CƠ SỞ LÝ THUYẾT
1.1. Địa chỉ IP
1.1.1. Sự cạn kiệt của địa chỉ Ipv4
Kể từ năm 2003, khi tốc độ tiêu thụ địa chỉ IPv4 bắt đầu tăng vọt do Internet phát triển tại những khu vực dân cư đông đảo như Trung Quốc, Ấn Độ kết hợp với sự phát triển của các loại hình dịch vụ và phương thức kết nối mạng tiêu tốn địa chỉ (những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố định và tỉ lệ sử dụng địa chỉ/khách hàng là 1:1 với kết nối dạng đầu cuối – đầu cuối như: dịch vụ xDSL, dịch vụ Internet qua đường cáp truyền hình,…), khả năng cạn kiệt nguồn IPv4 toàn cầu đã trở thành chủ đề nóng được bàn thảo nhiều trên các diễn đàn, thông tin về hoạt động của mạng Internet.
Tại thời điểm cuối năm 2007, căn cứ trên tốc độ tiêu thụ IPv4 toàn cầu, các tổ chức quốc tế đã dự báo thời điểm cạn kiệt IPv4 là giữa năm 2012. Tuy nhiên các năm sau đó, tốc độ xin cấp địa chỉ IPv4 tăng lên rất nhanh, tốc độ cấp phát địa chỉ IPv4 của các tổ chức quản lý địa chỉ cấp vùng ngày càng tăng cao. Đến giữa năm 2008, thời điểm hệ thống quản lý địa chỉ toàn cầu hết IPv4 được dự báo rơi vào khoảng tháng 11/2011.
Trên thực tế, thời điểm cạn kiệt IPv4 toàn cầu diễn ra nhanh hơn dự báo. Ngày 3 tháng 2 năm 2011, IANA đã chính thức công bố cạn kiệt kho địa chỉ dự trữ cấp phát cho các RIR. Toàn bộ yêu cầu xin cấp IPv4 cho các hoạt động Internet toàn cầu chỉ sử dụng các vùng địa chỉ dữ trữ của các tổ chức cấp vùng (RIR). Việc cạn kiệt hoàn toàn địa chỉ IPv4 tại từng khu vực tùy thuộc theo tốc độ tiêu thụ tại khu vực.
Hình 1.1 Sự cạn kiệt của IPv4 qua các năm
1.1.2. Giới thiệu Ipv6 và sự ra đời của Ipv6
Năm 1973, TCP/IP được giới thiệu và ứng dụng vào mạng ARPANET. Vào thời điểm đó, mạng ARPANET chỉ có khoảng 250 Site kết nối với nhau, với khoảng 750 máy tính. Internet đã và đang phát triến với tốc độ khủng khiếp, đến nay đã có hơn 60 triệu người dùng trên toàn thế giới. Theo tính toán của giới chuyên môn, mạng Internet hiện nay đang kết nối hàng trăm ngàn Site với nhau, với hàng trăm triệu máy tính. Trong tương lai không xa, những con số này không chỉ dừng lại ở đó. Sự phát triển nhanh chóng này đòi hỏi phải kèm theo sự mở rộng, nâng cấp không ngừng của cơ sở hạ tầng mạng và công nghệ sử dụng.
Bước sang những năm đầu của thế kỷ XXI, ứng dụng của Internet phát triển nhằm cung cấp dịch vụ cho người dùng trên các thiết bị mới ra đời: Notebook, Cellualar modem, Tablet, Smart-Phone, Smart TV… Để có thể đưa những khái niệm mới dựa trên cơ sở TCP/IP này thành hiện thực, TCP/IP phải mở rộng. Nhưng một thực tế mà không chỉ giới chuyên môn, mà ngay cả các ISP cũng nhận thức được đó là tài nguyên mạng ngày càng hạn hẹp. Việc phát triển về thiết bị, cơ sở hạ tầng, nhân lực… không phải là một khó khăn lớn. Vấn đề ở đây là địa chỉ IP, không gian địa chỉ IP đã cạn kiệt, địa chỉ IP (IPv4) không thể đáp ứng nhu cầu mở rộng mạng đó. Bước tiến quan trọng mang tính chiến lược đối với kế hoạch mở rộng này là việc nghiên cứu cho ra đời một thế hệ sau của giao thức IP, đó chính là IPv6.
IPv6 ra đời không có nghĩa là phủ nhận hoàn toàn IPv4 (công nghệ mà hạ tầng mạng chúng ta đang dùng ngày nay). Vì là một phiên bản hoàn toàn mới của công nghệ IP, việc nghiên cứu, ứng dụng vào thực tiễn luôn là một thách thức rất lớn. Một trong những thách thức đó liên quan đến khả năng tương thích giữa IPv6 và IPv4, liên quan đến việc chuyển đối từ IPv4 sang IPv6, làm thế nào mà người dùng có thể khai thác những thế mạnh của IPv6 nhưng không nhất thiết phải nâng cấp đồng loạt toàn bộ mạng (LAN, WAN, Internet…) lên IPv6.
Khi phát triển phiên bản địa chỉ mới, IPv6 hoàn toàn dựa trên nền tảng IPv4. Nghĩa là hầu hết những chức năng của IPv4 đều được tích hợp vào IPv6. Tuy nhiên, IPv6 đã lượt bỏ một số chức năng cũ và thêm vào những chức năng mới tốt hơn. Ngoài ra IPv6 còn có nhiều đặc điểm hoàn toàn mới.
1.1.3. So sánh Ipv4 với Ipv6
Khi phát triển phiên bản địa chỉ mới, IPv6 hoàn toàn dựa trên nền tảng IPv4. Nghĩa là hầu hết những chức năng của IPv4 đều được tích hợp vào IPv6. Tuy nhiên, IPv6 đã lượt bỏ một số chức năng cũ và thêm vào những chức năng mới tốt hơn. Ngoài ra IPv6 còn có nhiều đặc điểm hoàn toàn mới.
