Trang Chủ » Bộ chia mạng
Phân biệt giữa Router WiFi và Access Point WiFi
Hiện nay, sóng WiFi là điều quen thuộc và không thể thiếu đối với bất cứ ai. Và để có được chất lượng kết nối WiFi tốt, thì ta phải tìm hiểu về các khái niệm liên quan đến nó. Đầu tiên ta cần phân biệt một trong những khái niệm cơ bản nhất là Router WiFi và Access Point (AP) WiFi.
mô hình kết nối thiết bị
A. Một số đặc điểm của 2 loại thiết bị phát WiFi này:
1. Router WiFi:
• Có 2 loại cổng WAN và LAN, bạn sẽ nối cổng LAN của Router chính vào WAN của Router WiFi.
• Các thiết bị kết nối vào cổng LAN hoặc sóng WiFi sẽ nhận được địa chỉ IP do Router WiFi cấp.
• Các dữ liệu khi ra internet sẽ truyền về Router WiFi xử lý rồi mới được chuyển tiếp đến router chính, trước khi ra internet.
• Lớp mạng LAN của Router chính và của Router WiFi là khác nhau.
2. AP WiFi:
• Chỉ có 1 loại cổng là cổng LAN, bạn sẽ nối cổng LAN của Router chính vào WAN của AP WiFi.
• Các thiết bị kết nối vào cổng LAN hoặc sóng WiFi sẽ nhận được địa chỉ IP do Router chính cấp.
• Các dữ liệu khi ra internet sẽ truyền trực tiếp về Router chính xử lý và ra internet.
• Lớp mạng LAN của Router chính và của AP WiFi là một.
3. Ngoài ra, còn một số lưu ý như sau:
• Router WiFi có thể cấu hình để hoạt động như một AP WiFi, nhưng AP WiFi thì chỉ có thể làm AP WiFi mà thôi.
• Router WiFi có thể dùng để kết nối trực tiếp internet và phát WiFi đồng thời, nhưng AP WiFi thì phải dùng kèm với Router chính để có thể ra được internet.
• AP WiFi là thiết bị phát WiFi chuyên dụng nên sẽ có những tính năng mà Router WiFi không có. Ví dụ: Số lượng kết nối WiFi nhiều hơn, hỗ trợ nhiều sóng WiFi ảo, giới hạn băng thông trên các WiFi ảo đó…
B. Kết luận:
• Hy vọng thông qua bài viết ngắn này các bạn có thể nắm được nguyên tắc hoạt động của 2 loại thiết bị Router WiFi và AP WiFi.
• Mình sẽ không phân tích ưu nhược điểm của 2 loại thiết bị này, vì tùy vào nhu cầu sử dụng của bạn mà bạn lựa chọn thiết bị phù hợp. Chúc các bạn lựa chọn được thiết bị phù hợp với mình.
VPN site to site, client to site
Mạng riêng ảo VPN và những giá trị thiết thực
Mạng riêng ảo, hoặc gọi là Mạng nội bộ ảo, hay tên tiếng Anh là Virtual Private Network (VPN) là một mạng nội bộ để nối tât cả các máy tính, thiết bị mạng… trong một công ty, tổ chức lại với nhau, bất kể các thiết bị đó có ở cách xa nhau về mặt địa lý. Thông qua mạng riêng ảo, các mạng máy tính của các đơn vị thành viên trong doanh nghiệp có thể ghép lại với nhau, tạo thành một hệ thống mạng máy tính duy nhất, an toàn hiệu quả, chia sẽ được mọi dữ liệu tài nguyên và quản lý tập trung.
Doanh nghiệp nào nên sử dụng VPN?
Nếu bạn thuộc một trong hai trường hợp sau thì hãy nên lập kế hoạch để triển khai VPN luôn:
- Đối với các doanh nghiệp, tổ chức có nhiều chi nhánh ở cách xa nhau thì việc sử dụng VPN là hết sức cần thiết và an toàn. Ví dụ các đơn vị logistic, nhà máy, chuỗi nhà hàng/khách sạn, văn phòng đại diện…
- Đối với doanh nghiệp, tổ chức có nhân viên làm việc từ xa (chẳng hạn ở nhà), nhưng vẫn cần phải truy cập vào hệ thống máy tính trung tâm, tương tác với các nhân viên khác ở công ty thì bắt buộc phải sử dụng VPN. Ví dụ các đơn vị xây lắp, thiết kế nội thất, thi công công trình, kinh doanh bất động sản
Cân nhắc áp dụng hai hình thức triển khai VPN:
Mạng riêng ảo VPN có 2 dạng triển khai chính, tương ứng với 2 trường hợp sử dụng ở trên. Đó là
Site to Site: kết nối 2 văn phòng với nhau. Lúc này, mọi nhân viên, thiết bị ở cả 2 văn phòng có thể trao đổi mọi thông tin với nhau.
