EIGRP và ACL

1. 1
Báo Cáo Thực Tập Tuần 5
NHẬT KÝ THỰC TẬP TẠI TRUNG TÂM ATHENA
Họ tên: Đàm Văn Sáng
Là sinh viên thực tập tại Trung Tâm Đào Tạo Quản Trị Mạng Và An
Ninh Mạng Quốc Tế Athena.
Tuần 5 (Từ ngày 6/08/2014 tới ngày 13/08/2014)
Tên đề tài: Nguyên cứu cơ chế routing của Cisco mô phỏng trên nền GNS3.
Trong tuần này em đã làm được các phần sau:
 Giới thiệu giao thức định tuyến EIGRP Và ACL.
 Cấu hình EIGRP.
 Cấu hình ACL.

2. 2
Báo Cáo Thực Tập Tuần 5
Phần 1 : Giới thiệu về giao thức EIGRP và ACL.
A. Giới thiệu về EIGRP
1. Định nghĩa
EIGRP là một giao thức định tuyến do Cisco phát triển, chỉ chạy trên các sản
phẩm của Cisco. Đây là điểm khác biệt của EIGRP so với các giao thức khác.
EIGRP là một giao thức dạng Distance – vector được cải tiến (Advanced Distance
vector). EIGRP không sử dụng thuật toán truyền thống cho Distance – vector là thuật
toán Bellman – Ford mà sử dụng một thuật toán riêng được phát triển bởi J.J. Garcia
Luna Aceves – thuật toán DUAL. Cách thức hoạt động của EIGRP cũng khác biệt so với
RIP và vay mượn một số cấu trúc và khái niệm của OSPF như: xây dựng quan hệ láng
giềng, sử dụng bộ 3 bảng dữ liệu (bảng neighbor, bảng topology và bảng định tuyến).
Chính vì điều này mà EIGRP thường được gọi là dạng giao thức lai ghép (hybrid). Tuy
nhiên, về bản chất thì EIGRP thuần túy hoạt động theo kiểu Distance – vector: gửi thông
tin định tuyến là các route cho láng giềng (chỉ gửi cho láng giềng) và tin tưởng tuyệt đối
vào thông tin nhận được từ láng giềng.
2. Đặc điểm
 Một đặc điểm nổi bật trong việc cải tiến hoạt động của EIGRP là không gửi cập
nhật theo định kỳ mà chỉ gửi toàn bộ bảng định tuyến cho láng giềng cho lần đầu
tiên thiết lập quan hệ láng giềng, sau đó chỉ gửi cập nhật khi có sự thay đổi. Điều
này tiết kiệm rất nhiều tài nguyên mạng.
 Việc sử dụng bảng topology và thuật toán DUAL khiến cho EIGRP có tốc độ hội
tụ rất nhanh.
 EIGRP sử dụng một công thức tính metric rất phức tạp dựa trên nhiều thông số:
Bandwidth, delay, load và reliability.
 Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route external.
 EIGRP chạy trực tiếp trên nền IP và có số protocol – id là 88

3. 3
Báo Cáo Thực Tập Tuần 5
3. Thiết lập quan hệ láng giềng
Giống OSPF, ngay khi bật EIGRP trên một
cổng, router sẽ gửi các gói tin hello ra khỏi cổng để
thiết lập quan hệ láng giềng với router kết nối trực tiếp
với mình. Điểm khác biệt là các gói tin hello được gửi
đến địa chỉ multicast dành riêng cho EIGRP là
224.0.0.10 với giá trị hello – timer (khoảng thời gian định kỳ gửi gói hello) là 5s.
Và cũng giống như OSPF, không phải cặp router nào kết nối trực tiếp với nhau
cũng xây dựng được quan hệ láng giềng. Để quan hệ láng giềng thiết lập được giữa hai
router, chúng phải khớp với nhau một số thông số được trao đổi qua các gói tin hello, các
thông số này bao gồm:
 Giá trị AS được cấu hình trên mỗi router.
 Các địa chỉ đấu nối giữa hai router phải cùng subnet.
 Thỏa mãn các điều kiện xác thực.
 Cùng bộ tham số K.
 Giá trị AS – Autonomous System
Khi cấu hình EIGRP trên các router, ta phải khai báo một giá trị dùng để định
danh cho AS mà router này thuộc về. Giá trị này buộc phải khớp nhau giữa hai router kết
nối trực tiếp với nhau để các router này có thể thiết lập được quan hệ láng giềng với nhau.
Về mặt cấu hình, giá trị AS này nằm ở vị trí trong câu lệnh rất giống với giá trị process –
id khi so sánh với câu lệnh cấu hình OSPF. Tuy nhiên, giá trị process – id trong cấu hình
OSPF chỉ có ý nghĩa local trên mỗi router và có thể khác nhau giữa các router nhưng giá
trị AS trong cấu hình EIGRP bắt buộc phải giống nhau giữa các router thuộc cùng một
routing domain.

