1. Nội Dung Đề Tài Tìm Hiểu Về Vấn Đề Lựa Chọn Giao Thức Cho Hệ Thống Mạng Thiết Kế

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN
---- ----
BÁO CÁO BÀI TẬP LỚN HỌC PHẦN

PHÂN TÍCH THIẾT KẾ AN TOÀN MẠNG MÁY TÍNH
ĐỀ TÀI
Tìm hiểu về vấn đề lựa chọn giao thức
cho hệ thống mạng thiết kế
GIẢNG VIÊN HƯỚNG DẪN: Ths. Đinh Văn Hùng

NHÓM SINH VIÊN THỰC HIỆN: 1. Hoàng Văn Toàn – AT130257
2. Phan Thị Lê Na - AT130435
3. Phan Xuân Khương - AT130430
4. Phùng Thị Minh Yến - AT130464
HÀ NỘI - 08/2020
1
MỤC LỤC
LỜI NÓI ĐẦU .............................................................................................................................................7
LỜI CẢM ƠN ..............................................................................................................................................8
CHƯƠNG 1: GIAO THỨC ĐỊNH TUYẾN TRONG THIẾT KẾ MẠNG ...........................................9
(Routing Protocol) .......................................................................................................................................9
1.1. Khái niệm định tuyến ..................................................................................................................9
1.2. Thế nào là Routing ......................................................................................................................9
1.3. Phân loại định tuyến..................................................................................................................11
1.3.1. Định tuyến tĩnh(Static route) ............................................................................................12
1.3.2. Định tuyến động(Dynamic route).....................................................................................12
1.4. Giao thức định tuyến OSPF(Open Shortest Path First) ........................................................14
1.4.1. Định nghĩa ..........................................................................................................................14
1.4.2. Một số đặc điểm của giao thức OSPF ..............................................................................14
1.4.3. Nguyên tắc hoạt động của giao thức OSPF .....................................................................15
1.4.3.1. Bầu chọn Router – id.................................................................................................15
1.4.3.2. Thiết lập quan hệ láng giềng (neighbor) ..................................................................17
1.4.3.3. Trao đổi LSDB ...........................................................................................................21
1.4.4. Tính toán metric với OSPF ...............................................................................................25
1.4.5. Neighbor State Machine OSPF ........................................................................................27
1.4.5.1. Down ...........................................................................................................................28
1.4.5.2. Init ...............................................................................................................................28
1.4.5.3. 2 - Way........................................................................................................................28
1.4.5.4. ExStart........................................................................................................................28
1.4.5.5. ExChange ...................................................................................................................29
1.4.5.6. Loading .......................................................................................................................29
1.4.5.7. Full ..............................................................................................................................30
1.4.6. Cấu hình OSPF ..................................................................................................................30
1.5. Giao thức định tuyến BGP(Border Gateway Protocol) .........................................................36
1.5.1. Giới thiệu BGP...................................................................................................................36
1.5.2. Nguyên tắc hoạt động của BGP........................................................................................36
1.5.3. Thứ tự ưu tiên trong cơ chế tìm đường của BGP ...........................................................38
1.5.4. Các vấn đề hiện tại của của BGP .....................................................................................38
1.6. Chuyển mạch nhãn đa giao thức MPLS..................................................................................39
1.6.1. Giới thiệu về Chuyển mạch nhãn đa giao thức MPLS ...................................................39
1.6.2. Một số ứng dụng MPLS ....................................................................................................41
1.6.3. Cơ sở nào để hình thành MPLS? .....................................................................................41
2
1.6.4. Cấu trúc MPLS ..................................................................................................................43
1.6.4.1. Nhãn (Label) ..............................................................................................................43
1.6.4.2. Ngăn xếp nhãn (Label Stack) ...................................................................................44
1.6.4.3. MPLS và mô hình tham chiếu OSI ..........................................................................45
1.6.4.4. Cấu trúc một nút MPLS ...........................................................................................46
1.6.4.5. FEC – Lớp chuyển tiếp tương đương ......................................................................47
1.6.4.6. Cơ sở dữ liệu nhãn LIB .............................................................................................48
1.6.4.7. Bảng chuyển mạch nhãn LFIB .................................................................................48
1.6.4.8. Đường chuyển mạch nhãn ........................................................................................49
1.6.4.9. Cơ cấu báo hiệu .........................................................................................................49
1.6.5. Nguyên lý hoạt động của MPLS .......................................................................................50
1.6.5.1. Quá trình xây dựng bảng FIB và LFIB trong mạng MPLS ..................................50
1.6.6. Hoạt động phát hiện các LSR cùng sử dụng LDP trong MLS ......................................54
1.6.6.1. Sơ lược về giao thức phân phối nhãn (LDP) ...........................................................54
1.6.7. Hoạt động phát hiện các LSR cùng sử dụng LDP trong MLS ......................................57
1.7. Giới thiệu tổng quan mô hình MPLS VPN .............................................................................59
1.7.1. Vitrual Routing Forwarding(VRF)..................................................................................62
1.7.2. Route Distinguisher(RD)...................................................................................................66
1.7.3. Route Targets(RT) ............................................................................................................69
1.7.4. Truyền bá tuyến VPNv4 trong mạng MPLS VPN .........................................................74
1.7.5. Một số vấn đề trong MPLS VPN......................................................................................75
1.7.5.1. Các phương thức để Router PE học các Router từ Router ...................................75
1.7.5.2. Bảo mật trong MPLS VPN .......................................................................................76
1.7.5.3. Chất lượng dịch vụ (Qos – Quality of Service) trong MPLS-VPN .......................77
CHƯƠNG 2: GIAO THỨC CHUYỂN MẠCH TRONG THIẾT KẾ MẠNG (Switching Protocol).78
2.1. Nguyên tắc chuyển mạch ..........................................................................................................78
2.2. VLAN (Virtual Local Area Network) ......................................................................................79
2.2.1. Khái niệm VLAN ...............................................................................................................79
2.2.2. Ứng dụng của VLAN.........................................................................................................79
2.2.3. Cấu trúc của VLAN ..........................................................................................................79
2.2.4. Phân loại VLAN.................................................................................................................79
2.2.4.1. Static VLAN (VLAN tĩnh) ........................................................................................79
2.2.4.2. Dynamic VLAN (VLAN động) .................................................................................79
2.2.5. Cấu hình VLAN .................................................................................................................80
2.3. Đường Trunk .............................................................................................................................80
2.3.1. Giao thức 802.1Q ...............................................................................................................82
3
2.3.2. Cấu hình VLAN Trunking ...............................................................................................82
2.4. Vlan Trunking Protocol (VTP) ................................................................................................82
2.4.1. VTP là gì? ...........................................................................................................................82
2.4.2. Hoạt động của VTP ...........................................................................................................82
2.4.3. Cấu hình VTP ....................................................................................................................84
2.5. Giao Thức HSRP (Host Standby Router Protocol) ................................................................84
2.5.1. Định nghĩa ..........................................................................................................................84
2.5.2. Nguyên tắc hoạt động HSRP ............................................................................................85
2.5.3. Virtual MAC ......................................................................................................................85
2.5.4. Cấu hình .............................................................................................................................85
2.6. Giao thức LACP ........................................................................................................................85
2.6.1. Định nghĩa ..........................................................................................................................85
2.6.2. Điều kiện thực hiện............................................................................................................85
2.6.3. Các giao thức thực hiện gom link.....................................................................................86
2.6.4. Cấu hình .............................................................................................................................86
CHƯƠNG 3: XÂY DỰNG THIẾT KẾ HỆ THỐNG MẠNG HỌC VIỆN KỸ THUẬT MẬT MÃ .87
3.1. Mục tiêu và yêu cầu ...................................................................................................................87
3.1.1. Tính sẵn sàng .....................................................................................................................87
3.1.2. Tính bí mật .........................................................................................................................87
3.1.3. Tính toàn vẹn .....................................................................................................................87
3.1.4. Chính sách an toàn và các thành phần cần thiết khác ...................................................88
3.2. Thiết kế hệ thống mạng.............................................................................................................89
3.2.1. Sơ đồ thiết kế hệ thống mạng ...............................................................................................89
3.2.2. Các thành phần trong hệ thống mạng .............................................................................90
3.2.2.1. Đối với Site Hà Nội ....................................................................................................90
3.2.2.2. Đối với Site Hồ Chí Minh..........................................................................................90
3.2.2.3. Đối với Site Nguyễn Chí Thanh ................................................................................90
3.2.2.4. Đối với hạ tầng mạng của nhà cung cấp dịch vụ ....................................................91
3.2.3. Ký hiệu tên gọi của các thành phần trong hệ thống mạng ............................................91
3.2.4. Quy hoạch VLAN và IP Address .....................................................................................93
4
3.2.5. Quy hoạch địa chỉ Interface Loopback và Interface VLAN ..........................................95
3.2.5.3. Đối với nhà cung cấp dịch vụ....................................................................................96
3.3. Thiết kế Switching .....................................................................................................................96
3.3.1. Đối với Site Hà Nội ............................................................................................................96
3.3.2. Đối với Site Hồ Chí Minh..................................................................................................97
3.3.3. Đối với Site Nguyễn Chí Thanh ........................................................................................97
3.4. Thiết kế định tuyến tĩnh............................................................................................................98
3.4.1. Đối với Site Hà Nội ............................................................................................................98
3.4.2. Đối với Site Hồ Chí Minh..................................................................................................99
3.4.3. Đối với Site Nguyễn Chí Thanh ......................................................................................100
3.5. Thiết kế định tuyến OSPF ......................................................................................................101
3.6. Thiết kế định tuyến BGP ........................................................................................................101
3.7. Thiết kế MPLS .........................................................................................................................101
3.8. Thiết kế MPLS L3VPN ...........................................................................................................102
3.9. Thiết kế hệ thống DMZ và kênh VPN IP SEC giữa các Site ...............................................102
3.10. Cấu hình chính sách trên Firewall ở Site Hà Nội .............................................................103
3.11. Triển khai cấu hình hệ thống mạng ...................................................................................104
3.11.1. Cấu hình hostname, VLAN, đường trunk, địa chỉ IP ..................................................104
3.11.1.1. Đối với Site Hà Nội ..................................................................................................104
3.11.1.2. Đối với Site Hồ Chí Minh........................................................................................130
3.11.1.3. Đối với Site Nguyễn Chí Thanh ..............................................................................140
3.11.1.4. Đối với hạ tầng mạng của nhà cung cấp dịch vụ ..................................................149
3.11.2. Cấu hình DHCP ...............................................................................................................157
3.11.3. Cấu hình HSRP trên 2 Switch CORE ...........................................................................159
3.11.4. Cấu hình LACP trên 2 Switch CORE ...........................................................................162
5
3.11.5. Cấu hình định tuyến tĩnh ................................................................................................168
3.11.6. Cấu hình định tuyến OSPF.............................................................................................180
3.11.7. Cấu hình định tuyến BGP...............................................................................................189
3.11.8. Cấu hình MPLS ...............................................................................................................190
3.11.9. Cấu hình MPLS L3VPN .................................................................................................199
3.11.9.1. Cấu hình VRF, khai báo giá trị RD và RT............................................................199
3.11.9.2. Gán Interface vào VRF và đặt địa chỉ IP ..............................................................200
3.11.9.3. Cấu hình BGP mở rộng ..........................................................................................201
3.11.9.4. Cấu hình chính sách quảng bá route .....................................................................203
3.11.10. Cấu hình VPN sử dụng IPSEC...................................................................................211
3.11.11. Cấu hình dịch vụ trên Server ở vùng DMZ ở Site Hà Nội.......................................222
3.11.11.1. Dịch vụ DHCP .........................................................................................................222
3.11.11.2. Dịch vụ DHCP .........................................................................................................222
3.11.11.3. Dịch vụ WebServer và FTP ....................................................................................223
3.11.12. Cấu hình các chính sách trên Firewall ở Site Hà Nội...............................................223
3.11.13. Kiểm tra kết quả ..........................................................................................................228
TÀI LIỆU THAM KHẢO ......................................................................................................................232
6
LỜI NÓI ĐẦU
Ngày nay, trong xu thế phát triển mạnh mẽ của công nghệ thông tin, mạng và truyền
dữ liệu là một lĩnh vực then chốt, là một phần không thể thiếu trong đời sống, mang lại
những lợi ích to lớn về kinh tế xã hội lẫn an ninh, quốc phòng. Sự ra đời và phát triển
nhanh chóng của mạng máy tính đã xóa bỏ mọi rào cản về khoảng cách địa lý, cho phép
chia sẻ tài nguyên, lưu trữ và quản lý dữ liệu tập trung, thực hiện các tính toán phân tán,
v.v. Mạng máy tính cũng là nền tảng cung cấp các mô hình thương mại điện tử, thanh
toán điện tử cũng như cung cấp môi trường kết nối cộng đồng, chia sẻ, giải trí toàn cầu.
Mạng máy tính và Internet cũng đóng vai trò quan trọng trong phát triển kinh tế, giáo
dục
Sự phát triển mạnh mẽ của công nghệ phần cứng dẫn đến sự bùng nổ của các thiết
bị thông minh kết nối mạng trong giai đoạn hiện nay càng thúc đẩy sự phát triển của
mạng máy tính cả về phần cứng, phần mềm, mô hình, giao thức, v.v. Điều này dẫn đến
các mạng máy tính ngày càng đa dạng, phức tạp hơn nhƣng càng trong suốt với người
dùng. Mạng máy tính ngày càng gia tăng mạnh mẽ cả về phạm vi, số lƣợng, thiết bị, số
lượng nguời dùng dẫn đến nguy cơ mất an toàn càng cao.
Để làm chủ, vận hành các hệ thống mạng phức tạp, đa dạng, trước hết cần nắm
được các kiến thức cơ bản, cốt lõi về mạng máy tính. Trên cơ sở kiến thức nền tảng chắc
chắn mới có thể thực hiện các kỹ năng quản trị, giám sát nâng cao cũng như thực hiện các
kỹ thuật đảm bảo an toàn trong mạng máy tính. Vì vậy nhóm chúng Em đã lựa chọn đề tài:
Tìm hiểu về vấn đề lựa chọn giao thức cho hệ thống mạng thiết kế để tìm hiểu những
nội dung liên quan về kiến thức mạng máy tính, các loại giao thức hoạt động trên Internet.
Nội dung đề tài gồm có 3 chương:
Chương 1: Giới thiệu về khái niệm định tuyến, tìm hiểu về giao thức định tuyến tĩnh và
các giao thức định tuyến động, công nghệ MPLS, và kiến trúc MPLS VPN.
Chương 2: Giới thiệu về khái niệm chuyển mạch, VLAN, giao thức HSRP và giao thức
LACP.
Chương 3: Xây dựng thiết kế hệ thống mạng Học Viện Kỹ Thuật Mật Mã.
7
LỜI CẢM ƠN
Trước tiên, chúng em xin chân thành cảm ơn Thầy Đinh Văn Hùng, Thầy
là người đã trực tiếp hướng dẫn, giúp đỡ chúng em trong quá trình nghiên cứu và
hoàn thành đề tài này.
Do thời gian và kiến thức có hạn, bài làm này chắc chắn sẽ còn nhiều sai
sót, chúng em kính mong Thầy và các bạn đóng góp ý kiến để chúng em có thể
hoàn thiện đề tài.
Em xin chân thành cảm ơn.
Hà Nội,ngày 03 tháng 08 năm 2020

Nhóm SVTH
8
CHƯƠNG 1: GIAO THỨC ĐỊNH TUYẾN TRONG THIẾT KẾ MẠNG
(Routing Protocol)
1.1. Khái niệm định tuyến
Định tuyến là quá trình xác định đường đi tốt nhất trên một mạng máy tính để gói tin tới
được đích theo một số thủ tục nhất định nào đó thông qua các nút trung gian là các bộ định
tuyến Router. Thông tin về những tuyến đường này có thể được cập nhật tự động từ các
Router khác hoặc là do người quản trị mạng chỉ định cho Router. Sau khi Router nhận gói
tin, thì Router sẽ gỡ bỏ phần Header lớp 2 để tìm địa chỉ đích thuộc lớp 3. Sau khi đọc xong
địa chỉ đích lớp 3 nó tìm kiếm trong Routing Table cho mạng chứa địa chỉ đích.
Giả sử mạng đó có trong Routing Table, Router sẽ xác định địa chỉ của Router hàng xóm
(Router chia sẻ chung kết nối). Sau đó gói tin sẽ được đẩy ra bộ đệm của cổng truyền đi
tương ứng, Router sẽ khám phá loại đóng gói lớp 2 nào được sử dụng trên kết nối giữa 2
Router. Gói tin được đóng gửi xuống lớp 2 và đưa xuống môi trường truyền dẫn dưới dạng
bit và được truyền đi bằng tín hiệu điện, tín hiệu quang hoặc sóng điện từ. Quá trình sẽ tiếp
tục cho tới khi gói tin được đưa đến đích thì thôi.
Để làm được việc này thì các Router cần phải được cấu hình một bảng định tuyến (Routing
Table) và giao thức định tuyến (Routing Protocol). Bảng định tuyến là bảng chứa tất cả
những đường đi tốt nhất đến một đích nào đó tính từ Router. Khi cần chuyển tiếp một gói
tin, Router sẽ xem địa chỉ đích của gói tin, sau đó tra bảng định tuyến và chuyển gói tin đi
theo đường tốt nhất tìm được trong bảng. Trong bảng định tuyến có thể bao gồm một tuyến
mặc định, được biểu diễn bằng địa chỉ 0.0.0.0 0.0.0.0.
Bảng định tuyến của mỗi giao thức định tuyến là khác nhau, nhưng có thể bao gồm những
thông tin sau:
• Địa chỉ đích của mạng, mạng con hoặc hệ thống.
• Địa chỉ IP của Router chặng kế tiếp phải đến.
• Giao tiếp vật lí phải sử dụng để đi đến Router kế tiếp.
• Subnet mask của địa chỉ đích.
• Khoảng cách đến đích (ví dụ: số lượng chặng để đến đích).
• Thời gian (tính theo giây) từ khi Router cập nhật lần cuối.
1.2. Thế nào là Routing

Định tuyến là phương thức mà Router (Bộ định tuyến) hay PC (thiết bị mạng) dùng để
chuyển các gói tin đến địa chỉ đích một cách tối ưu nhất, nghĩa là chỉ ra hướng và đường
đi tốt nhất cho gói tin. Router thu thập và duy trì các thông tin định tuyến để cho phép
truyền và nhận các dữ liệu. Quá trình Routing dựa vào thông tin trên bảng định tuyến
9
(Routing table), là bảng chứa các tuyến đường nhanh và tốt nhất đến các mạng khác nhau
trên mạng, để hướng các gói dữ liệu đi một cách hiệu quả nhất.
Thông tin trên bảng định tuyến có thể được cấu hình thủ công hoặc có thể sử dụng một
giao thức định tuyến động để tạo ra và tự động cập nhật các thông tin định tuyến.
Routing table là một dạng database cần thiết để tìm đường đi nhanh nhất (Path
determination), nó thể được xây dựng thông qua nhiều cách, có thể là do cấu hình của
người quản trị và cũng có thể được tích hợp trong các giao thức định tuyến.
Hình 1.1. Đường đi dữ liệu

Khi gửi đi một gói dữ liệu từ một máy tính này sang một máy tính khác, đầu tiên quá trình
sẽ xác định xem gói dữ liệu được gửi nội bộ đến máy tính khác trên cùng LAN hay đến
Router để định tuyến đến LAN đích.
Nếu gói dữ liệu được gửi đến một máy tính nằm trong một LAN khác, nó sẽ được gửi đến
Router (hoặc Gateway). Sau đó Router sẽ xác định tuyến khả thi nhất để chuyển tiếp dữ
liệu theo tuyến đó. Gói dữ liệu sẽ được gửi đến Router tiếp theo và quá trình như vậy được
lặp lại cho tới khi nó đến được LAN đích.
Ở Lan đích, Router đích sẽ chuyển tiếp gói dữ liệu này đến máy tính đích. Để xác định xem
tuyến nào là tốt nhất, các Router sử dụng thuật toán định tuyến phức tạp, thuật toán này sử
dụng một loạt các hệ số gồm có tốc độ của môi trường truyền dẫn, số đoạn mạng và đoạn
mạng có khả năng chuyển tải lưu lượng ở mức độ tối thiểu.
10
Các Router sẽ chia sẻ trạng thái và các thông tin định tuyến cho nhau để chúng có thể quản
lý lưu lượng và tránh được các kết nối chậm.
Routing khác với Bridging (bắc cầu) ở chỗ trong nhiệm vụ của nó thì các cấu trúc địa chỉ
gợi nên sự gần gũi của các địa chỉ tương tự trong mạng, qua đó cho phép nhập liệu một
bảng định tuyến đơn để mô tả lộ trình đến một nhóm các địa chỉ. Vì thế, Routing làm việc
tốt hơn Bridging trong những mạng lớn, và nó trở thành dạng chiếm ưu thế của việc tìm
đường trên mạng Internet.
Các mạng nhỏ có thể có các bảng định tuyến được cấu hình thủ công, còn những mạng lớn
hơn có topo mạng phức tạp và thay đổi liên tục thì xây dựng thủ công các bảng định tuyến
là vô cùng khó khăn. Tuy nhiên, hầu hết mạng điện thoại chuyển mạch chung (Public
Switched Telephone Network - PSTN) sử dụng bảng định tuyến được tính toán trước, với
những tuyến dự trữ nếu các lộ trình trực tiếp đều bị nghẽn. Định tuyến động (Dynamic
Routing) cố gắng giải quyết vấn đề này bằng việc xây dựng bảng định tuyến một cách tự
động, dựa vào những thông tin được giao thức định tuyến cung cấp, và cho phép mạng
hành động gần như tự trị trong việc ngăn chặn mạng bị lỗi và nghẽn.
1.3. Phân loại định tuyến
Có nhiều tiêu chí để phân loại các giao thức định tuyến khác nhau. Định tuyến được phân
chia thành 2 loại cơ bản:
• Định tuyến tĩnh: Việc xây dựng bảng định tuyến của Router được thực hiện bằng
tay bởi người quản trị.
• Định tuyến động: Việc xây dựng và duy trì trạng thái của bảng định tuyến được thực
hiện tự động bởi Router.
Việc chọn đường đi được tuân thủ theo 2 thuật toán cơ bản:
• Distance Vector: Chọn đường đi theo hướng và khoảng cách tới đích.
• Link State: Chọn đường đi ngắn nhất dựa vào cấu trúc của toàn bộ mạng theo trạng
thái của các đường liên kết mạng.
Hình 1.2. Phân loại định tuyến

