remark .
Ví dụ sau đây thêm chú thích cho ACL dạng số :
access-list 101 remark Permitting_John to Telnet to Server

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
4-20
Ví dụ sau đây thêm chú thích cho ACL dạng tên :
ip access-list standard PREVENTION

remark Do not allow Jones subnet through
deny 171.69.0.0 0.0.255.255
4-21
Xem các dòng khai báo của ACL
RouterX# show access-lists {access-list number|name}
RouterX# show access-lists

Standard IP access list SALES
10 deny 10.1.1.0, wildcard bits 0.0.0.255
20 permit 10.3.3.1
30 permit 10.4.4.1
40 permit 10.5.5.1
Extended IP access list ENG
10 permit tcp host 10.22.22.1 any eq telnet (25 matches)
20 permit tcp host 10.33.33.1 any eq ftp
30 permit tcp host 10.44.44.1 any eq ftp-data
Hiển thị tất cả ACL
422
Sau khi hoàn tất cấu hình ACL , sử dụng câu lệnh show để kiểm tra lại cấu hình .
Sử dụng câu lệnh show access-lists để hiện thị nội dung của ACL . Bằng cách
chỉ định thêm số hoặc tên phía sau câu lệnh này , bạn có thể cho hiện thị nội
dung cụ thể của một ACL nào đó . Để hiện thị nội dung của tất cả các IP ACL ,
sử dụng câu lệnh show ip access-list
4-22
Kiểm tra ACLs
RouterX# show ip interfaces e0
Ethernet0 is up, line protocol is up
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
<text ommitted>
423
Câu lệnh show ip interfaces dùng để hiện thị các thông tin trên cổng kết nối và
xem thử cổng kết nối đó có bị ràng buộc ACL hay không . Trong phần hiện thị
của câu lệnh show ip interface e0 ở hình trên , IP ACL số 1 đã được cấu hình và
áp đặt theo chiều vào của cổng kết nối . Không có IP ACL nào được cấu hình theo
chiều ra trên cổng kết nối E0
4-23
Xử lí sự cố một số lỗi thường gặp của ACL
Sự cố 1: Host 10.1.1.1 không kết nối được với 10.100.100.1.
424
Phân tích hiển thị của câu lệnh show access-lists ở hình trên và xử lí sự cố sau :
Sự cố : host 10.1.1.1 không kết nối được với 10.100.100.1
ERROR1# show access-lists 10

10 deny 10.1.1.0, wildcard bits 0.0.0.255
20 permit 10.1.1.1
30 permit ip any any
Giải quyết : Host 10.1.1.1 không kết nối được với 10.100.100.1 bởi vì thứ tự của
các khai báo trong access-list 10 . Vì Router sẽ kiểm tra danh sách từ trên xuống
dưới , khai báo số 10 sẽ từ chối host 10.1.1.1 và khai báo số 20 sẽ không được
kiểm tra . Thứ tự khai báo 10 và 20 phải đổi chỗ cho nhau .
4-24
Xử lí sự cố một số lỗi thường gặp của
ACL ( tiếp theo )
Sự cố 2: Mạng 192.168.1.0 không thể sử dụng TFTP để kết

nối đến 10.100.100.1.
425
Sự cố : mạng 192.168.1.0 không sử dụng TFTP để kết nối tới 10.100.100.1

Extended IP access list 120
10 deny tcp 172.16.0.0 0.0.255.255 any eq telnet
20 deny tcp 192.168.1.0 0.0.0.255 host 10.100.100.1 eq smtp
30 permit tcp any any
Giải quyết : Mạng 192.168.1.0 không thể sử dụng TFTP để kết nối tới
10.100.100.1 được vì TFTP sử dụng giao thức UDP của lớp vận chuyển . Khai báo
số 30 trong danh sách ACL 120 cho phép tất cả các gói tin TCP còn lại , và bởi vì
TFTP sử dụng UDP nên nó ngầm định bị từ chối . Khai báo số 30 phải đổi lại là ip
any any
4-25
ACL ( tiếp theo )
Sự cố 3: Mạng 172.16.0.0 vẫn telnet được đến 10.100.100.1, nhưng kết

nối này không được phép
426
Sự cố : mạng 172.16.0.0 có thể telnet được tới 10.100.100.1 nhưng kết nối telnet
này không được cho phép

10 deny tcp any eq telnet any
Giải quyết : Mạng 172.16.0.0 vẫn telnet được đến 10.100.100.1 vì cổng telnet
trong khai báo số 10 bị đặt sai vị trí . Khai báo số 10 đang từ chối bất kì nguồn
nào với cổng ứng dụng là telnet , kết nối tới bất kì địa chỉ đích nào . Nếu bạn
muốn cấm telnet đi vào cổng S0 , bạn phải cấm cổng đích bằng với cổng telnet ,
ví dụ , deny tcp any any eq telnet
4-26
ACL ( tiếp theo )
Sự cố 4: Host 10.1.1.1 vẫn telnet được đến 10.100.100.1, nhưng kết nối
này không được phép
427
Sự cố : host 10.1.1.1 có thể telnet được tới 10.100.100.1 , nhưng kết nối này
không được phép

10 deny tcp host 10.160.22.11 10.100.100.0 0.0.0.255 eq telnet
Giải quyết : Host 10.1.1.1 vẫn telnet được tới 10.100.100.1 vì không có khai báo
nào cấm host 10.1.1.1 hoặc mạng của nó . Khai báo số 10 của access-list 140 cấm
cổng router nhưng địa chỉ 10.1.1.1 không phải là địa chỉ ip của cổng router .
4-27
ACL ( tiếp theo )
A B
Sự cố 5: Host 10.100.100.1 vẫn telnet được đến 10.1.1.1, nhưng kết nối
428
Sự cố : host 10.100.100.1 có thể telnet đến 10.1.1.1 nhưng kết nối này không
được phép

10 deny tcp host 10.100.100.1 any eq telnet
Access-list 150 được đặt theo chiều vào của cổng kết nối S0
Giải quyết : Host 10.100.100.1 vẫn telnet đến được 10.1.1.1 bởi vì hướng của
ACL 150 là theo chiều vào của cổng kết nối S0 . Khai báo số 10 cấm địa chỉ
nguồn 10.100.100.1 nhưng địa chỉ này chỉ là địa chỉ nguồn khi gói tin đi ra khỏi
cổng S0 , không phải đi vào cổng S0 .
4-28
ACL ( tiếp theo )
A B
Sự cố 6: Host 10.1.1.1 vẫn có thể telnet đến được router B, nhưng

kết nối này không được phép
429
Sự cố : Host 10.1.1.1 có thể kết nối vào Router B sử dụng telnet nhưng kết nối

10 deny tcp any host 10.160.22.33 eq telnet
Giải quyết : Host 10.1.1.1 có thể telnet đến router B vì telnet đến một router khác
với sử dụng telnet để kết nối xuyên qua router để đến thiết bị khác . Khai báo số
10 của ACL 160 cấm telnet đến địa chỉ ip gán trên cổng S0 của router B . Host
10.1.1.1 vẫn có thể telnet đến router B bằng cách sử dụng địa chỉ ip trên interface
khác , ví dụ , E0 . Nếu bạn muốn cấm telnet đi vào và đi ra trên chính router thì sử
dụng câu lệnh access-class để áp đặt ACL vào cổng vty
4-29
Tóm lược
IPv4 ACL dạng cơ bản cho phép bạn lọc địa chỉ ip nguồn
IPv4 ACL dạng mở rộng cho phép bạn lọc địa chỉ ip nguồn , ip
đích , giao thức và số port
ACLs dạng tên cho phép bạn xóa từng dòng khai báo trong danh
sách
Bạn có thể sử dụng câu lệnh show access-lists và show ip
interface để xử lí các sự cố thường gặp khi cấu hình ACLs
430
4-30
431
4-31
4-32
Bài 5: Uyển chuyển mạng
với NAT và PAT
Quản lý không gian địa chỉ
5-1
5-1
Network Address Translation
An IP address is either local or global.

Local IPv4 addresses are seen in the inside network.
Global IPv4 addresses are seen in the outside network.
5-2
5-2
Port Address Translation
5-3
5-3
Translating Inside Source Addresses
5-4
5-4
Configuring and Verifying Static
Translation
RouterX(config)# ip nat inside source static local-ip global-ip

Establishes static translation between an inside local address and an
inside global address
RouterX(config-if)# ip nat inside

Marks the interface as connected to the inside
RouterX(config-if)# ip nat outside

Marks the interface as connected to the outside
RouterX# show ip nat translations

Displays active translations
5-5
5-5
Enabling Static NAT
Address Mapping Example
interface s0
ip address 192.168.1.1 255.255.255.0
ip nat outside
!
interface e0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
ip nat inside source static 10.1.1.2 192.168.1.2

Pro Inside global Inside local Outside local Outside global
--- 192.168.1.2 10.1.1.2 --- ---
5-6
5-6
Configuring and Verifying Dynamic
Translation
RouterX(config)# ip nat pool name start-ip end-ip
{netmask netmask | prefix-length prefix-length}
Defines a pool of global addresses to be allocated as needed
RouterX(config)# access-list access-list-number permit

source [source-wildcard]
Defines a standard IP ACL permitting those inside local addresses
that are to be translated
RouterX(config)# ip nat inside source list

access-list-number pool name
Establishes dynamic source translation, specifying the ACL that was
defined in the previous step

5-7
5-7
Dynamic Address Translation Example

--- 171.69.233.209 192.168.1.100 --- ---
--- 171.69.233.210 192.168.1.101 --- ---
5-8
5-8
Overloading an Inside Global Address
5-9
5-9
Configuring Overloading
RouterX(config)# access-list access-list-number permit

source source-wildcard
Defines a standard IP ACL that will permit the inside local addresses
that are to be translated
RouterX(config)# ip nat inside source list

access-list-number interface interface overload
Establishes dynamic source translation, specifying the ACL that was
defined in the previous step

5-10
5-10
Overloading an Inside Global Address
Example
hostname RouterX
!
interface Ethernet0
ip address 192.168.3.1 255.255.255.0
ip nat inside
!
interface Ethernet1
ip address 192.168.4.1 255.255.255.0
ip nat inside
!
interface Serial0
description To ISP
ip address 172.17.38.1 255.255.255.0
ip nat outside
!
ip nat inside source list 1 interface Serial0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0
!
!

TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23
TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25
5-11
5-11
Clearing the NAT Translation Table
RouterX# clear ip nat translation *
Clears all dynamic address translation entries
RouterX# clear ip nat translation inside global-ip

local-ip [outside local-ip global-ip]
Clears a simple dynamic translation entry that contains an inside
translation or both an inside and outside translation
RouterX# clear ip nat translation outside

local-ip global-ip
Clears a simple dynamic translation entry that contains an outside
translation
RouterX# clear ip nat translation protocol inside global-ip

global-port local-ip local-port [outside local-ip
local-port global-ip global-port]
Clears an extended dynamic translation entry (PAT entry)
5-12
5-12
Translation Not Occurring:
Translation Not Installed in the Table
Verify that:
There are no inbound ACLs that are denying the packets entry to
the NAT router
The ACL referenced by the NAT command is permitting all
necessary networks
There are enough addresses in the NAT pool
The router interfaces are appropriately defined as NAT inside or
NAT outside
5-13
5-13
Displaying Information with show and
debug Commands
RouterX# debug ip nat
NAT: s=192.168.1.95->172.31.233.209, d=172.31.2.132 [6825]

NAT: s=172.31.2.132, d=172.31.233.209->192.168.1.95 [21852]
NAT: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6826]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23311]
NAT*: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6827]
NAT*: s=192.168.1.95->172.31.233.209, d=172.31.1.161 [6828]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23312]
NAT*: s=172.31.1.161, d=172.31.233.209->192.168.1.95 [23313]
RouterX# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
Ethernet0, Serial2
Inside interfaces:
Ethernet1
Hits: 5 Misses: 0
…
5-14
5-14
Translation Occurring: Installed
Translation Entry Not Being Used
Verify:
What the NAT configuration is supposed to accomplish
That the NAT entry exists in the translation table and that it is
accurate
That the translation is actually taking place by monitoring the NAT
process or statistics
That the NAT router has the appropriate route in the routing table
if the packet is going from inside to outside
That all necessary routers have a return route back to the
translated address
5-15
5-15
Sample Problem: Cannot Ping
Remote Host
5-16
5-16
Remote Host (Cont.)
RouterA# show ip nat translations

--- --- ---
--- --- ---
There are no translations in the table.
5-17
5-17
Remote Host (Cont.)
RouterA# show ip nat statistics

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Ethernet0
Inside interfaces:
Serial0
Hits: 0 Misses: 0
…
The router interfaces are inappropriately defined as NAT inside and NAT outside.
5-18
5-18
Remote Host (Cont.)
RouterA# show access-list

Pings are still failing and there are still no translations in the table.
There is an incorrect wildcard bit mask in the ACL that defines
the addresses to be translated.
5-19
5-19
Sample Problem: Cannot
Ping Remote Host (Cont.)
RouterA# show ip nat translations

--- 172.16.17.20 192.168.1.2 --- ---
Translations are now occurring.

Pings are still failing.
5-20
5-20
Remote Host (Cont.)
RouterB# sh ip route
10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0/24 is directly connected, Serial0
R 192.168.2.0/24 is directly connected, Ethernet0
R 192.168.1.0/24 [120/1] via 10.1.1.1, 2d19h, Serial0
Router B has no route to the translated network address of 172.16.0.0.

5-21
5-21
Remote Host (Cont.)
RouterA# sh ip protocol
Routing Protocol is "rip"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Sending updates every 30 seconds, next due in 0 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Redistributing: rip
Default version control: send version 1, receive any version
Automatic network summarization is in effect
Maximum path: 4
Routing for Networks:
192.168.0.0
Routing Information Sources:
Gateway Distance Last Update
Distance: (default is 120)
Router A is advertising the network that is being translated, 192.168.1.0,

instead of the network address the router is translating into,172.16.0.0.
5-22
5-22
Solution: Corrected Configuration
5-23
5-23
Visual Objective 7-1:
Configuring NAT and PAT
WG Router s0/0/0 Router fa0/0 Switch
A 10.140.1.2 10.2.2.3 10.2.2.11

B 10.140.2.2 10.3.3.3 10.3.3.11
C 10.140.3.2 10.4.4.3 10.4.4.11
D 10.140.4.2 10.5.5.3 10.5.5.11
E 10.140.5.2 10.6.6.3 10.6.6.11
F 10.140.6.2 10.7.7.3 10.7.7.11
G 10.140.7.2 10.8.8.3 10.8.8.11
H 10.140.8.2 10.9.9.3 10.9.9.11
5-24
Lab 13 ACL
Note: Refer to the lab setup guide for lab instructions.
5-24
Tóm tắt
There are three types of NAT: static, dynamic, and