– Tăng kích thước của địa chỉ
IPv4 = 32 Bits
IPv6 = 128 Bits
– IPv6 sử dụng 128 bit địa chỉ, tăng gấp 4 lần số bit so với IPv4 (32bit). Nghĩa là trong khi IPv4 chỉ có 232 ~ 4,3 tỷ địa chỉ, thì IPv6 có tới 2128 ~ 3,4 * 1038 địa chỉ IP. Gấp 296 lần so với địa chỉ IPv4. Với số địa chỉ của IPv6 nếu rãi đều trên bề mặt trái đất (diện tích bề mặt trái đất là 511263 tỷ mét vuông) thì mỗi mét vuông có khoảng 665.570 tỷ tỷ địa chỉ.
| Ipv4 : 4 Octets |
| 11000000.10101000.00000001.01110000 |
| 192.168.1.112 |
| 4,294,467,295 IP |
| Ipv6 : 16 Octets |
| 11010001.11011100.11001001.01110001.11010001.11011100. 11001100.01110001.11010001.11011100.11001001.01110001. 11010001.11011100.11001001.01110001 |
| A524:72D3:2C80:DD02:0029:EC7A:002B:EA73 |
| 3.4 X 1038 IP |
Hình 1.3 Sự khác nhau cơ bản giữa IPv4 và IPv6
1.2.1. Giới thiệu chung
Các giao thức định tuyến được tạo ra để đáp ứng nhu cầu cho các Router tạo các bảng định tuyến động. Một giao thức định tuyến là sự kết hợp của các luật và thủ tục cho phép các Router trên liên mạng thông báo với nhau các thay đổi. Nó cho phép các Router chia sẽ tất cả những gì chúng biết về liên mạng hoặc về các láng giềng của chúng.
Các giao thức định tuyến cung cấp phương pháp truyền thông tin định tuyến tới các bộ định tuyến để chia sẻ thông tin định tuyến và tính toán tuyến. Mỗi một giao thức định tuyến định nghĩa cho một tập các thành phần dữ liệu của cơ sở dữ liệu cấu hình mạng (cơ sở dữ liệu định tuyến và tham số cấu hình mạng) sẽ được tính toán trong bảng định tuyến.
Đôi khi các giao thức định tuyến được gọi là thuật toán định tuyến vì nó chỉ ra phương pháp tìm kiếm tuyến đường đi ngắn nhất tới đích. Một bộ tham số mạng để tính toán định tuyến thường được sử dụng hiện nay gồm có: Băng thông ( tốc độ bít), độ trễ, giá thành thấp nhất, tải, đơn vị truyền tải lớn nhất của tuyến và độ tin cậy của tuyến.
Metric gắn cho mỗi mạng phụ thuộc vào loại giao thức. Một số giao thức đơn giản, chẳng hạn giao thức thông tin định tuyến (RIP – Routing Information Protocol), coi các mạng là ngang nhau. Giá đi qua mỗi mạng là như nhau; đó là số bước nhảy (Hop Count). Do đó, nếu một gói dữ liệu qua 10 mạng để đến đích thì giá tổng là 10. Các giao thức khác, chẳng hạn giao thức mở đường đi ngắn nhất trước (OSPF-Open Shortest Path First), cho phép người quản trị gán giá để qua một mạng dựa trên các loại dịch vụ yêu cầu. Một tuyến qua một mạng có thể có nhiều giá (metric).
Chương này đề cập đến một số giao thức định tuyến bên trong hệ thống tự trị như RIP, OSPF, IGRP, EIGRP, OSPF và giao thức định tuyến bên ngoài hệ thống tự trị BGP.
Tóm lại các giao thức định tuyến sẽ :
– Cung cấp thông tin cho bảng định tuyến của Router.
– Cho phép các Router trao đổi thông tin.
– Chọn đường đi tối ưu.
1.2.2. Giao thức định tuyến và giao thức được định tuyến
Do hai thuật ngữ giao thức định tuyến và giao thức được định tuyến không giống nhau, nên thường xuất hiện sự nhầm giữa chúng. Sau đây là một số điểm phân biệt:
Giao thức được định tuyến (routed protocol): Là một giao thức mạng bất kỳ, cung cấp đủ thông tin trong địa chỉ tầng mạng của nó để cho phép gói được chuyển tiếp từ trạm này tới trạm khác dựa trên lược đồ địa chỉ. Giao thức được định tuyến sử dụng bảng định tuyến để chuyển gói. Giao thức IP là một ví dụ về giao thức được định tuyến.
Giao thức định tuyến (routing protocol): Là giao thức hỗ trợ cho một giao thức được định tuyến bằng cách cung cấp các cơ chế để chia sẻ thông tin định tuyến. Nó cho phép các bộ định tuyến liên lạc với nhau để cập nhật và duy trì các bảng định tuyến. Một số ví dụ về các giao thức định tuyến là RIP, OSPF, BGP .v.v.
1.2.3. Phân loạic định tuyến
Ngày nay, một liên mạng có thể lớn đến mức một giao thức định tuyến không thể xử lý công việc cập nhật các bảng định tuyến của tất cả các router. Vì lý do này, liên mạng được chia thành nhiều hệ thống tự trị (AS – Autonomous System).
