Thứ Tư, 22 tháng 5, 2013

Tóm tắt các giao thức,RIP,EIGRP,OSPF

Một số giao thức định tuyến:
• Routing Information Protocol (RIP)
• Interior Gateway Routing Protocol (IGRP)
• Enhanced Interior Gateway Routing Protocol (EIGRP)
• Open Shortest Path First (OSPF)
1. RIP
Một số tính chất

  • - Giao thức định tuyến Distance Vector
  • - Sử dụng hop-count làm metric. Maximum hop-count là 15
  • - Administrative distance là 120
  • - Hoạt động theo kiểu tin đồn
  • - Gởi update định kỳ sau 30 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
  • - RIP v1 và RIP v2
  • - RIP v1: classful (không gửi subnetmask)
  • - RIPv2: classless, hỗ trợ VLSM(có kèm theo subnetmask), authentication

Cấu hình

  • - Kích hoạt giao thức định tuyến RIP trên router bằng câu lệnh:
    Router(config)#router rip
  • - Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gởi và nhận RIP update bằng câu lệnh:
    Router(config-router)#network <network address>

Kiểm tra hoạt động

  • - Show ip protocol
  • - Show ip route
  • - Debug ip rip : để quan sát việc RIP cập nhật bằng cách gửi và nhận trên router.
  • - No debug ip rip hoặc undebug all: để tắt chế độ debug
  • - Show ip protocol : để xem routing protocol timer
  • - Show protocols: xem các protocols nào được cấu hình trên các interface

2. IGRP
Một số tính chất

  • - Giao thức định tuyến Distance Vector
  • - Sử dụng kết hợp giữa băng thông (bandwidth) và độ trễ (delay) làm metric
  • - Administrative distance là 100
  • - Hoạt động theo kiểu tin đồn
  • - Gởi update định kỳ sau 90 giây. Thông tin gởi đi là toàn bộ bảng định tuyến
  • - classful (không gửi subnetmask)
  • - Là giao thức riêng của Cisco

Cấu hình

  • - Kích hoạt giao thức định tuyến RIP trên router bằng câu lệnh:
    Router(config)#router igrp <AS>
  • - Khai báo các network cần quảng bá cũng như kích hoạt các interface được phép gởi và nhận IGRP update bằng câu lệnh:
    Router(config-router)#network <network address>

(*) AS (Autonomous System): là một mạng được quản trị chung với các chính sách định tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông tin tìm đường với nhau.
Kiểm tra hoạt động

  • - Show ip protocol
  • - Show ip route
  • - Debug ip igrp events : để xem các cập nhật của IGRP được gửi và nhận trên router.
  • - No debug ip igrp events hoặc undebug all: để tắt chế độ debug
  • - Show ip protocol : để xem routing protocol timer
  • - Show protocols: xem các protocols nào được cấu hình trên các interface
  • - Debug ip igrp transactions: để xem các sự IGRP events được xử lý trên router.

3. EIGRP
Một số tính chất

  • - Giao thức độc quyền của Cisco.
  • - Giao thức định tuyến classless (gởi kèm thông tin về subnet mask trong các update).
  • - Giao thức distance-vector.
  • - Chỉ gởi update khi có sự thay đổi trên mạng.
  • - Hỗ trợ các giao thức IP, IPX và AppleTalk.
  • - Hỗ trợ VLSM/CIDR.
  • - Cho phép thực hiện quá trình summarization tại biên mạng.
  • - Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.
  • - Xây dựng và duy trì các bảng neighbor table, topology table và routing table.
  • - Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability.
  • - Cho phép cân bằng tải trên các con đường có giá thành không bằng nhau (unequal-cost).
  • - Giá trị AD bằng 90.
  • - Khắc phục được vấn đề discontiguous network gặp phải đối với các giao thức RIPv1 và IGRP.

Cấu hình

  • - Kích hoạt giao thức định tuyến EIGRP:
    Router(config)# router eigrp <AS number>
  • - Kích hoạt các interface sẽ gởi và nhận update, cũng như khai báo các network cần quảng bá:
    Router(config-router)# network <network number>
  • - Tắt chức năng auto-summary tại biên mạng:
    Router(config-router)# no auto-summary
  • - Các câu lệnh để troubleshoot: show ip route, show ip route eigrp, show ip eigrp neighbors, show ip eigrp topology.

4. OSPF
Một số tính chất

  • - Chuẩn mở.
  • - Giao thức link-state.
  • - Chỉ hỗ trợ giao thức IP.
  • - Gom nhóm các network và router vào trong từng area. Luôn tồn tại area 0 (backbone area). Tất cả các area khác (nếu có) đều phải nối vào area 0.
  • - Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các đích.
  • - Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau (equal-cost).
  • - Hỗ trợ VLSM/CIDR.
  • - Chỉ gởi update khi có sự thay đổi trên mạng.
  • - Khắc phục vấn đề liên quan đến discontiguous network.
  • - Xây dựng và duy trì các neighbor database, topology database.
  • - Giá trị AD bằng 110.

[IMG]
Cấu hình

  • - Kích hoạt giao thức định tuyến OSPF
    Router(config)#router ospf <process ID>
  • - Cấu hình OSPF area
    Router(config-router)#network <network number> <wildcard mask> area <area ID>
  • - Các câu lệnh troubleshoot: show ip route, show ip ospf, show ip ospf database, show ip ospf interface, show ip ospf neighbor
Người đăng: vào lúc 2 nhận xét:

Thứ Hai, 20 tháng 5, 2013

Redistribute OSPF

1.Cấu hình quảng bá một tuyến mặc định trong OSPF

Router(config-router)#default-information originate

2.Quảng bà một tuyến khác (không phải là default)

Router(config-router)#redistribute protocols subnets
Người đăng: vào lúc Không có nhận xét nào:

Metric EIGRP

Metric của EIGRP được tính theo một công thức rất phức tạp với đầu vào là 04 tham số: Bandwidth min trên toàn tuyến, Delay tích lũy trên toàn tuyến (trong công thức sẽ ghi ngắn gọn là Delay), Load Reliabily cùng với sự tham gia của các trọng số K:
Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3* Delay]*256*[K5/(Reliabilty + K4)]
Bandwidth: đơn vị là Kbps.
Delay: đơn vị là 10 micro second.
Load Reliability là các đại lượng vô hướng.
Nếu K5 = 0, công thức trở thành:
Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 – Load) + K3* Delay]*256
Mặc định bộ tham số K được thiết lập là: K1 = K3 = 1; K2 = K4 = K5 = 0 nên công thức dạng đơn giản nhất ở mặc định sẽ là:
Metric = [10^7/Bandwidth min + Delay]*256
Một số giá trị mặc định được quy định cho một số loại cổng thường sử dụng trên router:

Ethernet: Bandwidth = 10Mbps; Delay = 1000 Micro second.
Fast Ethernet: Bandwidth = 100Mbps; Delay = 100 Micro second.
Serial: Bandwidth = 1,544Mbps; Delay = 20000 Micro second.
Người đăng: vào lúc Không có nhận xét nào:

Redistribute EIGRP

1. Quảng bá default route
Cách1: Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static
Cách 2: 
Router(config)#ip default-network network number
2.Quảng bá các tuyến khác trong EIGRP (không phải là default)
Router(config-router)#redistribute protocol process ID metrics k1 k2 k3 k4 k5
Ex: Router(config-router)#redistribute ospf metrics 100 100 100 100 100
Người đăng: vào lúc Không có nhận xét nào:

Chủ Nhật, 12 tháng 5, 2013

Cấu hình giao thức định tuyến


1 Cấu hình RIP:

 Router(config)#router rip (dùng giao thức định tuyến RIP)
Router(config-router)#network địa_chỉ_ip (địa chỉ mạng muốn quảng bá bằng giao thức RIP)
Router(config-router)#passive-interface tên_cổng (thông tin định tuyến RIP ko đc gửi ra cổng này)
Router(config-router)#version 2 (dùng RIP version 2,mặc định là version 1)
2 Cấu hình EIGRP :

 - Cấu hình cơ bản.
Router(config)#router eigrp eigrp_muốn_đặt ( 1->65535)
Router(config-router)#network IP_mạng_muốn_quảng_bá
Router(config-router)#no auto-summary (ko tự ghép các dải địa chỉ IP thành 1 dải lớn)
- Thay đổi băng thông và tự tổng hợp tuyến trong interface
Router(config-if)#bandwidth kilobits
Router(config-if)#ip summary-address protocol AS network number subnets mask
- Cân bằng tải trong EIGRP
Router(config-router)#variance number
- Quảng bá default route
Cách 1:
Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static
Cách 2:
Router(config)#ip default-network network number
Cách 3:
Router(config-if)#ip summary-network eigrp AS number 0.0.0.0 0.0.0.0
- Quảng bá các tuyến khác trong EIGRP (không phải là default)
Router(config-router)#redistribute giao_thức_muốn_quảng_bá ID_metrics k1 k2 k3 k4 k5
Ví dụ: Router(config-router)#redistribute ospf metrics 100 100 100 100 100
- Chia sẻ traffic trong EIGRP
Router(config-router)#traffic share {balanced/min}
- Các lệnh kiểm tra cấu hình EIGRP
show ip eigrp neighbor
show ip eigrp interface
show ip eigrp topology
show ip eigrp traffic
debug eigrp fsm
debug eigrp packet
3 OSPF:

 - Cấu hình cơ bản
Router(config)#router ospf ospf_muốn_chọn ( 1->65535)
Router(config-router)#network dải_đại_chỉ_muốn_quảng_bá Wildcard_mask area_ID (thường là area 0)
- Cấu hình priority ở các interface để bầu DR và BDR
Priority càng lớn thì khả năng được bầu làm DR càng cao, ngược với bầu Root brige của Switch, càng nhỏ thì lại càng được bầu.
Router(config)#interface fastethernet 0/0
Router(config-int)#ip ospf priority 55
Sau khi cấu hình xong priority có thể kiểm tra bằng lệnh.
Router# show ip ospf interface f0/0
- Chỉnh sửa lại OSPF cost metric trong mỗi interface
Cost càng nhỏ thì tuyến đó càng được coi là best path
Router(config-int)#ip ospf cost 1
- Cấu hình OSPF Authentication ở các interface và áp dùng vào router
Authentication key được hiểu như là password để các router trong cùng một vùng chia sẻ với nhau.
a. Cấu hình authentication đơn giản
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area number authentication
b. Cấu hình authentication theo dạng mã hoá, bảo mật cao.
Router(config-if)ip ospf message-digest-key key ID md5 encryption-type key
Router(config-router)#area area ID authentication message-digest
- Cấu hình OSPF timer trong các interface
Router(config-if)ip ospf hello-interval timer
Router(config-if)ip ospf dead-interval timer
- Cấu hình quảng bá một tuyến mặc định trong OSPF
Router(config-router)#default-information originate
- Quảng bà một tuyến khác (không phải là default)
Router(config-router)#redistribute protocols subnets
Các lệnh show dùng để kiểm tra cấu hình OSPF
show ip protocol
show ip route
show ip ospf
show ip ospf interface
show ip ospf database
show ip ospf neighbor detail
clear ip route *
debug ip ospf events
debug ip ospf adj


Người đăng: vào lúc Không có nhận xét nào:

Tổng hợp cấu hình Giao Thức (RIPV1, RIPV2, EIGRP OSPF) trên Router

>ena
#configure terminal
(config) #hostname (tên host name)
(config) #enable password (pass)
(config) #enable secret (pass)
(config) #banner motd #điền banner motd#
(config) #no ip domain-lookup (lệnh này cấu hình cho router không tự tìm domain khi đánh sai lệnh)
(config) #ip hostname (tên Router) (địa chỉ IP trên cổng kết nối của Router đó) (cấu hình telnet và ping bằng tên)

(config) #line vty 0 4
(config-line) #password (pass)
(config-line) #login
(config-line) #exit

(config) #line console 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn thông báo vào dòng lệnh)
(config-line) #login
(config-line) #exit

(config) #line aux 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn dòng lệnh vào thông báo)
(config-line) #login
(config-line) #exit

(config) #interface loopback (số loopback)
(config-if) #ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit

(config) #interface fastEthernet (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit

(config) #interface serial (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #clock rate ( clock rate-nếu là DCE thì mới cần cấu hình)
(config-if) #exit

Cấu hình chạy Ripv1:
*Chú ý : Ripv1 không có cấu hình authentication !