11
Routing Protocol: là ngôn ngữ để một Router trao đổi với một Router khác để chia sẻ
thông tin định tuyến về khả năng được đến mạng đích cũng như trạng thái của mạng,
routing protocol được cài đặt trên các Router nhằm xây dựng Routing table và đảm bảo
rằng tất cả các Router đều có Routing table tương thích với nhau.
Administrative Distance (AD): được sử dụng để đánh giá độ tin cậy của thông tin định
tuyến mà Router nhận được từ Router hàng xóm. AD có giá trị nguyên từ: 0 đến 255; “0”
là độ tin cậy cao nhất và “255” có nghĩa là không có lưu lượng đi qua tuyến này (không
được sử dụng để vận chuyển thông tin). Khi Router nhận được một thông tin định tuyến,
thông tin này được đánh giá và được đưa vào bảng định tuyến.
Thông tin định tuyến được đánh giá dựa vào AD, trên một Router có nhiều hơn một giao
thức thì giao thức nào có AD nhỏ hơn sẽ được Router sử dụng.
Hình 1.3. Giá trị AD

1.3.1. Định tuyến tĩnh(Static route)
Static route là kỹ thuật mà người quản trị phải tự tay khai báo các route trên các Router.
Kỹ thuật này đơn giản, dễ thực hiện, ít hao tốn tài nguyên mạng và CPU xử lý trên Router
(do không phải trao đổi thông tin định tuyến và không phải tính toán định tuyến). Tuy nhiên
kỹ thuật này không hội tụ với các thay đổi diễn ra trên mạng và không thích hợp với những
mạng có quy mô lớn (khi đó số lượng route quá lớn, không thể khai báo tay được).
1.3.2. Định tuyến động(Dynamic route)
Với Dynamic route, các Router sẽ trao đổi thông tin định tuyến với nhau. Từ thông tin nhận
được, mỗi Router sẽ thực hiện tính toán định tuyến từ đó xây dựng bảng định tuyến gồm
các đường đi tối ưu nhất đến mọi điểm trong hệ thống mạng. Với Dynamic route, các
Router phải chạy các giao thức định tuyến (Routing Protocol).
12
Dynamic route lại tiếp tục chia thành 2 loại:
• Exterior Gateway Protocol (EGP)
• Interior Gateway Protocol (IGP)
Các giao thức định tuyến ngoài (EGP) với giao thức tiêu biểu là BGP (Border Gateway
Protocol) là loại giao thức được dùng để chạy giữa các Router thuộc các AS khác nhau,
phục vụ cho việc trao đổi thông tin định tuyến giữa các AS.
AS(Autonomous System): là Hệ tự trị tập hợp các Router thuộc cùng một sự quản lý về
kỹ thuật và sở hữu của một doanh nghiệp nào đó, cùng chịu chung một chính sách về định
tuyến. Các AS thường là các ISP. Như vậy định tuyến ngoài thường được dùng cho mạng
Internet toàn cầu, trao đổi số lượng thông tin định tuyến rất lớn giữa các ISP với nhau và
hình thức định tuyến mang nặng hình thức chính sách (policy).
Hình 1.4. Hệ thống nhiều AS(Autonomous System)

Các giao thức định tuyến trong (IGP) gồm các giao thức tiêu biểu như RIP, OSPF, EIGRP.
Trong đó, RIP và OSPF là các giao thức chuẩn quốc tế, còn EIGRP là giao thức độc quyền
của Cisco, chỉ chạy trên thiết bị của Cisco. IGP là loại giao thức định tuyến chạy giữa các
Router nằm bên trong một AS.
Với các IGP, chúng lại tiếp tục được chia thành nhiều nhánh khác nhau:
Nếu chia ba, các giao thức IGP có tổng cộng 3 loại: Distance Vector, Link State và Hybrid.
• Distance Vector: mỗi Router sẽ gửi cho các Router láng giềng của nó toàn bộ bảng
định tuyến theo định kỳ. Giao thức tiêu biểu của hình thức này là giao thức RIP.
13
Đặc thù của loại hình định tuyến này là có khả năng bị loop nên cần một bộ các quy
tắc chống loop khá phong phú. Các quy tắc chống loop có thể làm chậm tốc độ hội
tụ của giao thức.
• Link State: với loại giao thức này, mỗi Router sẽ gửi bảng cơ sở dữ liệu trạng thái
đường link (LSDB – Link State Database) cho mọi Router trong vùng (area). Việc
tính toán định tuyến được thực hiện bằng giải thuật Dijkstra.
• Hybrid: tiêu biểu là giao thức EIGRP của Cisco. Loại giao thức này kết hợp các
đặc điểm của hai loại trên. Tuy nhiên, thực chất thì EIGRP vẫn là giao thức loại
Distance Vector nhưng đã được cải tiến thêm để tăng tốc độ hội tụ và quy mô hoạt
động nên còn được gọi là Advanced Distance Vector.
Nếu chia hai, ta có thể chia các giao thức IGP thành hai loại:
• Các giao thức Classful: Router sẽ không gửi kèm theo Subnet Mask trong bản tin
cập nhật định tuyến của mình. Từ đó các giao thức Classful không hỗ trợ các sơ đồ
VLSM và mạng gián đoạn (Discontiguos Network). Giao thức tiêu biểu là RIPv1
(trước đây còn có thêm cả IGRP nhưng hiện giờ giao thức này đã được gỡ bỏ trên
các IOS mới của Cisco).
• Các giao thức Classless: ngược với Classful, Router có gửi kèm theo Subnet Mask
trong bản tin định tuyến. Từ đó các giao thức Classless có hỗ trợ các sơ đồ VLSM
và mạng gián đoạn (Discontiguos Network). Các giao thức Classless: RIPv2, OSPF,
EIGRP.
1.4. Giao thức định tuyến OSPF(Open Shortest Path First)

1.4.1. Định nghĩa
OSPF là một giao thức định tuyến Link – State điển hình.
Đây là một giao thức được sử dụng rộng rãi trong các mạng doanh nghiệp có kích thước
lớn. OSPF là chuẩn mở do IEEE đưa ra.
1.4.2. Một số đặc điểm của giao thức OSPF
• OSPF là một giao thức Link – State điển hình. Mỗi Router khi chạy giao thức sẽ gửi
các trạng thái đường link của nó cho tất cả các Router trong vùng (area). Sau một
thời gian trao đổi, các Router sẽ đồng nhất được bảng cơ sở dữ liệu trạng thái đường
link (Link State Database – LSDB) với nhau, mỗi Router đều có được “bản đồ
mạng” của cả vùng. Từ đó mỗi Router sẽ chạy giải thuật Dijkstra tính toán ra một
cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để xây dựng nên
bảng định tuyến.
• OSPF có AD = 110.
• Metric của OSPF còn gọi là cost, được tính theo bandwidth trên cổng chạy OSPF.
14
• OSPF chạy trực tiếp trên nền IP, có protocol – id là 89.
• OSPF là một giao thức chuẩn quốc tế, được định nghĩa trong RFC – 2328.
1.4.3. Nguyên tắc hoạt động của giao thức OSPF

• Bầu chọn Router – id.
• Thiết lập quan hệ láng giềng (neighbor).
• Trao đổi LSDB.
• Tính toán xây dựng bảng định tuyến.
1.4.3.1. Bầu chọn Router – id
Đầu tiên, khi một Router chạy OSPF, nó phải chỉ ra một giá trị dùng để định danh duy nhất
cho nó trong cộng đồng các Router chạy OSPF. Giá trị này được gọi là Router – id.
Router – id trên Router chạy OSPF có định dạng của một địa chỉ IP. Mặc định, tiến trình
OSPF trên mỗi Router sẽ tự động bầu chọn giá trị router – id là địa chỉ IP cao nhất trong
các interface đang active, ưu tiên cổng loopback.
Ta cùng làm rõ ý này thông qua ví dụ sau đây:
Hình 1.5. Bầu chọn router – id(1)

Khi cho Router R tham gia OSPF (xem hình 1.5), Router R phải bầu chọn ra một ‘nick
name’ để định danh R khi R chạy OSPF. Vì ‘nick name’ này có định dạng của một địa chỉ
IP nên R sẽ lấy một trong các địa chỉ IP trên nó để làm Router – id. Như đã nói ở trên, chỉ
địa chỉ của các interface đang active, tức là ở trạng thái up/up (status up, line protocol up)
mới được tham gia bầu chọn. Ta thấy trên hình , chỉ có hai cổng F0/0 và F0/1 của R là
up/up nên router R sẽ chỉ xem xét hai địa chỉ trên hai cổng này là 192.168.1.1 và
192.168.2.1. Để xác định trong hai địa chỉ này, địa chỉ nào là cao hơn, R tiến hành so sánh
hai địa chỉ này theo từng octet từ trái sang phải, địa chỉ nào có octet đầu tiên lớn hơn được
xem là lớn hơn. Ta thấy, với cách so sánh này, địa chỉ 192.168.2.1 được xem là lớn hơn
địa chỉ 192.168.1.1 nên nó sẽ được sử dụng để làm router – id. Vậy R sẽ tham gia OSPF
với giá trị ‘nick name’ – router id là 192.168.2.1.
15
Ta cũng thấy trong 3 địa chỉ xuất hiện ở trên hình 1, địa chỉ 203.162.4.1 của cổng serial
S0/1/0 trên router R là lớn nhất nhưng vì cổng này down nên không được tham gia bầu
chọn
Cũng ví dụ trên nhưng lần này trên Router R có thêm các interface loopback:
Hình 1.6. Bầu chọn router – id (2)

Khi ta bật OSPF trên Router R, R xúc tiến việc bầu chọn router – id. Vì lần này có các
interface loopback nên R sẽ bỏ qua, không xem xét các địa chỉ của các interface vật lý. Hai
địa chỉ của hai interface loopback 1 và 2 sẽ được so sánh để chọn ra router – id cho Router
R, và ta thấy rõ ràng 2.2.2.2 > 1.1.1.1 nên router R sẽ chọn 2.2.2.2 làm router – id khi tham
gia OSPF. Từ hình 1.6, ta thấy, 2.2.2.2 không phải là địa chỉ IP cao nhất nhưng vì tiến trình
ưu tiên cổng loopback nên các địa chỉ trên các cổng loopback sẽ được xem xét trước. Điều
này được giải thích là sẽ đem lại sự ổn định cho tiến trình OSPF vì interface loopback là
loại interface luận lý không bao giờ down trừ khi người quản trị shutdown interface này.
Thực chất, việc up/down của các interface không ảnh hưởng nhiều lắm đến router – id của
các router chạy OSPF. Thật vậy, giả sử trong ví dụ trên, Router R đã chọn xong router – id
là 192.168.2.1 là IP của cổng F0/1 (xét trường hợp chưa có các interface loopback) và tham
gia vào OSPF với router – id 192.168.2.1. Lúc này, nếu ta có bổ sung thêm các interface
loopback trên Router thì Router cũng sẽ không đổi lại router – id thành IP của các interface
loopback. Hơn nữa, cho dù lúc này cổng F0/1 có down, thì Router vẫn giữ giá trị router –
id mà nó đã chọn. Có nghĩa là, router – id đơn thuần chỉ là một cái định danh. Khi định
danh đã được chọn thì tiến trình OSPF sẽ làm việc với cái định danh này và không thay đổi
lại nữa. Cổng có IP được trích xuất làm định danh của Router lúc này có up/down cũng
16
không ảnh hưởng gì cả. Vậy nếu chúng ta muốn đổi lại Router – id của tiến trình thì sao?
Ta phải thực hiện khởi động lại Router hoặc gỡ bỏ tiến trình OSPF rồi cấu hình lại, khi đó
tiến trình bầu chọn router – id sẽ được thực hiện lại với các interface đang hiện hữu trên
router.
Và như vậy, ta thấy việc ưu tiên sử dụng IP trên loopback mang nhiều ý nghĩa về mặt quản
trị hơn là tính ổn định của tiến trình. Nó cho phép người quản trị kiểm soát hiệu quả hơn
các router – id của các Router.
Có một cách khác để thiết lập lại giá trị router – id cho Router mà không cần phải khởi
động lại Router hoặc cấu hình lại OSPF là sử dụng câu lệnh ‘router-id’ để thiết lập bằng
tay giá trị này trên Router:
Router(config)#router ospf 1
Router(config-router)#router-id A.B.C.D
A.B.C.D là IP Address mà ta muốn chỉ định làm giá trị router – id.
Lúc này giá trị của router – id có thể không cần phải là một địa chỉ IP có sẵn trên router.
Bên cạnh đó, nếu tiến trình OSPF đã chạy và router – id đã được thiết lập trước đó, ta phải
khởi động lại tiến trình OSPF thì mới áp dụng được giá trị router – id mới được chỉ ra trong
câu lệnh ‘router – id’. Câu lệnh khởi động lại tiến trình OSPF:
Router#clear ip ospf process
Reset ALL OSPF processes? [no]: yes .Ta chọn ‘Yes’
Sau khi đã chọn xong router – id để hoạt động, Router chạy OSPF sẽ chuyển qua bước tiếp
theo là thiết lập quan hệ láng giềng với các Router kết nối trực tiếp với nó.
1.4.3.2. Thiết lập quan hệ láng giềng (neighbor)
Bước tiếp theo, sau khi đã chọn xong router – id, Router chạy OSPF sẽ gửi ra tất cả các
cổng chạy OSPF một loại gói tin được gọi là gói tin Hello. Gói tin này được gửi đến địa
chỉ Multicast dành riêng cho OSPF là 224.0.0.5 đến tất cả các Router chạy OSPF khác trên
cùng phân đoạn mạng. Mục đích của gói tin Hello là giúp cho Router tìm kiếm láng giềng,
thiết lập và duy trì mối quan hệ này. Gói tin Hello được gửi theo định kỳ mặc định 10s/lần.
17
Hình 1.7. Các Router gửi gói tin Hello
Có nhiều thông tin được hai router kết nối trực tiếp trao đổi với nhau qua gói tin Hello.
Trong các loại thông tin được trao đổi, có 5 loại thông tin sau bắt buộc phải match với nhau
trên hai Router để chúng có thể thiết lập được quan hệ láng giềng với nhau:
• Area – id.
• Hello timer và Dead timer.
• Hai địa chỉ IP đấu nối phải cùng subnet (một vài trường hợp còn yêu cầu cùng cả
Subnet Mask).
• Thỏa mãn các điều kiện xác thực.
• Cùng bật hoặc cùng tắt cờ stub.
Ta cùng phân tích từng thông số đã nêu ở trên.
➢ Area – id
Nguyên tắc hoạt động của OSPF là mỗi Router phải ghi nhớ bảng cơ sở dữ liệu trạng thái
đường link của toàn bộ hệ thống mạng chạy OSPF rồi từ đó thực hiện tính toán định tuyến
dựa trên bảng cơ sở dữ liệu này. Để giảm tải bộ nhớ cũng như tải tính toán cho mỗi Router
và giảm thiểu lượng thông tin định tuyến cần trao đổi, các Router chạy OSPF được chia
thành nhiều vùng (area), mỗi Router lúc này chỉ cần phải ghi nhớ thông tin cho một vùng
mà nó ở trong đó (hình 1.8).
18
Hình 1.8. Kiến trúc phân vùng trong OSPF
Cách tổ chức như vậy rõ ràng tiết kiệm tài nguyên mạng và tài nguyên trên mỗi Router.
Ngoài ra, cách tổ chức này còn cô lập được những bất ổn vào trong một vùng: khi có một
link nào đó trên một Router up/down, sự kiện này chỉ lan truyền trong nội bộ một vùng và
gây ra sự tính toán lại định tuyến của các Router trong vùng ấy chứ không ảnh hưởng đến
các router thuộc vùng khác.
Mỗi vùng được chỉ ra sẽ có một giá trị định danh cho vùng gọi là Area – id.
Area – id có thể được hiển thị dưới dạng một số tự nhiên hoặc dưới dạng của một địa chỉ
IP. Ví dụ Area 0 có thể được biểu diễn là Area 0.0.0.0. Một nguyên tắc bắt buộc trong phân
vùng OSPF là nếu chia thành nhiều vùng thì bắt buộc phải tồn tại một vùng mang số hiệu
0 – Area 0, Area 0 còn được gọi là Backbone Area và mọi vùng khác bắt buộc phải có kết
nối nối về vùng 0.
Khi thực hiện cấu hình phân vùng cho Router, ta không gán cả Router vào một vùng mà
thực hiện gán link trên Router vào một vùng. Area – id được gán cho link của Router chứ
không phải gán cho bản thân Router. Ví dụ: trên hình 1.8, ta thấy toàn bộ Router R2 nằm
trong vùng 0 là vì khi cấu hình ta đã gán hai link trên R2 vào vùng 0. Những Router mà có
tất cả các link đều được gán vào một vùng thì sẽ lọt hẳn vào vùng đó và được gọi là các
Internal Router, các Internal Router chỉ phải ghi nhớ trạng thái đường link của vùng mà nó
nằm bên trong. Ta cũng xét tiếp Router R4. Router này có một link thuộc vùng 0, lại có
19
một link thuộc vùng 1, như vậy nó thuộc về cả hai vùng và phải ghi nhớ trạng thái đường
link của cả hai vùng. Những Router như vậy được gọi là các Router ABR – Area Border
Router – router biên giới giữa hai vùng.
Khi hai Router láng giềng kết nối với nhau qua một link, chúng phải thống nhất với nhau
về area – id của link này. Cả hai Router phải gán cùng một số area – id cho link kết nối
giữa chúng với nhau. Nếu điều này bị vi phạm, chúng sẽ không thể thiết lập được quan hệ
láng giềng thông qua link này và do đó không bao giờ có thể trao đổi được thông tin định
tuyến qua link. Đó là điều kiện thứ nhất trong việc thiết lập quan hệ láng giềng: thống nhất
về area – id trên link kết nối.
➢ Hello timer và Dead timer
Hello timer là khoảng thời gian định kỳ gửi gói tin Hello ra khỏi một cổng chạy OSPF.
Khi một Router nhận được Hello từ láng giềng, nó sẽ khởi động Dead timer. Nếu sau
khoảng thời gian được chỉ ra trong Dead timer mà Router không nhận được gói tin Hello
từ láng giềng, nó sẽ coi như láng giềng này không còn và sẽ xóa mọi thông tin mà nó học
được từ láng giềng. Ngược lại, cứ mỗi lần nhận được gói tin Hello từ láng giềng,
Dead timer lại được reset. Giá trị mặc định của Hello – timer và Dead – timer là 10s và
40s. Ta có thể hiệu chỉnh các giá trị này trên cổng chạy OSPF bằng cách sử dụng câu lệnh:
R(config-if)#ip ospf {hello-interval | dead-interval} seconds
Để hai Router thiết lập được quan hệ láng giềng với nhau, cặp giá trị này bắt buộc phải
khớp nhau trên hai router ở hai đầu của đường link.
➢ Cùng subnet
Hai địa chỉ IP1 và IP2 đấu nối nhau giữa hai Router bắt buộc phải cùng Subnet thì hai
Router này mới có thể thiết lập quan hệ láng giềng với nhau (xem hình 1.7). Một số trường
hợp còn bắt buộc hai địa chỉ này phải cùng cả Subnet Mask để có thể thiết lập neighbor.
➢ Thỏa mãn authentication
Trong trường hợp để tăng cường tính bảo mật của hoạt động trao đổi thông tin định tuyến,
chúng ta thực hiện cài đặt các pasword trên hai Router hai đầu đường link. Yêu cầu bắt
buộc là hai password này phải khớp nhau ở hai đầu để hai Router có thể thiết lập neighbor
(tất nhiên). Cấu hình xác thực sai có thể dẫn đến không thiết lập neighbor được giữa hai
Router từ đó dẫn đến không trao đổi được thông tin định tuyến.
➢ Cờ stub
Trong kiến trúc đa vùng của OSPF có một loại vùng gọi là vùng stub. Vùng stub là vùng
không tiếp nhận LSA type – 5. Khi ta đã cho một link của một Router thuộc vùng stub thì
20
bắt buộc đầu kia của link cũng phải gán link này thuộc vùng stub. Khi đó các gói tin định
tuyến trao đổi nhau giữa hai đầu sẽ có cờ stub được bật lên.
Sau khi cả 5 điều kiện nêu trên đã được thỏa mãn, hai Router thiết lập với nhau một mối
quan hệ gọi là quan hệ láng giềng và được ký hiệu là 2 – WAY. Khi các Router đã thiết lập
được quan hệ 2 – WAY với nhau, chúng bắt đầu thực hiện trao đổi bảng cơ sở dữ liệu trạng
thái đường link (LSDB – Link State Database) cho nhau. Việc trao đổi này được lan ra
toàn mạng và cuối cùng mỗi Router đều có được trạng thái đường link của mọi Router
trong mạng, từ đó chúng thực hiện tính toán trên cơ sở dữ liệu trạng thái đường link này
và xây dựng bảng định tuyến.
1.4.3.3. Trao đổi LSDB
LSDB: Link State Database – Bảng cơ sở dữ liệu trạng thái đường link là một bảng trên
Router ghi nhớ mọi trạng thái đường link của mọi Router trong vùng. Ta có thể coi LSDB
là một “tấm bản đồ mạng” mà Router sẽ căn cứ vào đó để tính toán định tuyến. LSDB phải
hoàn toàn giống nhau giữa các Router cùng vùng. Các Router sẽ không trao đổi với nhau
cả một bảng LSDB mà sẽ trao đổi với nhau từng đơn vị thông tin gọi là:
LSA – Link State Advertisement. Các đơn vị thông tin này lại được chứa trong các gói tin
cụ thể gọi là LSU – Link State Update mà các Router thực sự trao đổi với nhau. Lưu ý:
LSA không phải là một loại gói tin mà chỉ là một bản tin. LSU mới thực sự là gói tin và nó
chứa đựng các bản tin này.
Việc trao đổi thông tin diễn ra rất khác nhau tùy theo từng loại network – type gán cho link
giữa hai Router. Chúng ta xét đến hai loại network – type là Point – to – Point và Broadcast
Multiaccess.
• Point – to – point
Loại link point – to – point điển hình là kết nối serial điểm – điểm chạy giao thức HDLC
hoặc PPP nối giữa hai Router (hình 1.9).
Hình 1.9. Trao đổi LSDB với kết nối point – to – point
21
Trong trường hợp này, hai Router láng giềng sẽ ngay lập tức gửi toàn bộ bảng LSDB cho
nhau qua kết nối point – to – point và chuyển trạng thái quan hệ từ 2 – WAY sang một mức
độ mới gọi là quan hệ dạng FULL. Quan hệ Full qua một kết nối serial point – to – point
được ký hiệu là FULL/ – .
• Broadcast Multiaccess
Môi trường Broadcast Multiaccess điển hình chính là môi trường Ethernet LAN
Hình 1.10. Broadcast MultiAccess

Việc trao đổi LSDB diễn ra hoàn toàn khác trong môi trường này. Với môi trường này,
mỗi Router đều kết nối trực tiếp với nhau và đều thiết lập quan hệ 2 – WAY với nhau. Tuy
nhiên, các Router sẽ không trao đổi trực tiếp với nhau mà sẽ tiến hành trao đổi thông tin
thông qua một Router đầu mối gọi là DR – Designated Router. Trên mỗi kết nối
Multiaccess, một DR Router được bầu ra. Một Router khác sẽ được bầu làm Backup DR
(BDR) để dự phòng cho DR trong trường hợp DR down. Các Router còn lại đóng vai trò
là DROther. Nguyên tắc đặt ra như sau: các Router DROther khi trao đổi thông tin định
tuyến sẽ không gửi trực tiếp cho nhau mà sẽ gửi lên cho DR và BDR. Sau đó Router DR
này sẽ forward lại thông tin xuống cho các Router DROther khác. Khi các Router gửi thông
tin lên cho DR và BDR, chúng sẽ sử dụng địa chỉ multicast 224.0.0.6 còn khi DR forward
lại thông tin xuống các Router khác, nó sử dụng địa chỉ 224.0.0.5. Nhắc lại, các DROther
không trao đổi trực tiếp với nhau.
22
Hình 1.11. Hoạt động trao đổi thông tin thông qua DR
Về quan hệ giữa các cặp Router lúc này, ta thấy như sau:
• Các DROther không bao giờ trao đổi thông tin với nhau nên quan hệ giữa chúng
mãi mãi chỉ dừng lại ở mức độ 2 – WAY. Thực hiện show bảng neighbor trên các
Router DROther sẽ thấy rằng các Router này hiển thị tình trạng quan hệ với nhau là
2-WAY/DROther.
• Các DROther có trao đổi dữ liệu với DR và BDR nên trong bảng neighbor của các
Router DROther, các router DR và BDR sẽ hiện ra với quan hệ dạng Full: FULL/DR
và FULL/BDR. Ngược lại, các Router DR và BDR cũng thấy tình trạng quan hệ của
các Router DROther với chúng là FULL/DROther.
Như vậy, Router DR đóng một vai trò rất quan trọng trên môi trường Multiaccess: đó là
Router điều phối thông tin trên môi trường này. Vậy Router nào sẽ được chọn làm DR? Ta
có nguyên tắc bầu chọn DR và BDR cho một môi trường Multiaccess như sau:
• Trên mỗi cổng đấu nối Multi access của mỗi Router đều có một giá trị gọi là
priority. Giá trị priority này nằm trong dải từ 0 đến 255 và được trao đổi giữa
các Router trong các gói tin Hello. Router nào nắm giữ giá trị priority cao nhất
sẽ được bầu chọn làm DR, priority cao nhì làm BDR, còn lại sẽ là DROther. Giá
trị priority mặc định trên các cổng router là bằng 1. Lưu ý rằng nếu Router mang
giá trị priority bằng 0 sẽ không tham gia vào tiến trình bầu chọn DR và BDR, nó
luôn luôn đảm nhận vai trò là DROther.
23
• Trong trường hợp giá trị priority bằng nhau (ví dụ để mặc định bằng 1 hết, không
cấu hình gì thêm), Router nào có Router – id cao nhất sẽ làm DR, Router – id
cao nhì sẽ làm BDR, còn lại làm DROther. Ta nói Router – id là tie – breaker
của Priority.
Có một số lưu ý cho việc bầu chọn DR và BDR như sau:
• Nếu ta cấu hình một Router nhận giá trị priority bằng 0, Router này sẽ không tham
gia vào tiến trình bầu chọn DR và BDR, nó luôn luôn là DROther. Chúng ta phải
lưu ý điều này vì nếu chúng ta cấu hình cho tất cả các Router đấu nối vào môi trường
Multiaccess giá trị priority = 0 thì sẽ không có Router nào chịu làm DR cho môi
trường này. Lỗi này dẫn đến lỗ hổng trong việc trao đổi thông tin định tuyến.
• Luật bầu chọn DR là non – preempt: khi một DR đã được bầu chọn xong, nếu Router
mới tham gia vào môi trường multiaccess có priority hay router – id cao hơn Router
DR nó cũng không thể chiếm quyền của DR hiện tại. Chỉ khi nào DR hiện tại down,
Router khác mới có cơ hội tranh quyền DR.
• Một Router có thể đóng nhiều vai trò khác nhau trên nhiều cổng multiacces khác
nhau. Ví dụ: nó có thể là DR trên môi trường Multiaccess đấu nối vào cổng F0/0
nhưng lại là DROther trên môi trường Multiacces đấu nối vào cổng F0/1.
• Chúng ta không được nhầm lẫn kết nối Ethernet nối 02 Router là một kết nối point
– to – point, kết nối này vẫn được xem là Multiaccess. Trong trường hợp này, một
Router sẽ làm DR, một làm BDR, không có DROther (hình 1.11).
Hình 1.12. Đây là môi trường Multiaccess dù chỉ có 02 Router

Sau khi hoàn thành xong thao tác trao đổi LSDB, mỗi Router trong vùng đều đã có được
bảng cơ sở dữ liệu trạng thái đường link của mọi Router trong vùng, hay nói một cách
khác, mỗi Router đã có được “tấm bản đồ mạng” của cả vùng. Dựa trên LSDB này, các
Router sẽ chạy giải thuật Dijkstra để xây dựng một cây đường đi ngắn nhất đến mọi đích
đến trong mạng với gốc cây chính là Router ấy. Từ cây này, Router xây dựng lên bảng
định tuyến của mình.
24
1.4.4. Tính toán metric với OSPF
Metric trong OSPF được gọi là cost, được xác định dựa vào bandwidth định danh của
đường truyền theo công thức như sau:
Metric = cost = 10^8 / Bandwidth (đơn vị bps).
Ta phân biệt giữa bandwidth định danh trên cổng và tốc độ thật của cổng ấy. Hai giá trị
này không nhất thiết phải trùng nhau và giá trị định danh mới chính là giá trị được tham
gia vào tính toán định tuyến. Giá trị danh định được thiết lập trên cổng bằng câu lệnh:
R(config-if)#bandwidth BW(đơn vị là kbps)
Ta phải chỉnh giá trị danh định này trùng với tốc độ thật của cổng để tránh việc tính toán
sai lầm trong định tuyến. Ví dụ: một đường leased – line kết nối vào cổng serial chỉ có tốc
độ thật là 512 kbps nhưng giá trị bandwidth mặc định ở trên cổng serial luôn là 1.544Mbps.
Điều đó dẫn đến OSPF xem một cổng 512 kbps như một cổng 1.544 Mbps. Ta phải chỉnh
lại băng thông định danh trên cổng trong trường hợp này để phản ánh đúng tốc độ thật:
R(config-if)#bandwidth 512
Dựa vào công thức metric đã nêu ở trên, ta có giá trị cost default của một số loại cổng:
• Ethernet (BW = 10Mbps) -> cost = 10.
• Fast Ethernet (BW = 100Mbps) -> cost = 1.
• Serial (BW = 1.544Mbps) -> cost = 64 (bỏ phần thập phân trong phép chia).
Ta cùng xem xét một ví dụ để khảo sát cách tính toán path cost cho một đường đi:
Hình 1.13. Sơ đồ ví dụ tính path cost

Yêu cầu đặt ra với sơ đồ hình 1.12 là tính path cost (metric) cho đường đi từ R1 đến mạng
192.168.3.0/24 của R3.
Ta thấy một cách dễ dàng: từ R1 đi đến mạng 192.168.3.0/24 của R3 sẽ đi qua các đường
link Fast Ethernet có cost = 1, Serial có cost là 64 và link Fast Ethernet có cost bằng 1. Vậy
tổng cost được tính sẽ là 1 + 64 + 1 là 66. Metric từ R1 đến mạng 192.168.3.0/24 là 66.
Tuy nhiên việc tính toán sẽ trở nên phức tạp hơn nếu hai cổng Router ở hai đầu link không
đồng nhất về giá trị cost. Ví dụ, ta vào cổng F0/0 của R2 đổi lại giá trị cost thành 64 bằng
cách đánh lệnh sau đây trên cổng F0/0 của R2:
R2(config)#interface f0/0
R2(config-if)#ip ospf cost 64
25
Vậy câu hỏi đặt ra là với link Fast Ethernet nối giữa R1 và R2 ta chọn cost của link này là
1 hay 64? Nếu chọn là 1, tổng cost toàn tuyến vẫn giữ giá trị như cũ là 66, nhưng nếu chọn
là 64, tổng cost toàn tuyến sẽ là 64 + 64 + 1 là 129, hai giá trị rất khác nhau.
Hình 1.14. Tổng path cost là 66 hay 129?

Để trả lời được câu hỏi này, ta cần nắm nguyên tắc sau đâu trong việc tính tổng cost với
OSPF:
Để tính tổng cost từ một Router đến một mạng đích theo một đường (path) nào đó, ta
thực hiện lần ngược từ đích về nguồn và cộng dồn cost theo quy tắc đi vào thì cộng,
đi ra thì không cộng.
Áp dụng quy tắc này cho ví dụ ở hình 1.14: để tính tổng cost từ R1 đến mạng
192.168.3.0/24, ta đi ngược từ mạng 192.168.3.0/24 đi về. Khi đi về thì đi vào cổng F0/0
của R3, cộng giá trị cổng này (tổng cost lúc này là 1); đi ra khỏi cổng S2/0 của R3, bỏ qua
không cộng (tổng cost vẫn là 1); đi tiếp vào cổng S2/0 của R2, cộng giá trị cổng này (lúc
này tổng cost là 1 + 64 = 65); đi ra khỏi cổng F0/0 của R2, bỏ qua không cộng (tổng cost
vẫn là 65); đi tiếp vào cổng F0/0 của R1, cộng giá trị cổng này (tổng cost là 65 + 1 = 66),
kết thúc hành trình. Vậy tổng cost vẫn là 66, việc thay đổi giá trị cost trên cổng F0/0 không
ảnh hưởng gì đến path cost từ R1 đi đến 192.168.3.0/24.
Hình 1.15. Các cổng tham gia vào tiến trình tính toán path cost với OSPF
26
Như vậy với OSPF, để đánh giá đúng được cost của đường đi và có thể hiệu chỉnh cost trên
cổng để điều chỉnh đường đi của gói tin theo ý muốn, ta cần phải cẩn thận trong việc xác
định xem cổng nào trên đường đi sẽ tham gia vào tính toán để hiệu chỉnh đúng cổng vì hiệu
chỉnh không đúng cổng sẽ không mang lại bất kỳ thay đổi gì.
Trên đây, em đã trình bày những nội dung chính trong hoạt động của OSPF đơn vùng thông
qua các bước hoạt động của tiến trình OSPF: chọn Router – id, thiết lập quan hệ láng giềng,
trao đổi LSDB và tính toán xây dựng bảng định tuyến.
1.4.5. Neighbor State Machine OSPF
Một OSPF router từ khi khởi tạo (hoàn thành cấu hình) đến lúc thiết lập đầy đủ thông
thường trải qua 7 trạng thái: Down, Init, 2-Way, Exstart, Exchange, Loading và Full.
Hình 1.16. Neighbor State Machine
27
1.4.5.1. Down
Ở bước này, các Router tìm kiếm neighbor, negotiation các tham số về giao thức.
Router sẽ lắng nghe Hello từ neighbor và gửi Hello ra địa chỉ 224.0.0.5.
Hành động khi nhận được Hello:
• Kiểm tra thông tin Authentication trong gói tin Hello.
• Kiểm tra thông tin Subnet mask xem có trùng không.
• Kiểm tra thông tin Area-id xem có giống không.
• Kiểm tra xem Area Type có giống nhau không.
• Kiểm tra xem Router-id có bị trùng với neighbors khác không.
• Kiểm tra xem OSPF Hello timer và Dead timer có giống nhau không.
Nếu các tham số trên không phù hợp, bỏ qua gói tin Hello đó và tiếp tục duy trì ở Down
state. Vì vậy, mỗi khi thấy router cứ đứng lì ở Down thì cần phải kiểm tra lại các tham số
trên ở 2 đầu xem đã giống nhau chưa?
1.4.5.2. Init
Ở bước này, các Router đã nhận được bản tin Hello hợp lệ nhưng trong bản tin Hello không
chứa thông tin về Active Neighbor.
Hành động: Router sẽ set trường Active Neighbor trong bản tin Hello gửi ra = Router-id
của bản tin Hello nhận được và chuyển vào trạng thái 2-Way.
1.4.5.3. 2 - Way
Ở bước này, các Router thực hiện bình bầu DR/BDR dựa vào thông tin trong bản tin Hello
nhận được.
1.4.5.4. ExStart
Ở bước này, các Router thực hiện bầu chọn xem router nào là Master/Slave, phục vụ cho
việc trao đổi Database.
Điều kiện: Hoàn thành bình bầu DR/BDR.
Hành động:
Router tự coi mình là Master, gửi ra gói tin DD chứa sequence number của mình và cờ Init
= 1.
Dựa vào router-id nhận được từ DD packet để bình bầu Master/Slave phục vụ cho quá trình
trao đổi thông tin Database.
28
Nguyên tắc:
Master gửi ra DD packet khi và chỉ khi Slave gửi ra DD packet với giá trị sesquence number
là giá trị vừa gửi ra (khi đó nó sẽ phải gửi với sequence number tăng thêm 1), hoặc hết
timer mà không nhận được DD packet từ Slave.
Slave chỉ gửi ra sequence number khi nhận được DD packet của Master (và giá trị seq_num
gửi ra phải bằng với seq_num nhận được từ Master).
Nguyên tắc trên đảm bảo 3 yếu tố:
Đảm bảo database luôn là mới nhất (dựa vào số sequence number luôn là lớn nhất): mỗi
OSPF database có một sequence number. Master có trách nhiệm tăng số sequence number
này mỗi khi cập nhật database.
Giúp Master ACK DD packet: Khi Master gửi ra sequence number, nó cần một phương
pháp để ACK việc nhận được gói tin DD. Thay vì gửi trả gói tin ACK, nó yêu cầu slave
gửi trả đúng seq_num mà Master vừa gửi ra.
Đảm bảo 2 Router vẫn đang nói chuyện về cùng một database.
Hành động khi nhận được gói tin: Kiểm tra trường MTU size, nếu lớn hơn MTU mình có
thể hỗ trợ => Discard DD packet => Stuck ở ExStart. Như vậy, nếu thấy khi cấu hình xong
mà router cứ đứng im ở ExStart thì cần kiểm tra lại MTU size trên 2 đầu interface ngay và
luôn.
1.4.5.5. ExChange
Ở bước này, các Router thực hiện trao đổi thông tin Database (LSA Header).
Điều kiện: Hoàn thành bình bầu Master/Slave.
Master sẽ không phải làm gì cả. Slave gửi ra DD packet với cờ Init = 0, seq_num = seq_num
nhận được từ Master.
Sau khi trao đổi trong Database, gói tin DD cuối cùng sẽ chứa bit More = 0, báo hiệu là đã
gửi xong toàn bộ thông tin database.
1.4.5.6. Loading
Ở bước này, các Router so sánh thông tin database của mình và database của adjacency,
thiếu LSA nào thì yêu cầu adjacency bổ sung thông tin cho LSA đó để tính toán best route.
Điều kiện: Nhận được DD packets với trường More = 0.
Hành động:
Nếu thấy thiếu LSA trong database, router sẽ gửi yêu cầu hàng xóm bổ sung bằng cách gửi
bản tin LS Request chứa tên LSA còn thiếu.
29
Hàng xóm nhận được LS Request, sẽ gửi trả lại bản tin LS Update, cập nhật các thông tin
chi tiết cho LSA (gửi thông tin gì thì tùy loại LSA sẽ có các tham số khác nhau).
Nhận được LS Update, Router sẽ gửi trả LS ACK để thông báo đã nhận được thông tin.
Nếu nhận đủ thông tin LSA từ hàng xóm, router sẽ nhảy sang Full. Nếu ngay từ bước
Exchange, router nhận thấy mình đã có đủ thông tin LSA và không cần cập nhật thêm, nó
sẽ nhảy thẳng vào Full state mà không cần qua Loading.
1.4.5.7. Full
Ở trạng thái này, các Router đã có đầy đủ thông tin về database của nhau nên không có gì
để nói.
Các Router tiếp tục gửi Hello packets theo Hello interval để tìm kiếm hàng xóm mới và
duy trì kết nối với hàng xóm cũ. Khi có thông tin về LSA mới, Router sẽ thực hiện cập
nhật cho hàng xóm thông qua LS Update chứ không cần đồng bộ lại Database như ở
ExChange.
1.4.6. Cấu hình OSPF
Hình 1.17. Topology OSPF