Client to Site: kết nối 1 văn phòng với 1 nhân viên. Lúc này, nhân viên, thiết bị ở văn phòng và nhân viên làm việc từ xa có thể trao đổi mọi thông tin với nhau
Một số thiết bị VPN
Có nhiều hãng cung cấp thiết bị phần cứng VPN, và cũng có nhiều phần mềm VPN khác nhau, có phí hoặc miễn phí:
Phần cứng: của Cisco, Draytek, Fortigate…
Phần mềm: chạy trên nền hệ điều hành Windows, Linux/Unix như pfSense, OpenVPN…
VPN site to site IPSEC
2.Yên cầu
Cấu hình VPN cho phép 2 LAN ở router danang và router quangnam liên lạc được với nhau.
3.Cấu hình:
- Cấu hình cơ bản trên các router
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
– Router danang: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
danang(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
– Router quangnam: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
quangnam(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
quangnam(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
b.Cấu hình VPN theo các bước sau:
Trên router danang
Bước1: Tạo Internet Key Exchange (IKE) key policy.
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
danang (config)#crypto isakmp policy 9
danang (config-isakmp)#hash md5 thuật toán hash
danang (config-isakmp)#encryption des thuật toán mã hoá
danang (config-isakmp)#group 2 số nhóm (version) Diffie-Hellman
danang (config-isakmp)#authentication pre-share Phương pháp chứng thực
Bước 2: Tạo shared key để sử dụng cho kết nối VPN
danang (config)#crypto isakmp key VPNKEY address 192.168.2.2 (ip của router quangnam) Xác định thông tin key và peer
Kết quả khi “ show crypto isakmp policy”:
Cấu hình IKE policy trên router danang
Bước3: Quy định lifetime
danang (config)#crypto ipsec security-association lifetime seconds 86400
Bước4: Cấu hình ACL dãy IP có thể VPN.
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
danang (config)#access-list 100 permit ip 30.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255
cho phép mạng lan danang vpn sang mạng lan quangnam
Bước 5: Define the transformations set that will be used for this VPN connection Cấu hình chính sách IPSec
danang (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac
chọn giao thức ESP để đóng gói dữ liệu
Bước 6: Tạo cypto-map cho các transform, setname
danang (config)#crypto map MAPNAME 10 ipsec-isakmp
danang (config-crypto-map)#set peer 192.168.2.2 (ip của router quangnam)
danang (config-crypto-map)#set transform-set danang ( setname ở bước 5)
danang (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
danang (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
Bước7: Đưa crypto map vào interface
danang (config)#inter f0/0
danang (config-if)#crypto map MAPNAME (mapname ở bước 6)
Trên router quangnam
Bước1: Tạo Internet Key Exchange (IKE) key policy.
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
quangnam (config)#crypto isakmp policy 9
quangnam (config-isakmp)#hash md5 thuật toán hash
quangnam (config-isakmp)#encryption des thuật toán mã hoá
quangnam (config-isakmp)#group 2 số nhóm (version) Diffie-Hellman
quangnam (config-isakmp)#authentication pre-share Phương pháp chứng thực
Bước 2: Tạo shared key để sử dụng cho kết nối VPN
quangnam (config)#crypto isakmp key VPNKEY address 192.168.1.1 (ip của router danang) Xác định thông tin key và peer
Bước3: Quy định lifetime
quangnam (config)#crypto ipsec security-association lifetime seconds 86400
Bước4: Cấu hình ACL dãy IP có thể VPN.