4. 4
Báo Cáo Thực Tập Tuần 5
 Câu lệnh để đi vào mode cấu hình EIGRP:
R(config)#router eigrp số AS <-- Giá trị này bắt buộc phải giống nhau giữa các router.
R(config-router)#
Chúng ta cần lưu ý rằng khái
niệm AS được dùng với EIGRP không
phải là khái niệm AS được dùng trong
các giao thức định tuyến ngoài (VD:
BGP).
Với định tuyến ngoài, mỗi AS là một
tập hợp các router thuộc về một doanh
nghiệp nào đó cùng chung một sự quản
lý về kỹ thuật, sở hữu, chính sách định tuyến và sẽ được cấp một giá trị định danh cho AS
gọi là ASN – Autonomous System Number từ tổ chức quản lý địa chỉ Internet và số hiệu
mạng quốc tế (IANA – Internet Assigned Numbers
 Các địa chỉ đấu nối
Để hai router thiết lập được quan hệ láng giềng với nhau, hai địa chỉ đấu nối giữa
hai router phải cùng subnet. Trên hình 1, để R1 và R2 thiết lập được quan hệ láng giềng,
bắt buộc hai địa chỉ IP1 và IP2 phải cùng subnet.
 Thỏa mãn các điều kiện xác thực
Như đã trình bày trong các bài viết trước, để tăng cường tính an ninh trong hoạt
động trao đổi thông tin định tuyến, ta có thể cấu hình trên các router các password để chỉ
các router thống nhất với nhau về password mới có thể trao đổi thông tin định tuyến với
nhau. Hai router nếu có cấu hình xác thực thì phải thống nhất với nhau về password được
cấu hình thì mới có thể thiết lập quan hệ láng giềng với nhau.

5. 5
Báo Cáo Thực Tập Tuần 5
 Cùng bộ tham số K
EIGRP sử dụng một công thức tính metric rất phức tạp, là một hàm của 04 biến
số: bandwidth, delay, load, reliability. Metric = f (bandwidth, delay, load, reliability)
Các biến số này lại có thể được gắn với các trọng số để tăng cường hoặc giảm bớt ảnh
hưởng của chúng gọi là các tham số K gồm 5 giá trị K1, K2, K3, K4 và K5. Các router
chạy EIGRP bắt buộc phải thống nhất với nhau về bộ tham số K được sử dụng để có thể
thiết lập quan hệ láng giềng với nhau. Ta thấy rằng không giống như với OSPF, EIGRP
không yêu cầu phải thống nhất với nhau về cặp giá trị Hello – timer và Dead – timer
(EIGRP gọi khái niệm này là Hold – timer) giữa hai neighbor. Các giá trị Hello và Hold
mặc định của EIGRP là 5s và 15s.
4. Bảng Topology, FD, AD, Successor và Feasible Successor
Sau khi đã thiết lập xong quan hệ láng giềng, các router láng giềng của nhau ngay
lập tức gửi cho nhau toàn bộ các route EIGRP trong bảng định tuyến của chúng. Khác với
RIP, bảng định tuyến chỉ được gửi cho nhau lần đầu tiên khi mới xây dựng xong quan hệ
láng giềng, sau đó, các router chỉ gửi cho nhau các cập nhật khi có sự thay đổi xảy ra và
chỉ gửi cập nhật cho sự thay đổi ấy. Một điểm khác biệt khác nữa khi so sánh với RIP là
khi một router nhận được nhiều route từ nhiều láng giềng cho một đích đến A nào đó thì
giống như RIP, nó sẽ chọn route nào tốt nhất đưa vào bảng định tuyến để sử dụng còn
khác với RIP là các route còn lại nó không loại bỏ mà lưu vào một “kho chứa” để sử
dụng cho mục đích dự phòng đường đi. “Kho chứa” này được gọi là bảng Topology. Vậy
bảng Topology trên một router chạy EIGRP là bảng lưu mọi route có thể có từ nó đến
mọi đích đến trong mạng và bảng định tuyến là bảng sẽ lấy và sử dụng các route tốt nhất
từ bảng Topology này.
Các thông tin được lưu trong bảng Topology và các thông số được xem xét rất
nhiều khi khảo sát hoạt động của EIGRP: FD, AD, Successor và Feasible Successor.