Hệ thống tự trị là một nhóm các mạng và router chịu một quyền lực quản trị chung. Nó đôi khi cũng được gọi là vùng định tuyến (routing domain). Định tuyến bên trong một hệ thống tự trị được gọi là định tuyến trong, Các bộ định tuyến trong một hệ tự trị được tự do chọn những cơ chế riêng của nó cho viêc phát hiện, nhân bản kiểm định và kiểm tra tính nhất quan của tuyến đường. Định tuyến giữa các hệ thống tự trị được gọi là định tuyến ngoài. Mỗi hệ thống tự trị có thể chọn một giao thức định tuyến trong để thực hiện định tuyến bên trong hệ thống. Tuy nhiên, thường chỉ có một giao thức định tuyến ngoài được chọn để thực hiện định tuyến giữa các hệ thống tự trị.
Hình 1.4 Sự khác nhau cơ bản giữa IPv4 và IPv6
* Một số giao thức định tuyến bên trong AS (IGP)
+ IGRP (Internet Gateway Routing Protocol).
+ EIGRP (Enhanced IGRP).
+ OSPF (Open Shortest Past First).
+ RIP (Routing Information Protocol).
+ IS-IS (Intermediate System to Intermediate System).
* Một số giao thức định tuyến bên ngoài AS (EGP)
+ BGP (Border Gateway Protocol).
+ EGP (Exterior Gateway Protocol).
Hình 1.5 Sự khác nhau cơ bản giữa IPv4 và IPv6
Ngày nay, một liên mạng có thể lớn đến mức một giao thức định tuyến không thể xử lý công việc cập nhật các bảng định tuyến của tất cả các router. Vì lý do này, liên mạng được chia thành nhiều hệ thống tự trị (AS – Autonomous System).
Hệ thống tự trị là một nhóm các mạng và router chịu một quyền lực quản trị chung. Nó đôi khi cũng được gọi là vùng định tuyến (routing domain). Định tuyến bên trong một hệ thống tự trị được gọi là định tuyến trong, Các bộ định tuyến trong một hệ tự trị được tự do chọn những cơ chế riêng của nó cho viêc phát hiện, nhân bản kiểm định và kiểm tra tính nhất quan của tuyến đường. Định tuyến giữa các hệ thống tự trị được gọi là định tuyến ngoài. Mỗi hệ thống tự trị có thể chọn một giao thức định tuyến trong để thực hiện định tuyến bên trong hệ thống. Tuy nhiên, thường chỉ có một giao thức định tuyến ngoài được chọn để thực hiện định tuyến giữa các hệ thống tự trị.
1.3. Định tuyến kết hợp Ipv4 với Pv6
1.3.1. Dual Stack
Mô tả cơ chế hoạt động của Dual Stacks Một cách để một node triển khai IPv6 và vẫn duy trì sự tương thích với node IPv4 đó là sử dụng song song 2 giao thức IPv4 và IPv6. Một node sẽ cấu hình cả 2 giao thức được gọi là node IPv6/IPv4. Node này có thể liên lạc với IPv6 sử dụng gói tin IPv6 và với IPv4 sử dụng gói tin IPv4. Node IPv6/IPv4 thường nằm ở 2 đầu của nút mạng IPv4 trong mô hình chuyển đổi IPv6 và IPv4. Một node IPv6/IPv4 phải được cấu hình cả địa chỉ IPv6 và IP4. Địa chỉ IPv4 tương thích có thể được xem như một địa chỉ duy nhất, nó có thể sử dụng như một địa chỉ IPv6 hay một địa chỉ IPv4. Toàn bộ 128 bit biểu diễn địa chỉ IPv6, trong đó 32 bit bậc thấp biểu diễn địa chỉ IPv4.
Hình 1.6 Mô hình mạng sử dụng Dual-Stack
+ Đối với các Host/Router dùng kỹ thuật Dual stack, có thể kết hợp với các công nghệ chuyển đổi như công nghệ đường hầm (cơ chế này sẽ được trình bày ở phần sau). Đối với những nút mạng này, có thể kết hợp với vơ chế Automatic Tunnel, Configure Tunnel, hoặc cả hai cơ chế này. Và cũng theo cơ chế này, IPv6 sẽ cùng tồn tại với IPv4, chúng sẽ dùng chung hạ tầng mạng IPv4. Việc chọn lựa Stack (giao thức) nào để hoạt động (IPv4 hay IPv6) sẽ dựa vào thông tin cung cấp bởi dịch vụ phân giải tên miền thông qua các DNS Server. Thông thường, địa chỉ IPv6 trong kết quả trả về của DNS sẽ được lựa chọn so với IPv4. 2. Dịch vụ cung cấp tên miền DNS Một loại bản ghi tài nguyên được định nghĩa cho IPv6 đó là bản ghi AAAA, bản ghi này mới xuất hiện trên IPv6. Bản ghi này cung cấp việc ánh xạ (mapping) tên thành địa chỉ IPv6. Phân giải DNS trên một node IPv6/IPv4 phải điều khiển cả bản ghi A của IPv4 lẫn bản ghi AAAA của IPv6. Khi một node truy vấn đến DNS server để xin cấp địa chỉ IP thì bản ghi A và bản ghi AAAA sẽ được trả về. Tuỳ thuộc vào bản ghi được trả về mà node sẽ giao tiếp như thế nào, hoặc là IPv4 hoặc là IPv6.
Hình 1.7 Về xin cấp địa chỉ IP từ DNS Server
Khi một địa chỉ IPv4 tương thích được đăng kí cho một host IPv6/IPv4. Cả 2 bản ghi AAAA và A được định nghĩa trong DNS. Bản ghi AAAA liệt kê đầy đủ 128 bit địa chỉ IPv6, bản ghi A liệt kê 32 bit bậc thấp của địa chỉ. Cả 2 loại được liệt kê để chỉ node IPv6 có thể truy vấn lên server và nhận 1 địa chỉ IPv6 và chỉ node IPv4 có thể nhận được địa chỉ IPv4.
