bao cao thuc tap tuan 5 Nghien cuu EIGRP va ACL

1. ĐỀ TÀI :
NGHIÊN CỨU CÁC CƠ CHẾ ROUTING
CỦA CISCO MÔ PHỎNG TRÊN NỀN GNS3
BÁO CÁO THỰC TẬP TUẦN 5 :
NGHIÊN CỨU CƠ CHẾ ĐỊNH TUYẾN EIGRP & ACL
Giảng Viên Hướng Dẫn : Võ Đỗ Thắng
Sinh Viên Thực Tập : Phạm Tiến Quân

2. 1
Mục lục
I. Giao thức định tuyến EIGRP ...........................................2
1. Giới thiệu .......................................................................2
2. Đặc điểm........................................................................2
3. Cấu hình EIGRP ............................................................ 3
4. Cấu hình xác thực MD5.................................................4
II. Access Control List (ACL) ............................................5
1. Giới thiệu .......................................................................5
2. Cách làm việc của ACL .................................................5
3. Phân loại ACL ............................................................... 6
a. Standard ACL.............................................................. 6
b. Extended ACL ............................................................. 6
4. Các lệnh kiểm tra ACL .................................................. 7
III. Mô phỏng EIGRP và ACL trên GNS3........................... 8

3. 2
I. Giao thức định tuyến EIGRP
1. Giới thiệu
EIGRP (Enhanced Interior Gateway Routing Protocol) là một giao thức định
tuyến độc quyền của Cisco phát triển từ Interior Gateway Routing Protocol
(IGRP).
EIGRP hỗ trợ định tuyến liên miền không theo lớp địa chỉ và hỗ trợ VLSM.
So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và
chống vòng lặp (loop) tốt hơn.
Trong giao thức định tuyến này, Cisco đã kế thừa các ưu điểm của hai giao
thức của định tuyến động là giao thức định tuyến theo vectơ khoảng cách và giao
thức định tuyến theo trạng thái đường liên kết. Vì vậy, EIGRP được xem là giao
thức lai. Tuy nhiên, cấu hình EIGRP lại đơn giản hơn cấu hình OSPF.
EIGRP là một sự lựa chọn lý tưởng cho các mạng lớn, đa giao thức dựa trên
các router của Cisco.
2. Đặc điểm
Về bản chất, EIGRP hoạt động khác với IGRP. Về bản chất EIGRP là một
giao thức định tuyến theo vectơ khoảng cách nâng cao nhưng khi cập nhật và bảo
trì thông tin láng giềng và thông tin định tuyến thì nó làm việc giống như một giao
thức định tuyến theo trạng thái đường liên kết.
So với các giao thức định tuyến theo vectơ khoảng cách thông thường, EIGRP
có các ưu điểm sau :
 Tốc độ hội tụ nhanh.
 Sử dụng băng thông hiệu quả, do EIGRP chỉ gửi thông tin cập nhật
một phần chứ không gửi toàn bộ bảng định tuyến. Nhờ vậy nó chỉ tốn
một lượng băng thông tối thiểu.
 Hỗ trợ VLSM (Variable Length Subnet Mask) và CIDR (Classless
Interdomain Routing).
 Hỗ trợ nhiều giao thức mạng.
 Không phụ thuộc vào giao thức định tuyến.
 Không cập nhật theo chu kỳ mà chỉ cập nhật khi cần thiết. Các router
EIGRP giữ liên lạc với nhau bằng các gói tin hello rất nhỏ.

4. 3
3. Cấu hình EIGRP
Sử dụng lệnh sau để khởi động cấu hình EIGRP và xác định hệ số tự quản :
Router(config)#router eigrp autonomous-system-number
Trong đó, autonomous-system-number là hệ số tự quản của giao thức EIGRP.
Các router trong cùng một mạng thì thông số này phải giống nhau.
Tiếp tục, khai báo các đường mạng của router mà chúng ta đang cấu hình thuộc
về hệ tự quản EIGRP :
Router(config-router)#network network-number
Trong đó, network-number là địa chỉ đường mạng kết nối trực tiếp với router
ta đang cấu hình. Router EIGRP sẽ thực hiển quảng bá các đường mạng này cho
các router khác trong cùng mạng.
Trong thực tế, khi cấu hình EIGRP trên các cổng seria thì ta cần đặt băng thông
cho cổng này. Nếu chúng ta không thay đổi bằng thông của cổng, EIGRP sẽ sử
dụng băng thông mặc định của cổng thay vì băng thông thực sự. Nếu đường kết
nối thực sự chậm hơn, router có thể không hội tụ được, thông tin định tuyến cập
nhật có thể bị mất hoặc là kết quả chọn đường không tối ưu. Để đặt băng thông
cho một cổng serial trên router, chúng ta dùng câu lệnh sau :
Router(config-if)#bandwidth kilobits
Giá trị băng thông này sẽ được sử dụng để tính toán metric cho tiến trình định
tuyến.
Cisco còn khuyến cáo nên thêm câu lệnh sau trong cấu hình EIGRP :
Router(config-if)#eigrp log-neighbor-changes
Câu lệnh này sẽ làm cho router xuất ra các câu thông báo mỗi khi có sự thay
đổi của các router láng giềng thân mật giúp chúng ta theo dõi sự ổn định của hệ
thống định tuyến và phát hiện được sự cố nếu có.
Ngoài ra, ta có nếu các đường mạng kết nối với router có thể tổng hợp được
(summary-address), ta có thể quảng bá đường mạng tổng hợp đó trong đường
serial kết nối với router hàng xóm bằng lệnh :
Router(config-if)#ip summary-address eigrp autonomous-system-
number ip-summary-address administrative-distance