(config) #router rip
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh)
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng (fa/se/loop))
(config-if) #ip rip send version 2 (tương thích Ripv2 & v1 – cấu hình tại cổng muốn gửi bản tin v2 trên router chạy RIP v1)

Cấu hình chạy Ripv2:

(config) #router rip
(config-router) #version 2
(config-router) #no auto-summary 
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh)
(config-router)#passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng (fa/se/loop))
(config-router) #redistribute eigrp (số AS:1,2,10…) metric (0-max15) (quảng bá EIGRP vào Rip)
(config-router) #redistribute ospf (process-id) metric (0-max15) (quảng bá OSPF vào Rip)

-Cấu hình Authentication(xác thực) cho Ripv2:

*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !

Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)

Gán key vào cổng kết nối:

(config) #interface (tên cổng (fa/se))
(config-if) #ip rip authentication key-chain (tên key chain)

Mã hóa dạng MD5:

(config-if) #ip rip authentication mode MD5

Cấu hình chạy EIGRP:

(config) #router eigrp (số)
(config-router) #no auto-summary
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh)
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop))
(config-router) #redistribute rip metric 10000 100 255 1 1500 (quảng bá Rip vào EIGRP)
(config-router) #redistribute ospf (process ip) metric 10000 100 255 1 1500 (quảng bá OSPF vào EIGRP)
(config-router) #redistribute static (quảng bá tuyến default route)
(config-if) #ip summary-address eigrp (số AS:1,2,10…) (địa chỉ IP mạng) (subnetmask) (cấu hình tại cổng muốn quảng bá tuyến summary)

Cấu hình Authentication(xác thực) cho EIGRP :

*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !

Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)

Gán key vào cổng kết nối:

(config) #interface (tên cổng (fa/se))
(router-if) #ip authentication key-chain eigrp (số AS:1,2,10…) (tên key chain đã tạo)

Mã hóa dạng MD5:

(router-if) #ip authenrication mode eigrp (số AS:1,2,10…) md5

Note: Khi cấu hình EIGRP: thông số AS, các giá trị K, thời gian hold timer trên các con router chạy EIGRP phải giống nhau.

Cấu hình chạy OSPF :

(config) #router ospf (process-id)
(config-router) #network (địa chỉ IP mạng) (wildcard-mask=255.255.255.255 – subnetmask) area (area id)
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop)
(config-router) #redistribute rip subnets (quảng bá Rip vào OSPF)
(config-router) #redistribute eigrp (số) subnets (quảng bá EIGRP vào OSPF)
(config-router) #default-information originate (quảng bá tuyến default route)

Cấu hình bầu bán DR và BDR (Designated Router-Backup Designated Router) :

*Chú ý :Chỉ có trong mạng MultiAccess (kết nối cổng fastethernet) các Router chạy OSPF mới có cấu hình này ! 

Cách 1: Priority (Priovity cao nhất sẽ là DR,tiếp theo là BDR (Default=1, 0 -> 255))

(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf priovity (0-255)

Cách 2: Router ID (Router ID cao nhất sẽ là DR)

(config) #router ospf (process id)
(config-router) #router-id (địa chỉ IP cổng Fa)

*Chú ý :Sau khi cấu hình bầu bán DR và BDR xong cần cấu hình lệnh dưới đây để thiết lập lại :

#clear ip ospf process
Reset ALL OSPF processes? [no]:y (chọn yes để hoàn tất)

-Cấu hình Authentication(xác thực) cho OSPF :

Cách 1 : Không có mã hóa 

(config) #router ospf (process id)
(config-router) #area (area id) authentication (kích hoạt trên Router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf authentication-key (số key) (password)

Cách 2 : Có mã hóa MD5

(config) #router ospf (process id)
(config-router) #area (area id) authentication message-digest (kích hoạt trên router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf message-degest-key (số key) md5 (level 0-7) (password)

Nguồn : http://www.zam.vn/showthread.php?2392-Tong-hop-cau-hinh-Giao-Thuc-RIPV1-RIPV2-EIGRP-OSPF-tren-Router
Người đăng: vào lúc Không có nhận xét nào:

Các giao thức định tuyến được đề cập trong chương trình CCNA


Routing là một chủ đề lớn trong chương trình CCNA, chiếm một tỉ lệ quan trọng trong chương trình. Nắm vững các kỹ thuật định tuyến trong chương trình sẽ giúp các bạn tăng cường khả năng làm việc thực tế cũng như vượt qua được kỳ thi lấy chứng chỉ quốc tế CCNA của Cisco. Bài viết này xin được hệ thống lại các kỹ thuật định tuyến đã được đề cập đến trong chương trình CCNA.

Đầu tiên, mời các bạn xem qua sơ đồ tổng quan về các hiện thực Routing trên router Cisco:

[Hình: hinh1.JPG]

Hình 1 – Tổng quan về các kỹ thuật định tuyến.

Như vậy, từ hình 1, ta có một vài phân tích như sau:

Kỹ thuật routing nói chung được chia thành hai nhánh chính: định tuyến tĩnh (static route) và định tuyến động (dynamic route).
- Static route là kỹ thuật mà người quản trị phải tự tay khai báo các route trên các router. Kỹ thuật này đơn giản, dễ thực hiện, ít hao tốn tài nguyên mạng và CPU xử lý trên router (do không phải trao đổi thông tin định tuyến và không phải tính toán định tuyến). Tuy nhiên kỹ thuật này không hội tụ với các thay đổi diễn ra trên mạng và không thích hợp với những mạng có quy mô lớn (khi đó số lượng route quá lớn, không thể khai báo tay được) .
- Với dynamic route, các router sẽ trao đổi thông tin định tuyến với nhau. Từ thông tin nhận được, mỗi router sẽ thực hiện tính toán định tuyến từ đó xây dựng bảng định tuyến gồm các đường đi tối ưu nhất đến mọi điểm trong hệ thống mạng. Với Dynamic route, các router phải chạy các giao thức định tuyến (routing protocol).
Dynamic route lại tiếp tục chia thành hai trường phái: các giao thức định tuyến ngoài – Exterior Gateway Protocol (EGP) và các giao thức định tuyến trong - Interior Gateway Protocol (IGP).
- Các giao thức định tuyến ngoài (EGP) với giao thức tiêu biểu là BGP (Border Gateway Protocol) là loại giao thức được dùng để chạy giữa các router thuộc các AS khác nhau, phục vụ cho việc trao đổi thông tin định tuyến giữa các AS. AS – Autonomous System – tạm dịch là Hệ tự trị là tập hợp các router thuộc cùng một sự quản lý về kỹ thuật và sở hữu của một doanh nghiệp nào đó, cùng chịu chung một chính sách về định tuyến. Các AS thường là các ISP. Như vậy định tuyến ngoài thường được dùng cho mạng Internet toàn cầu, trao đổi số lượng thông tin định tuyến rất lớn giữa các ISP với nhau và hình thức định tuyến mang nặng hình thức chính sách (policy). Loại giao thức này không được đề cập tới trong chương trình thi quốc tế CCNA cũng như trong chương trình học CCNA. Bắt đầu từ khóa học Route của chương trình CCNP, các bạn học viên sẽ được học loại giao thức này.
- Các giao thức định tuyến trong (IGP) gồm các giao thức tiêu biểu như RIP, OSPF, EIGRP. Trong đó, RIP và OSPF là các giao thức chuẩn quốc tế, còn EIGRP là giao thức của Cisco, chỉ chạy trên thiết bị Cisco. IGP là loại giao thức định tuyến chạy giữa các router nằm bên trong một AS. Cả ba giao thức IGP mới kể trên đều được giới thiệu trong chương trình CCNA.
[Hình: hinh2.JPG]
Hình 2 – IGP và EGP.

Với các IGP, chúng lại tiếp tục được chia thành nhiều nhánh khác nhau:
- Nếu chia ba, các giao thức IGP có tổng cộng 03 loại: Distance – vector, Link – state và Hybrid.
+ Distance – vector: mỗi router sẽ gửi cho láng giềng của nó toàn bộ bảng định tuyến theo định kỳ. Giao thức tiêu biểu của hình thức này là giao thức RIP. Đặc thù của loại hình định tuyến này là có khả năng bị loop nên cần một bộ các quy tắc chống loop khá phong phú. Các quy tắc chống loop có thể làm chậm tốc độ hội tụ của giao thức.
+ Link – state: với loại giao thức này, môi router sẽ gửi bảng cơ sở dữ liệu trạng thái đường link (LSDB – Link State Database) cho mọi router cùng vùng (area). Việc tính toán định tuyến được thực hiện bằng giải thuật Dijkstra.
+ Hybrid: tiêu biểu là giao thức EIGRP của Cisco. Loại giao thức này kết hợp các đặc điểm của hai loại trên. Tuy nhiên, thực chất thì EIGRP vẫn là giao thức loại Distance – vector nhưng đã được cải tiến thêm để tăng tốc độ hội tụ và quy mô hoạt động nên còn được gọi là Advanced distance vector.
- Nếu chia hai, ta có thể chia các giao thức IGP thành hai loại:
+ Các giao thức classful: router sẽ không gửi kèm theo subnet – mask trong bản tin định tuyến của mình. Từ đó các giao thức classful không hỗ trợ các sơ đồ VLSM và mạng gián đoạn (discontiguos network). Giao thức tiêu biểu là RIPv1 (trước đây còn có thêm cả IGRP nhưng hiện giờ giao thức này đã được gỡ bỏ trên các IOS mới của Cisco).
+ Các giao thức classless: ngược với classful, router có gửi kèm theo subnet – mask trong bản tin định tuyến. Từ đó các giao thức classless có hỗ trợ các sơ đồ VLSM và mạng gián đoạn (discontiguos network). Các giao thức classless: RIPv2, OSPF, EIGRP.
Người đăng: vào lúc Không có nhận xét nào:

Kỹ thuật định tuyến tĩnh (static route)


Bài viết trước đã review một cách tổng quan về các giao thức định tuyến được đề cập tới trong chương trình CCNA. Trong bài viết này, chúng ta sẽ cùng nhau review lại kỹ thuật định tuyến tĩnh (static route) của học phần ICND – 1 của chương trình CCNA.
Như chúng ta đã biết, router thực hiện việc định tuyến dựa vào một công cụ gọi là bảng định tuyến (routing table). Nguyên tắc là mọi gói tin IP khi đi đến router sẽ đều được tra bảng định tuyến, nếu đích đến của gói tin thuộc về một entry có trong bảng định tuyến thì gói tin sẽ được chuyển đi tiếp, nếu không, gói tin sẽ bị loại bỏ. Bảng định tuyến trên router thể hiện ra rằng router biết được hiện nay có những subnet nào đang tồn tại trên mạng mà nó tham gia và muốn đến được những subnet ấy thì phải đi theo đường nào.
Để hiểu rõ vấn đề, ta cùng xem xét ví dụ 1:

[Hình: So%252520do%252520vi%252520du%2525201.JPG]
Hình 1 – Sơ đồ ví dụ 1.

Trên hình 1 là hai router đại diện cho hai chi nhánh khác nhau của một doanh nghiệp : R1 cho chi nhánh 1 và R2 cho chi nhánh 2. R1 sử dụng cổng f0/0 của nó đấu xuống mạng LAN của chi nhánh 1, mạng này sử dụng subnet 192.168.1.0/24. Tương tự, R2 sử dụng cổng f0/0 của nó đấu xuống mạng LAN của chi nhánh 2, mạng này sử dụng subnet 192.168.2.0/24. Subnet sử dụng cho kết nối leased – line nối giữa hai chi nhánh (qua các cổng serial của hai router) là 192.168.12.0/30.
Mặc định ban đầu, khi ta chưa cấu hình định tuyến trên các router R1 và R2 thì hai mạng LAN của hai chi nhánh R1 và R2 chưa thể đi đến nhau được (tức là, nếu lấy một PC trong LAN 1, chẳng hạn như PC1 ping thử đến một PC trong LAN 2, ví dụ PC4, ping sẽ không thành công). Lý do của điều này là các router R1 và R2 chưa có thông tin về các mạng LAN của nhau trong bảng định tuyến do đó không thể chuyển gói tin đi đến các mạng LAN này. Ta kiểm tra bằng cách hiển thị bảng định tuyến trên các router R1 và R2. Câu lệnh để hiển thị bảng định tuyến trên router là ‘show ip route’ :

Bảng định tuyến của R1:

R1#show ip route
(đã bỏ bớt một số dòng)
Gateway of last resort is not set
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0

Bảng định tuyến của R2:

R2#show ip route
(đã bỏ bớt một số dòng)
Gateway of last resort is not set
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0

Từ kết quả hiển thị, ta thấy rằng mỗi router ban đầu chỉ học được thông tin về những subnet kết nối trực tiếp với nó. Ví dụ: router R1 biết rằng có mạng 192.168.12.0/30 kết nối trực tiếp vào cổng serial 2/0 và mạng 192.168.1.0/24 kết nối trực tiếp vào cổng fast ethernet 0/0 của nó. Các router hoàn toàn không có thông tin gì về các subnet ở xa, không kết nối trực tiếp với mình. Do đó, giả sử PC1 muốn ping PC4, nó sẽ đóng gói một gói tin IP ICMP với địa chỉ nguồn là 192.168.1.1 và đích đến là 192.168.2.2. Khi gói tin này đi lên đến router R1, R1 tra bảng định tuyến thấy rằng đích đến 192.168.2.2 không thuộc về bất kỳ subnet nào mà R1 có trong bảng định tuyến nên nó drop bỏ gói tin này.
Vậy để hai mạng 192.168.1.0/24 và 192.168.2.0/24 có thể đi đến nhau được, các router phải điền được thông tin về hai mạng này vào trong bảng định tuyến của mình. Có hai cách thức để thực hiện điều đó: một là người quản trị tự điền tay các thông tin – định tuyến tĩnh, hai là các router tự trao đổi thông tin định tuyến với nhau và tự điền các thông tin còn thiếu vào bảng định tuyến của mình – định tuyến động. Ở đây ta khảo sát cách thực hiện là định tuyến tĩnh.
Việc cấu hình định tuyến tĩnh trên router Cisco được thực hiện bằng cách sử dụng lệnh có cú pháp như sau:

Router(config)#ip route destination_subnet subnetmask {IP_next_hop | output_interface} [AD]

Trong đó:

destination_subnet: mạng đích đến.
subnetmask: subnet – mask của mạng đích.
IP_next_hop: địa chỉ IP của trạm kế tiếp trên đường đi.
output_interface: cổng ra trên router.
AD: chỉ số AD của route khai báo, sử dụng trong trường hợp có cấu hình dự phòng.

Cụ thể trong ví dụ này:
Từ R1 muốn đi đến mạng 192.168.2.0/24 , ta phải đi ra khỏi cổng s2/0. Để thể hiện điều đó vào bảng định tuyến, ta thực hiện cấu hình:
R1(config)#ip route 192.168.2.0 255.255.255.0 s2/0

Tương tự, Từ R2 muốn đi đến mạng 192.168.1.0/24 , ta phải đi ra khỏi cổng s2/0. Cấu hình:
R2(config)#ip route 192.168.1.0 255.255.255.0 s2/0

Sau khi đã cấu hình xong các route cho các mạng 192.168.1.0/24 và 192.168.2.0/24, ta thực hiện kiểm tra bằng cách hiển thị bảng định tuyến trên mỗi router:
Bảng định tuyến của R1:

R1#show ip route
(đã bỏ bớt một số dòng)
Gateway of last resort is not set
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, Serial2/0

Bảng định tuyến của R2:
R2#show ip route
(đã bỏ bớt một số dòng)
Gateway of last resort is not set
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
S 192.168.1.0/24 is directly connected, Serial2/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0

Ta thấy rằng các thông tin còn thiếu trước đây đã xuất hiện trên bảng định tuyến của các router R1 và R2. Các entry mới điền thêm này được ký hiện bởi kí tự “S” ở đầu dòng thể hiện rằng các thông tin định tuyến này được học vào bảng định tuyến thông qua định tuyến tĩnh ( ta cũng để ý rằng các dòng mô tả các mạng kết nối trực tiếp được ký hiệu bởi kí tự “C” – connected – kết nối trực tiếp).
Khi các PC đã chỉ default – gateway đầy đủ lên các cổng đấu nối của các router, ping kiểm tra giữa các PC thuộc hai mạng LAN sẽ thành công:
[Hình: PC1%252520ping%252520PC4.JPG]
Hình 2 – Ping kiểm tra giữa PC1 và PC4 từ PC1.

Bên cạnh việc chỉ đường bằng cổng ra (output interface), ta cũng có thể chỉ đường trong câu lệnh bằng địa chỉ IP next – hop, đây chính là địa chỉ IP của trạm kế tiếp trên đường đi đến mạng đích.