*Ưu và nhược điểm
Cơ chế Dual stack Ưu điểm: + Đây là cơ chế cơ bản nhất để nút mạng có thể hoạt động đồng thời với cả hai giao thức nên nó được hỗ trợ trên nhiều nền tảng hệ điều hành khác nhau: Window, Linux, FreeBSD,… + Cơ chế này dễ triển khai, cho phép duy trì các kết nối bằng cả hai giao thức IPv4 và IPv6. Nhược điểm: + Cấu hình mạng có thể sử dụng hai bảng định tuyến và hai quy trình định tuyến thuộc hai giao thức định tuyến. + Cơ chế này chỉ có thể áp dụng cho các hệ thống mạng nhỏ (tổ chức, doanh nghiệp,…), không thể áp dụng mạng Internet toàn cầu.
1.3.2. Tunnel.
* Khái quát về đường hầm
– Hầu hết những triển khai IPv6 hiện tại được cấu hình song song với mạng IPv4. Các host IPv6 sẽ giao tiếp với nhau qua mạng IPv4. Lúc này IPv6 sẽ được đóng gói trong header của IPv4 để vận chuyển qua mạng IPv4. Có các dạng đường hầm:
– Router đến Router: Các Router IPv6/IPv4 kết nối với nhau bởi cơ sở hạ tầng mạng IPv4. Do đó, có thể thực hiện chuyển các gói tin (Datagram) theo định dạng IPv6 trên nền IPv4. Trong trường hợp này, đường hầm trải rộng từ điểm bắt đầu đến điểm kết thúc của đoạn mạng IPv4.
a. Nguyên tắc hoạt động của đường hầm
Nguyên tắc của việc tạo đường hầm trong công nghệ Tunnel như sau:
Xác định thiết bị kết nối tại các điểm đầu và cuối đường hầm, hai thiết bị này phải có khả năng hoạt động Dual stack
Trên hai thiết bị mạng (có kết nối IPv4) tại đầu và cuối đường hầm, thiết lập một giao diện đường hầm (giao diện ảo, không phải giao diện vật lý) dành cho những gói tin IPv6 sẽ được bọc trong gói tin IPv4 đi qua.
Xác định địa chỉ IPv4 tại nguồn và đích của giao diện đường hầm. Gắn địa chỉ IPv6 cho nguồn và đích của giao diện đường hầm.
Tạo tuyến (route) để các gói tin có thể đi qua giao diện đường hầm. Tại đó, chúng được bọc trong gói tin IPv4 và chuyển đi dựa trên cơ sở hạ tầng mạng IPv4 nhờ vào các bộ định tuyến của mạng IPv4.
b. Phân loại công nghệ đường hầm
Tùy theo công nghệ đường hầm, các điểm bắt đầu và kết thúc đường hầm có thể được cấu hình bằng tay bởi người quản trị, hoặc tự động suy ra từ địa chỉ nguồn và địa chỉ đích của gói tin IPv6, đường hầm sẽ có dạng kết nối điểm – điểm hay điểm – đa điểm. Dựa theo cách thức thiết lập điểm đầu và cuối đường hầm, công nghệ đường hầm có thể phân thành hai loại chính:
Configured tunneling (cấu hình đường hầm tĩnh): là loại đường hầm kết nối IPv6 trên cơ sở hạ tầng mạng IPv4, được cấu hình bằng tay tại các điểm kết nối đầu cuối đường hầm. Phương thức này có thể được áp dụng với các mạng có ít phân mạng hoặc cho một số lượng hạn chế các kết nối từ xa. Tương tự như trường hợp định tuyến tĩnh trong công nghệ định tuyến, độ linh động và yêu cầu cấu hình thủ công là những hạn chế cơ bản của công nghệ đường hầm cấu hình bằng tay.
Automatic tunneling (đường hầm tự động): là công nghệ trong đó host đóng gói cấu hình cho đường hầm tự động truy xuất các địa chỉ IPv4 từ địa chỉ đích IPv4 tương thích với IPv6. Host đóng gói phải có kết nối IPv4 đến địa chỉ được mô tả trong địa chỉ IPv4 tương thích. Host nguồn đóng gói gói tin vào header IPv4, và được lấy ra khỏi header IPv4 tại điểm đích. Cơ bản là muốn vận chuyển IPv6 qua mạng IPv4 thì cần bọc nó lại trong 1 địa chỉ IPv4.
Hình 1.8 Cách đóng gói IPv6 vào Header IPv4
1.3.3. NAT
Hai mươi năm trước đây, IPv4 đưa ra một mô hình địa chỉ và cũng đáp ứng được một trong khoảng thời gian, nhưng trong tương lai gần không đáp ứng đủ. Trong khi đó, IPv6 được xem là một không gian địa chỉ không giới hạn, thì được triển khai thử nghiệm chậm chạp và chắc chắn sẽ thay thế IPv4 trong tương lai gần. Trong thời gian chờ đợi sự thay đổi đó, một số kỹ thuật để có thể sử dụng để sử dụng có hiệu quả tài nguyên IP đó là: NAT (Network Address Translation); PAT ( Port address translation ); VLSM ( Variable-Length Subnet Mask ).