5. 4
Thông thường, thông số độ tin cậy của EIGRP (administrative-distance) là 5.
Tuy nhiên ta có thể thay đổi thông số này trong khoảng 1 – 255. Khi chúng ta
muốn tổng hợp bằng tay, thì ta nên tắt chế độ tự động tổng hợp của EIGRP bằng
lệnh :
Router(config-router)#no auto-summary.
 Một số lệnh cấu hình khác :
 Chặn interface cập nhật thông tin định tuyến:
Router(config-router)#passive interface-number
 Quảng bá đường Defaul route :
Router(config)#0.0.0.0 0.0.0.0 [interface|next-hop address]
Router(config)#router eigrp autonomous-system-number
Router(config-router)#redistribute static {…}
 Các câu lệnh kiểm tra :
Show ip route
Show ip eigrp neighbors
…
4. Cấu hình xác thực MD5
EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực này, các
password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash được gửi đi.
Các router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục cấu hình xác thực
trên EIGRP sẽ gồm các bước như sau:
Trên các router sẽ khai báo một key – chain dùng cho xác thực. Key – chain là một
tập hợp các key được sử dụng để xác thực. Câu lệnh :
R(config)#key chain tên của key-chain
R(config-keychain)#
R(config-keychain)#key key-id
R(config-keychain-key)#key-string password
R(config-if)#ip authentication mode eigrp AS md5
R(config-if)#ip authentication key-chain eigrp AS tên-key-chain

6. 5
II. Access Control List (ACL)
1. Giới thiệu
ACLs là một danh sách các câu lệnh điều kiện được áp dụng cho lưu lượng đi qua
một cổng interface của router. Danh sách này cho phép router biết loại gói tin nào được
chấp nhận (Permit) hay loại gói tin bị từ chối (Deny) dựa trên các điều kiện cụ thể do
người quản trị quy định.
Sự chấp nhận hay từ chối dữ liệu dựa vào nhiều yếu tố như : đại chỉ IP nguồn, địa
chỉ IP đích, giao thức sử dụng, số port,…
ACL được dùng để quản lý lưu lượng mạng, bảo vệ và phân quyền truy cập ra hoặc
vào hệ thống mạng.
2. Cách làm việc của ACL

7. 6
Mỗi ACLs là một danh sách các câu lệnh xác định việc chấp nhận hay từ chối gói
dữ liệu theo chiều vào (in) hay chiều ra (out) trên cổng interface của router. Router sẽ
lần lượt kiểm tra các câu lệnh này theo thứ tự từ trên xuống của ACLs. Do đó, thứ tự
khai báo của ACL rất quan trọng.
Nếu có một điều kiện đúng thì router sẽ thực hiện câu lệnh đó và không kiểm tra các
điều kiện còn lại nữa. Nếu không có điều kiện nào khớp thì lệnh “deny all” sẽ được thực
hiện, lệnh này sẽ loại bỏ tất cả. Vì vậy, trong Access-list cần có ít nhất một câu lệnh
permit.
3. Phân loại ACL
Access-list gồm 2 loại chính : Standard ACL và Extended ACL.
a. Standard ACL
Standard ACL là dạng ACL đơn giản, nó chỉ kiểm tra thông tin của địa chỉ IP của
nguồn và đích của gói tin.
 Cách cấu hình Standard ACL:
Router(config)#access-list access-list-number {deny | permit} source [source-
wildcard]
Trong đó :
 access-list-number : đánh dấu ACL, số này trong khoảng 1-99 hoặc
1300-1999.
 deny | permit : hành động được áp dụng cho câu lệnh.
 source : dãy IP có thể là địa chỉ mạng, địa chỉ host.
 [source-wildcard] : dùng để xác định dãy ip của source được xét.
b. Extended ACL
Extended ACL là một dạng ACL nâng cao, kiểm tra gói tin đi vào hoặc ra dựa trên
nhiều thông tin như :
 Địa chỉ nguồn

8. 7
 Địa chỉ đích
 Giao thức sử dụng (tcp, udp, ip, …)
 Cổng port nguồn
 Cổng port đích
 …
 Cách cấu hình Extended ACL :
Router(config)# access-list access-list-number {deny | permit} protocol ip-source
[source-wildcard] ip-destination [destination-wildcard] [ep | lt | gt] [destination-port]
Trong đó :
 access-list-number : đánh dấu ACL, số này trong khoảng 100-199
hoặc 2000-2699.
 deny | permit : hành động được áp dụng cho câu lệnh.
 protocol : giao thức được sử dụng (tcp, udp, ip, …).
 ip-source (destination): địa chỉ IP nguồn (đích), có thể là đường mạng,
host, …
 source (destination)-wildcard : xác định dãy ip của nguồn (đích) được
xét.
 ep | lt | gt : các phương pháp so sánh với destination-port phía sau, eq
là so sánh bằng, lt là so sánh nhỏ hơn, gt là so sánh lớn hơn.
 destination-port : cổng đích sử dụng để kiểm tra, giá trị trong khoảng
0-65535.
4. Các lệnh kiểm tra ACL
Show running-config
Show access-list access-list-number
….

9. 8
III. Mô phỏng EIGRP và ACL trên GNS3
Cho mô hình mạng như bên dưới :
 Yêu cầu thực hiện trên GNS3 (quay video) :
 Cấu hình ip các interface và máy ảo như hình.
 Cấu hình đinh tuyến EIGRP cơ bản trên các router R1, R2, R3 ( cho số AS là 1) sao
cho các PC ping được với nhau và ra được internet.