root
Specialist
Firewall ASA: Dynamic Routing
1. Gói tin Helo dùng để:
- Etablish: Thiết lập mối quan hệ Neighber và nó được gửi theo chu kì.
Vd: EIGRP: 5s/1 lần, OSPF 10s/1 lần.
- Để duy trì Neighber. Nếu quá thời gian mà Router ko trả lời thì nó sẽ xóa Neighber thì thời gian này gọi là: hole time(EIGRP) hay Dead interval(OSPF)1.1. Hole time trong EIGRP
:- Nếu trong vòng 15s mà Router (là router ban đầu gửi gói helo) ko gửi gói helo cho neighber thì neighber sẽ bị mất(hole time là do mình quyết định)
- Vd: Khi các bạn “show ip eighrp neighber” thì sẽ thấy hole time và nếu bạn show liên tục thì thấy nó đếm ngược từ 15, 14, 13, … rồi khi đến giây thứ 10 nó sẽ lại tiếp tục quay lại 15s( vì chu kì gói tin helo là 5s)
- Nhưng nếu bên kia ko helo lại thì hole time sẽ tiếp tục giảm 15,14…1, 0. Đến khi hết mà ko thấy bên kia trả lời thì nó sẽ thực hiện xóa neighber ra khỏi bảng định tuyến
- Trong EIGRP chỉ có khai niệm neighber khác với OSPF
1.2. Dead interval OSPF
:- Trong OSPF nó phải trải qua nhiều trạng thái khác nhau. OSPF phân chia các trạng thái của neighber rất kỹ:
- Down: chưa ai nói chuyện
- Init: Khi router gửi gói tin Helo ra thì Router sẽ lên trạng thái Init
- 2-way: Router lên 2-way khi Router nhận được gói tin helo trả lời nhưng trong đó phải có Router-ID của nó thì mới lên được 2-way.
- Ví dụ:
- Khi router 1 gửi gói tin helo (224.0.0.5 với router-id: 1.1.1.1 mục đich là để giởi thiệu với mọi người tôi là Router có tên 1.1.1.1).
- Tương tự như vậy Router 2 cũng gửi gói tin helo ra với địa chỉ 224.0.0.5, Router-ID 2.2.2.2. Vậy khi R1 nhận được gói helo của R2 thì có lên được trạng thái 2-way ko?
- Trả lời: không. Vì trong gói helo của R2 ko có Router-ID của R1 (R1 phải nhận lời chào từ R2 mà trong đó phải có tên của R1 mới lên 2-way được).
- Để lên 2-way thì R1 phải nhận được gói từ R2 có địa chỉ 224.0.0.5 và nội dung xin chào R1(Router-ID 1.1.1.1) tôi là R2(Router-ID: 2.2.2.2)
- Establish: Đang trong quá trình bầu chọn DR, BDR. Việc bầu chọn dựa trên thông số:
- Priority
- Router ID: Router ID ko được bằng nhau. Nếu bằng nhau => thiết kế mạng sai.
- Exchange: Các Router đang trang đổi gói DBD(database description).
- OSPF hoạt động dựa theo cơ chế link-state nghĩa 1 Router phải tái hiện lại được bản đồ trong khu vực của nó. Nghĩa là bản đồ(database topology) 2 Router trong cùng 1 khu vực phải giống nhau. Để bản đồ 2 bên giống nhau thì 2 Router phải đưa bản đồ của chúng ra so sánh với nhau để đưa ra 1 bản đồ chung.
- Gói tin DBD là 1 bản đồ tổng quản dùng để trao đổi bản đồ giữa các Router.
- Ví dụ:
- R1 có sanh sách lớp học A có các học viên a1,a2,a3… R2 có danh sách lớp học B có các học viên b1,b2,b3…
- R1 gửi DBD có chứa bản đồ tổng quan qua cho R2. Nó là bản danh sách tổng quan của của lớp học A.
- Khi R2 nhìn vào danh sách tổng quan thấy trong danh sách của nó ko có a1. Thì nói mới thực hiện gửi gói:
- LSR(link state request): Để xin thông tin chi tiết a1 là ai…
- LSU(link state update): Lúc này R1 sẽ trả lời lại thông tin chi tiết a1 là ai chi R2 thì gói tin trả lời này gọi là LSU. Trong LSU có chứa các gói
- LSA(Link state Acknowledgement) để mô tả chi tiết các lớp mạng
- Load: Đang trong giai đoạn xin và cho. LSR và LSU
- Full: Khi cả bên đều nhận được nhưng gì mình muốn và cho những gì người ta muốn . Nếu bên nào nhận được thì sẽ gửi về gói ACK. Lúc này cả 2 Router lên trạng thái FULL.
