Mục lục

PHẦN 1. TỔNG QUAN VỀ MẠNG MÁY TÍNH........................................................................4

1. Mạng máy tính........................................................................................................................4
1.1. Khái niệm........................................................................................................................4
1.2. Các thành phần cơ bản:....................................................................................................4
1.3. Các ứng dụng trên mạng..................................................................................................4
1.4. Phân loại mạng................................................................................................................5
2. Mô hình OSI và TCP/IP.....................................................................................................6
3. Quá trình vận chuyển dữ liệu qua mạng.............................................................................9
3.1. Quá trình đóng gói dữ liệu..........................................................................................9
3.2. Quá trình mở gói dữ liệu............................................................................................9
3.3. Mối liên quan giữa tầng ứng dụng và tầng vận chuyển...........................................10
4. Tổng kết Phần...................................................................................................................11
Phần 2. ĐỊA CHỈ IPv4..........................................................................................................12
1. Giới thiệu..............................................................................................................................12
Network.Host........................................................................................................................12
2. Phân lớp địa chỉ IPv4............................................................................................................12
3. IP public và IP private......................................................................................................14
4. Subnet Mask.....................................................................................................................14
5. Kỹ thuật chia mạng con........................................................................................................14
6. Kỹ thuật VLSM....................................................................................................................15
7. Một số dạng bài tập IP..........................................................................................................15
a) Dạng 1. Xác định địa chỉ mạng của một địa chỉ IP cho trước..........................................15
Phần 3. ĐỊNH TUYẾN.........................................................................................................16
1. Giới thiệu..........................................................................................................................17
2. Phân loại định tuyến.........................................................................................................17
2.1. Định tuyến tĩnh – static routing................................................................................17
2.2. Định tuyến động.......................................................................................................18
3. Cấu hình định tuyến động – distance vector........................................................................21
3.1. RIP............................................................................................................................21
3.2. OSPF........................................................................................................................24
3.3. EIGRP......................................................................................................................29
3.4. Redistribution giữa các giao thức định tuyến...........................................................31
4. DHCP....................................................................................................................................35
5. Tính sẵn sàng và dự phòng...................................................................................................35

1
 6. Tổng kết Phần.......................................................................................................................36
Phần 4. SWITCH.............................................................................................................37
1. Giới thiệu..............................................................................................................................37
2. VLAN...................................................................................................................................38
3. Phân loại...............................................................................................................................39
4. Cấu hình VLAN....................................................................................................................40
5. Đường Trunk........................................................................................................................42
6. VLAN Trunking Protocol (VTP)..........................................................................................43
7. Định tuyến giữa các VLAN..................................................................................................46
8. Giao thức STP......................................................................................................................51
9. EtherChannel........................................................................................................................53
10. Tổng kết Phần.....................................................................................................................54
PHẦN 5. ACL....................................................................................................................56
1. Giới thiệu..............................................................................................................................56
2. Phân loại và hoạt động của ACL..........................................................................................56
3. Cấu hình ACL.......................................................................................................................57
4. Standard ACL.......................................................................................................................58
5. Extended ACL......................................................................................................................61
6. Named ACL..........................................................................................................................62
7. Tổng kết Phần.......................................................................................................................64
PHẦN 6. NAT.....................................................................................................................66
1. Giới thiệu..............................................................................................................................66
2. Static NAT............................................................................................................................67
3. Dynamic NAT.......................................................................................................................68
4. NAT overload.......................................................................................................................70
5. Tổng kết Phần.......................................................................................................................71
PHẦN 7. IPv6....................................................................................................................72
1. Giới thiệu..............................................................................................................................72
2. Những hạn chế của IPv4 ❖ Hạn chế....................................................................................72
3. Khái quát IPv6......................................................................................................................73
3.1. Không gian địa chỉ lớn..................................................................................................73
3.2. Tăng sự phân cấp địa chỉ IP...........................................................................................73
3.3. Cấu hình tự động địa chỉ IP...........................................................................................73
3.4. Header IPv6...................................................................................................................74

2.5 Built-in security..............................................................................................................75

2
 2.6 Tính di động....................................................................................................................76
4. Cấu trúc địa chỉ IPv6............................................................................................................76
5. Các giải pháp triển khai IPv6 trên nền IPv4.........................................................................82
5.1. Dual Stack (Dual IP Layer)...........................................................................................82
5.2. Tunneling.......................................................................................................................82
5.3. NAT-PT..........................................................................................................................83
Phần 8. IPv6 ROUTING......................................................................................................84
1. Tổng quan.............................................................................................................................84
2. Định tuyến tĩnh.....................................................................................................................84
3. RIPng....................................................................................................................................86
4. OSPF cho Ipv6......................................................................................................................87
5. EIGRP for Ipv6.....................................................................................................................89
PHẦN 9. WAN...................................................................................................................92
1. Giới thiệu..............................................................................................................................92
2. Kết nối serial point-to-point.................................................................................................92
3. VPN......................................................................................................................................97
Phần 10. GIÁM SÁT MẠNG...............................................................................................103
1. Giới thiệu............................................................................................................................103
2. Các thành phần của hệ thống giám sát...............................................................................104
3. Các công cụ nguồn mở hỗ trợ trong việc giám sát mạng...................................................105

3
PHẦN 1. TỔNG QUAN VỀ MẠNG MÁY TÍNH

Phần này trình bày một số khái niệm về mạng máy tính, phân loại mạng máy
tính, đặc điểm của mô hình tham chiếu OSI và mô hình TCP/IP, quá trình trao
đổi dữ liệu giữa các máy tính qua mạng. Học xong Phần này, người học có khả
năng:
● Phân biệt được đặc điểm của mô hình tham chiếu OSI và TCP/IP

● Phân biệt được các loại mạng máy tính

● Trình bày được các bước cơ bản của quá trình trao đổi dữ liệu của các
máy qua mạng
● Phân tích được các thành phần cơ bản của các gói tin gửi qua mạng bằng
phần mềm bắt gói
1. Mạng máy tính
1.1. Khái niệm
Mạng máy tính là một hệ thống gồm các máy tính kết nối với nhau để trao
đổi dữ liệu với nhau thông qua môi trường kết nối.
Trong thời đại ngày nay, có nhiều thiết bị kết nối vào môi trường mạng máy
tính như máy in, camera, điện thoại,…gọi chung là thiết bị đầu cuối. Môi trường
kết nối gồm môi trường có dây và không dây; các thiết bị mạng thường dùng để
kết nối các thiết bị đầu cuối như: Switch, router, firewall,…Các giao thức được sử
dụng để các thiết bị đầu cuối có thể giao tiếp được với nhau.
1.2. Các thành phần cơ bản:
Các thành phần cơ bản của mạng máy tính bao gồm
● Máy tính: đóng vai trò là thiết bị đầu cuối, làm việc trực tiếp với người dùng
● Thiết bị mạng: Switch là thiết bị tập trung, kết nối các máy tính trong mạng
có dây, Access Point là thiết bị tập trung kết nối các máy tính trong mạng không
dây, Router là thiết bị định tuyến dùng để kết nối các mạng với nhau.
● Các thiết bị kết nối: gồm card mạng, đầu nối
● Môi trường kết nối: môi trường có dây và không dây
1.3. Các ứng dụng trên mạng
Các ứng dụng trên mạng phổ biến gồm các ứng dụng sau:
● Email
● Web
● Trao đổi trực tuyến

● Cộng tác: whiteboard, Netmeeting, WebEx

4
 ● Cơ sở dữ liệu
1.4. Phân loại mạng
● LAN: Mạng LAN (Local Area Network) là mạng cục bộ, được tổ chức cho
một đơn vị trong một không gian địa lý nhỏ. Các thiết bị trong LAN có kết nối
trực tiếp với nhau, tốc độ cao. Công nghệ mạng được sử dụng trong LAN phổ biến
là Ethernet.

5
 Hình 1. Các thành phần trong mạng LAN: PC, server,
Switch, router

Hình 2. Vai trò của Switch

● WAN: Mạng WAN (Wide Area Network) là mạng diện rộng, là mạng của
một tổ chức có nhiều chi nhánh kết nối với nhau thông qua môi trường Internet.
Các công nghệ được sử dụng trong WAN phổ biến là: MPLS, VPN,...
● MAN: mạng MAN (Metropolitan Area Network) là mạng đô thị, các thành
phố lớn thường tổ chức hệ thống mạng đường trục tốc độ cao để phục vụ cho các
đơn vị trong thành phố đó.
● SAN: Mạng SAN (Storage Area Network) là mạng lưu trữ, nhằm thực hiện
chức năng lưu trữ cho lượng dữ liệu lớn trong đơn vị.
● INTERNET: Mạng Internet là mạng của các mạng, là hệ thống mạng toàn cầu.
1.5. Đặc trưng của một mạng
1.5.1. Topology
Trong mạng có 2 loại topology được nhắc tới là “physical topology” và
“logical topology”.

Hình 3. Physical topology

Logical topology: thể hiện các đường đi luận lý mà tín hiệu sử dụng để
chuyển từ một điểm trong mạng đến một điểm khác.

6
 Hình 4. Logical topology
1.5.2. Tốc độ: là thước đo của tốc độ truyền dữ liệu trên đường truyền.
1.5.3. Chi phí: mức độ đầu tư cho các thành phần mạng, cài đặt và bảo trì của
một hệ thống mạng.
1.5.4. Bảo mật: sự bảo mật chỉ ra cách thức bảo vệ một mạng
1.5.5. Sự sẵn sàng
1.5.6. Khả năng mở rộng
1.5.7. Sự tin cậy
2. Mô hình OSI và TCP/IP
Mô hình tham chiếu OSI và TCP/IP là hai mô hình mạng cơ bản trong mạng
máy tính.
2.1. Mô hình tham chiếu OSI
Mô hình tham chiếu OSI gồm 7 tầng (layer).

7
 Hình 5. Mô hình OSI
Tầng 1 - Physical: Tầng vật lý liên quan các vấn đề về điện tử, cơ khí; xử lý
dữ liệu dạng bit; thiết bị mạng hoạt động ở tầng này là Hub.
Tầng 2 – Data link: Tầng liên kết dữ liệu liên quan đến việc định dạng dữ
liệu theo các chuẩn, điều khiển cách thức truy xuất đến môi trường vật lý; xử lý
dữ liệu dạng khung (frame); liên quan đến địa chỉ vật lý (phổ biến là địa chỉ
MAC); thiết bị mạng hoạt động ở tầng này là Switch.
Tầng 3 - Network: Tầng mạng thực hiện chức năng định tuyến cho các gói
tin; xử lý dữ liệu dạng gói (packet); liên quan đến địa chỉ luận lý (phổ biến là địa
chỉ IP,…); thiết bị hoạt động ở tầng này là Router.
Tầng 4 - Transport: Tầng vận chuyển thực hiện chức năng đảm bảo việc
vận chuyển dữ liệu từ nguồn đến đích thông qua hệ thống mạng. Thực hiện việc
chia nhỏ dữ liệu phù hợp với kích thước tối đa của kênh truyền ở bên gửi và tái
lập ở bên nhận.
Tầng 5 - Session: Tầng phiên thực hiện việc thiết lập, quản lý và kết thúc các
phiên làm việc của các Phần trình ứng dụng.
Tầng 6 - Presentation: Tầng trình bày thực hiện việc đảm bảo dữ liệu đọc
được ở tầng ứng dụng. Các chức năng của tầng này liên quan đến định dạng dữ
liệu, cấu trúc dữ liệu, nén dữ liệu, mã hóa dữ liệu.
Tầng 7 - Application: Tầng ứng dụng là tầng cao nhất trong mô hình OSI,
liên quan đến các Phần trình ứng dụng làm việc trực tiếp với người dùng (như
Email, FTP, Web,…) hoặc các dịch vụ hỗ trợ khác

2.2. Mô hình TCP/IP

Mô hình TCP/IP gồm có 4 tầng. Là mô hình được sử dụng phổ biến. Trong
đó, hai giao thức quan trọng nhất được nhắc tới là TCP và IP.

8
 Hình 6. Mô hình TCP/IP

Hình 7. Mối liên quan giữa 2 mô hình

● Tầng 1 - Network access (link): đặc điểm của tầng này bao gồm đặc điểm
của 2 tầng thấp nhất của mô hình OSI là tầng vật lý và tầng liên kết dữ liệu.
Tầng này mô tả về các đặc điểm vật lý của các kết nối, điều khiển truy cập và
định dạng dữ liệu để truyền tải.
● Tầng 2 - Internet: cung cấp tính năng định tuyến cho dữ liệu từ nguồn đến
đích trong các gói tin và thông tin về địa chỉ, di chuyển dữ liệu giữa tầng Link
và tầng transport
● Tầng 3 - Transport: là tầng quan trọng của kiến trúc TCP/IP. Tầng này cung
cấp các dịch vụ truyền thông trực tiếp đến quá trình xử lý của ứng dụng đang
chạy trên mạng.
● Tầng 4 – Application: cung cấp các ứng dụng cho việc truyền tập tin, xử lý sự
cố và các hoạt động Internet

9
3. Quá trình vận chuyển dữ liệu qua mạng
3.1. Quá trình đóng gói dữ liệu
Quá trình đóng gói dữ liệu diễn ra bên máy gửi. Dữ liệu xuất phát từ tầng
ứng dụng được đóng gói và chuyển xuống các tầng kế tiếp, đến mỗi tầng dữ liệu
được gắn thêm thông tin mô tả của tầng tương ứng gọi là header.
Khi dữ liệu đến tầng “transport”, tại đây diễn ra quá trình chia nhỏ gói tin
nếu kích thước dữ liệu lớn hơn so với kích thước truyền tối đa cho phép. Dữ liệu
đến đến tầng “network”, mỗi gói tin sẽ gắng thêm thông tin tương ứng ở tầng này
gọi là “IP header”, trong đó có chứa thông tin quan trọng là địa chỉ IP nguồn và IP
đích được sử dụng trong quá trình định tuyến. Dữ liệu đến tầng “Data-Link” sẽ
gắng thêm thông tin mô tả tầng này gọi là “Frame header”, trong đó có chứa
thông tin về địa chỉ MAC nguồn và MAC đích. Trường hợp địa chỉ MAC đích
không biết, máy tính sẽ dùng giao thức ARP để tìm. Sau đó dữ liệu chuyển xuống
tầng “Physical”, chuyển thành các tín hiệu nhị phân để truyền đi.

Hình 8. Quá trình đóng gói dữ liệu

3.2. Quá trình mở gói dữ liệu

Hình 9. Qúa trình mở gói dữ liệu

Quá trình mở gói dữ liệu diễn ra bên máy nhận. Nguyên tắc chung là các
“header” sẽ được mở ở các tầng tương ứng. Khi máy đích nhận được một dãy các
bit, dữ liệu được xử lý bởi quá trình mở gói như sau:

10
 (1) Tầng link kiểm tra trailer (FCS) để xem dữ liệu có bị lỗi hay không. Frame
có thể bị loại bỏ hoặc yêu cầu để được truyền lại
(2) Nếu dữ liệu không bị lỗi, tầng link đọc và thông dịch thông tin điều khiển
trong tầng 2.
(3) Tầng link gỡ bỏ “header” và “trailer”, sau đó gửi phần dữ liệu còn lại lên
tầng Internet
3.3. Mối liên quan giữa tầng ứng dụng và tầng vận chuyển
● Mối liên quan giữa tầng ứng dụng và tầng vận chuyển thể hiện thông qua
các cổng ở các ứng dụng và giao thức truyền ở tầng vận chuyển.
Tầng Transport:
- Chức năng: đảm bảo việc vận chuyển dữ liệu từ nguồn đến đích thông qua
hệ thống mạng.
- Đơn vị dữ liệu: segment
- 2 cơ chế truyền: tin cậy (reliable) và tốt nhất có thể (best effort)
Cơ chế Tin cậy Tốt nhất có thể
truyền (Reliable) (Best Effort)
Kiểu kết nối Hướng kết nối Phi kết nối
(connection- (connectionless)
oriented)
Giao thức TCP UDP
Gửi có báo Có Không
nhận
Một số ứng - Email - Void streaming
dụng - File sharing - Video streaming
- Downloading
- Hướng kết nối (connection-oriented): là kiểu truyền theo cách thiết lập
kênh truyền trước khi gửi dữ liệu đi. Thiết lập bằng cơ chế 3 bước bắt tay
(three-way handshake).

4. Tổng kết Phần

Trong Phần này trình bày một số vấn đề cơ bản và mạng máy tính, phân loại
các mạng máy tính phổ biến.
Hai mô hình mạng quan trọng đươc trình bày là OSI và TCP/IP. Hai mô hình
này có đặc điểm chung là phân chia thành các tầng, mỗi tầng đảm nhiệm các chức
năng khác nhau.
Quá trình đóng gói dữ liệu diễn ra bên máy gửi và quá trình mở gói diễn ra
bên máy nhận. Trong quá trình đóng gói, dữ liệu từ tầng ứng dụng được chuyển
xuống các tầng thấp hơn và thông tin ở mỗi tầng đó được thêm vào. Quá trình mở
gói ngược lại với quá trình đóng góp.
11
 Đơn vị dữ liệu ở tầng ứng dụng gọi là “data”, ở tầng vận chuyển gọi là
“segment”, ở tầng mạng gọi là “packet” và ở tầng liên kết gọi là “frame”.

12
Phần 2. ĐỊA CHỈ IPv4

Phần này đề cập đến địa chỉ IP, cấu trúc, phân lớp địa chỉ, kỹ thuật chia
mạng con.
Học xong Phần này, người học có khả năng:
● Trình bày được vai trò của địa chỉ IP trong mạng
● Trình bày được cấu trúc địa chỉ IP, phân lớp địa chỉ IPv4
● Trình bày và vận dụng được các kỹ thuật chi mạng con
● Hoạch định được địa chỉ IP cho một sơ đồ mạng
1. Giới thiệu
Địa chỉ IP là địa chỉ được dùng để định danh cho một đối tượng trên mạng.
Các đối tượng này có thể là máy tính, máy in, camera, điện thoại…gọi là các thiết
bị người dùng cuối “enduser devices” hay là các “host”.
Cấu trúc địa chỉ IP gồm 2 phần:
Network.Host
Có khi người ta gọi là Net_ID và Host_ID, nghĩa là phần định danh cho phần
Network và phần định danh cho Host. Các địa chỉ IP có cùng phần Network gọi là
cùng mạng. Các địa chỉ IP trên một mạng là duy nhất.
2. Phân lớp địa chỉ IPv4
Địa chỉ IPv4 có 32 bit, chia làm 4 phần (octet), ngăn cách nhau bởi dấu “.”,
được biểu diễn dưới dạng thập phân hoặc nhị phân. Địa chỉ IPv4 được chia thành
5 lớp: A, B, C, D, E Trong đó:
● Các lớp A, B, C được dùng để gán cho các host
● Lớp D là lớp địa chỉ multicast
● Lớp E không dùng ❖ Đặc điểm của các lớp ● Lớp A (class A):

- Dành 1 octet đầu tiên làm phần Network, 3 octet còn lại làm phần host
- Bit đầu tiên của octet đầu tiên phải là bit 0
- Một mạng lớp A có thể đánh cho 2^24 -2 = 16.777.214 (*) host
Như vậy: octet đầu tiên có có trị:
- 00000000 đến 01111111 (viết dưới dạng nhị phân)
- Hay từ 0 đến 127 (viết dưới dạng thập phân) ư ý

- Giá trị đầu tiên 00000000 khộng dùng

13
 - Giá trị cuối: 0111111 (127) được dùng làm địa chỉ loopback
Kết luận: Địa chỉ lớp A có octet đầu tiên mang giá trị 00000001 đến 01111110
(hay từ 1 đến 126)
Ví dụ: 10.10.10.1
00001010.00001010.00001010.00000001
● Lớp B (class B):

- Dành 2 octet đầu tiên làm phần Network, 2 octet còn lại làm phần host
- 2 Bit đầu tiên của octet đầu tiên phải là bit 10
- Một mạng lớp A có thể đánh cho 2^16 -2 = 65.534 (*) host
Như vậy: octet đầu tiên có có trị:
- 10000000 đến 10111111 (viết dưới dạng nhị phân)
-Hay từ 128 đến 191 (viết dưới dạng thập phân) Ví dụ: 172.16.10.1
10101100.00010000.00001010.00000
001 ● Lớp C (class C):

- Dành 3 octet đầu tiên làm phần Network, 1 octet còn lại làm phần host
- 3 Bit đầu tiên của octet đầu tiên phải là bit 110
- Một mạng lớp A có thể đánh cho 2^8 -2 = 254 (*) host
Như vậy: octet đầu tiên có có trị:
- 11000000 đến 110111111 (viết dưới dạng nhị phân)
- Hay từ 192 đến 223 (viết dưới dạng thập phân) Ví dụ: 192.168.1.1
11000000.10101000.00000001.00000001
●Lớp D (class D): Địa chỉ lớp D là địa chỉ Multicast
- 4 Bit đầu tiên của octet đầu tiên phải là bit 1110 Như vậy: octet đầu tiên
có có trị:
- 11100000 đến 111011111 (viết dưới dạng nhị phân)

- Hay từ 224 đến 239 (viết dưới dạng thập phân)

Ví dụ: 224.0.0.5
1110000.00000000.00000000.00000101

●Lớp E (class E): Chưa sử dụng

14
 5 Bit đầu tiên của octet đầu tiên phải là 11110
(*): Trong mỗi mạng: có 2 địa chỉ không dùng để gán cho các host
- Đị ỉ ng n tw k là địa chỉ mà tất cả các bit ở phần Host đề là bit 0
- Đị ỉ t t là địa chỉ mà tất cả các bit ở phần Host đề là bit 1
3. IP public và IP private
Dãy địa chỉ IP private (RFC 1918) o Class
A: 10.0.0.0 → 10.255.255.255 o Class
B: 172.16. . →172.31.255.255 o Class
C: 192.168.0. → 192.168.255.255
4. Subnet Mask
Subnet Mask có chiều dài bit bằng với địa chỉ IP được dùng để chỉ ra trong một
địa chỉ IP những bit nào thuộc phần Network và những bit nào thuộc phần Host.
Trong đó, các bit 1 chỉ ra tương ứng các bit thuộc phần Network và các bit 0 chỉ ra
tương ứng các bit thuộc phần Host.
Subnet mask được biểu diễn dưới dạng: (1) 4 octet giống như địa chỉ IP hoặc
(2) /n với n là số bit làm phần Network.
Subnet Mask mặc định (Default Subnet Mask) cho các lớp IP như sau:
− Class A: 255.0.0.0 hoặc /8
− Class B: 255.255.0.0 hoặc /16
− Class C: 255.255.255.0 hoặc /24
5. Kỹ thuật chia mạng con
- Subneting là một kỹ thuật cho phép tạo ra nhiều mạng con (subnetworks) từ một
mạng lớn (major network). Với kỹ thuật này cho phép tạo ra nhiều mạng con
(subnetwork) với số lượng host ít hơn, phù hợp cho nhu cầu sử dụng và tối ưu cho
hệ thống.
- Để thực hiện điều này, người ta sử dụng một số bit ở phần Host-ID tham gia
vào phần Network-ID.