overloading (PAT).
Static NAT is one-to-one address mapping. Dynamic NAT
addresses are picked from a pool.
NAT overloading (PAT) allows you to map many inside
addresses to one outside address.
Use the show ip nat translation command to display the
translation table and verify that translation has occurred.
To determine if a current translation entry is being used, use
the show ip nat statistics command to check the hits counter.
5-25
5-25
5-26
5-26
Bài 6: Quá trình
chuyển sang IPv6
Quản lý không gian địa chỉ
6-1
Tổng quan
• Việc mở rộng cho những nhu cầu trong tương lai yêu cầu khả năng cung cấp địa chỉ IP
không hạn chế và cải thiện khả năng di động. IP phiên bản 6 (IPv6) thỏa mãn nhu cầu
ngày càng phức tạp mà IP phiên bản 4 (IPv4) không thể đáp ứng được. IPv6 sử dụng
một số dạng địa chỉ khác hiệu quả hơn IPv4. Bài học mô tả những dạng khác nhau mà
IPv6 sử dụng và các để gán địa chỉ.
• Việc chuyển từ IPv4 sang IPv6 có thể yêu cầu khá nhiều kỹ thuật bao gồm cả chức
năng cấu hình tự động. Phương pháp nào sẽ được triển khai tùy thuộc nhiều vào hệ
thống mạng. Bài học mô tả các kiểu khác nhau của phương pháp chuyển lên IPv6
trong mạng.
Mục tiêu
Cung cấp khả năng giải thích định dạng của địa chỉ IPv6 và các thanh phần yêu cầu
phải có để triển khai IPv6, giải thích các vấn đề liên quan đến định tuyến và các thông
số cấu hình IPv6 cơ bản.
- Giải thích sự cần thiết của IPv6
- Mô tả định dạng địa chỉ IPv6
- Giải thích các phương pháp đặt địa chỉ IP
- Giải thích cách mà IPv6 ảnh hưởng đến các giao thức định tuyến phổ biến và những
bổ sung cần thiết cho những giao thức này.
- Giải thích chiến lược chuyển đổi đề thực thi IPv6
- Cấu hình IPv6 với RIPng trong mạng IPv4
6-1
IPv4 và IPv6
Hiện tại, có sắp xỉ khoản 1.3 tỉ địa chỉ IPv4 còn có khả sử dụng
6-2
Không gian địa chỉ IPv4 cung cấp xấp xỉ 4,3 tỉ địa chỉ. Với không gian địa
chỉ trên, có khoản 3,7 tỉ địa chỉ thật sự được triển khai, những địa chỉ khác
được để dành cho những mục đích đặc biệt như multicast, dãy địa chỉ dùng
riêng (private), kiểm tra loopback và dùng để nghiên cứu. Dựa trên biểu đồ
như ngày 1 tháng 1 năm 2007, có khoảng 2,407 tỉ địa chỉ được gán cho các
người dùng đầu cuối hay cho các nhà cung cấp dịch vụ Internet (ISP) và để
lại gần 1,3 tỉ địa chỉ vẫn còn có thể sử dụng trong không gian địa chỉ này.
Địa chỉ IPv6 dài 128 bit và có thể được thể hiện bằg 32 số Thập lục phân
như được hiển thị ở hình trên. Nó cung cấp 3,4 * 10^38 địa chỉ IP. Phiên
bản này của địa chỉ IP tỏ ra hiệu quả trong việc đáp ứng những nhu cầu tăng
trưởng của Internet trong tương lai.
Do không gian địa chỉ 128 bit rộng rãi, địa chỉ IPv6 cung cấp dường như là
không giới hạn địa chỉ IP.
6-2
Tại sao lại cần một không gian địa chỉ
lớn hơn
Dân số trên Internet
– Có khoản 973 triệu người dùng Internet tính đến tháng 11 năm 2005
– Dân cư trên Internet tăng nhanh
Người dùng di động
– PDA, pen tablet, notepad,…
– Số lương sắp xỉ 20 triệu trong năm 2004
Điện thoại di động
– Đã có sẵn 1 tỉ điện thoại di động được phân phối trong nền công nghiệp.
Phương tiện vận chuyển
– Dự kiến có khản 1 tỉ xe hơi vào năm 2008
– Truy cập Internet trên máy bay
Thiết bị tiêu dùng
– Sony bắt buộc rằng tất cả các thiết bị của hãng phải hỗ trợ IPv6 từ năm
2005
– Hàng triệu các ứng dụng gia đình và công nghiệp
6-3
• Mạng Internet sẽ được thay đổi sau khi IPv6 hoàn toàn thay thế IPv4. Một số người đã
phân tích và công bố về khả năng quá tải của IPv4. Tuy nhiên việc ước lượng về thời
điểm quá tải của IPv4 lại rất khác nhau, có thể vào năm 2008, 2009 hay thậm chí là
2013. Dầu gì đi nữa, IPv4 sẽ không biến mất trong vòng một đêm mà sẽ cùng tồn tại và
dần bị thay thế bởi IPv6.
• Quá trình chuyển từ IPv4 sang IPv6 đã bắt đầu, từng phần tại Châu Âu, Nhật, và khu
vực Châu Á Thái Bình Dương. Những khu vực này đã dần quá tải những địa chĩ IPv4
mà họ được cấp, điều này làm IPv6 trở nên hấp dẫn và cần thiết hơn. Một số quốc gia
như Nhật, đã nhanh chóng chấp nhận IPv6. Một số khác như tại Châu Âu thì đang dần
chuyển sang IPv6, Trung Quốc được ghi nhận là đang xây dựng một hệ thống mạng
dành riêng cho IPv6.
• Ngày 1 tháng 10 năm 2003, U.S DoD (Department of Defense) bắt buộc rằng những
trang thiết bị mua về phải có khả năng hỗ trợ IPv6. Thêm vào đó, chính phủ Mỹ phải
bắt dầu sử dụng IPv6 trong hệ thống mạng của họ vào năm 2008 và họ đang tiến hành
thực hiện triển khai cho đúng kỳ hạn.
6-3
Tính năng vượt trội của IPv6
Không gian địa chỉ rộng hơn: Header đơn giản:
Linh động và toàn cầu Định tuyến hiệu quả
Có khả năng aggregation Tăng cường khả năng chuyển
Multihoming gói
Autoconfiguration Không sử dụng broadcast
Plug-and-play Không kiểm lỗi
End-to-end không cần NAT Những header mở rộng
Có khả năng đánh lại địa chỉ Dán nhãn luồng
Di động và bảo mật: Nhiều phương pháp chuyển tiếp:
Tuân theo chuẩn Mobile IP của Dual stack
RFC 6to4 and manual tunnels
Bắt buộc hỗ trợ cho IPSec Translation
6-4
IPv6 là một sự cải tiến mạnh mẽ từ IPv4. Một số tính năng trong IPv6 mang lại
khả năng tiên tiến này. Những gì mà các nhà phát triển học được trong việc sử
dụng IPv4 đã được đề nghị để phù hợp hơn cho những nhu cầu hiện tại và trong
tương lai
Không gian địa chỉ rộng hơn: không gian địa chỉ rộng hơn bao gồm một số cải
tiến:
- Cải thiện khả năng liên kết và linh hoạt
- Bảng định tuyến chứa các mạng tổng hợp
- Multihoming đến một vài ISP
- Tự động cấu hình bao gồm địa chỉ lớp Data-Link trong không
gian địa chỉ.
- Tùy chọn plug-and-play
- Phân định lại địa chỉ Public-to-Private từ đầu cuối này sang đầu
cuối khác mà không chuyển đổi địa chỉ
- Mang lại phương pháp đơn giản trong việc đặt lại số và quá
trình chỉnh sửa
Header đơn giản: một header đơn giản mang lại một số lợi điểm trên IPv4
-
6-4
Tăng cường hiệu suất định tuyến và chuyển gói dữ liệu
- Không broadcast và cũng không có hiểm họa đe dọa của bão
broadcast
- Không yêu cầu tiến trình checksum
- Đơn giản và hiệu quả trong việc mở rộng header
- Flow label cho từng luồng dữ liệu dẫn đến việc không cần
phải mở đến lớp transport để xác định các luồng dữ liệu
Tính di động và bảo mật: tính di động và bảo mật giúp đảm bảo khả năng
tương thích với mobile IP và IPSec. Tính di động cho phép người dùng với
các thiết bị di động, đa số với các kết nối không dây, có thể di chuyển trong hệ
thống mạng.
Mobile IP là một chuẩn của IETF cho cả IPv4 và IPv6. Chuẩn này cho phép
các thiết bị di động có thể di chuyển mà không phá vỡ kết nối đã được thiết
lập trước đó. Bởi vì IPv4 không tự động cung cấp tính năng di động này, ta
phải đưa vào với những cấu hình cộng thêm. Trong IPv6, tính di động được
tích hợp sẵn, có nghĩa là bất kỳ các node IPv6 có thể sử dụng tính năng này
khi cần thiết. Header của IPv6 khiến cho mobile IPv6 trở nên hiệu quả hơn
cho các node đầu cuối so với IPv4. IPSec là một chuẩn của IETF cho vấn đề
bảo mật trên mạng, có sẵn cho cả IPv4 và IPv6. Mặc dầu chức năng của IPSec
là tương tự cho cả hai môi trường, IPv6 là bắt buộc đối với IPv6. IPSec được
kích hoạt cho tất cả các node IPv6 khiến cho Internet IPv6 trở nên bảo mật
hơn. IPSec cũng yêu cầu khóa cho các bên tham gia, điều này bao hàm việc
triển khai toàn cầu các từ khóa
Đa dạng trong việc chuyển dời: có nhiều cách để tích hợp IPv4 có sẵn với
những tính năng thêm vào của IPv6
- Dual-stack là một phương pháp đang được tiến hành triển
khai, cả IPv4 và IPv6 được cấu hình trên càc interface của thiết bị
- Tunneling là một kỹ thuật khác trở nên nổi bật được chọn
trong quá trình phát triển của IPv6. Có rất nhiều phương pháp để tunnel địa
chỉ IPv6 trên IPv4. Một số phương pháp khác yêu cầu cấu hình bằng tay, trong
khi một số xảy ra tự động hơn
- Hệ điều hành Cisco IOS 12.3.(2)T và sau đó, bao gồm NAT –
PT (Network Address Translation – Protocol Translation) giữa IPv6 và IPv4.
Sự chuyển dời này cho phép giao tiếp trực tiếp giữa những host sử dụng
những phiên bản giao thức IP khác nhau.
6-5
Biểu diễn địa chỉ IPv6
Dịnh dạng:
x:x:x:x:x:x:x:x, X là vùng chứa 16 bit dạng số Hexa
– Không phân biệt chữ thường, hoa cho A, B, C, D, E, F
Những số 0 đầu tiên trong từng vùng là tùy chọn
Những vùng 0 liên tiếp có thể đại diện bởi:: và chỉ được dùng một lần
trong một địa chỉ
Ví dụ:
2031:0000:130F:0000:0000:09C0:876A:130B
– Có thể được đại diện thành 2031:0:130f::9c0:876a:130b
– Không thể biểu diễn dạng sau 2031::130f::9c0:876a:130b
FF01:0:0:0:0:0:0:1 FF01::1
0:0:0:0:0:0:0:1 ::1
0:0:0:0:0:0:0:0 ::
6-6
Tìm hiểu địa chỉ IPv6

Chủ đề này mô tả định dạng của điạ chỉ IPv6 và cá phương pháp viết tắt của địa
chỉ.
Dấu hai chấm (:) sẽ cách ly các chuỗi 16 bit đại diện cho địa chỉ IPv6. Những số
thập lục phân A, B, C, D, E, F trong địa chỉ IPv6 không phân biệt chữ thường
chữ hoa. IPv6 không cần ký hiệu chuỗi địa chỉ phải cấu hình rõ ràng. Sử dụng
những hướng dẫn sau cho ký hiệu chuỗi địa chỉ:
- Những số 0 đứng đầu trong một trường là tùy chọn, do vậy
09C0 tương đương với 9C0 và 0000 tương đương với 0
- Những trường 0 liên tiếp có thể đại diện bởi “::”, và chỉ được
dùng đại diện này 1 lần trong 1 địa chỉ
- Một địa chỉ không được chỉ ra sẽ được viết là “::” bởi vì nó chỉ
chứa các bit 0
Sử dụng ký hiệu “::” sẽ giảm rất nhiều kích cỡ của hầu hết địa chỉ. Ví dụ:
FF01:0:0:0:0:0:0:1 sẽ trở thành FF01::1
Chú ý: người phân tích địa chỉ sẽ xác định số lượng số 0 bị thiếu bằng cách
cách ly thành 2 phần và nhập vào 0 cho đến khi nào điền dủ 128 bit. Nếu 2 ký
hiệu “::” đặt trong địa chỉ, không có cách nào để xác định kích cỡ của cái khối
bit 0.
6-6
Các loại địa chỉ IPv6
Unicast:
– Địa chỉ cho 1 interface
– IPv6 có một vài loại (ví dụ, global, reserved, link-local, and site-local)
Multicast:
– Một đến nhiều host
– Cho phép sử dụng mạng hiệu quả hơn
– Sử dụng dãy địa chỉ rộng hơn
Anycast:
– One-to-nearest (được cấp phát từ không gian địa chỉ unicast)
– Nhiều thiết bị chia sẻ sử dụng một địa chỉ
– Các host có chung địa chỉ anycast thì nên cung cấp cùng dịch vụ
– Thiết bị gởi ra gói dữ liệu anycast
– Router định ra thiết bị gần nhất để chuyển gói dữ liệu đến đích
– Thích hợp trong việc truyền cân bằng tải
6-7
Quá trình broadcast trong IPv4 sinh ra khá nhiều vấn đề. Braodcasr sinh ra
nhiều gián đoạn trong mỗi máy tính trong mạng và trong một vài trường hợp
kích hoạt sai chức năng và làm treo toàn bộ hệ thống mạng. Vấn đề này trong
mạng được biết đến như bão broadcast.
Trong IPv6, broadcast không tồn tại. IPv6 thay thế broadcast bằng multicast và
anycast. Multicast cho phép cho phép mạng hoạt động hiệu quả hơn bằng cách
sử dụng sử dụng những địa chỉ multicast chức năng khác nhau để gởi yêu cầu
đến một số lượng giới hạn cá máy tính trên mạng. Những địa chỉ multicast này
ngăn chặn hầu hết các vấn đề liên quan đến bão broadcast như trong IPv4. Tầm
địa chỉ multicast trong IPv6 rộng hơn so với tầm địa chỉ multicast trong IPv4.
Trong tương lai gần, việc cấp phát địa chỉ multicast là không bị hạn chế.
IPv6 cũng định ra kiểu địa chỉ mới gọi là anycast. Một địa chỉ anycast sẽ xác
định một danh sách các thiết bị hay các node, do vậy, một địa chỉ anycast sẽ xác
định nhiều interface. Địa chỉ anycast giống như là sự pha trộn giữa địa chỉ
unicast và multicast. Unicast gởi gói dữ liệu đến một thiết bị cụ thể với một địa
chỉ cụ thể, multicast gởi một gói dữ liệu đến tất cả các thành viên trong một
nhóm. Annycast gởi một gói dữ liệu đến bất bì một thành viên nào trong nhóm
thiết bị được phân định với địa chỉ anycast đó.
6-7
Để hiệu quả hơn, một gói dữ liệu gởi đến địa chỉ anycast sẽ được phân phát
đến interface gần nhất - được định nghĩa bởi giao thức định tuyến đang dùng –
được xác định bởi địa chỉ anycast, do vậy, địa chỉ anycast được xem là dạng
địa chỉ “one-to-nearest”. Địa chỉ anycast về mặt cú pháp sẽ không phân biệt
với địa chỉ global unicast bởi địa chỉ anycast được cấp phát từ không gian địa
chỉ global unicast.
Chú ý: Có khá ít kinh nghiệm trong việc mở rộng, và khá tùy ý trong việc sử
dụng địa chỉ anycast trên Internet. Có một số sự phức tạp, may rủi khi sử dụng
chúng trong dạng tổng quát. Cho đến khi có thêm nhiều kinh nghiệm và các
giải pháp được đưa ra cho những vấn đề này, các hạn chế sau đây phải được
tuân theo:
1. Địa chỉ anycast không được sử dụng như địa chỉ nguồn của
IPv6
2. Địa chỉ anycast không được gán cho các host IPv6, nó chỉ có
thể được gán vào router IPv6
6-8
Địa chỉ IPv6 Unicast
Các loại địa chỉ unicast:

– Global: bắt đầu với 2000::/3 và được phân định bởi IANA
– Reserved: sử dụng bởi IETF
– Private: Link local (bắt đầu với FE80::/10)
– Loopback (::1)
– Unspecified (::)
Một interface có thể mang nhiều địa chỉ IPv6 bất kỳ trong các
dạng sau: unicast, anycast, or multicast.
Quy luật gán địa chỉ IPv6 được đề cập trong nhiều RFC.
– Kiến trúc địa chỉ được qyu định bởi RFC 4291
6-9
Có một vài loại địa chỉ IPv6 unicast cơ bản: global, reserved, private (link-local
và site-local), loopback và, unspecified
Địa chỉ Global
Địa chỉ IPv6 global unicast tương đương như địa chỉ global unicast của IPv4.
Cấu trúc của địa chỉ global unicast cho phép tổng hợp phần mạng (prefix) nhằm
giảm thiểu các dòng định tuyến trong bảng định tuyến của router. Địa chỉ global
unicast được sử dụng trên các đường truyền sẽ được tổng hợp gởi qua các tổ
chức hay thậm chí gởi qua các ISP.
Địa chỉ để dành (Reserved)
IETF để dành một phần không gian địa chỉ IPv6 cho nhiều mục đích sử dụng
khác nhau cho cả hiện tại và tương lai. Những địa chỉ để dành này đại diện thứ
tự 1/256 của không gian địa chỉ IPv6. Một số dạng địa chỉ khác được xuất phát
từ dãy địa chỉ này.
Địa chỉ Private
Một dãy địa chỉ IPv6 được dành riêng cho địa chỉ Private như đã được thực hiện
cho IPv4. Những địa chỉ này chỉ có giá trị cục bộ cho từng link hay từng site cụ
thể, do vậy, nó không bao giờ được định tuyến ra khỏi hê thống mạng một công
ty. Địa chỉ Private có octet đầu tiên với giá trị là “FE” và số thập lục phân kế
tiếp sẽ chạy từ 8 đến F.
6-9
Những địa chỉ này lại được chia làm 2 loại, dựa trên phạm vi của địa chỉ:
Địa chỉ Site-local
- Những địa chỉ này giống như địa chỉ Private được quy định
trong FRC 1918 của địa chỉ IPv4. Phạm vi của địa chỉ này là cho toàn bộ site
hay toàn bộ tổ chức. Những địa chỉ này cho phép sử dụng đặt trong một tổ
chức mà không cần phải sử dụng những địa chỉ Public. Router sẽ định tuyến
cho những gói dữ liệu nằm trong site này nhưng sẽ không thể dẫn ra ngoài site
để đến môi trường Internet.
- Khi biểu diễn ở dạng thập lục phân, địa chỉ site-local sẽ bắt
đầu bằng “FE” sau đó là một số thập lục phân khác từ “C” đến “F”, do vậy
những địa chỉ này sẽ được bắt đầu từ “FEC”, “FED”, “FEE”, hay “FEF”
Địa chỉ Link-local

- Khái niệm link-local là một khái niệm mới đối với IPv6.
Những địa chỉ này có phạm vi nhỏ hơn địa chỉ site-local, nó chỉ có giá trị
trong một đường kết nốo vật lý cụ thể nào đó. Router sẽ không định tuyến cho
những địa chỉ này. Nó chỉ được dành cho giao tiếp trên một đoạn mạng vật lý.
- Những địa chỉ này được sử dụng cho giao tiếp trên đường
truyền như cấu hinh địa chỉ tự động, phát hiện thiết bị kế cận, tìm router. Đa
số các giao thức định tuyến cũng sử dụng địa chỉ link-local
- Địa chỉ Link-local bắt đầu với “FE” và số thập lục phân kế
tiếp chạy từ 8 đến B, do vậy những địa chỉ này bắt đầu từ “FE8”, “FE9”,
“FEA”, hay “FEB”.
Địa chỉ Loopback

Cũng như trong địa chỉ IPv4, IPv6 cũng được cung cấp những địa chỉ
loopback đặc biệt cho mục đích kiểm tra, những gói dữ liệu đến địa chỉ này sẽ
được “loopback” (gởi vòng ngược lại) cho thiết bị gởi. Tuy nhiên, trong địa
chỉ IPv6, chỉ có 1 địa chỉ chứ không phải nguyên một dãy, dành cho dạng địa
chỉ này. Địa chỉ loopback là 0:0:0:0:0:0:0:1 và thường được biểu diễn là “::1”.
Địa chỉ không được chỉ định (unspecified)

Với IPv4, địa chỉ IP bao gồm toàn bộ các bit 0 mang một ý nghĩa đặc biệt, đó
là chính host đó, và nó được sử dụng khi thiết bị không biết được địa chỉ của
mình. Với IPv6, khái niệm này đã được chính thức hóa và địa chỉ toàn 0 được
gọi là địa chỉ “unspecified”. Nó được sử dụng trong trường địa chỉ nguồn của
gói dữ liệu gởi đi bởi thiết bị đang tìm kiến địa chỉ IP của mình. Ta có thể áp
dụng nén địa chỉ này, bởi địa chỉ bao gồm toàn 0, địa chỉ trở thành “::”.
6-10
Địa chỉ IPv6 Global Unicast (và Anycast)
IPv6 có cùng định dạng cho địa chỉ global unicast và cho địa chỉ
anycast.
Sử dụng global routing prefix—một cấu trúc cho phép tổng hợp địa chỉ về
hướng ISP
Một interface có thể mang nhiều địa chỉ IPv6 bất kỳ trong các dạng: unicast,
anycast, or multicast
Mỗi interface chạy IPv6 chứa ít nhất một looback (::1/128) và một địa chỉ
link-local.
Một tính năng tùy chọn: mỗi interface có thể có nhi62u địa chỉ local và global
duy nhất
6-11
Địa chỉ global unicast được định nghĩa trong phần global routing prefix, subnet
IP và phần interface ID. Không gian địa chỉ unicast IPv6 hầu như chiếm toàn bộ
dãy không gian địa chỉ trừ một ngoại lệ của FF00::/8 (1111 1111) là dành cho
địa chỉ multicast. Địa chỉ gloabal unicast hiện tại được phân định bởi IANA
(Internet Assigned Numbers Authority) sử dụng dãy địa chỉ bắt đầu với giá trị
nhị phân là 001 (2000::/3), chiếm 1/8 tổng không gian địa chỉ IPv6 và là khối
địa chỉ lớn nhất được cấp phát.
Địa chỉ với phần prefix là 2000::/3 đến E000::/3 cần có 64 bit phần xác định
interface nằm trong định dạng (EUI)-64 (Extened Universal Identifier)
Tồ chức IANA cấp phát không gian địa chỉ IPv6 trong khoản 2001::/16 cho các
cơ quan đăng ký. Địa chỉ global unicast bao gồm 48 bit trong phần global
routing prefix và 16 bit phần subnet ID. Những tồ chức cá nhân có thể dùng 16
bit Subnet ID này để tạo ra kiến trúc địa chỉ mạng con cục bộ (local) cho chính
mình. Trường địa chỉ này cho phép một tổ chức có thể thiết lập tới 65,535 các
subnet riêng biệt. Để biết thêm thông tin, tham chiếu RFC 3587, IPv6 Global
Unicast Address Format, chuẩn đã thay thế RFC 2374.
6-11
Link-Local Addresses
Các địa chỉ link-local là một khoản địa chỉ giới hạn trong đường link và được tự
động tạo trên các interface IPv6 bằng cách sử dụng phần prefix đặc biệt FE80::/10
và 64 bit phần Interface ID
Địa chỉ link-local được sử dụng cho phương pháp tự động cấu hình địa chỉ, tìm kiếm
thiết bị láng giềng hay tìm kiếm router. Địa chỉ link-local cũng được sử dụng bởi
nhiều giao thức định tuyến
Địa chỉ link-local có thể phục vụ như là cách để kết nối trên cùng một mạng cục bộ mà
không cần những địa chỉ global
Khi giao tiếp với địa chỉ link-local, ta phải chỉ định cổng ra bởi vì các interface đều được kết
nối với địa chỉ 6-12
Địa chỉ IPv6 trên các lớp Data Link

