. June 2015 ~ Networking, Programming Blog, LOGISTICS JOBS

Monday, June 22, 2015

Cấu hình VPN trên Router Cisco


1. Các bước cấu hình VPN:

– Cấu hình chính sách ISAKMP/IKE phase 1
– Cấu hình IPSec Transform- set( ISAKMP/IKE phase 2)
– Tạo Access control list ACL
– Cấu hình crypto map
– Đưa crypto map lên interface
2. Cấu hình cơ bản trên router
mo hinh vpn
Mô hình khai triển
Router ISP: chỉ cấu hình hostname và IP của các interface
R2(config)#hostname ISP
ISP(config)#interface s0/0
ISP(config- if)#ip address 150.1.1.2 255.255.255.0
ISP(config- if)#no shutdown
ISP(config)#interface s0/1
ISP(config- if)#ip address 151.1.1.2 255.255.255.0
ISP(config- if)#no shutdown
Cấu hình các Interface trên Router ISP
Cấu hình các Interface trên Router ISP
Router SAIGON  VUNGTAU, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1(config)#hostname SAIGON
SAIGON(config)#interface s0/0
SAIGON(config- if)#ip address 150.1.1.1 255.255.255.0
SAIGON(config- if)#no shutdown
SAIGON(config)#interface loopback 1
SAIGON(config- if)#ip address 192.168.1.1 255.255.255.0
SAIGON(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.2
Cấu hình các Interface trên Router SAIGON
Cấu hình các Interface trên Router SAIGON
R3(config)#hostname VUNGTAU
VUNGTAU(config)#interface s0/0
VUNGTAU(config- if)#ip address 151.1.1.1 255.255.255.0
VUNGTAU(config- if)#no shutdown
VUNGTAU(config)#interface loopback 2
VUNGTAU(config- if)#ip address 192.168.2.1 255.255.255.0
VUNGTAU(config)#ip route 0.0.0.0 0.0.0.0 151.1.1.2
Cấu hình các Interface trên Router VUNGTAU
Cấu hình các Interface trên Router VUNGTAU

Tuesday, June 16, 2015

Tại sao phải dùng VLAN?


Tại sao phải dùng VLAN?

