Giáo trình CCNA - Công nghệ WAN và bảo mật

CHỦ ĐỀ

PHẦN 1: Quản lý luồng dữ liệu bằng Access Control List . 11

I. Giới thiệu chung . 11

II. Hoạt động của ACL . 11

1. Tìm hiểu về ACL . 12

2. Hoạt động của ACL . . 15

3. Phân loại ACL . 19

4. Xác định ACL . 19

5. ACL wildcard masking . 21

III. Cấu hình ACL . 24

1. Cấu hình numbered standard IPv4 ACL . . 25

2. Cấu hình numbered extended IPv4 ACL . 26

3. Cấu hình named ACL . 28

3.1 Khởi tạo named standard ACL . 28

3.2 Khởi tạo named extended ACL . 28

4. Thêm phần ghi chú cho Named hay Numbered ACLs . 31

IV. Các lệnh kiểm tra trong ACL . 32

V. Các loại khác của ACL . . 32

1. Dynamic ACL . 33

2. Reflexive ACL . 35

3. Time-based ACL . 37

VI. Ghi chú khi sử dụng Wildcard Masks . 38

VII. Giải quyết sự cố trong ACL . 41

Chương 4: Công nghệ WAN và bảo mật

PART 2: Mở rộng quy mô mạng với NAT và PAT . 45

I. Giới thiệu về NAT và PAT . 45

1. Biên dịch địa chỉ nguồn bên trong . 48

2. Cơ chế NAT tĩnh . 51

3. Cơ chế NAT động . 52

4. Overloading một địa chỉ toàn cục bên trong . 53

II. Giải quyết vấn đề bảng dịch . 56

III. Giải quyết sự cố với NAT . 57

PART 3: Giải pháp VPN . . 62

I. Giới thiệu về giải pháp VPN . 62

1. VPN và những lợi thế . 62

2. Các loại VPN . . 64

3. IPsec SSL VPN (WebVPN) . 69

II. Giới thiệu IPsec . 70

PHẦN 4: Thiết lập kết nối WAN với PPP . 77

I. Hiểu biết về đóng gói trong WAN . 77

II. Xác thực PPP . 80

1. Tổng quan về PPP . 80

2. Vùng giao thức của PPP . 80

3. Giao thức điều khiển liên kết . 81

3.1 Phát hiện liên kết lặp . 81

3.2 Tăng cường khả năng phát hiện sự cố . 82

3.3 PPP Multilink . 82

3.4 Xác thực PPP . 83

Chương 4: Công nghệ WAN và bảo mật

III. Cấu hình và kiểm tra PPP . 86

IV. Giải quyết sự cố trong xác thực PPP . . 89

1. Giải quyết các vấn đề ở lớp 2 . 89

2. Giải quyết các vấn đề ở lớp 3 . 92

PART 5: Giới thiệu về công nghệ Frame Relay . 94

I. Cấu hình chung mạng Frame Relay . 94

II. Tổng quan về Frame Relay . 95

1. Các tiêu chuẩn của Frame Relay . 98

2. Mạch ảo . 98

3. LMI và các loại đóng gói . 101

III. Kiểm soát tốc độ và loại bỏ trong đám mây Frame Relay . 104

1. FECN và BECN . 104

2. Các Loại bỏ điều kiện (DE bit) . 105

IV. Cấu hình và kiểm tra Frame Relay . 106

1. Kế hoạch cho một cấu hình Frame Relay . 106

2. Một mạng với đầy đủ meshed với một IP Subnet . 108

3. Cấu hình đóng gói và LMI . . 109

4. Map địa chỉ Frame Relay . 113

4.1 Inverse ARP . 113

4.2 Map tĩnh Frame Relay . 113

V. Xử lý sự cố với mạng Frame Relay . 114

PHẦN 6: Tổng quan về IPv6 . 127

I. Khái quát chung . 127

Chương 4: Công nghệ WAN và bảo mật

II. Cách thức viết địa chỉ Ipv6 . 127

III. Phương thức gán địa chỉ Ipv6 . 130

IV. Cấu trúc địa chỉ IPv6 . 130

1. Địa chỉ Unicast . 131

2. Địa chỉ Anycast . 133

3. Địa chỉ Multicast . 134

V. Gán địa chỉ IPv6 cho cổng giao diện . . 136

1. Cấu hình thủ công cổng giao diện . 136

2. Gán địa chỉ bằng EUI-64 . 136

3. Cấu hình tự động . 137

4. DHCPv6 (Stateful) . . 138

5. Dùng dạng EUI-64 trong địa chỉ IPv6 . 138

VI. Xem xét định tuyến với IPv6 . 139

VII. Chiến lược để thực hiện IPv6 . 139

VIII. Cấu hình IPv6 . 143

PHẦN 7: Các bài lab minh họa . . 146

1. Cấu hình Standard Access List . 146

2. Cấu hình extended Access List . 151

3. Cấu hình NAT tĩnh . 156

4. Cấu hình NAT overload . 159

5. Cấu hình PPP PAP và CHAP . 163

6. Cấu hình FRAME RELAY . 169

7. Cấu hình FRAME RELAY SUBINTERFACE . 176

Chương 4: Công nghệ WAN và bảo mật

Phụ lục về các hình sử dụng trong tài liệu

PART 1: Quản lý luồng dữ liệu bằng ACL . 11

Hình 1-1: Kiểm soát lưu lượng bằng Access Control List . . 13

Hình 1-2: Bộ lọc của Access Control List . 13

Hình 1-3: ACL xác định luồng dữ liệu . 15

Hình 1-4: Ví dụ của một outbound ACL . 16

Hình 1-5: Sự đánh giá của ACL . 18

Hình 1-6: Wildcard mask . 22

Hình 1-7: Masking một dãy địa chỉ . 23