IPv6 được định nghĩa trên hầu hết các giao thức lớp 2 (Data Link) bao gồm:
- Ethernet *
- PPP*
- High-Level Data Link Control (HDLC)*
- FDDI
- Token Ring
- Attached Resource Computer network (ARCnet)
- Nonbroadcast multiaccess (NBMA)
- ATM**
- Frame Relay***
- IEEE 1394
* Cisco hỗ trợ các loại khung dữ liệu này
** Cisco chỉ hỗ trợ ATM – PVC mà không hỗ trợ SVC hay LANE (ATM LAN
Emulation)
*** Cisco chỉ hỗ trợ Fram Relay PVC mà không hỗ trợ SVC
6-12
Chuẩn RFC mô tả các đặc tính của IPv6 cho mỗi lớp Data Link khác nhau,
nhưng hệ điều hành Cisco không cần phải hỗ trợ tất cả các loại. Lớp Datalink
định ra cách mà phần interface ID của IPv6 được tạo ra và làm cách nào thiết
bị kế cận liên kết với quá trình phân giải địa chỉ ở lớp Data Link.
6-13
Không gian địa chỉ lớn cho phép tổng
hợp địa chỉ
Quá trình tổng hợp các địa chỉ mang lại những lợi điểm sau:
Prefix tổng hợp sẽ được quản bá trên các bảng định tuyến toàn cục
Định tuyến hiệu quả và có khả năng mở rộng
Tăng cường băng thông và các chức năng cho luồng dữ liệu người dùng
6-14
Không gian địa chỉ lớn tạo điều kiện thoải mái cho việc phân định địa chỉ đến
các ISP hay các tổ chức. ISP tổng hợp tất cả các prefix của khách hàng thành
một prefix duy nhất và quảng bá prefix đơn này trên môi trường Internet.
Không gian địa chỉ tăng lên trở nên hiệu quả để cho phép tổ chức định nghĩa
một prefix duy nhất cho toàn bộ hệ thống của họ.
Sự thổng hợp các prefix của khác hàng sẽ rất hiệu quả trong việc quản lý và mở
rộng bảng định tuyến. Mở rộng định tuyến là cần thiết để vươn rộng hơn những
chuẩn chức năng mới của mạng. Nó cũng giúp cải thiện băng thông và đảm bảo
các chức năng trên luồng dữ liệu của người dùng khi kết nối đến hiều thiết bị và
các ứng dụng.
Internet ngày hôm nay và trong tương lai có thể bao gồm các yếu tố sau:
- Sự tăng trưởng nhanh chóng số lượng lớn các khách hàng dùng băng thông
rộng với đường truyền tốc độ cao và luôn có sẵn
- Người dùng bỏ ra nhiều thời gian hơn để online và se trả nhiều hơn cho các
dịch vụ giao tiếp (như tải nhạc,…)
- Mạng tại nhà với phần mở rộng các ứng dụng mạng như VoIP không dây,
truyền hình thời gian thực theo yêu cầu
- Các games sẽ phát triển ồ ạt với sự tham gia toàn cầu, các chương trình e-
learning cung cấp cho người học những mô hỉnh LAB từ xa hay những mô hỉnh
LAB giả lập.
6-14
Phân định IPv6 global unicast
Gán tĩnh
– Gán Interface ID bằng tay
– Gán Interface ID với EUI-64
Gán động
Tự động cấu hình
DHCPv6
6-15
Quá trình gán địa chỉ IPv6

Chủ đề này mô tả các phương pháp được dùng để gán địa chỉ IPv6.
Interface ID trong địa chỉ IPv6 được dùng để xác định interface trên đường
truyền (link). Nó có thể được xem là phần host của địa chỉ IPv6. Interface ID là
duy nhất trên một link cụ thể. Interface ID luôn là 64 bit và có thể tự động được
lấy từ địa chỉ vật lý của phương thức đóng gói lớp 2
Một số phương pháp sau dùng để gán một địa chỉ IPv6 cho một thiết bị:
- Gán tĩnh sử dụng địa chỉ Interface ID bằng tay
- Gán tĩnh sử dụng Interface ID dạng EUI-64
- Tự động cấu hình dạng stateless
- Dùng DHCP cho IPv6 (DHCPv6)
Gán Interface ID bằng tay

Một cách để gán tĩnh địa chỉ IPv6 cho các thiết bị là gán bằng tay cho cả phần
mạng (prefix) và phần host (interface ID). Để cấu hình địa chỉ IPv6 trên các
interface của Cisco router và kích hoạt tiến trình IPv6 trên những interface này,
dùng câu lệnh ipv6 address ipv6-address/prefix-length trong mode interface
6-15
Ví dụ sau chỉ ra cách kích hoạt tiến trình IPv6 và cấu hình địa chỉ trên
interface
RouterX(config-if) ipv6 address 2001:DB8:2222:7272::72/64
Gán Interface ID dạng EUI-64

Một cách khác để gán tĩnh một địa chỉ IPv6 là cấu hình phần mạng (prefix)
của địa chỉ IPv6 và sử dụng phần host (Interface ID) lấy từ phần địa chỉ lớp 2
của thiết bị, được gọi là Interface ID dạng EUI-64
Để cấu hình địa chỉ IPv6 và kích hoạt tiến trình địa chỉ cho interface sử dụng
Interface ID dạng EUI-64 trong 64 bit thấp, dùng câu lệnh ipv6 address ipv6-
prefix/prefix-length eui-64 trong mode interface.
Ví dụ sau chỉ ra cách gán địa chỉ IPv6 2001:0DB8:0:1::/64 trên interface
Ethernet 0 và sử dụng Interface ID dạng EUI-64 ở 64 bit thấp của địa chỉ
RouterX(config-if)# ipv6 address 2001:0DB8:0:1::/64 eui-64
Tự động cấu hình dạng stateless

Tự động cấu hình, như cái tên chỉ ra, là một phương pháp gán địa chỉ IPv6
cho thiết bị một cách tự động. Trong IPv6, giả sử các thiết bị PC hay không
phải là PC kết nối vào mạng sẽ tự động nhận được một địa chỉ mà không cần
phải cấu hình, phương pháp này kích hoạt chức năng plug-and-play.
DHCPv6 (Stateful)
DHCP cho IPv6 cho phép DHCP server đưa các tham số cấu hình như địa chỉ
mạng IPv6 cho các client. Nó mang lại khả năng tự động cấp phát và sử dụng
lại địa chỉ và thêm vào một số cấu hình linh động. DHCPv6 cũng tương tự
như quá trình tự động cấp phát địa chỉ dạng stateless và có thể sử dụng riêng
biệt hay đồng thời với giao thức này để cấp phát các thông số địa chỉ.
6-16
IPv6 EUI-64 Interface Identifier
Cisco có thể sử dụng định dạng EUI-64 cho Interface ID

Định dạng này mở rộng 48 bit địa chỉ MAC đến 64 bit bằng cách chèn
vào 16 bit FFFE vào giữa
Để đảm bảo rằng địa chỉ này là duy nhất, bit U/L được bật lên 1 để chỉ
ra khoản global
6-17
Sử dụng địa chỉ IPv6 trong định dạng EUI-64

64 bit cho vùng Interface ID trong địa chỉ IPv6 nhằm xác định tính duy nhất của
interface trên đường link. Link là một phương tiện truyền dẫn mà trên đó các thiết
bị giao tiếp với nhau sử dụng một dạng khung trên đường link đó. Interface ID
cũng có thể là duy nhất trên những khoản rộng hơn. Trong một vài trường hợp,
Interface ID là, hoặc dựa trên địa chỉ MAC của interface. Cũng như trong địa chỉ
IPv4, phần subnet prefix của IPv6 sẽ kết hợp với một link.
Interface ID trong địa chỉ global unicast và trong các dạng địa chỉ IPv6 khác phải
dài 64 bit và có thể được cấu tạo theo định dạng EUI-64 bit. Định dạng EUI-64 bit
cho phần Interface ID được lấy từ 48 bit địa chỉ MAC và chèn vào 4 số thập lục
phân FFFE giữa 3 bytes vùng OUI và 3 bytes thấp. Để đảm bảo rằng việc chọn địa
chỉ là từ địa chỉ MAC duy nhất, bit số 7 trong vùng byte cao được đặt lên 1 (tương
tự như IEEE bit E/L) để chỉ ra sự duy nhất của 48 bit địa chỉ.
6-17
Tự động cấu hình (Stateless
Autoconfiguration)
6-18
Phương pháp tự động cấu hình địa chỉ dạng stateless là một đặt tính quan trọng
của IPv6. Nó cho phép dễ dàng cấu hình cơ bản địa chỉ cho thiết bị mà không
cần server.
Phương pháp này sử dụng thông tin trong gói quảng bá của router để cấu hình
địa chỉ cho thiết bị. Phần prefix nằm trong thông điệp quảng bá của router được
sử dụng như prefix /64 của thiết bị. 64 bit còn lại được tự động tạo ra Interface
ID, trong trường hợp môi trường Ethernet, dạng EUI-64 bit
Router theo chu kỳ sẽ gởi ra ngoài RAs. Khi một thiết bị khởi động lên, nó sẽ
cần một địa chỉ trong tiến trình đầu của quá trình khởi động. Thiết bị không thể
chờ một khoảng thời gian dài cho một gói RA từ router, thay vào đó, nó sẽ gởi
ra một thông điệp để xin các thông tin cấu hình (solicitaion message) để hỏi
router phản hồi một RA và lúc này thiết bị có thể tự cấu hình cho mình một địa
chỉ IPv6. Tất cà các router sẽ phản hồi thông tin này với địa chỉ multicast của
tất cả các node (all-node multicast) làm địa chỉ đích. Chức năng tự động cấu
hình này cho phép khả năng plug-and-play cho các thiết bị muốn cấu hình địa
chỉ IPv6 mà không cần sự can thiệp của người quản trị hay sự hiện diện của
DHCP server. Chức năng chính này cho phép triển khai các thiết bị mới trên
Internet như cell phone, thiết bị không dây,…
6-18
Chú ý: Khái niệm stateless DHCP nằm giữa phương pháp cấu hình tự động
staless và stateful DHCP. Stateless DHCP cho địa chỉ IPv6 còn được gọi là
“DHCP-lite”. Tham khảo thêm RFC 3736 Stateless Dynamic Host
Configuration Protocol (DHCP) Service for IPv6.
6-19
DHCPv6 (Stateful)
DHCPv6 là một phiên bản cập nhật của DHCP cho IPv4
Hỗ trợ dạng địa chỉ mới
Cho phép kiểm soát nhiều hơn so với phương pháp tự động cấu
hình
Có thể sử dụng cho việc phân định lại địa chỉ
Có thể sử dụng cho việc tự động đăng ký tên miền cho các host
sử dụng chức năng dynamic DNS
6-20
DHCPv6 là một phiên bản được cập nhật của DHCP IPv4. Chuẩn này hỗ trợ
kiến trúc địa chỉ IPv6 và những lợi điểm từ IPv6. Những đặc điểm của
DHCPv6 bao gồm:
- Cho phép điều khiển nhiều hơn về serverless hay phương
pháp tự động cấu hình stateless
- Có thể được sử dụng trong môi trường chỉ có server mà
không có router
- Có thể sử dụng đồng thời với phương pháp cấu hình tự động
stateless
- Có thể sử dụng để định lại số địa chỉ
- Có thể được dùng để tự động đăng ký tên miền với dịch vụ
dynamic DNS
6-20
Quá trình vận hành DHCPv6
DHCPv6 hoạt động tương tự DHCP cho IPv4 ngoại trừ

những thứ như sau:
Ban đầu client sẽ phải dò tìm sự hiện diện của router trên đường
truyền
Nếu router được tìm thấy, các thông điệp quản bá của router sẽ
được kiểm tra để xác định xem DHCP có được sử dụng hay
không
Nếu không có router nào được tìm thấy, hoặc router nói rằng sẽ
phải sử dụng DHCP thì:
– Một thông điệp xin địa chỉ sẽ được gởi ra với địa chỉ multicast
cho ALL-DHCP-AGENTs
– Các client sử dụng địa chỉ link-local như là địa chỉ nguồn
6-21
Tiến trình xin địa chỉ của các DHCPv6 tương tự như client của IPv4 với
một vài ngoại lệ. Ban đầu client phải thực hiện quá trình phát hiện router
trên đường link bằng cách dùng thông điệp phát hiện láng giềng. Nếu có ít
nhất một router được tìm thấy, client sẽ kiểm tra RA để xem thử IPv6 có
được sử dụng hay không. Nếu router được kích hoạt để dùng DHCPv6 trên
link đó hoặc không có router nào được tìm thấy, client sẽ tiến hành quá
trình tìm DHCP server.
DHCP server dùng multicast cho hầu hết các gói dữ liệu. Khi client gởi ra
một thông điệp xin địa chỉ, nó gởi đi ở địa chỉ đích là ALL-DHCP-AGENT
nằm trong khoảng địa chỉ link-local. AGENT trong trường hợp này bao
gồm cả server và relays.
Khi DHCP relay chuyển thông điệp xin đụa chỉ đi, nó có thể gởi ra với địa
chỉ multicast ALL-DHCP-SERVER nằm trong khoảng không gian địa chỉ
của site-local. Điều này có nghĩa ta không cần phải cấu hình để cấu hình
quá trình relay với tất cả các địa chỉ của DHCP server như trong IPv4. Nếu
như chỉ muốn 1 DHCP server nhận được thông điệp này, ta có thể cấu hình
tĩnh một danh sách các DHCP server.
Ta có thể cấu hình những DHCP server khác nhau hoặc cùng DHCP server
cho nhiều ngữ cảnh khác nhau để co thể gán địa chỉ theo các chính sách. Ví
dụ, ta có thể cấu hình 1 DHCPv6 server để cấp một địa chỉ global sử dụng
một chính sách hạn chế như “không cấp địa chỉ cho máy in”, ta có thể sau
đó cấu hình một DHCPv6 server khác hay cùng là server đó với ngữ cảnh
khác nhau để cấp phát địa chỉ site-local với một chính sách thoáng hơn như
là “cho tất cả mọi người”.
6-21
Giao thức định tuyến IPv6
Hình thức định tuyến IPv6:

– Static
– RIPng (RFC 2080)
– OSPFv3 (RFC 2740)
– IS-IS for IPv6
– MP-BGP4 (RFC 2545/2858)
– EIGRP for IPv6
Câu lệnh ipv6 unicast-routing là cần thiết để kích hoạt chức năng
định tuyến IPv6 trên router trước khi dùng đến bất kỳ phương thức
định tuyến nào
6-22
Một số vấn đề về định tuyến đối với IPv6

Chủ đề này mô tả các IPv6 ảnh hưởng đến các giao thức định tuyến và những thay đổi
cần thiết giúp các giao thức định tuyến này hỗ trợ IPv6
IPv6 sử dụng khớp prefix dài nhất (longest prefix match) giống như CIDR (Classless
InterDomain Routing) của IPv4. Hầu hết các giao thức định tuyến đã được chỉnh sửa để
quản lý đươc địa chỉ dài hơn và xác định cấu trúc các header của IPv6. Các giao thức
được cập nhật và thể hiện trên hình là những giao thức đã sẵn sàng.
Ta có thể sử dụng và cấu hình định tuyến tĩnh IPv6 như cách đã làm với IPv4. Có những
yêu cầu trong RFC 2461 buộc router phải có khả năng xác định địa chỉ link-local cho mỗi
router láng giềng để đảm bảo rằng địa chỉ đích của thông điệp chuyển hướng có thể xác
định được router láng giềng qua địa chỉ link-local của nó. Yêu cầu này có nghĩa sử dụng
một địa chỉ global unicast như là một địa chỉ chặng kế (next-hop). Câu lệnh ipv6
unicast-routing tại global mode se kích hoạt IPv6. Ta phải kích hoạt chức năng này
trước khi sử dụng giao thức định tuyến hay dùng các tuyến tĩnh cho IPv6.
6-22
RIPng (RFC 2080)
Tương tự tính năng của IPv4:

Distance vector, bán kính là 15 chặn, split horizon, và poison
reverse
Dựa trên RIPv2
Những tính năng cải thiện cho IPv6:
IPv6 prefix, địa chỉ next-hop IPv6
Sử dụng địa chỉ multicast FF02::9 làm địa chỉ cập nhật cho quá
trình cập nhật RIP
Vận chuyển bằng IPv6
Tên là RIPng
6-23
Routing Information Protocol next generation (RIPng) (RFC 2080) là một

giao thức định tuyến dạng distance vector với giới hạn là 15 hop, sử dụng
split horizon và poison reverse để ngăn routing loop. RIPng bao gồm các
tính năng sau
- Dựa trên IPv4 RIPv2 và tương tự như RIPv2
- Sử dụng IPv6 để vận chuyển
- Bao gồm phần prefix của IPv6 và địa chỉ next-hop IPv6
- Sử dụng địa chỉ multicast FF02::9. là địa chỉ ALL-RIP-
ROUTER
- Gởi cập nhật bằng UDP port 521
- Được hỗ trợ trên hệ điều hành Cisco IOS 12.2(2)T và cao
hơn.
6-23
Quá trình chuyển đổi IPv4-to-IPv6
Có nhiều cách để chuyển từ IPv4 sang IPv6:

Không có một ngày cụ thể để chuyển đổi và cũng không cần phải
chuyển đổi một lần
Có nhiều phương pháp chuyển đổi:
– Dual stack
– Manual tunnel
– 6to4 tunnel
– ISATAP tunnel
– Teredo tunnel
Các phương pháp tương thích khác nhau:
– Proxying và translation (NAT-PT)
6-24
Các phương pháp thực thi IPv6