Trên R1:
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.2
Trên R2:
R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1

Như ta đã thấy trên hình 1, từ R1 muốn đi đến mạng 192.168.2.0/24 thì phải đi qua trạm kế tiếp là R2 có địa chỉ IP là 192.168.12.2 và từ R2 muốn đi đến mạng 192.168.1.0/24 thì phải đi qua trạm kế tiếp là R1 có địa chỉ IP là 192.168.12.1.
Hai kiểu cấu hình này có tác dụng như nhau, điểm khác biệt là route static được khai báo theo kiểu output – interface sẽ có AD = 0 còn route static được khai báo theo kiểu IP next – hop sẽ có AD = 1. Ngoài ra nếu cổng ra là một cổng multi – access thì ta nên sử dụng kiểu khai báo IP next – hop (vấn đề này sẽ được đề cập và giải thích chi tiết trong một bài viết khác).

Ví dụ trên đây đã mô tả một cách cơ bản nhất cách khai báo static route trên các router. Tiếp theo, ta cùng khảo sát một ví dụ khác phức tạp hơn, sơ đồ lần này sẽ có 03 router.

[Hình: 15.JPG]
Hình 3 – Sơ đồ ví dụ 2.

Yêu cầu đặt ra là cấu hình định tuyến tĩnh trên các router đảm bảo cho mọi địa chỉ trên sơ đồ thấy nhau.
Tương tự như ví dụ 1, trên mỗi router ta sẽ thực hiện điền thông tin về các subnet không kết nối trực tiếp vào bảng định tuyến của mỗi router sử dụng câu lệnh câu hình static route:

Trên R1:
R1(config)#ip route 192.168.2.0 255.255.255.0 s2/0
R1(config)#ip route 192.168.23.0 255.255.255.0 s2/0
R1(config)#ip route 192.168.3.0 255.255.255.0 s2/0

Trên R2:
R2(config)#ip route 192.168.1.0 255.255.255.0 s2/0
R2(config)#ip route 192.168.3.0 255.255.255.0 s2/1

Trên R3:
R1(config)#ip route 192.168.1.0 255.255.255.0 s2/1
R1(config)#ip route 192.168.12.0 255.255.255.0 s2/1
R1(config)#ip route 192.168.2.0 255.255.255.0 s2/1

Lưu ý rằng chúng ta phải điền đầy đủ thông tin định tuyến trên tất cả các router, vì nếu như chỉ cần một router nào đó trên đường đi của gói tin bị thiếu route, gói tin sẽ bị drop giữa đường. Chẳng hạn, giả sử ta quên cấu hình chỉ đường đi đến mạng 192.168.3.0/24 trên R2. Gói tin xuất phát từ mạng 192.168.1.0/24 đi đến mạng 192.168.3.0/24 khi đi đến R1 sẽ được chuyển tiếp qua cổng s2/0 để đi tiếp (vì điều này đã được chỉ ra trong cấu hình định tuyến tĩnh của R1), tuy nhiên khi đi đến R2 nó sẽ bị drop bỏ vì R2 thiếu thông tin của mạng 192.168.3.0/24.
Ta cùng xem xét tiếp ví dụ thứ 3 về cấu hình đường dự phòng trong đó có sử dụng đến tham số AD trong câu lệnh cấu hình.

[Hình: 16.JPG]
Hình 4 – Sơ đồ ví dụ 3.

Lần này yêu cầu đặt ra như sau: cấu hình định tuyến tĩnh đảm bảo R1 đi đến LAN 2 của R2 theo đường đi ra cổng s2/0 là chính, đường s2/1 là dự phòng, ngược lại, R2 lại đi đến LAN 1 của R1 theo đường đi ra cổng s2/1 là chính, đường s2/0 là dự phòng. Có nghĩa là, R1 khi chuyển gói tin đi LAN 2 của R2 luôn sử dụng cổng ra là s2/0, khi cổng s2/0 này down thì tự động chuyển đường qua s2/1, khi cổng s2/0 up lại, lại chuyển về sử dụng cổng s2/0. Tương tự với R2.
Để thực hiện yêu cầu này, chúng ta sử dụng tham số AD trong câu lệnh cấu hình định tuyến tĩnh. Như đã nói, static route có thể có hai chỉ số AD là 0 (khi cấu hình chỉ cổng ra) và 1 (khi cấu hình chỉ next – hop). Ta có thể thay đổi các giá trị mặc định này để phục vụ cho việc cấu hình dự phòng.
Nhắc lại rằng AD dùng để so sánh độ ưu tiên giữa các route. Khi tồn tại nhiều đường đi đến cùng một đích đến, đường đi nào có chỉ số AD nhỏ hơn, đường đi đó sẽ được đưa vào bảng định tuyến để sử dụng, những đường còn lại có AD cao hơn sẽ được dùng để dự phòng cho đường chính thức. Do đó ta chỉ việc chọn AD nhỏ hơn (ví dụ là 5) cho đường chính và chọn AD lớn hơn (ví dụ là 10) cho đường phụ.

Cấu hình trên R1:
R1(config)#ip route 192.168.2.0 255.255.255.0 Serial2/0 5
R1(config)#ip route 192.168.2.0 255.255.255.0 Serial2/1 10

Cấu hình trên R2:
R2(config)#ip route 192.168.1.0 255.255.255.0 Serial2/1 5
R2(config)#ip route 192.168.1.0 255.255.255.0 Serial2/0 10

Ta thực hiện kiểm tra kết quả cấu hình trên R1:
Đầu tiên, ta hiển thị bảng định tuyến để xem đường nào đã được đưa vào bảng:

R1#show ip route
(đã bỏ bớt một số dòng)
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
192.168.21.0/30 is subnetted, 1 subnets
C 192.168.21.0 is directly connected, Serial2/1
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, Serial2/0

Ta thấy đường được đưa vào bảng định tuyến để sử dụng có cổng ra là s2/0 đúng như yêu cầu.
Tiếp theo ta thử tính dự phòng bằng cách shutdown cổng s2/0 của R1:

R1(config)#interface s2/0
R1(config-if)#shutdown
R1(config-if)#
*Mar 1 00:15:48.971: %LINK-5-CHANGED: Interface Serial2/0, changed state to administratively down
*Mar 1 00:15:49.971: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to down