Trên hình 1.17 là 4 Router đại diện cho bốn chi nhánh khác nhau của một doanh nghiệp:
R1 cho chi nhánh 1, R2 cho chi nhánh 2, R3 cho chi nhánh 3 và R4 cho chi nhánh 4. Các
Interface loopback trên các router đại diện cho các mạng nội bộ của mỗi chi nhánh, sử dụng
các subnet trên R1, R2, R3 và R4 lần lượt là 192.168.1.0/24, 192.168.2.0/24,
192.168.3.0/24 và 192.168.4.0/24. Bốn Router này đấu nối với nhau thông qua một kết nối
30
multi – access (đại diện bằng một Ethernet Switch), sử dụng subnet là 192.168.123.0/24
(trên thực tế, đây có thể là một môi trường Metro net đấu nối giữa các chi nhánh). Router
R3 và R4 còn thực hiện đấu nối riêng với nhau bằng một đường leased – line thông qua
các cổng serial, sử dụng subnet 192.168.34.0/24.
Yêu cầu đặt ra là chạy định tuyến OSPF đảm bảo mọi địa chỉ trên sơ đồ mạng thấy nhau.
Để thực hiện chạy OSPF trên các router, chúng ta sử dụng câu lệnh sau:
R(config)#router ospf process-id
R(config-router)#network địa chỉ IP wildcard-mask area area-id
Trong đó:
Process – id: số hiệu của tiến trình OSPF chạy trên Router, chỉ có ý nghĩa local trên Router
Để cho một cổng tham gia OSPF, ta thực hiện “network” địa chỉ mạng của cổng đó. Với
OSPF ta phải sử dụng thêm wildcard-mask để lấy chính xác subnet tham gia định tuyến.
Ta cũng phải chỉ ra link thuộc area nào bằng tham số “area”.
Thực hiện cấu hình trên các Router
Trên Router R1
R1(config)#router ospf 1
R1(config-router)#network 192.168.123.0 0.0.0.255 area 0
Trên Router R2
Trên Router R3
Trên Router R4
31
Ta thấy khi muốn cho cổng e0/0 trên Router tham gia OSPF , ta “network” mạng
192.168.123.0/24 trên cổng này. Giá trị wildcard-mask được tính cho /24 sẽ là 0.0.0.255
(để tính được giá trị wildcard-mask, ta lấy giá trị 255.255.255.255 trừ đi giá trị subnet
mask 255.255.255.0 từng octet một sẽ được kết quả cần tìm). Cách tính này chỉ đúng cho
một dải IP liên tiếp, không phải đúng cho mọi trường hợp. Tương tự với các cổng khác của
các Router.
Thực hiện kiểm tra bảng định tuyến trên mỗi Router
Trên Router R1
R1#show ip route ospf
192.168.2.0/32 is subnetted, 1 subnets
O 192.168.2.1 [110/11] via 192.168.123.2, 00:06:07, Ethernet0/0
O 192.168.3.1 [110/11] via 192.168.123.3, 00:04:12, Ethernet0/0
O 192.168.4.1 [110/11] via 192.168.123.4, 00:02:57, Ethernet0/0
O 192.168.34.0/24 [110/74] via 192.168.123.4, 00:02:57, Ethernet0/0
[110/74] via 192.168.123.3, 00:03:55, Ethernet0/0
Trên Router R2
O 192.168.1.1 [110/11] via 192.168.123.1, 00:07:28, Ethernet0/0
O 192.168.3.1 [110/11] via 192.168.123.3, 00:05:33, Ethernet0/0
O 192.168.4.1 [110/11] via 192.168.123.4, 00:04:17, Ethernet0/0
O 192.168.34.0/24 [110/74] via 192.168.123.4, 00:04:17, Ethernet0/0
[110/74] via 192.168.123.3, 00:05:15, Ethernet0/0
32
Trên Router R3
O 192.168.1.1 [110/11] via 192.168.123.1, 00:06:58, Ethernet0/0
O 192.168.2.1 [110/11] via 192.168.123.2, 00:06:58, Ethernet0/0
O 192.168.4.1 [110/11] via 192.168.123.4, 00:05:43, Ethernet0/0
Trên Router R4
O 192.168.1.1 [110/11] via 192.168.123.1, 00:07:30, Ethernet0/0
O 192.168.2.1 [110/11] via 192.168.123.2, 00:07:30, Ethernet0/0
O 192.168.3.1 [110/11] via 192.168.123.3, 00:07:30, Ethernet0/0
Ta thấy rằng các subnet ở xa đã được học thông qua OSPF (các route OSPF được ký hiệu
bằng ký tự “O”).
Một điểm độc đáo chúng ta để ý là các mạng loopback khi hiển thị trong bảng định tuyến
của các Router đều được OSPF chuyển thành /32. Đây là một đặc điểm trong hoạt động
của giao thức OSPF, một loại giao thức cung cấp cho mỗi Router một cái nhìn tổng quan
toàn mạng. Với cái nhìn như vậy, mỗi Router xác định được mạng loopback nằm trên một
cổng không đấu nối đi đâu cả và chỉ có một địa chỉ của cả một mạng được sử dụng. /32
được sử dụng để phản ánh điều này. Để khắc phục hiện tượng này và khiến cho các subnet
loopback được hiển thị đúng giá trị prefix –length, ta thay đổi kiểu network – type trên
interface loopback thành kiểu “point – to – point” bằng câu lệnh:
R(config)#interface loopback 0
R(config-if)#ip ospf network point-to-point
33
Thực hiện kiểm tra lại bảng định tuyến trên các Router
Trên Router R1
R1# show ip route ospf
O 192.168.2.0/24 [110/11] via 192.168.123.2, 00:01:36, Ethernet0/0
O 192.168.3.0/24 [110/11] via 192.168.123.3, 00:01:21, Ethernet0/0
O 192.168.4.0/24 [110/11] via 192.168.123.4, 00:00:58, Ethernet0/0
O 192.168.34.0/24 [110/74] via 192.168.123.4, 00:11:25, Ethernet0/0
[110/74] via 192.168.123.3, 00:12:23, Ethernet0/0
Trên Router R2
O 192.168.1.0/24 [110/11] via 192.168.123.1, 00:01:55, Ethernet0/0
O 192.168.3.0/24 [110/11] via 192.168.123.3, 00:01:19, Ethernet0/0
O 192.168.4.0/24 [110/11] via 192.168.123.4, 00:00:57, Ethernet0/0
O 192.168.34.0/24 [110/74] via 192.168.123.4, 00:11:23, Ethernet0/0
[110/74] via 192.168.123.3, 00:12:21, Ethernet0/0
Trên Router R3
O 192.168.1.0/24 [110/11] via 192.168.123.1, 00:01:12, Ethernet0/0
O 192.168.2.0/24 [110/11] via 192.168.123.2, 00:00:51, Ethernet0/0
O 192.168.4.0/24 [110/11] via 192.168.123.4, 00:00:13, Ethernet0/0
Trên Router R4
O 192.168.1.0/24 [110/11] via 192.168.123.1, 00:01:01, Ethernet0/0
O 192.168.2.0/24 [110/11] via 192.168.123.2, 00:00:41, Ethernet0/0
O 192.168.3.0/24 [110/11] via 192.168.123.3, 00:00:25, Ethernet0/0
Ta thấy lúc này các subnet của Interface loopback đã được chuyển thành /24.
34
Ta cùng khảo sát bảng neighbor trên các Router
Trên Router R1
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
192.168.2.1 1 FULL/BDR 00:00:37 192.168.123.2 Ethernet0/0
192.168.3.1 1 FULL/DROTHER 00:00:35 192.168.123.3 Ethernet0/0
Trên Router R2
192.168.1.1 1 FULL/DR 00:00:39 192.168.123.1 Ethernet0/0
Trên Router R3
192.168.4.1 0 FULL/- 00:00:35 192.168.34.4 Serial1/0
192.168.1.1 1 FULL/DR 00:00:33 192.168.123.1 Ethernet0/0
192.168.4.1 1 2WAY/DROTHER 00:00:32 192.168.123.4 Ethernet0/0
Trên Router R4
192.168.3.1 0 FULL/- 00:00:35 192.168.34.3 Serial1/0
192.168.1.1 1 FULL/DR 00:00:33 192.168.123.1 Ethernet0/0
192.168.3.1 1 2WAY/DROTHER 00:00:34 192.168.123.3 Ethernet0/0
35
1.5. Giao thức định tuyến BGP(Border Gateway Protocol)
1.5.1. Giới thiệu BGP
BGP, viết tắt của từ tiếng Anh Border Gateway Protocol, là giao thức tìm đường nòng cốt
trên Internet. Nó hoạt động dựa trên việc cập nhật một bảng chứa các địa chỉ mạng (prefix)
cho biết mối liên kết giữa các hệ thống tự trị (autonomous system, tập hợp các hệ thống
mạng dưới cùng sự điều hành của một nhà quản trị mạng, thông thường là một nhà cung
cấp dịch vụ Internet, ISP). BGP là một giao thức vector đường đi (path vector). Khác với
các giao thức tìm đường khác như RIP (vector độ dài), OSPF (trạng thái liên kết), BGP
chọn đường bằng một tập các chính sách và luật. Phiên bản BGP hiện nay là phiên bản 4,
dựa trên RFC 4271.
BGP hỗ trợ tìm đường liên vùng phi lớp (CIDR Classless Inter-Domain Routing) và dùng
kỹ thuật kết hợp đường đi để giảm kích thước bảng tìm đường (ví dụ nếu một mạng chiếm
255 địa chỉ lớp C từ 203.162.0.0/24 - 203.162.254.0/24 thì chỉ dùng 1 địa chỉ
203.162.0.0/16 để định danh mạng)
BGP được sử dụng thay thế cho EGP và xóa hẳn mạng xương sống NSFNET nhằm giúp
cho Internet trở thành một hệ thống phân tán đúng nghĩa.
Ngoài việc sử dụng BGP giữa các AS, BGP cũng có thể được sử dụng trong các mạng
riêng quy mô lớn do OSPF không đáp ứng được. Một lý do khác là dùng BGP để hỗ trợ
multihome.
Đa số người sử dụng Internet thường không sử dụng BGP một cách trực tiếp. Chỉ có các
nhà cung cấp dịch vụ Internet sử dụng BGP để trao đổi đường đi. BGP là một trong những
giao thức quan trọng nhất đảm bảo tính kết nối của Internet.
1.5.2. Nguyên tắc hoạt động của BGP
- Giá trị AD của EBGP là 20. Giá trị AD của IBGP là 200.
- Các BGP láng giềng được gọi là các peers phải được cấu hình trực tiếp theo kiểu
tĩnh.
- BGP sử dụng TCP port 179. Các BGP peers sẽ trao đổi các thông tin như thông tin
cập nhật, gói tin keepalive.
- Các Router chỉ có thể chạy một BGP tại một thời điểm
- BGP là một giao thức kiểu path-vector. Đường đi của nó đến một mạng bao gồm
một danh sách các AS.
- Cơ chế chống loop là một ASN- AS number. Khi một cập nhật về một mạng đi ra
khỏi 1 AS, ASN của AS đó được đính kèm vào bản cập nhật. Khi một AS nhận một
cập nhật, nó sẽ xem trong AS list. Nếu nhận ra ASN của chính nó, cập nhật sẽ bị
loại bỏ.
36
BGP Database: BGP dùng 3 loại database, 2 loại dùng riêng cho giao thức, 1 loại dùng
cho toàn bộ quá trình routing trên router
Neighbor database: một danh sách tất cả các BGP láng giềng được cấu hình.
BGP database, hay còn gọi RIB (Routing Information Base): một danh sách các mạng
mà BGP biết, kèm theo là paths (đường đi) và attributes.
Hình 1.18. BGP sử dụng Route là các AS

Routing table: danh sách các paths đến mỗi mạng được sử dụng bởi Router và next hop
cho mỗi mạng.
Các kiểu thông điệp BGP: Có 4 kiểu thông điệp
• Open: sau khi một láng giềng được cấu hình, BGP gửi một thông điệp open để cố
gắng kết nối với láng giềng đó. Bao gồm thông tin như ASN, RIB, và hold time.
• Update: thông điệp này được sử dụng để trao đổi thông tin định tuyến giữa các
peers. Chứa thông tin về các route mới, các route bị down, và các thuộc tính của
đường (path attributes).
• Keepalive: mặc định, các BGP peers trao đổi thông điệp này sau mỗi 60 giây.
Chúng sẽ giữ phiên làm việc giữa các peer được active.
• Notification: khi xảy ra 1 vấn đề làm cho Router phải kết thúc phiên làm việc BGP,
một thông điệp notification sẽ được gửi đến BGP neighbor và việc kết nối sẽ chấm
dứt.
37
1.5.3. Thứ tự ưu tiên trong cơ chế tìm đường của BGP
- Chọn đường đi tường minh trong bảng trước (so với đường đi mặc định)
- Chọn đường đi có trọng số cao nhất (weight) (chỉ với router của Cisco)
- Chọn đường đi có độ ưu tiên cục bộ cao nhất (local preference)
- Chọn đường đi do chính người quản trị mạng cài đặt trên router (static route, có
thuộc tính origin là INCOMPLETE)
- Chọn đường đi đi qua ít AS nhất (AS path ngắn nhất)
- Chọn đường đi có nguồn gốc bên trong trước (origin = IGP < EGP)
- Chọn đường đi có độ ưu tiên gần/xa thấp nhất MED (Multi exit discriminator)
- Chọn đường đi ra bên ngoài trước (external path)
- Chọn đường đi có độ đo IGP đến hop tiếp theo thấp nhất (IGP metric to the next
hop)
- Chọn đường đi tồn tại trong bảng lâu nhất (oldest one)
- Chọn đường đi đến router tiếp theo có BGP ID thấp nhất
1.5.4. Các vấn đề hiện tại của của BGP
Đường đi không ổn định, thay đổi liên tục theo chu kỳ (route flapping)
Sự tăng trưởng của kích thước bảng tìm đường
Độ trễ của việc hội tụ bảng tìm dường (thời gian để cập nhật bảng tìm đường cho tất cả
router khi có sự thay đổi, convergence delay)
Vòng lặp trong việc chuyển thông tin đường đi (looping behavior)
Độ tin cậy và cơ chế mã hóa thông tin
38
1.6. Chuyển mạch nhãn đa giao thức MPLS
1.6.1. Giới thiệu về Chuyển mạch nhãn đa giao thức MPLS
Chuyển mạch nhãn đa giao thức MPLS là kết quả của quá trình phát triển nhiều giải pháp
chuyển mạch IP, đây là công nghệ chuyển mạch được đưa ra bởi IETF và đã nhận được
các quan tâm đặc biệt từ các nhà cung cấp dịch vụ Internet ISP. MPLS là một công nghệ
tích hợp tốt nhất các khả năng hiện tại để phân phát gói tin từ nguồn tới đích qua mạng
Internet.
Có thể định nghĩa MPLS là một tập các công nghệ mở dựa vào chuẩn Internet mà kết hợp
chuyển mạch lớp 2 và định tuyến lớp 3 để chuyển tiếp gói tin bằng cách sử dụng các nhãn
ngắn có chiều dài cố định. MPLS cho phép các ISP hợp nhất các mạng sử dụng các công
nghệ khác nhau vào trong một mạng duy nhất, và đặc biệt quan trọng là cho các nhà ISP
đạt được việc điều khiển lưu lượng một cách chính xác tại lớp IP.
MPLS sử dụng định tuyến cưỡng bức để xác định các đường mà luồng lưu lượng sẽ đi
ngang qua đó và xác định đích tới của các gói chuyển mạch nhãn sử dụng các đường các
đường được xác định trước đó.
Hình 1.19. Mô hình sử dụng MPLS

Bằng cách sử dụng các giao thức điều khiển và định tuyến Internet, MPLS cung cấp chuyển
mạch hướng kết nối ảo qua các tuyến Internet bằng cách sử dụng các nhãn và trao đổi nhãn.
MPLS bao gồm việc thực hiện các đường chuyển mạch nhãn LSP, nó cũng cung cấp các
39
thủ tục và các giao thức cần thiết để phân phối các nhãn giữa các chuyển mạch và các bộ
định tuyến.
Nghiên cứu MPLS đang được thực hiện dưới sự bảo trợ của nhóm làm việc MPLS trong
IETF. MPLS vẫn là một sự phát triển tương đối mới, nó mới chỉ được tiêu chuẩn hoá theo
Internet vào đầu năm 2001. Sử dụng MPLS để trao đổi khe thời gian TDM, chuyển mạch
không gian và các bước sóng quang là những phát triển mới nhất. Các nỗ lực này được gọi
là GMPLS (Generalized MPLS).
Nhóm làm việc MPLS đưa ra danh sách với 8 bước yêu cầu để xác định MPLS, đó là:
- MPLS phải làm việc với hầu hết các công nghệ liên kết dữ liệu.
- MPLS phải thích ứng với các giao thức định tuyến lớp mạng và các công nghệ
Internet có liên quan khác.
- MPLS cần hoạt động một cách độc lập với các giao thức định tuyến.
- MPLS phải hỗ trợ mọi khả năng chuyển tiếp của bất kỳ nhãn cho trước nào.
- MPLS phải hỗ trợ vận hành quản lý và bảo dưỡng (OA&M).
- MPLS cần xác định và ngăn chặn chuyển tiếp vòng.
- MPLS cần hoạt động trong mạng phân cấp.
- MPLS phải có tính kế thừa.
Các yêu cầu này chính là các nỗ lực phát triển cần tập trung. Liên quan tới các yêu
cầu này, nhóm làm việc cũng đưa ra 8 mục tiêu chính mà MPLS cần đạt được:
- Chỉ rõ các giao thức được tiêu chuẩn hoá nhằm duy trì và phân phối nhãn để hỗ trợ
định tuyến dựa vào đích unicast mà việc chuyển tiếp được thực hiện bằng cách trao
đổi nhãn. (Định tuyến unicast chỉ ra một cách chính xác một giao diện, định tuyến
dựa vào đích ngụ ý là định tuyến dựa vào địa chỉ đích cuối cùng của gói tin).
định tuyến dựa vào đích multicast mà việc chuyển tiếp được thực hiện bằng cách
trao đổi nhãn.
phân cấp định tuyến mà việc chuyển tiếp được thực hiện bằng cách trao đổi nhãn.
các đường riêng dựa vào trao đổi nhãn. Các đường này có thể khác so với các đường
đã được tính toán trong định tuyến IP thông thường. Các đường riêng rất quan trọng
trong các ứng dụng TE.
40
- Chỉ ra các thủ tục được tiêu chuẩn hoá để mang thông tin về nhãn qua các công nghệ
lớp 2.
- Chỉ ra một phương pháp tiêu chuẩn nhằm hoạt động cùng với ATM ở mặt phẳng
điều khiển và mặt phẳng người dùng.
- Phải hỗ trợ cho các công nghệ QoS.
- Chỉ ra các giao thức tiêu chuẩn cho phép các host sử dụng MPLS.
1.6.2. Một số ứng dụng MPLS
• MPLS VPN: Nhà cung cấp dịch vụ có thể tạo nhiều kênh mạng riêng ảo VPN theo
mạng đường trục cùng lúc cho nhiều khách hàng với chỉ duy nhất cơ sở hạ tầng hiện
có mà không cần các ứng dụng encryption hay end user. Trên thực tế là những đường
Megawan do các nhà cung cấp dịch vụ cung cấp được thuê riêng nối giữa các doanh
nghiệp. Đảm bảo chất lượng tốc độ cao, băng thông rộng mà giá thành không đắt so
với các đường Leaseline hay FrameRelay thông thường.
• MPLS QoS: Nhà cung cấp dịch vụ có thể cung cấp nhiều loại dịch vụ với sự đảm
bảo về chất lượng tốt nhất cho khách hàng để phục vụ tốt cho những ứng dụng thời
gian thực như VoIP, Video Conference. MPLS cung cấp khả năng thiết lập một hoặc
nhiều đường đi để điều khiển lưu lượng mạng và thiết lập đường đi riêng cho từng
loại lưu lượng mạng. MPLS cung cấp khả năng điều khiển lưu lượng để sử dụng
hiệu quả tài nguyên mạng. Kỹ thuật lưu lượng giúp chuyển tải từ các phần quá tải
sang các phần còn rỗi của mạng dựa vào điểm đích, loại lưu lượng, tải, thời gian…
• AtoM (Any Transport over MPLS): Nhà cung cấp dịch vụ cung cấp đường thuê
riêng ở lớp 2. Trên thực tế là những đường Metronet, Ethernet over MPLS.
• BGP – Free Core: không cần chạy BGP ở những con lõi mà chỉ cần chạy BGP cho
những con biên giao tiếp với mạng bên ngoài.
• Ưu điểm vượt trội: hợp nhất hạ tầng.
1.6.3. Cơ sở nào để hình thành MPLS?
Với giao thức định tuyến internet TCP/IP có khả năng định tuyến và truyền gói hết sức
mềm dẻo linh hoạt và rộng khắp toàn cầu. Nhưng IP không đảm bảo chất lượng dịch vụ,
tốc độ truyền tin theo yêu cầu, trong khi đó công nghệ ATM có tốc độ truyền tin cao, đảm
bảo thời gian thực và chất lượng dịch vụ theo yêu cầu định trước.
Hơn nữa các dịch vụ thông tin thế hệ sau được chia thành hai xu hướng phát triển đó là:
Hoạt động kết nối định hướng và hoạt động không kết nối. Hai xu hướng phát triển này
dần tiệm cận và hội tụ với nhau tiến tới ra đời công nghệ IP/ATM. Sự kết hợp IP với ATM
có thể là giải pháp kỳ vọng cho mạng viễn thông trong tương lai.
41
Sự ra đời của chuyển mạch nhãn đa giao thức (MPLS) là tất yếu và là giải pháp đáp ứng
được nhu cầu đó, khi nhu cầu và tốc độ phát triển rất nhanh của mạng internet yêu cầu phải
có giao thức mới đảm bảo chất lượng dịch vụ theo yêu cầu đồng thời phải đơn giản và tốc
độ xử lý phải rất cao.
MPLS những năm gần đây đã và đang được triển khai ngày càng quy mô và rộng lớn trên
nhiều quốc gia. Thậm chí đối với những đất nước nơi mà nền công nghệ thông tin phát
triển sau các nước tiên tiến trên thế giới đang cân nhắc để họ có thể bỏ qua bước xây dựng
các cơ sở hạ tầng phục vụ cho truyền tải lớp 2 truyền thống như các nước tiên tiến đã sử
dụng như ATM hay Frame Relay để tiến thẳng đến xây dựng một cơ sở hạ tầng MPLS.
Vậy MPLS là gì và dựa trên những lợi ích to lớn nào mà nó có thể dần dần thay thế các
công nghệ cũ trước đó?
Đây không phải là một kỹ thuật xa lạ khi mà Frame Relay và ATM đã áp dụng nó để vận
chuyển frame hoặc cell. Ở mỗi hop trong network, giá trị có thể hiểu là nhãn như là DLCI
hay VPI/VCI sẽ bị thay đổi bởi 1 giá trị nhãn khác và điều này làm nó khác với cách chuyển
mạch IP truyền thống khi địa chỉ đích ở mỗi next hop luôn được duy trì không đổi. Vậy tại
sao phải sử dụng MPLS?
Hình 1.20. MPLS Network
Trước MPLS, ATM và Frame Relay đóng vai trò là những công nghệ WAN chủ chốt, cung
cấp các kết nối và đường truyền riêng cho các dịch vụ lớp 2 với sự riêng tư và ảo hóa cao,
đồng thời hỗ trợ luôn các dịch vụ lớp 3 gọi là các overlay network. Tuy nhiên, để có thể
làm được điều đó, nhà cung cấp dịch vụ phải xây dựng những hạ tầng riêng cho từng loại
lớp dịch vụ và điều này làm học tiêu tốn không ít chi phí.
Ở Việt Nam, hầu hết các mạng WAN đều sử dụng dịch vụ leased line thông qua các nhà
cung cấp dịch vụ viễn thông với lối hoạt động theo giao thức định tuyến IP truyền thống
42
khiến cho giá thành trở nên đắt đỏ và chất lượng dịch vụ kém do các router thường xuyên
bị quá tải dẫn đến việc mất lưu lượng hay mất kết nối.
Nhưng khi triển khai MPLS và dịch vụ điển hình của nó là MPLS VPN, các nhược điểm
kể trên hoàn toàn có thể được khắc phục. MPLS với việc chuyển mạch dựa vào nhãn mang
lại nhiều lợi ích to lớn hơn cho các nhà cung cấp dịch vụ khi có thể giúp họ tiết kiệm được
chi phí cho việc xây dựng cơ sở hạ tầng vì MPLS không chỉ cho phép vận chuyển các gói
lớp 3 bằng giao thức IP thông qua MPLS backbone mà còn cho phép bất kỳ giao thức giao
thức non-IP lớp 2 nào như Frame Relay, ATM, Ethernet, HDLC, PPP được vận chuyển chỉ
trên một cơ sở hạ tầng tích hợp duy nhất.
Ngoài ra, nó còn hỗ trợ nhiều ứng dụng hữu ích như định tuyến unicast, multicast, truyền
tải dựa vào QoS và phân luồng giúp giảm thiểu sự quá tải trong các router core. Chuyển
mạch nhãn đa giao thức là một giải pháp linh hoạt cho việc giải quyết các vấn đề mà các
mạng ngày nay đang phải đối mặt, đó là tốc độ, khả năng mở rộng cấp độ mạng, quản lý
chất lượng dịch vụ (QoS) và kỹ thuật lưu lượng.
MPLS xuất hiện để đáp ứng các yêu cầu dịch vụ và quản lý băng thông cho giao thức
internet thế hệ sau dựa trên mạng đường trục. Chuyển mạch nhãn đa giao thức sẽ đóng vai
trò quan trọng trong việc định tuyến (dựa trên các thước đo QoS và chất lượng dịch vụ)
chuyển mạch, chuyển tiếp các gói tin qua mạng thế hệ sau cũng như giải quyết các vấn đề
liên quan tới khả năng mở rộng cấp độ và hoạt động với các mạng Frame Relay và chế độ
truyền tải không đồng bộ ATM hiện nay để đáp ứng các nhu cầu dịch vụ của người sử dụng
mạng.
Khái niệm chuyển mạch nhãn xuất phát từ hai khái niệm: Tổng đài chuyển mạch và bộ
định tuyến. Xét trên góc độ chuyển mạch, phương thức điều khiển luồng, tỉ lệ giá cả và
chất lượng tổng đài chuyển mạch sẽ tốt hơn bộ định tuyến. Song bộ định tuyến lại có khả
năng định tuyến mềm dẻo mà tổng đài chuyển mạch không có được. Do đó, chuyển mạch
nhãn ra đời là sự kết hợp và kế thừa các ưu điểm trên cũng như khắc phục những nhược
điểm của cả tổng đài và bộ định tuyến truyền thống.
1.6.4. Cấu trúc MPLS
1.6.4.1. Nhãn (Label)
Nhãn là một thực thể có độ dài ngắn và cố định không có cấu trúc bên trong. Nhãn không
trực tiếp mã hoá thông tin của mào đầu lớp mạng như địa chỉ mạng. Nhãn là giá trị có chiều
dài cố định dùng để nhận diện một FEC nào đó. Sự kết hợp giữa FEC và nhãn được gọi là
ánh xạ nhãn - FEC.
Thường thì một gói tin được ấn định một FEC (hoàn toàn hoặc một phần) dựa trên địa chỉ
đích lớp mạng của nó. Tuy nhiên nhãn không phải là mã hoá của địa chỉ đó. MPLS được
thiết kế để sử dụng ở bất kì môi trường và hình thức đóng gói lớp 2 nào.
43
Hầu hết các hình thức đóng gói lớp 2 là dựa trên frame, và MPLS chỉ đơn giản thêm vào
nhãn 32bit giữa mào đầu lớp 2 và lớp 3, gọi là shim header. Phương thức đóng gói này gọi
là Frame-mode MPLS.
ATM là một trường hợp đặc biệt sử dụng cell có chiều dài cố định. Do đó nhãn không thể
được thêm vào trong mỗi cell. MPLS sử dụng các giá trị VPI/VCI trong mào đầu ATM để
làm nhãn. Phương thức đóng gói này được gọi là Cell-mode MPLS. Trong khi đó
FrameRelay sử dụng DLCI làm nhãn.
Đối với các dạng gói tin không có cấu trúc nhãn, thì một khung 4 bytes được chèn vào như
trong hình vẽ:
Hình 1.21. Cấu trúc Nhãn(Label)

Label: là nhãn thực sự, có chiều dài là 20 bit. Do đó ta có thể tạo ra được 220 - 1 hay
1.048.575 giá trị nhãn khác nhau.
Exp: trường Experimental có 3 bit, được dùng để định nghĩa lớp dịch vụ.
S: bit S là bit bottom-of-stack (dưới cùng của chồng nhãn). Một gói tin có thể có nhiều
nhãn, nếu nhãn thêm vào chồng nhãn là cuối cùng thì bit này được thiết lập lên 1.
TTL: trường Time to live có 8 bit, trường này mang ý nghĩa giống như bên IP. Tức là nó
sẽ giảm đi 1 khi qua mỗi hop để ngăn chặn routing loop. Đối với các khung PPP hay
Ethernet giá trị nhận dạng giao thức P-Id (hoặt Ethetype) được chèn vào đầu khung tương
ứng để thông báo khung là MPLS unicast hay multicast.
1.6.4.2. Ngăn xếp nhãn (Label Stack)
Nhãn của gói tin đi ra gói là nhãn ngõ ra, tương tự cho nhãn của gói tin đi vào gói là nhãn
ngõ vào. Một gói tin có thể có cả nhãn ngõ ra và ngõ vào, có thể có nhãn ngõ vào mà không
có nhãn ngõ ra hoặc là ngược lại.
Thông thường, một gói tin có thể có nhiều nhãn được gọi là chồng nhãn (lable stack). Các
nhãn trong chồng nhãn được tổ chức theo kiểu chồng nhãn LIFO (last-in, first-out).
44
Một gói tin không có gắn nhãn được xem là có chiều sâu chồng nhãn bằng 0. Chiều sâu d
của chồng nhãn tương ứng với trình từ của nhãn trong chồng nhãn <1,2,3...d-1, d> với nhãn
1 ở đáy chồng nhãn và nhãn d ở đỉnh của chồng nhãn.
Hình 1.22. Ngăn xếp Nhãn
Ở nhãn cuối cùng của ngăn xếp, giá trị Bos được thiết lập là 1, còn những nhãn còn lại
được thiết lập là 0.
Một số ứng dụng MPLS thực tế cần nhiều hơn 1 nhãn trong ngăn xếp nhãn đã chuyển gói
tin, ví dụ như MPLS VPN và AtoM đẩy 2 nhãn vào trong ngăn xếp nhãn.
1.6.4.3. MPLS và mô hình tham chiếu OSI
Lớp 2, tầng liên kết dữ liệu, quan tâm đến việc định dạng của các frame. Ví dụ của tầng
liên kết dữ liệu là: Ethernet, PPP, HDLC, và Frame Relay. Điểm quan trọng của tầng liên
kết dữ liệu là chỉ có một liên kết giữa hai máy tính, nhưng không vượt quá. Điều này có
nghĩa là tiêu đề tầng liên kết dữ liệu luôn luôn được thay đổi bởi máy tính ở đầu kia của
liên kết.
Lớp 3, tầng mạng, liên quan đến định dạng của gói tin từ điểm cuối đến điểm cuối. Nó có
ý nghĩa vượt ra ngoài liên kết dữ liệu. Ví dụ được biết nhiều nhất của một giao thức hoạt
động ở lớp là IP.
Trường hợp nào MPLS phù hợp? MPLS không đơn thuần là một giao thức thuộc lớp 2 bởi
vì sự đóng gói ở lớp 2 vẫn còn hiện diện cùng với các gói tin đã được dán nhãn, nó được
thiết kế để hoạt động tương thích các yêu cầu của nhiều công nghệ mạng liên kết dữ liệu
khác nhau. MPLS cũng không thực sự là một giao thức lớp 3 bởi vì nó không có khả năng
tự định tuyến hoặc có sơ đồ địa chỉ (điều kiện buộc phải có ở lớp 3).
Đối với môi trường ứng dụng IP, MPLS sử dụng cách đánh địa chỉ và các giao thức định
tuyến hiện có với sự điều chỉnh và bổ sung. Do đó, MPLS không phù hợp trong mô hình
phân lớp OSI quá tốt. Có lẽ việc dễ nhất để làm là xem MPLS như là một công nghệ lớp
2,5 và được làm việc với nó. Mô hình này chỉ ra rằng MPLS không phải là lớp mới mà nó
là một phần ảo của mặt bằng điều khiển dưới lớp mạng và trên lớp liên kết dữ liệu.
45
Hình 1.23. MPLS và mô hình tham chiếu OSI
Giao thức MPLS hoạt động dựa trên sự kết hợp giữa chuyển mạch lớp 2 và định tuyến lớp
3 để chuyển tiếp gói tin bằng cách sử dụng các nhãn có chiều dài cố định.
1.6.4.4. Cấu trúc một nút MPLS

Một nút của MPLS có hai mặt phẳng là mặt phẳng chuyển tiếp MPLS và mặt phẳng điều
khiển MPLS. Các thành phần của hai mặt phẳng này minh họa rõ trong hình (Hình 1.22).
Cụ thể ý nghĩa từng thành phần được mô tả tiếp như sau:
• Cơ sở thông tin nhãn LIB (Label Information Base): Được xem là cơ sở dữ liệu
cho tất cả các giao thức phân phối nhãn.
• Bảng định tuyến IP RIB: Được xem là cơ sở dữ liệu cho tất cả các giao thức phân
phối IP.
• Kỹ thuật chuyển mạch nhãn Cisco Express Forwarding (CEF): Là nền tảng cho
MPLS và hoạt động trên các bộ định tuyến của Cisco.
46
CEF tránh việc viết lại cache trong môi trường lõi IP bằng cách sử dụng một cơ sở thông
tin chuyển tiếp FIB để quyết định chuyển mạch. Nó phản ánh toàn bộ nội dung của bảng
định tuyến IP, ánh xạ 1-1 giữa FIB và bảng định tuyến. Khi bộ định tuyến sử dụng CEF,
nó duy trì tối thiểu 1 FIB, chứa một ánh xạ các mạng đích trong bảng định tuyến với các
trạm kế tiếp tương ứng.
Hình 1.24. Mặt phẳng chuyển tiếp MPLS và mặt phẳng điều khiển MPLS
FIB (Forwarding Information Base): Sẽ ánh xạ từ một gói tin IP không nhãn thành gói
tin MPLS có nhãn ở ngõ vào của router biên hoặc từ gói tin IP không nhãn ở ngõ ra của
router biên, bảng này được hình thành từ bảng routing table, từ giao thức phân phối nhãn
LDP và từ bảng tra LFIB.
LFIB (Label Forwarding Information Base): Là bảng chứa đựng thông tin các nhãn đến
các mạng đích, một gói tin có nhãn khi đi vào một router nó sẽ sử dụng bảng tra LFIB để
tìm ra hop kế tiếp, ngõ ra của gói tin này có thể là gói tin có nhãn cũng có thể là gói tin
không nhãn. Hai bảng tra FIB và LFIB có giá trị như bảng routing table trong mạng IP,
nhưng trong mạng IP thì bảng routing table có số entry rất lớn khoảng vài ngàn, còn với
FIB và LFIB số nhãn mà nó nắm giữa rất ít khoảng vài chục là tối đa.
1.6.4.5. FEC – Lớp chuyển tiếp tương đương
Forwarding Equivalence Class: Là khái niệm được dùng để chỉ một nhóm các gói được
đối xử như nhau qua mạng MPLS ngay cả khi có sự khác biệt giữa các gói tin này thể hiện
trong mào đầu lớp mạng. Thuật ngữ FEC được sử dụng trong hoạt động chuyển mạch nhãn.
FEC được dùng để miêu tả sự kết hợp của các gói riêng biệt với một địa chỉ đích thường
là điểm nhận lưu lượng cuối cùng chẳng hạn như một tổng đài host.
47
FEC cũng có thể liên kết một giá trị FEC với một địa chỉ đích và một lớp lưu lượng. Lớp
lưu lượng được liên kết với một chỉ số cổng đích.
Tại sao phải dùng FEC?
Vì nó cho phép nhóm các gói vào các lớp. Từ nhóm này, giá trị FEC trong một gói có thể
được dùng để thiết lập độ ưu tiên cho việc xử lý các gói. FEC cũng có thể được dùng để
hỗ trợ hiệu quả hoạt động QoS. Ví dụ, FEC có thể liên kết với độ ưu tiên cao, lưu lượng
thoại thời gian thực, lưu lượng nhóm mới ưu tiên thấp.
Sự kết hợp một FEC với một gói được thực hiện bởi việc dùng một nhãn để định danh một
FEC đặc trưng. Với các lớp dịch vụ khác nhau, phải dùng các FEC khác nhau và các nhãn
liên kết khác nhau. Đối với lưu lượng Internet, các định danh sử dụng là các tham số ứng
cử cho việc thiết lập một FEC. Trong một vài hệ thống, chỉ địa chỉ đích IP được sử dụng.
FEC là một sự biểu diễn của nhóm các gói, các nhóm này chia sẻ cùng yêu cầu trong sự
vận chuyển của chúng. Tất cả các gói trong một nhóm như vậy được cung cấp cùng một
cách chọn đường tới đích. Ngược với chuyển tiếp IP truyền thống, trong MPLS việc gán
một gói cụ thể vào một FEC cụ thể được thực hiện chỉ một lần khi các gói vào trong mạng.
Các FEC dựa trên các yêu cầu dịch vụ đối với một tập các gói cho trước hay đơn giản chỉ
là đối với địa chỉ cho trước.
Mỗi LSR xây dựng một bảng để xác định xem gói được chuyển tiếp như thế nào. Bảng này
được gọi là bảng thông tin nhãn cơ bản LIB, nó là tổ hợp ràng buộc FEC với nhãn (FEC-
to- label).
1.6.4.6. Cơ sở dữ liệu nhãn LIB
Là bảng kết nối trong LSR có chứa các giá trị nhãn/FEC được gán vào cổng ra cũng như
thông tin về đóng gói phương tiện truyền, gỗm tất cả các binding láng giềng gửi tới thông
qua giao thức LDP.
1.6.4.7. Bảng chuyển mạch nhãn LFIB
Nếu như chuyển mạch IP dựa vào bảng RIB thì chuyển mạch các gói tin nhãn trong MPLS
dựa vào bảng LFIB, nó chứa thông tin route với nhãn vào và nhãn ra cho một đường chuyển
mạch nhãn LSP. Tất cả các binding láng giềng được giữ trong bản LIB, Router chọn duy
nhất một nhãn đi ra dựa vào đường đi tốt nhất từ bảng RIB và đưa vào bảng LFIB.
Khi gói tin IPv4 đi qua vùng MPLS sẽ được dán nhãn cho các route có trong bảng RIB.
Tuy nhiên LFIB có thể dán nhãn cho LDP không có trong bảng LIB. Trong MPLS traffic
engineering, nhãn được phân phối bằng giao thức RSVP. Trong trường hợp MPLS VPN,
nhãn VPN được phân phối bởi BGP.
Tóm lại Label Switching Forwarding Table là bảng chuyển tiếp nhãn có chứa thông tin về
nhãn đầu vào, nhãn đầu ra, giao diện đầu ra và địa chỉ điểm tiếp theo.
48
1.6.4.8. Đường chuyển mạch nhãn
Là tuyến tạo ra từ đầu vào đến đầu ra của mạng MPLS dùng để chuyển tiếp gói của một
FEC nào đó sử dụng cơ chế chuyển đổi nhãn (label-swapping forwarding).
Hình 1.25. Đường chuyển mạch nhãn

Đường đi qua một mạng chuyển mạch nhãn được quyết định bởi một trong hai cách.
Thứ nhất, các giao thức định tuyến truyền thống (như OSPF hay BGP) được sử dụng để
phát hiện các địa chỉ IP. Thông tin này, từ nút tiếp theo đến địa chỉ là tương đương với một
nhãn, một đường chuyển mạch nhãn mềm dẻo.
Thứ hai, LSP có thể được thiết lập dựa trên ý tưởng của định tuyến cưỡng bức. Cách này
có thể dùng một giao thức định tuyến để hỗ trợ việc thiết lập LSP nhưng LSP cũng bị cưỡng
bức bởi một số nhân tố khác như sự cần thiết phải cung cấp một mức độ QoS tốt. Thực
vậy, lưu lượng nhạy cảm với thời gian thực là thử thách đầu tiên của định tuyến cưỡng bức.
1.6.4.9. Cơ cấu báo hiệu
Yêu cầu nhãn: Một LSR yêu cầu một nhãn từ dòng xuống lân cận nên nó có thể liên kết
đến FEC xác định. Cơ cấu này có thể dùng để truyền đến các LSR tiếp theo cho đến LER
lối ra.
Đáp ứng nhãn: Để đáp ứng một yêu cầu nhãn, LSR luồng xuống sẽ gửi một nhãn đến các
bộ khởi động luồng lên sử dụng cơ cấu ánh xạ nhãn.
Hình 1.26. Cơ cấu báo hiệu nhãn
49
1.6.5. Nguyên lý hoạt động của MPLS
Là tất cả các gói tin IP sẽ được gắn nhãn (label) và chuyển tiếp theo một đường dẫn LSP.
Các router trên đường dẫn chỉ căn cứ vào nội dung của nhãn để thực hiện quyết định chuyển
tiếp gói mà không cần phải kiểm tra IP header. Quan điểm của MPLS là tính thông minh
càng đưa ra biên thì mạng càng hoạt động tốt.
Lý do là những thành phần ở mạng lõi phải chịu tải rất cao. Thành phần mạng lõi nên có
độ thông minh thấp và năng lực chuyển tải cao. MPLS phân tách hai chức năng định tuyến
và chuyển mạch. Các router ở biên thực hiện định tuyến và gắn nhãn (label) cho gói. Còn
các router ở mạng lõi chỉ tập trung làm nhiệm vụ chuyển tiếp gói với tốc độc cao dựa vào
nhãn. Tính thông minh được đẩy ra ngoài biên là một trong những ưu điểm lớn nhất của
MPLS.
1.6.5.1. Quá trình xây dựng bảng FIB và LFIB trong mạng MPLS
Gồm các bước sau:
Step 1: Giao thức định tuyến (OSPF hay ISIS,...) xây dựng bảng routing table.
Step 2: Các LSR lần lượt gán 1 nhãn cho dest-IP trong bảng Routing Table một cách độc
lập.
Step 3: LSR lần lượt phân tán nhãn cho tất cả các router LSR kế cận.
Step 4: Tất cả các LSR xây dựng các bảng LIB, LFIB, FIB dựa trên lablel nhận được.
Đầu tiên các router sẽ dùng các giải thuật định tuyến như OSPF hay IS-IS…. để tìm đường
đi cho gói tin giống như mang IP thông thường và xây dựng nên bảng routing-table cho
mỗi router trong mạng. Giải sử, ở đây router A muốn đến mạng X thì phải qua router B, B
chính là Next-hop của router A để đến mạng X.
50
Sau khi bảng routing table đã hình thành, các router sẽ gán nhãn cho các đích đến có trong
bảng routing table của nó, ví dụ ở đây router B sẽ gán nhãn bằng 25 cho mạng X, nghĩa là
những nhãn vào có giá trị 25, router B sẽ chuyển nó đến mạng X.
Router B phân tán nhãn 25 cho tất cả các router LSR kế cận nó với ý nghĩa “Nếu bạn muốn
đến X thì hãy gán nhãn 25 rồi gửi đến tôi”, cùng lúc đó bảng tra LIB hình thành trong
router B và có entry như hình sau.
Các router LSR nhận được nhãn được từ router hàng xóm sẽ cập nhập vào bảng LIB, riêng
với router biên (Edge LSRs) sẽ cập nhập vào bảng LIB và cả FIB của nó.
51
Cũng giống như B, router C sẽ gán nhãn là 47 cho Network X và sẽ quảng bá nhãn này cho
các router kế cận, C không quảng bá cho router D vì D không chạy MPLS.
Cùng lúc đó router C hình thành 2 bảng tra LIB và LFIB có các entry như trên. Sau khi
nhận được quảng bá của router C, router B sẽ thêm nhãn 47 vừa nhận được vào trong bảng
tra FIB và LIB đồng thời xây dựng bảng tra LFIB có các entry như hình vẽ, router E chỉ
thêm nhãn 47 vào trong LIB và FIB.
52
Như vậy ta đã có được đường đi từ biên router A đến mạng cần đến là mạng X, hay nói
cách khác một LSP đã hình thành. Bây giờ gói tin có thể truyền theo đường này tới đích
như sau: Một gói tin IP từ mạng IP đến router biên Ingress, router A sẽ thực hiện tra bảng
FIB của nó để tìm ra nexthop cho gói tin này, ở đây A sẽ gán nhãn 25 cho gói tin này theo
entry có trong bảng FIB của nó và sẽ gởi tới next hop là router B để đến mạng X.
Gói tin với nhãn 25 được truyền đến cho router B, router B sẽ tra bảng LFIB của nó và tìm
ra giá trị nhãn ngõ ra cho gói tin có nhãn ngõ vào 25 là 47, router B sẽ chuyển nhãn thành
47 và truyền cho next hop là router C.
53
1.6.6. Hoạt động phát hiện các LSR cùng sử dụng LDP trong MLS
1.6.6.1. Sơ lược về giao thức phân phối nhãn (LDP)
Để gói tin được truyền theo đường chuyển nhãn LSP qua mạng MPLS, tất cả các LSR phải
sử dụng giao thức phân phối nhãn và trao đổi nhãn. Khi tất cả LSR có nhãn cho FEC, gói
tin có thể được chuyển đi theo đường chuyển nhãn LSP bằng cách đổi nhãn tại mỗi LSR
trung gian.
LSR quyết định đổi nhãn, dán nhãn hay gỡ nhãn đều dữa vào bảng LFIB. LFIB xác định
đường ra tốt nhất dựa vào bảng nhãn LIB, LIB được xây dựng dựa trên việc trao đổi nhãn
của các giao thức LDP, RSVP, MP-BGP hay dán nhãn tĩnh.
Giao thức dành trước tài nguyên (RSVP) dành riêng cho kỹ thuật MPLS traffic engineering,
còn MP-BGP chỉ phân phối nhãn cho các route BGP, còn lại thì dùng LDP để phân phối
nhãn cho các route nội. Vì vậy, tất cả các LSR kết nối trực tiếp sử dụng giao thức LDP để
tạo quan hệ láng giềng và tạo các phiên trao đổi.
Các LDP ngang hàng trao đổi thông điệp bảng nhãn thông qua các phiên trao đổi này. Một
nhãn được sắp xếp hay dán vào thì chỉ giới hạn trong 1 FEC. FEC là một sự sắp đặt các gói
tin vào một đường chuyển mạch nhãn LSP nào đó và gửi chúng đi qua LSP thông qua
mạng MPLS.
LDP có 4 hoạt động chính:
• Phát hiện các LSR lân cận
• Thiết lập phiên và duy trì
• Quảng bá các ánh xạ nhãn
• Quản lý các thông báo khi 2 LSR cùng sử dụng LDP và chia sẻ 1 hoặc nhiều kết nối
giữa chúng, chúng có thể phát hiện ra nhau thông qua thông điệp “Hello”.
Bước thứ 2 chúng tạo phiên thông qua kết nối TCP, thông qua kết nối TCP này, LDP quảng
bá ánh xạ nhãn giữa 2 LDP cùng loại. Những thông điệp ánh xạ nhãn này được sử dụng để
quảng bá, thay đổi hoặc rút bỏ nhãn dán. LDP cung cấp thông số thông báo cho LDP lân
cận để hỏi hoặc báo lỗi thông qua thông điệp thông báo.
1.6.6.2. Phát hiện các LSR cùng sử dụng LDP
LSR sử dụng LDP gửi thông điệp LDP Hello trên tất cả các kết nối đã được bật giao thức
LDP. Tất cả các cổng này được bật bằng câu lệnh “mpls ip” ở mode interface, nhưng trước
tiên cần phải bật CEF với câu lệnh “ip cef” ở mode global. Thông điệp LDP Hello sử dụng
giao thức UDP port 646 để gửi tới tất cả router sử dụng địa chỉ multicast “224.0.0.2”.
54
Cổng LSR nào nhận được thông điệp “LDP Hello” này sẽ nhận biết sự có mặt của giao
thức LDP trên cổng đó. Thông điệp “Hello: chứa thời gian Hold time. Nếu không LSR nào
nhận được thông điệp “Hello” trong thời gian Hold time, LSR sẽ gỡ bỏ LSR đó ra khỏi
danh sách LDP láng giềng.
Để biết khi nào LSR gửi và nhận thông điệp LDP Hello, khoảng cách giữa các lần gửi và
thời gian Hold time, có thể sử dụng câu lệnh “show mpsl ldp discovery [detail]”. Nếu
thông điệp Hello LDP được gửi và nhận trên cùng 1 cổng có nghĩa là có sự thiết lập láng
giềng trên kết nối giữa 2 LSR bằng giao thức LDP.
Hình 1.27. Sử dụng câu lệnh “show mpsl ldp discovery [detail]”.
Ta có thể nhìn nhanh những cổng nào đang chạy giao thức LDP bằng câu lệnh “show mpls
interfaces”.
Hình 1.28. Sử dụng câu lệnh “show mpsl interfaces”
55
Để thay đổi thời gian giữa các lần gửi hay Hold time bằng lệnh “mpls ldp discovery {hello
{holdtimme | interval} seconds”.
Mặc định holdtime là 15 giây còn interval là 5 giây.
Mỗi LSR sử dụng LDP sẽ có 1 số LDP Identifier hay còn gọi là LDP IP, LDP IP là một
trường 6 byte trong đó 4 byte chỉ ra số hiệu LSR là duy nhất và 2 byte để chỉ ra không gian
nhãn mà LSR đang sử dụng. Nếu 2 byte cuối là 0 thì không gian nhãn đang sử dụng là
platform-wide hay per-platform, ngoài ra thì không gian nhãn là per-interface.
Nếu trong trường hợp nhiều LDP IP cùng được sử dụng thì 4 byte đầu sẽ cùng giá trị nhưng
2 byte cuối sẽ cho biết các không gian nhãn khác nhau.
Không gian nhãn Per-interface được dùng cho kết nối LC-ATM. 4 byte đầu của LDP IP là
địa chỉ IP cao nhất lấy từ các cổng đang hoạt động của router, còn nếu có cổng loopback
thì địa chỉ cao nhất của của các cổng loopback được chọn làm LDP IP. Có thể cấu hình địa
LDP ID bằng tay bằng lệnh: “mpls ldp router-ip tên cổng [force]”.
Nếu có từ khóa force thì LDP IP đổi ngay lập tức, nếu không thì LDP IP sẽ chỉ đổi vào lần
tới nếu cần lựa chọn router IP (điều này xảy ra khi cổng tạo nên LDP IP bị tắt). Trong IOS
Cisco, MPLS LDP router IP hiện trong bảng LFIB của LSR láng giềng, vì vậy địa chỉ IP
mà LDP IP sử dụng phải chứa trong bảng nhãn của LSR. Nếu địa chỉ IP không có trong
bảng nhãn thì phiên LDP không thể thực hiện và quan hệ láng giềng cũng sẽ không được
thực hiện.
Hình 1.29. Thủ tục phát hiện LSR lân cận
56
1.6.7. Hoạt động phát hiện các LSR cùng sử dụng LDP trong MLS
Nếu 2 LSR thấy được nhau qua thông điệp LDP Hello, chúng sẽ thiết lập phiên giao dịch
với nhau. LSR mở phiên trên nền kết nối TCP port 646 với nhau. Nếu kết nối TCP đã có
thì các LSR thương lượng thông số phiên bằng việc trao đổi bản tin LDP Initiazation (khởi
tạo), gồm những thông số như:
• Giá trị định thời
• Phương thức phân phối nhãn
• Thông số DLCI cho LC-Frame Relay
Sau khi thỏa thuận xong thông số phiên, 2 LSR sẽ giữ kết nối TCP, nếu chưa thỏa thuận
được chúng sẽ cố gắng tạo một phiên LDP khác nhưng ở mức thấp. Sau khi phiên LDP đã
được thiết lập, nó sẽ được duy trì gói tin LDP nhận hay thông điệp keepalive định kì.
Mỗi lần 1 LDP nhận gói tin LDP hoăc thông điệp keepalive, thì bộ định kì keepalive được
reset cho LDP đấy. Bộ định thời keepalive và thời gian Hold time cho một phiên LDP có
thể được cấu hình bằng câu lệnh “mpls ldp holdtime seconds” với giá trị mặc định của
Hold time là 180 giây, có thể chỉnh từ 15 đến 2.147.483 giây. Ví dụ để hiện một điểm LDP
với giá trị LDP IP là 10.200.254.2.
Như hình vẽ ta thấy: port TCP của chính LDP đó là 646, còn port của LDP đầu xà là 11537.
Thời gian Hold time của session là 180 giây và thông điệp keepalive (KA) gửi định kỳ 60
giây 1 lần. Ngoài ra có thể thấy thời gian của phiên LDP.
57
Phiên LDP là một kết nối TCP được tạo ra bởi 2 địa chỉ IP của các LSR. Thông thường
những địa chỉ IP này được sự dụng để tạo LDP IP cho mỗi router.
Tuy nhiên nếu không muốn sử dụng địa chỉ IP này để tạo phiên có thể thay đổi nó bằng
câu lệnh “mpls ldp discovery transport-address {interface | ip-address} trên cổng của router
để chỉ định 1 cổng hoặc 1 địa chỉ IP sử dụng cho phiên LDP.
Sự thay đổi địa chỉ IP này được quảng bá trong thông điệp LDP Hello và được gửi trên
cổng LDP đã được mở. Khi giữa 2 điểm LDP có đường nhiều kết nối, địa chỉ quang bá sẽ
giống nhau trên nhứng đường kết nối tương đương sử dụng chung một không gian nhãn.
Hình 1.30. LDP Hello