Hình 1-8: Trường hợp đặc biệt của Wildcard Mask . 24

Hình 1-9: Standard ACL . . 25

Hình 1-10: Extended ACL . 26

Hình 1-11: Dynamic ACL . 33

Hình 1-12: Reflexive ACL . 36

Hình 1-13: Time-based ACL . 37

PART 2: Mở rộng quy mô mạng với NAT và PAT . . 45

Hình 2-1: Network Address Translations . 46

Hình 2-2: Port Address Translation . 48

Hình 2-3: Biên d ịch một địa chỉ với NAT . 49

Hình 2-4: NAT tĩnh . 51

Hình 2-5: NAT động . 53

Hình 2-6: Overloading một địa chỉ toàn cục bên trong . 54

Chương 4: Công nghệ WAN và bảo mật

PART 3: Giải pháp VPN . . 62

Hình 3-1: Các ví dụ về kết nối VPN . 63

Hình 3-2: Kết nối site-to-site VPN . 64

Hình 3-3: Minh họa về kết nối remote-access VPN . . 65

Hình 3-4: Cisco Easy VPN . 66

Hình 3-5: WebVPN . 69

Hình 3-6: Cách thức sử dụng khác nhau của IPsec . 70

Hình 3-7: Mã hóa dữ liệu . 71

Hình 3-8: Mã hóa key . 72

Hình 3-9: Thiết lập quá trình mã hóa key . 73

Hình 3-10: Xác thực peer . 75

PHẦN 4: Thiết lập kết nối WAN với PPP . 77

Hình 4-1: Các lựa chọn cho mạng WAN . 78

Hình 4-2: Khung PPP và HDLC . 81

Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP . 83

Hình 4-4: NCP và LCP trong PPP . 83

Hình 4-5: Chứng thực PAP . 85

Hình 4-6: Chứng thực CHAP . 86

PART 5: Giới thiệu về công nghệ Frame Relay . 94

Hình 5-1: Mạng Frame Relay . 94

Hình 5-2: Các thành phần của mạng Frame Relay . 96

Chương 4: Công nghệ WAN và bảo mật

Hình 5-3: Khái niệm về Frame Relay PVC . 96

Hình 5-4: Mạng Frame Relay thông thường với ba site . 99

Hình 5-5: Mạng Frame Relay dười dạng partial-mesh . 100

Hình 5-6: LAPF Header . 102

Hình 5-7: Đóng gói Cisco và RFC 1490/2427 . 103

Hình 5-8: Hoạt động cơ bản của FECN và BECN . 105

Hình 5-9: Full mesh với nhiều địa chỉ IP . 108

Hình 5-10: Tiến trình làm việc của Inverse ARP . 113

Hình 5-11: Cấu hình liên quan đến việc R1 ping không thành công 10.1.2.2 . 118

Hình 5-12: Kết quả của việc shut down liên kết R2 và R3 . 124

PHẦN 6: Tổng quan về IPv6 . 127

Hình 6-1: Cấu trúc địa chỉ của Link-local . 131

Hình 6-2: Cấu trúc địa chỉ của Site-local . 131

Hình 6-3: Cấu trúc địa chỉ IPX . 132

Hình 6-4: Cấu trức địa chỉ IPv4 tương thích với IPv6 . 132

Hình 6-5: Cấu trúc địa chỉ Ipv4 giả là Ipv6 . 133

Hình 6-6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu . 133

Hình 6-7: Cấu trúc địa chỉ Anycast . 133

Hình 6-8: Cấu trúc địa chỉ đa hướng . 134

Hình 6-9: Cấu trúc địa chỉ MAC của LAN . 134

Hình 6-10: Tâp hợp các địa chỉ IPv6 . 135

Hình 6-11: Tự động cấu hình . 137

Chương 4: Công nghệ WAN và bảo mật

Hình 6-12: Giao diện nhận diện EUI-64. 138

Hình 6-13: Sự chuyển đổi IPv4 đến IPv6 . 140

Hình 6-14: Cisco IOS Dual Stack . 141

Hình 6-15: Cấu hình Dual-Stack . 141

Hình 6-16: Các yêu cầu của đường hầm IPv6 . 142

Hình 6-17: Ví dụ cấu hình RIPng . 143

pdf183 trang | Chia sẻ: maiphuongdc | Lượt xem: 3368 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Giáo trình CCNA - Công nghệ WAN và bảo mật, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hực hiện các mạng riêng ảo vì nó ít tốn kém hơn, an toàn hơn, và dễ dàng hơn để mở rộng mạng WAN truyền thống. ■ Site-to-site VPN an toàn thông tin giữa các đồng cấp mạng nội bộ và mạng diện rộng. VPN Remote-access an toàn thông tin liên lạc từ các người làm việc từ xa di chuyển với cơ quan trung ương. ■ VPN có thể được thực hiện với nhiều loại thiết bị khác nhau như router Cisco IOS, ASA 5500 Series, và phần mềm Cisco VPN Client. ■ IPsec là một framework kết hợp giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. ■ AH và ESP là hai giao thức IPsec chính. Chương 4: Công nghệ WAN và bảo mật Page | 77 PHẦN 4: Thiết lập kết nối WAN với PPP Dịch vụ mạng diện rộng (WAN) thường được thuê từ một nhà cung cấp dịch vụ. Một số dịch vụ WAN hoạt động như lớp 2 kết nối giữa các địa điểm từ xa của bạn và thường được cung cấp bởi một công ty điện thoại (viễn thông) cung cấp qua thiết bị chuyển mạch