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
quangnam (config)#access-list 100 permit ip 10.0.0.0 0.0.0.255 30.0.0.0 0.0.0.255
cho phép mạng lan quangnam vpn sang mạng lan danang
Bước 5: Define the transformations set that will be used for this VPN connection Cấu hình chính sách IPSec
quangnam (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac
chọn giao thức ESP để đóng gói dữ liệu
Bước 6: Tạo cypto-map cho các transform, setname
quangnam (config)#crypto map MAPNAME 10 ipsec-isakmp
quangnam (config-crypto-map)#set peer 192.168.1.1 (ip của router danang)
quangnam (config-crypto-map)#set transform-set danang ( setname ở bước 5)
quangnam (config-crypto-map)#match address 100 (100 : acl-number ở bước 4 )
Bước7: Đưa crypto map vào interface
quangnam (config)#inter f0/0
quangnam (config-if)#crypto map MAPNAME (mapname ở bước 6)
VPN client to site IPSEC
Cấu hình VPN client-to-site trên router vpn:
1. Bật chứng thực AAA trên Router sử dụng phương thức chứng thực local
routervpn(config)#username hoa password 123 dùng đăng nhập vào router vpn
routervpn(config)#aaa new-model
routervpn(config)#aaa authentication login default local none
- Tạo IP pool cho VPN client sử dụng để kết nối VPN:
routervpn(config)#ip local pool vpnclient 172.16.1.20 172.16.1.40
cấp ip cho vpn client
- Cấu hình Group Authorization (nhóm thẩm định với VPN Server):
routervpn(config)#aaa authorization network vpnauth local
- Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)
routervpn(config)# crypto isakmp policy 10
routervpn(config-isakmp)#authentication pre-share
routervpn(config-isakmp)#encryption aes 256
routervpn(config-isakmp)#group 2
- Tạo ISAKMP group là ttggroup và password 1234:
routervpn(config)#crypto isakmp client configuration group ttggroup
routervpn(config-isakmp-group)#key 1234
routervpn(config-isakmp-group)#pool vpnclient (pool giong ten voi bc 2)
routervpn(config-isakmp-group)#netmask 255.255.255.0
- Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:
routervpn(config)# crypto ipsec transform-set key1 esp-3des esp-sha-hmac
- Tạo 1 Dynamic Crypto Map:
routervpn(config)#crypto dynamic-map mymap 10
routervpn(config-crypto-map)#set transform-set key1 ( giong ten voi bc 7)
routervpn(config-crypto-map)#reverse-route
routervpn(config)#crypto map mymap client configuration address respond
routervpn(config)#crypto map mymap isakmp authorization list vpnauth (giong bc 4)
routervpn(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap
- Cấu hình user chứng thực
routervpn(config)# aaa authentication login vpnauth local (giong bc 4)
routervpn(config)# username hoapro password 12345 tên đăng nhập cho client
routervpn(config)#crypto map mymap client authentication list vpnauth (giong bc 4,8)
routervpn(config)#int f0/1 gán lên cổng ra ngoài internet của router mới chạy được
routervpn(config-if)#crypto map mymap
10. Cài đặt VPN Client :
Thế này là kết nối thành công:
Lưu ý : Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client
Kiểm tra hoạt động VPN:
Code:
#show crypto isakmp sa
#show crypto ipsec sa
Cách tính địa chỉ IPv4 summary routes
Cách tính địa chỉ IPv4 summary routes
Phần bit giống nhau thành 1
Phần bít khác nhau thành 0
Bước 2. Đếm số bit bên trái giống nhau đó là / của mạng summary
Bước 2. Đếm số bit bên trái giống nhau đó là / của mạng summary
Đếm số bít giống nhau là 22 vậy /22
Bước 3. Xác định Subnet Mask bằng cách tính phần netiD
111111 = 252 vậy 255.255.252.0
Dữ nguyên phần bít giống nhau, cho số bít còn lại của phần host = 0 rồi đổi ra nhị phân sẽ là địa chỉ mạng của tuyến tổng hợp
Dữ nguyên phần bít giống nhau, cho số bít còn lại của phần host = 0 rồi đổi ra nhị phân sẽ là địa chỉ mạng của tuyến tổng hợp
192.168.00000100 = 192.168.4.0
Vậy
Ip: 192.168.4.0/22
Sub mask: 255.255.252.0
Bài lab
y/c: cấu hình summary mục đích làm gọn bảng định tuyến ở R2
trước khi summary R1 sẽ có 1 đường mạng
R2 sẽ có 4 đường mạng.
Sau Khi R2 chỉ còn 1 đường mạng eigrp
Bc1:
R1(config)#router eigrp 1
R1(config-router)#network 192.168.4.0
R1(config-router)#network 192.168.5.0
R1(config-router)#network 192.168.6.0
R1(config-router)#network 192.168.7.0
R1(config-router)#network 192.168.1.0
R2(config)#router eigrp 1
R2(config-router)#network 192.168.1.0
R2(config-router)#network 10.0.0.0
Bc2:
R1(config)#int f0/0
R1(config-if)#ip summary-address eigrp 1 192.168.4.0 255.255.252.0
Vào kiểm tra trên 2 router
Router#sh ip eigrp neighbors
Router#sh ip eigrp topology
Router#sh ip route eigrp
Backup IOS Router, backup cấu hình Router
Backup IOS Router, backup cấu hình Router
Backup IOS Router, backup cấu hình Router
Có rất nhiều cách backup và Restore cấu hình cho thiết bị cisco. Ở đây chỉ trình bày cách backup và restore sử dụng giao thức tftp.