- Khi lên full thì bản đồ 2 Router phải giống nhau, 2 Router lên được trạng thái FULL thì người ta gọi đó là adjacency.
- Còn nếu chỉ lên được 2-way thì người ta gọi là neighber.
- Khi có DR, BDR. Tất cả Router chỉ cần giống DR, còn những other Router bên giữa là các neighber của nhau.
- Khi R1(là Router DR) nói chuyện với R2 và R3 bằng trạng thái Full thì lúc này chúng lên adjacency.
- Riêng với R2 và R3 chỉ dừng lại ở trạng thái 2-way(Neighber) vì bản đồ của 2 Router này đều được trao đổi (so sanh chung) với R1 nên đương nhiên R2 và R3 sẽ có cùng bản đồ giống nhau. Vì vầy mà OSPF đã lược bỏ việc trao đổi bản đồ giữa R2 và R3 nên chúng chỉ dừng lại ở mức 2-way ( chỉ trao đổi gói helo với nhau)
2.1. EIGRP: chỉ hỗ trợ authentication dạng MD5
Các bước authentication:
- Bước 1: Tạo thùng
Mã:
(config)# key-chain abc
Mã:
(config-keychain)#key 1
Mã:
(config-keychain-key)#key-string 123456
Mã:
(config-if)# ip authentication mode eigrp 1 md5
Mã:
(config-if)# ip authentication key-chain eigrp 1 abc
- Nguyên liệu đầu vào của thuật toán Hash là số thứ tự key và key string.
- Key và key string giữa 2 Router phải giống nhau mới lên Neighber được.
- Nếu trong thùng có nhiều key mà ko định thời hạn sử dụng thì sẽ sử dụng key có số thứ tự nhỏ nhất.
- Tùy từng thời điểm mà sử dụng từng key khác nhau
- Khi lộ password muốn đổi password nhưng ko làm ảnh hưởng neighber.
- 5/10/2014 passwold: 123. Bạn muốn thay đổi thành 1234, khi thay đổi password thì neighber sẽ bị down vì bạn sẽ ko kịp chỉnh password của cả 2 Router cùng 1 lúc.
- Để giải quyết vấn đề trên bạn vào Router khai báo thêm 1 password mới 1234 và định thời gian cho nó là 6/10/2014 là được sử dụng. Tương tự bạn làm cho Router bên kia, khi đến thời điểm đó thì cả 2 Router sẽ tráo key 2 lên để sử dụng vì key 1 đã hết thời hạn.
- Nhưng để làm được điều này các bạn đồng bộ thời gian bằng cách sử dụng NTP.
- Cho phép authentication theo kiểu: Clear Text và Md5
- Cấu hình:
- Kích hoạt thực chứng năng kích hoạt bằng md5
Mã:(config-if)#ip ospf authentication message-digest (config-if)#ip ospf authentication message-digest –key 1 md5 123
- 1: số thứ tự key
- 123: password key
- Bằng cách gõ thêm câu lệnh
Mã:R1(config-if)#ip ospf authentication message-digest –key 1 md5 123456
- Lúc này trên Router nó sẽ thực hiện Hash 2 key cùng 1 lúc, nếu 1 trong 2 key trùng thì nó sẽ dùng
- Bây giờ các bạn qua Router bên kia các bạn gõ thêm câu lệnh như trên:
Mã:R2(config-if)#ip ospf authentication message-digest –key 1 md5 123456
- Thì lúc này bên R1 sẽ Hash đồng thời 2 key và gửi qua cho R2. Thằng R2 so sánh thấy trùng cả 2 key thì nó sẽ loại bỏ key cũ đi (key:123).
- Cách xóa cũ lấy key mới trên được gọi là “youngest key” trong OSPF
- Chậm, phức tạp
-Việc capture giữa 2 Router khó xảy ra
- Ngoài ra còn có các giao thức an toàn khác như VPN, Ip sec…
Các bài lý thuyết trong
Module 4: Configuring IP Connectivity and Routing
- [Chapter 4.1] Cơ chế hoạt động của DHCP Server
- [Chapter 4.2] Static route in ASA Firewall
- [Chapter 4.3] Dynamic Routing in Firewall ASA
- [Chapter 4.4] Dynamic Routing Protocols
- [Chapter 4.5] Dynamic Routing protocols
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới