Đề tài Thiết kế hệ thống mạng WAN có tính năng sẵn sàng cao tại Tổng Cục Thuế TP. Hồ Chí Minh

Luận văn đã thực hiện được: • Đã tìm hiểu các khả năng và chức năng hỗ trợ của hai giao thức HSRP và VRRP. • Sử dụng các lệnh của IOS Router để làm sáng tỏ chức năng HSRP như phần lý thuyết, giúp giải quyết khó khăn hiện tại của Tổng Cục Thuế TP.HCM. • Mạng Tổng Cục Thuế TP.HCM đã mang tính năng sẵn sàng đáp ứng cao, đảm bảo dữ liệu toàn ngành Thuế được thống nhất liên tục. Các hạn chế: • Chưa Demo thực tế cả hai giao thức HSRP và VRRP. • Chưa đi sâu vào chức năng bảo mật của HSRP. • Do hạn chế về Router nên chưa cấu hình nhiều nhóm Hot Standby kết hợp với nhiều Router đồng hành cùng lúc.

doc99 trang | Chia sẻ: baoanh98 | Lượt xem: 805 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Đề tài Thiết kế hệ thống mạng WAN có tính năng sẵn sàng cao tại Tổng Cục Thuế TP. Hồ Chí Minh, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
sử dụng chức năng này của HSRP thì chỉ sử dụng được duy nhất một nhóm Standby trên Interface đó mà thôi. Khi lệnh standby use-bia được Enable thì địa chỉ MAC của Interface đó sẽ không đổi thành địa chỉ MAC ảo nữa (khi Router trở thành Active Router). Do đó, khi Standby Router đảm nhận vai trò mới thì địa chỉ MAC kết hợp với địa chỉ IP sẽ thay đổi thành địa chỉ MAC của Active Router mới. Để không gây gián đoạn khi Router khác trở thành Active Router thì Router mới sẽ gởi ra ngoài một bảng ARP để các Host trong mạng cập nhật thông tin ARP đó. Nhưng có một hạn chế đó là không phải tất cả các Host đều nắm bắt được thông tin đã thay đổi này. Đa nhóm HSRP. Chức năng này được thêm vào trong IOS 10.3 cho phép nhiều nhóm HSRP (Multiple HSRP Groups - MHSRP) được cấu hình trên một Interface. Chức năng này nói một cách rộng hơn là cho phép dư thừa và chia sẻ tải bên trong mạng. Với chức năng Multiple Group thì mọi Router dự phòng đều có chức năng riêng, sử dụng tối đa chức năng, không dư thừa. Một Router đang ở trạng thái Active làm nhiệm vụ định tuyến cho một nhóm HSRP thì đồng thời cũng đang ở trạng thái Standby hoặc Listen cho nhóm HSRP khác. Và một chức năng nữa cũng giới thiệu trong IOS phiên bản 10.3 là sử dụng địa chỉ Secondary, nó hữu dụng cho những mạng thực. Hình IV7: Đa nhóm HSRP và Secondary Address Ở đây thì một Router vừa làm chức năng định tuyến (Active Router) cho nhóm 1 và vừa dự phòng (Standby Router) cho nhóm 2, thậm chí là địa chỉ IP ảo của nhóm khác có thể khác Subnet. Việc này giúp sử dụng tối đa công dụng của Router, không dư thừa Router và giúp chia sẻ tải trên mạng. Có thể cấu hình MAC. Thông thường, sử dụng HSRP để giúp các Host trong LAN định vị được cổng ra mặc định cho các gói tin IP, như là việc cấu hình một địa chỉ Default Gateway cho các Host. Tuy nhiên, HSRP có thể cung cấp địa chỉ Default Gateway dự phòng mà các giao thức khác không có. Một vài giao thức khác như Advanced Peer−to−Peer Networking (APPN) thì sử dụng địa chỉ MAC để xác định bước truyền đầu tiên cho các gói tin cần định tuyến. Với HSRP thì địa chỉ MAC ảo được dùng để chia sẻ trong các nhóm HSRP và khi đó sẽ sử dụng lệnh standby mac−Address. Tuy nhiên, lúc này thì địa chỉ IP ảo sẽ không quan trọng đối với giao thức HSRP này nữa. Cú pháp của lệnh này là standby [group] mac−Address mac−Address. Hỗ trợ Syslog. Chức năng Syslog được thêm vào trong IOS 11.3. Chức năng này giúp đăng ký và theo dõi hiệu quả hơn các trạng thái thay đổi của Active và Standby Router. Các Router thay đổi trạng thái tùy theo tình trạng và cấu hình hiện tại cũng như là những biến đổi xảy ra trong quá trình vận hành mạng. Ví dụ: %STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Speak -> Standby %STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Standby -> Active HSRP Debuging. Trước phiên bản Cisco IOS 12.1, lệnh Debug HSRP tương đối đơn giản. Để Enable chức năng Debug HSRP, ta sử dụng lệnh debug standby khi đó sẽ cho phép xuất ra trạng thái HSRP và thông tin về gói tin cho tất cả các nhóm Standby trên tất cả các Interface. Một điều kiện Debug đã được thêm vào trong IOS phiên bản 12.0(2.1) đó là cho phép xuất ra từ lệnh standby debug để được lọc dựa trên số Interface và số nhóm. Lệnh debug condition đã được giới thiệu trong IOS phiên bản 12.0, cụ thể là debug condition standby interface group. Interface được chỉ định hợp lệ là đã Enable chức năng HSRP và Group có thể là các nhóm bất kỳ từ 0-255. Ta có thể thiết lập debug condition cho những nhóm mà hiện thời không tồn tại, điều này cho phép giữ lại những thông tin trong suốt quá trình khởi tạo của nhóm mới. Ta phải Enable chức năng standby debug có trình tự đối với bất kỳ Debug nào được tạo. Nếu không cấu hình bất kỳ một standby debug nào thì khi xuất ra Debug sẽ được tạo với tất cả các nhóm trên tất cả các Interface. Và nếu ta cấu hình ít nhất một điều kiện standby debug thì khi xuất ra Debug sẽ được lọc theo tất cả các điều kiện standby debug. HSRP Debugging nâng cao. Trước IOS phiên bản 12.1(0.2), HSRP Debug bị giới hạn sử dụng bởi vì thông tin bị mất do tạp nhiễu (noise) của các thông điệp Hello định kỳ. Vì thế đặc tính Debug được nâng cao và được đưa vào Cisco IOS phiên bản 12.1(0.2). Ta có thể lọc lỗi xuất bằng cách sử dụng Interface và nhóm HSRP theo điều kiện Debug. Để Enable điều kiện Debug của Interface ta sử dụng lệnh debug condition interface interface. Và để Enable điều kiện Debug nhóm HSRP ta sử dụng lệnh debug condition standby interface group. Điều kiện Debug Interface được sử dụng chỉ khi ta không thiết lập những điều kiện standby debug. Điều kiện Debug nhóm HSRP được nâng cao hơn trong Cisco IOS phiên bản 12.1(1.3). Thuật toán chứng thực MD5 HSRP. Các gói tin HSRP có chức năng chứng thực để giao tiếp với các Router khác trong nhóm HSRP. Chứng thực trong gói tin HSRP được thực hiện bằng cách thêm một từ khóa String làm mật khẩu (Password). Mục đích của từ khóa này cũng như của thuật toán chứng thực MD5 HSRP là không chấp nhận những Router mà không tham gia trong nhóm HSRP hiện tại và ngăn chặn những Router có quyền ưu tiên thấp hơn học giá trị Standby IP Address và Standby Timer từ Router có quyền cao hơn. Vì vậy, mục đích chính của thuật toán này là giúp tăng bảo