Sau khi chuyển địa chỉ Loopback là địa chỉ sử dụng cho phiên LDP thì thông điệp LDP
Hello được gửi cho cả 2 đường mang địa chỉ Loopback đó. Số lượng phiên LDP giữa 2
LSR thông thường là 1 nhưng cũng có thể nhiều hơn tùy thuộc vào mode sử dụng trên
cổng.
Nếu giữa 2 LSR chỉ sử dụng không gian nhãn chung per-platform, chỉ cần một nhãn dán
là đủ để trao đổi giữa 2 LSR bất kể giữa chúng có bao nhiêu đường kết nối, do đó chỉ cần
1 phiên LDP là đủ. Các router Cisco cung cấp nhãn dạng per-platform đối với kiểu khung
(frame mode).
58
Với không gian nhãn trên từng giao tiếp per-interface sử dụng đối với kiểu tế bào LC-
ATM, với mỗi không gian nhãn per-interace cần một phiên LDP.
Hình 1.31. LDP Sessions
1.7. Giới thiệu tổng quan mô hình MPLS VPN
Hình 1.32. Sơ đồ tổng quan MPLS VPN

59
Hình trên cho chúng ta thấy tổng quan về một mô hình MPLS VPN với đầy đủ các thành
phần cơ bản nhất. Một nhà cung cấp dịch vụ đang cung cấp các cơ sở hạ tầng chung phổ
biến mà khách hàng sử dụng. Điều quan trọng là làm quen với các thuật ngữ liên quan đến
MPLS VPN. Trong mạng của nhà cung cấp dịch vụ, chúng ta có thể thấy các router P và
PE.
Vậy chúng là gì ? Chức năng của từng router này ra sao?
Router PE (PE – Provider Edge): là router biên của mạng nhà cung cấp dịch vụ. Nó kết
nối với router biên của khách hàng là router CE (CE – Customer Edge).
Router P (Provider router): là router trong mạng nhà cung cấp dịch vụ, nó không có kết
nối trực tiếp với các router của khách hàng.
Trong việc triển khai MPLS VPN, cả router P và router PE đều chạy MPLS. Điều này có
nghĩa là nó có khả năng phân phối các nhãn giữa nó và chuyển tiếp các gói tin đã gán nhãn.
Trong mạng của khách hàng, có các router C và CE. Một router CE có kết nối trực tiếp ở
lớp 3 với router PE. Một router khách hàng (C – Customer router) là một router không có
đường kết nối trực tiếp đến router PE. Router CE thì không cần phải chạy MPLS. Vì CE
và PE giao tiếp với nhau ở lớp 3 nên nó phải chạy một giao thức định tuyến (hoặc chạy
định tuyến tĩnh). Router CE có duy nhất một mạng ngang hàng bên ngoài đó là router PE.
Nếu mạng khách hàng có nhiều CE thì nó có thể ngang hàng với nhiều PE. Router CE thì
không có ngang hàng với bất kỳ một router CE nào đến từ các site khác qua mạng nhà cung
cấp dịch vụ như với mô hình overlay. Cái tên mô hình peer-to-peer xuất phát từ thực tế là
CE và PE tạo thành một mạng ngang hàng ở lớp 3. Chữ P trong VPN là viết tắt của từ
Private (Riêng tư). Như vậy khách hàng của nhà cung cấp dịch vụ được phép có sơ đồ địa
chỉ IP của riêng họ.
Điều này có nghĩa là họ có thể sử dụng các địa chỉ IP đăng ký mà còn có thể sử dụng các
địa chỉ IP private hoặc thậm chí là sử dụng các địa chỉ IP đã được khách hàng khác sử dụng
để kết nối đến cùng nhà cung cấp dịch vụ, cho phép sử dụng địa chỉ IP trùng lắp. Nếu các
gói tin đã được chuyển tiếp như các gói tin IP trong mạng nhà cung cấp dịch vụ, điều này
sẽ gây ra vấn đề, vì các router P sẽ bị nhầm lẫn. Nếu như các địa chỉ IP private và trùng lắp
không được cho phép, khi đó mỗi khách hàng sẽ phải sử một phạm vi địa chỉ duy nhất.
Trong trường hợp này, các gói tin có thể được chuyển tiếp bằng cách nhìn vào các địa chỉ
IP đích trên mỗi router trong mạng nhà cung cấp dịch vụ. Điều này có nghĩa là tất cả router
P và PE phải có một bảng định tuyến hoàn chỉnh cho mỗi khách hàng. Đây sẽ là một bảng
định tuyến lớn. Chỉ duy nhất giao thức định tuyến có khả năng mang một số lượng lớn các
route đó là Border Gateway Protocol (BGP). Điều này có nghĩa rằng tất cả các router P và
PE sẽ phải chạy internal BGP giữa chúng.
60
Tuy nhiên, đó không phải là một sơ đồ VPN, bởi vì nó không có tính riêng tư cho khách
hàng. Một giải pháp khác là mỗi router P và PE có một bảng định tuyến riêng cho mỗi
khách hàng. Nhiều quy trình của một giao thức định tuyến (một quá trình trên mỗi VPN)
có thể được chạy trên tất cả các router để phân phối các route VPN. Chạy một quy trình
định tuyến trên mỗi VPN trên mọi router P thì không có khả năng mở rộng. Mỗi lần một
VPN được thêm vào mạng, một quy trình định tuyến mới phải được thêm vào tất cả router
P.
Hơn nữa, nếu một gói tin IP đi vào một router P, làm thế nào để router P xác định được gói
tin đó thuộc về VPN nào để tìm ra bảng định tuyến riêng cho nó để chuyển tiếp gói tin ?
Nếu một gói tin là gói tin IP, điều đó là không thể. Bạn có thể thêm một trường mở rộng
để gói tin IP chỉ ra VPN nó thuộc về. Các router P sau đó có thể chuyển tiếp các gói tin IP
bằng cách nhìn vào trường thêm này và địa chỉ IP đích. Một lần nữa, tất cả các router P sẽ
phải biết về trường mở rộng này. Một giải pháp mở rộng sẽ có các router P hoàn toàn không
biết gì về các VPN. Khi đó các router P sẽ không phải chịu gánh nặng với việc chứa các
thông tin định tuyến của VPN.
Chúng ta có thể đạt được điều đó bằng cách sử dụng MPLS. Các gói tin IP khách hàng sẽ
được dán nhãn ở trong mạng nhà cung cấp dịch vụ để đạt được sự riêng tư cho VPN mỗi
khách hàng. Hơn nữa, những con router P sẽ không còn cần phải có bảng định tuyến của
các khách hàng bằng cách sử dụng hai nhãn MPLS. Do đó, BGP thì không còn cần trên
các router P. Các định tuyến VPN chỉ được biết trên các router PE. Như vậy, các kiến thức
VPN chỉ xuất hiện trên các router biên của mạng MPLS VPN.
61
Hình 1.33. Mô hình MPLS VPN – chuyển mạch các gói tin nhãn trong mạng nhà cung
cấp dịch vụ và các router PE biết về VPN
Để có được MPLS VPN, chúng ta cần xây dựng các khối cơ bản trên các router PE. Xây
dụng các khối đó như sau : VRF, route distinguisher (RD), route targets (RT), truyền bá
định tuyến qua MP BGP, và chuyển tiếp các gói tin có nhãn.
1.7.1. Vitrual Routing Forwarding(VRF)
Virtual Routing Forwarding (VRF). Một virtual routing/forwarding (VRF) là một trường
hợp định tuyến và chuyển tiếp VPN (VPN routing and switching instance). Nó là tên gọi
của sự kết hợp giữa bảng định tuyến VPN (VPN routing table), bảng VRF Cisco Express
Forwarding (CEF), và các giao thức định tuyến IP có liên quan trên router PE. Một router
PE có một VRF instance cho mỗi VPN đính kèm.
62
Hình 1.34. Các VRF trên một router PE
Hình trên cho chúng ta thấy rằng một router PE giữ bảng định tuyến toàn cục và còn giữ
một bảng định tuyến VRF cho mỗi VPN được kết nối đến router PE. Bởi vì định tuyến nên
tách biệt và riêng tư cho mỗi khách hàng (VPN) trên một router PE, mỗi VPN nên có bảng
định tuyến riêng cho nó. Bảng định tuyến riêng tư này được gọi là bảng định tuyến VRF
(VRF routing table).
Cổng giao tiếp trên router PE hướng về router CE có thể chỉ thuộc về một VRF. Như vậy,
tất cả các gói tin IP nhận được trên cổng giao tiếp VRF thì được xác định một cách rõ ràng
là thuộc về VRF đó. Bởi vì có một bảng định tuyến riêng biệt trên mỗi VPN, có một bảng
CEF riêng biệt trên mỗi VPN để chuyển tiếp những gói tin trên router PE. Đó là bảng VRF
CEF. Như với bảng định tuyến toàn cục và bảng CEF toàn cục, bảng VRF CEF có nguồn
gốc từ bảng định tuyến VRF. VRF còn chứa các định danh VPN (VPN identifier) như
thông tin thành viên VPN (RD và RT). Hình sau cho thấy chức năng của VRF trên một
router PE thực hiện tách tuyến khách hàng.
63
Hình 1.35. Chức năng của VRF
OS Cisco hỗ trợ các giao thức định tuyến khác nhau như những tiến trình định tuyến riêng
biệt (OSPF, EIGRP,…) trên router. Tuy nhiên, một số giao thức như RIP và BGP, IOS chỉ
hỗ trợ một instance của giao thức định tuyến.
Do đó, thực thi định tuyến VRF bằng các giao thức này phải tách biệt hoàn toàn các VRF
với nhau. Bối cảnh định tuyến (routing context) được thiết kế để hỗ trợ các bản sao của
cùng giao thức định tuyêns VPN PE-CE. Các bối cảnh định tuyến này có thể được thực thi
như các tiến trình riêng biệt (OSPF), hay như nhiều instace của cùng một giao thức định
tuyến (BGP, RIP, …).
Nếu nhiều instance của cùng một giao thức định tuyến được sử dụng thì mỗi instance có
một tập các tham số riêng của nó. Hiện tại, IOS Cisco hỗ trợ RIPv2, EIGRP, BGPv4 (nhiều
instance), và OSPFv2 (nhiều tiến trình) được dùng cho VRF để trao đổi thông tin định
tuyến giữa CE và PE. Chúng ta tạo VRF trên router PE bằng câu lệnh ip vrf, sử dụng câu
lệnh ip vrf forwarding để gán cổng giao tiếp PE-CE trên router PE cho a VRF. Chúng ta
có thể gán một cổng giao tiếp cho chỉ một VRF, nhưng chúng ta cũng có thể gán nhiều
cổng giao tiếp cho cùng một VRF.
Router PE khi đó tự động tạo ra một bảng định tuyến VRF và bảng CEF. Bảng định tuyến
VRF không khác so với bảng một bảng định tuyến thông thường trên IOS Cisco, khác hơn
là nó được sử dụng cho chỉ một tập hợp các site VPN và hoàn toàn tách biệt với tất cả các
bảng định tuyến khác. Bảng định tuyến mà bạn đã biết đến nó cho đến bay giờ sẽ được gọi
64
là bảng định tuyến toàn cục (global routing table) hoặc là bảng định tuyến mặc định (default
routing table). Xem hình để thấy được VRF được cấu hình là VRF cust-one.
65
Hình 1.36. Cấu hình VRF cust-one
1.7.2. Route Distinguisher(RD)

Các tiền tố VPN được quảng bá qua mạng MPLS VPN bởi Multiprotocol BGP (MP BGP).
Vấn đề là khi BGP mang những tiền tố IPv4 qua mạng nhà cung cấp dịch vụ, nó phải là
duy nhất. Nếu những khách hàng có địa chỉ IP trùng lấp, định tuyến sẽ không đúng. Để
giải quyến vấn đề này, các khái niệm về các RD đã được hình thành để làm cho IPv4 là
duy nhất.
Ý tưởng cơ bản là mỗi tiền tố từ mỗi khách hàng sẽ nhận một định danh duy nhất (RD) để
phân biệt với các tiền tố tương tự từ các khách hàng khác. Một tiền tố có nguồn gốc từ sự
66
kết hợp giữa tiền tố IPv4 và RD thì được gọi là một tiền tố VPNv4. MP BGP được sử dụng
để mang những tiền tố VPNv4 giữa các router PE. Một RD là một trường 64 bit được sử
dụng để tao ra những tiền tố VRF duy nhất khi MP BGP mang chúng. RD không chỉ ra
tiền tố thuộc về VRF nào.
Chức năng của RD không phải là một định danh VPN, bởi vì trong một số tình huống VPN
phức tạp hơn có thể đòi hỏi nhiều hơn một RD cho mỗi VPN. Mỗi trường hợp VRF trên
router PE phải có một RD được đính kèm vào nó. Giá trị 64 bit có thể có hai định dạng :
ASN:nn hoặc IP-address:nn (trong đó nn đại diện cho một số). Định dạng phổ biến nhất là
ASN:nn, trong đó ASN là chữ viết tắt của từ autonomous system number (số hệ thống tự
trị). Thông thường, các nhà cung cấp dịch vụ sử dụng ASN:nn, trong đó ASN là số hệ
thống tự trị mà tổ chức Internet Assigned Numbers Authority (IANA) giao cho các nhà
cung cấp dịch vụ và nn là số mà nhà cung cấp dịch vụ chỉ định duy nhất cho VRF.
RD không có ý nghĩa gì khác ngoài việc được sử dụng để xác định các tuyến VPN là duy
nhất. Điều này là cần thiết bởi vì các tuyến IPv4 từ một khách hàng có thể bị trùng lấp với
những tuyến IPv4 từ khách hàng khác. Sự kết hợp giữa RD và IPv4 tạo thành một tuyến
VPNv4 với độ dài là 96-bit. Nếu như chúng ta có một tiền tố IPv4 10.1.1.0/24 và một RD
1:1, tiền tố VPNv4 sẽ là 1:1:10.1.1.0/24. Một khách hàng có thể sử dụng những RD khác
nhau cho cùng một tuyến IPv4.
Khi một site VPN được kết nối đến hai router PE, các tuyến từ site VPN có thể nhận được
hai RD khác nhau, phụ thuộc vào PE nào mà tuyến được nhận. Mỗi tuyến IPv4 sẽ nhận
được hai RD khác nhau được chỉ định và sẽ có hai tuyến VPNv4 hoàn toàn khác biệt. Điều
đó cho phép BGP xem chúng như các tuyến khác nhau và áp dụng một chính sách khác
nhau cho từng tuyến.
Hình bên dưới cho thấy hai khách hàng có địa chỉ mạng giống nhau, 172.16.10.0/24, được
phân biệt nhờ vào các giá trị RD khác nhau, 1:100 và 1:101, ưu tiên quảng bá địa chỉ
VPNv4 trên router PE.
67
Hình 1.37. Ví dụ về RD
Giao thức dùng để trao đổi các tuyến VPNv4 giữa các PE là multiprotocol BGP (MP-BGP).
IGP yêu cầu duy trì iBGP (internal BGP) khi thực thi MPLS VPN. Do đó, PE phải chạy
một IGP cung cấp thông tin NLRI cho iBGP nếu cả hai PE cùng trong một AS. Hiện tại,
Cisco hỗ trợ cả OSPFv2 và ISIS trong mạng nhà cung cấp như là IGP. MP-BGP cũng chịu
trách nhiệm chỉ định nhãn VPN. Khả năng mở rộng là lý do chính chọn BGP làm giao thức
mang thông tin định tuyến khách hàng.
Hơn nữa, BGP cho phép sử dụng địa chỉ VPNv4 trong môi trường MPLS VPN với dãy địa
chỉ trùng lắp cho nhiều khách hàng. Một phiên làm việc MP-BGP giữa các PE trong một
BGP AS được gọi là MP-iBGP session và kèm theo các nguyên tắc thực thi của iBGP liên
quan đến thuộc tính của BGP (BGP attributes). Nếu VPN mở rộng ra khỏi phạm vi một
AS, các VPNv4 sẽ trao đổi giữa các AS taij biên bằng MP-eBGP session. Cấu hình một
RD.
68
Hình 1.38. Cấu hình RD cho các tuyến trong VRF cust-one
1.7.3. Route Targets(RT)