Cách 1: khi ios đã chạy ngon rồi giờ muốn sao lưu để đề phòng sự cố xảy ra
*****Các bước thực hiện*****
*****Các bước thực hiện*****
1) Nối máy tính với interface fasthethernet của router chú ý là nên dùng cổng f0/0. Đặt địa chỉ ip sao cho máy tính ping thấy interface fastethernet của router.
2) Trên máy tính chạy chương trình tftp server.
3) Đặt IP cho server TFTP và cho Router
4) Xem và copy tên file IOS trong Flash bằng lệnh
Router# Show flash: or Router#dir flash:
System flash directory:
File Length Name/status
3 33591768 c1841-advipservicesk9-mz.124-15.T1.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[33847587 bytes used, 30168797 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write
5) Để backup file cấu hình từ bộ nhớ NVRAM của router ra tftp server ta dùng lệnh:
Router#copy startup-config tftp:
Router#copy startup-config tftp:
6) Để backup file cấu hình từ bộ nhớ RAM của router ra tftp server ta dùng lệnh:
Router#copy running-config tftp:
Router#copy running-config tftp:
7) Để backup file image từ bộ nhớ flash của router ra tftp server ta dùng lệnh:
Router#copy flash: tftp:
Router#copy flash: tftp:
8) Để Upgrade file cấu hình từ tftp server vào bộ nhớ NVRAM của router ta dùng lệnh: (chuẩn bị file cấu hình trên tftp server trước)
Router#copy tftp: startup-config
Router#copy tftp: startup-config
9) Để Upgrade file cấu hình từ tftp server vào bộ nhớ RAM của router ta dùng lệnh: (chuẩn bị file cấu hình trên tftp server trước)
Router#copy tftp: running-config
Router#copy tftp: running-config
10) Để Upgrade file image từ tftp server vào bộ nhớ flash của router dùng lệnh: (chuẩn bị file IOS image trên tftp server trước)
Router#copy flash: tftp:
Router#copy flash: tftp:
Xem thêm: https://www.youtube.com/watch?v=BNtbAxfT674
Cách 2: Khi ios bị hỏng or mất và Router của bạn bị load vào chế độ ROM (ROMMON)
*****Các bước thực hiện*****
*****Các bước thực hiện*****
Đầu tiên khi xảy ra sự cố chúng ta vào kiểm tra ios bằng lệnh:
Router# Show flash: or Router#dir flash:
Dùng ROMMON TFTP chỉ có thể nạp file cho router, không thể lấy file từ router.
rommon 1>tftpdnld ?
Đặt lại các biến này bằng cách gán giá trị trực tiếp trên dòng lệnh:
rommon 2 > IP_ADDRESS=192.168.1.1 ¬ địa chỉ IP cho port trên Routerrommon 3 > IP_SUBNET_MASK=255.255.255.0 ¬ subnet mask
rommon 4 > DEFAULT_GATEWAY=192.168.1.2 ¬ default gateway của con server tftp
rommon 5 > TFTP_SERVER=192.168.1.2 ¬ Địa chỉ TFTP serverrommon 6 > TFTP_FILE=c2600-is-mz.113-2.0.2.bin ¬ tên file đăng lưu trên TFTP server cần upload vào Router
rommon 4 > DEFAULT_GATEWAY=192.168.1.2 ¬ default gateway của con server tftp
rommon 5 > TFTP_SERVER=192.168.1.2 ¬ Địa chỉ TFTP serverrommon 6 > TFTP_FILE=c2600-is-mz.113-2.0.2.bin ¬ tên file đăng lưu trên TFTP server cần upload vào Router
rommon 7 > tftpdnld
Giao Thức Dự Phòng Spanning Tree Protocol, E-Channel
I.Giao thức Spanning Tree Protocol
(giao thức độc quyền của cisco)
- Trong môi trường layer 2: Thì không có giao thức định tuyến được sử dụng
- Thay vào đó, một số dạng của bridge cung cấp sự vận chuyển data giữa hai network hay giữa switch port. Giao thức spanning tree protocol cung cấp link dự phòng nên network của swicth layer 2 có thể phục hồi những sự cố mà không cần sự can thiệp một cách kịp thời.
- Swicth layer 2 giống chức năng trong suốt (transparent) của bridge. Một bridge trong suốt phải cung cấp những tính năng sau:
Bridge không có kiến thức khởi tạo của thiết bị bất kì nào vì thế nó phải “lắng nghe” khi frame đến cổng của nó và tính toán xem nó thuộc network nào. Sau đó bridge sẽ xây dựng một bảng liên quan giữa địa chỉ MAC nguồn với port của bridge nơi mà frame được tìm thấy.
