Luận văn Thiết kế hệ thống mạng diện rộng có tính năng sẵn sàng cao tại tổng cục thuế thành phố Hồ Chí Minh

MỤC LỤC



LỜI CẢM ƠN 1

LỜI GIỚI THIỆU 2

CÁC HÌNH ẢNH SỬ DỤNG TRONG ĐỀ TÀI 7

CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT 8

PHẦN I. TỔNG CỤC THUẾ TP.HỒ CHÍ MINH 10

CHƯƠNG I. GIỚI THIỆU 11

I.1. Cơ cấu tổ chức chung của Tổng Cục Thuế. 11

I.2. Tổng Cục Thuế Thành Phố Hồ Chí Minh. 13

I.2.1 Nhiệm vụ. 13

I.2.2 Quyền hạn. 13

I.2.3 Tổ chức bộ máy. 13

I.3. Trung tâm Tin học - Thống kê. 15

I.3.1 Nhiệm vụ, quyền hạn. 15

I.3.2 Cơ cấu tổ chức. 17

I.4. Phòng Tin học và xử lý dữ liệu về thuế. 17

I.4.1 Nhiệm vụ về tin học. 17

I.4.2 Nhiệm vụ xử lý dữ liệu. 18

CHƯƠNG II. Khảo sát hệ thống mạng Tổng Cục Thuế TP.HCM. 20

II.1. Mạng Logic hiện tại. 20

II.2. Mạng vật lý hiện tại. 21

II.3. Mô hình mạng căn bản. 22

PHẦN II. GIỚI THIỆU CÔNG NGHỆ 24

CHƯƠNG III. SƠ LƯỢC VỀ CÔNG NGHỆ 25

III.1. Lịch sử ra đời của HSRP và VRRP. 25

III.2. Định nghĩa. 25

III.2.1 Giao thức HSRP. 25

III.2.2 Giao thức VRRP. 25

III.3. Lý do áp dụng công nghệ. 26

III.4. Lợi ích khi áp dụng công nghệ. 27

III.4.1 Ưu điểm. 27

III.4.2 Nhược điểm. 28

CHƯƠNG IV. GIAO THỨC HSRP. 29

IV.1. Các thuật ngữ liên quan. 29

IV.2. Định dạng gói tin HSRP. 29

IV.2.1 Miêu tả. 29

IV.2.2 Định dạng. 29

IV.3. Hoạt động của HSRP. 33

IV.4. HSRP Timers. 36

IV.5. Trạng thái HSRP ( HSRP State ). 36

IV.6. HSRP Event. 37

IV.7. HSRP Action. 38

IV.8. Bảng trạng thái HSRP. 39

IV.9. Truyền và nhận gói tin HSRP. 40

IV.10. Đặc điểm của HSRP. 42

IV.10.1 Các phiên bản của HSRP. 43

IV.10.2 Địa chỉ hoá HSRP. 43

IV.10.3 HSRP và ARP. 44

IV.10.4 Quyền ưu tiên Preemption. 45

IV.10.5 Chức năng Interface Tracking. 45

IV.10.6 HSRP hỗ trợ ICMP Redirect. 47

IV.10.7 Sử dụng địa chỉ Burned-in MAC (BIA). 48

IV.10.8 Đa nhóm HSRP. 49

IV.10.9 Có thể cấu hình MAC. 50

IV.10.10 Hỗ trợ Syslog. 51

IV.10.11 HSRP Debuging. 51

IV.10.12 HSRP Debugging nâng cao. 52

IV.10.13 Thuật toán chứng thực MD5 HSRP. 52

IV.10.14 HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức. 53

IV.10.15 Tổng hợp. 54

CHƯƠNG V. GIAO THỨC VRRP 55

V.1. Các thuật ngữ liên quan. 55

V.2. Định dạng gói tin VRRP. 56

V.2.1 Miêu tả. 56

V.2.2 Định dạng. 56

V.3. Hoạt động của VRRP. 59

V.4. Máy trạng thái giao thức VRRP. 62

V.4.1 Các tham số. 62

V.4.2 VRRP Timer. 63

V.4.3 Sơ đồ chuyển tiếp trạng thái. 64

V.4.4 Các trạng thái VRRP. 64

V.5. Truyền và nhận gói tin VRRP. 67

V.5.1 Truyền các gói tin VRRP. 67

V.5.2 Nhận các gói tin VRRP. 68

V.6. Đặc điểm của VRRP. 69

V.6.1 Thông điệp quảng bá VRRP. 69

V.6.2 Địa chỉ MAC của Router ảo 69

V.6.3 Proxy ARP. 69

V.6.4 Priority và Preemption của VRRP Router. 70

V.6.5 VRRP Object Tracking. 71

V.6.6 ICMP Redirect. 72

V.6.7 Bảo mật trong VRRP. 73

V.6.8 VRRP hoạt động trên mạng Ethernet. 75

V.6.9 VRRP hoạt động trên FDDI. 76

V.7. So sánh hai giao thức VRRP và HSRP. 78

PHẦN III. DEMO ỨNG DỤNG THỰC TẾ 80

CHƯƠNG VI. MÔ HÌNH DEMO 81

VI.1. Giới thiệu. 81

VI.2. Mô hình Demo. 81

VI.2.1 Mô hình 1. 82

VI.2.2 Mô hình 2. 82

VI.3. Kiểm nghiệm. 84

VI.3.1 Lệnh Ping. 84

VI.3.2 Các lệnh Show. 86

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 93

PHỤ LỤC. 95

TÀI LIỆU THAM KHẢO 99

 

 

doc99 trang | Chia sẻ: maiphuongdc | Lượt xem: 2240 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Luận văn Thiết kế hệ thống mạng diện rộng có tính năng sẵn sàng cao tại tổng cục thuế thành phố Hồ Chí Minh, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
IP ảo của nhóm này chưa được cấu hình thì có thể học được từ thông điệp Hello. F Gởi thông điệp Hello: Router gởi thông điệp Hello với trạng thái hiện hành Helotime và Holdtime. G Gởi thông điệp Coup: Router gởi thông điệp Coup để báo cho Active Router biết là có một Router độ ưu tiên cao hơn đã sẵn sàng. H Gởi thông điệp Resign: Router gởi thông điệp Resign để cho phép Router khác có thể trở thành Active Router. I Gởi một thông điệp ARP không có lý do: Router lan truyền một gói tin đáp ứng ARP để quảng bá địa chỉ ảo và địa chỉ MAC của nhóm. Bảng trạng thái HSRP. Hình IV3: Bảng trạng thái HSRP Mô hình chuyển tiếp trạng thái của máy trạng thái HSRP, mỗi lần một sự kiện xảy ra thì có một kết quả tương ứng xảy ra và Router chuyển sang trạng thái tiếp theo. Con số đại diện cho sự kiện – Events. Chữ cái đại diện cho hành động – Actions. + Nếu địa chỉ IP ảo đã cấu hình. ++ Nếu địa chỉ IP ảo chưa được cấu hình. * Nếu Preempt được Enable. ** Nếu Preempt chưa được Enable. Truyền và nhận gói tin HSRP. Hình IV4: Truyền và nhận gói tin HSRP Device MAC Address IP Address Subnet Mask Default Gateway PC1 0000.0c00.0001 10.1.1.10 255.255.255.0 10.1.1.1 PC2 0000.0c00.1110 10.1.2.10 255.255.255.0 10.1.2.1 Cấu hình Router A – Active Router: interface ethernet 0 ip Address 10.1.1.2 255.255.255.0 mac-Address 4000.0000.0010 standby 1 ip 10.1.1.1 standby 1 Priority 200 interface ethernet 1 ip Address 10.1.2.2 255.255.255.0 mac-Address 4000.0000.0011 standby 1 ip 10.1.2.1 standby 1 Priority 200 Cấu hình Router B – Standby Router: interface ethernet 0 ip Address 10.1.1.3 255.255.225.0 mac-Address 4000.0000.0020 standby 1 ip 10.1.1.1 interface ethernet 1 ip Address 10.1.2.3 255.255.255.0 mac-Address 4000.0000.0021 standby 1 ip 10.1.2.1 Không nên cấu hình MAC tĩnh cho các thiết bị nếu không cần thiết. Router A có Priority Number là 200 và trở thành Active Router trên cả hai Interface. Gói tin mà đi từ Router xuống các máy trạm sẽ có địa chỉ Source MAC là địa chỉ MAC vật lý của Router đó (BIA), các gói tin mà đi từ các máy trạm đến địa chỉ IP HSRP thì có địa chỉ MAC đến là địa chỉ MAC ảo HSRP. Do đó, các địa chỉ MAC là không giống nhau với từng luồng dữ liệu của các Host và Router khác nhau. Ví dụ: Packet Flow Source MAC Destination MAC Source IP Destination IP Gói tin đi từ PC1 đến PC2 PC1 (0000.0c00.0001) Địa chỉ MAC ảo HSRP của Interface E0 Router A (0000.0c07.ac01) 10.1.1.10 10.1.2.10 Gói tin đi từ PC2 sang PC1 thông qua Router A Interface E0 Router A (BIA) (4000.0000.0010) PC1 (0000.0c00.0001) 10.1.2.10 10.1.1.10 Gói tin đi từ PC1 đến địa chỉ IP dự phòng HSRP. PC1 (0000.0c00.0001) Địa chỉ MAC ảo HSRP của Interface E0 Router A (0000.0c07.ac01) 10.1.1.10 10.1.1.1 Gói tin đi từ PC1 đến Active Router PC1 (0000.0c00.0001) Địa chỉ MAC vật lý của Interface E0 Router A (BIA) (4000.0000.0010) 10.1.1.10 10.1.1.2 Gói tin đi từ PC1 đến Standby Router PC1 (0000.0c00.0001) Địa chỉ MAC vật lý của Interface E0 Router A (BIA) (4000.0000.0020) 10.1.1.10 10.1.1.3 Đặc điểm của HSRP. Cisco giới thiệu giao thức HSRP trong IOS 10.0. Cho phép một nhóm các Router làm việc cùng một lúc dưới dạng Router ảo hoặc là địa chỉ Default Gateway của các Host bên trong mạng LAN. Đặc biệt, HSRP hữu dụng trong các môi trường mạng có nhiều ứng dụng quan trọng và yêu cầu tính sẵn sàng cao. Hai hay nhiều Router hoạt động như một Router ảo bằng cách chia sẻ địa chỉ IP ảo và địa chỉ MAC ảo. Router này có thể đảm nhận nhiệm vụ của Router kia trong trường hợp gặp sự cố và Router vừa thay thế sẽ tiếp tục định tuyến các gói tin. Active Router sẽ làm chức năng định tuyến các gói tin và Standby Router sẽ làm nhiệm vụ sẵn sàng thay thế Active Router khi có sự cố xảy ra. Còn các Router khác trong nhóm Standby Router thì làm nhiệm vụ giám sát hoạt động của Active Router và Standby Router để đảm bảo khả năng đáp ứng lỗi nhanh hơn. Các Router trong nhóm HSRP thường xuyên trao đổi định kỳ các gói tin Hello để thông báo trạng thái hiện tại của mình. Các phiên bản của HSRP. Hiện nay HSRP có hai phiên bản được dùng đó là phiên bản 1 và 2. HSRP phiên bản 1 sử dụng địa chỉ Multicast 224.0.0.2 để gửi các gói tin Hello. Và cấu hình HSRP Timer trong Second. HSRP phiên bản 2 lại sử dụng một địa chỉ Multicast mới 224.0.0.102 để gởi các gói tin Hello. Địa chỉ Multicast mới này cho phép giao thức quản lý nhóm của Cisco (Cisco Group Manage Protocol – CGMP) bỏ qua xử lý trung gian để cho phép nhận cùng một lúc nhiều nhóm HSRP khác nhau. HSRP phiên bản 2 cho phép mở rộng số nhóm từ 0 đến 4095 và do đó mà sử dụng một dãy địa chỉ MAC mới từ 0000.0C9F.F000 đến 0000.0C9F.FFFF. HSRP phiên bản 2 cũng cấu hình HSRP Timer nhưng trong Milisecond. Địa chỉ hoá HSRP. Như đã nói ở trên, các Router HSRP giao tiếp với nhau bởi sự trao đổi theo định kỳ các gói tin Hello HSRP. Các gói tin này được gởi đến địa chỉ Multicast 224.0.0.2 trên UDP port 1985. Địa chỉ nguồn gói tin Hello của Active Router là từ địa chỉ IP của nó và địa chỉ MAC ảo HSRP, trong khi đó địa chỉ nguồn gói tin Hello của Standby Router là địa chỉ IP của nó và địa chỉ MAC của Interface (có thể là địa chỉ Burn-in MAC). Vì các Host được cấu hình Default Gateway là địa chỉ IP ảo HSRP nên các Host phải giao tiếp với địa chỉ MAC kết hợp với địa chỉ IP ảo HSRP. Địa chỉ MAC này sẽ là địa chỉ MAC ảo với định dạng 0000.0C07.ACXY. Trong đó, XY là HSRP số nhóm (Group Number) của Interface tương ứng. Ví dụ: HSRP Group 1 sẽ sử dụng địa chỉ MAC ảo là 0000.0c07.AC01. Các Host thuộc đoạn LAN kế tiếp sẽ sử dụng giao thức phân giải địa chỉ ARP HSRP để phân giải các địa chỉ MAC tương ứng. Các mạng Token Ring sử dụng các địa chỉ chức năng làm địa chỉ MAC HSRP. Các địa chỉ chức năng chỉ là kỹ thuật Multicast có sẵn. Số địa chỉ chức năng dùng trong mạng Token Ring là giới hạn, một số được dùng cho những chức năng khác, chỉ có 3 địa chỉ để sử dụng cho HSRP. C000.0001.0000 (group 0) C000.0002.0000 (group 1) C000.0004.0000 (group 2) Như vậy là chỉ có 3 nhóm được cấu hình trên mạng Token Ring, trừ khi dòng lệnh Standby use-bia được cấu hình. HSRP và ARP. HSRP cũng làm việc khi các Host được cấu hình Proxy ARP. Khi Active Router nhận một ARP Request từ một Host không phải trong mạng LAN thì Active Router trả lời lại dùng địa chỉ MAC của Router ảo. Nếu Active Router bị Down hoặc đường truyền đến LAN từ xa bị mất kết nối thì Standby Router mà có khả năng trở thành Active Router sẽ có nhiệm vụ nhận các gói tin và chuyển đến Router ảo. Nếu trạng thái Hot Standby của Interface chưa được Enable thì đáp ứng Proxy ARP bị chặn. Quyền ưu tiên Preemption. Chức năng Preempt cho phép một Router với quyền ưu tiên cao nhất ngay lập tức trở thành Active Router. Tuy nhiên, chức năng này không được áp dụng cho trường hợp khi hai Router có cùng thứ tự ưu tiên và có địa chỉ IP lớn hơn. Mặc định của kỹ thuật HSRP thì Standby Router chờ cho đến khi không nhận được ba gói tin Hello liên tục từ Active Router thì nó mới Active lên đảm nhận vai trò của Active Router mà không quan tâm đến quyền ưu tiên nữa. Sau khi Active Router bị Down và lấy lại được trạng thái Up nhưng lệnh standby [Group-number] preempt chưa được cấu hình thì Router đó vẫn không thể trở lại trạng thái Active, thậm chí là khi nó có Priority Number cao hơn tất cả các Router khác. Preempt delay: Được thêm vào trong IOS phiên bản 11.3, cho phép người quản trị mạng chỉ ra khoảng thời gian chậm trễ trước khi Router chuyển sang trạng thái Active. Khoảng thời gian này cho phép HSRP ngang hàng đủ thời gian tạo được quyền ưu tiên cao hơn để định vị trong bảng định tuyến của nó trước khi đảm nhận vai trò Active. Để cấu hình chức năng Preempt delay, dùng lệnh: preempt delay [interval]. Chức năng Interface Tracking. Chức năng Tracking được thêm vào trong IOS 10.3, cho phép người quản trị có thể chỉ định Interface khác trên Router (Interface không gắn lệnh) giám sát thay đổi Priority cho một nhóm cấu hình định sẵn. Cụ thể, nếu Interface chỉ định bị Down hoặc Line-protocol bị Down thì Priority của Router đó giảm xuống. Điều này tạo điều kiện cho Router khác với Priority Number cao hơn có thể trở thành Active Router thay cho nó. Ví dụ như Interface Serial của Active Router bị Down vì một lý do nào đó, HSRP có thể tự động thay đổi Priority của Active Router và cho phép Router trong nhóm Standby Router có Priority Number cao nhất đảm nhận chức năng của Active Router. Chức năng Tracking được sử dụng để đảm bảo rằng Active Router có khả năng kết nối đến phần còn lại của mạng mà không quan tâm đến vấn đề về đường truyền. Chức năng này cũng cho phép Active Router có thể trở lại trạng thái Active khi mà Interface nối đến nó trở lại trạng thái hoạt động bình thường. Điều này sẽ xảy ra một cách tự động bởi vì Priority Number của Router đó sẽ tăng lên khi giao thức đường truyền của Interface đó Up lên. Để cấu hình chức năng Tracking, sử dụng dòng lệnh: Standby track [interface] [amount to decrement Priority]. Hình IV5: Cấu hình Tracking HSRP hỗ trợ ICMP Redirect. Mặc định thì HSRP Filtering của thông điệp ICMP Redirect được Enable trên các Router chạy HSRP. ICMP là một giao thức Internet tầng mạng để cung cấp những gói tin thông điệp tường thuật lỗi xảy ra trên đường truyền. ICMP có thể gởi các gói tin lỗi đến Host và có thể gởi các gói tin lỗi này một lần nữa đến Host. Nếu các Host gởi gói tin đến địa chỉ thực của Router nhưng Router sau đó lại bị lỗi thì các gói tin đó sẽ bị mất, do đó khi HSRP được Enable thì nó ngăn chặn các Host biết được địa chỉ IP thực Interface của Router trong nhóm HSRP. Các thông điệp ICMP Redirect được Enable tự động trên Interface đã cấu hình HSRP. Hình IV6: ICMP Redirect Giả sử nếu Host của mạng A muốn gởi một gói tin đến một Host khác thuộc mạng D thì đầu tiên nó gởi gói tin đó ra Default Gateway. Default Gateway này là địa chỉ IP ảo của nhóm 1. Khi đó: Dest MAC = HSRP group 1 Virtual MAC. Source MAC = Host MAC. Dest IP = IP của Host trên mạng D. Source IP = Host IP. Router R1 nhận gói tin này nhưng nó xác định rằng Router R4 sẽ cung cấp một đường dẫn tốt hơn đến mạng D. Vì vậy mà nó chuẩn bị để gởi một Redirect Message trở lại Host trên mạng A địa chỉ IP thực của Router R4 (vì chỉ có địa chỉ IP thực mới nằm trong bảng định tuyến của nó). Thông tin của ICMP Redirect Messsage như sau: Dest MAC = Host MAC. Source MAC = MAC Router R1. Dest IP = Host IP. Source IP = IP Router R1. Gateway to use = IP Router R4. Nhưng trước khi gởi thông điệp này đi thì Router R1 xác định rằng R4 là Active Router của nhóm 3 vì vậy mà nó thay đổi địa chỉ Default Gateway của thông điệp này từ địa chỉ IP thực của Router R4 thành địa chỉ IP ảo của nhóm 3. Và cũng thay đổi địa chỉ Source IP của Redirect Message thành địa chỉ IP ảo của nhóm 1. Dest MAC = Host MAC Source MAC = Router R1 MAC Dest IP = Host IP Source IP* = HSRP group 1 virtual IP Gateway = HSRP group 3 virtual IP Sử dụng địa chỉ Burned-in MAC (BIA). Địa chỉ Burned-in MAC (BIA) được bắt đầu sử dụng trong IOS phiên bản 11.1.8 của Cisco. Các Router HSRP sử dụng địa chỉ Burned-in MAC (BIA) kết hợp với địa chỉ MAC ảo HSRP thay vì chỉ sử dụng địa chỉ MAC ảo HSRP. Có một số Card Ethernet của Cisco chỉ có thể sử dụng được địa chỉ Unicast MAC nên không thực hiện được trên DECnet kết hợp cùng với HSRP. Nhưng với hỗ trợ mới của IOS phiên bản 11.1.8, cho phép sử dụng DECnet, XNS và HSRP trên cùng Router. Tuy nhiên, khi sử dụng chức năng này của HSRP thì chỉ sử dụng được duy nhất một nhóm Standby trên Interface đó mà thôi. Khi lệnh standby use-bia được Enable thì địa chỉ MAC của Interface đó sẽ không đổi thành địa chỉ MAC ảo nữa (khi Router trở thành Active Router). Do đó, khi Standby Router đảm nhận vai trò mới thì địa chỉ MAC kết hợp với địa chỉ IP sẽ thay đổi thành địa chỉ MAC của Active Router mới. Để không gây gián đoạn khi Router khác trở thành Active Router thì Router mới sẽ gởi ra ngoài một bảng ARP để các Host trong mạng cập nhật thông tin ARP đó. Nhưng có một hạn chế đó là không phải tất cả các Host đều nắm bắt được thông tin đã thay đổi này. Đa nhóm HSRP. Chức năng này được thêm vào trong IOS 10.3 cho phép nhiều nhóm HSRP (Multiple HSRP Groups - MHSRP) được cấu hình trên một Interface. Chức năng này nói một cách rộng hơn là cho phép dư thừa và chia sẻ tải bên trong mạng. Với chức năng Multiple Group thì mọi Router dự phòng đều có chức năng riêng, sử dụng tối đa chức năng, không dư thừa. Một Router đang ở trạng thái Active làm nhiệm vụ định tuyến cho một nhóm HSRP thì đồng thời cũng đang ở trạng thái Standby hoặc Listen cho nhóm HSRP khác. Và một chức năng nữa cũng giới thiệu trong IOS phiên bản 10.3 là sử dụng địa chỉ Secondary, nó hữu dụng cho những mạng thực. Hình IV7: Đa nhóm HSRP và Secondary Address Ở đây thì một Router vừa làm chức năng định tuyến (Active Router) cho nhóm 1 và vừa dự phòng (Standby Router) cho nhóm 2, thậm chí là địa chỉ IP ảo của nhóm khác có thể khác Subnet. Việc này giúp sử dụng tối đa công dụng của Router, không dư thừa Router và giúp chia sẻ tải trên mạng. Có thể cấu hình MAC. Thông thường, sử dụng HSRP để giúp các Host trong LAN định vị được cổng ra mặc định cho các gói tin IP, như là việc cấu hình một địa chỉ Default Gateway cho các Host. Tuy nhiên, HSRP có thể cung cấp địa chỉ Default Gateway dự phòng mà các giao thức khác không có. Một vài giao thức khác như Advanced Peer−to−Peer Networking (APPN) thì sử dụng địa chỉ MAC để xác định bước truyền đầu tiên cho các gói tin cần định tuyến. Với HSRP thì địa chỉ MAC ảo được dùng để chia sẻ trong các nhóm HSRP và khi đó sẽ sử dụng lệnh standby mac−Address. Tuy nhiên, lúc này thì địa chỉ IP ảo sẽ không quan trọng đối với giao thức HSRP này nữa. Cú pháp của lệnh này là standby [group] mac−Address mac−Address. Hỗ trợ Syslog. Chức năng Syslog được thêm vào trong IOS 11.3. Chức năng này giúp đăng ký và theo dõi hiệu quả hơn các trạng thái thay đổi của Active và Standby Router. Các Router thay đổi trạng thái tùy theo tình trạng và cấu hình hiện tại cũng như là những biến đổi xảy ra trong quá trình vận hành mạng. Ví dụ: %STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Speak -> Standby %STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Standby -> Active HSRP Debuging. Trước phiên bản Cisco IOS 12.1, lệnh Debug HSRP tương đối đơn giản. Để Enable chức năng Debug HSRP, ta sử dụng lệnh debug standby khi đó sẽ cho phép xuất ra trạng thái HSRP và thông tin về gói tin cho tất cả các nhóm Standby trên tất cả các Interface. Một điều kiện Debug đã được thêm vào trong IOS phiên bản 12.0(2.1) đó là cho phép xuất ra từ lệnh standby debug để được lọc dựa trên số Interface và số nhóm. Lệnh debug condition đã được giới thiệu trong IOS phiên bản 12.0, cụ thể là debug condition standby interface group. Interface được chỉ định hợp lệ là đã Enable chức năng HSRP và Group có thể là các nhóm bất kỳ từ 0-255. Ta có thể thiết lập debug condition cho những nhóm mà hiện thời không tồn tại, điều này cho phép giữ lại những thông tin trong suốt quá trình khởi tạo của nhóm mới. Ta phải Enable chức năng standby debug có trình tự đối với bất kỳ Debug nào được tạo. Nếu không cấu hình bất kỳ một standby debug nào thì khi xuất ra Debug sẽ được tạo với tất cả các nhóm trên tất cả các Interface. Và nếu ta cấu hình ít nhất một điều kiện standby debug thì khi xuất ra Debug sẽ được lọc theo tất cả các điều kiện standby debug. HSRP Debugging nâng cao. Trước IOS phiên bản 12.1(0.2), HSRP Debug bị giới hạn sử dụng bởi vì thông tin bị mất do tạp nhiễu (noise) của các thông điệp Hello định kỳ. Vì thế đặc tính Debug được nâng cao và được đưa vào Cisco IOS phiên bản 12.1(0.2). Ta có thể lọc lỗi xuất bằng cách sử dụng Interface và nhóm HSRP theo điều kiện Debug. Để Enable điều kiện Debug của Interface ta sử dụng lệnh debug condition interface interface. Và để Enable điều kiện Debug nhóm HSRP ta sử dụng lệnh debug condition standby interface group. Điều kiện Debug Interface được sử dụng chỉ khi ta không thiết lập những điều kiện standby debug. Điều kiện Debug nhóm HSRP được nâng cao hơn trong Cisco IOS phiên bản 12.1(1.3). Thuật toán chứng thực MD5 HSRP. Các gói tin HSRP có chức năng chứng thực để giao tiếp với các Router khác trong nhóm HSRP. Chứng thực trong gói tin HSRP được thực hiện bằng cách thêm một từ khóa String làm mật khẩu (Password). Mục đích của từ khóa này cũng như của thuật toán chứng thực MD5 HSRP là không chấp nhận những Router mà không tham gia trong nhóm HSRP hiện tại và ngăn chặn những Router có quyền ưu tiên thấp hơn học giá trị Standby IP Address và Standby Timer từ Router có quyền cao hơn. Vì vậy, mục đích chính của thuật toán này là giúp tăng bảo mật hơn và chống lại những phần mềm giả mạo HSRP. Nhưng cũng giống như các thuật toán bảo mật khác, cần sử dụng chức năng chứng thực này một cách thận trọng. Có hai thuật toán chứng thực chính trong HSRP đó là Plain Text Authentication và MD5 Authentication nhưng không thể dùng cùng một lúc hai thuật toán chứng thực. Để cấu hình chức năng Authentication thì sử dụng lệnh: standby Authentication string và standby [group-number] Authentication md5 key-string [0 | 7] key [timeout seconds]. HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức. HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức (MPLS), mạng riêng ảo (VPN). Nó có lợi khi mạng Ethernet LAN nối giữa hai Router của hai phía nhà cung cấp và khách hàng, tuy nhiên có các điều kiện sau: Phía Router khách hàng cấu hình Default Route là địa chỉ IP ảo HSRP. Các Host cấu hình Default Gateway là địa chỉ IP ảo HSRP. VPN A MPLS VPN Network VPN A VPN A VPN B VPN B VPN B CE Redundancy HSRP/VRRP Running between PEs Mỗi VPN được kết hợp với một hoặc nhiều trường hợp định tuyến/chuyển tiếp VPN (VRF). Mỗi VRF bao gồm các yếu tố sau: Bảng định tuyến IP. Bảng chuyển tiếp tốc hành Cisco (CEF). Tập hợp của các Interface mà sử dụng bảng chuyển tiếp CEF. Tập hợp những quy tắc và tham số giao thức định tuyến để điều khiển thông tin trong bảng định tuyến. Tổng hợp. Flatform chỉ định chức năng hỗ trợ và các phiên bản IOS hỗ trợ của Cisco. Platform 10.0 10.2 10.3 11.0 11.1 11.2 11.3 HSRP X X X X X X X Standby Preempt X X X X X X X Ethernet 802.10SDE -- -- -- -- X X X Tracking -- -- -- -- X X X Use BIA -- -- -- -- X 1 X X Preempt Delay -- -- -- -- -- X X Ethernet LANE -- -- -- -- -- X X Inter Switch Link -- -- -- -- -- -- X Token Ring LANE -- -- -- -- -- -- X Syslog Support -- -- -- -- -- -- X X: Chỉ định phiên bản có hỗ trợ chức năng. X1: Trong phiên bản 11.1.8. GIAO THỨC VRRP Các thuật ngữ liên quan. VRRP Router : Là Router mà sử dụng giao thức VRRP tham gia trong một hoặc nhiều nhóm Router ảo. Virtual Router: Là một Router trừu tượng hoạt động như một Router mặc định cho các Host trong LAN chia sẻ. Nó bao gồm một định danh Router ảo (VRID) và một bộ các địa chỉ IP kết hợp. Router VRRP có thể dự phòng cho một hoặc nhiều Router ảo. IP Address Owner: Router VRRP mà có các địa chỉ IP của Router ảo như là các địa chỉ trên Interface thực. Đó là Router mà khi Up lên nó đáp ứng các gói tin đã địa chỉ hoá đến một hoặc nhiều địa chỉ IP. Và địa chỉ IP Interface thực đó là IP Address Owner. Primary IP Address: Là một địa chỉ IP được chọn từ các địa chỉ Interface thực (luôn luôn chọn địa chỉ đầu tiên). Các thông điệp quảng bá VRRP khi gởi luôn sử dụng Primary IP Address làm địa chỉ nguồn của gói tin IP. Virtual Router Master: Là Router VRRP mà có nhiệm vụ chuyển các gói tin tới địa chỉ IP kết hợp với Router ảo và đáp ứng các Request ARP cho các địa chỉ này. Chú ý rằng nếu Router có IP Address Owner thì ngay lập tức nó sẽ trở thành Master. Virtual Router Backup: Là một nhóm các Router VRRP mà có nhiệm vụ đảm nhận vai trò Master nếu Master Router hiện hành bị lỗi. Virtual Router MAC Address: Là địa chỉ MAC của Router ảo 00-00-5E-00-01-XX với XX là ID của Router ảo (VRID). Mỗi Router ảo là khác nhau trên mạng nhưng địa chỉ MAC ảo được sử dụng chỉ bởi một Router tại một thời điểm, và đó cũng là cách để các Router vật lý khác xác định Master Router trong nhóm các Router ảo. Định dạng gói tin VRRP. Miêu tả. Bộ giao thức: TCP/IP. Loại giao thức: Transport layer election protocol. Multicast Addresses: 224.0.0.18. IP Protocol: 112. Định dạng. MAC header IP header VRRP message 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Version Type Virtual Rtr ID Priority Count IP Addrs Auth Type Adver Int Checksum IP Address (1) … … … IP Address (n) Authentication Data (1) Authentication Data (2) Version: 4 bits. Trường Version xác định phiên bản đang sử dụng của giao thức VRRP. Type: 4 bits. Trường Type xác định loại của gói tin VRRP. Chỉ có một loại gói được xác định trong phiên bản này là Value 1: ADVERTISEMENT. Một gói mà không xác định được loại phải bị bỏ đi. Virtual Rtr ID (VRID): 8 bits. Trường định danh Router ảo (Virtual Router Identifier - VRID). Có thể cấu hình các số trong dãy 1à255. Không có giá trị mặc định. Priority : 8 bits. Trường Priority xác định Priority Number của Router gởi cho Router ảo. Giá trị Priority của VRRP Router đang hoạt động mà có địa chỉ IP của chính nó kết hợp với Router ảo phải là một số thập phân 