Chủ đề mô tả quá trình IPv6 dùng để chuyển dữ liệu qua môi trường IPv4
Quá trình chuyển lên từ IPv4 không cần phải đồng loạt nâng cấp toàn bộ các thiết bị. Một
vài phương pháp có thể giúp tích hợp IPv4 và IPv6 một cách trơn tru.
Có 3 kỹ thuật phổ biến nhất để chuyển từ IPv4 sang IPv6:
Dual stack: Dual stack là phương pháp tích hợp mà trong đó một node thực hiện một
kết nối cho cả IPv4 và IPv6, và kết quả các node và router tương ứng có 2 chồng giao
thức (protocol stack)
Tunneling: có một số kỹ thuật tunneling được sử dụng
- Manual IPv6-over-IPv4 tunneling: Đây là một phương pháp tích hợp trong đó gói
IPv6 được đóng bởi gói IPv4, phương pháp này yêu cầu router phải hỗ trợ dual-stack
- Dynamic 6to4 tunneling: Phương pháp tự động thiết lập kết nối cho phép mạng IPv6
làm việc xuyên qua môi trường IPv4, thường là Internet. Phương pháp 6to4 tunneling
sẽ tự động cấp phát một địa chỉ IPv6 có gí trị và duy nhất cho mỗi mạng IPv6, do mang
lại khả năng triển khai nhanh nhất cho IPv6 trong doanh nghiệp mà không cần phải
đăng ký địa chỉ từ ISP
- Intra-site Automatic Tunnel Addressing Protocol (ISATAP) tunneling: Là phương
pháp tunneling che phủ tự động sử dụng nền tảng mạng IPv4 như một kết nối cho IPv6.
ISATAP tunnel cho phép những host IPv4 hay IPv6 dual-stack trong cùng một site để
giao tiếp với host khác tạo re một hệ thống mạng IPv6 sử dụng cơ sở hạ tầng của IPv6
6-24
Teredo tunneling: Là một kỹ thuật cung cấp khả năng tự động tunneling giữa
host-to-host thay vì phải tunneling qua gateway. Nó được sử dụng để đưa dữ
liệu IPv6 khi host dual-stack (host chạy cả IPv4 và IPv6) nằm phía sau một
hay nhiều thiết bị NAT của IPv4
- Proxying và translation (NAT-PT): Ls2 phương pháp chuyển
nằmg giữa mạng IPv6 và IPv4. Nhiệm vụ của thiết bị dịch là chuyển gói IPv6
thành IPv4 và ngược lại
6-25
Cisco IOS Dual Stack
Dual-stack là kỹ thuật tích hợp cho nơi mà một node đã

thực thi và kết nối đến cả mạng IPv4 và IPv6
6-26
Dual-stack là kỹ thuật tích hợp cho nơi mà một node đã thực thi và kết nối
đến cả mạng IPv4 và IPv6, và do vậy các node cũng phải hỗ trợ cả Ipv4 và
IPv6. Ta có thề thiết lập cấu hình trên cùng một interface hay trên nhiều
interface. Các tính năng của dual-stack được mô tả như sau:
- Một dual-stack node chọn ra giao thức nào (IPv4 hay IPv6) sẽ được sử dụng
dựa trên địa chỉ đích của gói dữ liệu. Một dual-stack node se ưu tiên IPv6 khi
có thể. Những ứng dụng chỉ hỗ trợ IPv4 vẫn tiếp tục hoạt động như cũ. Những
ứng dụng mới hay những ứng dụng được chỉnh lại có thể sử dụng lợi điểm của
2 dạng IP.
- Những API (Application Programming Interface) được định nghĩa để hỗ trợ
truy vấn DNS cho cả hai dạng địa chỉ IPv4 và IPv6. Những ứng dụng đã được
chuyển đổi có thể hoạt động cả IPv4 và IPv6.
- Những kinh nghiệm trong việc chuyển các ứng dụng từ IPv4 sang IPv6
khuyến nghị rằng chỉ nên thay đổi ít nhất trong những phần cục bộ của mã
nguồn. Kỹ thuật này cho phép việc cập nhật các ứng dụng một cách từng bước
một để chuyển sang IPv6
6-26
Cisco IOS Dual Stack (tt.)
Ngay khi ta cấu hình cơ bản IPv4 và IPv6 trên một

interface, interface được gọi là dual-stack
6-27
• Hệ điều hành Cisco IOS 12.2(2)T và cao hơn đã được tích hợp sẵn IPv6. Ngay khi ta
cấu hình cơ bản IPv4 và IPv6 trên một interface, interface được gọi là dual-stack và có
thể chuyển cả gói IPv4 và IPv6
• Sử dụng IPv6 trên Cisco IOS router yêu cầu câu lệnh ipv6 unicast-routing trong mode
configure. Câu lệnh cho phép chuyển khả năng gói IPv6 trên router.
• Chú ý: ta phải cấu hình tất cả các interface những địa chỉ IPv6 để chúng có thể chuyển
dữ liệu IPv6 bằng câu lệnh ipv6 address IPv6-address [/prefix length] trong mode
interface
6-27
IPv6 Tunneling
Tunneling là một phương pháp tích hợp nơi mà gói IPv6 được đóng
gói trong một giao thức khác như là IPv4, gói dữ liệu có các đặc tính
sau:
Bao gồm 20 byte không có vùng tùy chọn cho IPv4 header với IPv6
header và payload
Yêu cầu dual-stack router
6-28
Tunneling là một phương pháp tích hợp nơi mà gói IPv6 được đóng gói trong
một giao thức khác như là IPv4. Khi IPv4 được sử dụng để đóng gói IPv6, giá
trị protocol type được sử dụng là 41 sẽ được chỉ ra trong IPv4 header và gói dữ
liệu có các đặc tính sau:
- Bao gồm 20 byte không có vùng tùy chọn cho IPv4 header với IPv6 header và
payload
- Yêu cầu dual-stack router. Quá trình này cho phép kết nối mạng IPv6 mà
không cần phải chuyển đổi hệ thống mạng trung gian thành IPv6. Kỹ thuật
tunneling phát sinh 2 vấn đề:
+ Hiệu quả MTU bị giảm đi bởi 20 byte nếu IPv4 header không
chứ vùng tùy chọn nào
+ Mạng được tunneling thường khó khi kiểm lỗi. Tunneling chỉ
là một phương pháp trung chuyển chứ không là giải pháp cuối cùng, một kiến
trúc thuần IPv6 mới là mục tiêu cuối cùng
6-28
Cấu hình IPv6 Tunnel bằng tay
Cấu hình tunnel yêu cầu:

Các đầu cuối hỗ trợ dual-stack
Địa chỉ IPv4 và IPv6 được cấu hình cho mỗi đầu
6-29
• Trong việc cấu hình tunnel bằng tay, ta cấu hình tĩnh cho cả địa chỉ IPv4 và IPv6. Ta
thực hiện quá trình này cho các router đầu cuối các tunnel. Những router đầu cuối này
phải hỗ trợ chức năng dual-stack và cấu hình không thể tự động thay đổi khi mạng hay
giao thức định tuyến cần thay đổi. Ta phải thiết lập định tuyến dể chuyển gói giữa 2
mạng IPv6
• Những thiết bị cuối tunnel có thể sử dụng địa chỉ dạng unnumbered, nhưng se gây khó
khăn trong việc kiểm lỗi. Việc tiết kiệm địa chỉ IPv4 cho các đầu cuối tunnel như vậy
sẽ không còn phải là vấn đề đối với IPv6
6-29
Kích hoạt IPv6 trên Cisco Router
RouterX(config)#
ipv6 unicast-routing
Kích hoạt khả năng chuyển gói IPv6
RouterX(config-if)#
ipv6 address ipv6prefix/prefix-length eui-64
Cấu hình địa chỉ IPv6 trên router
6-30
Cấu hình IPv6

Chủ đề mô tả qua trình cấu hình IPv6, RIPng và cách tunneling dữ liệu IPv6 qua
môi trường IPv4.
Có hai bước chính dùng để kích hoạt IPv6 trên router. Đầu tiên là kích hoạt chức
năng chuyển gói IPv6 trên router và sau đó là cấu hình địa chỉ IPv6 trên các
interface. Mặc định, chức năng chuyển gói IPv6 là không được kích hoạt, để kích
hoạt chức năng này, dùng câu lệnh ipv6 unicast-routing ở configure mode.
Câu lệnh ipv6 address dùng để cấu hình địa chỉ IPv6. Địa chỉ link-local tự động
được cấu hình khi một địa chỉ được gán cho một interface. Ta phải chỉ ra toàn bộ
128 bit địa chỉ hay chỉ cần chỉ ra 64 bit phần prefix và sử dụng tùy chọn eui-64.
6-30
Ví dụ về cấu hình địa chỉ IPv6
6-31
Ta có thể hoàn tất việc chỉ định địa chỉ IPv6 hay tính toán phần xác định host từ
dạng EUI-64. Trong ví dụ, địa chỉ IPv6 của interface được cấu hình sử dụng dạng
EUI-64.
Một cách khác, ta có thể hoàn tất việc chỉ định toàn bộ địa chỉ IP để gán cho một
interface của router sử dụng câu lệnh ipv6 address ipv6-address/prefix-length
trong mode interface
Chú ý: Cấu hình địa chỉ IPv6 trên một interface sẽ tự động tạo ra địa chỉ link-
local cho các interface.
6-31
Quá trình phân giải tên trên Cisco IOS IPv6
Có hai cách để thực hiện quá trình phân giải tên cho IPv6
trên Cisco IOS:
Định ra tên tĩnh cho địa chỉ IPv6
RouterX(config)#
ipv6 host name [port] ipv6addr [{ipv6addr} ...]
RouterX(config)# ipv6 host router1 3ffe:b00:ffff:b::1
Cấu hình DNS server

RouterX(config)#
ip name-server address
RouterX(config)#ip name-server 3ffe:b00:ffff:1::10
6-32
Có 2 cách để thực thi việc chuyển đổi tên từ Cisco IOS

- Ta có thể định nghĩa một tên tĩnh cho địa chỉ IPv6 sử dụng câu lệnh ipv6 host name
[port] ipv6-address1 [ipv6-address2...ipv6-address4]. Tối đa là 4 địa chỉ cho một
hostname. Thông số port thường là port để telnet vào host.
- Để chỉ ra DNS server sử dụng bởi router, sử dụng câu lệnh ip name-server address
địa chỉ ở đây có thể là IPv4 hay IPv6. Ta có thể chỉ ra đến 6 DNS server với câu lệnh
này.
6-32
Configuring and Verifying RIPng for IPv6
RouterX(config)#
ipv6 router rip tag
Tạo và vào router configuration mode
RouterX(config-if)#
ipv6 rip tag enable
Cấu hình RIP trên interface
show ipv6 rip

Thể hiện tiến trình của nhiều thực thể RIP
show ipv6 route rip

Xem các route của RIP trong bảng định tuyến
6-33
Cấu hình và kiểm tra RIPng cho IPv6

Hình trên thể hiện cú pháp của một vài câu lệnh thường được dùng để cấu hình
RIPng. Cú pháp sẽ tương tự (không giống hoàn toàn) so với khi cấu hình trên
IPv4. Với RIPng, thay vì phải dùng câu lệnh network để xác định cổng nào của
router sẽ chạy RIPng, ta dùng câu lệnh ipv6 rip tag enable trong mode interface.
Tag ở đây phải trùng với tag trong câu lệnh ipv6 router rip.
Chú ý: Kích hoạt RIP trên một interface se tự động tạo ra tiến trình “router rip”.
Configuring and Verifying RIPng for IPv6

The figure shows a sample of the syntax of some commands that are commonly
used to
configure RIPng. The syntax is similar, if not identical, to their IPv4 counterparts.
For RIPng,
instead of using the network command to identify which interfaces should run
RIPng, you use
the command ipv6 rip tag enable in interface configuration mode to enable
RIPng on an
interface. The tag parameter that you use for the ipv6 rip enable command must
match the tag
6-33
parameter in the ipv6 router rip command.
Note Enabling RIP on an interface dynamically creates a “router rip” process
if necessary.
6-34
Ví dụ cấu hình RIPng cho IPv6
6-35
Ví dụ: Cấu hình RIPng cho IPv6

Ví dụ trên chỉ ra mạng bao gồm 2 router, router Y gắn kết vào hệ thống mạng
mặc định. Trên cả router X và router Y, “RTO” là tag xác định tiến trình của
RIPng. RIPng được kích hoạt trên interface Ethernet đầu tiên của router Y với câu
lệnh ipv6 rip RT0 enable. Router X chỉ ra rằng RIPng được kích hoạt trên cả hai
interface Ethernet với câu lệnh ipv6 rip RT0 enable.
6-35
Visual Objective 7-2: Thực thi IPv6
6-36
6-36
Tóm tắt
IPv6 mang lại nhiều tính năng so với IPv4 bao gồm không gian
địa chỉ lớn hơn, d6e4 dàng tổng hợp địa chỉ, tích hợp khảng năng
bảo mật
Địa chỉ IPv6 dài 128 bit và được tạo thành từ 48 bit vùng global,
16 bit vùng subnet ID và 64 bit cho Interface ID
Có nhiều cách gán địa chỉ IPv6: tĩnh, tự động cấu hình và
DHCPv6
Cisco hỗ trợ các giao thức định tuyến: RIPng, OSPFv3 và EIGRP
Quá trình chuyển từ IPv4 lên IPv6 yêu cầu dual-stack, tunneling
và có thể là NAT-PT
Sử dụng câu lệnh ipv6 unicast-routing để kích hoạt IPv6 và câu
lệnh address ipv6-address/prefix-length để gán địa chỉ IPv6 cho
một interface
6-37
6-37
6-38
6-38
Bài 7: Nhập môn
giải pháp VPN
LAN mở rộng sang WAN
7-1
• Giải pháp mạng riêng ảo của Cisco cho phép thiết lập kết nối cho các văn hòng ở xa,
người đi công tác hoặc làm việc tại nhà, liên kết giữa các đối tác … một cách kinh tế, an
toàn và mềm dẻo.
Mục tiêu của module này là
- Định nghĩa VPN
- Đề cập các kiểu VPN và các ứng dụng khác nhau
- Các thành phần của VPN
- Ipsec và các thành phần
- Phương thức IPSec sử dụng mã hóa để xác thực, bảo mật và đảm bảo tính toàn vẹn dữ
liệu
7-1
VPN là gì?
Ảo (Virtual): Thông tin của mạng trên được chuyển trên mạng
công cộng.
Riêng (Private): Dữ liệu được mã hóa để đảm bảo tính riêng tư.
7-2
VPN là một kết nối được mã hóa giữa 2 mạng riêng thông qua một mạng công
cộng. Tính riêng của kết nối này được thực hiện qua mã hóa dữ liệu. VPN có khả
năng thay thế cho mạng riêng ở tầng 2
7-2
Lợi ích của VPN
Giá thành
An ninh
Mềm dẻo
7-3
•Tiết kiệm. VPN cho phép tiết kiệm chi phí, tránh cho các tổ chức phải thuê riêng các đường
Layer 2
•Bảo mật. Mã hóa tránh cho dữ liệu bị đọc bởi người ngoài
•Mềm dẻo. VPN sử dụng mạng công cộng /Internet cho phép dễ dàng khởi tạo kết nối mới
mà không phải đầu tư quá nhiều về hạ tầng.
•Tương thích với các công nghệ truy nhập. VPN có thể triển khai dễ dàng trên nến các mạng
DSL nhanh và kinh tế
7-3
Chi nhánh - đến - chi nhánh VPNs
Site-to-site VPN: mở rộng mạng WAN cổ điển
7-4
Hai kiểu VPN chính là

Chi nhánh (site) đến chi nhánh và truy cập từ xa đến trung tâm
Site-to-site liên kết 2 mạng nội bộ với nhau, giống như triển khai kết nối WAN nối hai
mạng này
7-4
VPNs truy cập
VPN truy cập: phát triển của mạng quay số và ISDN
7-5
VPN truy cập cho phép cá nhân làm việc xa, văn phòng nhỏ kết nối tới trung tâm
Thường là các cá nhân sử dụng phần mềm Cisco VPN client để tạo kết nối VPN tới trung
tâm trên nên một kết nối layer 1, 2 cổ điển như modem hoặc xDSL
7-5
Cisco Easy VPN
7-6
Khi triển khai kết nối cá nhân hoặc văn phòng nhỏ tới trung tâm, Cisco Easy
VPN làm cho thiệt lập kết nối được đơn giản, dễ dàng hơn.
Cisco Easy VPN có 2 thành phần:
-Cisco Easy VPN server: triển khai ở trung tâm với các thiết bị như PIX, ASA,
VPN concentrator
-Cisco Easy VPN remote: để cấu hình cho các thiết bị như router, PIX, ASA ở
xa kết nối VPN tới trung tâm. Các tham số cần thiết cho hoạt động ở mạng xa
như địa chỉ IP, netmask, địa chỉ DNS, WINS, DHCP servers, default gateway …
sẽ được “đẩy” từ trung tâm tới.
Lợi ích của Cisco Easy VPN:

-Quản lý cấu hình cho các mạng xa tập trung và động, mềm dẻo và an toàn
-Độc lập với cấu hình của nhà cung cấp dịch vụ
-Triển khai mạng truy nhập lớn, nhiều đầu cuối rất nhanh
-Người sử dụng cuối không phải cài đặt phần mềm VPN trên máy PC của họ
7-6
Hạn chế
-NAT/PAT không cấu hình được bằng tay mà bị áp chế độ tự động
-Mỗi đích chỉ có 1 VPN tunnel
-Thiết bị trung tâm phải là một Cisco easy VPN server
-Không hỗ trợ chứng thư điện tử
-Chỉ hỗ trợ ISAKMP gtroup 2
-Chỉ một số transformset (cách thức mã hoá dữ liệu) xác định dược hỗ trợ.
7-7
Cisco IOS IPsec SSL VPN (WebVPN)
Tích hợp bảo mật và định tuyến (routing)
Mạng truy cập SSL VPN dựa trên công nghệ trình duyệt
7-8
Cisco IOS IPsec SSL VPN (WebVPN) là một công nghệ mới. Nó cho phép
người dùng có thể từ bất kỳ PC nào kết nối an toàn về trung tâm nếu có:
-Kết nối mạng công cộng về tới trung tâm
-Có trình duyệt Web hỗ trợ SSL
WebVPN cho phép người sử dụng có thể truy cập web, truy xuất tập tin, nhận
gửi email, chạy các ứng dụng TCP một cách an toàn từ xa.
Lợi điểm
-Tương thích DMCPN, Cisco IOS firwalls, IPS, NAT
Hạn chế
-Chỉ sử dụng phần mềm và năng lực CPU của router để xử lý. Các phần cứng
chuyên dụng chỉ hỗ trợ IPSec
7-8
VPN-Enabled Cisco IOS Routers
7-9
7-9
Cisco ASA Adaptive Security Appliances
7-10
Cisco ASA Adaptive Security Appliances hỗ trợ tất cả các loại IPSec va WebVPN khác
nhau cho các trường hợp sử dụng khác nhau.
Cisco ASA 5500 cung cấp cả IPSec và SSL VPN cùng với IPS
7-10
VPN khách
(legacy)
7-11
Có 3 loại VPN client khác nhau của Cisco

-Verticom client. Là thiết bị VPN đầu cuối dạng PDA
-Cisco VPN 3002 hardware. Sử dụng nối văn phòng nhỏ về trung tâm. Đã lạc
hậu
-Phẩn mềm Cisco VPN client. Phần mềm cho máy tính đề bàn/xách tay. Dễ
dàng sử dụng và cho phép cá nhân nối thiết lập VPN với trung tâm.
7-11
Ipsec là gì?
IPsec hoạt động ở tầng mạng, bảo vệ và xác thực gói dữ liệu IP.
Đấy là một khung qui định của các chuẩn mở
Nó cho phép bảo mật, bảo đảm toàn vẹn và xác thực gốc dữ liệu.
7-12
IPSec hoạt động trên tầng mạng, bảo vệ và xác thực dữ liệu trong các gói IP giữa các
bên (peer) của kết nối.
IPSec không gắn liền với bất cứ một công nghệ, thuật toán cụ thể nào mà chỉ là một
khung công việc.
Vì vậy IPSec cho phép các kỹ thuật mới, công nghệ mới được sử dụng trong IPSec.
7-12
Dịch vụ an ninh của IPsec
Bảo mật - Confidentiality

Bảo toàn dữ liệu - Data integrity
Xác thực - Authentication
Chống tấn công bằng phát lại trả lời
7-13
Chức năng của IPSec:

-Bảo mật (mã hóa): mã hóa dữ liệu trước khi truyền
-Bảo toàn: đảm bảo dữ liệu không bị thay đổi trên đường truyền
-Xác thực: đảm bảo tính xác thực của nguồn thông tin
-Chống tấn công phát lại: với các số thứ tự, Ipsec đảm bảo tính duy nhất của các
gói tin, tránh cho việc bị tấn công bằng cách ghi nhận lại các gói tin trao đổi và
phát lại nó nhằm chiếm quyền truy xuất hệ thống.
7-13
Bảo mật - Confidentiality (Encryption)
7-14
Dữ liệu truyên trên mạng công cộng có thể bị nghe lén. Để bảo vệ tính riêng tư,
chúng ta cần mã hoá dữ liệu.
Mã hóa là một quá trình bao gồm 2 thành phần :

-Một thuật toán mã hóa đã được chứng minh bằng toàn học rằng việc mở mã là
khó
-Một khóa đặc trưng cho việc mã hóa cụ thể bằng thuật toán đã cho.
Hai bên trao đổi thông tin có ứng dụng mã hóa phải thống nhất với nhau để bên
nhận có thể mở thông tin đã được mã hóa (không hiểu được) thành thông tin dạng
ban đầu (hiểu được)
7-14
Thuật toán mã hóa
Các thuật toán mã hóa:

DES 3DES
AES RSA
7-15
Mức độ an toàn của một mã hóa phụ thuộc vào độ dài của khóa. Với độ dài của
khóa lớn, tập hợp các khoá có thể sẽ lớn làm cho việc thử hết các khả năng của
khóa tốn nhiều thời gian hơn.
Sau đây là một số thuật toán thông dụng cùng chiều dài của khóa
-DES. Thuật toán phát triển bởi IBM có chiều dài khoá 56 bits
-Triple DES. Là cải tiến của DES bằng cách mã hoá các khối dữ liệu dài 64 bits 3
lần bởi DES với các khóa khác nhau
-AES. Thuật toán thay thế cho DES. AES có chiều dài khóa là 128, 192 và 256
bits
3 loại trên đều là mã hoá đối xứng, tức là sử dụng một khóa chung cho quá trình
mã hóa và giải mã.
RSA. Mã hoá bất đối xứng, tức là khóa dùng mã hoá hoàn toàn khác với khóa giải
mã. RSA không dùng để mã hóa trong IPSec vì RSA đòi hỏi tính toán lớn và tốc
độ mã hóa chậm. RSA được dùng để xác thực các bên trong IPSec.
7-15
Trao đổi khóa DH
Thuật toán Diffie-Hellman:

DH1
DH2
DH5
7-16
Mã hóa đối xứng DES, triple DES hay AES đều cần một sự thống nhất về khóa
giữa 2 bên. Việc thống nhất này có thể được thực hiện bằng cách phone, email …
Đây là những cách không an toàn.
DH là một phương thức sử dụng mã hoá bất đối xứng với khóa công khai và khóa
bí mật cho phép hai bên thông nhất được khóa đối xứng trong môi trường thông
tin công cộng mà vẫn đảm bảo tính bí mật của các khóa này.
7-16
Tính toàn vẹn của dữ liệu
Thuật toán băm:

HMAC-MD5
HMAC-SHA-1
7-17
Tính toàn vẹn của dữ liệu khi chuyển trong mạng công cộng là rất quan trọng.
Hàm băm với giá trị băm gửi kèm theo dữ liệu cho phép đầu nhận có thể kiểm
tra xem dữ liệu có còn nguyên vẹn trong quá trình truyền hay không. Điều này
cũng tương tự như việc niêm phong hàng hoá trước khi gửi đi để bên nhận có
thể kiểm tra sự nguyên vẹn của hàng hóa sau khi chuyển.
Các thuật toán băm là

-MD5. đầu vào của hàm băm là thông điệp độ dài bất kỳ cùng 128 bits khóa. Kết
quả là 128 bits dữ liệu. Kết quả này được gửi kèm theo thông điệp
-SHA-1. tương tự MD5 với khóa 160 bits và kết quả cũng dài 160 bits
7-17
Authentication
Các phương pháp xác thực đối tác:

PSKs
RSA signatures
7-18
Kết nối từ xa luôn đòi hỏi tính xác thực của thiết bị đầu xa.
Các thiết bị tham gia thiết lập đường VPN sẽ phải xác thực nhau trước khi thiết lập
đường hầm VPN và trao đổi dữ liệu qua đó.
Có hai cách xác thực là.
-PSK. Hai bên sử dụng một đoạn ký tự chung đã thông nhất trước với nhau
-Chữ ký RSA . Sử dụng chứng thư điện tử để xác thực nhau.
7-18
Các giao thức bảo mật IPsec
7-19
IPSec là một khung làm việc của các chuẩn mở khác nhau.
Hai giao thức quan trọng nhất của IPSec là:
-AH. Là giao thức cho phép xác thực nguồn gốc và đảm bảo tính toàn vẹn của
dữ liệu. Nhu cầu bảo mật dữ liệu không đặt ra. AH thường được sử dụng kết
hợp với ESP.
-ESP. giao thức cho phép bảo mật và/hoặc xác thực dữ liệu.
7-19
Khung mẫu IPsec
7-20
Tóm lại, IPSec là một khung làm việc dựa trên các chuẩn an ninh thông tin đã có.
Các thuật toàn sau đây được sử dụng nhiều trong IPSec
-DES. Mã hoá đối xứng

-3 DES. Mã hoá đối xứng
-AES. Mã hoá đối xứng
-MD5. Hàm băm
-SHA-1. Hàm băm
-DH. Trao đổi khóa
Khung làm việc IPSec có 4 ô có thể chứa một trong các thuật toán như trong slide
7-20
Tóm tắt
Tổ chức triển khai VPN vì đây là giải pháp rẻ, an toàn và mềm
dẻo hơn phương pháp WAN truyền thống.
Site-to-site VPNs bảo vệ dòng dữ liệu của intranet và extranet
peers. Remote access VPNs bảo vệ người truy cập từ xa qua
mạng công cộng.
VPNs có thể triển khai trên nhiều thiết bị Cisco khác nhau: Cisco
IOS routers, ASA 5500 Series Adaptive Security Appliances, và
phần mềm Cisco VPN Client.
IPsec là một kế hoạch khung tích hợp nhiều giao thức với nhau
và cho phép VPN khả năng bảo mật, xác thực và đảm tính toàn
vẹn dữ liệu.
AH và ESP là hai giao thức khung chính của VPN.
7-21
7-21
7-22
7-22
Bài 8: Thiết lập kết
nối Point-to-Point
WAN với PPP
Mở rộng LAN thành WAN
8-1
• Dịch vụ mạng diện rộng thường được thuê từ nhà cung cấp dịch vụ kết nối (telco).
• PPP là một giao thức đóng gói nhằm chuyển gói tin IP trên kết nổi dạng tuần tự
(serial) điểm-điểm.
Mục tiêu của bài này là

- miêu tả các đóng gói khác nhau của router Cisco
- Tính năng và hoạt động của đóng gói PPP
- Cấu hình và kiểm tra PPP
8-1
Các đóng gói giao thức của WAN
8-2
Trên mỗi kết nối WAN, dữ liệu được đóng thành khung (frame) trước khi chuyển
đi.
Ta cần xác định và thống nhất các đóng khung giữa 2 thiết bị ở 2 đầu và hiện
trạng thiết bị đường truyền để thực hiện kết nối.
Sau đây là một số giao thức WAN thường gặp
-HDLC. Giao thức tầng 2 áp dụng mặc định trên các thiết bị Cisco đối với các
giao diện dạng tuần tự (serial) đồng bộ
-PPP. Giao thức kết nổi 2 điểm trên các giao diện đồng bộ hoặc bất đồng bộ. PPP
có thể hỗ trợ nhiều giao thức tầng 3 khác nhau. PPP có khả năng xác thực các đầu
kết nối bằng giao thức PAP hay CHAP.
-X.25. Xác định kết nối giữa các thiết bị DCE và DTE. Thường dùng để kết nối
các màn hình (terminal) từ xa qua mạng X.25 công cộng. X.25 là tiền thân của
Frame relay.
-Frame Relay. Phát triển của X.25 với một số thay đổi như loại bỏ các tính năng
kiểm tra lỗi của X.25 trở nên không cần thiết trong một hạ tầng mạng có độ tin
cậy cao hơn. Frame Relay là giao thức chuyển mạch tầng 2. Nó thực hiện kết nối
qua các VCs.
-ATM. Chuẩn truyền thông quốc tế với phương thức sử dụng ô (cell) dữ liệu có
chiều dài cố định 53 bytes. Với ô cố định, việc chuyển dữ liệu được thực hiện
trên phần cứng và có tốc độ cao hơn. ATM có khả năng truyền tải nhiều kiểu dữ
liệu khác nhau, phục vụ nhiều giao thức và ứng dụng khác nhau.
8-2
-Broadband. Đây là phương thức truyền dữ liệu khi mà các khúc dữ liệu được
truyền đồng thời để tăng băng thông. Trong công nghệ truyền thông, người ta
hay sử dụng các tín hiệu ở nhiều băng tần khác nhau để truyền thông tin song
song chia sẻ trên cùng một phần cứng (ví dụ trên cùng một sợi cáp đồng).
-DSL-PPP trên Ethernet hay ATM. Họ nhiều công nghệ cho phép
truyền dữ liệu số trên 1 cặp dây điện thoại. Việc phối hợp giữa DSL với
PPPoE hay PPPoA cho phép triển khai khả năng xác thực, nén dữ liệu,
mã hoá dòng dữ liệu với tốc độ cao trên một hạ tầng cáp điện thoại đã
có sẵn.
-Cable-Ethernet. Công nghệ cho phép truyền tải dữ liệu trên hệ thống
cáp TV đã có sẵn. Tốc độ truyền dữ liệu khá cao từ 3-30Mbps. Các
frame được truyền là các frame Ethernet.
-Metro Ethernet. Với sự triển khai rộng rãi của hệ thống hạ tầng cáp quang,
Metro Ethernet là một phương thức triển khai dịch vụ kết nối điểm-tới-điểm
hay điểm-tới-đa điểm với tốc độ rất cao từ 10Mbps đến 10-40Gbps trên nền
Ethernet trong mạng LAN vốn rất quen thuộc với mọi người.
Các giải pháp của Metro Ethernet có thể là:
-Ethernet trên sợi cáp quang chưa sử dụng (dark fiber)
-Dịch vụ Ethernet trên nền SONET/SDH
-Dịch vụ Ethetnet trên nền Resilient Packet Ring (RPR)
8-3
Tổng quan về PPP
PPP có thể chuyên trở nhiều giao thức khác nhờ vào NCP.
PPP cho phép thiết lập nhiều tùy chọn qua LCP.
8-4
-PPP được xây dựng trong RFC 1661, 1332, với mục đích để đóng gói và truyền
thông tin tầng mạng trên kết nối dạng điểm-tới-điểm
-PPP có thể được triển khai trên giao diện vật lý dạng
-Asynchronous serial (tuần tự bất đồng bộ). Ví dụ mạng điện thoại truyền
thống
-Synchronous serial (tuần tự đồng bộ): ISDN hay được thuê bao số điểm-
tới-điểm
-Phần Link Control Protocol (LCP) của PPP được sử dụng để thiết lập kết nối.
PPP cung cấp nhiều dịch vụ cho phép thương lượng và kiểm tra kết nối theo đúng
yêu cầu của người quản trị
-Network Control Protocol (NCP) qui định các mã của các giao thức tầng trên
khác nhau được đóng gói trong khung PPP.
8-4
Tạo phiên PPP
Tạo phiên PPP:

1. Giai đoạn tạo kết nối
2. Giai đoạn xác thực (tùy chọn)
Hai giao thức xác thực của PPP: PAP và CHAP
3. Giai đoạn giao thức tầng mạng
8-5
Công tác tạo phiên kết nối PPP bao gồm 3 giai đoạn
• Giai đoạn tạo kết nối. Các thiết bị hai đầu PPP trao đổi các thông tin cần thiết
để thiết lập kết nối như kích cỡ khung tối đa, các thông tin điều khiển có nén,
giao thức xác thực… Nếu không có các trao đổi này, các giá trị mặc định sẽ
được sử dụng
• Giai đoạn xác thực (tùy chọn). Hai giao thức xác thực của PPP là PAP và
CHAP. Sau khi giao thức xác thực cụ thể được xác định trong giai đoạn I, quá
trình xác thực xảy ra trong giai đoạn 2 này
• Giai đoạn giao thức tầng mạng. Trong giai đoạn này, các đầu cuối PPP gửi các
gói tin để thống nhất và cấu hình các giao thức tầng mạng (ví dụ IP) sẽ được hỗ
trợ. Sau khi cấu hình, các gói dữ liệu của các giao thức mạng có thể được đóng
gói và chuyển trên kết nối này. NCP có các mã chỉ rõ dữ liệu giao thức tầng
mạng nào đang được đóng gói trong từng khung PPP cụ thể.
8-5
Giao thức xác thực của PPP: PAP
Passwords gửi dạng hiển

Đầu xa kiểm soát các phiên thử xác thực
8-6
PAP là phương thức xác thực sử dụng 2 trao đổi để thiết bị đầu xa xác thực định
danh của mình.
Sau khi giai đoạn tạo liên kết (link) hoàn tất, thiết bị xa gửi và nhắc lại tên cùng
mật khẩu của mình cho đến khi được xác nhận thiết bị trung tâm hoặc liên kết bị
bãi bỏ.
PAP không phải là giao thức xác thực mạnh. Mật khẩu được truyền dạng hiển trên
đường truyền.
Mật khẩu sử dụng một lần có thể khắc phục nhược điểm này
Không có cơ chế bảo vệ trước các tấn công bằng phát lại (playback) cũng như
kiểm soát nhịp thiết bị đầu xa thử xác thực.
Thiết bị đầu xa kiểm soát số lần thử cũng như tần xuất thử xác thực.
8-6
Giao thức xác thực của PPP : CHAP
Ví dụ router Santa Cruz xác thực với HQ router.

Giá trị băm, không phải là password, được gửi trên mạng.
Chính Router hay một server ngoài kiểm soát các lần thử.
8-7
CHAP là phương thức xác thực sử dụng 3 bắt tay để thiết bị xác thực nhau khi bắt
đầu và cả trong quá trình kết nối.
Sau khi giai đoạn tạo liên kết (link) hoàn tất, thiết bị trung tâm gửi đến thiết bị xa
thông điệp thăm dò (challenge).
Thiết bị xa tính giá trị băm của thăm dò vừa nhận kết hợp với mật khẩu tương ứng
với thiết bị trung tâm đã được cấu hình từ trước.
Giá trị băm được thiết bị xa gửi về thiết bị trung tâm.
Thiết bị trung tâm cũng thực hiện tính toán giá trị băm của thăm dò mà nó đã gửi
đi, kết hợp với mật khẩu tương ứng với thiết bị xa đã được cấu hình trước.
Nếu 2 giá trị băm trùng nhau thì xác thực được hoàn tất và kết nối được thực hiện.
Nếu không, kết nối sẽ bị cắt.
CHAP tránh được các tấn công kiểu phát lại.
Xác thực ngẫu nhiên trong khi kết nối đang thực hiện cho phép tránh được tấn
công cướp kết nối (Hijacking).
Thiết bị trung tâm hoặc máy chủ xác thực kiểm soát tần số cũng như số lần thử xác
thực của thiết bị xa.
8-7
Tóm lược cấu hình PPP và xác thực
8-8
Để cho phép đóng gói PPP với xác thực PAP hay CHAP trên một giao diện, ta cần
làm các thủ tục sau đây:
-Khởi tạo tính năng đóng gói PPP như giao thức của tầng 2
-(tùy chọn) Khởi tạo xác thực theo các bước:
-Cấu hình tên của thiết bị
-Cấu hình tên và mật khẩu của thiết bị đầu bên kia
-Chọn kỹ thuật xác thực PAP hay CHAP
8-8
Cấu hình PPP và xác thực
RouterX(config-if)# encapsulation ppp

Khởi động đóng gói PPP
RouterX(config)# hostname name
Gán tên cho router
RouterX(config)# username name password password

Xác định tên và mật khẩu của router đầu xa
RouterX(config-if)# ppp authentication

{chap | chap pap | pap chap | pap}
Khởi động xác thực PAP hay CHAP
8-9
-Để khởi động đóng gói PPP, sử dụng lệnh encapsulation ppp
-Để sử dụng xác thực trên PPP, sử dụng
-Bước 1: cấu hình tên của router. Chú ý: tên của router phải tương thích
với router đầu xa sẽ xác thực router hiện tại
-Bước 2: với mỗi router xa, cấu hình cơ sở dữ liệu để xác thực thông
qua tên và mật khẩu của router xa.
-Bước 3: Lựa chọn kỹ thuật xác thực PAP hay CHAP. Nếu cả 2 cùng
được cấu hình (ppp authentication CHAP PAP) vì router sẽ chỉ sử dụng
phương thức thức thứ 2 khi thiết bị đầu xa không hỗ trợ phương thức đầu
tiên.
8-9
Ví dụ cấu hình PPP và CHAP
hostname RouterX hostname RouterY

username RouterY password sameone username RouterX password sameone
! !
int serial 0 int serial 0
ip address 10.0.1.1 255.255.255.0 ip address 10.0.1.2 255.255.255.0
encapsulation ppp encapsulation ppp
ppp authentication chap ppp authentication chap
8-10
Trong ví dụ này, cả hai đầu đều yêu cầu thiết bị đầu kia phải xác thực trước khi kết
nối hoạt động
8-10
Kiểm tra cấu hình đóng gói PPP
RouterX# show interface s0
Serial0 is up, line protocol is up
Hardware is HD64570
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Open
Open: IPCP, CDPCP
Last input 00:00:05, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
38021 packets input, 5656110 bytes, 0 no buffer
Received 23488 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
38097 packets output, 2135697 bytes, 0 underruns
0 output errors, 0 collisions, 6045 interface resets
0 output buffer failures, 0 output buffers swapped out
482 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
8-11
“LCP open” chỉ ra rằng kết nối được thực hiện
8-11
Kiểm tra xác thực PPP
RouterX# debug ppp authentication

4d20h: %LINK-3-UPDOWN: Interface Serial0, changed state to up
4d20h: Se0 PPP: Treating connection as a dedicated line
4d20h: Se0 PPP: Phase is AUTHENTICATING, by both
4d20h: Se0 CHAP: O CHALLENGE id 2 len 28 from ”left"
4d20h: Se0 CHAP: I CHALLENGE id 3 len 28 from ”right"
4d20h: Se0 CHAP: O RESPONSE id 3 len 28 from ”left"
4d20h: Se0 CHAP: I RESPONSE id 2 len 28 from ”right"
4d20h: Se0 CHAP: O SUCCESS id 2 len 4
4d20h: Se0 CHAP: I SUCCESS id 3 len 4
4d20h: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up
Lệnh debug ppp authentication chỉ ra xác thực CHAP thành

công
8-12
Ví dụ kiểm tra khâu xác thực PPP.