1. An ninh mạng
Vấn đề đầu tiên đặt ra là truyền dữ liệu trên mạng truyền thống chỉ có một phân đoạn mạng. Bất cứ khi nào khi một trạm truyền thông tin trong một mạng truyền thống tất cả các máy trạm trong hệ thống đều nhận được bản tin đó, mặc dù nó không phải là người nhận.
Thông thường khi gói tin đến không đúng máy nhận nó sẽ được hủy tại máy nhận, nhưng vấn đề đặt ra ở đây là với những công cụ có sẵn, một người trong hệ thống có thể bắt lại các gói tin đi qua hệ thống, các gói tin này có thể chứa những thông tin quan trọng như mật khẩu hay những email nhạy cảm. Vấn đề an ninh của mạng lúc này là không còn được đảm bảo.
Vấn đề không chỉ sảy ra với hệ thống chỉ có một phân đoạn mạng mà cũng có thể sảy ra với hệ thông có nhiều phân đoạn. Một ví dụ như dưới đây sẽ mô tả cụ thể vấn đề này.
Van de an ninh trong mang truyen thongVấn đề an ninh trong mng truyn thng
Khi một người dùng ở phòng kế toán thuộc phân đoạn mạng A gửi thông tin đến một đồng nghiệp thuộc phân đoạn mạng B, thông tin này sẽ đi qua phân đoạn C trung gian, ở đây gói tin có thể bị bắt lại và thông tin sẽ bị khai thác. Vấn đề có thể được giải quyết bằng cách di chuyển các nhân viên thuộc phòng kế toán về một phân đoạn mạng. Điều này không khả thi vì giới hạn về vị trí địa lý.
Tuy nhiên ở đây nếu sử dụng công nghệ VLAN chúng ta hoàn toàn có thể giải quyết được vấn đề này. Với VLAN tất cả các nhân viên Kế toán sẽ thuộc cùng một VLAN và chỉ truyền thông tin với nhau trong một broadcast domain mà không bị giới hạn về vị trí địa lý. Lúc này nếu không phải nhân viên phòng Kế toán thì sẽ không thể truy cập vào mạng và lấy thông tin trong đó.
Ung dung cong nghe VLAN de bao mat thong tinỨng dụng công nghệ VLAN để bảo mật thông tin
Hình trên mô tả khi hai nhân viên kế toán thuộc hai phân đoạn mạng khác nhau hay hai vị trí địa lý cách xa nhau làm việc ở PC0 và PC1 truyền thông tin cho nhau qua mạng, nhưng gói tin vẫn truyền trong cùng một VLAN 1 mà không qua các VLAN 2,3 do đó thông tin được bảo mật.
2. Phân phối broadcast
Trước hết cần hiểu bản tin broadcast là gì, nói một cách dễ hiểu broadcast là bản tin PC to-all PC tức là khi một máy tạo và truyền bản tin broadcast trong hệ thống thì tất cả những máy còn lại sẽ nhận bản tin đó. Bản tin broadcast cần thiết để hỗ trợ trong hoạt động của các giao thức định tuyến, ARP, DHCP hay nhiều giao thứ khác. Vậy tại sao lại cần ngăn chặn broadcast trong mạng? Thực tế thì bản tin broadcast không mang thông tin của người sử dụng, nó chiếm băng thông trong hệ thống mạng để truyền đi. Broadcast cũng ảnh hưởng đến hiệu suất làm việc của các máy trạm trong hệ thống. Khi máy trạm nhận được một bản tin broadcast nó sẽ phải tiêu tốn CPU để xử lý gói tin đó mặc dù nó không phải là máy nhận. Quá trình này làm chậm lại quá trình xử lý của CPU và ảnh hưởng đến những ứng dụng khác đang chạy trên máy đó.
Công nghệ VLAN sẽ giúp giảm bớt ảnh hưởng của vấn đề broadcast đến băng thông hệ thống cũng như hiệu suất làm việc của máy trạm. Bằng cách tạo ra các VLAN và nhóm một nhóm làm việc vào chung một VLAN ta sẽ chia được các broadcast domain nhỏ hơn, và khi đó bản tin broadcast của VLAN này sẽ không ảnh hưởng đến VLAN khác, băng thông hệ thống được cải thiện, hiệu suất làm việc của máy trạm tăng lên.
3. Tận dụng băng thông
Khi người dùng tham gia vào một phân đoạn mạng, họ sẽ chia sẻ băng thông của phân đoạn đó. Càng nhiều người dùng trong một phân đoạn thì băng thông cho mỗi người dùng cảng giảm. Vấn đề không đáng kể nếu số lượng người dùng ít hoặc vừa phải, tuy nhiên nếu hệ thống ngày càng lớn, số người dùng tăng đáng kể, khi đó ta bắt đẩu cảm thấy sự quá tải của mạng. Việc truyền dữ liệu, hay làm việc trong hệ thống trở nên chậm chạm thậm chí có thể sảy ra tắc nghẽn không thể truyền. Khi đó người ta nghĩ đến công nghệ VLAN, VLAN giúp tăng băng thông cho người sử dụng trong một mạng chia sẻ. Bằng cách tạo thêm nhiều broadcast domain, mỗi VLAN sẽ hoạt động với băng thông vốn có của hệ thông nhưng số người dùng ít hơn, do đó băng thông chia cho mỗi người dùng sẽ tăng lên đáng kể.
4. Độ trễ của Router
Trong hệ thống mạng như trong 2.8 khi một người dùng ở phòng kế toán thuộc phân đoạn mạng A gửi thông tin đến một đồng nghiệp thuộc phân đoạn mạng B, thông tin này sẽ đi qua phân đoạn C trung gian, và hai router. Với những hệ thống định tuyến cũ, tốc độ chuyển gói tin chậm hơn so với chuyển mạch lớp 2. Khi một gói tin tới router nó cần truy vấn bảng định tuyến để quyết định đưa gói tin đó đến cổng nào và truyền đi, quá trình này dựa vào việc phân tích các thông tin lớp 3 của gói đến, do đó sẽ mất thời gian hơn việc phân tích thông tin lớp 2 trên Switch, càng qua nhiều router quá trình này càng làm tăng độ trễ. Bằng cách đưa hai nhân viên kế toán về một VLAN việc phải vượt qua nhiều phân đoạn mạng và nhiều router được loại bỏ, độ trễ sẽ cải thiện đáng kể.
5 Những danh sách truy cập phức tạp
Các bộ định tuyến của Cisco cho phép người quản trị có thể tạo ra một danh sách truy cập, quy định những chính sách nhất định đối với gói tin truyền qua nó. Bằng việc sử dụng danh sách truy cập người quản trị có thể chặn cụ thể một người dùng giao tiếp với một người dùng khác, hoặc ngăn chặn người dùng truy cập vào mạng hay toàn bộ mạng vào người dùng đó. Ngoài ra danh sách truy cập cũng giúp quản lý vấn đề an ninh mạng hay quản lý lưu lượng qua một phân đoạn mạng để không ảnh hưởng đến vấn đề băng thông.
Trong bất kỳ trường hợp nào, việc quản lý danh sách truy cập là một quá trình phức tạp, khi hệ thống phát triển lớn đó lại càng khó khăn hơn, và phải tuân theo các quy tắc của Cisco để có thể lọc các gói tin một cách chính xác.
Trong hệ thống mạng như hình 1, gói tin trao đổi giữa hai nhân viên kế toán thuộc phân đoạn mạng A và B luôn phải đi qua phân đoạn mạng C, mặc dù nó không bao giờ giao tiếp hữu ích với những nhân viên ở đây. Tuy nhiên trong quá trình này không đảm bảo những nhân viên kỹ thuật ở đây không kiểm tra hay quản lý lưu lượng qua nó. Để ngăn chặn điều này người quản trị mạng phải tạo ra những danh sách truy cập phức tạp. Một cách đơn giản hơn ta có thể sử dụng công nghệ VLAN, khi đó những nhân viên kế toán cùng một VLAN và thông tin trao đổi giữa họ sẽ chỉ trong VLAN mà người quản trị cấu hình mà không đi qua phân đoạn mạng của nhân viên thuộc phân đoạn mạng C.