Ta có một số tính chất cần lưu ý như sau:

Nếu gọi n là số bit mượn ở phần Host để chia subneting thì số mạng con
(subnetwork) có thể chia là 2n
Gọi m là số bit còn lại còn lại của phần host thì số host cho mỗi mạng con là 2m-2
n+m = số bit phần host của mạng ban đầu.

15
6. Kỹ thuật VLSM
VLSM (Variable Length Subnet Mask) là kỹ thuật chia mạng con trong đó các
mạng con (subnet) của cùng một mạng ban đầu (major network) sau khi chia có
chiều dài Subnet mask (số bit thuộc phần network) khác nhau.

Trong mô hình trên sử dụng subnet 172.16.14.0/24 chia thành các subnet nhỏ hơn
(subsubnet) với các subnet-mask /27 và /30.
VLSM được sử dụng trong các giao thức định tuyến:
OSPF
IS-IS
EIGRP
RIP v2
Static route
7. Một số dạng bài tập IP
a) Dạng 1. Xác định địa chỉ mạng của một địa chỉ IP cho trước
❖ Phương pháp 1: Áp dụng công thức
Network Address = IP Address AND Subnet_Mask
Ta có: Subnet Mask = /28 = 255.255.255.240
Bây giờ thực hiện phép AND giữa IP và Subnet Mask:
Nhận xét:
1 AND x = x
0 AND x =0
Trong đó: x=0 hoặc x=1
Ta có: 255 (thập phân) đổi ra hệ nhị phân là: 11111111 (8 bit 1)
Do vậy: 192.168.12.158 AND 255.255.255.240
3 octet đầu ta được kết quả là 192.168.12. (do 255.255.255 → tất cả là bit 1)
Bây giờ chỉ cần thực hiện phép AND giữa 158 và 240. Ta đổi sang nhị phân và

thực hiện phép AND

16
 158 (thập phân) = 1 0 1 0 1 1 1 0 (nhị phân)
240 (thập phân) = 1 1 1 1 0 0 0 0 (nhị phân)

10100000 (nhị phân) = 144 (thập phân)

Kết luận: 192.168.12.144/28 là địa chỉ mạng cần tìm.
❖ Phương pháp 2: dùng tính chất: ị ỉ ng n tw k ị ỉ tt it ần
H t H t_i ề it
Bước 1: Xác định đường ranh giới giữa phần Net_ID và Host_ID trong địa chỉ IP
dựa vào Subnet Mask.
Bước 2: Xác định giá trị của octet chứa đường ranh giới
Bước 3: Cho tất cả các bit phân Host_ID = 0 → Xác định địa chỉ chỉ mạng. b)
Dạng 2. Xác định dãy địa chỉ IP của một mạng
Bước 1: Xác định đường ranh giới giữa phần Network và Host dựa vào Subnet
Mask
Bước 2: Xác định giá trị của octet chứa đường ranh giới
Bước 3: Xác định IP đầu và IP cuối của dựa vào các bit phần Host.
Ví dụ: Tìm dãy IP của mạng có chứa của địa chỉ IP: 192.168.12.158/28

Dãy địa chỉ IP cần tìm là: 192.168.12.145/28 → 192.168.12.158/28

Phần 3. ĐỊNH TUYẾN

Phần này trình bày một số vấn đề cơ bản về định tuyến, phân loại định
tuyến, đặc điểm của một số giao thức định tuyến phổ biến và cách cấu hình trên
thiết bị của Cisco. Học xong Phần này, người học có khả năng:
5. Phân biệt được định tuyến tĩnh và định tuyến động
6. Phân biệt được giao thức định tuyến dạng distance-vector, link-state, classful và
classless
7. Trình bày được đặc điểm của các giao thức RIP, OSPF, EIGRP
8. Cấu hình định tuyến tĩnh, định tuyến động bằng các giao thức RIP, OSPF, EIGRP

17
1. Giới thiệu
Định tuyến là chức năng của router giúp xác định quá trình tìm đường đi cho
các gói tin từ nguồn tới đích thông qua hệ thống mạng

Router dựa vào địa chỉ IP đích (destination IP) trong các gói tin và sử dụng
bảng định tuyến (routing table) để xác định đường đi cho chúng.

Trong bảng định tuyến, mỗi mạng mà router có thể chuyển đi (mạng đích) thể
hiện bằng một dòng. Mỗi mạng này có được có thể do chúng đang kết nối trực
tiếp với router đang xét hay router học được thông qua việc cấu hình định tuyến.
2. Phân loại định tuyến
Có hai loại định tuyến là : định tuyến tĩnh và định tuyến động
2.1. Định tuyến tĩnh – static routing
Định tuyến tĩnh là loại định tuyến mà trong đó router sử dụng các tuyến
đường đi tĩnh để vận chuyển dữ liệu đi. Các tuyến đường đi tĩnh này có được do
người quản trị cấu hình thủ công vào các router.
Cấu hình:
R(config)#ip route <destination-net> <subnet-mask> <NextHop|OutPort>
Trong đó: destination-network: là địa chỉ mạng cần đi tới
subnet-mask: subnet mask của destination-
network

18
 next-hop: địa chỉ IP của router kế tiếp kết nối trực tiếp với router
đang xét OutPort: cổng của router mà packet sẽ đi ra
Ví dụ: Cấu hình trên router Cisco A để học mạng 172.16.1.0/24

RouterA(config)#ip route 172.16.1.0 255.255.255.0 S0

Hay
Router(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1
Static route
không có hoạt động gửi thông tin cập nhật như các giao thức định tuyến
động. Nó rất hữu dụng khi hệ thống mạng chỉ có một đường duy nhất đến mạng đích, không

còn đường nào khác phải chọn lựa. Khi đó, ta sẽ cấu hình đường default route
cho hệ thống mạng.
❖ Default route
Default route nằm ở cuối bảng định tuyến và được sử dụng để gửi các gói tin
đi trong trường hợp mạng đích không tìm thấy trong bảng định tuyến. Nó rất hữu
dụng trong các mạng dạng “stub network” như kết nối từ mạng nội bộ ra ngoài
Internet.

2.2. Định tuyến động

Định tuyến động là loại định tuyến mà trong đó router sử dụng các tuyến
đường đi động để vận chuyển dữ liệu đi. Các tuyến đường đi động này có được do
các router sử dụng các giao thức định tuyến động trao đổi thông tin định tuyến với
nhau tạo ra.
Một số giao thức định tuyến động phổ biến: RIP, OSPF, BGP,…
Giao thức định tuyến động chia làm hai loại là distance-vector và link-state
● Distance vector

19
 Giao thức định tuyến thuộc loại này như RIP,…
Các router định tuyến theo Distance vector thực hiện gửi định kỳ toàn bộ
bảng định tuyến của mình và chỉ gửi cho các router láng giềng kết nối trực tiếp
với mình.
Các router định tuyến theo Distance vector không biết được đường đi đến
đích một cách cụ thể, không biết về các router trung gian trên đường đi và cấu
trúc kết nối giữa chúng.
Bảng định tuyến là nơi lưu kết quả chọn đường tốt nhất của mỗi router. Do
đó, khi chúng trao đổi bảng định tuyến với nhau, các router chọn đường dựa trên
kết quả đã chọn của router láng giềng. Mỗi router nhìn hệ thống mạng theo sự chi
phối của các router láng giềng.
Các router định tuyến theo distance vector thực hiện cập nhật thông tin
định tuyến theo định kỳ nên tốn nhiều băng thông đường truyền. Khi có sự thay
đổi xảy ra, router nào nhận biết sự thay đổi đầu tiên sẽ cập nhật bảng định tuyến
của mình trước rồi chuyển bảng định tuyến cập nhật cho các router láng giềng.
● Link state

Các giao thức định tuyến thuộc loại này như OSPF, IS-IS
Trong các giao thức định tuyến link-state, các router sẽ trao đổi các LSA
(link state advertisement) với nhau để xây dựng và duy trì cơ sở dữ liệu về trạng
thái các đường liên kết hay còn gọi là cơ sở dữ liệu về cấu trúc mạng (topology
database). Các thông tin trao đổi được gửi dưới dạng multicast.
Như vậy mỗi router đều có một cái nhìn đầy đủ và cụ thể về cấu trúc của hệ
thống mạng. Từ đó mỗi router sẽ dùng thuật toán SPF để tính toán chọn đường đi
tốt nhất đến từng mạng đích.

20
 Khi các router định tuyến theo link-state đã hội tụ xong, nó không thực
hiện cập nhật định tuyến định kỳ mà chỉ cập nhật khi nào có sự thay đổi xảy ra.
Do đó thời gian hội tụ nhanh và ít tốn băng thông.
Giao thức định tuyến theo link-state có hỗ trợ CIDR, VLSM nên chúng là
một chọn lựa tốt cho các mạng lớn và phức tạp. Nhưng đồng thời nó đòi hỏi dung
lượng bộ nhớ lớn và khả năng xử lý mạnh của CPU của router.
Để đảm bảo là các database luôn cập nhật thông tin mới, trong các LSA này
được đánh thêm chỉ số sequence. Chỉ số sequence được bắt đầu từ giá trị initial
đến giá trị Maxage. Khi một router nào đó tạo ra một LSA, nó sẽ đặt giá trị
sequence bằng initial. Mỗi khi router gửi ra một phiên bản LSA update khác, nó
sẽ tăng giá trị đó lên 1. Như vậy, giá trị sequence càng cao thì LSA update càng
mới.
Nếu giá trị sequence này đạt đến max-age, router sẽ flood LSA ra cho tất cả
các router còn lại, sau đó router đó sẽ set giá trị sequence về initial.
❖ Ngoài cách phân chia các giao thức định tuyến động theo hai loại : distance
vector và link-state như chúng ta đã tìm hiểu bên trên, các giao thức định
tuyến còn được phân thành hai loại, đó là classfull routing protocol và
classless routing protocol.
● Classfull routing protocol
Các giao thức định tuyến nhóm classfull không quảng bá subnet-mask cùng
với địa chỉ đích trong các gói tin cập nhật định tuyến (routing update). Do đó, khi
router nhận được các update này, router phải lấy giá trị network-mask mặc định có
cùng với địa chỉ lớp mạng của địa chỉ đích.
Nếu địa chỉ đích được kết nối trực tiếp với router, network-mask được lấy
cùng với mask được cấu hình trên interface kết nối đến mạng đó. Nếu địa chỉ đích
không nối trực tiếp (disconnected), router sẽ lấy địa chỉ subnetmask default của
địa chỉ đích.
● Classless routing protocol
Các giao thức định tuyến thuộc nhóm classless sẽ quảng bá subnet –mask
cùng với địa chỉ đích trong các gói tin cập nhật định tuyến.
❖ Hai tham số quan trọng trong định tuyến: Metric và AD
✓ Metric
Là tham số được sử dụng để chọn đường tốt nhất cho việc định tuyến. Đây là
giá trị mà bất kỳ giao thức định tuyến nào cũng phải dùng để tính toán đường đi
đến mạng đích.
Trong trường hợp có nhiều đường đi đến một mạng đích thì đường đi nào có
metric thấp nhất sẽ được lựa chọn để đưa vào bảng định tuyến. Mỗi giao thức
định tuyến có một kiểu metric khác nhau.

✓ AD
21
 AD (Administrative Distance) là giá trị quy ước dùng để chỉ độ tin cậy của các
giao thức định tuyến, giao thức nào có AD nhỏ hơn sẽ được xem là đáng tin cậy
hơn. Trong trường hợp router học được một mạng đích thông qua nhiều giao thức
định tuyến khác nhau, thì tuyến của giao thức định tuyến nào có AD nhỏ nhất thì
sẽ được lựa chọn và đưa vào bảng định tuyến.
3. Cấu hình định tuyến động – distance vector
3.1. RIP
RIP là một giao thức định tuyến theo kiểu distance-vector. Hop count được sử
dụng làm metric cho việc chọn đường. Nếu có nhiều đường đến cùng một đích thì
RIP sẽ chọn đường nào có số hop-count (số router) ít nhất.
Nếu hop-count lớn hơn 15 thì packet bị loại bỏ. Mặc định thời gian update là
30 giây. Administrative Distance là 120.
RIP có hai phiên bản là RIPv1 và RIPv2.
RIPv1:
RIPv1 là một giao thức định tuyến theo kiểu distance-vector và là một giao
thức định tuyến theo lớp (classfull routing protocol). Metric của RIP là hop-count.
Cập nhật định tuyến theo chu kỳ mặc định là 30 giây. Hop-count tối đa để chuyển
gói là 15.
RIPv1 không hỗ trợ VLSM và mạng không liên tục (discontigous network).
Các câu lệnh cấu hình
Router(config)#router rip
Router(config-router)#network network_number
RIPv2:
RIPv2 là một phiên bản cải tiến của RIPv1. RIPv2 là giao thức định tuyến
dạng classless, nghĩa là có gửi thông tin subnet-mask qua cập nhật định tuyến. Nó
hỗ trợ VLSM, hỗ trợ chứng thực trong các cập nhật định tuyến.
RIPv2 cập nhật định tuyến dạng multicast, sử dụng địa chỉ lớp D 224.0.0.9.
- Metric của RIPv2
Giống như RIPv1, RIPv2 sử dụng metric là hop-count.
- Cấu hình RIPv2
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network network-number
Ví dụ:

22
 Bảng so sánh giữa RIPv1 và RIPv2
Đặc điểm RIPv1 RIPv2
Loại định tuyến Classful Classless
Hỗ trợ VLSM và mạng không liên tục Không Có
Gửi kèm Subnet-mask trong bản tin cập nhật Không Có
định tuyến
Quảng bá thông tin định tuyến Broadcast Multicast
Hỗ trợ tóm tắt các tuyến thủ công Không Có
Hỗ trợ chứng thực Không Có
Định nghĩa trong RFC RFC 1058
RFC 1721,
1722, 2453
- Mạng không liên tục (discontiguous network): là mạng mà trong đó
các mạng con (subnet) của cùng một mạng lớn (major network: là mạng theo
đúng lớp) bị ngăn cách bởi “major-network” khác.

❖ Chứng thực trong RIPv2

Chứng thực trong định tuyến là cách thức bảo mật trong việc trao đổi thông
tin định tuyến giữa các router. Nếu có cấu hình chứng thực thì các router phải
vượt qua quá trình này trước khi các thông tin trao đổi định tuyến được thực hiện.
RIPv2 hỗ trợ hai kiểu chứng thực là: “Plain text” và “MD5”
● Chứng thực dạng “Plain Text”: còn gọi là “Clear text”
Quá trình chứng thực chỉ đơn giản là các router được cấu hình một khóa
(password) và trao đổi chúng để so khớp. Các khóa này được gửi dước dạng
không mã hóa trên đường truyền.

23
 Các bước cấu hình:
Bước 1. Tạo bộ khóa
Router(config)#key chain <name>
Bước 2. Tạo các khóa
Router(config-keychain)#key <key-id>
Router(config-keychain-key)#key-string <password>
Bước 3. Áp đặt vào cổng gửi chứng thực
Router(config)#interface <interface>
Router(config-if)#ip rip authentication key-chain <name>
Ví dụ: Cấu hình chứng thực trong định tuyến RIPv2 dạng “Plain Text”

R1(config)#key chain newstar

R1(config-keychain)#key 1
R1(config-keychain-key)#key-string ccna
R1(config)#interface S0/0/0
R1(config-if)#ip rip authentication key-chain newstar
R2(config)#key chain newstar2
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string ccna
R2(config)#interface S0/0/0
R2(config-if)#ip rip authentication key-chain newstar2
● Chứng thực dạng MD5
Dạng chứng thực này sẽ gửi thông tin về khóa đã được mã hóa giúp các
thông tin trao đổi được an toàn hơn. Các bước cấu hình tương tự như dạng “Plain
Text”, chỉ có khác ở bước 3 phải thêm 1 lệnh sau:
Router(config-if)#ip rip authentication mode md5
Ví dụ: Sử dụng lại mô hình mạng trong ví dụ chứng thực dạng “Plain Text”,
chúng ta sẽ cấu hình chứng thực định tuyến RIPv2 bằng MD5 với tên bộ khóa là
“spkt” và mật khẩu là “123456” trên R1 và tên bộ khóa là “cntt” và mật khẩu là
“123456” trên R2
R1(config)#key chain spkt
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 123456

24
 R1(config)#interface S0/0/0
R1(config-if)#ip rip authentication mode md5
R1(config-if)#ip rip authentication key-chain spkt

R2(config)#key chain cntt R2(config-keychain)#key 1

R2(config-keychain-key)#key-string 123456
R2(config)#interface S0/0/0
R2(config-if)#ip rip authentication mode md5
R2(config-if)#ip rip authentication key-chain cntt
❖ Các lệnh kiểm tra cấu hình
R#debug ip rip
R#show ip route
3.2. OSPF
OSPF (Open Shortest Path First) là một giao thức định tuyến dạng link-
state, sử dụng thuật toán Dijkstra “ Shortest Path First (SPF)” để xây dựng bảng
định tuyến.
OSPF mang những đặc điểm của giao thức link-state. Nó có ưu điểm là hội
tụ nhanh, hỗ trợ được mạng có kích thước lớn và không xảy ra routing loop. Là
giao thức định tuyến dạng classless nên hỗ trợ VLSM và mạng không liên tục
(discontigous network). OSPF sử dụng địa chỉ multicast 224.0.0.5 và 224.0.0.6
(DR và BDR router) để gửi các thông điệp hello và update.
Bên cạnh đó OSPF còn sử dụng area để giảm yêu cầu về CPU, memory
của OSPF router cũng như lưu lượng định tuyến. OSPF còn có khả năng hỗ trợ
chứng thực dạng plaintext và dạng MD5.
❖ Metric của OSPF
OSPF sử dụng metric là cost. Cost của toàn tuyến được tính theo cách cộng
dồn cost dọc theo tuyến đường đi của packet. Cách tính cost được IETF đưa ra
trong RFC 2328.
Cost được tính dựa trên băng thông sao cho tốc độ kết nối của đường link càng
cao thì cost càng thấp dựa trên công thức 108/bandwidth với giá trị bandwidth
được cấu hình trên mỗi interface và đơn vị tính là bps.
Tuy nhiên, chúng ta có thể thay đổi giá trị cost. Nếu router có nhiều đường đến
đích mà cost bằng nhau thì router sẽ cân bằng tải trên các đường đó (tối đa là 16
đường). Những tham số bắt buộc phải giống nhau trong các router chạy OSPF
trong một hệ thống mạng đó là Hello/dead interval, Area – ID, authentication
password (nếu có), stub area flag.