Hình trên hiển thị quá trình cả hai bên xác thực đầu bên kia. Sử dụng lệnh debug
ppp authentication để có được màn hình trên.
Se0 PPP: Phase is AUTHENTICATING, by both

cho thấy yêu cầu xác thực của cả 2 phía
Se0 PPP: Phase is AUTHENTICATING, by the peer

Se0 PPP: Phase is AUTHENTICATING, by this end
cho thấy xác thực chỉ được yêu cầu bởi một trong hai phía
Se0 PPP: Phase is AUTHENTICATING, by both (Two way

authentication)
Se0 PAP: O AUTH-REQ id 4 len 18 from "RouterX" (Outgoing
authentication request)
Se0 PAP: I AUTH-REQ id 1 len 18 from "RouterY" (Incoming
authentication request)
Se0 PAP: Authenticating peer RouterY (Authenticating incoming)
8-12
Se0 PAP: O AUTH-ACK id 1 len 5 (Outgoing
acknowledgement)
Se0 PAP: I AUTH-ACK id 4 len 5 (Incoming
acknowledgement)
cho thấy xác thực cả 2 phía qua kỹ thuật PAP
Kỹ thuật xác thực là CHAP nếu ta thấy

*Mar 7 21:16:29.468: BR0:1 PPP: Phase is
AUTHENTICATING, by this end
*Mar 7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len
33 from "maui-soho-03"
Kỹ thuật xác thực là PAP nếu ta thấy

*Mar 7 21:24:11.980: BR0:1 PPP: Phase is
AUTHENTICATING, by both
*Mar 7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23
from "maui-soho-01"
8-13
Kiểm tra đàm phán PPP
RouterX# debug ppp negotiation
PPP protocol negotiation debugging is on
RouterX#
*Mar 1 00:06:36.645: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
*Mar 1 00:06:36.661: BR0:1 PPP: Treating connection as a callin
*Mar 1 00:06:36.665: BR0:1 PPP: Phase is ESTABLISHING, Passive Open
*Mar 1 00:06:36.669: BR0:1 LCP: State is Listen
*Mar 1 00:06:37.034: BR0:1 LCP: I CONFREQ [Listen] id 7 len 17
*Mar 1 00:06:37.038: BR0:1 LCP: AuthProto PAP (0x0304C023)
*Mar 1 00:06:37.042: BR0:1 LCP: MagicNumber 0x507A214D (0x0506507A214D)
*Mar 1 00:06:37.046: BR0:1 LCP: Callback 0 (0x0D0300)
*Mar 1 00:06:37.054: BR0:1 LCP: O CONFREQ [Listen] id 4 len 15
*Mar 1 00:06:37.058: BR0:1 LCP: AuthProto CHAP (0x0305C22305)
*Mar 1 00:06:37.062: BR0:1 LCP: MagicNumber 0x1081E7E1 (0x05061081E7E1)
*Mar 1 00:06:37.066: BR0:1 LCP: O CONFREJ [Listen] id 7 len 7
*Mar 1 00:06:37.070: BR0:1 LCP: Callback 0 (0x0D0300)
*Mar 1 00:06:37.098: BR0:1 LCP: I CONFACK [REQsent] id 4 len 15
*Mar 1 00:06:37.102: BR0:1 LCP: AuthProto CHAP (0x0305C22305)
*Mar 1 00:06:37.106: BR0:1 LCP: MagicNumber 0x1081E7E1 (0x05061081E7E1)
*Mar 1 00:06:37.114: BR0:1 LCP: I CONFREQ [ACKrcvd] id 8 len 14
*Mar 1 00:06:37.117: BR0:1 LCP: AuthProto PAP (0x0304C023)
*Mar 1 00:06:37.121: BR0:1 LCP: MagicNumber 0x507A214D (0x0506507A214D)
8-14
Kiểm tra phiên đàm phán, thỏa thuận giữa 2 phía của PPP.
Các nội dung được hiển thị với lệnh debug ppp negotiation là
The timestamp: Thời điểm xảy ra trao đổi tính bằng mili giây
Interface and Interface number: Tên giao diện diễn ra trao đổi
Type of PPP message: Kiểu thông điệp. Thường là PPP, LCP,
NCP…
Direction of the message: Hướng thông điệp. “I” ám chỉ thông điệp
tới; “O” ám chỉ thông điệp gửi đi.
Message: Miêu tả bản thân thông diệp
ID: Định danh thông điệp cho phép liên kết thông điệp hỏi và trả lời
tương ứng.
length: Chiều dài thông điệp. Thường không quan trọng cho mục
đích theo dõi thoả thuận
8-14
Tóm tắt
PPP là giao thức tầng 2 cho WAN. Có 2 thành phần chính của
PPP là : LCP đàm phán kết nối và NCP đóng gói dữ liệu.
Bạn có thể cấu hình xác thực PPP qua PAP hay CHAP. PAP gửi
mọi thông điệp dạng hiển. CHAP sử dụng hàm băm MD5.
Lệnh kiểm tra cấu hình PPP show interface để kiểm tra đóng gói
PPP và debug ppp negotiation để kiểm tra trao đồi bắt tay LCP
8-15
8-15
8-16
8-16
Bài 9: Thiết lập kết
nối WAN với Frame
Relay
9-1
9-1
Tổng quan Frame Relay
Kết nối được thực hiện qua các mạch ảo (virtual circuits)
Dịch vụ hướng kết nối
9-2
Frame Relay là một kỹ thuật có tầng data link hướng kết nối với hiệu quả cao. Để
bảo vệ lỗi, nó dựa vào các giao thức ở tầng trên và phụ thuộc vào mạng số và
quang.
Frame Relay định nghĩa tiến trình kết nối giữa router và thiết bị chuyển mạch cục
bộ (local acces switching) của nhà cung cấp dịch vụ. Nó không định nghĩa cách dữ
liệu được truyền như thế nào trong đám mây Frame Relay của nhà cung cấp dịch
vụ
Những thiết bị kết nối vào mạng Frame Relay được chia làm 2 lọai:
•DTE: thường được xem như là một thiết bị cuối cùng của một mạng chỉ định.
Thiết bị DTE được đặt ở phía khách hàng và thuộc quyền sở hữu của khách hàng.
Ví dụ, những thiết bị DTE là (Frame Relay Access Devices - FRADs) router, và
bridge.
•DCE: những thiết bị kết nối liên mạng thuộc nhà cung cấp. Mục đích của DCE là
cung cấp tín hiệu đồng hồ và những dịch vụ chuyển trong một mạng và để truyền
dữ liệu ngang qua mạng WAN. Trong hầu hết trường hợp, những switch trong một
mạng WAN là Frame Relay Switch.
Frame Relay cung cấp một phương tiện cho phép ghép nhiều kênh dữ liệu logic,
được đề cập đến như là Virtual Circuits(VCs), trên một đường truyền vật lý bằng
cách gán số nhận diện kết nối cho mỗi cặp thiết bị DTE. Những thiết bị Frame
Relay switch xây dựng một bảng switching mà nó ánh xạ một số nhận diện kết nối
với một port đi ra. Khi nhận một frame, thiết bị Frame Relay Switch phân tích số
nhận diện kết nối và phân phát frame đến giao diện đi ra tương ứng. Sơ đồ về
đường đi đầy đủ để đến đích được thiết lập trước khi truyền frame đầu tiên.
9-2
Thuật ngữ của Frame Relay
9-3
Các thuật ngữ sau đây được sử dụng thường xuyên trong những miêu tả Frame
Relay và có thể giống hoặc khác tùy theo nhà cung cấp dịch vụ sử dụng
•Local access rate: tốc độ đồng hồ (tốc độ port) của kết nối (local loop) đến đám
mấy Frame Relay. Local access rate là tốc độ gởi dữ liệu ra hoặc vào mạng, không
phụ thuộc vào những cấu hình khác
•VC: mạch logic, được định nghĩa duy nhất bởi DLCI, được tạo ra để chắc chắn
mối quan hệ hai chiều từ một DTE này đến DTE khác. Một số VC có thể được ghép
thành một mạch vật lý đơn để truyền ngang qua mạng. Tính năng này làm giảm độ
phức tạp của thiết bị và mạng mà được yêu cầu để kết nối nhiều thiết bị DTE. Một
VC có thế có nhiều DCE trung gian. Một VC có thể là mạch ảo cố định (PVC) hoặc
mạch ảo chuyển (SVC)
•PVC: cung cấp kết nối cố định được sử dụng thường xuyên và truyền dữ liệu cố
định giữa các DTE ngang qua mạng Frame Relay. Cuộc giao tiếp ngang qua PVC
ko yêu cầu thiết lập cuộc gọi và ngắt cuộc gọi giống như SVC
•SVC: cung cấp những kết nối tạm thời được sử dụng trong các trường hợp chỉ yêu
cầu thỉnh thỏang mới truyền dữ liệu giữa các DTE. SVC được thiết lập động theo
yêu cầu và ngắt khi truyền xong.
•DLCI: là một số 10bit nằm trong cột địa chỉ của Frame Relay header, dùng để
nhận diện VC. DLCI chỉ có ý nghĩa cục bộ vì nó chỉ được tham chiếu giữa router
cục bộ và Frame Relay switch cục bộ mà DLCI kết nối đến. Do đó, những thiết bị
tại 2 đầu một kết nối có thể sử dụng giá trị DLCI khác nhau để đề cập đến cùng một
kết nối ảo.
9-3
•Commited information rate (CIR): chỉ ra tốc độ dữ liệu trung bình tối đa mà
mạng bảo đảm để phân phát dữ liệu trong điều kiện bình thường. Khi thuê dịch
vụ Frame Relay, bạn chỉ ra local access rate 56kb/s hoặc T1. điển hình, bạn
cũng được yêu cầu để chỉ ra CIR cho mỗi DLCI. Nếu bạn gởi thông tin nhanh
hơn CIR của DLCI, cờ mạng của một vài frame có 1 bit discard eligible (DE).
Mạng sẽ cố gắng làm tốt nhất để phân phát tất cả gói tin, nhưng sẽ hủy những
gói tin có bit DE đầu tiên nếu như mạng bị tắt ngẽn. Nhiều dịch vụ Frame
Relay rẻ dựa trên CIR bằng 0. CIR bằng 0 nghĩa là mỗi frame là một DE frame,
mạng sẽ bỏ bất kỳ frame nào khi nó cần.
•Inverse Address Resolution Protocol (ARP): một phương pháp kết hợp động
giữa địa chỉ tầng network của router ở xa với một DLCI cục bộ. Inverse ARP
cho phép một router tự động phát hiện địa chỉ tầng mạng của thiết bị DTE ở xa
mà đã được cấp với một VC.
•Local Management Interface (LMI): Một chuẩn tín hiệu giữa router (thiết bị
DTE) và Frame Relay Switch cục bộ (thiết bị DCE) có nhiệm vụ quản lý kết
nối và duy trì trạng thái giữa router và Frame Relay switch
•Forward explicit congestion notification (FECN): một bit trong cột địa chỉ của
Frame Relay header. Cơ chế FECN được khởi tạo khi thiết bị DTE gởi những
frame vào mạng. Nếu mạng bị tắt ngẽn, thiết bị DCE sẽ cấu hình bit FECN có
giá trị 1. khi những frame này đi đến thiết bị DTE đích, sẽ dựa vào bit này để
nhận biết con đường từ nguồn đến đích bị ngẽn. Thiết bị DTE có thể chuyển
thông tin này đến những giao thức tầng cao hơn để xử lý. Phụ thuộc vào sự
triển khai, flow control có thể được khởi tạo hoặc dấu hiệu có thể bị bỏ qua.
•Backward explicit congestion notification (BECN): một bit trong cột địa chỉ
của Frame Relay header. Thiết bị DCE sẽ xét giá trị của bit BECN bằng 1
trong những frame đi hướng ngược lại của những frame có bit FECN là 1. Xét
bit BECN bằng 1 để thông báo thiết bị DTE nhận rằng một đường đi ngang qua
mạng bị tắt ngẽn. Thiết bị DTE có thể chuyển thông tin này đến những giao
thức tầng trên xử lý. Phụ thuộc vào sự triển khai, flow control có thể được khởi
tạo hoặc dấu hiệu có thể bị bỏ qua.
Ví dụ:
Như chỉ ra trong hình, router A có 2 VC được cấu hình trên một interface vật
lý. DLCI 100 định nghĩa VC kết nối đến router B, DLCI 400 định nghĩa VC kết
nối đến router C. Tại đầu bên kia, một số DLCI khác có thể được sử dụng để
định nghĩa VC
9-4
Chọn Topology Frame Relay
Mặc định Frame Relay: NBMA
9-5
Frame Relay cho phép kết nối những site ở xa theo một trong những mô hình sau:
•Star topology: những site ở xa được kết nối đến một site trung tâm thường là cung cấp
một dịch vụ hay ứng dụng. Mô hình start, cũng biết như là một cấu hình hub-and-spoke,
là mô hình mạng Frame Relay được sử dụng phổ biến nhất. Đây là mô hình rẻ nhất bởi
vì nó yêu cầu ít PVC. Trong hình vẽ, router trung tâm cung cấp một kết nối đến nhiều
điểm vì nó sử dụng một interface vật lý để kết nối nhiều PVC
•Full-mesh topology: tất cả router có VC đến tất cả các router khác. Sơ đồ Full-mesh,
cung cấp kết nối trực tiếp từ một site đến tất cả các site khác và cho phép đường dự
phòng. Khi một đường bị đứt, router có thể định tuyến lại ngang qua site khác. Khi số
site trong sơ đồ tăng lên, một sơ đồ full-mesh trở nên rất đắt. Dùng công thức n(n-1)/2
để tính tổng số liên kết để triển khi một sơ đồ full-mesh, n là số site. Ví dụ, một mạng
full-mesh gồm 10 site, yêu cầu 45 liên kết: 10(10-1)/2
•Partial-mesh topology: không phải tất cả các site có kết nối trực tiếp đến tất cả các site
khác. Phụ thuộc vào những vùng traffic trong mạng, bạn có thể muốn tạo thêm PVC kết
nối đến site ở xa mà có nhu cầu trao đổi dữ liệu lớn.
Mặc định, một mạng Frame Relay cung cấp kết nối nonbroadcast multiacces (NBMA)
giữa các site ở xa. Một môi trường NBMA được xem giống như môi trường broadcast
khác, như Ethernet, tất cả router trên cùng subnet
Tuy nhiên, để giảm giá thành, NBMA thường được xây dựng theo sơ đồ hub-and-
spoke. Với sơ đồ này, sơ đồ vật lý không cung cấp khả năng multiaccess như Ethernet,
vì thế mỗi router có thể không có PVC riêng biệt để đến site ở xa trên cùng subnet. Split
horizon là một trong những hậu quả chính mà bạn gặp phải khi Frame Relay có nhiều
PVC trên một interface vật lý.
9-5
Giải quyết vấn đề khả năng kết nối của
NBMA
Split horizon có thể kéo theo vấn đề khả năng kết nối trong
môi trường NBMA
Giải quyết: subinterfaces
Một giao diện vật lý giả lập nhiều giao diện luận lý.
9-6
Trong bất kỳ sơ đồ Frame Relay, khi một interface vật lý dùng để kết nối đến nhiều site, bạn
có thể gặp phải những vấn đề bởi vì NBMA là tính năng tự nhiên của Frame Relay. Sơ đồ
Frame Relay NBMA có thể đưa ra 2 vấn đề sau:
•Khả năng cập nhật định tuyến: những cập nhật split horizon làm giảm vòng lặp định tuyến
bằng cách ngăn chặn cập nhật định tuyến mà đã được nhận trên một interface từ đó chuyển
ra ngòai cùng interface. Trong trường hợp sử dụng sơ đồ Frame Relay hub-and-spoke, một
router ở xa (một router spoke) gởi một cập nhật đến router chính (router hub) mà đang kết
nối đến nhiều PVC trên một interface vật lý. Sau khi nhận được một cập nhật định tuyến
broadcast, Router chính không thể chuyển cập nhật này ngang qua cùng interface đến những
router ở xa. Split horizon không phải là một vấn đề nếu có một PVC trên một interface vật lý
bởi vì lọai kết nối này sẽ có nhiều lọai kết nối point-to-point
•Sao chép đồng bộ broadcast: với những router hỗ trợ kết nối đến nhiều điểm trên một
interface vật lý mà ngắt nhiều PVC, router phải sao chép đồng bộ gói tin broadcast, như cập
nhật định tuyến broadcast, trên mỗi PVC đến router ở xa. Những gói tin broadcast được sao
chép đồng bộ này gây lãng phí băng thông và nguyên nhân gây nên trễ
Có nhiều cách để giải quyết khả năng cập nhật định tuyến:
•Tắt split horizon. Tuy nhiên, có 2 vấn đề tồn tại với cách giải quyết này. Thứ nhất, mặc dù
hầu hết các giao thức tầng mạng, như IP, cho phép bạn tắt split horizon, những không phải
tất cả giao thức tầng mạng đều cho phép điều này. Thứ 2, tắt split horizon làm tăng khả năng
routing loop trong mạng
•Một cách giải quyết khác là sử dụng sơ đồ full-mesh; tuy nhiên sơ đồ này làm tăng giá
thành
9-6
•Cách cuối cùng là sử dụng subinterface. Để cho phép chuyển cập nhật định
tuyến broadcast trong sơ đồ hub-and-spoke, bạn có thể cấu hình router chính có
nhiều interface logic trên một interface vậy lý được gọi là subinterface. Trong
môi trường định tuyến split horizon, những cập nhật định tuyến được nhận trên
một subinterface và có thể gởi ra ngòai subinterface khác. Trong cấu hình
subinterface, mỗi VC được cấu hình như là một kết nối point-to-point., mà cho
phép mỗi subinterface họat động giống như leased line. Khi bạn sử dụng point-
to-point subinterface, mỗi subinterface là một subnet khác nhau.
9-7
Ánh xạ địa chỉ Frame Relay
LMI nhận DLCI có giá trị địa phương từ Frame Relay switch.
Inverse ARP ánh xạ local DLCI tới địa chỉ mạng đầu xa.
9-8
Một kết nối Frame Relay yêu cầu , trên một VC, DLCI cục bộ được ánh xạ đến
một địa chỉ tầng mạng đích, như địa chỉ IP. Những router có thể tự động phát hiện
DLCI cục bộ từ Frame Relay switch cục bộ bằng giao thức LMI
Trên router Cisco, DLCI cục bộ có thể được ánh xạ đến địa chỉ tầng mạng của
router ở xa một cách tự động bằng Inverse ARP. Inverse ARP gán một DLCI cho
một kết nối chỉ định. Inverse ARP được mô tả trong RFC 1293
Ví dụ: ánh xạ địa chỉ Frame Relay
Như chỉ ra trong hình, sử dụng Inverse ARP, router bên trái có thể tự động phát
hiện địa chỉ IP của router ở xa, và sau đó ánh xạ đến DLCI cục bộ. Trong trường
hợp này, DLCI cục bộ là 500 được ánh xạ đến địa chỉ IP 10.1.1.1. do đó, khi
router gởi dữ liệu đến 10.1.1.1, nó dùng DLCI 500
Thay vì sử dụng Inverse ARP để ánh xạ DLCI cục bộ với địa chỉ tầng mạng của
router ở xa một cách tự động, bạn có thể cấu hình tĩnh bằng tay.
9-8
Tín hiệu Frame Relay
Cisco hỗ trợ ba chuẩn LMI:

Cisco
ANSI T1.617 Annex D
ITU-T Q.933 Annex A
9-9
LMI là một chuẩn tín hiệu giữa router và Frame Relay switch. LMI có nhiệm vụ
quản lý kết nối và duy trì trạng thái giữa các thiết bị.
Mặc dù, LMI có thể được cấu hình, bắt đầu Cisco IOS phiên bản 11.2, cisco router
cố gắng tự động nhận diện lọai LMI nào mà Frame Relay switch đang dùng.
Router gởi một hay nhiều yêu cầu về trạng thái LMI đầy đủ đến Frame Relay
switch. Frame Relay switch trả lời với một hay nhiều lọai LMI, và router sẽ cấu
hình với lọai LMI cuối cùng nhận được. Cisco router hỗ trợ 3 lọai LMI sau:
•Cisco: lọai LMI được định nghĩa bởi sự hợp tác giữa Cisco, StrataCom, Northern
Telecom (Nortel), và Digital Equipment Corporation.
•ANSI: ANSI T1.617 Annex D
•Q.933A: ITU-T Q.933 Annex A
Bạn cũng có thể cấu hình bằng tay lọai LMI thích hợp từ 3 lọai được hỗ trợ để
chắc chắn phù hợp với thao tác Frame Relay
Khi router nhận thông tin LMI, nó cập nhật trạng thái VC của nó với một trong 3
trạng thái sau:
•Active: chỉ ra rằng kết nối VC họat động và các router có thể trao đổi dữ liệu trên
mạng Frame Relay.
•Inactive: chỉ ra rằng kết nối cục bộ đến Frame Relay switch đang làm việc, nhưng
kết nối router ở xa đến Frame Relay switch ở xa không làm việc
•Deleted: chỉ ra rằng không có LMI nào được nhận từ Frame Relay switch hoặc
không có dịch vụ giữa router và Frame Relay switch cục bộ
9-9
Các giai đoạn hoạt động của Inverse
ARP và LMI
9-10
Sau đây là tóm tắt về cách tín hiệu Inverse ARP và LMI làm việc như thế nào với
kết nối Frame Relay
1. Mỗi router kết nối đến Frame Relay switch bằng CSU/DSU
2. Khi Frame Relay được cấu hình trên một interface, router gởi một yêu cầu về
trạng thái LMI đến Frame Relay switch. Message này thông báo với switch về
trạng thái của router và yêu cầu switch gởi trạng thái kết nối của VC
3. Khi Frame Relay switch nhận được yêu cầu, nó trả lời với một message trạng
thái LMI gồm DLCI cục bộ của PVC đến những router ở xa mà router cục bộ
có thể gởi dữ liệu
4. Với mỗi DLCI đang hoạt động, mỗi router gởi một Inverse ARP để giới thiệu
về nó
9-10
Các giai đoạn hoạt động của Inverse
ARP và LMI (tt.)
9-11
5. Khi một router nhận một message Inverse ARP, nó tạo một dòng ánh xạ trong
bảng ánh xạ Frame Relay gồm DLCI cục bộ và địa chỉ tầng mạng router ở xa. Chú
ý, DLCI là DLCI cục bộ, không phải DLCI của router ở xa. Một trong 3 trạng thái
kết nối có thể xuất hiện trong bảng ánh xạ Frame Relay
6. Mỗi lần 60 giây, các router gởi Inverse ARP đến tất cả DLCI đang họat động.
Mỗi lần 10 giây, router trao đổi thông tin LMI với switch (keepalive)
7. Router thay đổi trạng thái của mối DLCI là active, inactive, hoặc deleted dựa
trên LMI trả lời từ Frame Relay switch
9-11
Cấu hình căn bản Frame Relay
9-12
Một cấu hình Frame Relay cơ bản

Giả sử rằng bạn muốn cấu hình Frame Relay trên một hay nhiều interface vật lý và các
router đó hỗ trợ LMI và Inverse ARP.
Sau đây mô tả những bước cấu hình Frame Relay cơ bản:
1. Chọn interface cần cấu hình Frame Relay
routerX(config)#interface serial 1
2. Cấu hình địa chỉ tầng mạng
routerX(config-if)#ip address 10.16.0.1 255.255.255.0
3. Chọn lọai đóng gói Frame Relay để đóng gói dữ liệu end-to-end
routerX(config-if)#encapsulation frame-relay [cisco|ietf]
tùy chọn Cisco nghĩa rằng kiểu đóng gói Cisco được dùng. Dùng tùy chọn này nếu
bạn đang kết nối đến một router Cisco khác. Đây là giá trị mặc định. Chọn ietf khi kết
nối đến một router khác cisco.
4. Cấu hình lọai LMI
routerX(config-if)#frame-relay lmi-type {ansi|cisco|q933a}
lệnh này chỉ cần nếu bạn đang dùng cisco IOS phiên bản 11.2. Sau này, lọai LMI tự
động nhận biết và không cần cấu hình
cisco là giá trị mặc định
lọai LMI được xét trên interface và dùng lệnh show interface để xem thông tin
5. Cấu hình băng thông của kết nối
routerX(config-if)#bandwidth 64
lệnh này ảnh hưởng đến thao tác định tuyến của các giao thức như IGRP, EIGRP,
OSPF, cũng như những tính tóan khác
6. Cho phép Inverse ARP nếu nó tắt trên router
routerX(config-if)#frame-relay inverse-arp ip 16
inverse ARP là mặc định và không hiển thị khi xem cấu hình
9-12
Cấu hình tĩnh bảng ánh xạ của Frame Relay
Cấu hình tĩnh bảng ánh xạ của Frame Relay khi:

Điểm cùng kết nối (peer) Frame Relay không hỗ trợ Inverse ARP
Bạn muốn tự kiểm soát lưu lượng qua một PVC
Bạn muốn sự dụng đóng gói khác của Frame Relay qua các PVCs
9-13
Khi router ở xa không hỗ trợ Inverse ARP, những router Frame Relay có lọa đóng gói dữ
liệu khác nhau. Hoặc, khi bạn muốn điều khiển broadcast và multicast traffic trên PVC,
bạn phải ánh xạ giữa DLCI cục bộ và địa chỉ tầng mạng của router ở xa bằng tay. Những
dòng ánh xạ tĩnh được xem như là static map
Sử dụng lệnh sau để ánh xạ tĩnh giữa DLCI cục bộ và địa chỉ tầng mạng của router ở xa
RouterX(config-if)# frame-relay map protocol protocol-address
dlci [broadcast] [ietf | cisco | payload-compress packet-bypacket]
Ý nghĩa các biến:
•Protocol: định nghĩa những giao thức được hỗ trợ, bridging, hoặc logical link control.
Những chọn lựa gồm Apple Talk, DECNet, Data-Link Switching (DLSW), IP, IPX,
Logical Link Control …
•Protocol-address: định nghĩa địa chỉ tầng mạng của interface trên router đích
•Dlci: định nghĩa DLCI cục bộ dùng để kết nối đến địa chỉ ở xa
•Broadcast: (tùy chọn) cho phép broadcast và multicast trên VC. Điều này cho phép sử
dụng dynamic routing protocol trên VC
•Ietf|cisco: cho phép đóng gói dữ liệu ietf hay cisco
•Payload-compress packet-by-packet: (tùy chọn) cho phép nén, dùng phương pháp
Stacker. Đây là một cách nén của Cisco
9-13
Cấu hình giao diện con Frame Relay
Điểm nối điểm (Point-to-point)

– Giao diện con giống như đường thuê bao riêng (leased lines)
– Mỗi giao diện con point-to-point cần có một subnet riêng.
– Point-to-point áp dụng cho topology hub-and-spoke.
Đa điểm
– Giao diện con hoạt độn giống như mạng NBMA, do đó không
giải quyết được vấn đề split-horizon.
– Đa điểm tiết kiệm không gian địa chỉ vì chỉ cần một subnet.
– Đa điểm ứng dụng cho topology lưới đầy đủ hoặc lưới một
phần.
9-14
Bạn có thể cấu hình subinterface một trong 2 cơ chế sau:

•Point-to-point: điểm nối điểm. Một subinterface điểm nối điểm được dùng để
thiết lập mộit kết nối PVC đến một interface vật lý hay một subinterface khác trên
router ở xa. Trong trường hợp này, mỗi cặp router điểm nối điểm là một subnet, và
mỗi subinterface điểm nối điểm có một DLCI. Trong môi trường điểm nối điểm,
vì mỗi subinterface họat động giống như một interface điểm nối điểm, thông tin
cập nhật không lệ thuộc vào những luật của split horizon.
•Đa điểm: một subinterface đa điểm được dùng để thiết lập nhiều kết nối PVC đến
nhiều interface vật lý hoặc subinterface trên router ở xa. Trong trường hợp này, tất
cả interface tham gia vào đều cùng subnet. Trong môi trường này, vì subinterface
họat động giống như interface Frame Relay NBMA, thông tin cập nhật phụ thuộc
vào luật của split horizon
9-14
Cấu hình giao diện con Frame Relay
Point-to-Point
9-15
Trong hình vẽ, router A có 2 subinterface điểm nối điểm. Subinterface s0.110 kết
nối đến routerB, và s0.120 kết nối đến router C. mỗi subinterface là một subnet.
Những bước sau đây hướng dẫn cấu hình subinterface trên một interface vật lý
•step 1: chọn interface mà bạn muốn tạo subinterface và gõ vào mode cấu hình
interface
•Step 2: xóa tất cả địa chỉ mạng gán đến interface vật lý và gán địa chỉ mạng đến
subinterface
•Step 3: cấu hình đóng gói dữ liệu Frame Relay
•Step 4: dùng lệnh sau để chọn subinterface mà bạn muốn cấu hình và để thiết kế
nó như là một subinterface điểm nối điểm
RouterX(config-if)# interface serial number.subinterfacenumber
point-to-point}
Những biến trong interface serial:
.subinterface-number: số subinterface trong khỏang 1-
4,294,967,293. số interface đứng trước dấu (.) phảu phù hợp với số interface vật lý
mà subinterface thuộc
point-to-point: chọn tùy chọn này nếu bạn muốn cặp router điểm
nối điểm có subnet riêng của nó
•Step 5: nếu bạn cấu hình subinterface như là điểm nối điểm, bạn phải cấu hình
DLCI cục bộ cho subinterface để phân biệt nó trong interface vật lý. Lệnh được
dùng:
RouterX(config-subif)# frame-relay interface-dlci dlci-number
dlci-number: định nghĩa số DLCI cục bộ mà được liên kết đến
subinterface. Không có cách nào khác ngòai lệnh này vì LMI không biết
subinterface
9-15
Cấu hình giao diện đa điểm Frame Relay
9-16
Trong hình vẽ, tất cả router cùng subnet 10.17.0.0/24. router A được cấu hình với
một subinterface đa điểm với 3 PVC. PVC với DLCI 120 được sử dụng để kết nối
đến router B, PVC với DLCI 130 được sử dụng để kết nối đến router C, và DLCI
140 được sử dụng để kết nối đến router D
Mặc định, split horizon tắt trên những interface chính đa điểm và mở trên
subinterface đa điểm. Trong hình vẽ, dùng subinterface đa điểm, split horizon phải
tắt bằng tay trên router A để khắc phục những hậu quả của split-horizon tại router
A
Những bước sau hướng dẫn cấu hình subinterface trên 1 interface vật lý:
•Step 1: chọn interface mà bạn muốn tạo subinterface và đưa và mode cấu hình
•Step 2: xóa tất cả địa chỉ mạng gán đến interface vật lý và gán địa chỉ mạng đến
subinterface
•Step 3: cấu hình đóng gói dữ liệu Frame Relay
•Step 4: dùng lệnh sau để chọn subinterface mà bạn muốn cấu hình và để thiết kế
nó như là một subinterface đa điểm
RouterX(config-if)# interface serial number.subinterfacenumber
multipoint
Những biến trong interface serial:
.subinterface-number: số subinterface trong khỏang 1-
4,294,967,293. số interface đứng trước dấu (.) phảu phù hợp với số interface vật lý
mà subinterface thuộc
9-16
multipoint: chọn tùy chọn này nếu bạn muốn tất cả router trong
cùng subnet.
•Step 5: nếu bạn cấu hình subinterface như là đa điểm và inverse ARP được
cho phép, bạn phải cấu hình DLCI cục bộ cho subinterface để phân biệt nó
trong interface vật lý. Cấu hình này không yêu cầu đối với subinterface đa điểm
mà đã được cấu hình với ánh xạ đường đi tĩnh. Lệnh được dùng:
RouterX(config-subif)# frame-relay interface-dlci dlci-number
dlci-number: định nghĩa số DLCI cục bộ mà được liên kết đến
subinterface. Không có cách nào khác ngòai lệnh này vì LMI không biết
subinterface
Không sử dụng lệnh frame-relay interface-dlci trên interface vật lý
9-17
Kiểm tra hoạt động Frame Relay
RouterX# show interfaces type number
Hiển thị thông tin về Frame Relay DLCIs và LMI
RouterX# show interfaces s0

Serial0 is up, line protocol is up
Hardware is HD64570
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec)
LMI enq sent 19, LMI stat recvd 20, LMI upd recvd 0, DTE LMI up
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0
LMI DLCI 1023 LMI type is CISCO frame relay DTE
FR SVC disabled, LAPF state down
Broadcast queue 0/64, broadcasts sent/dropped 8/0, interface broadcasts 5
Last input 00:00:02, output 00:00:02, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
<Output omitted>
9-18
Lệnh show interface hiển thị thông tin về đóng gói dữ liệu và trạng thái tầng 1 và
2. kiểm tra đóng gói dữ liệu được xét là Frame Relay.
Lệnh cũng hiển thị thông tin về lọai LMI và LMI DLCI. LMI DLCI không phải là
DLCI mà nó định nghĩa PVC ngang qua dữ liệu đã được truyền
Kết quả cũng cho biết DTE hay DCE. Thông thường router sẽ là DTE. Tuy nhiên,
một router Cisco có thể được cấu hình như Frame Relay switch; trong trường hợp
này, nó đóng vai trò là DCE
9-18
Kiểm tra hoạt động Frame Relay (tt.)
RouterX# show frame-relay lmi [type number]

Hiển thị thống kê LMI
RouterX# show frame-relay lmi
LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = CISCO
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Sent 113100 Num Status msgs Rcvd 113100
Num Update Status Rcvd 0 Num Status Timeouts 0
9-19
Dùng lệnh show frame-relay lmi để hiển thị những thống kê về thông tin LMI. Ví
dụ, lệnh này chỉ ra số message trạng thái được trao đổi giữa router và Frame Relay
switch
Sau đây mô tả một vài cột trong lệnh show frame-relay lmi
•LMI type: tín hiệu hoặc tiêu chuẩn LMI, những tùy chọn là cisco, ANSI, ITU-T
•Num status Enq Sent: số message LMI đã gởi
•Num status Msgs Rcvd: số message LMI đã nhận
9-19
Kiểm tra hoạt dộng Frame Relay (tt.)
RouterX# debug frame-relay lmi
Frame Relay LMI debugging is on
Displaying all Frame Relay LMI data
RouterX#
1w2d: Serial0(out): StEnq, myseq 140, yourseen 139, DTE up
1w2d: datagramstart = 0xE008EC, datagramsize = 13
1w2d: FR encap = 0xFCF10309
1w2d: 00 75 01 01 01 03 02 8C 8B
1w2d:
1w2d: Serial0(in): Status, myseq 140
1w2d: RT IE 1, length 1, type 1
1w2d: KA IE 3, length 2, yourseq 140, myseq 140
1w2d: Serial0(out): StEnq, myseq 141, yourseen 140, DTE up
1w2d: datagramstart = 0xE008EC, datagramsize = 13
1w2d: FR encap = 0xFCF10309
1w2d: 00 75 01 01 01 03 02 8D 8C
1w2d:
1w2d: Serial0(in): Status, myseq 142
1w2d: RT IE 1, length 1, type 0
1w2d: KA IE 3, length 2, yourseq 142, myseq 142
1w2d: PVC IE 0x7 , length 0x6 , dlci 100, status 0x2 , bw 0
Displays LMI debug information
9-20
Dùng lệnh debug frame-relay lmi để xem router và frame relay switch đang
gởi và nhận gói LMI phù hợp không
4 dòng đầu tiên mô tả một trao đổi LMI. Dòng đầu tiên mô tả yêu cầu LMI mà
router gởi đến switch. Dòng thứ 2 mô tả trả lời LMI mà router nhận từ switch.
Dòng thứ 3 và 4 mô tả trả lời từ switch. Sự trao đổi LMI này được cho phép
bởi trao đổi 2 LMI giống nhau. Sáu dòng cuối cùng gồm có message trạng thái
LMI đầy đủ mà gồm một mô tả về 2 PVC của router.
Sau đây mô tả ý nghĩa các cột chính trong hình
•Serial0(out): chỉ ra rằng yêu cầu LMI được gởi ra bởi interface serial 0
•StEnq: lọai message, có thể là một trong 2 lọai sau:
•Stenq: yêu cầu trạng thái
•Status: trả lời trạng thái
•Myseq 140: biến đếm Myseq, nó ánh xạ đến biến đếm CURRENT SEQ của
router
•Yourseen 139: biến đếm Yourseen, nó ánh xạ đến biến đếm LAST RCVD
SEQ của switch
•DTE up: trạng thái của line protocol (bật hoặc tắt) của cổng DTE
9-20
•RT IE 1: giá trị của thành phần thông tin lọai báo cáo
•Length 1: chiều dài của thành phần thông tin lọai báo cáo, tính bằng byte
•Type 1: lọai báo cáo là RT IE
•KA IE 3: giá trị của thành phần thông tin keepalive
•Length 2: chiều dài của thành phần thông tin keepalive, tính theo byte
•Yourseq 142: biến đếm Yourseq, nó ánh xạ đến biến đếm CURRENT SEQ
của switch
•Myseq 142: biến đếm myseq, nó ánh xạ đến biến đếm CURRENT SEQ của
router
•PVC IE 0x7: giá trị của lọai thành phần thông tin PVC
•Length 0x6: chiều dài của PVC IE tính bằng byte
•Dlci 100: giá trị DLCI của PVC này
•Status 0x2: giá trị trạng thái; có thể là một trong những giá trị sau:
•0x00: added/inactive
•0x02: added/active
•0x04:deleted
•0x08:new/inactive
•0x0a:new/active
•Bw 0: CIR của DLCI
Kết quả “out” là một message trạng thái LMI được gởi bởi router. Kết quả “in”
là message được nhận từ frame relay switch
Kết quả “type 0” chỉ ra một message trạng thái LMI đầy đủ. Kết quả “type 1”
chỉ ra một trao đổi LMI
Kết quả “dlci 100, status 0x2” có nghĩa rằng trạng thái của DLCI 100 là active.
Những giá trị thông thường của trạng thái DLCI như sau:
•0x0: “added” và “inactive” nghĩa rằng switch có DLCI này được lập trình
nhưng có một vài lý do, ví dụ như đầu bên kia của PVC là down, nó không
được sử dụng
•0x2: “added” và “active” nghĩa rằng switch có DLCI và mọi thứ đang họat
động. Bạn có thể bắt đầu gởi thông tin với DLCI này trong header
•0x4: “deleted” nghĩa rằng switch không có DCLI này được lập trình cho router
nhưng nó được lập trình tại một vài điểm trong quá khứ. Trạng thái này cũng
có thể xảy ra bởi vì DLCI được giữ lại trên router hoặc do PVC đã bị xóa bởi
nhà cung cấp dịch vụ
9-21
RouterX# show frame-relay pvc [type number [dlci]]
Hiển thị thống kê PVC
RouterX# show frame-relay pvc 100
PVC Statistics for interface Serial0 (Frame Relay DTE)
DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0
input pkts 28 output pkts 10 in bytes 8398