Cấu hình interface Vlan trên tường lửa Cisco


Một interface vật lý của ASA có thể được cấu hình để giao tiếp với nhiều lớp mạng khác nhau. Để làm được việc này, interface phải cấu hình VLAN.
Trên ASA 5510 và các dòng cao hơn, mỗi VLAN được thực hiện qua liên kết trunk trên subinterface của một interface vật lý. Trên ASA 5505, mỗi VLAN có thể kết nối với giao diện vật lý và được thực hiện trên một liên kết trunk VLAN.
1. Interface Vlan, trunk trên ASA 5510 và các dòng cao hơn.
Một liên kết trunk ASA chỉ hỗ trợ phương pháp đóng gói IEEE 802.1Q trunk. Khi một gói tin gửi qua đường trunk thì sẽ được gán thêm 1 tag (thẻ) vói số vlan nguồn của nó để có thể chuyển gói tin đến được vlan mong muốn.
IEEE 802.1Q cũng hỗ trợ khái niệm native Vlan. Fame của native Vlan khi qua đường trunk thì không đóng thêm bất cứ thông tin gì nữa, hỗ trợ cho các thiết bi không chia được vlan.
IEEE 802.1Q Trunk hoạt động liên kết với ASAIEEE 802.1Q Trunk hoạt động liên kết với ASA
Trong khi Switch Cisco có thể đóng gói thông qua Dinamic Trunking Protocol (DTP), còn ASA thì không. Một liên kết trunk ASA thông qua cấu hình subinterface.
Có thể sử dụng câu lệnh sau để cấu hình:
ciscoasa(config)# interface hardware_id.subinterface
ciscoasa(config-subif)# vlan vlan_id
Ví dụ, hình dưới cho thấy một sơ đồ mạng của một liên kết trunk giữa ASA và một switch. Interface Ethernet0 / 3 của ASA được sử dụng như là các liên kết trunk.VLAN 10 được thực trên ASA subinterface Ethernet0/3.1, trong khi VLAN 20 được thực hiện trên Ethernet0/3.2.
Mô hình mạngMô hình mạng
cau hinh
2. Interface Vlan, trunk trên ASA 5505
Trên ASA 5505, VLAN được hỗ trợ trên các interface vật lý, nhưng chỉ khi trên đúng interface chứa Vlan đó thì VLAN mới được cấu hình.
Theo mặc định, ASA 5505 bao gồm các interface vlan 1 và interface vlan 2 trong cấu hình của nó.
Nếu cần trao đổi nhiều Vlan đã được tạo sẵn của ASA với switch neighbor, ta có thể cấu hình một cổng interface làm đường trunk. Và cấu hình theo các lệnh:
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allowed vlan vlan-list
Theo mặc định không có vlan nào thực hiện liên kết trunk, cần phải chỉ định vlan đó bằng cách nhập vào danh sách vlan-list và các vlan này cách nhau bởi dấu phẩy (, ).
Ví dụ cấu hình vlan trên ASA 5505
ASA 5505 được cấu hình để hỗ trợ VLAN 10 và 20, và để thực hiện các VLAN trên interface Ethernet0 / 5, được cấu hình như một liên kết trunk.
cau hinh 1