WAN của nó. PPP nổi lên như là một giao thức đóng gói cho vận chuyển lưu lượng IP theo dạng điểm-điểm (thuê line) kết nối nối tiếp. Phần này mô tả các hoạt động, cấu hình và xác thực của PPP. I. Hiểu biết về đóng gói trong WAN: Trên mỗi kết nối WAN, dữ liệu được đóng gói vào khung trước khi nó đi qua các liên kết WAN. Để đảm bảo rằng các giao thức được sử dụng chính xác, bạn phải cấu hình kiểu đóng gói lớp 2 thích hợp. Việc lựa chọn giao thức lớp 2 phụ thuộc vào công nghệ mạng WAN và các thiết bị giao tiếp. Hình 3-11 nêu bật một số trong những lựa chọn để kết nối đến mạng WAN. Chương 4: Công nghệ WAN và bảo mật Page | 78 Hình 3-11: Các lựa chọn cho mạng WAN. Sau đây là giao thức điển hình WAN: ■ High-Level Data Link Control (HDLC): mặc định Cisco đóng gói dạng kết nối điểm-điểm, liên kết chuyên dụng, và các kết nối chuyển mạch. Bạn thường sử dụng HDLC khi hai thiết bị Cisco đang giao tiếp qua một kết nối point-to- point. ■ PPP: Cung cấp các router-to-router và host-to-network kết nối qua mạch đồng bộ và không đồng bộ. PPP được thiết kế để làm việc với nhiều giao thức lớp mạng, bao gồm cả IP. PPP cũng đã được xây dựng trong cơ chế bảo mật, chẳng hạn như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP). ■ Frame Relay: Giao thức này là một tiêu chuẩn công nghiệp, chuyển đội giao thức lớp liên kết dữ liệu để xử lý nhiều mạch ảo (VC). Frame Relay được sắp Chương 4: Công nghệ WAN và bảo mật Page | 79 xếp hợp lý để loại bỏ một số các quy trình thời gian, chẳng hạn như sửa lỗi và kiểm soát dòng chảy, mà đã được sử dụng trong X.25 - liên kết truyền thông ít đáng tin cậy. ■ ATM: Giao thức này là tiêu chuẩn quốc tế để chuyển tiếp các cell, trong đó nhiều loại hình dịch vụ như điện thoại, video và dữ liệu, được truyền đạt trong chiều dài cell cố định (53 byte). ATM, một công nghệ vi chuyển mạch, sử dụng độ dài cell cố định, cho phép thực thi trong phần cứng, do đó làm giảm sự chậm trễ trong di chuyển. ATM được thiết kế để tận dụng lợi thế của các phương tiện truyền thông truyền tốc độ cao như T3, E3, và SONET. ■ Băng thông rộng - Broadband: băng thông rộng trong truyền thông dữ liệu thường dùng để truyền dữ liệu mà nhiều phần dữ liệu được gửi đồng thời để tăng tỉ lệ hiệu quả của truyền dẫn, bất kể tốc độ dữ liệu thực tế. Trong kỹ thuật mạng, thuật ngữ này đề cập đến phương pháp truyền dẫn nơi mà hai hay nhiều tín hiệu chia sẻ một phương tiện, chẳng hạn như các công nghệ: - DSL-PPP qua Ethernet (PPPoE) và PPP qua ATM (PPPoA): Công nghệ cung cấp kỹ thuật số truyền dữ liệu qua các dây của một mạng điện thoại nội bộ. Thông thường, tốc độ tải về của người tiêu dùng dịch vụ DSL phạm vi từ 256 đến 24.000 kbps, tùy thuộc vào công nghệ DSL, điều kiện đường, và mức độ dịch vụ đã được thực hiện. DSL hiện thực thường sử dụng PPPoE hoặc PPPoA. Cả hai triển khai cung cấp các tiêu chuẩn PPP tính năng như xác thực, mã hóa, và nén. PPPoE là một giao thức mạng để đóng gói PPP khung trong khung Ethernet. PPPoA là một giao thức mạng để đóng gói PPP khung trong lớp 5 ATM (AAL5). - Cáp-Ethernet: Một modem cáp là một loại modem cung cấp truy cập đến một tín hiệu dữ liệu được gửi qua các cơ sở hạ tầng truyền hình cáp. Modem cáp chủ yếu được sử dụng để cung cấp truy cập Internet băng thông rộng, lợi dụng băng thông không sử dụng trên một mạng truyền hình cáp. Băng thông của dịch vụ kinh doanh modem cáp thông thường vào khoảng từ 3 Mbps đến 30 Mbps hoặc nhiều hơn. Hiện tại hệ thống modem cáp sử dụng định dạng khung Ethernet để truyền dữ liệu qua các kênh dữ liệu thượng nguồn và hạ nguồn. Mỗi kênh trong số các kênh dữ liệu hạ nguồn và thượng nguồn liên quan trên một mạng cáp tạo thành một mạng WAN Ethernet mở rộng. Chương 4: Công nghệ WAN và bảo mật Page | 80 ■ Metro Ethernet: Sự xuất hiện của Metro Ethernet như là một phương pháp khả thi của việc cung cấp cả hai điểm-điểm và các dịch vụ đa điểm đã được thúc đẩy bởi một sự