Nat là chữ viết tắt của chữ Network Address Translate (Dịch địa chỉ IP). NAT có 02 mục đích
+ Ẩn địa chỉ IP trong hệ thống mạng nội bộ trước khi gói tin đi ra Internet giằm giảm thiểu nguy cơ tấn công trên mạng
+ Tiết kiệm không gian địa chỉ IP
* Có 03 phương án NAT
+ Nat tĩnh (Static Nat)
+ Nat động (Dynamic Nat)
+ Nat overload – PAT (Port Address Translate)
Hình 1.9 Nat Inside và Outside
Host A sử dụng 1 địa chỉ dành riêng 192.168.2.23, host B sử dụng 1 địa chỉ công cộng 192.31.7.130. Khi Host A gửi một packet đến host B, backet sẽ được truyền qua router và router thực hiện quá trình NAT. NAT sẽ thay thế địa chỉ nguồn private ip address (192.168.2.23) thành một public IP address (203.10.5.23) và forwards the packet., với địa chỉ này packet sẽ được định tuyến trên internet tới destination address (192.31.7.130). Khi host B gửi gói tin hồi đáp tới host A, destination address của gói tin sẽ là 203.10.5.23. gói tin này đi qua router và sẽ được NAT thành địa chỉ 192.168.2.23.
1.4. ACL (Access control lists)
ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.
Hình 1.10. Dịch vụ Access control lists internet
– Quản lý các IP traffic
– Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc các packet qua router
- Chức năng:
– Xác định tuyến đường thích hợp cho DDR (dial-on-demand routing)
– Thuận tiện cho việc lọc gói tin ip
– Cung cấp tính sẵn sàn mạng cao
Có 2 loại Access lists là: Standard Access lists và Extended Access lists
ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.
Khi packet đi vào một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không, nếu có packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.
Nếu packet đó được cho phép (allow) nó sẽ tiếp tục được kiểm tra trong bảng routing để quyết định chọn interface để đi đến đích.
Tiếp đó, router sẽ kiểm tra xem outbound interface có ACL hay không. Nếu không thì packet có thể sẽ được gửi tới mạng đích. Nếu có ACL ở outbound interface, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách ACL đó.
1.5. Chuyển mạch
1.5.1. VLAN (Virtual Local Area Network)
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai trò tạo ra miền quảng bá. Đối với VLAN, switch có thể tạo ra miền quảng bá.
Việc này được thực hiện khi bạn – quản trị viên – đặt một số cổng switch trong VLAN ngoại trừ VLAN 1 – VLAN mặc định. Tất cả các cổng trong một mạng VLAN đơn đều thuộc một miền quảng bá duy nhất.
Vì các switch có thể giao tiếp với nhau nên một số cổng trên switch A có thể nằm trong VLAN 10 và một số cổng trên switch B cũng có thể trong VLAN 10. Các bản tin quảng bá giữa những máy tính này sẽ không bị lộ trên các cổng thuộc bất kỳ VLAN nào ngoại trừ VLAN 10. Tuy nhiên, tất cả các máy tính này đều có thể giao tiếp với nhau vì chúng thuộc cùng một VLAN. Nếu không được cấu hình bổ sung, chúng sẽ không thể giao tiếp với các máy tính khác nằm ngoài VLAN này.
1.5.2. Inter – Vlan Routing
Mỗi mạng có nhu cầu riêng của nó, tuy nhiên cho dù đó là một mạng lưới rộng lớn hay nhỏ, định tuyến nội bộ, trong hầu hết các trường hợp, là điều cần thiết. Khả năng để phân chia mạng bằng cách tạo ra VLANs, do đó giảm broadcasts mạng và tính bảo mật ngày càng tăng. Các thiết lập phổ biến bao gồm một broadcast domain riêng biệt cho các dịch vụ quan trọng ngày càng nhiều.
Vấn đề ở đây là làm thế nào có thể từ một trong những người sử dụng VLAN ( thuộc về 1 broadcast domain), sử dụng được các dịch vụ được cung cấp bởi một VLAN khác? Do vậy giải pháp định tuyến trên VLAN đã được đề cập đến.
Có nhiều phương pháp định tuyến, nhưng trong phạm vi bài Lab này chúng ta chỉ đề cập đến phương pháp định tuyến giữa các VLAN sử dụng Router ngoài. Tuy nhiên phương pháp định tuyến giữa các VLAN tốt nhất sử dụng Switch Layer 3 sẽ được đề cập trong chương trình CCNP.
Phương pháp này được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.
Hình 1.11. Inter – Vlan routing
Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.
1.5.3. Trunking và VTP
Trunk cho phép chúng ta truyền tải thông tin của nhiều VLAN trên một kết nối, nếu các kết nối mà không được Trunk thì chúng chỉ cho thông tin vủa một VLAN được truyền tải qua đó
VTP là giao thức hoạt động ở Layer 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng.
VTP flood thông điệp quảng bá (advertisement) qua VTP domain 5 phút một lần, hoặc khi có sự thay đổi xảy ra trong cấu hình VLAN. Một VTP advertisement bao gồm có rivision-number, tên VLAN (vlan name), số hiệu VLAN (vlan number), và thông tin về các switch có port gắn với mỗi VLAN. Bằng sự cấu hình VTP Server và việc truyền bá thông tin thông qua các advertisement, tất cả các switch đều biết về tên VLAN và số hiệu VLAN của tất cả các VLAN.
Một trong những thành phần quan trọng của VTP advertisement là tham số revision number. Mỗi lần VTP server điều chỉnh thông tin VLAN, nó tăng revision-number lên 1, rồi sau đó VTP Server mới gửi VTP advertisement đi. Khi một switch nhận một VTP advertisement với revision-number lớn hơn, nó sẽ cập nhật cấu hình VLAN.