Bridge luôn luôn update khi nó phát hiện ra địa chỉ MAC mới hay có sự thay đổi địa chỉ MAC từ port này sang port khác. Nó chuyển tiếp frame bằng cách nhìn vào địa chỉ MAC đích trong bảng của bridge.
Để tìm hiểu về bridging loop(gây nghẽn mạng treo switch) chúng ta xét ví dụ sau:
Mô hình không có link dự phòng
Ở hình trên ta thấy đây là một phần của hệ thống mạng của chúng ta. Các port của switch có chức năng như là bridge chuyển tiếp frame với thiết bị đầu cuối. Nhưng trong mô hình trên thì ta nhận thấy rằng chúng không có đường dự phòng nên khi đường link đến switch bị sư cố thì hệ thống sẽ không hoạt động được. Để thêm vào tính dự phòng cho hệ thống ta có thể thêm vào một đường link như hình dưới đây.
Ta xét ví dụ sau:
PC-1 gửi frame cho PC-4 nhưng switch không biết gì về PC-1 hay PC-4. Lúc này PC-1 sẽ gửi frame đến sw1 qua port f0/3. Sw1 nhận frame (lúc này địa chỉ mac và port f0/3 của pc-1 được ghi vào bảng mac của sw1) và đẩy ra tất cả các cổng f0/1,f0/2,f0/4 còn lại trừ cổng frame đi vào.
Sw2 nhận cùng một frame (có thông tin giống nhau) ở cả 2 port f0/1 và f0/2
ở cổng f0/1 gói tin đi vào và đẩy ra tất cả các cổng còn lại kể cả cổng f0/12 ở
ở cổng f0/2 gói tin đi vào và đẩy ra tất cả các cổng còn lại kể cả cổng f0/2 -> mỗi lần như vậy sw lại cập nhật lại địa mac và số cổng làm cho frame chạy lòng vòng
Quá trình chuyển frame xung quanh giữa hai switch được gọi là bridging loop. Không có gì có thể ngăn chặn quá trình chuyển tiếp frame. Việc gì sẽ xảy ra nếu PC-1 gửi broadcast, sẽ xuất hiện bão broadcast trong hệ thống và sẽ lặp lại mãi mãi cho đến khi một trong hai switch bị ngắt kết nối.
Quá trình bão broacast có thể làm cho hệ thống của bạn không thể hoạt động được. Vì thế việc ngăn chặn nó là một vấn đề quan trọng cần phải chú ý khi thiết kế hệ thống. Spanning tree protocol được vận dụng trong trường hợp này để tránh bão broadcast bằng cách nó đặt những đường link dự phòng ở chế độ block để ngăn chặn việc chuyển tiếp frame. Nếu active link bị sự cố thì nó sẽ tính toán lại và những đường link bị block ấy có thể active lại. Bây giờ, chúng ta sẽ tìm hiểu về Spanning tree protocol:
STP sử dụng thuật toán Spanning-Tree để chọn một switch đóng vai trò làm Root Bridge trong mô hình hệ thống có dự phòng.
Cách các sw bình chọn Root SW: dựa vào gói tin BPDU: gồm 2 thông số sau: priority và Mac của sw
Đầu tiên các sw trao đổi gói tin BPDU cho nhau sau đó chúng so sánh priority(mặc định là 32768) của nhau nếu sw nào có priority nhỏ nhất sẽ là Root SW, nếu bằng nhau sẽ dùng địa chỉ mac để so sánh nhỏ nhất được bình chọn là Root SW
=> Cách so sánh địa chỉ MAC: So sánh hàng gióng hàng, cột gióng cột. Chỉ cần 1 giá trị của địa chỉ MAC này nhỏ hơn tất cả các giá trị của địa chỉ MAC kia là nó nhỏ nhất.
VD: So sánh địa chỉ MAC sau:
(1) 0010.5a0c.fd86
(2) 0010.5a0c.fd87
(3) 0010.6000.0000
Ta thấy (1) có địa chỉ MAC nhỏ nhất.
- Designated port: Các cổng của Root SW điều là Designated
- Root port: cung cấp đường về root-sw , nghĩa là cổng nào đối nối với cổng Designated nó sẽ là Root port.
Mô Hình 4 SW
Mô Hình 3 SW
Mô Hình 5 SW
Mô Hình 2 SW
Như vậy theo 2 hình trên cho thấy chúng so sánh địa chỉ mac với nhau vì priority mặc định là bằng nhau rồi.
- Theo mô hình 3 sw
Mac nhỏ nhất sẽ là ROOT-SW các sw nằm gần nó. sw nào có địa chỉ mac lớn sẽ bị khóa.