mật hơn và chống lại những phần mềm giả mạo HSRP. Nhưng cũng giống như các thuật toán bảo mật khác, cần sử dụng chức năng chứng thực này một cách thận trọng. Có hai thuật toán chứng thực chính trong HSRP đó là Plain Text Authentication và MD5 Authentication nhưng không thể dùng cùng một lúc hai thuật toán chứng thực. Để cấu hình chức năng Authentication thì sử dụng lệnh: standby Authentication string và standby [group-number] Authentication md5 key-string [0 | 7] key [timeout seconds]. HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức. HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức (MPLS), mạng riêng ảo (VPN). Nó có lợi khi mạng Ethernet LAN nối giữa hai Router của hai phía nhà cung cấp và khách hàng, tuy nhiên có các điều kiện sau: Phía Router khách hàng cấu hình Default Route là địa chỉ IP ảo HSRP. Các Host cấu hình Default Gateway là địa chỉ IP ảo HSRP. VPN A MPLS VPN Network VPN A VPN A VPN B VPN B VPN B CE Redundancy HSRP/VRRP Running between PEs Mỗi VPN được kết hợp với một hoặc nhiều trường hợp định tuyến/chuyển tiếp VPN (VRF). Mỗi VRF bao gồm các yếu tố sau: Bảng định tuyến IP. Bảng chuyển tiếp tốc hành Cisco (CEF). Tập hợp của các Interface mà sử dụng bảng chuyển tiếp CEF. Tập hợp những quy tắc và tham số giao thức định tuyến để điều khiển thông tin trong bảng định tuyến. Tổng hợp. Flatform chỉ định chức năng hỗ trợ và các phiên bản IOS hỗ trợ của Cisco. Platform 10.0 10.2 10.3 11.0 11.1 11.2 11.3 HSRP X X X X X X X Standby Preempt X X X X X X X Ethernet 802.10SDE -- -- -- -- X X X Tracking -- -- -- -- X X X Use BIA -- -- -- -- X 1 X X Preempt Delay -- -- -- -- -- X X Ethernet LANE -- -- -- -- -- X X Inter Switch Link -- -- -- -- -- -- X Token Ring LANE -- -- -- -- -- -- X Syslog Support -- -- -- -- -- -- X X: Chỉ định phiên bản có hỗ trợ chức năng. X1: Trong phiên bản 11.1.8. GIAO THỨC VRRP Các thuật ngữ liên quan. VRRP Router : Là Router mà sử dụng giao thức VRRP tham gia trong một hoặc nhiều nhóm Router ảo. Virtual Router: Là một Router trừu tượng hoạt động như một Router mặc định cho các Host trong LAN chia sẻ. Nó bao gồm một định danh Router ảo (VRID) và một bộ các địa chỉ IP kết hợp. Router VRRP có thể dự phòng cho một hoặc nhiều Router ảo. IP Address Owner: Router VRRP mà có các địa chỉ IP của Router ảo như là các địa chỉ trên Interface thực. Đó là Router mà khi Up lên nó đáp ứng các gói tin đã địa chỉ hoá đến một hoặc nhiều địa chỉ IP. Và địa chỉ IP Interface thực đó là IP Address Owner. Primary IP Address: Là một địa chỉ IP được chọn từ các địa chỉ Interface thực (luôn luôn chọn địa chỉ đầu tiên). Các thông điệp quảng bá VRRP khi gởi luôn sử dụng Primary IP Address làm địa chỉ nguồn của gói tin IP. Virtual Router Master: Là Router VRRP mà có nhiệm vụ chuyển các gói tin tới địa chỉ IP kết hợp với Router ảo và đáp ứng các Request ARP cho các địa chỉ này. Chú ý rằng nếu Router có IP Address Owner thì ngay lập tức nó sẽ trở thành Master. Virtual Router Backup: Là một nhóm các Router VRRP mà có nhiệm vụ đảm nhận vai trò Master nếu Master Router hiện hành bị lỗi. Virtual Router MAC Address: Là địa chỉ MAC của Router ảo 00-00-5E-00-01-XX với XX là ID của Router ảo (VRID). Mỗi Router ảo là khác nhau trên mạng nhưng địa chỉ MAC ảo được sử dụng chỉ bởi một Router tại một thời điểm, và đó cũng là cách để các Router vật lý khác xác định Master Router trong nhóm các Router ảo. Định dạng gói tin VRRP. Miêu tả. Bộ giao thức: TCP/IP. Loại giao thức: Transport layer election protocol. Multicast Addresses: 224.0.0.18. IP Protocol: 112. Định dạng. MAC header IP header VRRP message 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Version Type Virtual Rtr ID Priority Count IP Addrs Auth Type Adver Int Checksum IP Address (1) IP Address (n) Authentication Data (1) Authentication Data (2) Version: 4 bits. Trường Version xác định phiên bản đang sử dụng của giao thức VRRP. Type: 4 bits. Trường Type xác định loại của gói tin VRRP. Chỉ có một loại gói được xác định trong phiên bản này là Value 1: ADVERTISEMENT. Một gói mà không xác định được loại phải bị bỏ đi. Virtual Rtr ID (VRID): 8 bits. Trường định danh Router ảo (Virtual Router Identifier - VRID). Có thể cấu hình các số trong dãy 1à255. Không có giá trị mặc định. Priority : 8 bits. Trường Priority xác định Priority Number của Router gởi cho Router ảo. Giá trị Priority của VRRP Router đang hoạt động mà có địa chỉ IP của chính nó kết hợp với Router ảo phải là một số thập phân 255. Các Router dự phòng trong các Router ảo phải có giá trị Priority 1à254. Giá trị Priority mặc định cho các Router dự phòng với Router ảo là 100. Giá trị Priority bằng 0 có nghĩa là Master Router hiện hành đã ngừng tham gia trong nhóm VRRP. Việc này tạo điều kiện để cho các Router dự phòng nhanh chóng chuyển thành Master Router không cần chờ cho đến khi Master Router hiện hành bị Timeout. Count IP Addrs: 8 bits. Số địa chỉ IP chứa trong gói tin quảng bá VRRP. Authentication Type: 8 bits. Trường Authentication Type xác định phương thức chứng thực được sử dụng. Authentication Type là duy nhất trên Router ảo. Trường Authentication Type là một số nguyên không dấu 8 bits. Một gói tin không xác định được loại Authentication hoặc không đúng với phương pháp chứng thực đã cấu hình cục bộ thì phải bị bỏ đi. Các phương pháp chứng thực được xác định: Authentication Type Miêu tả 0 No Authentication 1 Simple Text Password 2 IP Authentication Header Authentication Type 0 - No Authentication. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP đã không được chứng thực. Nội dung của trường Authentication Data sẽ được thiết đặt là 0 khi truyền và bỏ qua khi nhận. Authentication Type 1 – Simple Text Password. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một chuỗi Text đơn giản làm Password để chứng thực. Authentication Type 2 – IP Authentication Header. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP (English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công. Advertisement Interval (Adver Int): 8 bits. Khoảng thời gian giữa việc gởi các gói tin quảng bá, được tính bằng giây. Mặc định là 1 giây. Chúng được sử dụng để xác định Master Router có bị lỗi hay không. Checksum: 16 bits. Trường Checksum được sử dụng để dò tìm dữ liệu bị lỗi trong thông điệp VRRP. Khởi tạo trường Checksum được thiết lập bằng zero. IP Address: 32 bits. Địa chỉ IP cho Router ảo, là một hoặc nhiều địa chỉ IP kết hợp với Router ảo. Số địa chỉ IP ảo được đặt trong một trường đặc biệt là “Count IP Addrs”. Authentication Data: 32 bit. Chuỗi dữ liệu chứng thực. Tùy theo loại chứng thực sử dụng mà trường này có giá trị khác nhau. Nếu giá trị trong trường Auth Type bằng 0 thì trường Authentication Data được thiết lập bằng 0 khi truyền và bỏ qua khi nhận. Hoạt động của VRRP. Có nhiều cách để một Client trong mạng LAN có thể xác định Router nào là bước truyền đầu tiên của nó khi dữ liệu nó gởi đi không nằm trong cùng mạng với nó. Client này có thể được cấu hình định tuyến tĩnh hoặc động. Ví dụ như các giao thức: Proxy ARP: Client sử dụng giao thức phân giải địa chỉ để định ra địa chỉ đích mà nó muốn đến, và một Router sẽ đáp ứng ARP Request với địa chỉ MAC của nó. Routing Protocol: Client sử dụng giao thức định tuyến động (ví dụ như giao thức RIP (Routing Information Protocol )) và cập nhật vào bảng định tuyến của chính nó. IRDP (ICMP Router Discovery Protocol) Client: Client dùng bộ định tuyến thông điệp quản lý Internet để tìm ra Router định tuyến đường biên cho nó. Xác định địa chỉ của Interface của Router đó làm Default Gateway cho các Host. Mặt hạn chế của giao thức tìm động là chúng phải tuân theo một cấu hình chặt chẽ và xử lí chống tràn trong mạng LAN. Khi Router bị lỗi thì quá trình chọn lựa lại một Router khác có thể làm chậm tiến trình xử lý. Một sự thay thế giao thức tìm kiếm động là cấu hình định tuyến tĩnh cho các Router trên mạng. Điều này tiến gần đến việc cấu hình và xử lí một cách đơn giản hơn nhưng nó lại tạo ra một sự đơn điệu về khả năng chịu lỗi của hệ thống. VRRP có thể giải quyết vấn đề của cấu hình định tuyến tĩnh này. Các Router VRRP được xem là một nhóm Router dự phòng, chia sẻ nhiệm vụ chuyển tiếp các gói tin nếu chúng có địa chỉ Default Gateway là địa chỉ IP ảo của Router dự phòng. Tại một thời điểm, chỉ có một Router VRRP hoạt động với vai trò là Master Router, còn các Router khác hoạt động với vai trò Backup Router. Chỉ có Master Router ảo mới gởi các thông điệp quảng bá VRRP định kỳ. Router ảo dự phòng không giành quyền Master cho dù Priority của nó cao hơn nhưng có một ngoại lệ đó là Router VRRP sẽ có thể trở thành Master Router nếu nó có địa chỉ IP kết hợp với Router ảo. Nếu Master Router bị lỗi thì Router ảo dự phòng nào có Priority cao nhất sẽ chuyển sang trạng thái Master trong một thời gian ngắn nhất, điều này giúp tối thiểu gián đoạn mạng. VRRP được hỗ trợ trên các mạng Ethernet, Fast Ethernet, BVI, giao diện Gigabit Ethernet, MPLS, VPNs và VLANs. Hình V1: Mô hình VRRP căn bản Router A, B, C là các Router VRRP mà bao gồm một Router ảo. Địa chỉ của Router ảo giống như địa chỉ của Router A (10.0.0.1). Vì Router ảo được cấu hình là địa chỉ IP của giao diện Ethernet vật lý của Router A (10.0.0.1) nên Router A được gọi là Master Router ảo (Virtual Router Master) và địa chỉ IP của nó được gọi là IP Address owner. Vì Router A là Master Router ảo nên nó giám sát địa chỉ IP của Router ảo và có nhiệm vụ chuyển tiếp các gói tin gởi đến địa chỉ IP này. Các Client từ Client 1 đến Client 3 được cấu hình với địa chỉ Default Gateway là 10.0.0.1. Router B và C lúc này có chứa năng là các Router ảo dự phòng (Virtual Router Backup). Nếu Master Router ảo bị lỗi thì Router ảo dự phòng nào có độ ưu tiên cao hơn sẽ trở thành Master Router ảo. Hình V2: Mô hình chia sẻ tải truyền của VRRP. Ở đây VRRP được cấu hình để Router A và B chia sẻ lưu lượng gói tin đến và đi cho các Client 1 tới Client 4. Router A và B cũng hoạt động như những Router ảo dự phòng hỗ trợ cho nhau nếu một trong hai Router bị lỗi. Đối với nhóm 1, Router A sở hữu địa chỉ IP 10.0.0.1 và là Master Router ảo nhóm 1. Còn Router B sẽ là Router ảo dự phòng cho Router A. Các Client 1 và Client 2 được cấu hình với địa chỉ Default Gateway là 10.0.0.1. Đối với nhóm 2, Router B sở hữu địa chỉ IP 10.0.0.2 và là Master Router ảo nhóm 2. Còn Router A sẽ là Router ảo dự phòng cho Router B. Các Client 3 và Client 4 được cấu hình với địa chỉ Default Gateway là 10.0.0.2. Máy trạng thái giao thức VRRP. Các tham số. Các tham số trên Interface. Authentication_Type: Loại chứng thực đang được sử dụng, tham số này đã được miêu tả trong định dạng gói tin VRRP. Authentication_Data: Dữ liệu chứng thực, đồng thời cũng xác định được loại chứng thực đang được sử dụng. Các tham số trên Router ảo. VRID: Virtual Router Identification - Định danh Router ảo, được cấu hình trong khoảng từ 1-255 (hệ 10). Và không có giá định mặc định. Priority: Giá trị ưu tiên được sử dụng để lựa chọn ra Master Router VRRP hoặc Backup Router cho những nhóm Router ảo. Giá trị 255 (hệ 10) được dành cho Router mà có địa chỉ IP kết hợp với Router ảo. Giá trị 0 được dành cho Master Router hiện hành, chỉ ra rằng nó đã ngừng tham gia trong VRRP. Priority được sử dụng để cho phép Router dự phòng nhanh chóng chuyển sang trạng thái Master mà không cần đợi Master Router hiện hành Timeout hoàn toàn. Khoảng giá trị là từ 1-254 (hệ 10), nó có sẵn để dành cho các Router VRRP dự phòng cho Router ảo. Giá trị mặc định là 100 (hệ 10). IP_Addresses: Là một trong nhiều địa chỉ IP kết hợp với địa chỉ IP của Router ảo. Tham số này phải được cấu hình bởi vì nó sẽ không có giá trị mặc định. Advertisement_Interval: Là khoảng thời gian giữa các lần gởi thông điệp quảng bá, thông số này được tính bằng giây và giá trị mặc định là 1 giây. Skew_Time: Thời gian để làm lệch khoảng thời gian bị Down của Master Router. Công thức để tính toán thông số này là: ( (256 - Priority) / 256 ). VRRP sử dụng thông số Skew_Time để hạn chế cho các Router dự phòng không chuyển sang trạng thái Master trong cùng một thời điểm. Skew_Time cũng đảm bảo rằng các Router dự phòng nào có Priority cao hơn thì có nhiều khả năng trở thành Master Router hơn các Router dự phòng có Priority nhỏ hơn. Giá trị Skew_Time được dùng để tính toán Master_ down_ interval. Khi Skew_Time giảm thì Priority Number sẽ tăng. Cũng có nghĩa là các Router có Priority thấp hơn thì sẽ có Master_down_interval dài hơn và cũng lâu nhận các thông điệp quảng bá hơn. Do đó, Router dự phòng có Skew_Time nhỏ hơn thì có khả năng chuyển sang trạng thái Master cao hơn. Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down. Công thức tính: (3 * Advertisement_Interval) + Skew_time. Preempt_Mode: Điều khiển để Router dự phòng có độ ưu tiên cao hơn sẽ giành quyền trở thành Master Router so với các Router có độ ưu tiên thấp hơn. Có các giá trị: True: Cho phép. False: Cấm giành quyền. Giá trị mặc định của Preempt_Mode là True. VRRP Timer. Có hai khoảng thời gian quan trọng trong VRRP là: Master_Down_Timer và Adver_Timer. Master_Down_Timer: Là khoảng thời gian mà Master Router sẽ Down, nó phù hợp với giá trị mà Router dự phòng xác định Master Router bị Down (Master_Down_Interval). Adver_Timer: Thời gian để khởi tạo việc gởi các thông điệp quảng bá dựa trên giá trị Advertisement_Interval. Trong đó: Advertisement_interval: Là khoảng thời gian giữa các thông điệp quảng bá và Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down. Sơ đồ chuyển tiếp trạng thái. Hình V3: Sơ đồ chuyển tiếp trạng thái. Các trạng thái VRRP. Mỗi Router VRRP thực thi trong một trường hợp của máy trạng thái cho mỗi sự lựa chọn Router ảo mà nó tham gia. Trạng thái Initialize. Mục đích của trạng thái này là đợi sự kiện Startup xảy ra. Nếu sự kiện Startup đã xảy ra thì: Nếu Priority = 255 (địa chỉ IP của Router đó kết hợp với Router ảo). Gởi một thông điệp quảng bá. Broadcast một Request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo. Thiết lập Adver_Timer thành Advertisement_Interval. Chuyển sang trạng thái Master. Ngược lại Thiết lập Master_Down_Timer thành Master_Down_Interval. Chuyển tiếp đến trạng thái Backup. Trạng thái Backup. Mục đích của trạng thái Backup để điều khiển tính sẵn sàng và trạng thái của Master Router. Trong trạng thái này, VRRP Router phải thực hiện: - Không đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo. - Phải loại bỏ những gói tin mà có địa chỉ MAC đến bằng với địa chỉ MAC Router ảo. - Không chấp nhận những gói tin được địa chỉ hoá với địa chỉ IP kết hợp với Router ảo. - Nếu nhận được một Shutdown Event thì: Hủy Master_Down_Timer. Chuyển sang trạng thái Initial. - Nếu Master_Down_Timer hết hạn thì: Gởi một thông điệp quảng bá. Broadcast một request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo. Thiết lập Adver_Timer thành Advertisement_Interval. Chuyển sang trạng thái Master. - Nếu nhận được một thông điệp quảng bá thì: Và nếu Priority trong thông điệp quảng bá là Zero thì: Thiết lập Master_Down_Timer thành Skew_Time. Nếu Preempt_Mode có giá trị False, hoặc Priority <= local Priority thì: Thiết lập lại Master_Down_Timer thành Master_Down_Interval. Loại bỏ thông điệp quảng bá. Trạng thái Master. Chức năng của Router trong trạng thái Master là chuyển tiếp các gói tin với địa chỉ IP kết hợp với Router ảo. Trong trạng thái Master thì Router phải thực hiện: - Phải đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo. - Phải chuyển tiếp các gói tin với địa chỉ MAC đến là địa chỉ MAC của Router ảo. - Không chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà không phải là địa chỉ IP của chính nó. - Chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà là địa chỉ IP của chính nó. - Nếu nhận được một Shutdown Event thì: Hủy Adver_Timer. Gởi thông điệp quảng bá với Priority = 0. Chuyển sang trạng thái Initial. - Nếu Adver_Timer hết hạn thì: Gởi một thông điệp quảng bá. Thiết lập lại Adver_Timer thành Advertisement_Interval. - Nếu nhận được một thông điệp quảng bá thì: Nếu Priority trong thông điệp quảng bá bằng Zero thì: Gởi một thông điệp quảng bá. Thiết lập lại Adver_Timer thành Advertisement_Interval. Nếu Priority trong thông điệp quảng bá lớn hơn Local Priority hoặc Priority trong thông điệp quảng bá bằng Local Priority và địa chỉ IP nơi gởi lớn hơn địa chỉ IP cục bộ thì: Hủy Adver_Timer. Thiết lập Master_Down_Timer thành Master_Down_Interval. Chuyển sang trạng thái Backup. Ngược lại Loại bỏ thông điệp quảng bá. Tổng hợp các trạng thái và sự kiện. Truyền và nhận gói tin VRRP. Truyền các gói tin VRRP. Khi truyền các gói tin VRRP cần thực hiện : Điền vào các trường trong gói tin VRRP với trạng thái cấu hình Router ảo thích hợp. Tính toán Checksum. Thiết lập địa chỉ MAC nguồn thành địa chỉ MAC của Router ảo. Thiết lập địa chỉ IP nguồn thành địa chỉ IP của Interface (Primary IP Address). Thiết lập giao thức IP 112. Gởi gói tin VRRP đến địa chỉ Multicast VRRP 224.0.0.18. Nhận các gói tin VRRP. Khi nhận các gói tin VRPP cần thực hiện: Phải kiểm tra trường IP TTL bằng 255. Phải kiểm tra trường Version trong định dạng VRRP. Phải kiểm tra chiều dài gói tin nhận được lớn hơn hay bằng VRRP Header. Phải kiểm tra Checksum. Phải thực hiện loại chứng thực đã xác định bởi trường Auth Type. Phải kiểm tra VRID là giá trị trên Interface nhận. Kiểm tra địa chỉ IP kết hợp với VRID là hợp lệ. Nếu một trong số những điều kiện trên không thỏa thì nơi nhận phải loại bỏ các gói tin này. Hơn nữa: Nếu các gói tin không được tạo bởi địa chỉ IP của chính nó (tức là Priority không bằng 255) thì nơi nhận phải loại bỏ gói này, ngược lại thì tiếp tục xử lý. Đặc điểm của VRRP. Thông điệp quảng bá VRRP. VRRP gởi đến địa chỉ Multicast 224.0.0.18 cho các thông điệp quảng bá nhằm làm giảm số Router phục vụ cho các địa chỉ Multicast và cho phép kiểm tra chính xác mã của các gói tin VRRP. Tổ chức IANA đã gán cho VRRP số giao thức IP là 112. Master Router ảo gởi những thông điệp quảng bá VRRP tới các Router VRRP khác trong cùng một nhóm. Những thông điệp quảng bá này truyền đạt các thông tin như Priority Number và tình trạng của Master Router ảo. Các thông điệp quảng bá VRRP sẽ được đóng gói trong IP Packet. Và các thông điệp quảng bá này gởi mặc định mỗi giây. Khoảng thời gian này có thể cấu hình. Địa chỉ MAC của Router ảo Địa chỉ MAC của Router ảo kết hợp với một Router ảo là một địa chỉ MAC IEEE 802 được định dạng trong hệ Hexa như sau: 00-00-5E-00-01-VRID. Ba Octet đầu tiên được xuất phát từ IANA's OUI. Hai Octet tiếp theo (00-01) cho biết khối địa chỉ được gán cho giao thức VRRP. VRID là một định danh của Router VRRP, nó