phong phú của triển khai sợi quang đến các khu vực kinh doanh. Ethernet có thể là công nghệ giao thông vận tải quy mô nhất từng được phát triển. Bắt đầu từ 10 Mbps, nó đã phát triển tới 10 Gbps, với kế hoạch cho 40 Gbps. Một số phương pháp nổi bật dành cho vận chuyển Metro Ethernet qua mạng, bao gồm các phương pháp tiếp cận giải pháp chính: - Cung cấp các dịch vụ Ethernet qua sợi quang tối. - Cung cấp các dịch vụ Ethernet trên SONET / đồng bộ hệ thống mạng cấp bậc kỹ thuật số (Synchronous Digital Hierarchy - SDH). - Cung cấp các dịch vụ Ethernet sử dụng công nghệ Resilient Packet Ring (RPR). II. Xác thực PPP: 1. Tổng quan về PPP: PPP cung cấp một vài tính năng cơ bản nhưng chức năng quan trọng nhất là dịch vụ kênh thuê riêng liên kết hai đầu thiết bị, một vài kiến thực về PPP như sau:  Định nghĩa một header và một trailer cho phép cấp phát một khung dữ liệu trên đường dẫn.  Cung cấp trên cả đường dẫn đồng bộ (synchronous) và bất đồng bộ (asynchronous).  Một loại miền giao thức đặc biệt trong header cho phép nhiều giao thức lớp 3 có thể băng qua trên cùng một liên kết.  Có khả năng xác thực: Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).  Điều khiển giao thức cho mỗi giao thức ở lớp cao hơn đi trên PPP, cho phép sự hội tụ dễ dàng hơn của những giao thức này. 2. Vùng giao thức của PPP: Một trong những tính năng quan trọng trong chuẩn PPP, nhưng không có trpng chuẩn HDLC, là vùng giao thức (protocol field). Vùng giao thức xác nhận thể loại của gói tin bên trong khung. Khi kết nối PPP được tạo ra, vùng này cho Chương 4: Công nghệ WAN và bảo mật Page | 81 phép các gói tin từ nhiều giao thức lớp 3 khác nhau băng qua một liên kết duy nhất. Hình 4-2: Khung PPP và HDLC. PPP định nghĩa một tập các văn bản điều khiển dạng lớp 2 để thực hiện chức năng đều khiển những liên kết không giống nhau. Những chức năng này được phân thành hai loại chính:  Những điều cần thiết bất kể giao thức lớp 3 nào được gởi trên liên kết.  Cụ thể đến mỗi giao thức lớp 3. 3. Giao thức điều khiển liên kết: Giao thức điều khiển liên kết (Link Control Protocol LCP) thực hiện chức năng điều khiển cùng một công việc mà bất kể giao thức lớp 3 nào được sử dụng. Các Link Control Protocol (LCP) của PPP được sử dụng để thương lượng và thiết lập các tùy chọn kiểm soát vào liên kết dữ liệu WAN. PPP cung cấp nhiều dịch vụ. Các dịch vụ này tùy chọn trong LCP và chủ yếu được sử dụng để thương lượng và kiểm tra các khung để thực hiện các điều khiển dạng điểm- điểm mà một quản trị viên chỉ định cho kết nối. LCP cung cấp 4 đặc tính cơ bản sau: 3.1 Phát hiện liên kết lặp: Phát hiện lổi và phát hiện liên kết lặp là hai đặc tính quan trọng của PPP. Phát hiện liên kết lặp cho phép sự hội tụ nhanh hơn khi một liên kết bị rớt bởi vì vòng lặp. Router không thể gởi bất kì bit nào đến nơi khác khi có vòng lặp đang xảy ra. Tuy nhiên, router không thể tự mình thông báo là liên kết đang xảy ra vòng lặp, bởi vì router bẫn còn đang nhận một vài thông tin trên liên kết. PPP giúp router nhận ra một liên kết lặp nhanh chóng để nó có thể đóng cổng giao diện và sử dụng một đường đi khác. Chương 4: Công nghệ WAN và bảo mật Page | 82 LCP thông báo liên kết lạp nhanh chóng bằng một tính năng gọi là “magic numbers”. Khi dùng PPP, router gởi thông báo PPP LCP thay vì thông tin keepalive của Cisco đi qua liên kết; những thông tin này bao gồm một magic number, khác nhau trên mỗi router. Nếu một đường bị lặp, router nhận một thông tin LCP với chính số magic number của nó thay vì lấy một thông tin với một số khác. Khi router nhận chính số magic của nó, router sẽ biết rằng khung này đã được gởi trở lại do có sự cố vòng lặp, vì thế router làm down cổng giao diện với một sự hội tụ nhanh. 3.2 Tăng cường khả năng phát hiện sự cố: Tương tự như nhiều giao thức liên kết dữ liệu khác, PPP dùng một vùng FCS trong PPP trailer để xác định nếu một khung cá thể gặp sự cố. Nếu một khung gặp sự cố, nó được loại bỏ. Tuy nhiên, PPP có thể kiểm tra tần số số khung nhận bị lỗi để có thể làm down cổng giao diện nếu quá trình frame bị lỗi xuất hiện. PPP LCP xem xét tỷ lện sự cố trên một liên kết bằng một tính năng gọi là chức năng phát hiện chất lượng của liên kết (Link Quality Monitoring LQM). LCP ở tại mỗi liên kết gởi một thông tin so sánh số gói tin đúng nhận được và số dữ liệu byte. Router gởi gói tin so sánh số này khung lỗi với số khung và byte nhận được, và tính toán tỷ lệ phần trăm gói tin bị mất. Router có thể làm down liên kết sau khi tỷ lệ lổi vượt quá sự mong đợi. LQM hữu dụng khi có một liên kết dự phòng trong hệ thống mạng. Bằng cách từ bỏ liên kết có nhiều lỗi xảy ra, ta có thể chuyển gói tin bằng cách dùng một đường dự phòng có ít sự cố. 3.3 PPP multilink: Khi tồn tại nhiều liên kết PPP giữa hai router, được coi như là các liên kết song song, router phải xác định cách thức sử dụng các liên kết này. Với đường HDLC, và với đường PPP dùng một phương thức đơn giản, router phải dùng một kỹ thuật cân bằng tải ở lớp 3. Nghĩa là router có nhiều đường đi cho cùng một điểm đến như ví dụ trong hình sau: Chương 4: Công nghệ WAN và bảo mật Page | 83 Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP. Trong ví dụ, ta có 2 gói tin, một lớn và một gói tin nhỏ. Dùng lập luận lớp 3, router có thể chọn để gởi một gói tin trên một liên kết, và gói tin tiếp theo trên đường còn lại. Tuy nhiên, bởi vì gói tin có dung lượng khác nhau, router không thể cân bằng tải luồng dữ liệu bằng nhau trên mỗi liên kết. Trong trường hợp này, khi hầu hết gói tin được gởi tới một vài điểm đích, số lượng gói tin được gởi trên mỗi liên kết không thể cân bằng tải, dẫn đến tràn một liên kết và liên kết còn lại nhàn rỗi. Cơ chế Multilink PPP cân bằng tải luồng dữ liệu bằng nhau trên các liên kết trong khi cho phép lớp 3 trên mỗi router đối xử các liên kết song song như là một liên kết duy nhất. Khi đóng gói một gói tin, PPP cắt nhỏ gói tin thành các khung nhỏ hơn, gởi một mảnh cắt trên mỗi liên kết. 3.4 Xác thực PPP: PPP có thể mang các gói tin từ một số giao thức lớp mạng bằng cách sử dụng giao thức kiểm soát mạng (Network Control Protocol - NCP). Các NCPs bao gồm các chức năng có chứa mã tiêu chuẩn để cho biết loại giao thức lớp mang mà được đóng gói trong khung PPP. Hình 4-4 cho thấy NCP và LCP cung cấp các chức năng này cho PPP. Chương 4: Công nghệ WAN và bảo mật Page | 84 Ba giai đoạn của phiên PPP được mô tả trong danh sách sau đây: 1. Giai đoạn xây dựng liên kết: Trong giai đoạn này, mỗi thiết bị PPP sẽ gửi các gói LCP để cấu hình và kiểm tra các liên kết dữ liệu. LCP gói chứa một trường tùy chọn cấu hình cho phép các thiết bị để đàm phán việc sử dụng các tùy chọn, như tối đa nhận được số đơn vị, việc nén của một số lĩnh vực PPP, và liên kết các giao thức xác thực. Nếu một tùy chọn cấu hình không bao gồm trong một gói LCP, giá trị mặc định cho rằng tùy chọn cấu hình được giả định. 2. Giai đoạn xác thực (tùy chọn) Sau khi liên kết được thành lập và các giao thức xác thực đã được quyết định, các peer đi qua giai đoạn xác thực. Chứng thực, nếu được sử dụng, diễn ra trước khi các lớp giao thức mạng đượcbắt đầu. PPP hỗ trợ hai giao thức xác thực: PAP và CHAP. Cả hai giao thức được thảo luận trong RFC 1334. 3. Giai đoạn thương lượng giao thức lớp mạng: Trong giai đoạn này, các thiết bị PPP gửi gói NCP để lựa chọn và cấu hình một hoặc nhiều giao thức lớp mạng, chẳng hạn như IP. Sau khi mỗi lựa chọn giao thức lớp mạng được cấu hình, datagrams từ mỗi giao thức lớp mạng có thể được gửi qua liên kết. PAP là một giao thức bắt tay hai bước (two-way handshake), cung cấp một phương pháp đơn giản cho một nút điều khiển từ xa để thiết lập nhận dạng. PAP được thực hiện chỉ khi thành lập liên kết ban đầu. Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các nút điều khiển từ xa nhiều lần gửi một cặp tên người dùng và mật khẩu để định tuyến cho đến khi xác thực được công nhận hoặc kết nối được chấm dứt. Hình 4-5 cho thấy một ví dụ của một chứng thực PAP. Chương 4: Công nghệ WAN và bảo mật Page | 85 Hình 4-5: Chứng thực PAP. PAP không phải là một giao thức xác thực mạnh. Mật khẩu được gửi qua các liên kết dưới dạng văn bản gốc, có thể được sử dụng tốt trong môi trường có sử dụng mật khẩu dạng token có khả năng thay đổi mật khẩu mỗi lần xác thực, nhưng không an toàn trong hầu hết môi trường. CHAP, trong đó sử dụng phương thức bắt tay ba bước (three-way handshake), xảy ra ở lần khởi động của một liên kết và định kỳ sau đó để xác minh danh tính của các nút điều khiển từ xa bằng cách sử dụng một phương thức bắt tay ba bước. Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các bộ định tuyến nội bộ gửi một thông điệp thách thức đến với các nút điều khiển từ xa. Các nút điều khiển từ xa phản hồi với một giá trị được tính bằng cách sử dụng một hàm băm một chiều, thông thường văn bản được mã hóa dạng MD5, dựa trên mật khẩu và văn bản. Các bộ định tuyến nội bộ kiểm tra các phản ứng bằng tính toán riêng để trả về giá trị băm mong đợi. Nếu các giá trị phù hợp, xác thực được thừa nhận. Nếu không, kết nối được chấm dứt ngay lập tức. Hình 4-6 cung cấp một ví dụ về xác thực CHAP. Chương 4: Công nghệ WAN và bảo mật Page | 86 Hình 4-6: Chứng thực CHAP. CHAP cung cấp phương pháp chống lại tấn công bằng cách sử dụng một giá trị thách thức (challenge) là duy nhất và không thể đoán trước. Bởi vì thách thức là duy nhất và ngẫu nhiên, giá trị băm cũng sẽ là duy nhất và ngẫu nhiên. Các bộ định tuyến nội bộ hoặc một máy chủ chứng thực của bên thứ ba để kiểm soát tần số và thời gian trong những challenge. III. Cấu hình và kiểm tra PPP: Để bật tính năng đóng gói PPP bằng xác thực PAP hay CHAP trên cổng giao diện, hoàn thành các bước sau:  Bất tính năng đóng gói PPP như giao thức lớp 2 trên giao diện cổng.  (Tùy chọn) Bật tính năng xác thực PPP theo các bước sau: Bước 1: Cấu hình tên host cho router. Bước 2: Cấu hình tên và mật khẩu để xác thực PPP đồng cấp. Bước 3: Chọn phương thức xác thực cho liên kết PPP: PAP hoặc CHAP. Để bật tính năng đóng gói PPP, dùng lệnh encapsulation ppp trên giao diện cổng. Để cấu hình xác thực PPP, giao diện cổng phải cấu hình đóng gói với PPP. Các bước sau dùng bật tính năng xác thực PAP hoặc CHAP. Bước 1: Đặt tên cho host trên mỗi router bằng lệnh hostname name. Tên này phải phù hợp với username mong chờ của router xác thực ở đầu cuối. Bước 2: Trên mỗi router, định nghĩa tên và mật khẩu trùng khớp với thiết bị đầu cuối bằng lệnh username name password password. Chương 4: Công nghệ WAN và bảo mật Page | 87 Bước 3: Cấu hình xác thực PPP với lệnh PPP authentication {pap | chap pap | pap chap | chap} trên giao diện cổng. Nếu cấu hình PPP authentication chap trên giao diện cổng, tất cả các luồng PPP đi vào giao diện cổng sẽ được chứng thực với CHAP. Ngược lại, Nếu cấu hình PPP authentication pap trên giao diện cổng, tất cả các luồng PPP đi vào giao diện cổng sẽ được chứng thực với PAP. Nếu cấu hình PPP authentication chap pap trên giao diện cổng, tất cả các luồng PPP đi vào giao diện cổng sẽ được chứng thực với CHAP. Nếu thiết bị cuối không hỗ trợ CHAP, router sẽ cố gắng dùng PAP. Nếu thiết bị đầu cuối không hỗ trợ cả PAP lẫn CHAP, xác thực sẽ thất bại, và luồng PPP sẽ bị từ chối. Ghi chú: Nếu bật cả hai tính năng, PAP và CHAP, phướng thức xác thực đầu tiên sẽ được sử dụng trong suốt các phiên thương lượng. Nếu thiết bị cuối dùng phương thức xác thực thứ hai hai từ chối phương thức đầu, phương thức xác thứ thứ hai sẽ được dùng. Ví dụ: Cấu hình PPP và CHAP. Trong ví dụ này, bắt tay hai bước sẽ được thực hiện. Tên của router thứ nhất phải trùng với router còn lại. Mật khẩu cũng tương khớp. Ví dụ cấu hình PPP và CHAP. Dùng lệnh show interface để kiểm tra cấu hình. Chương 4: Công nghệ WAN và bảo mật