Đường chính đã không còn, ta hiển thị lại bảng định tuyến để chắc chắn rằng đường phụ (đi ra cổng s2/1) đã được đưa vào bảng định tuyến:

R1#show ip route
(đã bỏ bớt một số dòng)
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
192.168.21.0/30 is subnetted, 1 subnets
C 192.168.21.0 is directly connected, Serial2/1
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, Serial2/1

Ta thực hiện mở lại cổng s2/0 và kiểm tra rằng đường đi qua cổng này lại được đưa lại vào bảng định tuyến để sử dụng:

R1(config)#interface s2/0
R1(config-if)#no shutdown
R1(config-if)#
*Mar 1 00:19:36.767: %LINK-3-UPDOWN: Interface Serial2/0, changed state to up
R1(config-if)#
*Mar 1 00:19:37.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

R1#show ip route
(đã bỏ bớt một số dòng)
192.168.12.0/30 is subnetted, 1 subnets
C 192.168.12.0 is directly connected, Serial2/0
192.168.21.0/30 is subnetted, 1 subnets
C 192.168.21.0 is directly connected, Serial2/1
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 is directly connected, Serial2/0
R1#

Thực hiện kiểm tra tương tự trên R2.

Nhìn chung, định tuyến tĩnh có ưu điểm là khá dễ hiểu và cũng dễ cấu hình. Thêm nữa, định tuyến tĩnh còn có một ưu điểm khác là không gây hao tốn tài nguyên mạng do không có sự trao đổi thông tin định tuyến giữa các router. Tuy nhiên nhược điểm của định tuyến tĩnh là hoàn toàn không thích hợp với những mạng có quy mô lớn (ta không thể cấu hình tay khai báo các route khi số lượng lên đến hàng trăm được!) và không hội tụ với mọi sự thay đổi trên sơ đồ mạng khi mà cổng ra vẫn ở trạng thái up/up. Để khắc phục các nhược điểm này, chúng ta phải sử dụng định tuyến động bằng cách chạy một giao thức định tuyến nào đó. Các giao thức định tuyến cụ thể trong chương trình CCNA sẽ được review trong các bài viết tiếp theo.
Người đăng: vào lúc Không có nhận xét nào:

ACL - ý nghĩa và cách tính IP và Wildcard


I. Cisco sử dụng ACL như thế nào:
  • ACL - Access-Control List (tui chỉ đề cập tới IP ACL, trừ khi có chỉ định rõ ràng - vì các cái khác có xài nhưng ko rành, lâu quá rồi )
  • Mục tiêu sử dụng:
    • ACL được sử dụng cho lưu thông Layer 3 (routable traffic)
    • ACL dùng để xác định các gói tin lưu chuyển vào/ra trên các giao diện router, kết quả sau khi xác định (lọc) có thể sử dụng vào nhiều mục đích khác nhau, như:
      • Xử lý với các chính sách an ninh (xác thực, firewall, VPN)
      • Xử lý với các chính sách định tuyến (destination-/source-based routing)
      • Xử lý với các chính sách NAT/PAT
      • ...
  • Cách thức áp dụng
    • Trong một ACL, các mục kê được đối chiếu tuần tự từ trên xuống, khi đã có một mục có điều kiện khớp (match) với nội dung gói tin thì các mục sau đó được bỏ qua. Nếu không có điều kiện nào khớp, giá trị ngầm định sẽ được áp dụng.
    • Thông thường, trong một ACL, giá trị ngầm định là DENY (có thiết bị như Juniper Netscreen cho phép thay đổi giá trị mặc định toàn cục). Khi muốn tránh áp dụng giá trị ngầm định này, ta phải khai báo luật rõ ràng cho các gói tin có thông số không khớp với các mục kê trên đó (vd: PERMIT ANY).
    • Ví dụ về các bước xử lý định tuyến gói tin với ACL có thể thấy trong hình sau:


  • Cách định danh ACL (ai cũng biết )
    • IP: số 1-99 và 1300-1999 (Standard), 100-199 và 2000-2699 (Extended), và chuỗi ký tự tên (từ IOS 11.2)
    • IPX: số 800-899 (Standard), 1000-1099 (SAP filter)
    • AppleTalk: số 600-699
  • Các loại IP ACL
    • IP ACL của Cisco có 2 loại: Standard và Extended
    • Standard chỉ có thông tin đơn giản về địa chỉ nguồn, sử dụng để lọc toàn bộ nhóm giao thức
    • Extended có nhiều thông tin (nguồn, đích, cổng, giao thức)
  • Mỗi giao diện chỉ có thể sử dụng một ACL duy nhất để lọc gói tin.

II. Ý nghĩa của IP và Wildcard trong IP ACL
  • IP và Wildcard được sử dụng để so sánh coi gói tin có phải đúng là đối tượng cần xác định không
  • Với Standard ACL, chỉ địa chỉ nguồn của gói tin được đem ra so sánh
  • Với Extended ACL, sẽ so sánh tất cả các thông tin khai báo trong mỗi đề mục của ACL
  • Địa chỉ IP (nguồn hoặc đích) của gói tin sẽ được đối sánh với nội dung tương ứng trong một mục kê của ACL theo cách:
    • IP tương ứng của đề mục trong ACL được cộng logic (OR) với Wildcard
    • IP của gói tin được cộng logic (OR) với Wildcard
    • Hai kết quả được so sánh, nếu trùng nhau phù hợp
      Ví dụ:
      • ACL: IP = 172.16.0.0; Wildcard = 0.15.255.255
      • Gói tin 1: IP = 172.17.1.100
      • OR #1 (ACE): 172.31.255.255 = OR #2: 172.31.255.255
      • Gói tin 2: IP = 172.32.1.100
      • OR #1 (ACE): 172.31.255.255 != OR #2: 172.47.255.255
  • Do kết quả của OR luôn bằng 1 khi bất kỳ giá trị nào trong số giá trị đầu vào bằng 1, thực chất việc đối sánh chỉ xảy ra với các bít trong Wildcard có giá trị bằng 0.