1.5.4. Spanning Tree
Một mạng mạnh mẽ được thiết kế không chỉ đem lại tính hiệu quả cho việc truyền các gói hoặc frame, mà còn phải xem xét làm thế nào để khôi phục hoạt động của mạng một cách nhanh chóng khi mạng xảy ra lỗi. Trong môi trường lớp 3, các giao thức định tuyến sử dụng con đường dự phòng đến mạng đích để khi con đường chính bị lỗi thì sẽ nhanh chóng tận dụng con đường thứ 2. Định tuyến lớp 3 cho phép nhiều con đường đến đích để duy trì tình trạng hoạt động của mạng và cũng cho phép cân bằng tải qua nhiều con đường. Trong môi trường lớp 2 (switching hoặc bridging), không sử dụng giao thức định tuyến và cũng không cho phép các con đường dự phòng, thay vì bridge cung cấp việc truyền dữ liệu giữa các mạng hoặc các cổng của switch. Giao thức Spanning Tree cung cấp liên kết dự phòng để mạng chuyển mạch lớp 2 có thể khôi phục từ lỗi mà không cần có sự can thiệp kịp thời. STP được định nghĩa trong chuẩn IEEE 802.1D.
Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng. Sau đó giao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một cấu trúc mạng logic chứa vòng lặp (loop-free). Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánh nối toàn bộ mạng lớp 2.
1.5.5. Etherchannel
Etherchannel cho phép ghép nhiều link song song giữa các switch lại với nhau thành một kết nối logic. Kết nối này vừa đảm bảo băng thông rất cao, vừa cung cấp khả năng dự phòng. Etherchannels cung cấp khả năng chịu lỗi với những kết nối tốc độ cao giữa switch-to-switch, routers-to-switch, và các servers.
Hình 1.12.Các mode hoạt động của Etherchannel
EtherChannel có khả năng cho phép các port dùng để kết nối hoạt động ở chế độ Full-duplex. Và băng thông trên mỗi một kết nối vật lý có thể đạt tới tốc độ là 800 Mbps đối với kết nối Fast Ethernet (Fast EtherChannel), đối với kết nối gigabit Ethernet thì tốc độ của mỗi đường vật lý có thể đạt mức tối đa là 8 Gbps (Gigabit EtherChannel).
1.6. Cân bằng tải (Load Balancing)
Cân bằng tải là một phương pháp phân phối khối lượng tải trên nhiều máy tính hoặc một cụm máy tính để có thể sử dụng tối ưu các nguồn lực, tối đa hóa thông lượng, giảm thời gian đáp ứng và tránh tình trạng quá tải trên máy chủ. Một cơ sở hạ tầng website không có cân bằng tải sẽ trông như thế này:
Hình 1.13 Mô hình web không thực hiện cân bằng tải
Trong ví dụ này, người dùng kết nối trực tiếp đến web server (tại yourdomain.com). Nếu web server duy nhất này gặp vấn đề, người dùng sẽ không thể truy cập vào website được nữa. Ngoài ra, nếu có nhiều người dùng cố gắng truy cập vào server cùng một lúc thì sẽ xảy ra quá tải, khiến thời gian tải website chậm đi hoặc kết nối bị gián đoạn.
Điều này có thể khắc phục bằng cách thêm vào hệ thống cân bằng tải và ít nhất một web server hỗ trợ bổ sung trên backend. Thông thường, tất cả các nội dung mà người dùng nhận được là như nhau bất kể họ đang kết nối với server nào.
Hình 1.14 Mô hình web triển khai cân bừng tải
Trong ví dụ ở trên, hệ thống cân bằng tải sẽ chuyển tiếp yêu cầu của người dùng đến một server phụ trợ và đáp ứng trực tiếp yêu cầu đó. Vị trí nếu trục trặc có thể gây ảnh hưởng cho cả hệ thống bây giờ chính là vị trí cân bằng tải. Điều này có thể khắc phục bằng cách đưa vào một hệ thống cân bằng tải thứ hai, nhưng trước khi nói về điều này hãy tìm hiểu cách thức hoạt động của hệ thống cân bằng tải.
1.6.1. Cân bằng tải có thể xử lý loại giao thức dữ liệu nào?
Quản trị viên của hệ thống cân bằng tải có thể tạo các quy định chuyển tiếp đối với bốn loại giao thức chính:
* HTTP
Chuẩn cân bằng HTTP trực tiếp yêu cầu dựa trên cơ chế HTTP chuẩn. Bộ cân bằng tải đặt các tiêu đề X-Forwarded-For, X-Forwarded-Proto, và X-Forwarded-Port để cung cấp các thông tin về các yêu cầu gốc tới hệ thống backend.
* HTTPS
Cân bằng HTTPS hoạt động tương tự như HTTP, với sự bổ sung mã hóa. Mã hóa được xử lý theo một trong hai cách: một là duy trì mã hóa với việc cho phép SSL đi từ đầu đến cuối hệ thống, hai là đặt bộ giải mã trên hệ thống cân bằng tải và gửi dữ liệu không mã hóa đến cuối hệ thống.
* TCP
Đối với các ứng dụng không sử dụng HTTP hoặc HTTPS, lưu lượng TCP cũng có thể được cân bằng. Chẳng hạn như lượng truy cập vào một cụm cơ sở dữ liệu có thể được mở rộng trên tất cả các máy chủ.
* UDP
Gần đây, một số hệ thống đã hỗ trợ cân bằng tải cho giao thức Internet cốt lõi như DNS và syslogd sử dụng UDP.
Các quy định chuyển tiếp này sẽ xác định giao thức và cổng vào trên bộ cân bằng tải, sau đó bản đồ hóa giao thức và cổng mà bộ cân bằng tải dùng để chuyển dữ liệu đến hệ thống backend.
1.6.2. Cân bằng tải chọn server backend như thế nào?
Các hệ thống cân bằng tải sẽ chọn cloud server để chuyển tiếp yêu cầu dựa trên sự kết hợp của hai yếu tố. Đầu tiên là đảm bảo các cloud server đã chọn có thể phản hồi chính xác các yêu cầu, và sau đó là sử dụng một quy tắc được cấu hình sẵn để “nhặt” một hay nhiều cloud server trong số này.