xác định số nhóm VRRP. Ví dụ như xác định VRRP nhóm 1 thì địa chỉ MAC ảo sẽ là 00-00-5E-00-01-01. Tùy theo từng mạng mà hỗ trợ lên đến 255 Router trên một mạng. Như vậy khi mà cấu hình lên đến 255 nhóm Router ảo thì khi đó giá trị VRID ở dạng Hexa sẽ là FF. Proxy ARP. Nếu Proxy ARP được sử dụng trên Router VRRP thì ngay sau đó Router VRRP phải quảng bá địa chỉ MAC của Router ảo trong thông điệp đáp ứng lại Proxy ARP. Nếu không làm như vậy thì các Host sẽ học địa chỉ MAC thực của Router VRRP. Khi một Host gởi một ARP Request đến một trong số địa chỉ IP của các Router ảo. Master Router ảo phải đáp ứng ARP Request bằng địa chỉ MAC ảo và không được đáp ứng bằng địa chỉ MAC vật lý của nó. Điều này cho phép Client luôn sử dụng cùng địa chỉ MAC đến mà không cần quan tâm đến Master Router hiện hành đang Down hay Up. Khi Router VRRP khởi động lại thì không gởi bất kỳ thông điệp ARP nào bằng địa chỉ MAC vật lý của nó cho địa chỉ IP mà nó có. Vì vậy, Router VRRP gởi thông điệp ARP chỉ bao gồm địa chỉ MAC ảo. Khi cấu hình VRRP, các Router VRRP quảng bá ARP Request ngẫu nhiên có chứa địa chỉ MAC ảo của Router ảo cùng với địa chỉ IP trên Interface đó. Do đó mà chức năng Proxy ARP rất quan trọng trong việc giúp các Client xác định mạng có sử dụng Router dự phòng. Priority và Preemption của VRRP Router. Một khía cạnh quan trọng của hệ thống dư thừa Router ảo VRRP là độ ưu tiên của Router VRRP. Độ ưu tiên xác định quy tắc cho các Router VRRP hoạt động khi Master Router bị lỗi. Nếu một Router VRRP có địa chỉ IP của Router ảo và địa chỉ IP của Interface vật lý thì Router này sẽ có chức năng là một Master Router ảo. Độ ưu tiên cũng dùng để xác định một Router ảo dự phòng có Priority Number cao hơn sẽ trở thành Master Router ảo thay thế Master Router ảo bị lỗi. Có thể cấu hình độ ưu tiên của Router ảo dự phòng với giá trị từ 1-254, dùng lệnh vrrp priority. Ví dụ, nếu Router A là Master Router ảo trong mạng LAN. Khi Router này bị lỗi thì có sự chọn lựa lại một trong các Router ảo dự phòng sẽ lên làm Master Router ảo thay thế. Nếu Router B được cấu hình với độ ưu tiên 101 và Router C là 100 thì Router B sẽ được chọn làm Master Router ảo. Nếu cả Router B và C đều được cấu hình với cùng độ ưu tiên là 100 thì Router ảo dự phòng nào có địa chỉ IP cao hơn sẽ trở thành Master Router ảo. Mặc định, cơ chế Preempt của VRRP được Enable, điều này cho phép Router ảo nào có độ ưu tiên cao hơn sẽ được chọn làm Master Router ảo ngay lập tức và Master Router có thể trở lại trạng thái Master một lần nữa sau khi bị Down nhưng lại lấy lại được trạng thái cũ. Còn khi Disable cơ chế Preempt (sử dụng lệnh no vrrp preempt) thì Router ảo dù có Priority cao hơn vẫn không thể trở thành Master Router được. VRRP Object Tracking. VRRP Object Tracking cho phép Router VRRP theo dõi đối tượng chỉ định bên trong Router, ví dụ như theo dõi trạng thái Up-Down của các Interface nối với Router. Object Tracking có thể làm thay đổi Priority Number của một Router ảo với một nhóm VRRP chỉ định. Đây là cách để tạo điều kiện cho Router VRRP nào có Priority Number cao hơn trở thành Master Router ảo cho một nhóm. VRRP Object Tracking là một tiến trình độc lập để tạo, theo dõi và hủy bỏ các đối tượng Track của một Interface. Router VRRP đăng ký Track Object và Track này hoạt động khi trạng thái của Object thay đổi. Mỗi Track được xác định bởi một con số duy nhất được chỉ định trên giao diện dòng lệnh Command-line Interface. Router VRRP sử dụng số này để theo dõi một đối tượng đã chỉ định. Tiến trình Track định kỳ thăm dò đối tượng Track và quan tâm đến mọi thay đổi trạng thái của nó. Trạng thái của đối tượng có thể là Up hoặc Down. VRRP cung cấp một Interface cho tiến trình Track. Mỗi nhóm VRRP có thể có nhiều đối tượng Track được theo dõi mà qua đó làm giảm (hoặc tăng) Priority Number của Router VRRP. Để cấu hình Object Tracking, sử dụng dòng lệnh: track object-number interface type number {line-protocol | ip routing}. Từ khoá line-protocol theo dõi trạng thái Up-Down của Interface chỉ định. Từ khoá ip routing cũng kiểm tra định tuyến IP có Enable và Active trên Interface không. Để áp Object Tracking vào cấu hình VRRP, dùng lệnh: vrrp group track object-number [decrement priority]. Lưu ý: Nếu một nhóm VRRP cấu hình địa chỉ IP ảo là IP Address owner thì Priority của nó đã được cố định là 255 và không thể bị giảm nữa khi có cấu hình Tracking. Đây cũng là một hạn chế của VRRP. ICMP Redirect. Cũng giống như giao thức HSRP thì VRRP cũng được hỗ trợ ICMP Redirect. ICMP là một giao thức Internet tầng mạng để cung cấp những gói tin thông điệp tường thuật lỗi xảy ra trên đường truyền. Mục đích là tránh mất mát dữ liệu trên đường truyền và chọn đường dẫn tối ưu nhất. ICMP Redirect được sử dụng một cách bình thường khi VRRP đang chạy trên một nhóm các Router. Điều này cho phép VRRP được sử dụng trong các mô hình mạng không cân đối. Địa chỉ IP nguồn của ICMP Redirect là địa chỉ của Host cuối cùng được sử dụng khi thực hiện định tuyến ở bước tiếp theo. Nếu Router VRRP đang hoạt động là trạng thái Master cho các Router ảo chứa địa chỉ không phải của nó thì sau đó nó phải xác định gói tin của Router ảo nào đã được gởi khi chọn địa chỉ Source gởi lại. Một phương pháp để suy ra Router ảo nào được sử dụng là kiểm tra địa chỉ MAC sẽ đến trong gói tin gởi lại lần nữa. Chức năng ICMP Redirect rất hữu dụng để Disable Redirect với những trường hợp đặc biệt khi mà VRRP được sử dụng để chia sẻ tải truyền giữa một số các Router trong mô hình mạng đối xứng. Bảo mật trong VRRP. VRRP được thiết kế cho các môi trường liên mạng, do đó có thể thực hiện các chính sách bảo mật khác nhau. Giao thức này bao gồm một số phương pháp chứng thực và phương pháp không chứng thực. Bất kỳ loại chứng thực VRRP nào cũng bao gồm một cơ chế: thiết lập TTL=255 và kiểm tra lúc nhận. Mục đích là nhằm chống lại các gói tin VRRP giả mạo xen vào từ các mạng khác và hạn chế được hầu hết các cuộc tấn công vào mạng nội bộ. Không chứng thực (No Authentication). Nghĩa là sự trao đổi của các Router VRRP không cần chứng thực. Loại chứng thực này chỉ nên sử dụng trong môi trường ít có xảy ra rủi ro về bảo mật và cấu hình (ví dụ như mạng chỉ có 