Page | 88 Nhận thấy rằng đóng gói PPP đã cấu hình và LCP đã xây dựng một kết nối (LCP Open). Bởi vì phương thức bắt tay hai bước đã được cấu hình, do đó router này sẽ xác thực đầu kia, dùng lệnh debug ppp authentication để thấy được các tiến trình đang xảy ra. Để xác định nơi mà sẽ thực thi xác thực một bước hay hai bước bắt tay, nhìn vào cảnh báo, và ở đây router đang thực hiện xác thực dưới dạng bắt tay hai bước. Cảnh báo sau chỉ rằng router đang thực hiện xác thực dạng bắt tay một bước. Chương 4: Công nghệ WAN và bảo mật Page | 89 Tiến trình bắt tay hai bước diễn ra: Để xác định nơi router sẽ thực hiện xác thực CHAP hay PAP, xem ở cảnh báo sau: Với xác thực bằng CHAP: Với xác thực bằng PAP: Tổng kết các điểm chính đã thảo luận:  PPP là giao thức lớp 2 phổ biến cho kết nối WAN. Hai thành phần của PPP là: thương lượng kết nối LCP và đóng gói luồng dữ liệu bằng NCP.  Có thể cấu hình PPP bằng PAP hoặc CHAP. PAP gởi mọi thứ dưới dạng văn bản trong khi CHAP dùng thuật toán băm MD5.  Lệnh show interface để kiểm tra đóng gói PPP và lệnh debug ppp negotiation để xác định bắt tay LCP. IV. Xử lý sự cố trong xác thực PPP: 1. Giải quyết các vần đề ở lớp 2: Khi cả hai cổng giao diện đều up nhưng có ít nhất một line protocol của router có dấu hiệu Down hoặc chuyển đổi liên tục giữa up và down (dấu hiệu flapping) chứng tỏ là những sự cố có liên quan đến lớp 2.  Vấn đế đầu tiên là sự không đồng bộ kiểu xác thực, dễ dàng nhận biết và sửa chữa. Dùng show interface để kiểm tra kiểu xác thực của cả hai router. Ghi nhớ rằng, HDLC là dạng đóng gói mặc định của router, và thường là nguyên nhân gây ra sự bất đồng bộ khi cấu hình đóng gói dạng PPP. Cấu hình lại một trong hai router để cả hai có cùng dạng xác thực là PPP. Chương 4: Công nghệ WAN và bảo mật Page | 90  Vấn đề thứ hai là không thiết lập keepalive (keepalive failure). Đặc tính keepalive giúp router nhận ra khi một cổng router down, hoặc chuyển đổi một đường đi mới. Hoạt động keepalive theo mặc định, router sẽ gởi thông tin về keppalive đến đầu kia mỗi 10 giây. Nếu một router không nhận bất kì thông tin keepalive nào từ router còn lại trong khoảng thời gian mặc định, router sẽ làm down cổng giao diện do nghĩ rằng cổng giao diện này không hoạt động. Trong thực tế, luôn bật tính năng keepalive. Tuy nhiên, lỗi gây nên do đã tắt chế độ keepalive trên một đầu của cổng giao diện. Trong ví dụ sau, Router1 sẽ dùng lệnh no keepalive trên cổng giao diện để tắt chế độ keepalive. Router2 vẫn tiếp tục gởi thông tin keepalive và mong chờ nhận một giá trị phản hồi. Sau một khoảng thời gian trôi qua, Router 2 không nhận được bất kì thông tin keepalive từ router1, nó sẽ chuyển tình trạng của cổng sang “up và down”. Sau đó Router2 tiếp tục chuyển trạng thái cổng sang UP và gởi thông tin keepalive, nhưng vẫn không nhận được phản hồi từ Router1, và tiếp tực trở về trạng thái “up và down”. Trang thái up và down diễn ra liên tục (flapping). Trong khi đó, Router1 không quan tâm về giá trị keepalive nên cổng giao diện vẫn ở trang thái “up và up”.  Vấn đề thứ ba chính là xác thực không chính xác khi dùng PAP hay CHAP. Kiểm tra thông tin từ dòng cảnh báo với debug ppp authentication Chương 4: Công nghệ WAN và bảo mật Page | 91 CHAP trao đổi ba thông tin cảnh báo khi tiến hành xác thực. Ba dòng sáng dưới đây chỉ ra tiến trình xác thực của R1 với R2; ban đầu R1 gởi một thông tin thử thách (challenge), Sau đó nó nhận được thông tin phản hồi từ R2, và thông tin cuối cùng là quá trình xác thực hoàn tất. Khi quá trình xác thực CHAP không chính xác, cảnh báo từ debug sẽ gởi hai thông tin Tổng kết về các sự cố trong lớp 2 khi thực thi PPP: Dấu hiệu Line Dấu hiệu protocol Lý do gây sự cố UP Down cả hai đầu giao diện, hoặc Down tại một đầu, chuyển đổi liên tục giữa up và down Không phù hợp giao thức xác thực UP Down một đầu, Up tại đầu còn lại Keepalive đã tắt UP Down cả hai cổng giao diện