❖ Các loại môi trường OSPF

25
 ● Multiple access (ethernet)
● Point-to-point
● NBMA (Non-Broadcast Multiple Access)
❖ Quá trình xây dựng bảng định tuyến của OSPF
● Các OSPF gửi các gói hello định kỳ để thiết lập quan hệ láng giềng
(neighbor). Gói tin hello mang các thông tin thương lượng với các router
neighbor trước khi thiết lập quan hệ adjacency. Trong mạng đa truy cập,
giao thức hello sẽ bầu ra DR và BDR. DR và BDR sẽ thiết lập mối quan hệ
adjacency với tất cả các router khác và những router này chỉ trao đổi thông
tin với DR và BDR. Trong mạng point-to-point không cần chọn DR và
BDR.
● Mỗi router nhận một LSA từ neighbor với cơ sở dữ liệu về trạng thái các
đường liên kết (link-state database) của neighbor đó và gửi một copy của
LSA tới tất cả neighbor khác của nó.
● Bằng cách flooding các LSA cho toàn bộ một area, tất cả router sẽ xây
dựng chính xác link state database. Khi database được hoàn tất, mỗi router
sử dụng thuật toán SPF để xây dựng nên cây SPF.
● Mỗi router sẽ xây dựng nên bảng định tuyến từ cây SPF. Kết quả là mỗi
router sẽ có thông tin về đường đến tất cả các mạng đích trong hệ thống
mạng.
❖ Quá trình bầu chọn DR và BDR
Quá trình bầu chọn liên quan đến 2 tham số: độ ưu tiên (priority) và router ID.
Tham số priority được chọn trước tiên, giá trị priroity nằm trong khoảng từ 0 đến
255. Nếu priority đặt là 0 thì router này sẽ không tham gia vào quá trình bầu chọn
DR/BDR. Router nào có có độ ưu tiên cao nhất sẽ được chọn là DR, cao thứ hai
sẽ là BDR. Mặc định giá trị priority OSPF là
1. Khi giá trị priority đề bằng nhau thì OSPF sẽ bầu chọn DR dựa vào tham số thứ
hai là router ID.
Trong hệ thống mạng dùng OSPF không cấu hình cổng interface loopback thì
giá trị router ID được chọn là giá trị địa chỉ IP lớn nhất của các interface đang
hoạt động (active interface) của router. Nếu có cổng loopback thì cổng loopback
được chọn, trường hợp có nhiều cổng loopback thì chọn cổng loopback nào có địa
chỉ IP cao nhất.
❖ Cấu hình OSPF
● Khởi tạo tiến trình định tuyến OSPF
Router(config)#router ospf <process-id>
● Chọn cổng tham gia vào quá trình trao đổi thông tin định tuyến

Router(config-router)# network <address> <wildcard-mask> area <area-id>

26
Trong đó:
- Process-id: chỉ số tiến trình của OSPF, mang tính chất cục bộ, có giá trị 1
đến 65535.
- Address: địa chỉ cổng tham gia định tuyến
- Wildcard mask: điều kiện kiểm tra giữa địa chỉ cấu hình trong address và
địa chỉ các cổng trên router, tương ứng bit 0 – phải so khớp, bit 1 – không
cần kiểm tra.
- Area-id: vùng mà cổng tương ứng thuộc về trong kiến trúc OSPF.
Ví dụ:

❖ Các câu lệnh kiểm tra cấu hình OSPF

Router#show ip protocol
Router#show ip route Router#show ip
ospf interface
Router#show ip ospf neighbor
Router#debug ip ospf events
Router#debug ip ospf packet
❖ Chứng thực trong OSPF
Giao thức OSPF hỗ trợ hai dạng chứng thực là: “Plain Text” và MD5
● Chứng thực bằng “Plain Text”
Cấu hình giữa hai cổng của 2 router nối trực tiếp với nhau để chứng thực
giữa chúng trước khi trao đổi thông tin định tuyến. Mật khẩu gửi chứng thực
không được mã hóa.
R(config)#interface <interface>
R(config-if)#ip ospf authentication
R(config-if)#ip ospf authentication-key <password>
● Chứng thực bằng MD5
Trên cổng của router gửi thông tin chứng thực cấu hình lệnh sau:
R(config)#interface <interface>
R(config-if)#ip ospf authentication message-digest R(config-if)#ip ospf
messages-digest-key 1 md5 <password>

27
Ví dụ 1: Cho mô hình mạng sau.
Yêu cầu: Cấu hình OSPF cho các router RA, RB và RC (Area 0) trong mô hình
mạng sau để quảng bá các thông tin định tuyến. Cấu hình chứng thực dạng “Plain
Text” và MD5 giữa 2 router: RA và RB với mật khẩu là “cisco”.

Hướng dẫn cấu hình:

Bước 1: Cấu hình cơ bản (đặt hostname, địa chỉ IP cho các cổng: Serial,
FastEthernet)
Bước 2: Cấu hình giao thức định tuyến OSPF trên mỗi router
RA(config)#router ospf 1
RA(config-router)#network 150.1.1.0 0.0.0.255 area 0
RA(config-router)#network 193.1.1.0 0.0.0.255 area 0
RB(config)#router ospf 1
RB(config-router)#network 193.1.1.0 0.0.0.255 area 0
RB(config-router)#network 193.1.2.0 0.0.0.255 area 0
RC(config)#router ospf 1
RC(config-router)#network 150.1.2.0 0.0.0.255 area 0 RC(config-
router)#network 193.1.2.0 0.0.0.255 area 0
Bước 3.1. Cấu hình chứng th c dạng “Plain Text” giữa 2 router: R và RB
RA(config)#int S0/0/0
RA(config-if)#ip ospf authentication
RA(config-if)#ip ospf authentication-key cisco
RB(config)#int S0/0/1
RB(config-if)#ip ospf authentication
RB(config-if)#ip ospf authentication-key cisco
Bước 3.2 Cấu hình chứng th c dạng MD5 giữa 2 router: R và RB
RA(config)#int S0/0/0
RA(config-if)#ip ospf authentication message-digest
RA(config-if)#ip ospf messages-digest-key 1 md5 cisco
RB(config)#int S0/0/1
RB(config-if)#ip ospf authentication message-digest

RB(config-if)#ip ospf messages-digest-key 1 md5 cisco

28
Bước 4. Kiểm tra cấu hình
Thực hiện các câu lệnh sau để kiểm tra cấu hình show ip route:
xem bảng định tuyến debug ip ospf event: xem quá trình cập
nhật định tuyến của OSPF
Ví dụ 2: Định tuyến động – OSPF

❖ Mô tả
● RA, RB, RC sử dụng OSPF để quảng bá thông tin định tuyến
● Các router cấu hình OSPF và quảng bá tất cả các mạng nối trực tiếp. Từ
Router RA, RB và RC ta ping được hết các địa chỉ trong mạng.
❖ Các bước thực hiện
● Đặt hostname, địa chỉ IP cho các cổng trên router.
● Cấu hình giao thức định tuyến OSPF trên mỗi router
RA(config)#router ospf 1
RA(config-router)#network 150.1.1.0 0.0.0.255 area 1 RA(config-
router)#network 193.1.1.0 0.0.0.255 area 0
RB(config)#router ospf 1
RB(config-router)#network 193.1.1.0 0.0.0.255 area 0 RB(config-
router)#network 193.1.2.0 0.0.0.255 area 0
RC(config)#router ospf 1
RC(config-router)#network 150.1.2.0 0.0.0.255 area 2
RC(config-router)#network 193.1.2.0 0.0.0.255 area 0
❖ Kiểm tra cấu hình
Thực hiện các câu lệnh sau để kiểm tra cấu hình
Router#show ip route: xem bảng định tuyến
Router#ping: kiểm tra kết nối

29
3.3. EIGRP
EIGRP là giao thức định tuyến do Cisco tạo ra, chỉ hoạt động trên các thiết bị
của Cisco. EIGRP là một giao thức định tuyến lai, nó vừa mang những đặc điểm
của “distance vector” vừa mang một số đặc điểm của ”link-state”. EIGRP là dạng
định tuyến “classless”.
EIGRP hỗ trợ VLSM và CIDR nên sử dụng hiệu quả không gian địa chỉ, sử
dụng địa chỉ multicast (224.0.0.10) để trao đổi thông tin cập nhật định tuyến.
❖ Cách tính metric của EIGRP

Với K1, K2, K3, K4, K5 là hằng số

Mặc định: K1=1, K2=0, K3=1, K4=0,
K5=0
Do đó, ta có: metric = bandwith +
delay
Những xử lý cơ bản của EIGRP trong việc học các mạng đích:
● Các router phát hiện các láng giềng của nó, danh sách các láng giềng được
lưu giữ trong “neighbor table”.
● Mỗi router sẽ trao đổi các thông tin về cấu trúc mạng với các láng giềng
của nó.
● Router đặt những thông tin về cấu trúc hệ thống mạng học được vào cơ sở
dữ liệu về cấu trúc mạng (topology table).
● Router chạy thuật toán DUAL với cơ sở dữ liệu đã thu thập được ở bước
trên để tính toán tìm ra đường đi tốt nhật đến mỗi một mạng trong cơ sở dữ
liệu.
● Router đặt các đường đi tốt nhất đến mỗi mạng đích vào bảng định tuyến.
● Trong EIGRP có hai tuyến ta cần quan tâm là “successor route” và
“fessible successor route”.
✓ Successor route: là tuyến đường đi chính được sử dụng để chuyển dữ
liệu đến đích, được lưu trong bảng định tuyến. EIGRP cho phép chia tải
tối đa trên 16 đường (mặc định là 4 đường) đến mỗi mạng đích.
✓ Fessible successor route: là đường đi dự phòng cho đường đi chính và
được lưu trong bảng cấu trúc mạng (topology table).
❖ EIGRP chống “routing loop”
“Routing loop” là một trở ngại rất lớn trong các giao thức định tuyến dạng
“distance vector”. Các giao thức định tuyến dạng “link-state” vượt qua vấn đề

này bằng cách mỗi router đều nắm giữ toàn bộ cấu trúc mạng. Trong giao thức

30
EIGRP, khi tuyến đường đi chính gặp sự cố, router có thể kịp thời đặt đường đi dự
phòng vào bảng định tuyến đóng vai trò như đường đi chính.
Trường hợp không có đường đi dự phòng, EIGRP sử dụng thuật toán DUAL
cho phép router gửi các yêu cầu và tính toán lại các đường đi đến đích.
❖ Cấu hình EIGRP
- Bước 1. Kích hoạt giao thức định tuyến EIGRP
Router(config)#router eigrp <autonomous-system>
Trong đó: autonomous-system: có giá trị từ 1 đến 65535, giá trị này phải
giống nhau ở tất cả các router trong hệ thống chạy EIGRP
- Bước 2. Chọn cổng tham gia vào quá trình trao đổi thông tin định tuyến
Router(config-router)#network <network-number>
Trong đó: network-number là địa chỉ cổng theo đúng lớp mạng của nó.
Để quảng bá các mạng con và hỗ trợ mạng không liên tục, chúng ta phải sử
dụng lệnh sau:
Router(config-router)#no auto-summary
Ví dụ: Cấu hình định tuyến EIGRP cho mô hình mạng sau

❖ Các câu lệnh kiểm tra cấu hình EIGRP

Router#show ip eigrp neighbors Router#show ip
eigrp topology
Router#show ip route eigrp
Router#show ip protocols
Router#show ip eigrp traffic
❖ Chứng thực trong EIGRP
EIGRP chỉ hỗ trợ một dạng chứng thực là MD5.
Trên cổng của router gửi thông tin chứng thực cấu hình lệnh sau:
R(config)#key chain <keychain>

R(config-keychain)#key <key-id>

31
 R(config-keychain-key)#key-string <password>
R(config)#interface <interface>
R(config-if)#ip authentication mode eigrp <AS> md5
R(config-if)#ip authentication key-chain eigrp <AS> <keychain>
Ví dụ: Cấu hình chứng thực cho giao thức định tuyến EIGRP giữa hai router R1
và R2.

● Hướng dẫn cấu hình

- Cấu hình cơ bản: hostname, địa chỉ IP cho các cổng trên các router.
- Cấu hình định tuyến EIGRP AS 100
R1(config)#router eigrp 100
R1(config-if)#network 192.168.12.0
R1(config-if)#network 172.16.0.0
R1(config-if)#no auto-summary
R2(config)#router eigrp 100
R2(config-if)#network 192.168.12.0
R2(config-if)#network 192.168.10.0
R2(config-if)#no auto-summary
- Cấu hình chứng thực
R1(config)#key chain my_keychain1
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config)#interface fa0/0
R1(config-if)#ip authentication mode eigrp 100 md5
R1(config-if)#ip authentication key-chain eigrp 100 my_keychain1
R2(config)#key chain my_keychain2
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R2(config)#interface fa0/0
R2(config-if)#ip authentication mode eigrp 100 md5
R2(config-if)#ip authentication key-chain eigrp 100 my_keychain2
● Kiểm tra cấu hình: Dùng các lệnh sau show ip eigrp
neighbors show ip eigrp interfaces details show key

chain

32
3.4. Redistribution giữa các giao thức định tuyến
Nếu một hệ thống mạng chạy nhiều hơn một giao thức định tuyến, người
quản trị cần một vài phương thức để phân phối các đường đi của một giao thức
này vào một giao thức khác. Quá trình đó gọi là phân phối giữa các giao thức định
tuyến (redistribution).

Phân phối định tuyến định nghĩa cách thức trao đổi thông tin định tuyến giữa
các giao thức định tuyến. Mỗi giao thức định tuyến có cách tính toán “metric”
khác nhau, do đó khi thực hiện quá trình phân phối thì dạng ”metric” sẽ được
chuyển đổi sao cho phù hợp với giao thức định tuyến đó để các giao thức đó có
thể quảng bá các đường đi cho nhau.
● Phân phối định tuyến giữa RIP và OSPF
- Quảng bá các tuyến học được từ OSPF vào RIP
Router(config)#router rip
Router(config-router)#redistribute ospf 1 metric <number>
Lưu ý: Do RIP sử dụng metric có giá trị tối đa là 15 nên giá trị <number> trong
lệnh trên cũng phải nhỏ hơn 15.
- Quảng bá các tuyến học được từ RIP vào OSPF
Router(config)#router ospf <process-id>
Router(config-router)#redistribute rip metric <metric> subnets
Ví dụ: Cho mô hình mạng sau

Mô tả yêu cầu:
✓RA, RB sử dụng OSPF để quảng cáo thông tin định tuyến

33
 ✓RB, RC sử dụng RIP để quảng cáo thông tin định tuyến
✓Từ RA, RB, RC ping được hết các địa chỉ trong mạng Các bước th
c hiện:
✓Đặt hostname, địa chỉ IP cho các cổng trên router.
✓Cấu hình giao thức định tuyến OSPF trên mỗi RA và RB
RA(config)#router ospf 1
RA(config-router)#network 172.16.10.0 0.0.0.255 area 0
RA(config-router)#network 192.168.12.0 0.0.0.3 area 0
RB(config)#router ospf 1
RB(config-router)#network 192.168.12.0 0.0.0.3 area 0
RB(config)#router rip
RB(config-router)#version 2
RB(config-router)#network 192.168.23.0
RB(config-router)#no auto-summary
RC(config)#router rip
RC(config-router)#version 2
RC(config-router)#network 192.168.23.0
RC(config-router)#network 10.0.0.0
RC(config-router)#no auto-summary
✓ Cấu hình phân phối định tuyến
Để RC thấy được RA, ta thực hiện các lệnh sau:
RB(config)#router rip
RB(config-router)#redistribute ospf 1 metric 3
Tương tự: để RA thấy RC
RB(config)#router ospf 1
RB(config-router)#redistribute rip metric 100 subnets
✓ Kiểm tra cấu hình
Thực hiện các câu lệnh sau để kiểm tra cấu hình
Router#show ip route: xem bảng định tuyến
Router#ping: kiểm tra kết nối
●Phân phối định tuyến giữa RIP và EIGRP
- Quảng bá các tuyến học được từ EIGRP vào RIP
RB(config)#router rip

RB(config-router)#redistribute eigrp <AS> metric <number>

34
 - Quảng bá các tuyến học được từ RIP vào EIGRP
RB(config)#router eigrp <AS>
RB(config-router)#redistribute rip metric BW DL L R MTU
Trong đó: BW, DL, L, R, MTU tương ứng với các thông số trong metric của
EIGRP (trừ MTU). Tương tự, chúng ta có thể suy luận ra phương pháp để phân
phối các tuyến học được từ một giao thức này sang một giao thức khác là phải
tuân theo thông số về metric của giao thức mà ta sẽ phân phối vào.
Ví dụ:

Mô tả
✓ RA, RB sử dụng EIGRP để quảng cáo thông tin định tuyến
✓ RB, RC sử dụng RIP để quảng cáo thông tin định tuyến
✓ Từ RA, RB, RC ping được hết các địa chỉ trong mạng
Các bước thực hiện
✓ Đặt Hostname, địa chỉ IP cho các cổng trên router.
✓ Cấu hình giao thức định tuyến EIGRP trên mỗi RA và RB
RA(config)#router eigrp 100
RA(config-router)#network 172.16.0.0
RA(config-router)#network 192.168.12.0
RA(config-router)#no auto-summary
RB(config)#router eigrp 100
RB(config-router)#network 192.168.12.0
RB(config-router)#no auto-summary
RB(config)#router rip
RB(config-router)#version 2
RB(config-router)#network 192.168.23.0
RB(config-router)#passive interface S0/0/0
RC(config)#router rip

RC(config-router)#version 2

35
 RC(config-router)#network 10.0.0.0
RC(config-router)#network 192.168.23.0
Để RC thấy được RA, ta thực hiện các lệnh phân phối định tuyến:
RB(config)#router rip
RB(config-router)#redistribute eigrp 100 metric 3
Tương tự: để RA thấy RC
RB(config)#router eigrp 100
RB(config-router)#redistribute rip metric 100 1 255 255 1500
❖ Kiểm tra
Thực hiện các câu lệnh sau để kiểm tra cấu hình
show ip route: xem bảng định tuyến ping:
kiểm tra kết nối
4. DHCP
Dịch vụ DHCP cung cấp địa chỉ IP tự động cho các thiết bị trong mạng. Đây
là một dịch vụ được sử dụng phổ biến đơn giản hóa trong việc cấu hình, quản lý
địa chỉ trong mạng.
DHCP hoạt động theo dạng Client/Server. Máy chủ đóng vai trò DHCP
server được cấu hình các tham số để cấp phát. Các tham số gồm: Tên, địa chỉ
mạng, dãy địa chỉ cấp phát, default-gateway, địa chỉ DNS, thời gian người dùng
sử dụng địa chỉ IP này.
❖ Nguyên tắc hoạt động:
Quá trình trao đổi thông tin giữa DHCP server và DHCP client trong trường hợp
chúng nằm cùng miền quảng bá diễn ra như sau:
o Bước 1: DHCP client gửi gói tin DHCPDISCOVER dạng broadcast đến
DHCP Server o Bước 2: DHCP Server gửi lại gói DHCPOFFER dạng
broadcast cho DHCP client o Bước 3. DHCP Client gửi gói
DHCPREQUEST dạng broadcast cho DHCP server o Bước 4. DHCP
Server gửi gói DHCPACK dạng broadcast cho DHCP client
Trong trường hợp DHCP server và DHCP client nằm khác miền quảng bá, thì
cần thiết phải sử dụng một thiết bị trung gian để chuyển tiếp yêu cầu từ DHCP
client đến DHCP server. Bởi vì, trong trường hợp này các gói tin (local) broadcast
từ client bị router chặn nên sẽ không đến được DHCP server.
5. Tính sẵn sàng và dự phòng
● Load balancing
Kỹ thuật Load Balancing (cân bằng tải) là một kỹ thuật phân phối lưu lượng công
việc qua hai hay nhiều máy tính, liên kết mạng, CPU, ổ cứng hoặc các tài nguyên

tác để có thể sử dụng được tối ưu các tài nguyên hệ thống, giảm thiểu thời gian
phản ứng, tránh quá tải, làm tăng độ tin cậy trong trong các hoạt động của hệ
36
thống. Các thành phần được sử dụng trong kỹ thuật cân bằng tải có thể là phần
cứng hay phần mềm ● High Availability (HA)
HA (độ sẵn sàng) trong hệ thống mạng là một kỹ thuật tạo ra tính năng dự phòng
(backup) trong hoạt động truyền thông trên mạng.
Sự kết hợp của hai kỹ thuật HA và Load Balancing tạo nên một hệ thống mạng có
tính dự phòng hệ thống trên cả các thiết bị phần cứng (Router, Switch, Firewall,
…) hay thiết bị phần mềm (Server Clustering,…) đồng thời thực hiện chức năng
chia tải, nâng cao hiệu quả trong việc sử dụng tài nguyên hệ thống và công việc
quản trị mạng.
● HSRP
Mô hình HSRP gồm 2 hay nhiều Router. Trong đó một Router luôn ở trạng thái
hoạt động gọi là Activer Router và các router dự phòng gọi là Standby Router.
Mỗi router sử dụng một độ ưu tiên (priority), mặc định là 100. Dựa vào tham số
Priority, Router nào có chỉ số Priority cao nhất sẽ trở thành Active Router và
những Router còn lại là Standby Router.
● VRRP
Cũng tương tự như HSRP, VRRP cũng sử dụng nhiều Router. Trong đó, có một
Router được chọn làm Master và các Router còn lại gọi là Backup. Mô hình sử
dụng nhiều nhóm VRRP sẽ hỗ trợ thêm tính năng tận dụng các Router chưa làm
việc và cân bằng tải cho hệ thống.
● GLBP
Là giao thức của Cisco. Giống như HSRP, trong nhóm GLBP cũng bầu chọn một
Active Router gọi là Active Virtual Gateway (AVG) và các router còn lại gọi là
Backup Router cho AVG. AVG gán từng Virtual MAC address đến mỗi Router.
Mỗi router sau khi được gán địa chỉ MAC sẽ đảm nhận nhiệm vụ định hướng gói
tin, được gọi là Active Virtual Forwarder (AVF)
6. Tổng kết Phần
Trong Phần này đề cập đến một số vấn đề cơ bản và định tuyến. Định tuyến
là quá trình tìm đường đi cho các gói tin từ nơi gửi đến nơi nhận. Quá trình định
tuyến được phân làm 2 loại là định tuyến tĩnh và định tuyến động.
Định tuyến tĩnh là quá trình định tuyến sử dụng các tuyến được cấu hình thủ
công bởi người quản trị mạng, còn định tuyến động là quá trình định tuyến được
thực hiện bằng các giao thức định tuyến động.
Trong định tuyến động người ta phân ra làm 2 dạng: distance-vector và link-
state. Ngoài ra, định tuyến còn được chia thành 2 kiểu là classful và classless.
RIPv1 là giao thức định tuyến động theo dạng distance-vector và là giao
thức định tuyến theo kiểu classful, có nghĩa là không mang theo thông tin subnet-

mask trong các thông tin cập nhật định tuyến và mỗi router nhìn hệ thống mạng
theo sự chi phối của các router láng giềng. RIPv2 là một giao thức định tuyến cải
37
tiến từ RIPv1, mang các đặc điểm của loại giao thức distance-vector. Tuy nhiên,
RIPv2 thuộc nhóm giao thức classless. Do đó, nó còn mang một số tính chất như
hỗ trợ VLSM và mạng không liên tục.
OSPF là một giao thức định tuyến loại link-state, thuộc nhóm giao thức
classless. OSPF được sử dụng trên các mạng lớn, phức tạp. EIGRP là một giao
thức lai giữa distance-vector và link-state. EIGRP thuộc nhóm giao thức
classless.‟
Phần 4. SWITCH

Phần này đề cập đến một số kỹ thuật được triển khai trên Switch như VL N,
VTP, STP. Học xong Phần này, người học có khả năng:
● Phân biệt giữa miền đụng độ và miền quảng bá
● Trình bày được khái niệm và đặc điểm của VL N, VTP, STP
● Cấu hình VL N, VTP, STP trên switch
● Cấu hình định tuyến giữa các VL N

1. Giới thiệu
● Collision domain: miền đụng độ
Đụng độ xảy ra khi có hai hay nhiều máy truyền dữ liệu đồng thời trong
một mạng chia sẻ. Khi đụng độ xảy ra, các gói tin đang được truyền đều bị phá
hủy, các máy đang truyền sẽ ngưng việc truyền dữ liệu và chờ một khoảng thời
gian ngẫu nhiên theo quy luật của CSMA/CD. Nếu đụng độ xảy ra quá nhiều
mạng có thể không hoạt động được.
Miền đụng độ là khu vực mà dữ liệu được phát ra có thể bị đụng độ. Tất cả
các môi trường mạng chia sẻ là các miền đụng độ.
● Broadcast domain: miền quảng bá
Các thông tin liên lạc trong mạng được thực hiện theo ba cách: unicast,
multicast và broadcast.
- Unicast: gửi trực tiếp từ một máy đến một máy.
- Multicast: được thực hiện khi một máy muốn gửi gói tin cho một nhóm
máy. - Broadcast: được thực hiện khi một máy muốn gửi cho tất cả các
máy khác trong mạng.
Khi một thiết bị muốn gửi một gói quảng bá thì địa chỉ MAC đích của gói
tin đó sẽ là FF:FF:FF:FF:FF:FF. Với địa chỉ như vậy, mọi thiết bị đều nhận và xử
lý gói quảng bá.
Miền quảng bá là miền bao gồm tất cả các thiết bị có thể nhận được gói tin
quảng bá từ một thiết bị nào đó trong LAN.

38
 Switch là thiết bị hoạt động ở tầng liên kết dữ liệu, khi Switch nhận được
gói quảng bá thì nó sẽ gửi ra tất cả các cổng của nó trừ cổng nhận gói tin vào.
Mỗi thiết bị nhận được gói quảng bá đều phải xử lý thông tin nằm trong đó.
Router là thiết bị hoạt động ở tầng mạng, router không chuyển các gói
quảng bá. Router được sử dụng để chia mạng thành nhiều miền đụng độ và nhiều
miền quảng bá.
2. VLAN
VLAN (Virtual LAN) là kỹ thuật được sử dụng trên Switch, dùng để chia
một Switch vật lý thành nhiều Switch luận lý. Mỗi một Switch luận lý gọi là một
VLAN hoặc có thể hiểu VLAN là một tập hợp của các cổng trên Switch nằm
trong cùng một miền quảng bá. Các cổng trên Switch có thể được nhóm vào các
VLAN khác nhau trên một Switch hoặc được triển khai trên nhiều Switch.

Hình 2.1 Chia VLAN trên switch

Khi có một gói tin quảng bá được gửi bởi một thiết bị nằm trong một
VLAN sẽ được chuyển đến các thiết bị khác nằm trong cùng VLAN đó, gói tin
quảng bá sẽ không được chuyển tiếp đến các thiết bị thuộc VLAN khác.
VLAN cho phép người quản trị tổ chức mạng theo luận lý chứ không theo
vật lý. Sử dụng VLAN có ưu điểm là:
✓ Tăng khả năng bảo mật
✓ Thay đổi cấu hình LAN dễ dàng ✓ Di chuyển máy
trạm trong LAN dễ dàng ✓ Thêm máy trạm vào
LAN dễ dàng.
VLAN = broadcast domain = logical network
Một VLAN là một tập hợp của các switchport nằm trong cùng một broadcast
domain. Các cổng trên switch có thể được nhóm vào các VLAN khác nhau trên
từng switch hoặc trên nhiều switch.

39
 Khi có một gói tin broadcast được gửi bởi một thiết bị nằm trong một VLAN
sẽ được chuyển đến các thiết bị khác nằm trong cùng VLAN đó, broadcast sẽ
không được forward đến các thiết bị trong vlan khác.
3. Phân loại
● VLAN tĩnh (Static VLAN)

Đối với loại này, các cổng của Switch được cấu hình thuộc về một VLAN
nào đó, các thiết bị gắn vào cổng đó sẽ thuộc về VLAN đã định trước. Đây là loại
VLAN dùng phổ biến.
● VLAN động (dynamic VLAN)

Loại VLAN này sử dụng một server lưu trữ địa chỉ MAC của các thiết bị và
qui định VLAN mà thiết bị đó thuộc về, khi một thiết bị gắn vào Switch, Switch
sẽ lấy địa chỉ MAC của thiết bị và gửi cho server kiểm tra và cho vào VLAN

định trước.

40
4. Cấu hình VLAN
Bước 1: Tạo VLAN
Switch(config)#vlan <vlan-id> Switch(config-vlan)#name
<vlan-name>
Ví dụ:
Switch(config)#vlan 10
Switch(config-if)#name P.KyThuat ướ
Gán các cổng cho VLAN
- Gán 1 cổng vào LAN
Switch(config)#interface <interface>
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan <vlan-id>
Ví dụ:
Switch(config)#interface fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
- Gán 1 dãy các cổng liên tiếp
Switch(config)#interface range <start>-<end-intf>
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan <vlan-id>
Ví dụ:
Switch(config)#interface fa0/10 - 20 Switch(config-if-range)#switchport
mode access
Switch(config-if-range)#switchport access vlan 10
- Gán nhiều cổng không liên tiếp
Switch(config)#interface range <interface1, interface2,…>
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan <vlan-id>
Ví dụ:
Switch(config)#interface fa0/7, fa0/9, fa0/2
Switch(config-if-range)#switchport mode access Switch(config-if-
range)#switchport access vlan 10
❖ Xóa VLAN: Xóa một VLAN trên switch bằng cách sử dụng lệnh “no”
trước câu lệnh tạo VLAN.
❖ Lệnh kiểm tra cấu hình VLAN

Switch#show vlan

41
 Lệnh này cho phép hiển thị các VLAN-ID (số hiệu VLAN), tên VLAN,
trạng thái VLAN và các cổng được gán cho VLAN trên switch.
Ví dụ:

Mô tả yêu cầu:
- Cấu hình VLAN trên Switch
- Tạo 3 VLAN: VLAN 10, VLAN 20, VLAN 30
- Fa0/1 –Fa0/6: VLAN 10, Fa0/7 – Fa0/9: VLAN 20, Fa0/10 –
Fa0/12: VLAN 30 Các bước thực hiện:
✓ Tạo vlan:
Switch(config)#vlan 10
Switch(config)#vlan 20
Switch(config)#vlan 30
✓ Gán các cổng vào VLAN
Switch(config)#interface range f0/1 - 6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Switch(config)#interface range f0/7 - 9
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20
Switch(config)#interface range f0/10 - 12
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 30 ✓
Kiểm tra cấu hình:
Thực hiện các câu lệnh sau để kiểm tra cấu hình
Switch#show run
Switch#show vlan
Gắn PC vào các cổng như trên sơ đồ, đặt IP cho các PC và dùng lệnh
“ping” để kiểm tra kết nối.

42
5. Đường Trunk
VLAN tổ chức trên nhiều switch như vậy làm sao các thiết bị thuộc cùng
một VLAN nhưng nằm ở những switch khác nhau có thể liên lạc với nhau?
Chúng ta có hai cách để giải quyết vấn đề này:
● Dùng mỗi kết nối cho từng VLAN

Có nghĩa là mỗi VLAN ở trên các switch sẽ được kết nối lại bằng một
đường kết nối riêng. Theo mô hình trên ta thấy: nếu PC A trong VLAN 10 ở
Switch 1 muốn liên lạc với PC X trong VLAN 10 ở Switch 2, ta phải có một kết
nối vật lý nối Switch 1 với Switch 2 và hai cổng kết nối này phải thuộc cùng
VLAN 10.
Tương tự đối với VLAN 2 và VLAN3, ta cần hai kết nối vật lý. Như vậy,
với n VLAN được tạo ra tổng cộng ta phải dùng đến n dây nối để các thành viên
trong cùng VLAN có thể giao tiếp được với nhau. Điều này gây ra lãng phí.
● Kết nối trunk (đường trunk)
Một kỹ thuật khác để giải quyết vấn đề trên là dùng chỉ một kết nối cho
phép dữ liệu của các VLAN có thể cùng lưu thông qua đường này. Người ta gọi
kết nối này là đường trunk.

Theo như mô hình trên chúng ta chỉ dùng một dây nối Switch 1 với Switch
2, các thành viên trong cùng VLAN ở các Switch khác nhau vẫn có thể giao tiếp
với nhau. Đường dây như thế gọi là liên kết trunk lớp 2.
Mỗi thành viên trong cùng VLAN chỉ có thể thấy thành viên khác trong
cùng VLAN với nó. Để PC A có thể giao tiếp vơí PC B hoặc C (không thuộc

cùng VLAN), cần phải sử dụng thiết bị ở lớp 3 như router hay switch lớp 3
(Multilayer Switch hay Switch layer 3).
43
 Kết nối “trunk” là liên kết Point-to-Point giữa các cổng trên switch với
router hoặc với switch khác. Kết nối “trunk” sẽ vận chuyển dữ liệu của nhiều
VLAN thông qua một liên kết đơn và cho phép mở rộng VLAN trên hệ thống
mạng.
Vì kỹ thuật này cho phép dùng chung một kết nối vật lý cho dữ liệu của các
VLAN đi qua nên để phân biệt được chúng là dữ liệu của VLAN nào, người ta
gắn vào các gói tin một dấu hiệu gọi là “tagging”. Hay nói cách khác là dùng
một kiểu đóng gói riêng cho các gói tin di chuyển qua đường “trunk” này. Giao
thức được sử dụng là 802.1Q (dot1q).
● Giao thức 802.1Q
Đây là giao thức chuẩn của IEEE dể dành cho việc nhận dạng các VLAN
bằng cách thêm vào “frame header” đặc điểm của một VLAN. Phương thức này
còn được gọi là gắn thẻ cho VLAN (frame tagging).

● Cấu hình VLAN trunking:

Để cấu hình đường “trunk”, chúng ta cấu hình 2 cổng “trunk” như sau:
switch(config)#interface <interface> switch(config-if)#switchport mode
trunk switch(config-if)#switchport trunk encapsulation dot1q
Lệnh cuối cùng là mặc định ở một số dòng switch
6. VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở tầng liên kết dữ liệu trong mô hình OSI. VTP
giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về
VLAN trong hệ thống mạng.
● Hoạt động của VTP

VTP gửi thông điệp quảng bá qua “VTP domain” mỗi 5 phút một lần, hoặc
khi có sự thay đổi xảy ra trong cấu hình VLAN. Một thông điệp VTP bao gồm
“rivision-number”, tên VLAN (VLAN name), số hiệu VLAN (VLAN number),
và thông tin về các switch có cổng gắn với mỗi VLAN. Bằng sự cấu hình VTP
Server và việc quảng bá thông tin VTP, tất cả các switch đều đồng bộ về tên
VLAN và số hiệu VLAN của tất cả các VLAN.

44
 Một trong những thành phần quan trọng trong các thông tin quảng bá VTP
là tham số “revision number”. Mỗi lần VTP server điều chỉnh thông tin VLAN,
nó tăng “revisionnumber” lên 1, rồi sau đó VTP Server mới gửi thông tin quảng
bá VTP đi. Khi một switch nhận một thông điệp VTP với “revision-number” lớn
hơn, nó sẽ cập nhật cấu hình VLAN.

● VTP hoạt động ở một trong ba chế độ:

Switch ở chế độ VTP server có thể tạo, chỉnh sửa và xóa VLAN. VTP server
lưu cấu hình VLAN trong NVRAM của nó. VTP Server gửi thông điệp ra tất cả
các cổng “trunk”.
Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN. VTP
Client có chức năng đáp ứng theo mọi sự thay đổi của VLAN từ Server và gửi
thông điệp ra tất cả các cổng “trunk” của nó. VTP Client đồng bộ cấu hình
VLAN trong hệ thống.

Switch ở chế độ transparent sẽ nhận và chuyển tiếp các thông điệp quảng
bá VTP do các switch khác gửi đến mà không quan tâm đến nội dung của các
thông điệp này. Nếu “transparent switch” nhận được thông tin cập nhật VTP nó
cũng không cập nhật vào cơ sở dữ liệu của nó; đồng thời nếu cấu hình VLAN
của nó có gì thay đổi, nó cũng không gửi thông tin cập nhật cho các switch khác.
Trên “transparent switch” chỉ có một việc duy nhất là chuyển tiếp thông điệp
VTP. Switch hoạt động ở “transparent-mode” chỉ có thể tạo ra các VLAN cục
bộ. Các VLAN này sẽ không được quảng bá đến các switch khác.

45
 ● Cấu hình VTP
- Cấu hình VTP domain
Switch(config)#vtp domain <domain_name>
- Cấu hình VTP mode
Switch(config)#vtp [client| transparent| server]
- Lệnh xem cấu hình VTP
Switch#show vtp status
Ví dụ: Cho sơ đồ mạng

Mô tả

✓ Hai switch kết nối với nhau qua đường “trunk”.

✓ Tạo 3 vlan: VLAN 10, VLAN 20, VLAN 30 trên SW1
✓ Cấu hình VTP để các thông tin các VLAN trên SW1 cập nhật cho SW2
✓ Trên SW1: VLAN 10 (Fa0/2 – Fa0/4), VLAN 20
(Fa0/5 – Fa0/7),
VLAN 30 (Fa0/8 – Fa0/10)
✓ Trên SW2: VLAN 10 (Fa0/4 – Fa0/6), VLAN 20
(Fa0/7 – Fa0/9),
VLAN 30 (Fa0/10 – Fa0/12)
Các bước cấu hình

Cấu hình Sw1 làm VTP Server:

✓ Thiết lập VTP domain: SPKT, VTP mode Server, và tạo các VLAN
sw1#config terminal sw1(config)#vtp
mode server sw1(config)#vtp domain
SPKT sw1(config)#vlan 10 name
CNTT sw1(config)#vlan 20 name
TTTH sw1(config)#vlan 30 name
TTCLC

✓ Cấu hình đường trunk và cho phép tất cả các VLAN qua đường trunk
46
 sw1(config)#interface f0/1 sw1(config-if)#switchport
mode trunk sw1(config-if)#switchport trunk encapsulation
dot1q
✓ Gán các port vào các VLAN
sw1(config)#int range f0/2 - 4 sw1(config-if-range)#switchport mode
access sw1(config-if-range)#switchport access vlan 10
sw1(config-if)#int range f0/5 - 7 sw1(config-if-range)#switchport mode
access sw1(config-if-range)#switchport access vlan 20
sw1(config-if)#int range f0/8 - 10 sw1(config-if-range)#switchport
mode access sw1(config-if-range)#switchport access vlan 30

✓ Kiểm tra cấu hình

Sử dụng các lệnh:
switch#show vlan
switch# show vtp status
Cấu hình Sw2 làm VTP client:
✓ Cấu hình vtp domain: SPKT, vtp mode: client
SW2(config)#vtp domain SPKT
SW2(config)#vtp mode client

✓ Cấu hình trunking trên cổng f0/1 của SW2

SW2(config)#int f0/1
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk encapsulation dot1q

✓ Gán các port vào các vlan

sw2(config)#int range f0/4 - 6 sw2(config-if-range)#switchport mode
access sw2(config-if-range)#switchport access vlan 10
sw2(config)#int range f0/7 - 9 sw2(config-if-range)#switchport mode
access sw2(config-if-range)#switchport access vlan 20
sw2(config)#int range f0/10 - 12 sw2(config-if-range)#switchport mode
access sw2(config-if-range)#switchport access vlan 30
✓ Kiểm tra
Sử dụng các câu lệnh sau
switch#show vlan switch#show
int interface switch#show vtp
status
switch#show vtp counters: kiểm tra số lần gửi và nhận thông tin trunking

47
7. Định tuyến giữa các VLAN
Mỗi VLAN là một miền quảng bá. Do đó, mỗi thiết bị trong VLAN chỉ liên
lạc được với các thiết bị khác trong cùng một VLAN. Nếu một máy tính trong
một VLAN muốn liên lạc với một máy tính thuộc một VLAN khác thì nó phải
thông qua thiết bị định tuyến như là router.
Router trong cấu trúc VLAN thực hiện ngăn chặn quảng bá, bảo mật và
quản lý các lưu lượng mạng. Switch layer 2 không thể chuyển dữ liệu giữa các
VLAN với nhau. Dữ liệu trao đổi giữa các VLAN phải được định tuyến qua
thiết bị hoạt động ở tầng mạng như router.
Giả sử trên switch tạo 3 VLAN, nếu ta dùng 3 cổng của router để định
tuyến cho 3 VLAN này thì quá cồng kềnh và không tiết kiệm. Ta chỉ cần sử
dụng 1 cổng trên router kết nối với một cổng trên switch và cấu hình đường này
làm đường trunk (trunk layer 3) để định tuyến cho các VLAN.
Đường kết nối cho phép mang lưu lượng của nhiều VLAN gọi là kết nối
trunk lớp 3. Nó không phải là của riêng VLAN nào. Ta có thể cấu hình một
đường trunk để vận chuyển lưu thông cho tất cả VLAN hoặc một số VLAN cụ
thể nào đó được chỉ ra trong cấu hình. Trunking layer 3 đòi hỏi cổng trên VLAN
phải có thể hoạt động ở tốc độ FastEthernet trở lên.
❖ Cổng vật lý và cổng logic

Đường “trunk” có ưu điểm là làm giảm số lượng cổng cần sử dụng của
router và switch. Điều này không chỉ tiết kiệm chi phí mà còn giúp cho cấu hình
bớt phức tạp. Kết nối “trunk” trên router có khả năng mở rộng với số lượng lớn
VLAN. Nếu mỗi VLAN phải có một kết nối vật lý thì không thể đáp ứng được
khi số lượng VLAN lớn.
Một cổng vật lý có thể được chia thành nhiều cổng luận lý. Mỗi cổng luận
lý tương ứng với một VLAN và được đặt một địa chỉ IP của vlan đó. Mỗi VLAN
là một mạng riêng, do đó cổng luận lý thuộc VLAN nào thì có địa chỉ IP thuộc
mạng của VLAN đó. ❖ Cấu hình định tuyến cho các VLAN dùng Router
Sử dụng các cổng luận lý được chia từ một cổng vật lý để cấu hình định tuyến
giữa các VLAN, các câu lệnh được sử dụng như sau:
R(config)#interface <interface.subintf-number>

48
 R(config-if)#encapsulation dot1q <vlan-id>
R(config-if)#ip address <address> <subnet-mask>
Ví dụ: Cấu hình định tuyến giữa các VLAN

Yêu cầu
● Tạo 2 vlan: VLAN 10 (P.KinhDoanh) và VLAN 20 (P.KeToan)
● Các cổng Fa0/1–Fa0/10 thuộc VLAN 10, các cổng Fa0/11–Fa0/20 thuộc
VLAN 20 ● Cấu hình định tuyến cho phép hai VLAN này có thể liên lạc
được với nhau.
Các bước thực hiện
● Cấu hình trên switch
✓ Tạo vlan switch(config)#vlan 10
switch(config-vlan)#name P.KinhDoanh
switch(vlan)#vlan 20 switch(config-
vlan)#name P.KeToan
✓ Gán các port vào vlan
switch(config)#interface range fa0/1 - 10
switch(config-if-range)#switchport mode
access switch(config-if-range)#switchport
access vlan 10 switch(config)#int fa0/11 - 20
switch(config-if-range)#switchport mode access switch(config-if-
range)#switchport access vlan 20

✓ Cấu hình đường trunk switch(config)#int

fa0/24 switch(config-if)#switchport mode
trunk
switch(config-if)#switchport trunk encapsulation dot1q ư ý
Lệnh cuối là mặc định trên một số dòng switch.
● Cấu hình trên router

✓ Chọn cổng fa0/0 để cấu hình trunk

49
 router(config)#interface fa0/0 router(config-if)#no
shutdown

✓ Kích hoạt trunk trên subinterface fa0/0.1 và đóng gói bằng dot1q
router(config)#int fa0/0.1 router(config-if)#encapsulation dot1q 10

✓ Cấu hình thông tin lớp 3 cho sub-interface fa0/0.1

router(config-subif)#ip address 192.168.1.1 255.255.255.0

✓ Kích hoạt “trunk” trên sub-interface fa0/0.2 và đóng gói bằng dot1q
router(config)#int fa0/0.2
router(config-subif)#encapsulation dot1q 20

✓ Cấu hình thông tin lớp 3 cho sub-interface fa0/0.2

router(config-subif)#ip address 192.168.2.1 255.255.255.0

✓ Lưu cấu hình router#copy run start

● Kiểm tra cấu hình
Trên switch dùng các lệnh sau:
Switch#show interface interface
Switch#show vlan Switch#show
vtp status
Trên router dùng các lệnh sau
Router#show vlan: thông tin layer 2 và layer 3 cấu hình cho mỗi VLAN.
Router#show interfaces <interface>
❖ Định tuyến cho các VLAN dùng switch layer 3 (MSW)

VLAN10: 192.168.10.0/24
VLAN20: 192.168.20.0/24
VLAN30: 192.168.30.0/24
VLAN40: 192.168.40.0/24

Yêu cầu
50
 ● Cấu hình đường “trunk”
● Cấu hình VTP, VLAN
VTP domain: CNTT; MSW: VTP Server; SW1, SW2: VTP
Client
● Cấu hình MSW để định tuyến cho 4 VLAN
Hướng dẫn cấu hình

❖ Cấu hình trunk

SW1(config)#interface fa0/1
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport trunk encapsulation dot1q
SW2(config)#interface fa0/2
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk encapsulation dot1q
MSW(config)#interface fa0/1
MSW(config-if)#switchport mode trunk
MSW(config-if)#switchport trunk encapsulation dot1q
MSW(config)#interface fa0/2
MSW(config-if)#switchport mode trunk
MSW(config-if)#switchport trunk encapsulation dot1q
❖ Cấu hình VTP, VLAN
MSW(config)#vtp domain CNTT
MSW(config)#vtp mode server
SW1(config)#vtp domain CNTT
SW1(config)#vtp mode client
SW2(config)#vtp domain CNTT
SW2(config)#vtp mode client
MSW(config)#vlan 10
MSW(config)#vlan 20
MSW(config)#vlan 30
MSW(config)#vlan 40
❖ Cấu hình MSW để routing giữa 4 VLAN
MSW(config)#ip routing
MSW(config)#interface vlan 10

51
 MSW(config-if)#ip address 192.168.10.1 255.255.255.0
MSW(config)#interface vlan 20
MSW(config-if)#ip address 192.168.20.1 255.255.255.0
MSW(config)#interface vlan 30
MSW(config-if)#ip address 192.168.30.1 255.255.255.0
MSW(config)#interface vlan 40
MSW(config-if)#ip address 192.168.40.1 255.255.255.0
❖ Kiểm tra cấu hình show interface trunk show vtp status show vlan brief
show ip route
8. Giao thức STP
Trong thiết kế mạng, việc tạo ra các kết nối dư thừa là cần thiết nhằm tạo
khả năng dự phòng cho hệ thống. Tuy nhiên, khi thiết kế dự phòng trên Switch
thì có 3 vấn đề cần xem xét là: bão quảng bá, nhiều gói tin được nhận giống
nhau và bảng địa chỉ MAC trên các Switch không ổn định. Có thể gọi chung
trường hợp này là “switching loop”.
Giao thức STP được sử dụng để giải quyết vấn đề này bằng cách khóa tạm
thời một hoặc một số cổng để tránh tình trạng như trên.

❖ Hoạt động của STP qua các bước sau:

o Bầu chọn 1 switch làm “Root switch” còn gọi là
“Root bridge” o Chọn “Root port” trên các switch còn
lại
o Chọn “Designated port” trên mỗi phân đoạn
(segment) mạng o Cổng còn lại gọi là “Nondesignated
port” sẽ bị khóa
❖ Quá trình bầu chọn “root switch”
Mỗi switch có một giá trị “Bridge-ID” gồm 2 trường là “Bridge priority”
và “M C address” và được đặt vào trong BPDU và gửi quảng bá cho các switch
khác mỗi 2 giây. Switch được chọn làm “root switch” là switch có giá trị
“Bridge-ID” nhỏ nhất. Để so sánh, giá trị “Bridge priority” được dùng để so

sánh trước, nếu tất cả các switch đều có giá trị này bằng nhau thì tham số thứ 2
là “M C address” sẽ được dùng để so sánh.
52
 Các loại cổng khác “root port”, “designated port” sẽ lần lượt được bầu chọn
dựa vào chi phí nhỏ nhất tính từ nó đến “root switch”. Dựa vào bảng sau để tính
chi phí cho mỗi chặn.
Tốc độ kết nối Chi phí (Cost)
10 Gb/s 2
1 Gb/s 4
100 Mb/s 19
10 Mb/s 100
Ví dụ:

Một số dạng STP được cải tiến như: PVSTP+ (Per VLAN Spanning Tree
Plus) dùng tạo cho mỗi VLAN một STP riêng.

Trong PVSTP+, Bridge-ID có thêm trường System-ID (VLAN-ID) để phân

biệt cho từng VLAN.

53
 Một số cải tiến khác như RSTP (Rapid Spanning Tree Protocol), MSTP.
Một số lệnh cấu hình để điều chỉnh giá trị “Bridge priority” mặc định của
switch. Chọn switch làm “root switch” bằng lệnh sau:
Switch(config)#spanning-tree vlan <vlan-id> root primary
Hoặc
Switch(config)#spanning-tree vlan <vlan-id> priority <priority>

9. EtherChannel
Công nghệ EtherChannel của Cisco cho phép kết hợp các kết nối Ethernet
thành một bó (bundle) để tăng băng thông. Mỗi bundle có thể bao gồm từ hai
đến tám kết nối Fast Ethernet hay Gigabit Ethernet, tạo thành một kết nối luận lý
gọi là FastEtherChannel hay Gigabit EtherChannel. Kết nối này cung cấp một
băng thông lên đến 1600Mbps hoặc 16 Gbps.
Công nghệ này được xem là một cách đơn giản để nâng cấp kết nối giữa
các switch mà không cần phải mua phần cứng mới. Ví dụ, một kết nối Fast
Ethernet (có throughput là 200Mbps) có thể mở rộng lên đến 8 kết nối FE
(1600Mbps) để trở thành một kết nối FastEtherChannel. Nếu lưu lượng lưu
lượng tăng quá mức này, quá trình nâng cấp có thể lại bắt đầu với một kết nối
Gigabit Ethernet. Sau đó, ta có thể lại tiếp tục mở rộng kết nối này lên thành
GigabitEtherChannel. Quá trình này có thể được lập lại với việc tiếp tục chuyển
sang kết nối 10Gbps. Bình thường, việc có nhiều kết nối giữa các switch tạo ra
khả năng bị bridging loops. EtherChannel sẽ tránh tình huống này bằng cách
xem cả một bundle như là một kết nối đơn duy nhất, hoặc là access, hoặc là
trunk.
Kết hợp cổng bên trong EtherChannel
EtherChannel có thể bao gồm tối đa tám kết nối vật lý của cùng kiểu phần
cứng và cùng tốc độ. Một vài ràng buộc phải được đáp ứng sao cho chỉ có những
kết nối tương tự là được kết hợp. Thông thường, tất cả các cổng phải thuộc về
cùng một vlan. Nếu được dùng như một kết nối trunk, tất cả các cổng phải ở
trong trunking, có cùng native vlan và truyền cùng một tập hợp của vlan. Mỗi
cổng phải có cùng tốc độ, duplex và có cùng cấu hình spanning tree.

Các giao thức của EtherChannel: PagP và LACP.

54
Cấu hình EtherChannel
Các lệnh cơ bản để cấu hình Etherchannel. Cấu hình PAGP Ethechannel:
Switch(config-if)#channel-protocol pagp
Switch(config-if)#channel-group number mode {on | auto | desirable }
Các chế độ này có ý nghĩa như sau:
ON: ở mode này thì Switch tự động enale etherchannel tuy nhiên nó lại không
gởi hay nhận bất kỳ gói PAGP nào, do đó mà phải cấu hình on mode ở hai dầu
Auto: Switch sẽ tự động enable ethechannel nếu nó nhận được PAGP
packet. Desirable: Switch sẽ tự động cố gắng yêu cầu đầu kia chuyển kết
nốI sang thành EtherChannel.
Cấu hình LACP
Switch(config)#lacp system-priority priority
Switch(config-if)#channel-protocol lacp
Switch(config-if)#channel-group number mode {on|passive|active}
Switch(config-if)# lacp port-priority priority
Lệnh đầu tiên để xác định system priority để xác định Switch nào làm
Switch điều khiển Ethechannel, hoặc nếu Priority bằng nhau thì Switch nào có
điạc chỉ mac nhỏ hơn sẽ được chọn. Ta còn xác định priority của cổng để xác
định xem cổng nào là active và cổng nào ở trạng thái standby. Cổng có priority
nhỏ sẽ active và, lớn sẽ ở trạng thái standby. Các mode trong lệnh channel-group
On, Passive, active tuần tự tương tự như On, Auto , Desirable trong
PAGP
Khi các cổng được cấu hình như là thành viên của EtherChannel, switch sẽ
tự động tạo ra các cổng EtherChanel. Interface này sẽ đại diện cho cả bundle
Switch(config)# interface type mod/num
Switch(config-if)# channel-protocol pagp
Switch(config-if)# channel-group number mode {on | {auto | desirable}}

10. Tổng kết Phần

Trong môi trường Ethernet LAN, tập hợp các thiết bị cùng nhận một gói
quảng bá bởi bất kỳ một thiết bị còn lại được gọi là một “broadcast domain”.
Trên các switch không hỗ trợ VLAN, switch sẽ gửi tất cả các gói tin quảng bá ra
tất cả các cổng, ngoại trừ cổng mà nó nhận gói tin vào. Kết quả là trên các cổng
của loại switch này là cùng một “broadcast domain”. Nếu switch này kết nối
đến các switch và các hub khác, các cổng trên switch này sẽ cùng “broadcast
domain”.

55
 VLAN cho phép kết hợp các cổng trên switch thành các nhóm để giảm lưu
lượng broadcast. VLAN là một LAN theo logic dựa trên chức năng, ứng dụng
của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong
mạng. Một VLAN là một miền quảng bá được tạo nên bởi một hay nhiều switch.
Giao thức VTP có vai trò duy trì cấu hình của VLAN và đồng nhất trên
toàn mạng. VTP là giao thức sử dụng đường trunk để quản lý sự thêm, xoá, sửa
các VLAN trên toàn mạng từ switch trung tâm được đặt trong Server mode. VTP
hoạt động chủ yếu là đồng nhất các thông tin VLAN trong cùng một VTP
domain giúp giảm đi sự cấu hình giống nhau trong các switch.
Kết nối trunk là liên kết Point-to-Point giữa các cổng trên switch với router
hoặc với switch khác. Kết nối trunk sẽ vận chuyển thông tin của nhiều VLAN
thông qua một liên kết đơn và cho phép mở rộng VLAN trên hệ thống mạng.
Các VLAN được định tuyến sử dụng thiết bị ở tầng 3 như router hay “Switch
layer 3”.
Giao thức STP được dùng trong trường hợp hệ thống mạng thiết kế các kết
nối dự phòng trên Switch. STP chống tình trạng “switching loop” bằng cách
khóa tạm một số cổng trong mạng. Một số phiên bản cải tiến từ STP truyền
thống như PVSTP+, RSTP,…

56
PHẦN 5. ACL

Phần này trình bày chức năng và đặc điểm của việc sử dụng CL trong hệ
thống mạng để điều khiển các truy cập, đặc điểm của các loại CL và cách thức
cấu hình trên thiết bị Cisco. Học xong Phần này, người học có khả năng:
● Xác định được vai trò của CL trong hệ thống mạng
● Phân biệt và cấu hình được “Standard CL” và “Extended CL” sử dụng
hai phương pháp cấu hình là Numbered CL và Named CL
● Vận dụng CL trong các bài toán cụ thể

1. Giới thiệu
ACL là một danh sách các điều kiện được áp đặt vào các cổng của router để
lọc các gói tin đi qua nó. Danh sách này chỉ ra cho router biết loại dữ liệu nào
được cho phép (allow) và loại dữ liệu nào bị hủy bỏ (deny). Sự cho phép và huỷ
bỏ này có thể được kiểm tra dựa vào địa chỉ nguồn, địa chỉ đích, giao thức hoặc
chỉ số cổng.

Sử dụng ACL để quản lý các lưu lượng mạng, hỗ trợ ở mức độ cơ bản về
bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các gói tin qua router.
2. Phân loại và hoạt động của ACL
❖ ACL được chia thành 2 loại:
▪ Standard ACL
▪ Extended ACL
❖ Hoạt động của ACL
ACL thực hiện việc kiểm tra theo trình tự của các điều kiện trong danh sách
cấu hình. Nếu có một điều kiện được so khớp trong danh sách thì nó sẽ thực
hiện hành động tương ứng trong điều kiện đó, và các điều kiện còn lại sẽ không
được kiểm tra nữa. Trường hợp tất cả các điều kiện trong danh sách đều không
57
khớp thì một câu lệnh mặc định “deny any” được thực hiện, có nghĩa là điều
kiện cuối cùng ngầm định trong một ACL mặc định sẽ là cấm tất cả. Vì vậy,
trong cầu hình ACL cần phải có ít nhất một câu lệnh có hành động là “permit”.
Khi gói tin đi vào một cổng, router sẽ kiểm tra xem có ACL nào được đặt
trên cổng để kiểm tra hay không, nếu có thì các gói tin sẽ được kiểm tra với
những điều kiện trong danh sách. Nếu gói tin đó được cho phép bởi ACL, nó sẽ
tiếp tục được kiểm tra trong bảng định tuyến để quyết định chọn cổng ra để đi
đến đích.
Tiếp đó, router sẽ kiểm tra xem trên cổng dữ liệu chuyển ra có đặt ACL hay
không. Nếu không thì gói tin đó có thể sẽ được gửi tới mạng đích. Nếu có ACL
thì nó sẽ kiểm tra với những điều kiện trong danh sách ACL đó.
3. Cấu hình ACL
Có 2 phương pháp cấu hình ACL:
- Dựa vào số (numbered ACL)
- Dựa vào tên (named ACL)
Tổng quát: để cài đặt một ACL, ta thực hiện các bước sau:
ướ Tạo ACL

✓ Xác định loại ACL dựa vào số hiệu ACL (numbered ACL) hoặc tên
(named ACL)
✓ Lựa chọn hành động cho từng điều kiện “permit” hay “deny” theo yêu
cầu cụ thể ướ Gán ACL vào cổng của router
✓ Các ACL được gán vào một hoặc nhiều cổng và có thể được lọc theo
chiều các gói tin đi vào hay đi ra.
✓ Một router với một ACL được đặt ở cổng dữ liệu vào phải kiểm tra mỗi
gói tin để tìm xem nó có khớp các điều kiện trong danh sách ACL trước
khi chuyển gói tin đó đến một cổng ra.
❖ Một số thuật ngữ
● Wildcard mask
“Wildcard mask” có 32 bit, chia thành 4 phần, mỗi phần có 8 bit, là tham
số được dùng xác định các bit nào sẽ được bỏ qua hay buộc phải so trùng trong
việc kiểm tra điều kiện. Bit „1‟ trong “wildcard mask” có nghĩa là bỏ qua vị trí
bit đó khi so sánh, và bit „0‟ xác định vị trí bit đó phải giống nhau.

Với Standard ACL, nếu không thêm “wildcard-mask” trong câu lệnh tạo
ACL thì mặc định “wildcard-mask” sẽ là 0.0.0.0

58
 Mặc dù “Wildcard mask” có cấu trúc 32 bit giống với “Subnet mask”
nhưng chúng hoạt động khác nhau. Các bit 0 và 1 trong một “Subnet mask” xác
định phần “Network” và phần “Host” trong một địa chỉ IP. Các bit 0 và 1 trong
một “wildcard-mask” xác định bit nào sẽ được kiểm tra hay bỏ qua cho mục
đích điều khiển truy cập.
● Wildcard “host”
✓ “Wildcard mask” dùng cho một thiết bị hay còn gọi là “wildcard-host” có
dạng:
0.0.0.0 (kiểm tra tất cả các bit)
Ví dụ: 172.30.16.29 0.0.0.0
✓ Ý nghĩa: khi kiểm tra ACL, nó sẽ kiểm tra tất cả các bit trong địa chỉ
dùng để so khớp.
✓ “Wildcard mask” cho một thiết bị có thể được đại diện bằng từ khóa
“host”
Ví dụ: host 172.30.26.29
Câu lệnh ACL cho phép một thiết bị như sau:
R(config)#access-list 1 permit 172.30.16.29 0.0.0.0 hoặc:
R(config)#access-list 1 permit host 172.30.16.29
● Wildcard “any”
✓ Wildcard mask cho tất cả các thiết bị được gọi là wildcard “any” có dạng:
255.255.255.255 (không kiểm tra tất cả các bit)
✓ Ý nghĩa: chấp nhận tất cả các địa chỉ
✓ “Wildcard mask” dùng cho tất cả các thiết bị có thể đại diện bằng từ khoá
“any”
Ví dụ:
R(config)#access-list 1 permit 0.0.0.0 255.255.255.255
hoặc:
R(config)#access-list 1 permit any

● Inbound và outbound
Khi áp dụng ACL trên một cổng, phải xác định ACL đó được dùng cho luồng
dữ liệu vào (inbound) hay ra (outbound). Chiều của luồng dữ liệu được xác
định trên cổng của router.

59
4. Standard ACL
Sử dụng “Standard CL” khi ta muốn cấm hay cho phép tất cả các luồng dữ
liệu từ một thiết bị hay một mạng xác định trên toàn bộ giao thức.
“Standard CL” kiểm tra điều kiện dựa vào địa chỉ nguồn trong các gói tin
và thực hiện hành động cấm hoặc cho phép tất cả các lưu lượng từ một thiết bị
hay một mạng xác định nào đó.
Kiểm tra gói tin với “Standard ACL”:

❖ Cấu hình Standard ACL

● Router(config)# access-list <ACL-number> {permit|deny} source
[wildcast-mask]
Trong đó: ACL-number: có giá trị từ 1 đến 99, hoặc 1300-1999

Wildcast-mask: nếu không được cấu hình sẽ lấy giá trị mặc định là:0.0.0.0

● Router(config-if)#ip access-group <ACL-number> {in|out}

Câu lệnh này có tác dụng gán ACL vào một cổng và đặt chế độ kiểm tra cho
luồng dữ liệu đi vào hay đi ra khỏi cổng của router.

Dùng lệnh no ip access-group <ACL-number> để không áp đặt ACL vào

cổng. Có nghĩa là huỷ bỏ câu lệnh trên.

Ví dụ 1: Cấm các máy tính thuộc mạng 172.16.10.0/24 truy cập tới mạng
172.16.20.0/24.

R2(config)#access-list 1 deny 172.16.10.0 0.0.0.255

R2(config)#access-list 1 permit any

R2(config)#interface fa0/0 R2(config-if)#ip

access-group 1 out
Ví dụ 2: Cấm PC-X có địa chỉ 172.16.30.33/24 truy cập vào mạng
192.168.1.0/24

60
R1(config)# access-list 10 deny host 172.16.30.33
R1(config)# access-list 10 permit any R1(config)#interface fa0/1
R1(config-if)#ip access-group 10 out
Ví dụ 3. Sử dụng lại mô hình trong ví dụ 2, viết ACL chỉ cho phép máy Admin
có IP 172.16.20.20 telnet vào các router R1, R2.

Hướng dẫn cấu hình: trước tiên, cấu hình mở telnet trên R1 và R2.

ACL thực hiện yêu cầu đầu bài: trên R1 và R2 sử dụng ACL sau
R(config)#access-list 20 permit host 172.16.20.20
R(config)#line vty 0 4
R(config-line)#access-class 20 in
❖ Dùng “Standard ACL” để điều khiển telnet
Trên router có các “virtual terminal port” được dùng để cấu hình cho mục đích
cho phép telnet vào router. Telnet cũng là một cách thức cho phép người quản trị
cấu hình hay theo dõi thiết bị từ xa. Ta có thể lọc các địa chỉ truy xuất vào các
cổng này bằng “Standard ACL”.
Cấu hình: thực hiện hai bước chính sau
- Chọn các thiết bị hoặc mạng được phép telnet vào các thiết bị dùng
Standard
ACL
- Gán ACL đã được cài đặt ở trên vào cổng telnet.
● Các câu lệnh cấu hình:
Router(config)#line vty {vty-number|vty-range}
Router(config-line)#access-class <access-list-number> {in|out}
Trong đó:

61
 vty-number: có giá trị 0 đến 4 (mặc định trên Router), có giá trị 0 đến 15
(mặc định trên Switch)
vty-range: là một dãy liên tiếp các port vty được sử dụng. Trong cấu hình ta
sẽ cấu hình như sau: line vty start-number end-number
access-list-number: ACL gán vào các cổng vty để điều khiển truy cập
Ví dụ:
access-list 12 permit 192.168.1.0 0.0.0.255
(implicit deny all) !
line vty 0 4 access-
class 12 in

Các câu lệnh cấu hình trên có nghĩa là: chỉ cho phép các thiết bị thuộc mạng
192.168.1.0/24 có thể kết nối vào router thông qua telnet.
5. Extended ACL
“Extended ACL” cung cấp sự điều khiển linh hoạt hơn “Standard ACL”. Nó
kiểm tra cả địa chỉ nguồn, địa chỉ đích, giao thức, chỉ số cổng ứng dụng.
“Extended ACL” thực hiện hành động cấm hay cho phép ở một số ứng dụng xác
định.
Kiểm tra các gói tin với “Extended ACL”:

❖ Cấu hình Extended ACL

● Router(config)#access-list <access-list-number> {permit|deny}
<protocol> <source-address> <source-wildcard> <destinationaddresss>
<destination-wildcard> <operation> <operand>
Trong đó: access-list-number: có giá trị từ 100 – 199 hoặc 2000 - 2699
protocol: là ip, udp, tcp, icmp,… operator: thường dùng là eq operand: là
chỉ số port của dịch vụ hay tên của dịch vụ. Ví dụ: ta có thể dùng chỉ số
port 23 hay có thể dùng tên dịch vụ là telnet
Câu lệnh trên được dùng để tạo một điều kiện (ACL entry) trong một ACL
access-listnumber

● Router(config-if)#ip access-group access-list-number {in|out}

62
 Trong đó, access-list-number là số hiệu (có giá trị 100 – 199 hoặc 2000 -
2699) chỉ danh sách ACL ta đã tạo. Câu lệnh này có ý nghĩa là gán danh
sách ACL vào interface và chọn hướng (inbound hoặc outbound) các traffic
sẽ được kiểm tra
Ví dụ 1: Cấu hình trên router trong mô hình mạng dưới đây để cấm các FTP
traffic từ các host thuộc subnet 172.16.10.0 đến FTP server có IP
192.168.1.20/24, cho phép tất cả các traffic còn lại hoạt động bình thường.