2 Router). Mật khẩu văn bản đơn giản (Simple Text Password). Sử dụng loại chứng thực này có nghĩa là khi trao đổi các giao thức VRRP được chứng thực bởi một chuỗi Text đơn giản làm Password. Loại chứng thực này rất hữu dụng để chống lại việc cấu hình bị lỗi của Router trên mạng LAN. Nó nhằm để chống lại việc các Router sử dụng phần mềm VRRP giả mạo không mong muốn làm Router dự phòng. Với Router VRRP mới, đầu tiên nên cấu hình Password Text khi chạy VRRP với Router khác. Tuy nhiên, loại chứng thực này không chống lại các cuộc tấn công mà mật khẩu có thể được học bởi một Host dò hỏi gói tin VRRP trong mạng LAN. Chứng thực văn bản đơn giản kết hợp với việc kiểm tra TTL làm cho các gói tin VRRP được gởi từ mạng khác khó thâm nhập được hệ thống hoạt động của VRRP. Để đạt hiệu quả cao nhất người sử dụng cần phải thường xuyên thay đổi Password. Cấu hình VRRP theo chứng thực MD5 sử dụng Key String. vrrp group authentication md5 key-string [0 / 7] key-string [timeout seconds] Ví dụ: Chiều dài Key_String có thể lên đến 64 ký tự và ít nhất là 16 ký tự. Key với chỉ định 0 nghĩa là Key không bị mã hoá, chỉ định là 7 nghĩa là Key sẽ bị mã hoá. Khoá chứng thực key-string sẽ mã hoá một cách tự động nếu có cấu hình password-encryption. Giá trị timeout là thời gian định trước mà Key String cũ chấp nhận cấu hình cho tất cả Router trong một nhóm với Key String mới. Chú ý: Tất cả Router bên trong nhóm VRRP phải được cấu hình với cùng chuỗi chứng thực. Nếu không cấu hình cùng chuỗi chứng thực thì Router trong nhóm VRRP sẽ không giao tiếp được với nhau và bất cứ Router nào cấu hình bị lỗi sẽ làm thay đổi trạng thái Master của nó. IP Authentication Header. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP ( English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công. VRRP hoạt động trên mạng Ethernet. Để hiểu rõ hoạt động của VRRP trên mạng Ethernet ta xét mô hình sau: Hình V4: VRRP hoạt động trên mạng Ethernet Mô hình đang xét có hai Router vật lý là R1 và R2. R1 có địa chỉ IP: 192.32.15.1 và địa chỉ MAC: 00:00:A2:0B:00:01. R2 là Router dự phòng cho R1. R2 có địa chỉ IP: 192.32.15.2 và địa chỉ MAC 00:00:A2:BE:D0:03. R1 là Router dự phòng cho R2. Vì thế sẽ có hai Router ảo là V1 và V2. Router ảo V1 có địa chỉ IP là IP(V1)=192.32.15.1, VRID là 37, và có địa chỉ MAC VRRP là MAC(V1)=00:00:5E:00:01:25 (VRID 37, Hex 25). Router ảo V2 có địa chỉ IP là IP(V2)=192.32.15.2, VRID là 73, và có địa chỉ MAC VRRP là MAC(V2)= 00:00:5E:00:01:49 (VRID 73, Hex 49). Vì thế, Router R1 và R2 sẽ lắng nghe địa chỉ MAC của V1 và V2, và địa chỉ MAC của nó. Host H1 được cấu hình để sử dụng định tuyến mặc định của IP(V1). Host H2 được cấu hình để sử dụng định tuyến mặc định của IP(V2). Lúc này, R1 sẽ là Master của Router ảo V1 vì nó có địa chỉ IP là IP Address owner. R1 sẽ định kỳ gởi thông điệp quảng bá VRRP với địa chỉ Source MAC là địa chỉ VRRP của nó và Destination là địa chỉ MAC Multicast Ethernet 01:00:5E:00:00:12. R2 dự phòng cho Router ảo V1, nó sẽ lắng nghe một cách bị động bởi việc đăng ký cho địa chỉ MAC Multicast và thực thi máy trạng thái của nó như đã tìm hiểu. Nếu R1 bị lỗi, R2 sẽ đảm nhận nhiệm vụ Master cho V1. Khi khởi động, Host H1 gởi ARP Request đến địa chỉ IP của R1 (Master cho V1) là 192.32.15.1. R1 sẽ đáp ứng bằng địa chỉ MAC của V1. Sau đó, Host H1 sẽ cập nhật ARP Cache của nó với MAC(V1) này. Khi Host H1 truyền thông với Host H3 trên một Subnet khác thì Host H1 sẽ gởi gói tin với: Địa chỉ Source MAC là MAC(H1). Địa chỉ Destination MAC là MAC(V1). Địa chỉ Source IP là IP(H1). Địa chỉ Destination IP là IP(H3). Router R1 (là Master hiện hành cho V1) sẽ nhận gói tin này và chuyển nó sang các Interface rồi đến đích cuối cùng là Host H3. Nếu R1 bị lỗi thì Router dự phòng của nó là R2 sẽ chuyển sang trạng thái Master thay cho R1 bị lỗi. Trong khi đó, Host H1 vẫn không có bất cứ sự thay đổi nào và gói tin của nó sẽ được chuyển đến Host H3 thông qua R2. Mọi tiến trình là hoàn toàn giống với Host H2 trong VRID 73. VRRP hoạt động trên FDDI. Không giống như Ethernet, hoạt động của VRRP trên FDDI phức tạp hơn. Khác với Interface trên Ethernet, Interface của FDDI sẽ loại bỏ bất cứ Frame nào mà có địa chỉ MAC là một trong số địa chỉ MAC của nó. Hình V5: VRRP hoạt động trên FDDI Với mô hình này thì R1 là Master Router, R1 sẽ gởi các thông điệp quảng bá với VRRP MAC(V1) là địa chỉ Source MAC và VRRP Multicast MAC Address là Destination MAC Address. Nếu R1 gặp gói này một lần nữa trên Ring, nó sẽ loại bỏ ngay Frame đó khỏi Ring. Dưới điều kiện chịu lỗi nào đó như chịu lỗi vòng, chuyển giao thức, hoặc mất kết nối thì VRRP có thể tạo ra nhiều hơn một Master Router. Trên Ethernet nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) thì sẽ có một Master bị loại bỏ. Tuy nhiên, trong FDDI, nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) và đã Install Virtual Router MAC Address MAC(V1) như là địa chỉ phần cứng trên Interface của nó thì bất kỳ thông điệp quảng cáo nào được gởi bởi R1 mà sử dụng MAC Address MAC(V1) như là địa chỉ nguồn thì sẽ bị R2 loại bỏ và ngược lại, có nghĩa có thể có hơn hai Router làm Master Router. Để tránh được điều này thì Virtual Router MAC Address MAC (V1) nên thay đổi hơn là thay đổi địa chỉ MAC phần cứng của Interface. Làm được việc này bởi thêm vào một bộ lọc MAC Unicast trong thiết bị FDDI trên các Interface của R1 và R2 . Điều này cho phép Interface FDDI nhận và xử lý MAC(V1) thêm vào địa chỉ MAC FDDI của chúng. Nếu FDDI không có hỗ trợ bộ lọc MAC trên Interface FDDI thì R1 và R2 phải sử dụng địa chỉ MAC vật lý MAC(R1) hoặc MAC(R2) như là địa chỉ nguồn để trao đổi các thông điệp quảng bá VRRP. So sánh hai giao thức VRRP và HSRP. HSRP là một giao thức của Cisco về dự phòng Router nóng. VRRP là một giao thức và tiêu chuẩn công nghệ hoạt động trên nhiều Router. Đặc tính và chức năng của hai giao thức này rất giống nhau, tuy nhiên cũng có một số mặt khác nhau. Nhưng so sánh sự khác nhau giữa hai giao thức này là không lớn và không thật rõ ràng. Những khoảng tính toán thời gian mặc định VRRP thì nhanh hơn HSRP. VRRP cho phép nhiều địa chỉ IP được gán cùng một lúc, xác định bởi VRID - số định danh của Router ảo, trong khi