Hệ thống cân bằng tải chỉ chuyển tiếp dữ liệu đến các server backend “khỏe mạnh”. Để kiểm tra sức khỏe của server backend, hệ thống sẽ thường xuyên kết nối đến backend server thông qua các giao thức và cổng thiết lập bởi quy tắc chuyển tiếp, từ đó đảm bảo server có phản hồi. Nếu server không vượt qua được bước kiểm tra này, chúng sẽ tự động bị loại bỏ khỏi hệ thống cho đến khi có thể phản hồi lại bước kiểm tra sức khỏe đó.
1.6.4. Các thuật toán cân bằng tải
Các thuật toán phổ biến để xác định cloud server nào trên backend khỏe mạnh bao gồm:
* Round Robin
Phương thức này lựa chọn server theo tuần tự. Bộ cân bằng tải sẽ chọn server đầu tiên trong danh sách của mình cho yêu cầu đầu tiên, sau đó di chuyển xuống server tiếp theo trong danh sách theo thứ tự và bắt đầu lại từ đầu khi hết danh sách.
* Least Connections
Hệ thống cân bằng tải sẽ chọn server có ít kết nối nhất và cách này được khuyên dùng khi tốc độ truy cập bị chậm.
* Source
Với thuật toán Source, bộ cân bằng tải sẽ chọn server dựa trên một chuỗi các IP gốc của yêu cầu, chẳng hạn như IP của người truy cập. Phương thức này đảm bảo một người dùng cụ thể sẽ luôn kết nối với cùng một server.
Các thuật toán được cung cấp cho quản trị viên sẽ tùy thuộc vào công nghệ mà bộ cân bằng tải sử dụng.
Để ngăn chặn khả năng ảnh hưởng đến toàn hệ thống nếu bộ cân bằng tải gặp trục trặc, một bộ cân bằng tải dự phòng có thể kết nối vào để tạo thành một cụm cân bằng tải. Mỗi bộ cân bằng tải đều có thể phát hiện lỗi và phục hồi.
Hình.1.15.Mô hình web thực hiện cân bằng tải và chịu lỗi.
Trong trường hợp bộ cân bằng tải chính bị lỗi, DNS sẽ đưa người dùng đến với bộ cân bằng tải dự phòng. Để tiết kiệm thời gian khi quá trình thay đổi DNS có thể khá lâu mới thông báo được lên Internet, ngoài ra để việc chống lỗi này hoạt động tự động thì nhiều quản trị viên sử dụng hệ thống cho phép linh hoạt thay đổi IP, chẳng hạn như Floating IP.
Bằng cách cung cấp một địa chỉ IP tĩnh tùy chỉnh được khi cần thiết, các vấn đề về mất thời gian thông báo lên Internet và lưu bộ nhớ đệm khi thay đổi DNS có thể loại bỏ. Tên miền có thể duy trì liên kết với cùng một địa chỉ IP, trong khi địa chỉ IP này được di chuyển giữa các cloud server.
Frame Relay là dịch vụ kết nối mạng dữ liệu theo phương thức chuyển mạch tốc độ cao, thích hợp truyền lượng dữ liệu lớn, Khách hàng của Frame Relay thường là các tổ chức có nhu cầu kết nối giữa trụ sở chính với 1 hoặc nhiều chi nhánh ở nhiều địa điểm khác nhau; đòi hỏi tính bảo mật cao và ổn định; có các ứng dụng đa dạng (thoại, hình ảnh, dữ liệu ) trên một mạng duy nhất. Về mặt kỹ thuật, Frame Relay có khả năng đóng gói dữ liệu, chuyển chúng đi nhanh nhờ có chế loại bỏ, kiểm tra và hiệu chỉnh lỗi trên mạng trong điều kiện chất lượng đường truyền tốt.
Chỉ riêng châu Á – Thái Bình Dương đã có gần 30 nhà cung cấp dịch vụ Frame Relay tại 11 quốc gia. Theo thống kê của tổ chức Data Communication, Nhật Bản là quốc gia châu Á có nhiều nhà cung cấp dịch vụ Frame Relay nhất (23 nhà cung cấp).
Tại Việt Nam, VDC được xem là nhà cung cấp dịch vụ Frame Relay lớn nhất với 125 khách hàng, chủ yếu là các khu công nghiệp và các công ty lớn… VDC đã thiết lập quan hệ với 7 đối tác nước ngoài, cung cấp dịch vụ Frame Relay theo các hướng: Nhật Bản với dung lượng đường truyền 5MB, Mỹ 2MB, Singapore 3MB, Hồng Kông 2MB, Đài Loan 2MB, công ty quốc gia Equan tại Singapore 8MB.
1.7.1. Lợi ích sử dụng dịch vụ Frame Relay
– Frame relay đảm bảo chất lượng dịch vụ cung cấp. Bằng khả năng cung cấp: Tốc độ truyền thông cam kết CIR (Commited Information Rate )
– Tốc độ truyền thông dữ liệu tối thiểu được cam kết bởi nhà cung cấp dịch vụ, Frame relay cho phép khách hàng đảm bảo và kiểm soát chất lượng dịch vụ được cung cấp.
– Frame relay tiết kiệm chi phí về thiết bị.
– Frame relay cho phép thiết lập nhiều đường kết nối ảo thông qua một kênh vật lý duy nhất, điều này làm giảm thiểu chi phí thiết bị so với hệ thống mạng dùng các kênh kết nối trực tiếp
– Frame relay tiết kiệm chi phí sử dụng.
– Bên cạnh việc tiết kiệm chi phí sử dụng kênh nội hạt do việc sử dụng một kênh kết nối vật lý duy nhất tại mỗi điểm kết nối mạng, khách hàng có thể được lợi do sử dụng một mức giá cố định (f-rate) hàng tháng.