Monday, June 15, 2015

Các kiểu VLAN


1. VLAN tĩnh
Cấu hình tĩnh, người dùng phải tự cấu hình cho các cổng của mỗi Switch bằng cách gán cổng vào một VLAN nhất định. Cấu hình tĩnh là loại thường gặp nhất, trong đó các cổng trên Switch được gán trực tiếp và cố định vào VLAN cụ thể . VLAN tĩnh có cấu hình đơn giản và thuờng hoạt động tốt trong những mạng mà ở đó những sự di dời gần như không đáng kể hoặc đựơc điều khiển và có sự quản lí. Hình minh họa:
VLAN tinhSơ đồ hệ thống sử dụng VLAN tĩnh
Nhìn minh họa trên cho thấy các cổng f0/1, f0/2; f0/3, f0/4; và f0/5 được gán vào các VLAN tương ứng theo từng phòng ban làm việc. Khi máy trạm PC gắn vào cổng f0/1 và f0/2 sẽ tương ứng thuộc VLAN 1 của phòng Kế Toán, gắn vào cổng f0/3 và f0/4 sẽ thuộc VLAN 2 của phòng Đào Tạo, gắn vào f0/5 sẽ thuộc VLAN 3 của phòng CT HSSV.
2. VLAN động
Là loại VLAN mà trong đó các thành viên của VLAN được xác định bằng MAC address của thiết bị gắn vào Switch. Quá trình này dựa vào bảng địa chỉ “MAC address to VLAN” lưu trong VMPS database. Khi đổi thiết bị sang Switch khác, Switch sẽ thực hiện chỉ định VLAN cho thiết bị đó bằng cách tra VMPS database.
Mỗi dynamic port chỉ thuộc 1 VLAN. Dữ liệu sẽ không lưu thông qua port này cho đến khi VMPS server chỉ định VLAN cho port này.
Khi kích hoạt VMPS, VMPS database từ TFTP server sẽ download vào VMPS server trên Switch (nếu reset VMPS server thì sẽ thực hiện download lại từ TFTP). Khi host được gắn vào dynamic port, VMPS client sẽ nhận được source MAC address. Sau đó, VMPS client sẽ tiến hành kiểm tra MAC này bằng cách gửi VQP request đến VMPS server, VMPS server sẽ gửi về VLAN number cho VMPS client. VMPS Client sẽ cấu hình port vào đúng VLAN dựa trên những thông tin nhận từ VMPS Server.
VLAN dongSơ đồ hệ thống sử dụng VLAN động
3. Voice VLAN
Tính năng Voice VLAN cho phép các cổng trên switch có khả năng truyền lưu lượng Voice IP từ một IP phone. Khi một swtich thực hiện kết nối đến một IP phone, IP phone đó có khả năng gửi lưu lượng âm thanh với những thông tin tầng 3 và các giá trị QoS (là cơ chế lọc những loại lưu lượng gửi từ switch có khả năng dự đoán được) của tầng 2.
Nguồn: http://www.vnpro.vn/cac-kieu-vlan/