đó HSRP dùng những nhóm riêng biệt Group Number để thực hiện điều này. VRRP có thể đề nghị sự chứng thực trên nền tảng HMAC như một đặc tính an toàn cũng như sự chứng thực mức mật khẩu mà HSRP sử dụng. HSRP sử dụng sự chứng thực String Password, nếu không xác định thì giá trị mặc định là ‘cisco’. Tổng hợp. Parameter HSRP VRRP Protocol và Port UDP port 1985 IP protocol 112 Địa chỉ Virtual MAC 0000.0c07.ac[HSRP grp] 0000.5e00.01[VRID] Địa chỉ Virtual IP User cấu hình User cấu hình Router gởi Hello Packet khi Active Active và Standby Routers Master Router Router gởi Hello Packet khi Failure Tất cả Tất cả Hellotime 3s 1s (Advertisement_Interval) Holdtime 10s Master_Down_Timer=3*Adv+Skew_Time Hello Src IP IP của Interface IP của Interface Hello Src MAC BIA (Standby) Virtual MAC (Active) Virtual MAC Hello Dst IP 224.0.0.2 (TTL 1) 224.0.0.18 (TTL 255) Hello Dst MAC 01:00:5e:00:00:02 01:00:5e:00:00:12 Data đến Standby Group: Dst MAC Virtual MAC Virtual MAC Data từ Standby Group: Src MAC BIA BIA Máy trạng thái Phức tạp: 6 State, 8 Event Đơn giản: 3 State, 5 Event Loại thông điệp Ba loại: Hello, Coup, Resign Một loại: Hello PHẦN III. DEMO ỨNG DỤNG THỰC TẾ MÔ HÌNH DEMO Giới thiệu. Tuy là có hai công nghệ được nêu trong nội dung đề tài, đó là công nghệ Router dự phòng nóng (HSRP) và công nghệ dư thừa Router ảo (VRRP). Qua so sánh sự giống nhau và khác nhau giữa hai công nghệ thì chúng em thấy rằng đặc tính và chức năng của hai công nghệ có nhiều điểm giống nhau. Vì vậy, chúng em chỉ chọn một công nghệ HSRP để trình bày trong phần Demo ứng dụng thực tế. Việc chọn một công nghệ để Demo ứng dụng thực tế là không có mục đích chủ định mà sẽ tạo điều kiện cho chúng em tập trung vào một công nghệ, nhằm bám sát vấn đề, đi sâu, mở rộng tìm hiểu và mục đích cuối cùng đó là nắm bắt công nghệ kỹ càng hơn. Mô hình Demo. Ở phần Demo này chúng em xin giới thiệu hai mô hình, bắt đầu từ mô hình áp dụng căn bản HSRP và tiếp theo là mô hình nâng cao. Mô hình 1. Hình VI1: Mô hình Demo căn bản Mô hình 2. Hình VI2: Mô hình Demo nâng cao Trong mô hình 1 thì mạng của Tổng Cục Thuế TP.HCM chỉ sử dụng một nhóm Hot Standby, có nghĩa là tại một thời điểm chỉ có một Router nắm giữ một trạng thái hoặc là Active, hoặc là Standby. Router A1 được cấu hình Priority là 110 cao hơn giá trị Priority mặc định (100) của Router S1 nên A1 chính là Active Router cho nhóm 1, nó có tác dụng định tuyến chính cho Host A. Địa chị IP ảo của nhóm là 10.0.0.1 và Host A mang địa chỉ IP là 10.0.0.10 nhưng Default Gateway của nó không chỉ ra địa chỉ của Active Router mà chỉ ra địa chỉ IP ảo của nhóm. Nếu Router A1 bị lỗi trong quá trình định tuyến hoặc hỏng hóc hoặc đứt tuyến cáp nối giữa các Cục Thuế A và Cục Thuế B lên Router này thì Router S1 với chức năng dự phòng sẽ thay thế Router A1 ngay lập tức. Với mô hình 2 thì sử dụng chức năng hỗ trợ đa nhóm của kỹ thuật Hot Standby, chúng em sử dụng mô hình hai Router A1S2 và Router A2S1 với hai nhóm Hot Standby là nhóm 1 và nhóm 2. Nhóm 1 có địa chỉ IP ảo là 10.0.0.1 và Priority Number là 110 đối với Router A1S2, 100 đối với Router A2S1. Còn nhóm 2 có địa chỉ IP ảo là 10.0.0.4 và Priority Number là 100 đối với Router A1S2, 110 đối với Router A2S1. Vì vậy Router A1S2 sẽ là Active Router cho nhóm 1 nhưng lại là Standby cho nhóm 2 và Router A2S1 là Active Router cho nhóm 2 nhưng là Standby Router cho nhóm 1. Trong mạng LAN có hai Host, Host A và Host B. Host A mang địa chỉ: 10.0.0.10, Host B: 10.0.0.11. Host A sử dụng địa chỉ IP ảo của nhóm 1 làm Default Gateway còn Host B lại sử dụng địa chỉ IP ảo của nhóm 2 làm Default Gateway, việc này có ý nghĩa hai Router cùng làm nhiệm vụ định tuyến vào cùng thời điểm, giúp chia sẻ tải truyền cho một Router và tránh gây lãng phí thiết bị. Do mặt hạn chế của hai giao thức HSRP và VRRP là không thể thay thế cho các giao thức định tuyến động nên chúng em sử dụng giao thức định tuyến RIP (Routing Information Protocol) để định tuyến cho mô hình mạng của mình. Kiểm nghiệm. Để kiểm chứng tốt nhất cho mô hình mạng có hỗ trợ kỹ thuật dự phòng, mang tính năng sẵn sàng cao thì ta hãy thực hiện lệnh Ping từ một Host mạng Cục Thuế A hoặc B vào một Host của mạng Tổng Cục. Và để giả lập Active Router bị lỗi thì ta thực hiện lệnh Shutdown một Interface nào đó của Active Router này. Trước hết ta phải kiểm xem mô hình mạng của chúng ta có hoạt động ổn định chưa bằng cách sử dụng lệnh Ping từ bất cứ Note mạng nào trên mô hình. Lệnh Ping. Từ Host A trong mạng Tổng Cục Thuế TP.HCM ta tiến hành Ping các Note mạng khác: Ping địa chỉ IP ảo nhóm 1 Ping Interface của Router Cục Thuế A Ping Interface của Router Cục Thuế B Ping Host D Từ một Router chúng ta Ping kiểm nghiệm vài Note mạng: Từ Router A1S2 Ping Standby Router. Router A1S2 ping Host C. Như vậy, qua một vài lệnh Ping từ một Note mạng tới một Node mạng bất kỳ đều có đáp ứng trả lời lại, điều này có ý nghĩa mạng đã thông suốt trong quá trình áp dụng công nghệ dự phòng Hot Standby. Sau đây là áp dụng một vài lệnh để kiểm tra chức năng Hot Standby đã chạy trên các Router. Các lệnh Show. Trước hết chúng ta dùng lệnh show ip route, show standby brief và show standby all để kiểm tra bảng định tuyến và Standby đã Enable trên các Router. Tại Router A1S2: Tại Router A2S1: Tại Router CTA: Tại Router CTB: Như vậy là các Router trong mạng đã học được định tuyến từ Router khác thông qua giao thức RIP, tất cả các mạng đều đã được học. Và chức năng Standby đã được Enable trên Router A1S2 và A2S1. Để kiểm chứng cho chức năng Hot Standby là tạo khả năng mạng sẵn sàng cao, từ một Host trong mạng của Cục Thuế A hoặc Cục Thuế B chúng ta thực hiện lệnh Ping các Host trong mạng của Tổng Cục Thuế TP.HCM. Từ Host C chúng ta tiến hành Ping liên tục Host A và Host B. Ping Host A Chúng ta giả sử đường Link giữa Tổng Cục Thuế TP.HCM và Cục Thuế B bị Down (Bằng cách Shutdown cổng Serial0 của một trong hai Router A2S1 và CTB). Do chúng ta đã cấu hình chức năng Track cho Router A1S2 về chức năng Line-protocol nên khi Serial0 của Router này bị Down thì Priority nhóm 1 của Router A1S2 giảm từ 110 sang 99, việc này tạo điều kiện cho Router A2S1 trở thành Active Router cho cả hai nhóm, nhóm 1 và nhóm 