255. Các Router dự phòng trong các Router ảo phải có giá trị Priority 1à254. Giá trị Priority mặc định cho các Router dự phòng với Router ảo là 100. Giá trị Priority bằng 0 có nghĩa là Master Router hiện hành đã ngừng tham gia trong nhóm VRRP. Việc này tạo điều kiện để cho các Router dự phòng nhanh chóng chuyển thành Master Router không cần chờ cho đến khi Master Router hiện hành bị Timeout. Count IP Addrs: 8 bits. Số địa chỉ IP chứa trong gói tin quảng bá VRRP. Authentication Type: 8 bits. Trường Authentication Type xác định phương thức chứng thực được sử dụng. Authentication Type là duy nhất trên Router ảo. Trường Authentication Type là một số nguyên không dấu 8 bits. Một gói tin không xác định được loại Authentication hoặc không đúng với phương pháp chứng thực đã cấu hình cục bộ thì phải bị bỏ đi. Các phương pháp chứng thực được xác định: Authentication Type Miêu tả 0 No Authentication 1 Simple Text Password 2 IP Authentication Header Authentication Type 0 - No Authentication. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP đã không được chứng thực. Nội dung của trường Authentication Data sẽ được thiết đặt là 0 khi truyền và bỏ qua khi nhận. Authentication Type 1 – Simple Text Password. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một chuỗi Text đơn giản làm Password để chứng thực. Authentication Type 2 – IP Authentication Header. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP (English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công. Advertisement Interval (Adver Int): 8 bits. Khoảng thời gian giữa việc gởi các gói tin quảng bá, được tính bằng giây. Mặc định là 1 giây. Chúng được sử dụng để xác định Master Router có bị lỗi hay không. Checksum: 16 bits. Trường Checksum được sử dụng để dò tìm dữ liệu bị lỗi trong thông điệp VRRP. Khởi tạo trường Checksum được thiết lập bằng zero. IP Address: 32 bits. Địa chỉ IP cho Router ảo, là một hoặc nhiều địa chỉ IP kết hợp với Router ảo. Số địa chỉ IP ảo được đặt trong một trường đặc biệt là “Count IP Addrs”. Authentication Data: 32 bit. Chuỗi dữ liệu chứng thực. Tùy theo loại chứng thực sử dụng mà trường này có giá trị khác nhau. Nếu giá trị trong trường Auth Type bằng 0 thì trường Authentication Data được thiết lập bằng 0 khi truyền và bỏ qua khi nhận. Hoạt động của VRRP. Có nhiều cách để một Client trong mạng LAN có thể xác định Router nào là bước truyền đầu tiên của nó khi dữ liệu nó gởi đi không nằm trong cùng mạng với nó. Client này có thể được cấu hình định tuyến tĩnh hoặc động. Ví dụ như các giao thức: Proxy ARP: Client sử dụng giao thức phân giải địa chỉ để định ra địa chỉ đích mà nó muốn đến, và một Router sẽ đáp ứng ARP Request với địa chỉ MAC của nó. Routing Protocol: Client sử dụng giao thức định tuyến động (ví dụ như giao thức RIP (Routing Information Protocol )) và cập nhật vào bảng định tuyến của chính nó. IRDP (ICMP Router Discovery Protocol) Client: Client dùng bộ định tuyến thông điệp quản lý Internet để tìm ra Router định tuyến đường biên cho nó. Xác định địa chỉ của Interface của Router đó làm Default Gateway cho các Host. Mặt hạn chế của giao thức tìm động là chúng phải tuân theo một cấu hình chặt chẽ và xử lí chống tràn trong mạng LAN. Khi Router bị lỗi thì quá trình chọn lựa lại một Router khác có thể làm chậm tiến trình xử lý. Một sự thay thế giao thức tìm kiếm động là cấu hình định tuyến tĩnh cho các Router trên mạng.

Các file đính kèm theo tài liệu này:

  • docNOI DUNG CHINH.doc
  • pptBAO CAO POWERPOINT.ppt
  • docBIA.doc
  • rarSOURCE CODE.rar
Tài liệu liên quan