R1(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.20

eq 20
R1(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.20
eq 21
R1(config)#access-list 100 permit ip any any
R1(config)#interface fa0/0
R1(config-if)#ip access-group 100 in
● Vị trí đặt ACL
Nên đặt extended ACL gần nguồn của traffic muốn cấm và nên đặt Standard
ACL gần đích đến của traffic.
6. Named ACL
Named-ACL cho phép Standard và Extended ACL được định danh bởi một
tên thay vì đại diện bởi một con số. Loại ACL này có thể cho phép xóa một số
dòng (điều kiện) trong một danh sách đã được cấu hình.
Named-ACL không tương thích với các Cisco IOS phiên bản trước 11.2 và
không thể sử dụng cùng một tên cho nhiều ACL. ACL của các loại giao thức
khác nhau không thể có cùng một tên.
● Các câu lệnh cấu hình Name ACL

Router(config)#ip access-list {standard | extended} name

63
Router(config{std-|ext-}nacl)#[sequence-number] {permit|deny} {ip access
list test conditions}
Router(config-if)#ip access-group name {in | out}
❖ Một số lệnh kiểm tra cấu hình ACL
Router#show access-list {access-list-number | name}
Sau đây một ví dụ về kết quả hiển thị của lệnh show access-lists
Router#show access-lists
Standard IP access list 1 permit
10.2.2.1 permit 10.3.3.1
permit 10.4.4.1 permit
10.5.5.1
Extended IP access list 101 permit tcp host 10.22.22.1
any eq telnet permit tcp host 10.33.33.1 any eq
ftp permit tcp host 10.44.44.1 any eq ftp-data
Ví dụ:

❖ Yêu cầu: (1) Cấu hình standard ACL cấm các máy tính thuộc phòng Kinh
doanh truy cập tới phòng Kế toán
(2) Cấm các máy tính thuộc phòng Kế toán truy cập tới Web server bằng dịch
vụ www
(3) Cấm các máy tính thuộc phòng Nhân sự ping tới DNS server
❖ Hướng dẫn cấu hình
ướ Cấu hình hostname, địa chỉ IP cho các cổng trên các thiết bị, cấu hình định
tuyến cho hệ thống mạng trên với giao thức định tuyến tùy chọn.

ướ Cấu hình ACL theo yêu cầu

(1) Có thể dùng standard ACL và extended ACL cho yêu cầu này
64
 ▪ Dùng “Standard ACL”
R1(config)#ip access-list standard abc
R1(config-std-nacl)# deny 172.16.20.0 0.0.0.255
R1(config-std-nacl)# permit any
R1(config)#interface fa0/0
R1(config-if)#ip access-group abc out
▪Dùng “Extended ACL” (có thể cấu hình trên R1 hoặc R2)
R2(config)#ip access-list extended xyz
R2(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 172.16.10.0
0.0.0.255
R2(config-ext-nacl)#permit ip any any R2(config)#interface fa0/0
R2(config-if)#ip acccess-group xyz in
(2) Cấm các máy tính thuộc phòng Kế toán truy cập tới Web server bằng dịch
vụ www
R1(config)#ip access-list extended spkt
R1(config-ext-nacl)#deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.30
eq 80
R1(config-ext-nacl)#permit ip any any
R1(config)#interface fa0/1
R1(config-if)#ip access-group spkt out
(3) Cấm các máy tính thuộc phòng Nhân sự ping tới DNS server
R2(config)#ip access-list extended cntt
R2(config-ext-nacl)#deny icmp 172.16.30.0 0.0.0.255 host
192.168.1.10
R2(config-ext-nacl)#permit ip any any R2(config)#interface fa0/1
R2(config-if)#ip access-group cntt in
❖ Kiểm tra
Dùng lệnh ping, trình duyệt Web để kiểm tra kết quả, dùng các câu lệnh
show trên router để kiểm tra cấu hình
show run show ip
route show access-
lists
7. Tổng kết Phần
ACL có thể xem như là một tường lửa nhỏ định ra một tập luật để chặn các
truy cập bất hợp pháp được cấu hình trên các router.

65
 ACL được chia làm hai loại: standard ACL và Extended ACL. Trong đó,
standard ACL thường được đặt ở gần đích, còn Extended ACL thường đặt ở gần
nguồn cần cấm luồng dữ liệu.
ACL hoạt động theo trình tự cấu hình được thiết lập, khi một điều kiện
được so khớp thì các câu lệnh còn lại sẽ không được kiểm tra nữa và cuối danh
sách luôn có câu lệnh mặc định là “deny all”.

66
PHẦN 6. NAT

Phần này trình bày một số đặc điểm của N T, phân loại và cấu hình trên
thiết bị Cisco. Học xong Phần này, người học có khả năng:

● Trình bày được một số khái niệm dùng trong kỹ thuật N T

● Phân loại và trình bày được đặc điểm của mỗi loại N T
● Cấu hình N T
1. Giới thiệu
1. NAT (Network Address Translation) là một kỹ thuật cho phép chuyển đổi từ
một địa chỉ
IP này thành một địa chỉ IP khác. Thông thường, NAT được dùng phổ biến trong
mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet). Vị trí
thực hiện NAT là router biên kết nối giữa hai mạng.

Hình 4.1 Mô hình th c hiện N T

❖ Địa chỉ private và địa chỉ public

●Địa chỉ private: được định nghĩa trong RFC 1918
✓ 10.0.0.0 – 10.255.255.255
✓ 172.16.0.0 – 172.31.255.255
✓ 192.168.0.0 – 192.168.255.255
● Địa chỉ public: các địa chỉ còn lại. Các địa chỉ public là các địa chỉ được
cung cấp bởi các tổ chức có thẩm quyền.
❖ Một số thuật ngữ

Hình 4.2 Địa chỉ inside và outside

● Địa chỉ inside local: là địa chỉ IP gán cho một thiết bị ở mạng bên trong.
Địa chỉ này hầu như không phải địa chỉ được cấp bởi NIC (Network
Information Center) hay nhà cung cấp dịch vụ.
● Địa chỉ inside global: là địa chỉ đã được đăng ký với NIC, dùng để thay

thế một hay nhiều địa chỉ IP inside local.

67
 ● Địa chỉ outside local: là địa chỉ IP của một thiết bị bên ngoài khi nó xuất
hiện bên trong mạng. Địa chỉ này không nhất thiết là địa chỉ được đăng
ký, nó được lấy từ không gian địa chỉ bên trong.
● Địa chỉ outside global: là địa chỉ IP gán cho một thiết bị ở mạng bên
ngoài. Địa chỉ này được lấy từ địa chỉ có thể dùng để định tuyến toàn cầu
hay từ không gian địa chỉ mạng.
2. Static NAT
Static NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ
khác một cách cố định, thông thường là từ một địa chỉ cục bộ sang một địa chỉ
công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa
chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất.
Static NAT rất hữu ích trong trường hợp những thiết bị cần phải có địa chỉ
cố định để có thể truy cập từ bên ngoài Internet. Những thiết bị này phổ biến là
những Server như Web, Mail,...

Hình 4.3 Chuyển dịch địa chỉ dạng tĩnh

❖ Cấu hình Static -NAT

✓ Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ
đại diện bên ngoài.
Router(config)#ip nat inside source static local-ip global-ip

✓ Xác định các cổng kết nối vào mạng bên trong và thực hiện lệnh
Router(config-if)#ip nat inside

✓ Xác định các cổng kết nối ra mạng công cộng bên ngoài và thực hiện lệnh
Router(config-fi)#ip nat outside

Ví dụ:

68
Router(config)#ip nat inside source static 192.168.1.100 202.1.1.10
Router(config)#interface fa0/0
Router(config-if)#ip nat inside
Router(config)#interface S0/0/0
Router(config-if)#ip nat outside

3. Dynamic NAT
Dynamic NAT được dùng để ánh xạ một địa chỉ IP này sang một địa chỉ
khác một cách tự động, thông thường là ánh xạ từ một địa chỉ cục bộ sang một
địa chỉ được đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công
cộng đã được định trước đều có thể được gán cho một thiết bị bên trong mạng.

❖ Cấu hình Dynamic NAT

✓ Xác định dải địa chỉ đại diện bên ngoài (public): các địa chỉ NAT
Router(config)#ip nat pool name start-ip end-ip [netmask

netmask/prefix-length prefix-length]

69
 ✓ Thiết lập ACL cho phép những địa chỉ nội bộ bên trong nào được chuyển
đổi: các địa chỉ được NAT
Router(config)#access-list access-list-number pertmit source [source-
wildcard]

✓ Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với
dải địa chỉ đại diện ra bên ngoài
Router(config)#ip nat inside source list <acl-number> pool <name>

✓ Xác định các cổng kết nối vào mạng nội bộ

Router(config-if)# ip nat inside

✓ Xác định các cổng kết nối ra bên ngoài Router(config-if)#ip nat outside

Ví dụ: Cấu hình cho mô hình trong hình trên

Router(config)#ip nat pool abc 202.1.1.177 202.1.1.185 netmask
255.255.255.0
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool abc
Router(config)#interface fa0/0
Router(config-if)#ip nat inside
Router(config)#interface S0/0/0
Router(config-if)#ip nat outside
4. NAT overload
NAT Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều
địa chỉ IP thành một địa chỉ (many – to – one) và sử dụng các chỉ số cổng khác
nhau để phân biệt cho từng chuyển đổi. NAT Overload còn có tên gọi là PAT
(Port Address Translation).
Chỉ số cổng được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể
được chuyển đổi sang một địa chỉ công cộng.

70
 ❖ Cấu hình NAT Overload
✓ Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip
addresses range)
Router(config)#access-list <ACL-number> permit <source> <wildcard>

✓ Cấu hình chuyển đổi địa chỉ IP sang cổng nối ra ngoài
Router(config)#ip nat inside source list <ACL-number> interface
<interface> overload

✓ Xác định các cổng nối vào mạng bên trong và nối ra mạng bên ngoài
Đối với các cổng nối vào mạng bên trong:
router(config-if)#ip nat inside

Đối với nối ra mạng bên ngoài:

router(config-if)#ip nat outside

Ví dụ:
Giả sử hệ thống mạng công ty mô tả như sơ đồ trên, công ty thuê một
đường kết nối Internet qua cổng S0/0/0 của router. Công ty muốn tất cả các
thành viên trong công ty đều có thể truy cập được Internet.

Trong trường hợp này, người quản trị mạng thực hiện cấu hình PAT (NAT
Overload) trên router để cho phép người dùng trong công ty có thể truy cập ra
ngoài bằng địa chỉ được đăng ký trên cổng S0/0/0 của router.

Các lệnh cấu hình NAT như sau:

Rconfig)#access-list 1 permit 192.168.1.0 0.0.0.255
R(config)#ip nat inside source list 1 interface s0/0/0 overload
Rconfig)#interface fa0/0

R(config-if)#ip nat inside

71
R(config)#interface S0/0/0
R(config-if)#ip nat outside

❖ Các lệnh kiểm tra cấu hình

R#show ip nat translation → hiển thị bảng NAT đang hoạt động

R#show ip nat statistics → hiển thị trạng thái hoạt động của NAT

R#clear ip nat translation * → x a bảng NAT

R#debug ip nat → kiểm tra hoạt động của NAT, hiển thị các thông tin chuyển
đổi NAT bởi router.
5. Tổng kết Phần
Cisco IOS NAT cho phép một tổ chức với những địa chỉ không đăng ký
(địa chỉ local) có thể kết nối Internet bằng cách chuyển những địa chỉ này thành
những địa chỉ đã được đăng ký (public).
NAT có ưu điểm là tiết kiệm địa chỉ đăng ký (public). Tuy nhiên, sử dụng
NAT cũng có khuyết điểm là làm tăng thời gian trễ do phải thực hiện việc
chuyển đổi địa chỉ trong các gói dữ liệu.
Ba kỹ thuật NAT được dùng là: Static NAT, Dynamic NAT và NAT
Overload (PAT). Static NAT được sử dụng để ánh xạ địa chỉ theo kiểu “one-to-
one” và được chỉ định bởi người quản trị. Dynamic NAT là kiểu chuyển dịch địa
chỉ dạng “one-to-one” một cách tự động. NAT Overload là kiểu chuyển dịch địa
chỉ dạng “many-to-one” một cách tự động, sử dụng các chỉ số cổng (port) để
phân biệt cho từng chuyển dịch.

72
PHẦN 7. IPv6

1. Giới thiệu
Theo đặc tả của giao thức IPv6, tất cả các loại địa chỉ IPv6 được gán cho
các Interface, không gán cho các Node. Mỗi địa chỉ IPv6 loại Unicast được gán
cho một Interface đơn. Vì mỗi Interface thuộc về một Node đơn, do vậy mỗi địa
chỉ Unicast định danh một Interface sẽ định danh cho Node đó.
Mỗi Interface đơn có thể được gán nhiều loại địa chỉ IPv6 (cho phép cả 3
dạng địa chỉ đồng thời Unicast, Anycast, Multicast). Nhưng bắt buộc mỗi
Interface phải được gán một địa chỉ Unicast Link-local nhằm phục vụ cho các
kết nối Point-to-point.
Một Host có thể được gán các địa chỉ sau:
● Một địa chỉ Link-local cho mỗi Interface gắn với Host đó.
● Một địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ.

● Một địa chỉ Loopback.

● Một địa chỉ Multicast, mà Host đó là thành viên.

Một router nếu hỗ trợ IPv6 sẽ nhận biết được tất cả các loại địa chỉ mà host chấp
nhận kể trên, ngoài ra nó còn được gán các loại địa chỉ sau:
● Tất cả các địa chỉ Multicast được gán trên Router.

● Tất cả các địa chỉ Anycast được cấu hình trên Router.

● Tất cả các địa chỉ Multicast của các nhóm thuộc Router quản lý.

2. Những hạn chế của IPv4 ❖ Hạn chế

● Thiếu hụt địa chỉ
● Kích thước của các bảng định tuyến trở nên rất lớn.
❖ Giải pháp
● Giải pháp trước mắt:
- RFC1918
- Subnetting (1985)
- VLSM (1987)
- CIDR (1993)
- NAT : là một công cụ cho phép hàng ngàn host truy cập vào Internet
với - một vài địa chỉ IP hợp lệ. ● Giải pháp lâu dài
- IPv6 : năm 1994 IETF đề xuất IPv6 trong RFC1752. IPv6 khắc phục
một số vấn đề về thiếu hụt địa chỉ, QoS, autoconfiguration, xác thực
và bảo mật.

73
3. Khái quát IPv6
● Không gian địa chỉ lớn
● Tăng khả năng phân cấp địa chỉ
● Tự động cấu hình
● Header IPv6 được xây dựng lại hợp lý hơn
● Built-in security
● Tính di động

3.1. Không gian địa chỉ lớn

● IPv4 có độ dài địa chỉ là 32 bit (4 byte), có khoảng 4.200.000.000 địa chỉ
● IPv6 có độ dài địa chỉ là 128 bit (16 byte), có khoảng 3,4x 1038 địa chỉ

3.2. Tăng sự phân cấp địa chỉ IP

● Phần tiền tố (format prefix) trong địa chỉ IPv6 sẽ chỉ ra địa chỉ này thuộc
dạng nào
(unicast, multicast, …). Điều này cho phép hệ thống định tuyến làm việc hiệu quả
hơn.
● TLA ID (Top Level Aggregation Identification) : xác định các nhà cung
cấp dịch vụ cấp cao nhất trong hệ thống các nhà cung cấp dịch vụ
● NLA ID (Next Level Aggregation Identification) : xác định nhà cung cấp
dịch vụ bậc 2
● SLA ID (Site Level Aggregation Identification) : xác định các Site của
khách hàng
● Interface ID: xác định các Interface của các Host kết nối trong một Site

3.3. Cấu hình tự động địa chỉ IP

Các địa chỉ cục bộ hay các router kết nối trực tiếp gửi prefix ra các kết nối cục
bộ và ra tuyến đường mặc định. Các thông tin này được gửi đến tất cả các node
trên hệ thống mạng, cho phép các host còn lại tự động cấu hình địa chỉ IPv6.
Router cục bộ sẽ cung cấp 48-bit địa chỉ toàn cục và SLA hoặc các thông tin
subnet đến các thiết bị đầu cuối. Các thiết bị đầu cuối chỉ cần đơn giản thêm vào
địa chỉ lớp 2 của nó. Địa chỉ lớp 2 này, cùng với 16-bit địa chỉ subnet tạo thành
một địa chỉ 128-bit. Khả năng gắn một thiết bị vào mà không cần bất cứ một cấu
hình nào hoặc dùng DHCP sẽ cho phép các thiết bị mới thêm vào Internet,
chẳng hạn như dùng cellphone, dùng các thiết bị wireless và mạng Internet trở
thành plug-and-play.
74
IPv6 có 128 bit, trong đó 64 bit đầu dùng cho Network và 64 bit sau dùng cho
host. 64 bit của host ID định dạng theo EUI-64 có thể thu được từ địa chỉ MAC
của Network interface bằng cách thành lập như sau(địa chỉ dạng EUI-64):
- Chèn FFFE vào giữa byte thứ 3 và thứ 4 của địa chỉ MAC (48 bit)
- Đảo bit thứ 2 trong byte thứ nhất (tính từ phải sang trái) của địa chỉ MAC

3.4. Header IPv6

Hình 7. 2. Header IPv4 và IPv6

Các trường (field) trong header IPv6:

75
 - Version (4 bit): xác định phiên bản của giao thức (mang giá trị 6)
- Traffic Class (8 bit): xác định loại lưu lượng
- Flow label (20 bit): cùng với traffic class cung cấp các kiểu QoS
- Payload Length (16 bit): unsigned integer. Xác định kích thước phần dữ
liệu (data) theo sau IPv6 Header
- Next-Header (8 bit): giúp xác định Header tiếp theo (next header) trong gói
tin
- Hop Limited (8 bit): unsigned integer. Qua mỗi Node, giá trị này giảm 1
đơn vị (giảm
đến 0 thì gói tin bị loại bỏ).
- Source Address (128 bit) : mang địa chỉ IPv6 nguồn của gói tin.
- Destination Address (128 bit): mang địa chỉ IPv6 đích của gói tin.
❖ Phần header của IPv6 đã được đơn giản hóa để tăng tốc độ xử lý và tăng
hiệu quả cho router.
● IPv6 header có kích thước cố định 40 byte và ít field hơn nên thời gian xử
lý header nhanh hơn
● Không có header checksum: Hệ thống mạng trước đây có tốc độ kết nối
chậm và không đảm bảo nên việc tính toán checksum tại mỗi hop là cần
thiết để đảm bảo tính toàn vẹn dữ liệu. Các kết nối mạng ngày nay nhanh
và có tính tin cậy cao hơn, do đó chỉ cần các host tính checksum, không
cần trên router.
● Bỏ các header: header lenghth, Identification, Flags, Fragment offset,
header checksum
- Field Header Length loại bỏ vì kích thước của IPv6 header là cố định.
Trong IPv4 header có kích thước thay đổi từ 20 - 60 byte.
- Các field Identification, Flags và Fragment Offset được sử dụng trong
việc fragment một packet trong IPv4 header. Fragment xảy ra khi một
packet có kích thước lớn (large packet) được gửi qua môi trường mạng chỉ
hỗ trợ packet có kích thước nhỏ hơn. Trong trường hợp này, router sẽ chia
packet ra thành nhiều phần có kích thước nhỏ hơn để chuyển chúng đi.
Host đích (destination host) sẽ tập hợp các packet này và lắp ráp chúng lại
(reassemble). Trong quá trình truyền, nếu một gói trong chúng bị lỗi
(error) hoặc không đến được đích thì toàn bộ phải được gửi lại.
- Trong IPv6, host sẽ học một MTU size. Nếy host trong quá trình gửi muốn
fragment packet, nó sẽ dùng Extension Header để làm việc này. Các
router IPv6 dọc theo đường đi của packet không fragment packet.
- Field Checksum loại bỏ để tăng tốc độ xử lý.

76
2.5 Built-in security
IPv6 tích hợp tính năng bảo mật bằng cách sử dụng 2 header mở rộng: (AH)
Authentication header và Encrypted Security payload (ESP).

2.6 Tính di động

Địa chỉ IPv6 được thiết kế với tính di động được tích hợp vào trong Mobile IP
cho phép các hệ thống đầu cuối thay đổi vị trí mà không mất các kết nối. Đây là
điểm rất cần thiết cho những sản phẩm wireless chẳng hạn như IP phone và các
hệ thống GPS, ...
Các header mở rộng trong IPv6
● Hop – by – Hop options header
● Destination options header
● Routing header
● Fragment header
● Authentication header
● Encapsulating Security Payload header

4. Cấu trúc địa chỉ IPv6

Địa chỉ IPv6 có sự khác biệt rất lớn so với địa chỉ IPv4 không chỉ về kích thước
mà còn khác nhau về các thể hiện ở dạng thập lục phân.
Địa chỉ IPv6 dài 128 bit được chia thành 8 phần ở dạng thập lục phân được phân
cách bởi các dấu hai chấm (:). Mỗi phần của nó có độ dài 16 bit, IPv6 sử dụng
dang hiển thị thập lục phân và không phân biệt chữ hoa hay chữ thường.
Cấu trúc địa chỉ IPv6: X:X:X:X:X:X:X:X
Trong đó: X là dạng hexa 16 bit
Ví dụ: 2031:0000:130F:0000:0000:09C0:876A:130B
❖ Một số quy tắc rút gọn địa chỉ IPv6
Địa chỉ IPv6 có chiều dài 128 bit nên vấn đề nhớ địa chỉ là hết sức khó khăn.
Sau đây là một số quy tắc rút gọn địa chỉ:
● Cho phép bỏ qua những số 0 đứng trước mỗi thành phần hệ 16, có thể
viết 0 thay vì viết 0000.
Ví dụ: với block 0008 --> ta có thể
viết 8 với block 0800 --> ta có
thể viết 800
● Thay thế nhiều nhóm số 0 thành một dấu "::" và dấu “::”chỉ được dùng
duy nhất một lần trong mỗi địa chỉ IPv6.

Ví dụ:

77
 2031:0000:130F:0000:0000:09C0:876A:130B
➔ 2031:0:130F::9C0:876A:130B
→2 31::13 F::9C :876A:13 B (sa )

FF 1: : : : : : :1 → FF01::1
: : : : : : :1 → ::1
: : : : : : : → ::
❖ Các loại địa chỉ IPv6
- Unicast
- Anycast
- Multicast
Mỗi interface có thể được gán nhiều loại địa chỉ IPv6 (cho phép cả 3
dạng địa chỉ đồng thời Unicast, Anycast, Multicast). Nhưng bắt buộc
mỗi interface phải được gán một địa chỉ Unicast Link-local nhằm phục
vụ cho các kết nối Point-to-point.
Theo thiết kế của IPv6, một Host có thể được định danh bởi các địa chỉ sau:
- Địa chỉ Link-local cho mỗi Interface gắn với host đó
- Địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ
- Địa chỉ Loopback
- Địa chỉ Multicast, mà Host đó là thành viên
Router hỗ trợ IPv6 sẽ nhận biết được tất cả các loại địa chỉ mà host
chấp nhận kể trên, ngoài ra nó còn được gán các loại địa chỉ sau:
- Tất cả các địa chỉ Multicast được gán trên Router.

- Tất cả các địa chỉ Anycast được cấu hình trên Router.
- Tất cả các địa chỉ Multicast của các nhóm thuộc Router quản lý.

Hình 7.3. Nhiều địa chỉ được gán cho một interface

78
Bảng phân bổ địa chỉ IPv6

❖ Unicast
●Global Unicast Address
Được sử dụng để định danh các interface, cho phép thực hiện kết
nối các host trong mạng Internet IPv6 toàn cầu. Ý nghĩa của nó
cũng giống địa chỉ Public IPv4.
Trong đó:

FP=001: Format Prefix

79
 TLA: Top Level Aggregate
NLA: Next Level Aggregate
SLA: Site Level
Aggregate ● Link Local

Dùng để các neighbor giao tiếp với nhau trên cùng một liên kết.

Địa chỉ Link-local Unicast luôn bắt đầu bởi Prefix FE80::/64, kết thúc là 64 bit
Interface-ID dùng để phân biệt các Host trong một Subnet. Những địa chỉ này
chỉ được định nghĩa trong phạm vi kết nối point-to-point.
Quy tắc định tuyến đối với loại địa chỉ này là Router không thể chuyển bất kỳ gói
tin nào có địa chỉ nguồn hoặc đích là địa chỉ Link-local.
● Site Local:

-
Dùng để liên kết các node trong cùng một Site mà không xung đột với các địa
chỉ Global. Các gói tin mang loại địa chỉ này trong IP Header, Router sẽ không
chuyển ra mạng ngoài. - Địa chỉ Site-local Unicast luôn bắt đầu bởi Prefix
FEC0::/48 theo sau là 16 bit Subnet_ID, người dùng có thể dùng 16 bit này để
phân cấp hệ thống mạng của mình. Cuối cùng là 64 bit Interface_ID dùng để
phân biệt các Host trong một Subnet.
Quy tắc định tuyến đối với dạng địa chỉ Site-local:
- Router không thể chuyển các gói tin có địa chỉ nguồn hoặc đích là địa chỉ
Site-local Unicast ra ngoài mạng đó.
- Các địa chỉ Site-local không thể được định tuyến trên Internet. Phạm vi
của chúng chỉ trong một Site, chỉ dùng để trao đổi dữ liệu giữa các host
trong Site đó.
● Anycast

Địa chỉ Anycast được gán cho một nhóm các interface. Những gói tin có địa chỉ
đích là một địa chỉ Anycast sẽ được gửi đến node gần nhất mang địa chỉ này.

Khái niệm gần nhất ở đây dựa vào khoảng cách gần nhất được xác định qua giao
thức định tuyến đượcsử dụng.
80
Sử dụng Anycast có 2 lợi ích :

- Tiết kiệm được thời gian bằng cách giao tiếp với máy gần nhất

- Thứ hai là việc giao tiếp với máy gần nhất giúp tiết kiệm được băng thông
Địa chỉ Anycast không có các tầm địa chỉ được định nghĩa riêng như Multicast,
mà nó giống như một địa chỉ Unicast, chỉ có khác là có thể có nhiều máy khác
cũng được đánh số với cùng scope trong cùng một khu vực xác định. Anycast
được sử dụng trong các ứng dụng như DNS...
● Multicast

Một địa chỉ multicast có thể được gán cho một nhóm các interface. Một gói tin
khi chuyển đến địa chỉ multicast sẽ được chuyển đến tất cả các node mang địa
chỉ multicast này.
- Địa chỉ Multicast luôn bắt đầu bởi một Prefix 8 bit “1111 1111”
- Flag có cấu trúc: 000T Trong đó:
3 bit thứ tự cao được dự trữ và được xác lập ở giá trị 0.
T = 0: địa chỉ Multicast “Well-known”, địa chỉ này được
phân bổ bởi Global Internet Numbering Authority. Và
được phân bổ cố định. T = 1 : địa chỉ Multicast “transient”.
Địa chỉ này không được phân bổ cố định.
- Scope (4 bit): được dùng để xác định phạm vi (scope) của nhóm địa chỉ
Multicast. Ý nghĩa của các giá trị trong scope như sau:
0 : Chưa sử dụng
1 : Node-local
2 : Link-local
3 : Chưa sử dụng
4 : Chưa sử dụng 5 : Site-local
6 : Chưa sử dụng
7 : Chưa sử dụng
8 : Organization-local
9 : Chưa sử dụng A Chưa phân bổ
B Chưa phân bổ
C : Chưa sử dụng

D : Chưa sử dụng E : Global

81
 F : Chưa sử dụng
- Group ID: Xác định nhóm multicast trong phạm vi một Scope. Địa chỉ
Multicast cấp phát cố định hoàn toàn độc lập với giá trị được xác lập trong
trường Scope.
- Ví dụ: một nhóm NTP Server được cấp group ID 111 (hex). Ta có:
FF01:0:0:0:0:0:0:111 : gửi đến tất cả các NTP trên cùng Node với Node
gửi
FF02:0:0:0:0:0:0:111 : gửi đến tất cả các NTP trên cùng Link với Node gửi
FF05:0:0:0:0:0:0:111 : gửi đến tất cả các NTP trên cùng Site với Node gửi
FF0E:0:0:0:0:0:0:111 : gửi đến tất cả các NTP trên Internet
Địa chỉ multicast cấp phát không cố định chỉ có ý nghĩa trong phạm vi một
Scope. Ví dụ một địa chỉ Multicast FF15:0:0:0:0:0:0:111 có thể được dùng trong
nhiều Site mà không xung đột lẫn nhau.
• Một số địa chỉ đặc biệt
- Địa chỉ không xác định: 0:0:0:0:0:0:0:0
Địa chỉ này giống với địa chỉ 0.0.0.0 trong IPv4.
- Địa chỉ loopback: 0:0:0:0:0:0:0:1
Địa chỉ này có ý nghĩa giống như địa chỉ 127.0.0.1 trong IPv4
- Địa chỉ IPv4-embedded IPv6

Loại địa chỉ này được sử dụng trong cơ chế Automatic Tunneling, một cơ chế
sử dụng trong quá trình chuyển đổi từ IPv4 lên IPv6. Địa chỉ loại này cấu tạo
bởi Prefix 96 bit 0, 32 bit còn lại lấy từ một địa chỉ IPv4 hoàn chỉnh. Khi Node
IPv6 truyền thông với nhau qua Automatic Tunneling,địa chỉ IPv4 của
Tunneling sẽ được tách ra từ địa chỉ IPv4-embedded IPv6
Ví dụ:
Cho địa chỉ IPv4 10.0.0.5.
--> Địa chỉ IPv4-embedded IPv6 có dạng 0:0:0:0:0:0:A00:5.
Ta có thể giữ nguyên chấm thập phân của phần cuối. Trong trường hợp này, địa
chỉ có thể được viết lại dưới dạng ::10.0.0.5.
5. Các giải pháp triển khai IPv6 trên nền IPv4

Hiện tại IPv4 đang chiếm lĩnh trong môi trường Internet. Để chuyển sang sử
dụng IPv6 cần có những bước trung gian trước khi chuyển hẳng sang sử dụng
IPv6. Như vậy, các biện pháp thay thế sẽ diễn ra từ lớp access đến lớp core.
Có 3 giải pháp phổ biến được sử dụng để triển khai IPv6 trên nền IPv4
là: Dual Stack, Tunneling và NAT-PT.

82
5.1. Dual Stack (Dual IP Layer)

Ý tưởng của giải pháp này là: Ở mỗi host/router cài đặt cả hai giao thức IPv4 và
IPv6 cùng hoạt động.
Những node này hỗ trợ cả hai giao thức, có thể làm việc được với node IPv4
thuần túy cũng như node IPv6 thuần túy. Hạn chế của cơ chế này là phải gán
thêm một địa chỉ IPv4 với mỗi node IPv6 mới.
Đối với Host/Router dùng kỹ thuật Dual-IP-layer, có thể kết hợp với cơ chế
chuyển đổi IPv6over-IPv4 Tunneling.

5.2. Tunneling

Cơ chế này thực hiện đóng gói tin IPv6 vào một gói theo chuẩn giao thức
IPv4 để có thể chuyển gói tin qua mạng IPv4 thuần túy. Trong trường hợp
này, mạng xem như đó là một gói tin IPv4 bình thường.
IETF đã giới thiệu hai phương pháp để tạo đường hầm cho các Site IPv6 kết nối
với nhau xuyên qua hạ tầng IPv4: Automatic Tunneling và Configured
Tunneling.
- Automatic tunneling: địa chỉ cuối cùng trong Tunnel là địa chỉ IPv4-
compatible IPv6. - Configured tunneling: địa chỉ cuối cùng trong Tunnel
được xác định nhờ thông tin cấu hình tại các nút thực hiện đóng, mở gói IPv6
thành gói IPV4 và ngược lại.

83
5.3. NAT-PT

NAT-PT: Network Address Translation - Protocol Translation được mô tả trong

RFC2766 NAT-PT cho phép các Host/Router dùng IPv4 thuần túy và các
Host/Router dùng IPv6 thuần túy có thể kết nối làm việc với nhau. Dùng NAT-
PT, ta có thể ánh xạ qua lại giữa địa chỉ IPv6 và IPv4.

84
Phần 8. IPv6 ROUTING

1. Tổng quan
Định tuyến trên nền Ipv6 cũng đã được hỗ trợ cấu hình trên các thiết bị
định tuyến từ lâu. Trong Phần này sẽ trình bày cách cấu hình định tuyến tĩnh và
định tuyến động trên nền Ipv6.

2. Định tuyến tĩnh

Cú pháp:
R(config)#ipv6 router prefix-network/prefix-length [OutGoing Interface | Next-
Hop]
Ví dụ 1: Định tuyến tĩnh sử dụng “outgoing interface”

85
Ví dụ 2: Định tuyến tĩnh sử dụng “Next-Hop Ipv6 address”

Sử dụng Unicast hoặc Link-local làm Next-Hop cho các tuyến tĩnh

Trường hợp sử dụng địa chỉ Global Unicast

Trường hợp sử dụng Link-Local Neighbor adddress

Default route

86
Xem bảng định tuyến

3. RIPng
Cấu hình:
B1: Chọn giao thức định tuyến
R(config)#ipv6 router rip tag
Trong đó: tag là một chuỗi định danh, do người cấu hình t đặt
B2. Chọn cổng tham gia vào quá trình trao đổi thông tin định
tuyến

R(config-if)#ipv6 rip tag enable

87
Các lệnh kiểm tra cấu hình:
R#show ipv6 rip
R#show ipv6 route [rip]
Ví dụ:

4. OSPF cho Ipv6

Các bước cấu hình
● B0: Bật tính năng định tuyến cho Ipv6
R(config)#ipv6 unicast-routing
● B1: Chọn giao thức định tuyến
R(Config)#ipv6 router ospf <process-id>
R(config-router)#router-id H.H.H.H
● B2. Chọn cổng tham gia vào quá trình trao đổi thông tin định tuyến
R(Config-if)#ipv6 ospf <process-id> area <area-id>
Ví dụ:

88
89
Các lệnh kiểm tra cấu hình:
R#show ipv6 protocols
R#show ipv6 ospf neighbor
R#show ipv6 ospf database
R#show ipv6 route [ospf]
Địa chỉ multicast cập nhật thông tin định tuyến của OSPF cho Ipv6 là
FF02::5 cho tất cả các router chạy OSPF và FF02::6 cho các DR và BDR. Để
điều chỉnh cost dùng lệnh Router(config-if)#ipv6 ospf cost x (với x có giá trị từ
1- 65.535)
5. EIGRP for Ipv6
Các bước cấu hình:
● B1. Chọn giao thức định tuyến
R(config)#ipv6 router eirgp <AS>
→ t a số tùy chọn
R(config-router)#eigrp router-id H.H.H.H

● B2. Chọn cổng tham gia vào quá trình trao đổi thông tin định tuyến
R(config-if)#ipv6 eigrp <AS>

Các lệnh kiểm tra cấu hình:

90
 R#show ipv6 protocols
R#show ipv6 eigrp neighbors
R#show ipv6 eigrp topology
R#show ipv6 route [eigrp]
EIGRP cho Ipv6 cập nhật định tuyến qua địa chỉ multicast
FF02::A Ví dụ:

91
92
PHẦN 9. WAN

Phần này sẽ đề cập đến một số giao thức hoạt động trên môi trường W N và
một số dịch vụ W N phổ biến. Học xong Phần này, người học có khả năng:
● Trình bày được khái niệm về W N
● Trình bày được một số đặc điểm cơ bản của giao thức PPP, HDLC
● Phân biệt và cấu hình hai giao thức chứng th c trên PPP (P P, CH P)
● Phân biệt và cấu hình một số kỹ thuật W N: Serial Point-to-Point, Frame
Relay

1. Giới thiệu
Một WAN là một mạng trao đổi dữ liệu, nó hoạt động vượt ra ngoài phạm
vi vật lý của LAN. WAN hoạt động trên một miền địa lý rộng lớn, kết nối hệ
thống máy tính của cùng một đơn vị giữa các tỉnh, các quốc gia hay châu lục…
WAN sử dụng các liên kết dữ liệu như là Frame Relay, ATM, MPLS hỗ trợ
các dịch vụ để truy cập băng thông vượt qua vùng địa lý rộng lớn.
Các tính năng kỹ thuật WAN nằm ở ba tầng cuối cùng của mô hình OSI.
- Các kiểu kết nối WAN (layer 1): đường thuê riêng (leased line), chuyển
mạch kênh (circuit switched), chuyển mạch gói (packet-switched).
- Các giao thức đóng gói WAN (Layer 2): HDLC, PPP, ATM, Frame
Relay, VPN,
MPLS
- Một số kỹ thuật WAN: trước đây một số kỹ thuật được dùng như ISDN,
X.25,
ATM, các kỹ thuật đang sử dụng nhiều hiện nay như DSL, Leased
lined, MPLS,… Trong Phần này, chúng ta sẽ tìm hiểu về 2 kỹ thuật WAN:
PPP và Frame-Relay.
2. Kết nối serial point-to-point
Hai giao thức liên kết dữ liệu (data link) WAN sử dụng trong mạng WAN
kết nối Serial Point-to-Point được dùng phổ biến là HDLC và PPP.

PPP là một giao thức thường được chọn để triển khai trên một kết nối WAN
nối tiếp.

PPP có hỗ trợ quá trình xác thực PAP và CHAP.

93
 ❖ Quá trình chứng thực trong PPP
PPP tổ chức gồm 2 giao thức sau:
● Link Control Protocol (LCP): sử dụng cho việc thiết lập, cấu hình và kiểm
tra kết nối ở tầng liên kết dữ liệu.
● Network Control Protocol (NCP): sử dụng cho việc thiết lập và cấu hình các
giao thức tầng mạng khác nhau.
❖ Quá trình thiết lập kết nối PPP
Quá trình thiết lập kết nối PPP qua 4 bước: Thiết lập kết nối và thương
lượng cấu hình; quyết định chất lượng kết nối; thương lượng cấu hình giao thức
tầng mạng và kết thúc kết nối.
● Thiết lập kết nối và cấu hình
Mỗi thiết bị PPP gửi gói tin LCP để cấu hình và thiết lập kết nối ở tầng liên
kết dữ liệu. Gói tin LCP chứa các trường: “MTU”, “compression”, và giao thức
chứng thực kết nối. LCP đầu tiên mở kết nối và thương lượng các tham số cấu
hình. Giai đoạn này hoàn tất khi các gói tin thống nhất cấu hình (ACK) được gửi
và nhận.
● Quyết định chất lượng kết nối
Liên kết được kiểm tra xem có tốt không để chuyển các giao thức lên tầng
mạng hay không. Sau đó Client có thể được chứng thực. Việc chứng thực diễn ra
trước giai đoạn cấu hình giao thức tầng mạng. PPP hỗ trợ hai giao thức chứng
thực là: PAP và CHAP.
● Thương lượng cấu hình tầng mạng
Các thiết bị PPP gửi gói tin NCP để chọn và cấu hình một hoặc nhiều giao
thức tầng mạng (ví dụ như IP). Khi giao thức tầng mạng được cấu hình, các gói
tin từ giao thức tầng mạng có thể được gửi qua liên kết. Nếu LCP kết thúc kết
nối, nó cung cấp các giao thức tầng mạng để có thể có những hành động phù
hợp.
● Kết thúc kết nối
LCP có thể kết thúc kết nối bất cứ lúc nào. Điều này luôn được thực hiện ở
yêu cầu của người dùng. Kết thúc kết nối cũng có thể xảy ra do sự cố vật lý, như
là đứt kết nối hay vượt quá thời gian qui định (timeout).

❖ Giao thức chứng thực PAP và CHAP

● Chứng th c PPP bằng P P
PAP sử dụng cơ chế bắt tay 2 bước. Đầu tiên Client sẽ gửi username và
password cho Server để xác thực. Server sẽ tiến hành kiểm tra, nếu thành công
thì sẽ thiết lập kết nối; ngược lại sẽ không thiết lập kết nối với Client.

94
 Password được gửi dưới dạng không được mã hóa (clear – text) và
username/password được gửi đi kiểm tra một lần khi thiết lập kết nối.

● Chứng th c PPP bằng CH P

Sử dụng kỹ thuật 3 bước bắt tay (three-way handshake). CHAP được thực
hiện ở lúc bắt đầu thiết lập kết nối và luôn được lặp lại trong suốt quá trình kết
nối được duy trì.
Client muốn thiết lập kết nối với Server, Server gửi một thông điệp
“challenge” yêu cầu Client gửi giá trị để Server chứng thực. Thông điệp gửi từ
Server có chứa một số ngẫu nhiên dùng làm đầu vào cho thuật toán “hash”.
Client nhận được thông điệp yêu cầu của Server. Nó sẽ sử dụng thuật toán
“hash” với đầu vào là hostname, password và số ngẫu nhiên vừa nhận được và
tính toán ra một giá trị nào đó và gửi giá trị này qua cho Server.
Server sẽ kiểm tra danh sách “username” (nếu cấu hình nhiều username) để
tìm ra “username” nào giống với hostname của Client. Sau khi tìm được
“username” đó, nó dùng thuật toán “hash” để mã hóa password tương ứng và số
ngẫu nhiên trong thông điệp “challenge” ban đầu mà nó gửi cho Client để tính
ra một giá trị nào đó. Và giá trị này sẽ so sánh với giá trị do Client gửi qua, nếu
giống nhau thì xác thực thành công; nếu không thì kết nối sẽ bị xóa ngay.