– Với nhiều tốc độ CIR cung cấp khách hàng hoàn toàn có thể điều chỉnh chi phí sử dụng mạng thích hợp nhất với nhu cầu trao đổi dữ liệu của mình.
– Đơn giản, tiết kiệm, linh hoạt trong nâng cấp
– Frame relay nâng cao hiệu quả sử dụng mạng Frame relay cho phép tích hợp nhiều ứng dụng khác nhau sử dụng các công nghệ truyền thông khác nhau trên một mạng lưới duy nhất (voice, data, video,…). Frame relay hỗ trợ khả năng tích hợp và tương thích với các tiêu chuẩn kỹ thuật khác nhau (X25, TCP/IP, SNA, ATM….)
– Frame relay cung cấp khả năng quản lý mạng và bảo mật an toàn mạng lưới
– Phạm vi cung cấp dịch vụ rộng.
– Cung cấp dịch vụ “một cửa”, đáp ứng mọi nhu cầu của khách hàng.
– Giao dịch cung cấp dịch vụ trên toàn quốc.
– Khả năng sử dụng dịch vụ: trong nước và quốc tế
– Hỗ trợ dịch vụ 24/24.
1.7.2. Các ứng dụng trên mạng Frame relay
– Kết nối các mạng lưới, mạng ngang cấp “Meshed LAN Peer-to-Peer Networking”
– Frame relay ứng dụng trong kết nối các mạng cục bộ (LAN), mạng diện rộng WAN, MAN
– Frame relay hỗ trợ chuẩn SNA của IBM.
– Phục vụ cho các ứng dụng về voice Frame relay.
1.8. Giao thức HSRP
Hot Standby Router Protocol (HSRP) là một chuẩn của Cisco, HSRP ra đời từ nhưng năm 1990 nhằm cung cấp tính sẵn sàng làm việc cao của hệ thống mạng bằng cách đưa ra sự dự phòng cho các host trên một mạng LAN đã được cấu hình với một địa chỉ IP default gateway.
HSRP cho phép nhiều router cùng chia sẻ một địa chỉ IP ảo và các địa chỉ MAC sao cho các máy của người dùng (user) sẽ không nhận ra khi nào có sự cố mạng xảy ra đối với Active router.
1.8.1. Đặt điểm của HSRP
– Địa chỉ IP là ảo và địa chỉ MAC cũng ảo trên router actine.
– Các router dự phòng sẽ lắng nghe các gói hello từ router đang active, mặc định mỗi 3 giây và 10 giây cho khoảng thời gian dead.
– Độ ưu tiên cao nhất (mặc định là 100, trong tầm từ 1-255) sẽ xác định router, với cơ chế pre-emption bị tắt.
– Hỗ trợ tính năng tracking, trong đó độ ưu tiên của một router sẽ bị giảm khi một interface đang bị theo dõi bị hỏng hóc.
– Có thể có tối đa 255 nhóm HSRP trên mỗi interface, cho phép một hình thức cân bằng tải.
– Địa chỉ MAC ảo có dạng 0000.0C07.Acxx trong đó xx là chỉ số của nhóm HSRP.
– Địa chỉ của IP ảo phải trong cùng giá trị subnet của cổng của router trong LAN.
– Địa chỉ của IP ảo phải khác với bất kỳ một địa chỉ thật nào của các cổng tham gia vào HSRP.
1.8.2. Cách thức hoạt động của HSRP
– HSRP hoạt động dựa trên việc tạo ra một gateway ảo. Gateway ảo trên cũng có thể hiểu như là một công việc hay vai trò mà HSRP có trách nhiệm đảm nhận cung cấp cho các máy bên trong mạng LAN. Trong một nhóm các router chạy HSRP, sẽ có một router đứng ra đảm trách vai trò làm gateway nói trên. Router đó được gọi là ACTIVE router. IP của gateway ảo được gọi là IP ma (phantom IP). Các routers không active sẽ bị rơi vào trạng thái standby.
– Active Router sẽ định tuyến các gói tin; còn Standby Router là router sẽ được làm nhiệm vụ thay thế Active Router khi mà Active Rouer bị lỗi hoặc do những điều kiện mà người quản trị mạng đã cấu hình trước.
– HSRP sẽ tự động được tìm thấy khi mà Active Router bị lỗi, và một Standby Router sẽ được lựa chọn để điều khiển địa chỉ IP và địa chỉ MAC của nhóm Hot Standby đó. Một Standby Router mới cũng sẽ được chọn lại trong thời điểm này.
– Những thiết bị đang chạy HSRP sẽ gửi và nhận các gói tin hello dưới dạng địa chỉ Multicast để có khả năng xác định được router bị lỗi và xác định được Active Router và Standby Router. Khi HSRP được cấu hình trên một interface, thì thông điệp ICMP redirect sẽ bị disable theo mặc định trên tất cả các interface.
1.8.3. Tối ưu HSRP
– Vấn đề: Nếu chỉ cấu hình đơn thuần thì ta sẽ gặp tình trạng là nhiều PC cùng đi qua 1 router và nhưng router còn lại thì không làm việc gì, và như thế thì cũng rất phí băng thông.
– Giải quyết:
+ Cấu hình nhiều group HSRP trên cao router hay còn gọi là Multiple HSRP (MHSRP).
+ Multiple HSRP (MHSRP) :Từ Cisco IOS Release 12.2(18)SE trở lên đều có khả năng hỗ trợ Multiple HSRP (MHSRP), một sự mở rộng của HSRP sẽ cho phép cân bằng tải giữa hai hoặc nhiều nhóm HSRP. Có thể cấu hình MHSRP để có thể thực hiện được cơ chế cân bằng tải và để sử dụng hai hoặc nhiều nhóm standby từ một host đến một server trong mạng.