2. A1S2(config)#interface serial 0 A1S2(config-if)#shutdown *Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Track 100 object changed, state Up -> Down *Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Priority 110 -> 99 *Mar 1 01:46:09.047: HSRP: Fa0/0 Grp 1 Ignoring Coup (100/10.0.0.3 < 110/10.0.0.2) *Mar 1 01:46:09.055: HSRP: Fa0/0 Grp 1 Active -> Speak *Mar 1 01:46:09.055: %HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Active -> Speak *Mar 1 01:46:09.055: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Active -> Speak *Mar 1 01:46:09.059: HSRP: Fa0/0 API MAC address update *Mar 1 01:46:09.287: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down *Mar 1 01:46:10.287: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down *Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Speak: d/Standby timer expired (unknown) *Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Standby router is local *Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Speak -> Standby *Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Speak -> Standby Và bây giờ Router A1S2 trở thành trạng thái Standby cho cả hai nhóm: Còn Router A2S1 lại là trạng thái Active cho cả hai nhóm: Lúc này, từ Host C và Host D mà chúng ta Ping liên tục từ trước chỉ bị Timeout trong một chu kỳ đáp ứng (khoảng 3s). Nếu chúng ta không cấu hình HSRP thì mạng sẽ ngừng hoạt động suốt thời gian khắc phục lại sự cố. Khả năng đáp ứng cao của hệ thống khi cấu hình HSRP là ở đây. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận. Luận văn đã thực hiện được: Đã tìm hiểu các khả năng và chức năng hỗ trợ của hai giao thức HSRP và VRRP. Sử dụng các lệnh của IOS Router để làm sáng tỏ chức năng HSRP như phần lý thuyết, giúp giải quyết khó khăn hiện tại của Tổng Cục Thuế TP.HCM. Mạng Tổng Cục Thuế TP.HCM đã mang tính năng sẵn sàng đáp ứng cao, đảm bảo dữ liệu toàn ngành Thuế được thống nhất liên tục. Các hạn chế: Chưa Demo thực tế cả hai giao thức HSRP và VRRP. Chưa đi sâu vào chức năng bảo mật của HSRP. Do hạn chế về Router nên chưa cấu hình nhiều nhóm Hot Standby kết hợp với nhiều Router đồng hành cùng lúc. Hướng phát triển. Tăng cường Router để hỗ trợ đa nhóm Hot Standby kết hợp cùng nhiều Standby Router. Xây dựng mô hình mạng kết hợp cả hai kỹ thuật HSRP và VRRP nhằm tăng khả năng sẵn sàng đáp ứng của mạng hơn nữa. Xây dựng mô hình mạng với chức năng bảo mật tích hợp sẵn của HSRP và VRRP có mã hóa nhằm chống phần mềm giả mạo giao thức này một cách an toàn hơn. PHỤ LỤC –— Cấu hình của các Router: Router A1S2 Router A2S1 A1S2#sh run Building configuration... Current configuration : 1024 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname A1S2 ! logging queue-limit 100 ! ip subnet-zero ! interface Ethernet0 ip address 10.0.0.2 255.0.0.0 keepalive standby 1 preempt standby 1 ip 10.0.0.1 standby 1 priority 110 standby 1 track 100 decrement 11 standby 1 track 101 decrement 11 standby 2 preempt standby 2 ip 10.0.0.4 ! interface Serial0 ip address 30.0.0.1 255.0.0.0 no fair-queue ! interface Serial1 ip address 50.0.0.1 255.0.0.0 ! interface Serial2 no ip address shutdown ! interface Serial3 no ip address shutdown ! ip http server ip classless ! router rip network 10.0.0.0 network 30.0.0.0 netword 50.0.0.0 ! line con 0 exec-timeout 0 0 line vty 0 4 login ! end A1S2# A2S1#sh run Building configuration... Current configuration : 1189 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname A2S1 ! logging queue-limit 100 ! ip subnet-zero ! interface Ethernet0 ip address 10.0.0.3 255.0.0.0 keepalive standby 1 preempt standby 1 ip 10.0.0.1 standby 2 preempt standby 2 ip 10.0.0.4 standby 2 priority 110 standby 2 track 100 decrement 11 standby 2 track 101 decrement 11 ! interface Serial0 ip address 40.0.0.1 255.0.0.0 no fair-queue ! interface Serial1 ip address 60.0.0.1 255.0.0.0 ! interface Serial2 no ip address shutdown ! interface Serial3 no ip address shutdown ! ip http server ip classless ! router rip network 10.0.0.0 network 40.0.0.0 netword 60.0.0.0 ! line con 0 exec-timeout 0 0 line vty 0 4 login ! end A2S1# Router CTA Router CTB CTA#sh run Building configuration... Current configuration : 1024 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname CTA ! logging queue-limit 100 ! ip subnet-zero ! interface Ethernet0 ip address 20.0.0.1 255.0.0.0 ! interface Serial0 ip address 30.0.0.2 255.0.0.0 no fair-queue ! interface Serial1 ip address 60.0.0.2 255.0.0.0 ! interface Serial2 no ip address shutdown ! interface Serial3 no ip address shutdown ! interface BRI0 no ip address shutdown ! ip http server ip classless ! router rip network 20.0.0.0 network 30.0.0.0 netword 60.0.0.0 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end CTA# CTB#sh run Building configuration... Current configuration : 1024 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname CTB ! logging queue-limit 100 ! ip subnet-zero ! interface Ethernet0 ip address 70.0.0.1 255.0.0.0 ! interface Serial0 ip address 40.0.0.2 255.0.0.0 no fair-queue ! interface Serial1 ip address 50.0.0.2 255.0.0.0 ! interface Serial2 no ip address shutdown ! interface Serial3 no ip address shutdown ! interface BRI0 no ip address shutdown ! ip http server ip classless ! router rip network 40.0.0.0 network 50.0.0.0 netword 70.0.0.0 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end CTB# TÀI LIỆU THAM KHẢO –— 1. CCIE Professional Development Routing TCP/IP-Volume II-Jeff Doyle, CCIE & Jennifer DeHaven Carroll, CCIE. 2. ALL IN ONE Cisco CCIE LAB Study Guide-Stephen Hutnik & Michael Satterlee, CCIE#3980 3. Cisco Documentation-Ebook. 4. Đặng Quang Minh, Lê Đình An (2001). VnPro CCNA LabPro 5. Cisco System. OSPF and RIP BSCI slides 6. Wendell Odom, CCIE No.1624 (2004). CCNA ICND Exam Certification Guide, Cisco Press 7. Cisco System (2000). CCIE Fundamentals : Network Design and Case Study. 8. [RFC3768] R. Hinden, Ed., "Virtual Router Redundancy Protocol (VRRP)", RFC 3768, April 2004. Một số trang Web tham khảo: 1. 2. 3. 4. 5. 6.

Các file đính kèm theo tài liệu này:

  • docNOI DUNG CHINH.doc
  • pptBAO CAO POWERPOINT.ppt
  • docBIA.doc
  • rarSOURCE CODE.rar
  • rarTAI LIEU THAM KHAO.rar