- Theo mô hình 4 sw
Mac nhỏ nhất sẽ là ROOT-SW các sw nằm gần nó sẽ không bị khóa dù địa chỉ mác lớn hơn. Nó sẽ khóa sw ở xa hơn(có đường đi xa hơn path cost đi vào sw cộng 1 , đi ra không tính) nên sw 4 bị khóa và khóa cổng f0/1 vì nó đối nối với sw2 có địa chỉ mac lớn hơn sw3.
- Theo mô hình 5 sw
Mac nhỏ nhất sẽ là ROOT-SW các sw nằm gần nó sẽ không bị khóa dù địa chỉ mác lớn hơn. Nó sẽ khóa sw ở xa hơn(có đường đi xa hơn path cost đi vào sw cộng 1 , đi ra không tính) => ta thấy sw1,sw3 ở xa nên nó sẽ so sánh địa chỉ mac , mac nào nhỏ hơn sw sẽ bị khóa, cổng bị khóa sẽ là cổng có tổng path cost lớn hơn có nghĩa là tổng đường đi xa hơn.
- Theo Mô Hình 2 SW
Thì nó sẽ so sánh địa chỉ mac, sw nào có mac nhỏ hơn sẽ làm ROOT SW, sw còn lại sẽ bị khóa cổng f0/2 vì nó đối nối với cổng f0/12 mà f0/12 >f0/4.
Chú ý: port – ưu tiên : từ 0 -255 và mặc đinh là 128
Port- số: f0/1, f0/2…..
Thực hành
Có hai cách chạy stp:
cách 1: chỉ chạy 1 vlan (mặc định) (trên phần mềm giả lập ta sẽ thấy cổng bi khóa vàng cam)
cách 2: chạy nhiều vlan (per vlan) (trên phần mềm giả lập ta sẽ không nhìn thấy cổng bi khóa vàng cam)
ở bài này ta áp dụng per vlan – spanning tree
BC1: trunk
sw1(config)#int range f0/1-2
sw1(config-if-range)#switchport mode trunk
sw2(config)#int range f0/1-2
sw2(config-if-range)#switchport mode trunk
sw3(config)#int range f0/1-2
sw3(config-if-range)#switchport mode trunk
BC2: VTP
Sw1(config)#vtp domain ccna
sw1(config)#vtp version 2
sw1(config)#vtp password ccna
sw1(config)#vtp mode server
sw2(config)#vtp domain ccna
sw2(config)#vtp version 2
sw2(config)#vtp password ccna
sw2(config)#vtp mode client
sw3(config)#vtp domain ccna
sw3(config)#vtp version 2
sw3(config)#vtp password ccna
sw3(config)#vtp mode client
BC3: Tạo 10 vlan trên server vtp
BC4: Bật mode STP
Sw1(config)#spanning-tree mode rapid-pvst
Sw2(config)#spanning-tree mode rapid-pvst
Sw3(config)#spanning-tree mode rapid-pvst
RSTP ( Rapid spanning tree protocol ) : là giao thức được cải tiến từ giao thức STP nhằm rút ngắn thời gian ( tăng tốc ) hội tụ của mạng. Nếu như STP phải trải qua 4 bước : Blocking, Listening, Learning, Forwarding và mất 50 giây cho 4 bước thì RSTP chỉ trải qua 3 bước :Blocking ( Discarding ), Learning, Forwarding và mất ít hơn 10 giây.
y/c: 10 vlan từ vlan 2-4 :sw1 làm root sw, f0/1(sw2) block
từ vlan 5-8 :sw2 làm root sw, f0/2(sw3) block
từ vlan 9-10 :sw3 làm root sw, f0/2(sw1) block
có hai cách làm theo y/c trên
cách 1: thay đổi priority
sw1(config)#spanning-tree vlan 2-4 priority 4096
sw2(config)#spanning-tree vlan 5-8 priority 4096
sw3(config)#spanning-tree vlan 9-10 priority 4096
ta khóa các cổng của vlan theo y/c
f0/1(sw2) block
sw3(config)#spanning-tree vlan 2-4 priority 8192
f0/2(sw3) block
sw1(config)#spanning-tree vlan 5-8 priority 8192
f0/2(sw1) block
sw2(config)#spanning-tree vlan 9-10 priority 8192
cách 2: đặt root primary trên các sw gốc
sw1(config)#spanning-tree vlan 2-4 root primary
sw2(config)#spanning-tree vlan 5-8 root primary
sw3(config)#spanning-tree vlan 9-10 root primary
lệnh Switch(config)#spanning-tree vlan ID root secondary
câu lệnh xem stp: sw#sh spanning-tree vlan ID xem từng vlan
sw#sh spanning-tree xem tất cả vlan
sw(config)#spanning-tree vlan 2-4,7,9-10 priority thay đổi độ ưu tiên trên nhiều vlan
II.Giao thức EtherChannel
Ở bài này mình sẽ giới thiệu cho các bạn một công nghệ thường được triển khai trong mạng campus để tăng băng thông và tính sẵn sàng khi kết nối các Switch
Để nâng cao khả năng dự phòng trong mạng, người ta thường kết nối 2 switch lại bằng 2 kết nối trunking . Để đảm bảo không bị loop, 1 kết nối sẽ bị block lại. Ở dạng này, tại một thời điểm ta chỉ có thể sử dụng một kết nối duy nhất
Cisco cho ra đời một kĩ thuật mới, kĩ thuật Etherchannel cho phép ghép nhiều link song song giữa các switch lại với nhau thành một kết nối logic . Kết nối này vừa đảm bảo băng thông rất cao, vừa cung cấp khả năng dự phòng .
EtherChannels cung cấp khả năng chịu lỗi với những kết nối tốc độ cao giữa switch-to-switch, routers-to-switch, và các servers.
EtherChannels cung cấp khả năng phục hồi cho những liên kết bị mất, khi dữ liệu đang trong quá trình truyền mà có một kết nối bị hỏng thì dữ liệu đó sẽ được chuyển sang những kết nối còn lại để truyền tiếp.
Một EtherChannel bao gồm nhiều đường vật lý fast ethernet (Fa 10/100Mbps) hoặc gigabit ethernet (10/100/1000 Mbps) được gộp thành một kết nối logical.
EtherChannel có khả năng cho phép các port dùng để kết nối hoạt động ở chế độ Full-duplex. Và băng thông trên mỗi một kết nối vật lý có thể đạt tới tốc độ là 800 Mbps đối với kết nối Fast Ethernet (Fast EtherChannel), đối với kết nối gigabit ethernet thì tốc độ của mỗi đường vật lý có thể đạt mức tối đa là 8 Gbps (Gigabit EtherChannel)
–Hiện nay cisco hỗ trợ Số EtherChannel có thể cấu hình tối đa trên Switch được giới hạn là 6.
– Để thực hiện việc nhóm các link thành một Etherchannel thì các switch phải chạy các giao thức:
- Port Aggregation Protocol (PAgP) –chuẩn độc quyền cisco
- Hoặc
- Link Aggregation Control Protocol (LACP) – chuẩn mở rộng IEEE
Giao thức:
- Port Aggregation Protocol (PAgP)
– Port Aggregation Protocol (PAgP) – Cisco Proprietary là giao thức chạy giữa 2 switch , bằng cách trao đổi với nhau những message nhằm thương lượng và tự động tạo nên channel. PAgP hoạt động ở các mode sau:
ON : mode này cho phép thiết lập Channel mà không cần phải gửi PAgP message giữa 2 switch với nhau . Etherchannel chỉ được tạo ra khi switch đối tác cũng bật chế độ ON lên
OFF : không cho phép tạo Etherchannel
AUTO: mode này chỉ chờ và nhận PAgP message mà thôi, không được gửi PAgP message ra. Đây là default mode .
DESIRABLE : mode này cho phép gửi, nhận PAgP message .
– Ngoài ra còn 2 sub-mode của DESIRABLE và AUTO là silent và non-silent.
Silent mode được sử dụng khi ta kết nối với một thiết bị không hỗ trợ giao thức PAgP .
Ví dụ Cisco switch kết nối với một file server, file server này không hổ trợ PAgP nhưng ta vẫn muốn thực hiện một kết nối Etherchannel giữa switch và file server nhằm tăng băng thông.
Mode silent cho phép ta thực hiện điều này. Silent dịch nôm na là ” im lặng và đồng ý ” tạo Etherchannel.
Non-silent mode được sử dụng khi kết nối với một thiết bị có hỗ trợ PAgP. Default thì mode silent được sử dụng
– Các chế độ hoạt động tương ứng để tạo được Etherchannel : on-on , desirable-desirable , auto-desirable .
Giao thức:
- Link Aggregation Control Protocol (LACP)
– Tương tự giống như giao thức PAgP , nhưng LACP là chuẩn mở của IEEE. Nó cho phép tạo Etherchannel với những thiết bị non-Cisco. Hoạt động ở 4 mode sau :
ON: Cho phép tạo Etherchannel mà không cần chạy LACP.
OFF: Không cho phép tạo Etherchannel.
ACTIVE: chủ động gửi LACP message để tạo Etherchannel.