6. 6
Báo Cáo Thực Tập Tuần 5
5. Tính toán metric với EIGRP
Metric của EIGRP được tính theo một công thức rất phức tạp với đầu vào là 04
tham số: Bandwidth min trên toàn tuyến, Delay tích lũy trên toàn tuyến (trong công thức
sẽ ghi ngắn gọn là Delay), Load và Reliabily cùng với sự tham gia của các trọng số K:
Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3*
Delay]*256*[K5/(Reliabilty + K4)]
Ta lưu ý về đơn vị sử dụng cho các tham số trong công thức ở trên:
 Bandwidth: đơn vị là Kbps.
 Delay: đơn vị là 10 micro second.
 Load và Reliability là các đại lượng vô hướng.
Nếu K5 = 0, công thức trở thành:
Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3*
Delay]*256
Mặc định bộ tham số K được thiết lập là: K1 = K3 = 1; K2 = K4 = K5 = 0 nên
công thức dạng đơn giản nhất ở mặc định sẽ là: Metric = [10^7/Bandwidth min +
Delay]*256.

7. 7
Báo Cáo Thực Tập Tuần 5
6. Cân bằng tải trên những đường không đều nhau (Unequal Cost Load –
balancing)
Một đặc điểm nổi trội của EIGRP là giao thức này cho phép cân bằng tải ngay cả
trên những đường không đều nhau. Điều này giúp tận dụng tốt hơn các đường truyền nối
đến router.
7. Xác thực MD5 với EIGRP
EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực này, các
password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash được gửi đi. Các
router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục cấu hình xác thực trên
EIGRP sẽ gồm các bước như sau:
Trên các router sẽ khai báo một key – chain dùng cho xác thực. Key – chain là một tập
hợp các key được sử dụng để xác thực. Câu lệnh :
R(config)#key chain tên của key-chain
R(config-keychain)#
R(config-keychain)#key key-id
R(config-keychain-key)#key-string password
R(config-if)#ip authentication mode eigrp AS md5
R(config-if)#ip authentication key-chain eigrp AS tên-key-chain

8. 8
Báo Cáo Thực Tập Tuần 5
B. Giới thiệu về ACL
1. Định nghĩa
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của
router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và
loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ
nguồn, địa chỉ đích hoặc chỉ số port.
2. Phân loại ACL.
 Có 2 loại Access lists là: Standard Access lists và Extended Access lists
 Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng – đặt
gần đích (Destination).
 Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao
thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers
trong tầng “Transport layer header”. Nên đặt gần nguồn (source).

9. 9
Báo Cáo Thực Tập Tuần 5
Phần 2 : cấu hình EIGRP và ACL
A. EIGRP
 Yêu cầu :
1. Cấu hình định tuyến EIGRP trên các router R1,R2,R3(AS 1).
2. R1 cấu đường default route ra internet đồng thời quảng bá cho các router
R1,R2.
3. Tắt các đường cập nhật không cần thiết.

10. 10
Báo Cáo Thực Tập Tuần 5
 Router R1
 Bảng địnhtuyến trước khi cấu hình
 Cấu hình trên R1

11. 11
Báo Cáo Thực Tập Tuần 5
 Router R2
 Bảng địnhtuyến trước khi cấu hình
 Cấu hình EIGRP trên R2

12. 12
Báo Cáo Thực Tập Tuần 5
 Router R3
 Bảng địnhtuyến trước khi cấu hình
 Cấu hình trên R3

13. 13
Báo Cáo Thực Tập Tuần 5
 Kiểm tra EIGRP
 Bảng định tuyến R1 sau khi cấu hình
 Bảng định tuyến R2 sau khi cấu hình

14. 14
Báo Cáo Thực Tập Tuần 5
 Bảng định tuyến R3 sau khi cấu hình
 Ping giữa PC1 và PC2

15. 15
Báo Cáo Thực Tập Tuần 5
B. Cấu hình ACL
 Ngăn tất cả gói tin từ đường mạng 172.16.1.0/24 đếnđường mạng 172.16.2.0/24.
 Tạo ACL
 Áp ACL vào interface:
 Chặn các địa chỉ đường mạng172.16.1.0/24ra ngoài internet.(chặn không
ping đượcgoogle.com)
 Tạo ACL
 Áp ACL vào interface

16. 16
Báo Cáo Thực Tập Tuần 5
 Kiểm tra ACL
 Ping từ PC1 đến PC2
 Ping đến 8.8.8.8