III. Cách tính IP và Wildcard cho ACL
  • Địa chỉ IP (v4) là một số nhị phân 32-bit, được chia thành 4 octets: mỗi octet 8 bit
  • Tìm IP và Wildcard để đưa vào ACE, thực chất là tìm các giá trị bít chuẩn cần SO SÁNH TRÙNG KHỚP với giá trị thực của gói tin (trong IP) và vị trí thực hiện so sánh tương ứng (bit giá trị 0 trong Wildcard); và, điểm quan trọng nhất là tổ hợp IP & Wildcard phải đại diện được cho tất cả các địa chỉ IP cần đưa vào so sánh.
  • Tính địa chỉ IP cho ACE:
    • Mục tiêu: Kiếm các bít có giá trị giống nhau trong tất cả các địa chỉ IP cần lọc
    • Nhận xét: Phép toán nhân logic (AND) có phương thức tính phù hợp (toàn 0 -> 0; toàn 1 -> 1; còn lại -> 0)
    • Kết quả: Sử dụng phép toán AND để tính địa chỉ IP cho ACE từ các địa chỉ IP cần lọc
    • Ví dụ: cần lọc các địa chỉ 192.168.90.0/24, 172.31.4.0/24 -> AND từng octet -> IP=128.8.0.0
  • Tính Wildcard cho ACE:
    • Mục tiêu: Kiếm vị trí các bít cần đưa ra so sánh trùng khớp trong tất cả các địa chỉ IP cần lọc
    • Nguyên tắc:
      • Vị trí các bít cần so sánh trùng khớp là các bít giống y chang nhau trong tất cả các địa chỉ đầu vào
      • Vị trí bít nào cần so sánh thì xài bít 0 để thể hiện
      • Vị trí bít nào không cần so sánh thì xài bít 1
    • Nhận xét: Phép toán cộng có loại trừ logic (XOR) có phương thức tính GẦN phù hợp:
      • 1 XOR 1 và 0 XOR 0 đều = 0: các giá trị cần phải trùng khớp nhau XOR có giá trị 0
      • 0 XOR 1 và 1 XOR 0 đều = 1; các giá trị khác nhau XOR có giá trị 1 -> bỏ qua
    • XOR sửa đổi - có người gọi là XOR kiểu Mỹ 
      • Căn cứ vào Mục tiêu & Nguyên tắc lập Wildcard ở trên
      • Căn cứ vào kết quả không phù hợp của XOR trong các trường hợp:
        • Khi XOR các địa chỉ mạng, các bít cần bỏ qua lại có giá trị 0
          (Vd 192.168.90.0/24, 172.31.4.0/24 -> XOR từng octet -> IP=108.183.94.0
        • Khi XOR nhiều địa chỉ, các bít cần bỏ qua (vì khác nhau) cũng có thể có giá trị 0
          (Vd tạo Wildcard dựa trên các địa chỉ 192.168.0.0, 192.168.4.0, 192.168.32.0, 162.168.36.0. Chỉ tính octet thứ 3 có sự khác nhau:
          Code:
          0   => 0 0 0 0 0 0 0 0
4   => 0 0 0 0 0 1 0 0
32  => 0 0 1 0 0 0 0 0
36  => 0 0 1 0 0 1 0 0
----------------------
XOR => 0 0 0 0 0 0 0 0
          Kết quả không như mong muốn vì vị trí các bít màu đỏ cần phải bỏ qua: cần giá trị bít kết quả là 1.
      • Cách tính XOR kiểu Mỹ được thực hiện theo nguyên tắc:
        • Các bít chung không thuộc địa chỉ mạng (thuộc phần host), XOR giá trị là 1
        • Khi XOR nhiều giá trị, ở vị trí các bít có ít nhất một giá trị 0 và một giá trị 1, kết quả là 1
    • Kết quả: Sử dụng phép toán XOR (kiểu Mỹ) để tính Wildcard cho ACE từ các địa chỉ IP cần lọc
    • Ví dụ: cần lọc các địa chỉ 192.168.90.0/24, 172.31.4.0/24 -> XOR từng octet -> IP=108.183.94.255

IV. Phương pháp chỉnh sửa ACL có định danh số trên IOS (phụ thêm cho vui)

Vấn đề thường gặp là khi muốn chỉnh sửa ACL có định danh số (tạm viết tắt là ACL#) đã thiết lập sẽ dễ bị phải xóa toàn bộ ACLs đi và nhập lại từ đầu (lệnh no access-list <ACL#> ..., dù với phần ... cụ thể đến đâu cũng xóa toàn bộ ACL có định danh số này.
Cách thức rất đơn giản để chỉnh sửa một cách thuận lợi là:
  • Xem trình tự các mục kê của một ACL:
    Sử dụng lệnh show ip access-list <ACL#> để thấy đủ thông tin về ACL (bao gồm cả số thứ tự các mục kê, thử thì thấy )
  • Xóa bỏ/chèn thêm một mục kê vào giữa ACL hiện có:
    • Sử dụng lệnh ip access-list <standart|extended> <ACL#> để vào chế độ soạn thảo.
    • Nếu muốn xóa, sử dụng no [thứ tự] <nội dung mục kê cần xóa>
    • Nếu muốn chèn một lệnh vào giữa hai mục kê hiện có, sử dụng <thứ tự mới> <nội dung lệnh mới> với thứ tự mới là một số nằm giữa hai số thứ tự của các mục kê hiện thời.
  • Đánh số thứ tự lại cho ACL
    Nếu không có khoảng cách giữa hai số thứ tự để chèn mục kê mới, ta có thể đánh số thứ tự lại cho các mục kê hiện có của ACL bằng lệnh ip access-list resequence <ACL#> <bắt_đầu_từ> <bước_tăng>
Người đăng: vào lúc Không có nhận xét nào:
Đăng ký: Bài đăng (Atom)