Nếu các RD chỉ được sử dụng để chỉ ra các VPN, việc liên lạc giữa các site của những
VPN khác nhau sẽ trở thành vấn đề. Một site của công ty A sẽ không có khả năng giao tiếp
với một site của công ty B bởi vì các RD không trùng nhau. Khái niệm về việc có nhiều
site của công ty A có khả năng liên lạc với những site của công ty B được gọi là extranet
VPN. Việc liên lạc giữa các site trong cùng một công ty cùng VPN được gọi là intranet
VPN.
Việc liên lạc giữa các site được điều khiển bởi một tính năng khác của MPLS VPN gọi là
RT (Route Target). Một RT là một thuộc tính mở rộng của BGP, nó chỉ ra các tuyến nào
nên được nhập từ MP BGP vào VRF. RT được thực thi bởi các thuộc tính mở rộng BGP
sử dụng 16 bit cao của BGP extended community (64 bit) mã hóa với một giá trị tương
ứng với thành viên VPN của site cụ thể.
Khi một tuyến VPN học từ một CE chèn vào VPNv4 BGP, một danh sách các thuộc tính
community mở rộng cho VPN router target được kết nối với nó. Xuất một RT có nghĩa là
tuyến VPNv4 được xuất khẩu đó nhận thêm phần thuộc tính mở rộng của BGP đây là RT
như cấu hình dưới đây ip vrf trên router PE, khi tuyến được phân phối lại từ bảng định
tuyến VRF thành MP BGP.
Nhập một RT có nghĩa là nhận một tuyến VPNv4 từ MP BGP được kiểm tra cho phù hợp
với phần mở rộng RT với một bản trong phần cấu hình. Nếu kết quả là phù hợp, tiền tố đó
được đưa vào bảng định tuyến VRF như một tuyến IPv4. Nếu như kết quả không phù hợp
thì tiền tố đó được loại bỏ.
Câu lệnh để cấu hình RT cho một VRF là route-target {import | export | both} route-target-
ext-community. Từ both là chỉ cả import và export. Hình dưới cho ta thấy RT điều khiển
các tuyến được nhập vào VRF từ các router PE ở xa và những RT nào mà các tuyến VPNv4
được xuất khẩu về hướng các router PE ở xa. Nhiều hơn một RT có thể được gắn vào tuyến
VPNv4. Để việc nhập khẩu vào VRF được cho phép thì chỉ một RT từ tuyến VPNv4 cần
69
phải được phù hợp với cấu hình của các RT nhập khẩu bên dưới phần ip vrf trong router
PE.
Hình 1.39. Cấu hình RT
Hình 1.40. Các router target(RT)
70
RD và RT sau đó xác định VRF cust-one, xem hình dưới đây.
Hình 1.41. Cấu hình trong VRF
Khi cấu hình một VRF với nhiều site thuộc về một VPN, mà không cần giao tiếp với các
site thuộc về một VPN khác, chúng ta chỉ cần cấu hình một RT cho việc nhập và xuất trên
tất cả các router PE với một site thuộc về VRF đó. Đây là trường hợp đơn giản của một
mạng nội bộ (intranet). Khi có nhiều site thuộc về một VPN cần có khả năng giao tiếp với
các site của một VPN khác (trường hợp extranet), chúng ta cần chú ý cấu hình RT cho
chính xác. Xem hình tiếp theo để thấy một ví dụ về extranet.
Hình 1.42. Ví dụ về extranet

71
Rõ ràng, site A và site B từ VRF cust-one phải có khả năng giao tiếp với nhau. Tương tự
nó cũng đúng trên site A và site B của VRF cust-two. RT mà VPN cust-one sử dụng là 1:1.
RT mà VPN cust-two sử dụng là 1:2. Bây giờ hình dung chỉ site A của VRF cust-one cần
giao tiếp với chỉ site A của VRF cust-two. Điều này hoàn toàn có thể và được xác định
bằng cách cấu hình RT phù hợp. Với RT 100:1 là xuất khẩu và nhập khẩu cho site A của
VRF cust-one và site A của VRF cust-two để đạt được điều này. Việc giao tiếp này gọi là
extranet. Hình 2 cho chúng ta thấy một mạng tương tự như hình 1.40 nhưng có thêm các
RT
Hình 1.43. Ví dụ extranet với các RT
72
Xem hình 1.43 để thấy các lệnh cấu hình cần thiết trên các router PE
Hình 1.44. Cấu hình các RT cho extranet
Ví dụ dưới này cho ta thấy một tuyến 10.10.100.1/32. Nó là một tuyến với RD 1:1 (VRF
cust-one) được nhập khẩu vào VRF cust-two và trở thành một tuyến vơnv4 với RD 1:2.
Hình 1.45. Định tuyến extranet
73
1.7.4. Truyền bá tuyến VPNv4 trong mạng MPLS VPN
VRF tách riêng khách hàng trên bộ định tuyến PE, nhưng làm thế nào để các tiền tố được
vận chuyển qua mạng nhà cung cấp dịch vụ? Bởi vì, nhiều khả năng, số lượng lớn các
tuyến, có thể hàng trăm ngàn tuyến được vận chuyển, BGP là một ứng cử viên lý tưởng vì
nó là một giao thức định tuyến đã được kiểm chứng và ổn định để thực hiện việc mang
nhiều tuyến. Chỉ cần nhận ra rằng BGP là một giao thức định tuyến tiêu chuẩn cho việc
mang bảng định tuyến internet hoàn chỉnh.
Bởi vì các tuyến VPN của khách hàng được tạo ra duy nhất bằng cách thêm RD vào từng
tuyến IPv4 biến chúng thành các tuyến VPNv4, tất cả các tuyến của khách hàng có thể
được vận chuyển một cách an toàn qua mạng MPLS VPN. Một cách tổng quan về truyền
bá tuyến trong một mạng MPLS VPN ở hình 1.44.
Hình 1.46. Truyền bá tuyến trong một mạng MPLS VPN
Router PE nhận được các tuyến IPv4 từ router CE thông qua một giao thức định tuyến nội
bộ (IGB - Interior Gateway Protocol) hoặc external BGP (eBGP). Những tuyến IPv4 từ
site VPN được đưa vào bảng định tuyến VRF. VRF nào trên router PE được sử dụng phụ
thuộc vào VRF mà được cấu hình trên cổng giao tiếp trên router PE hướng tới router CE.
Những tuyến này được gắn với RD mà được chỉ định đến VRF. Do đó, chúng trở thành
các tuyến VPNv4, sau đó được đưa vào MP BGP. BGP sẽ lo việc việc phân phối các tuyến
VPNv4 đến tất cả các router PE trong mạng MPLS VPN. Trên những router PE, các tuyến
VPNv4 được loại bỏ các RD ra và đưa vào bảng định tuyến VRF như là các tuyến IPv4.
Các tuyến VPNv4, sau khi được loại bỏ các RD, có được đưa vào bảng VRF hay không
còn phụ thuộc vào các RT có cho phép nhập vào VRF hay không.
Những tuyến IPv4 sau đó được quảng bá tới router CE thông qua một giao thức định tuyến
nội bộ hoặc eBGP mà đang được chạy giữa router PE và CE. Trong hình 1.45,ta thấy được
74
các bước trong quá trình truyền bá tuyến từ router CE này đến router CE kia qua mạng
MPLS VPN.
Hình 1.47. Truyền bá tuyến trong mạng MPLS VPN
Bởi vì nhà cung cấp dịch vụ mà đang chạy mạng MPLS VPN chạy BGP trong hệ thống tự
trị (AS – Autonomous System), iBGP đang được chạy giữa các router PE. Sự truyền bá từ
eBGP giao thức chạy giữa router PE và CE đến MP iBGP trong mạng MPLS VPN và
ngược lại là tự động và không cần cấu hình thêm. Tuy nhiên, việc phân phối lại của MP
iBGP vào IGP hiện đang chạy giữa router PE và CE là không tự động. Chúng ta cần cấu
hình phân phối lại lẫn nhau giữa MP iBGP và IGP.
1.7.5. Một số vấn đề trong MPLS VPN
1.7.5.1. Các phương thức để Router PE học các Router từ Router
CE để cung cấp dịch vụ VPN, router PE cần được cấu hình để bất kì thông tin định tuyến
nào được học từ interface khách hàng VPN có thể được liên kết với một VRF nào đó. Điều
này có thể được thực hiện thông qua tiến trình giao thức định tuyến chuẩn, tiến trình này
được gọi là routing context.
75
Mỗi VRF sử dụng một routing context riêng. Bất kì route nào được học dọc interface liên
kết với một routing context nào đó sẽ được nhập vào bảng VRF tương ứng. Nhưng với
những route không phải thuộc về routing context VRF nào sẽ được đặt vào bảng định tuyến
global. Điều này cho phép sự cách ly thông tin định tuyến thành những context khác nhau
ngay cả nếu thông tin đó được học bởi cùng một tiến trình giao thức định tuyến. Tạo ra các
giao thức định tuyến thích hợp cho từng VPN (VPN-aware routing protocol) một cách hiệu
quả.
Trong trường hợp thiết bị CE là host hoặc là switch, địa chỉ này thường được cấu hình trên
router PE mà thiết bị đó kết nối vào. Nhưng trong trường hợp thiết bị CE là router, thì có
nhiều cách để router PE có thể học được các địa chỉ từ router CE. Router PE chuyển những
địa chỉ này thành địa chỉ VPNv4 bằng cách sử dụng RD.
Các route VPNv4 phải được quảng bá dọc phiên MP-BGP đến router PE khác. Điều này
xảy ra khi routing context phải được cấu hình trong tiến trình BGP để thông báo cho BGP
biết route VRF nào quảng bá. Kết nối trên CE và PE có thể thực hiện thông qua định tuyến
tĩnh hoặc định tuyến động (OSPF, EBGP, RIPv2, EIGRP) để router PE có thể học được
các route của khách hàng và đặt vào bảng VRF tương ứng. Mỗi routing context của khách
hàng nào đó có thể chạy những giao thức định tuyến khác nhau.
1.7.5.2. Bảo mật trong MPLS VPN

Bảo mật đóng vai trò rất quan trọng đối với tất cả các giải pháp mạng VPN. Cần phải đáp
ứng được 3 yêu cầu cơ bản sau:
Thứ 1: phải đảm bảo tính riêng biệt về thông tin định tuyến của mỗi VPN nghĩ là việc cấp
địa chỉ của mỗi VPN là hoàn toàn độc lập nhau.
Thứ 2: phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng
dịch vụ.
Thứ 3: đảm bảo việc không làm giả nhãn và chống lại tấn công từ chối dịch vụ và tấn công
truy cập dịch vụ.
Việc định tuyến trong mạng của nhà cung cấp dịch vụ VPN được thực hiện trên chuyển
mạch nhãn chứ không phải dựa trên địa chỉ IP truyền thống. Hơn nữa, mỗi LSP tương ứng
với một tuyến VPN-IP được bắt đầu và kết thúc tại các bộ định tuyến PE chứ không bắt
đầu và kết thúc ở một điểm trung gian nào trong mạng của nhà cung cấp. Do đó mạng lõi
bên trong hoàn toàn trong suốt đối với khác hàng.
Mỗi bộ định tuyến PE duy trì một bảng VRF riêng cho từng VPN, và VRF này chỉ phổ
biến các tuyến thuộc về VPN đó. Nhờ vậy đảm bảo được sự cách ly thông tin định tuyến
giữa các VPN với nhau. Việc trao đổi thông tin định tuyến giữa các bộ định tuyến PE và
76
CE sẽ là điểm yếu trong mạng MPLS-VPN, nhưng trên bộ định tuyến PE có thể dùng ACL
và các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo
được vấn đề bảo mật.
Việc làm giả nhãn cũng khó có thể xảy ra vì bộ định tuyến PE chỉ chấp nhận những gói tin
từ bộ định tuyến CE gửi đến không có nhãn. Nếu gói tin là có nhãn thì nhãn đó do PE kiểm
soát và quản lý. Từ những vấn đề nêu trên, có thể thấy việc bảo mật trong MPLS-VPN
được bảo đảm ở mức độ rất cao và hoàn toàn có thể so sánh ngang bằng với việc bảo mật
trong các giải pháp dựa trên ATM hay Frame Relay.
1.7.5.3. Chất lượng dịch vụ (Qos – Quality of Service) trong MPLS-VPN
QoS luôn là một vấn đề được quan tâm hàng đầu đối với nhà khai thác và quản trị mạng.
Các cơ chế QoS được sử dụng phải đủ mềm dẻo để đáp ứng những yêu cầu khác nhau của
khách hàng VPN. QoS được kích hoạt trên tất cả các thiết bị Router, Gateway, Switch trên
toàn mạng để đảm bảo QoS từ đầu cuối đến đầu cuối (end-to-end).
77
CHƯƠNG 2: GIAO THỨC CHUYỂN MẠCH TRONG THIẾT KẾ MẠNG
(Switching Protocol)
2.1. Nguyên tắc chuyển mạch
Chuyển mạch là một quá trình thực hiện đấu nối và chuyển thông tin cho người sử dụng
thông qua hạ tầng mạng viễn thông. Nói cách khác, chuyển mạch trong viễn thông bao
gồm chức năng định tuyến cho thông tin và chức năng chuyển tiếp thông tin. Như vậy, theo
khía cạnh thông thường khái niệm chuyển mạch gắn liền với mạng và lớp liên kết dữ liệu
trong mô hình OSI của tổ chức tiêu chuẩn quốc tế ISO.
Switch sẽ phân đoạn mạng thành các đoạn nhỏ, thu nhỏ tối đa kích thước miền đụng độ.
Tuy nhiên tất cả các host kết nối vào một Switch vẫn nằm trong cùng một miền quảng bá.
Trong mạng Ethernet LAN thuần chuyển mạch, các node thực hiện chức năng truyền
chuyển mạch giống như là trong mạng chỉ có duy nhất mình nó vậy. Khi hai node thiết lập
kết nối, một mạch ảo được thiết lập giữa chúng và cung cấp toàn bộ băng thông mạng.
Mạch ảo này chỉ tồn tại trong Switch khi các node cần trao đổi. Các kết nối bằng Switch
cung cấp nhiều thông lượng hơn so với Ethernet LAN kết nối bằng Bridge hay Hub.
Hoạt động chuyển mạch cơ bản của Switch Chuyển mạch là một kỹ thuật giúp giảm tắc
nghẽn trong mạng Ethernet, Token Ring và FDDI. Chuyển mạch thực hiện được việc này
bằng cách giảm giao thông và tăng băng thông. LAN Switch thường được sử dụng để thay
thế cho Hub và vẫn hoạt động tốt với các cấu trúc cáp có sẵn. Switch thực hiện các hoạt
động chính như sau:
- Chuyển mạch frame.
- Bảo trì hoạt động chuyển mạch.
- Khả năng truy cập riêng biệt trên từng cổng.
- Loại trừ được đụng độ và tăng thông lượng đường truyền.
- Hỗ trợ được nhiều phiên giao dịch cùng một lúc.
- Chuyển mạch frame dựa trên bảng chuyển mạch.
- Chuyển frame dựa theo địa chỉ MAC (Lớp 2).
- Hoạt động ở Lớp 2 của mô hình OSI.
- Học vị trí kết nối của từng máy trạm bằng cách ghi nhận địa chỉ nguồn trên frame
nhận vào.
- Chuyển frame ra tất cả các cổng khi địa chỉ đích là quảng bá, multicast hoặc là một
địa chỉ mà Switch không biết.
- Chỉ chuyển frame ra cổng khác khi địa chỉ đích nằm trong cổng khác với cổng nhận
vào.
78
2.2. VLAN (Virtual Local Area Network)
2.2.1. Khái niệm VLAN
Là các hệ thống mạng LAN được sử dụng 1 hạ tầng Switch vật lý duy nhất, chung tài
nguyên, nhưng độc lập với nhau về mặt logic.
VLAN còn được hiểu như là một miền quảng bá do chính các Switch tạo ra.
2.2.2. Ứng dụng của VLAN
• Hệ thống máy tính trong mạng LAN đạt hơn 200 máy.
• Bên trong mạng LAN lưu lượng quảng bá của người dùng đã đạt mức quá lớn.
• Người dùng có nhu cầu gia tăng bảo mật các dữ liệu trong quá trình làm việc nhóm.
• Hệ thống máy tính kết nối chậm vì có quá nhiều bảng tin quảng bá.
• Nhóm làm việc sử dụng chung các ứng dụng cần phải thuộc cùng một miền quảng
bá.
• Người dùng có nhu cầu chuyển đổi Switch đơn thành nhiều Switch ảo.
2.2.3. Cấu trúc của VLAN
• VLAN có số hiệu từ 1 - 4096
• VLAN 1 trên switch: default vlan, không thể tạo xóa, sửa, thay đổi VLAN
• VLAN từ 2 – 1001: nomarl VLAN
• VLAN từ 1002 – 1005: default vlan ; FDDI ; Tokenring
• VLAN từ 1006 – 4096: Extended vlan. VTP mode transparent
2.2.4. Phân loại VLAN
2.2.4.1. Static VLAN (VLAN tĩnh)
Static VLAN là loại VLAN được tạo ra bằng cách gắn các cổng Switch vào một VLAN.
Cách làm này tương tự như việc một thiết bị được kết nối vào mạng và nó tự mình công
nhận bản thân là VLAN của cổng đó.
Trong trường hợp người dùng cần thay đổi các cổng và có nhu cầu truy cập vào một VLAN
chung, quản trị viên phải khai báo cổng cho VLAN trong lần kết nối tiếp theo.
2.2.4.2. Dynamic VLAN (VLAN động)
Không giống như Static VLAN, Dynamic VLAN được cấu tạo từ phương thức khác biệt.
Vậy Dynamic VLAN là gì? Loại VLAN này được tạo thành ra sao?
Được biết Dynamic VLAN là loại VLAN được tạo ra bằng cách sử dụng những phần mềm
điển hình như Ciscowork 2000. Khi này người dùng sẽ sử dụng VLAN Management Policy
Server (VMPS) để đăng ký các cổng Switch kết nối tới VLAN tự động. Quá trình kết nối
được thực hiện dựa trên địa chỉ MAC nguồn của loại thiết bị được kết nối tới cổng.
Tương tự như mô hình thiết bị mạng, Dynamic VLAN hoạt động truy vấn một cơ sở dữ
liệu dựa trên VMPS của các VLAN thành viên còn lại.
79
2.2.5. Cấu hình VLAN
Switch#configure terminal
Switch(config)#vlan vlan-id
Switch(config-vlan)#name vlan-name
Switch(config-vlan)#end
2.3. Đường Trunk
VLAN tổ chức trên nhiều Switch như vậy, làm sao các thiết bị thuộc cùng một VLAN nằm
ở những Switch khác nhau có thể liên lạc với nhau? Chúng ta có hai cách để giải thích vấn
đề này:
Cách 1: Dùng mỗi kết nối cho từng VLAN
Hình 2.1. Dùng mỗi kết nối cho từng VLAN

Có nghĩa là mỗi VLAN ở trên các Switch sẽ được kết nối lại bằng một đường kết nối riêng.
Theo mô hình trên ta thấy, nếu PC A trong VLAN 10 ở Switch 1 muốn liên lạc với PC X
trong VLAN 10 ở Switch 2, ta phải có một kết nối vật lý nối Switch 1 với Switch 2 và hai
cổng kết nối này phải thuộc cùng VLAN 10.
Tương tự đối với VLAN 2 và VLAN 3, ta cần hai kết nối vật lý. Như vậy, với n VLAN
được tạo ra tổng cộng ta phải dùng đến n dây nối để các thành viên trong cùng VLAN có
thể giao tiếp được với nhau. Điều này gây ra lãng phí.
Cách 2: Kết nối Trunk (đường trunk)
Cổng trung kế (Trunk link) là một kết nối vật lý và logic để hỗ trợ các VLAN trên các
Switch liên kết với nhau.
Cổng trung kế cho phép frame của nhiều VLAN có thể truyền trên đó. Một cổng trung kế
không được gán cho một VLAN riêng biệt.
80
Cổng trung kế thường được dùng để kết nối giữa các Switch hoặc giữa Switch và Router.
Chính vì vậy cổng trung kế thường là cổng có băng thông lớn.
Các VLAN được ghép kênh qua cổng trung kế. Để ghép kênh lưu lượng của các VLAN,
một giao thức đặc biệt sẽ được sử dụng để đóng gói frame để thiết bị có thể xác định được
nó thuộc VLAN nào. Chuẩn frame được sử dụng đó là 802.1Q hoặc ISL.
Nhờ cổng trung kế mà một VLAN có thể được mở rộng ra toàn mạng.
Chỉ cần một đường vật lý cho cả hai VLAN giữa hai Switch.
Hình 2.2. Kết nối trunk

Theo như mô hình trên, chúng ta chỉ dùng một dây dẫn nối Switch 1 với Switch 2, các
thành viên trong cùng VLAN ở các Switch khác nhau vẫn có thể giao tiếp với nhau. Đường
dây như thế gọi là liên kết trunk lớp 2.
Mỗi thành viên trong cùng VLAN chỉ có thể thấy thành viên khác trong cùng VLAN với
nó. Để PC A có thể giao tiếp với PC B hoặc C (không thuộc cùng VLAN), cần phải sử
dụng thiết bị ở lớp 3 như router hay switch lớp 3 (Multilayer Switch hay Switch layer 3).
Kết nối “trunk” là liên kết Point-to-Point giữa các cổng trên Switch với Router hoặc với
các Switch khác. Kết nối trunk sẽ vận chuyển dữ liệu của nhiều VLAN thông qua một liên
kết đơn và cho phép mở rộng VLAN trên hệ thống mạng.
Vì kỹ thuật này cho phép dùng chung một kết nối vật lý cho dữ liệu của các VLAN đi qua
nên dể phân biệt được chúng là dữ liệu của VLAN nào, người ta gắn vào các gói tin một
dấu hiệu gọi là “tagging”. Hay nói cách khác là dùng một kiểu đóng gói riêng cho các gói
tin di chuyển qua đường “trunk” này. Giao thức được sử dụng là 802.1Q (dot1q).
81
2.3.1. Giao thức 802.1Q
Đây là giao thức chuẩn của IEEE để dành cho việc nhận dạng các VLAN bằng cách thêm
vào “frame header” đặc biệt của một VLAN. Phương thức này còn được gọi là gắn thẻ
VLAN (frame tagging).
Hình 2.3. Cấu trúc Frame theo chuẩn 802.1Q

2.3.2. Cấu hình VLAN Trunking
Để cấu hình đường “trunk”, chúng ta cấu hình 2 cổng “trunk” như sau:
Switch (config)#interface <interface>
Switch (config-if)#switchport mode trunk
Switch (config-if)#switchport mode trunk encapsulation dot1q
2.4. Vlan Trunking Protocol (VTP)

2.4.1. VTP là gì?
VTP (Vlan Trunking Protocol) là giao thức hoạt động ở tầng liên kết dữ liệu trong mô hình
OSI. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về
VLAN trong hệ thống mạng.
2.4.2. Hoạt động của VTP
VTP gửi thông điệp quảng bá qua “VTP domain” mỗi 5 phút một lần, hoặc khi có sự thay
đổi xảy ra trong quá trình cấu hình VLAN. Một thông điệp VTP bao gồm “rivision-
number”, tên VLAN (VLAN name), số hiệu VLAN. Bằng sự cấu hình VTP Server và việc
82
quảng bá thông tin VTP tất cả các switch đều đồng bộ về tên VLAN và số liệu VLAN của
tất cả các VLAN.
Một trong những thành phần quan trọng trong các thông tin quảng bá VTP là tham số
“revision-number”. Mỗi thành phần VTP server điều chỉnh thông tin VLAN, nó tăng
“revision-number” lên 1, rồi sau đó VTP Server mới gửi thông tin quảng bá VTP đi. Khi
một switch nhận một thông điệp VTP với “revision-number” lớn hơn, nó sẽ cập nhật cấu
hình VLAN.
Hình 2.4. Hoạt động của VTP