Một cách đơn giản, ta cần nắm ý tưởng sau khi cấu hình CHAP: mỗi đầu
kết nối phải có khai báo username và password. Username bên R1 phải là
hostname của R2 và username khai báo bên R2 là hostname của R1, password
hai bên phải giống nhau.
❖ Cấu hình PPP
- Cấu hình PPP
Router(config)#interface <interface>
Router(config-if)#encapsulation ppp

95
 - Cấu hình chứng thực PPP PAP
ướ Tạo username và password trên Server
Router(config)#username <username> password <password>
ướ Enable PPP
Router(config-if)#encapsulation ppp
ướ 3 Cấu hình xác thực
Router(config-if)#ppp authentication {pap|chap|pap-chap|chappap}
ướ PAP phải được enable trên interface bằng lệnh
Router(config-if)#ppp pap sent-username <username> password
<password>
Ví dụ 1: Cấu hình PPP chứng thực bằng PAP

● Mô tả
Router R2 sẽ chứng thực cho router R1 bằng giao thức PAP

● Hướng dẫn cấu hình

- Cấu hình cơ bản
R1(config)#int S0/0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R2(config)#int S0/0/1
R2(config-if)#ip address 192.168.1.2 255.255.255.0
R2(config-if)#exit - Cấu hình chứng thực PAP
R1(config)#int S0/0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp pap sent-username cisco password cisco
R2(config)#username cisco password cisco
R2(config)#int S0/0/1
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
-Cấu hình định tuyến: tùy chọn giao thức
● Kiểm tra cấu hình

96
 Sử dụng các lệnh sau:
ping
debug ppp authentication
❖ Cấu hình chứng thực PPP CHAP
ư ng ợ t ng tn ứng t

● Mô tả
Router R2 chứng thực cho router R1 bằng giao thức CHAP. Trường hợp
mặc định, router gửi hostname để chứng thực.
● Các bước cấu hình
✓ Cấu hình cơ bản
R1(config)#int S0/0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R2(config)#int S0/0/1
R2(config-if)#ip address 192.168.1.2 255.255.255.0 R2(config-if)#exit
- Cấu hình chứng thực CHAP
R1(config)#username R2 password cisco
R1(config)#int S0/0/0
R1(config-if)#encapsulation ppp
R2(config)#username R1 password cisco
R2(config)#interface serial 0/0/1
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
- Cấu hình định tuyến: tùy chọn giao thức
● Kiểm tra cấu hình
Sử dụng các lệnh sau:
Router#ping
Router#debug ppp authentication
ư ng ợ t gửi n & w t kỳ

97
 ● Yêu cầu
Router R2 sẽ chứng thực cho router R1 bằng giao thức CHAP trường hợp
router gửi hostname và password được chỉ ra.
● Các bước cấu hình - Cấu hình cơ bản:
R1(config)#interface serial 0/0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit

R2(config)#interface serial 0/0/1

R2(config-if)#ip address 192.168.1.2 255.255.255.0 R2(config-if)#exit
● Cấu hình chứng thực CHAP
R1(config)#int S0/0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp chap hostname abc
R1(config-if)#ppp chap password cisco R2(config)#username abc
password cisco
R2(config)#int S0/0/1
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
● Cấu hình định tuyến: tùy chọn giao thức
● Kiểm tra cấu hình
Sử dụng các lệnh sau:
Router#ping
Router#debug ppp authentication
3. VPN
VPN là sự mở rộng của một mạng riêng (private network) thông qua mạng công
cộng (internet), được dùng để kết nối các văn phòng chi nhánh, người từ xa kết
nối về văn phòng chính.

98
VPN có thể được tạo ra bằng cách sử dụng phần cứng, phần mềm hay kết hợp cả
hai để tạo ra một kết nối ảo bảo mật giữa hai mạng riêng thông qua mạng công
cộng. Lợi ích của công nghệ VPN là đáp ứng nhu cầu trao đổi thông tin, truy
cập từ xa và tiết kiệm chi phí.
❖ Các mode kết nối VPN
Có hai chế độ kết nối VPN để chuyển dữ liệu giữa hai
thiết bị là o Tunnel mode o Transport mode
Cả hai mode này định nghĩa quá trình đóng gói được sử dụng để di chuyển
dữ liệu một cách an toàn giữa hai thực thể.
● Transport mode
Một kết nối ở mode transport được sử dụng địa chỉ IP nguồn và đích thật sự
của các thiết bị trong các gói tin để truyền dữ liệu.
● Tunnel mode
Hạn chế của transport mode là không có khả năng mở rộng. Do đó, nếu
chúng ta có nhiều thiết bị ở hai vị trí riêng biệt cần nói chuyện với nhau trong
chế độ bảo mật, ta nên sử dụng tunnel mode thay vì transport-mode. Trong
tunnel mode, các thiết bị nguồn-đích thực thông thường sẽ không bảo vệ dữ liệu,
thay vào đó các thiết bị trung gian được sử dụng để bảo vệ luồng dữ liệu. Các
thiết bị này được gọi là các VPN gateway.
Tunnel mode cung cấp nhiều tính năng ưu việt hơn transport mode:
- Tính mở rộng: ta có thể chọn một thiết bị phù hợp để thực hiện việc xử lý
bảo vệ.
- Tính linh động: không cần phải thay đổi gì trong cấu hình VPN khi thêm
vào một thiết bị mới sau VPN Gateway.
- Tính ẩn của các giao tiếp: các lưu lượng được các VPN Gateway đại diện

trao đổi với nhau, vì vậy sẽ che dấu nguồn và đích thật sự của kết nối.

99
 - Sử dụng địa chỉ cục bộ: các thiết bị đích và nguồn thực có thể sử dụng địa
chỉ được đăng ký (public) hay cục bộ bởi vì các gói tin được đóng gói bởi
các VPN Gateway.
- Sử dụng các chính sách bảo mật hiện có: các chính sách bảo mật được thực
hiện trên các thiết bị tường lửa và bộ lọc gói tin.
CÁC THÀNH PHẦN CỦA VPN:
❖ Chứng thực
Có 2 loại chứng thực là: Chứng thực thiết bị và chứng thực người dùng
- Chứng thực thiết bị: cho phép hạn chế các truy cập vào hệ thống mạng dựa
vào các thông tin cung cấp bởi các thiết bị VPN đầu xa.
Có 2 dạng chứng thực kiểu này là: Pre-shared key, Digital signature hoặc
certificate.
Pre-shared key được sử dụng trong các môi trường VPN nhỏ. Một hay
nhiều khóa được cấu hình và dùng để chứng thực để nhận dạng một thiết bị.
Digital signature, digital certificate được sử dụng để chứng thực thiết trong các
môi trường triển khai VPN lớn. - Chứng thực người dùng: chỉ cho phép người
dùng hợp lệ kết nối và truy cập hệ thống VPN. Người dùng phải cung cấp
username và password.
❖ Phương pháp đóng gói
Làm thế nào mà thông tin người dùng, dữ liệu được đóng gói và vận
chuyển qua mạng. Các câu hỏi cần đặt ra là: Các trường (field) gì sẽ tồn tại
trong VPN header và VPN trailer, thứ tự xuất hiện các trường, kích thước của
các trường?

❖ Mã hóa dữ liệu
Mã hóa dữ liệu giải quyết vấn đề dữ liệu bị đánh cắp trên đường truyền. Mã
hóa dữ liệu chỉ đơn giản là lấy dữ liệu, một giá trị khóa và chạy thuật toán mã
hóa để làm cho dữ liệu trở thành dạng khác với nội dung ban đầu. Chỉ có thiết bị
có cùng khóa mới có thể giải mã được thông tin về dạng ban đầu. Một số thuật
toán mã hóa như DES, 3DES, RS , ES, RC4…

❖ Toàn vẹn dữ liệu

Có thể xảy ra tình trạng có các gói tin giả làm tăng sự hoạt động lãng phí của
CPU. VPN cung cấp một cơ chế để khắc phục là kiểm tra sự toàn vẹn của dữ
liệu, hay còn gọi là “packet authentication”. Với “packet authentication”, một
chữ ký (signature) được đóng vào các gói tin. Signature được tạo ra bằng cách
lấy nội dung từ gói tin, một “share-key” và chạy thông tin này qua một hàm băm
và xuất ra một giá trị gọi là digital signature. Signature này được thêm vào các
gói tin và gửi đi đến đích. Ở đích đến sẽ kiểm tra “signature”, và nếu “signature”
được kiểm tra là chính xác, nó sẽ giải mã nội dung gói tin.

100
 Hai trong số các hàm băm được sử dụng cho việc kiểm tra toàn vẹn dữ liệu
là SHA và MD5.

❖ Quản lý khóa
Chúng ta đã đề cập đến 3 thành phần VPN có sử dụng khóa là: chứng th c,
mã hóa và hàm băm. Việc quản lý khóa trở nên quan trọng trong các kết nối
VPN. Ví dụ như: làm thế nào để phân phối các khóa, chúng được cấu hình tĩnh
hay phát sinh ngẫu nhiên, các khóa được tạo lại bao nhiêu lần để tăng tính bảo
mật?
❖ Non-repudiation
Repudiation là nơi ta không thể chứng thực các giao tiếp xảy ra (như là
việc thiết lập kết nối). Non-repudiation trái ngược với điều này: ta có thể chứng
thực một giao tiếp xảy ra giữa hai bên kết nối.
Ví dụ khi ta vào một cửa hàng online như Amazone.com và mua một quyển
sách và thanh toán bằng credit card. Amazone sẽ phải thu gom thông tin cá nhân
khi ta điền vào đơn đặt hàng như tên, địa chỉ, số điện thoại, thông tin về credit
card... Khi đó, Amazone sẽ kiểm tra những thông tin đó với công ty phân phối
credit card và lưu giữ lại các thông tin giao dịch như ngày, tháng, …

❖ Hỗ trợ ứng dụng và giao thức

Khi lựa chọn cài đặt VPN, đầu tiên chúng ta cần phải xác định loại dữ liệu
nào cần được bảo vệ. Ví dụ như loại dữ liệu IP hay IPX hoặc cả hai, hoặc là chỉ
cần bảo vệ một số loại dữ liệu cho một số Phần trình ứng dụng nào đó như Web
hay Email,…

❖ Quản lý địa chỉ:

Quản lý địa chỉ là một vấn đề quan trọng trong việc hoạch định địa chỉ cho toàn
hệ thống mạng của công ty.
PHÂN LOẠI VPN: Có 2 loại VPN thông dụng
● Site-to-Site VPN
● Remote Access VPN
❖ Remote Access VPN
Remote access VPN thường được sử dụng cho các kết nối có băng thông
thấp giữa một thiết bị của người dùng như là PC, Ipad,… và một thiết bị
Gateway VPN. Remote access VPN thông thường sử dụng tunnel mode cho các
kết nối.
Người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng của
công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server), giải
pháp này thường được gọi là client/server. Trong giải pháp này, người dùng
thường sử dụng các công nghệ truyền thống để tạo lại các tunnel về mạng của
họ.
101
 Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban
đầu nhằm đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì
giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty.
Trong Remote Access VPN có nhiều kỹ thuật được sử dụng để bảo mật trong
việc trao đổi dữ liệu: IPSec, SSL,…
❖ Site-to-Site VPN
Site-to-site VPN (LAN-to-LAN) là kỹ thuật kết nối các hệ thống mạng (site) của
cùng một công ty ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất
thông qua môi trường mạng công cộng. Trong trường hợp này, quá trình xác
thực ban đầu cho những người dùng cần phải được kiểm soát chặt chẽ bởi các
thiết bị ở các site tương ứng. Các thiết bị này hoạt động như Gateway, truyền
lưu lượng một cách an toàn cho đầu bên kia.
Giao thức GRE:
Là một trong những giao thức tạo đường hầm trong VPN

Cấu hình GRE

Ví dụ:

102
Kiểm tra cấu hình:

3. Tổng kết Phần

Các kỹ thuật WAN hoạt động trong phạm vi rộng và phức tạp hơn trong các
mạng LAN. Các kỹ thuật WAN được sử dụng phổ biến như: ISDN, leased line,
X.25, Frame Relay, ATM, DSL, …Các kiểu đóng gói thường dùng trong mạng
WAN là: HDLC, PPP, Frame Relay,…
Hai giao thức dùng để chứng thực trên PPP trong môi trường WAN là PAP
và CHAP. PAP có độ bảo mật kém vì nó gửi username/password dưới dạng
không mã hóa và việc chứng thực chỉ diễn ra một lần. Đối với CHAP, tham số
103
chứng thực được gửi đi dưới dạng mã hóa và việc chứng thực được lặp lại trong
suốt quá trình kết nối.
Công nghệ VPN được sử dụng phổ biến hiện nay. Nó cung cấp kết nối an
toàn và hiệu quả để truy cập vào tài nguyên nội bộ từ nhân viên ở bên ngoài
thông qua Internet vào hệ thống mạng công ty hay kết nối các chi nhánh của
công ty để trao đổi dữ liệu với nhau. Có nhiều cách phân loại VPN. Trong giáo
trình này trình bày 2 loại VPN thông dụng: Remote access VPN, Site-to-Site
VPN.

104
Phần 10. GIÁM SÁT MẠNG

1. Giới thiệu

Trong những hệ thống mạng lớn, người quản trị mạng cần có công cụ để có
thể theo dõi hoạt động của hệ thống. Việc theo dõi hoạt động của hệ thống bao
gồm theo dõi tình trạng hoạt động của các thiết bị và dịch vụ nhằm hạn chế các
rủi ro gây ra. Từ đó giúp người quản trị kịp thời khắc phục, đảm bảo hệ thống
hoạt động ổn định.
Bên cạnh việc theo dõi các gói tin để phát hiện những dấu hiệu tấn công
mạng đã tìm hiểu ở các phần trên thì việc giám sát những hoạt động khác của hệ
thống mạng như giám sát các luồng lưu lượng mạng, hoạt động của CPU, bộ
nhớ, trạng thái hoạt động các máy chủ, theo dõi trạng thái hoạt động của các
dịch vụ mạng trên nó và trạng thái của các thiết bị mạng (Router, Switch,..)… là
một trong những yêu cầu đặt ra để giám sát hệ thống một cách hiệu quả hơn.
Điều này giúp cho người quản trị mạng có thể nắm bắt được tình trạng hoạt
động của toàn bộ hệ thống mạng một cách nhanh chóng và tiện lợi.
Một hệ thống IDS/IPS như đã tìm hiểu ở Phần trước có thể phát hiện và
phòng chống các cuộc tấn công xâm nhập mạng dựa vào các dấu hiệu tấn công
được lưu trữ và cập nhập thường xuyên. Tuy nhiên cũng không tránh khỏi
những trường hợp có những dạng tấn công mới mà những dấu hiệu chưa được
biết tới, tập luật của hệ thống phát hiện chưa được cập nhật.
Với sự kết hợp hệ thống giám sát trực quan, những hoạt động của những
thiết bị trong hệ thống được theo dõi và hiển thị thời gian thực các hoạt động của
hệ thống một cách trực quan thông qua những đồ thị về lưu lượng mạng, trạng
thái hoạt động của CPU, RAM, dịch vụ mạng, … cho phép người quản trị có
những phân tích để đưa ra các giải pháp phù hợp tránh những nguy hại cho hệ
thống mạng.
Ngoài ra, người quản trị có thể thiết lập những ngưỡng cảnh báo kết hợp
với hệ thống báo động để người quản trị nhanh chóng có được những thông tin
về những cuộc tấn công hay phát hiện những bất thường trong hệ thống. Những
bất thường ở đây như là một dịch vụ mạng ngưng hoạt động, máy chủ ngưng
hoạt động, hay CPU hoạt động quá tải (đặt ngưỡng cảnh báo), …

105
2. Các thành phần của hệ thống giám sát
● Giao thức
Để có thông tin cho việc giám sát trạng thái hoạt động của các thiết bị và
dịch vụ mạng. Trong hệ thống giám sát sử dụng giao thức SNMP (Simple
Network Management Protocol).
SNMP là một giao thức chính được sử dụng cho mục đích theo dõi tình
trạng hoạt động của các thiết bị và dịch vụ trong hệ thống mạng. SNMP làm
nhiệm vụ thu thập thông tin từ các thiết bị mạng (Router, Switch, Server…) cần
giám sát và gửi về cho Phần trình giám sát để phân tích và sử dụng để hiển thị ra
giao diện quản trị các thông tin cần thiết theo mục đích của Phần trình giám sát.
Trong SNMP có 3 vấn đề cần quan tâm: Manager, Agent và MIB
(Management Information Base).

- MIB: là cơ sở dữ liệu dùng phục vụ cho Manager và Agent.

- Manager: nằm trên máy chủ giám sát hệ thống mạng - Thành phần
Agent: là một Phần trình nằm trên các thiết bị cần giám sát, quản lý. Agent có
thể là một Phần trình riêng biệt (ví dụ như daemon trên Unix) hay được tích
hợp vào Hệ điều hành, ví dụ như trong IOS của các thiết bị Cisco. Nhiệm vụ
của các Agent là thông báo các thông tin đến cho thành phần điều khiển được
cấu hình nằm trên máy chủ giám sát.
SNMP sử dụng UDP (User Datagram Protocol) như là giao thức truyền tải
thông tin giữa các Manager và Agent. Việc sử dụng UDP, thay vì TCP, bởi vì
UDP là phương thức truyền mà trong đó hai đầu thông tin không cần thiết lập
kết nối trước khi dữ liệu được trao đổi (connectionless), thuộc tính này phù hợp
trong điều kiện mạng gặp trục trặc, hư hỏng ...
● Giám sát lưu lượng
Giám sát lưu lượng được áp dụng ở các thiết bị mạng dùng là vai trò quan
trọng trong việc chuyển tải các lưu lượng trên đường truyền như ở các Router,
Core Switch,…

● Giám sát tình trạng hoạt động

Giám sát tình trạng hoạt động của các thiết bị là theo dõi trạng thái còn hoạt
động hay đã ngưng hoạt động. Trong những hệ thống có triển khai các thiết
bị dự phòng thì khó nhận ra một thiết bị đang trong tình trạng ngưng hoạt
động vì trong khi đó hệ luồng lưu lượng sẽ đi qua thiết bị dự phòng.
● Giám sát dịch vụ
Giám sát dịch vụ thường được triển khai áp dụng ở các máy chủ để theo dõi
tình trạng hoạt động của các dịch vụ cần giám sát. Có thể xảy ra trường hợp
máy chủ vẫn đang hoạt động như dịch vụ bị tắt đi.

106
 ● Giám sát tài nguyên của thiết bị
Giám sát các tài nguyên như hoạt động của CPU, RAM, dung lượng đĩa
cứng,…giúp theo dõi tình trạng hoạt động, khả năng đáp ứng, từ đó tiến hành
các biện pháp nâng cấp, thay thế.
● Giám sát Syslog

3. Các công cụ nguồn mở hỗ trợ trong việc giám sát mạng

Có rất nhiều công cụ cho phép người quản trị mạng dò tìm những lổ hổng
trong hệ thống mạng đã nêu ở phần trên… Những công cụ này rất cần thiết để
kiểm tra những lỗ hổng bảo mật trong hệ thống mạng.
3.1. Cacti
Cacti là một phần mềm nguồn mở hàng đầu về việc giám sát các lưu
lượng mạng. Cacti trong hệ thống đề xuất được dùng để giám sát lưu lượng qua
các Switch trung tâm, Router và các Server trong hệ thống mạng.

Cacti thể hiện lưu lượng qua các đồ thị trực quan. Điều này giúp cho
người quản trị theo dõi được sự bất thường trong hệ thống. Những bất thường
này có thể là những dấu hiệu của tấn công xâm nhập hoặc sự quá tải của một số
thiết bị mạng trong hệ thống. Cacti sử dụng giao thức SNMP để thu thập thông
tin từ các thiết bị, lưu trữ thông tin và vẽ hình trên các đồ thị.

Để tạo ra những đồ thị, Cacti cần thu thập dữ liệu từ các thiết bị giám sát
thông qua giao thức SNMP. Trong hệ thống mạng lớn với nhiều thiết bị cần
giám sát thì dự liệu thu thập nên được quản lý dựa vào cơ sở dữ liệu. Trong mô
hình thực nghiệm của luận văn này, dữ liệu thu thậo được từ SNMP được lưu trữ
vào cơ sở dữ liệu MySQL.
Cacti có khả năng giám sát lưu lượng vào/ra các cổng của thiết bị cần theo
dõi; giám sát tình trạng hoạt động của CPU và bộ nhớ. Cacti còn cho phép thể
hiện sơ đồ mạng trực quan để theo dõi lưu lượng trao đổi giữa các thiết bị mạng.
Một đặc điểm quan trọng của Cacti là cho phép tích hợp nhiều nhiều phần

mềm khác vào nó. Đây là một đặc điểm quan trọng cho việc cài đặt hệ thống
giám sát mạng tích hợp.
107
3.2. Nagios
Nagios là một phần mềm mã nguồn mở hàng đầu trong việc giám sát hoạt
động của các thiết bị và các dịch vụ trong mạng. Nagios hỗ trợ trong việc giám
sát hoạt động một số thiết bị trung tâm trong mạng như Server, Switch trung
tâm, Router, …. Đồng thời, nó kết hợp với bộ phận phát cảnh báo qua SMS,
Audio, Web nhằm phát cảnh báo trong trường hợp một thiết bị ngưng hoạt động
hoặc một dịch vụ mạng ngưng hoạt động.
Nagios giám sát các thiết bị mạng thông qua các giao thức ICMP, SNMP,
… để theo dõi trạng thái hoạt động của các thiết bị. Đồng thời Nagios còn cho
phép thiết lập cơ chế giám sát hoạt động của các dịch vụ mạng trên các thiết bị.
Các dịch vụ phổ biến được giám sát như: HTTP, FTP, SMTP, POP3, DHCP,
SSH, IMAP…
Để giám sát các host Windows, chúng ta có thể sử dụng trực tiếp thông qua
SNMP hoặc sử dụng phần mềm NSClient++ để lấy thêm nhiều thông tin hơn từ
máy Windows.

Cũng tương tự như vậy, chúng ta có thể sử dụng SNMP để giám sát các
máy Linux qua việc cài đặt gói NRPE để giám sát host và các dịch vụ trên máy
Linux.

108
109