Thông tin xác thực về tên và mật khẩu chưa phù hợp Chương 4: Công nghệ WAN và bảo mật Page | 92 2. Giải quyết các vấn đề ở lớp 3: Có hai trường hợp xảy ra: Một là: giao diện cổng vẫn ở trạng thái “up và up” nhưng ping không được do lỗi cấu hình ở lớp 3. Hai là: ping vẫn hoạt động, nhưng các giao thức routing không thể trao đổi qua lại giữa các thiết bị. Với HDLC, trong trường hợp cả hai giao diện cổng vẫn ở trạng thái “up và up”. Tuy nhiên, nếu địa chỉ IP được cấu hình trên cổng Serial của hai router khác nhau về subnet, lệnh ping sẽ không hoạt động, bởi vì router không trùng khớp các đường route với nhau. Ví dụ: địa chỉ IP trên cổng Serial của R1 la 192.168.2.1 và của R2 đổi lại thành 192.168.3.2 (thay vì 192.168.2.2), và vẫn dùng subnet /24. Khi đó hai router kết nối với hai subnet khác nhau. Lệnh ping không thể thành công. Giải pháp cho sự cố trên đường HDLC đơn giản. Khi thấy cả hai giao diện cổng đều ở trạng thái “up và up” mà lệnh ping không thành công là do địa chỉ subnet trên hai cổng không phù hợp với nhau. Với đường PPP là một trường hợp khác, cấu hình không tương thích về địa chỉ IP và subnet, cả hai giao diện cổng ở trạng thái “up và up”, nhưng lệnh ping vẫn thực thi thành công. Khi router dùng kiểu đóng gói PPP để quảng bá địa chỉ cổng Serial đến router đằng xa, với một tiếp đầu ngữ /32 (/32 prefix), là một lộ trình để đến chính nó. Vì thế, cả hai router sẽ có ột lộ trình để đưa gói tin đến đầu kia, ngay cả khi hai router cấu hình không tương thích về địa chỉ IP. Ví dụ: nếu địa chỉ IP của R2 là 192.168.4.2/24, trong khi của R1 là 192.168.2.1/24, hai địa chỉ khác nhau về subnet, nhưng lệnh ping vẫn thành công bởi vì quảng bá PPP với một host route /32. Ghi chú: một route với tiếp đầu ngữ /32, đại diện cho một host đơn, được gọi là host route. Chương 4: Công nghệ WAN và bảo mật Page | 93 Mặc dù có thể thực thi ping để kiểm tra kết nối hai đầu, nhưng các giao thức routing vẫn không thể quảng bá các lộ trình bởi vì không liên kết được IP subnet của đầu còn lại. Vì thế, khi giải quyết sự cố ở lớp mạng. Giả sử rằng trạng thái cổng vẫn up/up, lệnh ping vẫn thực thi thành công nhưng các giao thức routing vẫn không thể trao đổi qua lại được do hai router không cùng subnet, Tổng kết về sự cố ở lớp 3: Đỉa chỉ IP ở cổng giao diện khác subnet HDLC PPP Lệnh ping thành công không? Không Có Các giao thức routing có thể trao đổi không? Không Không Chương 4: Công nghệ WAN và bảo mật Page | 94 PART 5: Giới thiệu về công nghệ Frame Relay Ngày nay, công nghệ thông tin có những bước tiến nhảy vọt đặc biệt là chế tạo và sử dụng cáp quang vào mạng truyền dẫn tạo nên chất lượng thông tin rất cao. Sử dụng thủ tục hỏi đáp X25 để truyền đưa số liệu trên mạng cáp quang, câu trả lời hầu như lúc nào cũng nhận tốt nhận đủ. Vấn đề đặt ra ở đây là có cần dùng thủ tục hỏi và đáp mất rất nhiều thời gian của X25 để truyền đưa số liệu trên mạng cáp quang hay không? Và thế là công nghệ Frame Relay ra đời. Frame relay có thể chuyển nhận các khung lớn tới 4096 byte trong khi đó gói tiêu chuẩn của X25 khuyến cáo là 128 byte, không cần thời gian cho việc hỏi đáp, phát hiện lỗi và sữa lỗi ở lớp 3 nên Frame relay có khả năng chuyển tải nhanh hơn hàng chục lần so với X25 ở cùng tốc độ. Frame relay rất thích hợp cho truyền số liệu tốc độ cao và cho kết nối Lan-Lan và cả cho âm thanh, nhưng điều kiện tiên quyết để sử dụng công nghệ Frame relay là chất lượng mạng truyền dẫn phải cao. Frame Relay là một bộ tiêu chuẩn của WAN tạo ra một dịch vụ WAN hiệu quả hơn so với các liên kết điểm-điểm, trong khi vẫn cho phép các cặp của các router để gửi dữ liệu trực tiếp với nhau. Với kênh thuê riêng, mỗi dòng đòi hỏi một giao diện nối tiếp trên mỗi router và một mạch vật lý riêng biệt được xây dựng bởi công ty viễn thông. Frame Relay hỗ trợ khả năng gửi dữ liệu đ

Các file đính kèm theo tài liệu này:

  • pdf56511565_giao_trinh_ccna_9034.pdf