PASSIVE: Chỉ lắng nghe LACP message mà không gửi ra LACP message.
– Các chế độ hoạt động tương ứng để tạo được Etherchannel: on-on , active-active , active-passive .
– Đối với LACP cho phép chúng ta nhóm nhiều link lại thành 1 bundle nhưng cũng cho phép chúng ta chỉ sử dụng một số link trong bundle đó mà thôi. Các link còn lại trong bundle sẽ ở trạng thái stanby, sẽ up lên khi các link đang active bị down .
- EtherChannel là gì?
Tại sao cần EtherChannel
Như các bạn đã biết, switch có thể sử dụng các cổng Ethernet, Fast-Ethernet(FE), GigaEthernet(GE), 10 GigaEthernet(10GE) để tăng tốc độ các link. Mỗi lần link bị quá tải ta có thể nâng cấp các đường lên 10 lần, nhưng như vậy sẽ rất tốn kém trong việc mua module gắn vào và dây dẫn, bên cạnh đó, không phải switch nào cũng có module để bạn gắn cũng như tốn chi phí về mua dây dẫn. Ví dụ bạn đang dùng 1 link FE, giờ quá tải, bạn tăng lên GE, hiệu quả sử dụng rất thấp và không cần thiết.
Một phương pháp khác phù hợp hơn trong trường hợp này để tăng băng thông các link đó là kếp hợp (“bó”) các link lại. Công nghệ này được gọi là EtherChannel.
Công nghệ EtherChannel có thể bó từ 2 đến 8 link FE, GE, 10GE thành 1 link logical. Khi đó, switch đối xử các port thuộc EtherChannel như 1 port duy nhất.
Switch hoặc thiết bị ở 2 đầu EtherChannel phải hiểu và sử dụng công nghệ EtherChannel để đảm bảo hoạt động đúng và chống loop. Nếu chỉ có 1 đầu sử dụng EtherChannel, còn đầu bên kia không sử dụng thì có thể gây ra loop.
Traffic không phải lúc nào cũng được phân bố đồng đều qua các đường link thuộc EtherChannel, mà nó phụ thuộc vào phương pháp load balancing mà switch sử dụng và mẫu traffic trong mạng.
Nếu một trong các link thuộc EtherChannel bị down thì traffic sẽ tự động được chuyển sang link khác trong channel chỉ trong vòng vài miliseconds (theo kết quả mình test trên thiết bị thật thì thậm chí không bị rớt 1 gói tin nào). Khi link up trở lại thì traffic được phân bố lại như cũ.
Điều kiện để chạy EtherChannel
– Cùng tốc độ (speed)
– Cùng loại (full-duplex, half-duplex)
– Cùng vlan, cùng trunk
– sw có hỗ trợ etherchannel
Note: Nếu PAgP hoặc LACP được cấu hình ở mode on thì switch sẽ tự đưa các ports vào EtherChannel mà không thương lượng với neighbor, nghĩa là không có bất kỳ gói tin PAgP hoặc LACP nào được trao đổi. Điều này có thể dẫn đến trường hợp ở một đầu thì các ports được đưa vào EtherChannel, trong khi đầu bên kia thì không (nghĩa là một bên thì xem đó là một logical link, trong khi phía bên kia thì vẫn xem là nhiều physical links), và có thể gây ra loop. Vì vậy, đối với EtherChannel ta không nên cấu hình mode on, mà nên sử dụng giao thức để thương lượng.
Note: Điểm khác biệt cơ bản để ta chọn PAgP hay LACP là:
PAgP: cho phép định nghĩa EtherChannel với tối đa 8 ports.
LACP: cho phép định nghĩa EtherChannel với tối đa là 16 ports, khi đó 8 ports sẽ ở trạng thái active, 8 ports ở trạng thái Hot-Standby. Khi 1 port ở trạng thái active bị down, switch sẽ chọn 1 port từ Hot-Standby -> Active
Thực hành
y/c: – chạy e-channel 1: LACP
– chạy e-channel 2: PAGP
- chạy e-channel 1: LACP
BC1: tạo channel
sw3(config)#int range f0/1-2
sw3(config-if-range)#channel-group 1 mode active
sw4(config)#int range f0/1-2
Sw4(config-if-range)#channel-Group 1 Mode Passive
BC2: trunk trên channel
sw3(config)#int port-channel 1
sw3(config-if)#switchport mode trunk
sw4(config)#int port-channel 1
sw4(config-if)#switchport mode trunk
- chạy e-channel 2: PAGP (tương tự)
câu lệnh xem e-channel: Switch#sh etherchannel port-channel liệt kê tất cả