out bytes 1198 dropped pkts 0 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 10 out bcast bytes 1198
pvc create time 00:03:46, last time pvc status changed 00:03:47
9-22
Dùng lệnh show frame-relay pvc [interface interface] [dlci] để hiển thị trạng thái
của mỗi cấu hình PVC cũng như những thống kê về traffic
Sau đây mô tả ý nghĩa của các cột trong lệnh này:
•DLCI: một trong những số DLCI của PVC
•DLCI USAGE: hiển thị “SWITCHED” khi router hoặc access server được dùng
như là một switch hoặc “LOCAL” khi router hoặc access server được dùng như là
thiết bị DTE
•PVC STATUS: trạng thái của PVC. Thiết bị DCE thông báo trạng thái, và thiết bị
DTE nhận trạng thái. Khi bạn tắt cơ chế LMI trên interface bằng lệnh no
keepalive, trạng thái của PVC là STATIC. Nếu không, trạng thái của PVC được
trao đổi bằng giao thức LMI, như sau:
•STATIC: LMI tắt trên interface
•ACTIVE: PVC đang họat động và có thể truyền gói tin
•INACTIVE: PVC được cấu hình nhưng bị down
•DELETED: PVC không được cấu hình (chỉ thiết bị DTE), nghĩa là không
có trạng thái được nhận từ giao thức LMI
Nếu lệnh frame-relay end-to-end keepalive được dùng, trạng thái end-to-
end keepalive(EEK) được báo cáo thêm đến trạng thái LMI. Hai ví dụ sau:
•ACTIVE(EEK UP): PVC họat động y theo LMI và end-to-end keepalive
9-22
•ACTIVE(EEK DOWN): PVC đang họat động theo LMI, nhưng end-
to-end keepalive bị lỗi
•INTERFACE: chỉ ra subinterface tương ứng với DLCI này
•LOCAL PVC STATUS: trạng thái của PVC đã được cấu hình một cách cục
bộ trên Network-to-Network interface (NNI)
•NNI PVC STATUS: trạng thái của PVC mà đã được học trên đường NNI
•Input pkts: số gói tin đã được nhận trên PVC này
•Output pkts: số gói tin đã được gởi trên PVC này
•In bytes: số byte đã được nhận trên PVC này
•Out bytes: số byte đã được gởi trên PVC này
•Dropped pkts: số gói tin vào và ra đã bị hủy bởi router tại tầng Frame Relay
•In pkts dropped: số gói tin đến đã bị hủy. Gói tin đến có thể bị hủy với một
trong những lý do sau:
•Trạng thái của PVC là inactive
•Chính sách
•Những gói tin đã nhận ở trên có bit DE
•Những fragment đã hủy
•Lỗi phân phát bộ nhớ
•Lỗi cấu hình
•Out pkts dropped: số gói tin đi ra đã bị hủy, về trật tự và trễ
•Out bytes dropped: số byte đi ra đã bị hủy
•Late-dropped out pkts: số gói tin đi ra đã bị hủy bởi vì một chính sách QoS,
như hàng đợi VC hoặc trật tự traffic. Cột này không hiển thị khi giá trị =0
•Late-dropped out bytes: số byte đi ra đã bị hủy bởi vì một chính sách QoS,
như hàng đợi VC hoặc trật tự traffic. Cột này không hiển thị khi giá trị =0
•In FECN pkts: số gói tin đã nhận có bit FECN được xét
•In BECN pkts: số gói tin đã nhận có bit BECN được xét
•Out FECN pkts: số gói tin đã gởi có bit FECN được xét
•Out BECN pkts: số gói tin đã gởi có bit BECN được xét
•In DE pkts: số gói tin DE đã được nhận
•out DE pkts: số gói tin DE đã được gởi
•Out bcast pkts: số gói tin broadcast đi ra
•Out bcast bytes: số byte broadcast đi ra
9-23
RouterX# show frame-relay map
Hiển thị nội dung hiện hành ánh xạ (map) Frame Relay
RouterX# clear frame-relay-inarp

Xoá ánh xạ Frame Relay tạo bởi Inverse ARP
RouterX# show frame-relay map

Serial0 (up): ip 10.140.1.1 dlci 100(0x64,0x1840), dynamic,
broadcast,, status defined, active
RouterX# clear frame-relay-inarp
RouterX# show frame map
RouterX#
9-24
Dùng lệnh show frame-relay map để hiển thị những dòng ánh xạ hiện hành và
thông tin về kết nối
Thông tin sau diễn giải về kết quả xuất của lệnh show frame-relay map trong
hình:
•“100” là số DLCI cục bộ dưới dạng cơ số 10
•“0x64”: số DLCI cục bộ dưới dạng cơ số 16
•“0x1840” là giá trị khi nó xuất hiện “on the wire”, DLCI được biểu diễn trong
cột địa chỉ của Frame Relay frame
•“10.140.1.1” là địa chỉ IP của router ở xa (một dòng động được học thông qua
Inverse ARP)
•Broadcast và multicast được cho phép trên PVC
•Trạng thái PVC là active
Để xóa những ánh xạ Frame Relay đã được tạo một cách tự động, được tạo bởi
Inverse ARP, dùng lệnh clear frame-relay-inarp
9-24
Hiển thị bài 8-1:
thiết lập một mạng WAN bằng Frame
Relay WG Router s0/0/0
A 10.140.1.2
B 10.140.2.2
C 10.140.3.2
D 10.140.4.2
E 10.140.5.2
F 10.140.6.2
G 10.140.7.2
H 10.140.8.2
9-25
9-25
Tóm tắt
Frame Relay PVCs xác định bởi DLCIs, và trạng thái của PVCs
được thông báo bởi giao thức LMI.
Giao diện con point-to-point Frame Relay yêu cầu dành riêng mỗi
subnet cho từng PVC, và giao diện con đa điểm chia sẻ cùng một
subnet với các điểm liên kết (peers).
Để xem tình trạng kết nối với nhà cung cấp Frame Relay, sử
dụng lệnh show frame-relay lmi. Để hiển thị tình trạng kết nối
với điểm liên kết xa Frame Relay, sử dụng các lệnh show frame-
relay pvc và show frame-relay map.
9-26
9-26
9-27
9-27
9-28
Bài 10: Sửa lỗi Frame
Relay WANs
10-1
10-1
Các thành phần của công tác sửa lỗi
Frame Relay
10-2
Khi chẩn đóan và sửa lỗi Frame Relay, quan tâm đến những khía cạnh chính
sau:
•Chẩn đóan và sửa lỗi một kết nối Frame Relay bị đứt (down), có thể là tầng
physical hoặc tầng data link
•Chẩn đóan và sửa lỗi router ở xa, là kết nối giữa 2 router Frame Relay
•Chẩn đóan và sửa lỗi kết nối end-to-end, là kết nối giữa các máy trạm ngang
qua mạng Frame Relay
10-2
Sửa lỗi khi kết nối Frame Relay bị đứt
(Down)
10-3
Bước đầu tiên của việc chẩn đóan và sửa lỗi kết nối Frame Relay là kiểm tra
trạng thái của interface. Dùng lệnh show interface serial number[/number] để
kiểm tra trạng thái của interface
Kết quả của lệnh show interface serial hiển thị “interface down/line protocol
down”, chỉ ra rằng tầng physical có vấn đề. Nghĩa rằng bạn có vấn đề về cáp,
CSU/DSU, hoặc serial line
Đầu tiên, dùng lệnh show controllers serial để khẳng định router nhận dạng
đúng cáp
Kế tiếp, bạn cần chẩn đóan và sửa lỗi với một kiểm tra loopback
Thực hiện những bước sau đây để kiểm tra loopback:
•Step 1: cấu hình encapsulation của cổng serial là HDLC và keepalive có giá trị
10giây. Để làm điều này, dùng lệnh encapsulation hdlc và keepalive trong
mode cấu hình interface
•Step 2: đặt CSU/DSU hoặc modem trong local-loop mode. Kiểm tra tài liệu
kèm thiết bị để cấu hình cái này. Nếu line protocol up khi CSU/DSU hoặc
modem cấu hình local-loop mode, được chỉ bởi thông điệp “line protocol is up
(looped), nó gợi ý rằng có một vấn đề đang xảy ra trên CSU/DSU. Nếu line
protocol không thay đổi trạng thái thì có thể là một vấn đề trong router, kết nối
cáp, CSU/DSU, modem. Trong hầu hết các trường hợp, lỗi ở CSU/DSU hoặc
modem.
10-3
•Step 3: ping đến địa chỉ IP của interface mà bạn đang sửa lỗi trong khi
CSU/DSU hoặc modem trong local-loop mode. Một ping mở rộng với mẫu dữ
liệu 0x0000 là hữu ích trong việc giải quyết lỗi của đường truyền vì những thiết
bị kết nối T1 hoặc E1 bấm giờ từ dữ liệu và yêu cầu truyền mỗi lần 8bit. Một
mẫu dữ liệu với nhiều số 0 giúp nhận biết nếu việc truyền thích hợp trên
đường trunk. Một mẫu với nhiều số 1 được sử dụng để mô phỏng một tải số 0
cao trong trường hợp có một cặp đổi dữ liệu trên đường truyền. Mẫu 0x5555
biễu diễn một mẫu dữ liệu điển hình. Nếu ping lỗi hoặc nếu bạn nhận được lỗi
CRC, cần phải có một kiểm tra thích hợp từ công ty điện thọai.
•Step 4: khi bạn hòan thành kiểm tra, bạn cấu hình encapsulation của interface
trở lại Frame Relay
Định nghĩa DLCI tĩnh trên subinterface không đúng cũng có thể là nguyên
nhân làm subinterface “down/down”, và trạng thái PVC có thể là “deleted”.
Để chắc chắn rằng số DLCI đã được cấu hình đúng, dùng lệnh show frame-
relay pvc
RouterX#sh frame-relay pvc

PVC Statistics for interface Serial0/0/0 (Frame Relay DTE)
Active Inactive Deleted Static
Local 0 0 1 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = DELETED,
INTERFACE = Serial0/0/0
input pkts 9 output pkts 8 in bytes 879
out bytes 1024 dropped pkts 0 in pkts dropped 0
out pkts dropped 0 out bytes dropped 0
in FECN pkts 0 in BECN pkts 0 out FECN pkts 0
out BECN pkts 0 in DE pkts 0 out DE pkts 0
out bcast pkts 2 out bcast bytes 138
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 00:00:27, last time pvc status changed 00:00:27
Trong kết quả trên, số DLCI là “100” và trạng thái là “deleted”. Chứng tỏ rằng
cấu hình DLCI không đúng.
Nếu kết quả của lệnh show interface serial hiển thị “interface up/line protocol
down”, chỉ ra rằng có lỗi ở tầng Data Link. Nếu điều này xảy ra, serial
interface không nhận được LMI keepalive từ nhà cung cấp dịch vụ Frame
Relay. Để kiểm tra LMI message đang được gởi và nhận, và để kiểm tra lọai
LMI của router phù hợp với LMI của nhà cung cấp, dùng lệnh show frame-
relay lmi
10-4
RouterX#sh frame-relay lmi
LMI Statistics for interface Serial0/0/0 (Frame Relay DTE) LMI TYPE =
CISCO
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Sent 236 Num Status msgs Rcvd 31
Num Update Status Rcvd 0 Num Status Timeouts 206
Last Full Status Req 00:00:38 Last Full Status Rcvd 00:00:38
Kết quả chỉ ra rằng LMI đã gởi LMI 236 và nhận LMI 31, và lọai LMI là
“cisco”
10-5
Sửa lỗi khi kết nối Frame Relay với
router xa trục trặc
10-6
Để đến router đích ở xa ngang qua mạng Frame Relay, phải ánh xạ địa chỉ IP
của router ở xa với DLCI cục bộ. Lệnh show frame-relay map chỉ ra việc ánh
xạ giữa địa chỉ IP và DLCI và nó được cấu hình tĩnh hay động được học bởi
Inverse ARP
RouterX#sh frame-relay map
Serial0/0/0 (up): ip 10.140.1.1 dlci 100(0x64,0x1840), dynamic,
broadcast,
CISCO, status defined, active
Nếu bạn thay đổi địa chỉ IP của router ở xa, bạn cần dùng lệnh clear frame-
relay-inarp để xóa bảng ánh xạ Frame Relay của router cục bộ. Điều này giúp
cho Inverse ARP ánh xạ lại địa chỉ mới với DLCI
Nếu địa chỉ IP của interface của router ở xa không xuất hiện trong bảng ánh xạ,
router ở xa không hỗ trợ Inverse ARP. Cố gắng ánh xạ bằng tay bằng lệnh
frame-relay map protocol protocol-address dlci [broadcast]
Thêm vào đó, có thể Access Control List (ACL) được cấu hình trên interface
làm ảnh hưởng đến kết nối. Để kiểm tra có ACL được cấu hình đến interface
hay không dùng lệnh show ip interface
Xóa tạm thời một ACL từ một interface để kiểm tra xem nếu nó có ảnh hưởng
đến kết nối, dùng lệnh no ip access-group acl_no {in/out} trong interface
mode.
10-6
Sửa lỗi khi kết nối Frame Relay
giữa 2 đầu cuối (End-to-End) trục trặc
10-7
Kết nối end-to-end tồn tại giữa các máy trạm ngang qua mạng Frame Relay
phụ thuộc vào những yêu cầu định tuyến. Nếu bạn là người có kinh nghiệm
trong việc sửa lỗi kết nối end-to-end trong mạng Frame Relay, kiểm tra bảng
định tuyến để thấy nếu các router có một con đường đi đến đích mà bạn đang
sửa lỗi kết nối. Dùng lệnh show ip route để kiểm tra bảng định tuyến.
RouterX#sh ip route
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
C 172.16.2.0 is directly connected, Loopback1
10-7
C 10.23.23.0 is directly connected, Serial0/0/1
C 10.2.2.0 is directly connected, FastEthernet0/0
C 192.168.1.64/28 is directly connected, Loopback0
Nếu chỉ có những con đường kết nối trực tiếp xuất hiện trong bảng định tuyến,
lỗi có thể là mạng Frame Relay ngăn chặn những cập nhật của giao thức định
tuyến. Bởi vì tính năng của Frame Relay là NBMA, bạn phải cấu hình router
cho phép chuyển những cập nhật định tuyến broadcast hoặc multicast ngang
qua mạng Frame Relay. Với sử dụng Inverse ARP, khả năng này tự động có tác
dụng. Với ánh xạ Frame Relay tĩnh, bạn phải cấu hình sao cho hỗ trợ gói tin
broadcast. Lệnh show frame-relay map hiển thị có hay không khả năng
broadcast, cho phép những cập nhật định tuyến ngang qua mạng Frame Relay
RouterX#sh frame-relay map
Serial0/0/0 (up): ip 10.140.1.1 dlci 100(0x64,0x1840), dynamic,
broadcast, CISCO, status defined, active
10-8
Hình vẽ cho bài 8-2:
Sửa lỗi mạng WANs Frame Relay
WG Router s0/0/0
A 10.140.1.2
B 10.140.2.2
C 10.140.3.2
D 10.140.4.2
E 10.140.5.2
F 10.140.6.2
G 10.140.7.2
H 10.140.8.2
10-9
10-9
Tóm tắt
Có 3 khía cạnh khi sửa lỗi frame relay: sửa kết nối, sửa ánh xạ
(map) từ một router đến router khác, và sửa định tuyến qua mạng
Frame relay.
Sử dụng lệnh show interface serial và show frame-relay lmi để
kiểm tra tình trạng trục trặc của Layer 1 và Layer 2 của kết nối.
Sử dụng lệnh show frame-relay map và show frame-relay pvc
để kiểm tra khả năng kết nối giữa các routers.
10-10
10-10
10-11
10-11
10-12

Semester 4 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Semester 4 PDF

Uploaded by

Copyright:

Available Formats

CCNA

Tài liệu hướng dẫn

Bài 1: Triển khai EIGRP…………………………………………………………………... 1-1

Triển khai EIGRP

Vector khoảng cách nâng cao Thiết kế mạng linh động

VÍ DỤ : EIGRP tính toán đường đi ( Router C )

RouterX(config-router)# network network-number

CẤU HÌNH VÀ KIỂM TRA CẤU HÌNH EIGRP .

Ví dụ : Cấu hình EIGRP .

Mặc định EIGRP không hỗ trợ quảng bá mạng con do đó không

Sử dụng câu lệnh no auto-summary để quảng bá mạng con , do đó

Để tắt chế độ nhóm tuyến tự động , sử cụng câu lệnh no auto-summary

RouterX# show ip protocols

RouterX# show ip eigrp interfaces

RouterX# show ip eigrp interfaces

Xmit Queue Mean Pacing Time Multicast Pending

Hiển thị của câu lệnh show ip eigrp interfaces

RouterX# show ip eigrp neighbors [detail]

RouterX# show ip eigrp neighbors

Hiển thị bảng cấu trúc mạng của IP EIGRP

Hiển thị của câu lệnh show ip eigrp topology :

RouterX# show ip eigrp traffic

Bảng sau mô tả các phần được hiển thị ra

RouterX# debug ip eigrp

IP-EIGRP: Chỉ ra rằng đây là gói tin EIGRP

Chi phí của EIGRP

CHIA TẢI TRÊN NHỮNG ĐƯỜNG CÓ CHI PHÍ BẰNG NHAU

Router E chọn router C để đi đến mạng 172.16.0.0 bởi vì nó có khoảng cách

Ví dụ : Câu hình câu lệnh variance

EIGRP hỗ trợ chứng thực EIGRP.

Thực hiện các bước sau để tạo ra chuỗi khóa :

Autonomous-system: Hệ số tự quản của EIGRP mà chứng thực được dùng

Bước 3 : Sử dụng câu lệnh ip authentication key-chain eigrp để chỉ ra chuỗi

Autonomous-system :hệ số tự quản của EIGRP mà chứng thực được dùng

Ví dụ : Cấu hình chứng thực MD5

RouterX#show ip eigrp neighbors

Kiểm tra chứng thực MD5

Triển khai EIGRP

Các công đoạn chính của việc xử lí sự cố EIGRP bao gồm :

IP-EIGRP neighbors for process 100

Gateway of last resort is not set

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,

P 10.1.1.0/24, 1 successors, FD is 40514560

Trong ví dụ sau , không có bộ lọc tuyến nào được áp dụng cho hệ

Chứng thực MD5 thành công giữa router X và router Y

RouterX# debug eigrp packets

RouterY# debug eigrp packets

Ví dụ : Thực hiện chứng thực MD5 thành công

RouterX(config-if)#key chain RouterXchain

RouterY#debug eigrp packets

RouterY#show ip eigrp neighbors

Ví dụ : Xử lí sự cố chứng thực MD5

Có rất nhiều vấn đề khi xử lí sự cố EIGRP , như là xử lí sự cố mối

Danh sách kiểm tra truy cập

ACL dạng cơ bản

ACLs có thể phân chia thành các loại sau :

Yêu cầu tối thiểu IOS 12.3

ACLs động (lock-and-key): Người dùng muốn đi qua router sẽ bị

Khi nào sử dụng ACL động

Các thuận lợi khi sử dụng ACLs động

Ví dụ cấu hình ACL động :

RouterX(config)#username test password 0 test

RouterX(config)#access-list 101 permit tcp any host 10.1.1.1 eq telnet