VTP hoạt động ở một trong 3 cơ chế sau:
• Server
• Client
• Transparent
Hình 2.5. Cơ chế hoạt động của VTP

83
Switch ở chế độ VTP Server có thể tạo, chỉnh sửa và xóa VLAN. VTP server lưu cấu hình
VLAN trong NVRAM của nó. VTP Server gửi thông điệp ra tất cả các cổng” trunk”.
Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN. VTP Client có chức
năng đáp ứng theo mọi sự thay đổi của VLAN từ Server và gửi thông điệp ra tất cả các
cổng “trunk” của nó. VTP Client đồng bộ cấu hình VLAN trong hệ thống.
Switch ở chế độ transparent sẽ nhận và chuyển tiếp các thông điệp quảng bá VTP do các
switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này. Nếu
“transparent switch” nhận thông tin cập nhật VTP nó cũng không cập nhật vào cơ sở dữ
liệu của nó; đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng không gửi thông
tin cập nhật cho các switch khác. Trên “transparent switch” chỉ có một việc duy nhất là
chuyển tiếp thông điệp VTP. Switch hoạt động ở “transparent-mode” chỉ có thể tạo ra các
VLAN cục bộ. Các VLAN này sẽ không được quảng bá đến các switch khác.
2.4.3. Cấu hình VTP
Cấu hình VTP domain
Switch (config)# vtp domain <domain_name>
Cấu hình VTP mode
Switch (config)#vtp [client| transparent| server]
Lệnh xem cấu hình VTP
Switch #show vtp status
2.5. Giao Thức HSRP (Host Standby Router Protocol)

Là giao thức dự phòng Gateway.
Nó thực hiện gom các Router & Switch Layer 3 vật lý thành 1 group và bình bầu ra các
vai trò như sau:
• Active Router & Switch
• Standby Router & Switch
• Virtual Router & Switch
Active Router & Switch: là Router & Switch chuyển tiếp lưu lượng chính cho group đó.
Standby Router & Switch: là Router & Swicth dự phòng cho nhóm đó. Khi Active
không còn khả dụng thì Standby sẽ lên thành thế.
Virtual Router & Switch: là Router & Swicth ảo đại diện cho group đó. Virtual Router
& Switch phải có địa chỉ IP Address là Default Gateway.
84
Active – Standby – Virtual: Phải có IP Address khác nhau nhưng phải cùng chung 1
Subnet mask.
HSRP: là giao thức được phát triển bởi Cisco và chỉ chạy được trên các thiết bị cùa Cisco
và nó có thể tạo tối đa 256 group.
2.5.2. Nguyên tắc hoạt động HSRP
Các Router & Swicth khi tham gia vào group HSRP sẽ gửi bản tin “Hello” đến địa chỉ:
224.0.0.2 với UDP Port: 1958. Bản tin “Hello” sẽ gửi theo chu kỳ 30s 1 lần. Trong thời
gian 10s nếu không có phản hồi thì bản tin chuyển sang trạng thái down.
Ban đầu các Router & Switch sẽ là Active. Sau đó Router & Switch sẽ dựa vào sự ưu tiên
của các interface trên Router & Switch để thực hiện bình bầu. Router & Switch nào có độ
ưu tiên cao hơn thì sẽ trở thành Active. Độ ưu tiên mặc định của nó là: 100. Nếu độ ưu
tiên bằng nhau thì Router có địa IP Address cao hơn thì sẽ là Active Router.
2.5.3. Virtual MAC
Địa chỉ có cấu trúc: 0000.0007.AC.XX (XX là group ID)
2.5.4. Cấu hình
R(config)#interface <số hiệu cổng>(Router) hoặc <số hiệu vlan> (SW)
R(config)#no shutdown
R(config)#standby 100 ip <địa chỉ default gateway ảo>
R(config)#standby 100 priority <number>
R(config)#standby 100 preempt
Câu lệnh kiểm tra: R#show standby brief
2.6. Giao thức LACP

Là kỹ thuật gom nhiều đường link vật lý thành 1 đường link logic để kết nối các Switch
để đảm bảo tăng tính băng thông và đảm bảo tính dự phòng.
2.6.2. Điều kiện thực hiện
• Các interface phải cùng 1 VLAN thì mới gom link được với nhau
• Các interface phải cùng tốc độ băng thông (speed)
• Các interface phải cùng môi trường(media)
• Phải cùng duplex mode
• Trên 1 switch có thể gom link được 8 group. Mỗi group tối đa 16 interface
85
2.6.3. Các giao thức thực hiện gom link
LACP: (Link Aggregation Control Protocol: chuẩn chung)
PagP: Port Aggregation
2.6.4. Cấu hình
SW(config)#interface range <số hiệu interface 1, số hiệu interface 2>
SW(config-if-range)#switchport trunk encapsulation dot1q
SW(config-if-range)#switchport mode trunk
SW(config-if-range)#channel-group <số hiệu group> mode active
SW(config)#interface port-chanel <số hiệu interface>
SW(config-if)#switchport trunk encapsulation dot1q
SW(config-if)#switchport mode trunk
Câu lệnh kiểm tra:
SW#show etherchannel summary
86
CHƯƠNG 3: XÂY DỰNG THIẾT KẾ HỆ THỐNG MẠNG HỌC VIỆN KỸ
THUẬT MẬT MÃ
3.1. Mục tiêu và yêu cầu
Mục tiêu: Thiết kế xây dựng hệ thống mạng máy tính an toàn dựa trên quy trình đã học.
Yêu cầu: Xây dựng mạng máy tính cho Học Viện Kỹ Thuật Mật Mã theo quy trình đã học.
Việc xây dựng phải thể hiện được tất cả các bước trong quy trình. Thông tin về Học viện
như sau:
Học viện gồm 2 cơ sở: Học viện tại đường Chiến Thắng - Hà Nội (cơ sở 1), Trung tâm
nghiên cứu tại Nguyễn Chí Thanh – Hà Nội (cơ sở 2), và cơ sở học viện phía Nam tại TP
Hồ Chí Minh (cơ sở 3)
Cơ sở 1: Gồm có các phòng ban tại học viện: hành chính, đào tạo, thư viện, các khoa, có
các phòng thực hành cho sinh viên, khu vực DMZ (hiện chưa triển khai dịch vụ gì)
Cơ sở 2: gồm các phòng nghiên cứu, mạng văn phòng.
Cơ sở 3: gồm các phòng thực hành, mạng văn phòng của cơ sở.
Các cơ sở của Học viện chưa kết nối với nhau thành một mạng.
3.1.1. Tính sẵn sàng
- Hệ thống mạng văn phòng của Học viện yêu cầu sẵn sàng trong suốt giờ hành chính
từ 7h-19h hàng ngày. (Nối các phòng ban ở các cơ sở với site trung tâm)
- Hệ thống DMZ cung cấp các dịch vụ cho sinh viên cần tính sẵn sàng liên tục để sinh
viên có thể truy cập, download, upload các tài liệu, phục vụ cho việc học tập
- Các đường nối từ switch lớp Access lên switch lớp Distribute và Core đều có đường
dự phòng.
- Đối với đường Internet có thêm đường dự phòng
3.1.2. Tính bí mật

- Tiến hành phân loại các loại tệp tin, thư mục bằng việc gắn nhãn cho chúng, từ đó
phân quyền truy cập và mã hóa các file dữ liệu tùy theo nhãn của chúng
- Trong các phần mềm nếu như sử dụng mã hóa thì phải phải sử dụng mã hóa AES
chế độ CBC, dùng Diffie-hellman cho trao đổi khóa, RSA cho việc ký số.
3.1.3. Tính toàn vẹn

- Tiến hành việc ký số (và mã) tới các công văn, các file dữ liệu nhạy cảm để đảm
bảo tính toàn vẹn của chúng khi được lấy gửi đi trên đường truyền.
- Sử dụng thuật toán SHA-1 trong các chương trình cần đảm bảo tính toàn vẹn của
dữ liệu.
87
3.1.4. Chính sách an toàn và các thành phần cần thiết khác
- Sử dụng firewall: Thực thi các chính sách an toàn chung của toàn hệ thống.
- Sử dụng hệ thống phòng chống phát hiện xâm nhập để phát hiện các lưu thông bất
thường trên mạng, từ đó cảnh báo tới người quản trị và có những biện pháp ngăn
chặn nhưng lưu thông bất thường này.
- Chia VLAN theo các phòng, để tiện lợi trong việc phân quyền, trao đổi dữ liệu,
tránh truy cập thông tin trái phép giữa các phòng ban.
- Ban hành các chính sách truy cập, chính sách quy định trách nhiệm, tới các nhân
viên, sinh viên, quản trị trong hệ thống học viện.
- Xây dựng chính sách đảm bảo an toàn cho các thành phần sau:
• Máy chủ dịch vụ: Web, mail, FTP.
• Máy chủ nội bộ
• Máy tính cá nhân trong mạng nội bộ
• Chính sách chung về chia sẻ và truy cập dữ liệu cho nhân viên các phòng ban
học viện.
- Xây dựng hệ thống giám sát an ninh mạng để giám sát toàn bộ hoạt động của hệ
thống mạng Học viện.
88
3.2. Thiết kế hệ thống mạng
3.2.1. Sơ đồ thiết kế hệ thống mạng
Hình 3.1. Sơ đồ thiết kế hệ thống mạng
89
3.2.2. Các thành phần trong hệ thống mạng
Đối với mô hình mạng của Học Viện thiết kế theo mô hình phân lớp thì có thể gom
lớp Distribution với lớp CORE lại để tối ưu lại thành 1 lớp gọi là lớp CORE, vẫn giữ
nguyên lớp Access.
3.2.2.1. Đối với Site Hà Nội
- Sử dụng 5 Switch Access để chia VLAN dành cho các người dùng ở các
phòng ban chức năng theo quy định.
- Sử dụng 1 Switch Access để kết nối đến hệ thống Server ở trong vùng DMZ.
- 2 Switch CORE để thực hiện chuyển mạch và định tuyến cho các phòng ban
chức năng để có thể giao tiếp và trao đổi thông tin với nhau và truy cập được
đến hệ thống Server ở vùng DMZ. Thiết kế 2 Switch CORE để đảm bảo tính
dự phòng và sẵn sàng cho hệ thống mạng đồng thời tăng băng thông truy cập
cho hệ thống mạng.
- Sử dụng 1 Firewall để đặt trước 2 Switch CORE và gần vùng DMZ để kiểm
soát toàn bộ truy cập của hệ thống mạng, đồng thời thiết lập các chính sách
kiểm soát lưu lượng, kiểm soát các dịch vụ truy cập từ mạng bên ngoài đi
vào bên trong hệ thống và ngược lại.
- Sử dụng 1 Router để kết nối đến Firewall mạng bên trong và đồng thời kết
nối đến hạ tầng mạng của nhà cung cấp dịch vụ.
- Sử dụng 1 Router đóng vai trò là Modem để kết nối ra bên ngoài Internet,
thực hiện NAT trên Modem để người dùng ở các phòng ban, Server vùng
DMZ, Firewall ở Site Hà Nội có thể truy cập Internet.
3.2.2.2. Đối với Site Hồ Chí Minh
- Sử dụng 2 Switch CORE để thực hiện chuyển mạch và định tuyến cho các
phòng ban chức năng có thể giao tiếp và trao đổi thông tin. Thiết kế 2
Switch CORE để đảm bảo tính dự phòng và sẵn sàng cho hệ thống mạng
đồng thời tăng băng thông truy cập cho hệ thống mạng.
- Sử dụng 1 Router để kết nối đến 2 Switch CORE và để kết nối đến hạ tầng
mạng của nhà cung cấp dịch vụ.
3.2.2.3. Đối với Site Nguyễn Chí Thanh
- Sử dụng 2 Switch CORE để thực hiện chuyển mạch và định tuyến cho các
phòng ban chức năng khác nhau có thể giao tiếp và trao đổi thông tin. Thiết
kế 2 Switch CORE để đảm bảo tính dự phòng và sẵn sàng cho hệ thống mạng
đồng thời tăng băng thông truy cập cho hệ thống mạng.
90
- Sử dụng 1 Router để kết nối đến 2 Switch CORE và để kết nối đến hạ tầng
mạng của nhà cung cấp dịch vụ.
3.2.2.4. Đối với hạ tầng mạng của nhà cung cấp dịch vụ
- Sử dụng 4 Router CORE trong hệ thống mạng để thực hiện chuyển mạch
nhãn.
- Sử dụng 3 Router biên để kết nối đến từng Router của 3 Site Học Viện Kỹ
Thuật Mật Mã.
3.2.3. Ký hiệu tên gọi của các thành phần trong hệ thống mạng
STT Name Type
1 THUCHANH Switch Access
2 HANHCHINH Switch Access
3 DAOTAO Switch Access
4 THUVIEN Switch Access
5 VANPHONG Switch Access
6 DMZ Switch Access
7 CORE_HNI_1 Switch CORE
8 CORE_HNI_2 Switch CORE
9 CE_HNI (dùng để kết nối đến hạ tầng mạng của Router
ISP)
10 FW_HNI Firewall
11 Modem Router
Bảng 1: Tên gọi các thành phần mạng đối với Site Hà Nội
STT Name Type
1 THUCHANH Switch Access
3 CORE_HCM_1 Switch CORE
4 CORE_HCM_2 Switch CORE
91
5 CE_HCM (dùng để kết nối đến hạ tầng mạng của Router
ISP)
Bảng 2: Tên gọi các thành phần mạng đối với Site Hồ Chí Minh

STT Name Type
1 NGHIENCUU Switch Access
3 CORE_NCT_1 Switch CORE
4 CORE_NCT_2 Switch CORE
5 CE_NCT (dùng để kết nối đến hạ tầng mạng của Router
ISP)
Bảng 3: Tên gọi các thành phần mạng đối với Site Nguyễn Chí Thanh
STT Name Type
1 P1 Router
2 P2 Router
3 P3 Router
4 P4 Router
5 PE1 (dùng để kết nối đến CE_HNI của Site Hà Router
Nội)
6 PE2 (dùng để kết nối đến CE_HCM của Site Hồ Router
Chí Minh)
7 PE3 (dùng để kết nối đến CE_NCTcủa Site Router
Nguyễn Chí Thanh)
Bảng 4: Tên gọi các thành phần mạng đối với nhà cung cấp dịch vụ
92
3.2.4. Quy hoạch VLAN và IP Address
• Quy hoạch VLAN
VLAN Name IP Address
ID
10 THUCHANH 192.168.10.0/24
20 HANHCHINH 192.168.20.0/24
30 DAOTAO 192.168.30.0/24
40 THUVIEN 192.168.40.0/24
50 VANPHONG 192.168.50.0/24
60 DMZ 192.168.60.0/24
Bảng 5: Quy hoạch VLAN của Site Hà Nội

• Quy hoạch IP Address
STT Name IP Address
1 FW_HNI & CE_HNI 192.168.61.0/30
2 CE_HNI & PE1 192.168.101.0/30
3 FW_HNI & Modem 192.168.71.0/30
4 Modem & Internet 10.96.199.0/16
Bảng 6: Quy hoạch IP Address của Site Hà Nội

ID
70 THUCHANH 192.168.70.0/24
80 VANPHONG 192.168.80.0/24
Bảng 7: Quy hoạch VLAN của Site Hồ Chí Minh
93
STT Name IP Address
1 CORE_HCM_1 & CE_HCM 192.168.21.0/30
2 CORE_HCM_2 & CE_HCM 192.168.22.0/30
3 CE_HCM & PE2 192.168.102.0/30
Bảng 8: Quy hoạch IP Address của Site Hồ Chí Minh

ID
90 NGHIENCUU 192.168.90.0/24
100 VANPHONG 192.168.100.0/24
Bảng 9: Quy hoạch VLAN của Site Nguyễn Chí Thanh

STT Name IP Address
1 CORE_NCT_1 & CE_NCT 192.168.31.0/30
2 CORE_NCT_2 & CE_NCT 192.168.32.0/30
3 CE_NCT & PE3 192.168.103.0/30
Bảng 10: Quy hoạch IP Address của Site Nguyễn Chí Thanh
STT Name IP Address
1 P1 & P2 113.171.10.0/30
2 P1 & P3 113.171.13.0/30
3 P1 & PE1 113.171.11.0/30
94
4 P2 & P4 113.171.25.0/30
5 P2 & PE2 113.171.22.0/30
6 P3 & P4 113.171.35.0/30
7 P3 & PE1 113.171.12.0/30
8 P3 & PE3 113.171.33.0/30
9 P4 & PE2 113.171.24.0/30
10 P4 & PE3 113.171.34.0/30
Bảng 11: Quy hoạch IP Address của nhà cung cấp dịch vụ
3.2.5. Quy hoạch địa chỉ Interface Loopback và Interface VLAN
Địa chỉ Interface VLAN ở Site Hà Nội đặt toàn bộ ở trên Firewall và cũng là Default
Gateway của người dùng của các phòng ban và Server ở trong vùng DMZ.
STT Name Interface IP Address
1 CORE_HCM_1 VLAN 70 192.168.70.1/24
2 CORE_HCM_1 VLAN 80 192.168.80.1/24
3 CORE_HCM_2 VLAN 70 192.168.70.2/24
4 CORE_HCM_2 VLAN 80 192.168.80.2/24
Bảng 12: Quy hoạch địa chỉ Interface VLAN của Site Hồ Chí Minh
1 CORE_NCT_1 VLAN 90 192.168.90.1/24
2 CORE_NCT_1 VLAN 100 192.168.100.1/24
3 CORE_NCT_2 VLAN 90 192.168.90.2/24
4 CORE_NCT_2 VLAN 100 192.168.100.2/24
Bảng 13: Quy hoạch địa chỉ Interface VLAN của Site Nguyễn Chí Thanh
95
3.2.5.3. Đối với nhà cung cấp dịch vụ
Quy hoạch địa chỉ IP Interface Loopback cụ thể như sau:
1 P1 Loopback 0 1.1.1.1/32
2 P2 Loopback 0 2.2.2.2/32
3 P3 Loopback 0 3.3.3.3/32
4 P4 Loopback 0 4.4.4.4/32
5 PE1 Loopback 0 11.11.11.11/32
6 PE2 Loopback 0 22.22.22.22/32
7 PE3 Loopback 0 33.33.33.33/32
Bảng 14: Quy hoạch địa chỉ IP Interface Loopback của Site Nguyễn Chí Thanh
3.3. Thiết kế Switching

3.3.1. Đối với Site Hà Nội
- Các Switch Access sẽ tạo các VLAN với tên tương ứng đã quy hoạch theo thiết kế
và thực hiện gán port vào từng VLAN.
- Kết nối giữa các Switch Access lên Switch CORE sẽ thực hiện trunking để cho phép
dẫn lưu lượng của từng VLAN lên Switch CORE.
- Đối với 2 Switch CORE sẽ thực hiện khai báo toàn bộ các VLAN của Site Hà Nội
vào cơ sở dữ liệu VLAN. Không tạo Interface VLAN.
- Các đường link vật lý trên mỗi Swicth CORE xuống dưới Switch Access sẽ thực
hiện trunking và trunking allowed VLAN tương ứng theo đúng các Interface được
nối xuống dưới Switch Access, điều này để giúp cho việc frame dữ liệu được chuyển
mạch đúng hướng đến từng Switch Access.
- Các đường link giữa 2 Switch CORE sẽ thực hiện cấu hình LACP để đảm bảo tính
dự phòng và tăng băng thông cho hệ thống mạng giúp cho việc chuyển mạch nhanh
hơn. Cấu hình LACP group 1, CORE_HNI_1: mode active còn CORE_HNI_2:
mode passive.
- Các đường link giữa 2 Switch CORE kết nối lên Firewall sẽ thực hiện cấu hình
trunking. Trên Firewall sẽ thực hiện tạo các Interface VLAN tương ứng của toàn bộ
Site Hà Nội, Default Gateway của toàn bộ người dùng và Server trong hệ thống sẽ
được đặt trên Firewall. Đồng thời cấu hình DHCP Relay trên mỗi Interface VLAN
của người dùng.
96
3.3.2. Đối với Site Hồ Chí Minh
- Các Switch Access sẽ tạo các VLAN với tên tương ứng theo thiết kế và thực hiện
gán port vào từng VLAN.
- Kết nối giữa các Switch Access lên Switch CORE sẽ thực hiện trunking để cho
phép dẫn lưu lượng của từng VLAN lên Switch CORE.
- Đối với 2 Switch CORE sẽ thực hiện khai báo toàn bộ các VLAN của Site Hồ Chí
Minh vào cơ sở dữ liệu VLAN, đồng thời tạo các Interface VLAN tương ứng theo
địa chỉ IP đã thiết kế.
- Switch CORE_HCM_1 cấu hình DHCP để cấp địa chỉ IP cho người dùng ở VLAN
80: 192.168.80.0/24, cấp phát địa chỉ IP từ: 192.168.80.5 – 192.168.80.250, loại bỏ
dải từ: 192.168.80.1 – 192.168.80.4 và 192.168.80.251 – 192.168.80.255 là không
cấp cho người dùng, địa chỉ Default Gateway là: 192.168.80.253, địa chỉ DNS
Server là: 192.168.60.60.
- Switch CORE_HCM_2 cấu hình DHCP để cấp địa chỉ IP cho người dùng ở VLAN
dải từ: 192.168.80.1 – 192.168.80.4 và 192.168.70.251 – 192.168.70.255 là không
Server là: 192.168.60.60.
- Switch CORE_HCM_1 và CORE_HCM_2 thực hiện cấu hình HSRP group 70 và
80 trên Interface VLAN 70 và Interface VLAN 80. CORE_HCM_1 Active group
80 và Standby group 70. CORE_HCM_2 active group 70 và Standby group 80.
Mục đích của việc cấu hình HSRP để dự phòng gateway cho người dùng ở các
VLAN.
- Các đường link vật lý trên mỗi Swicth CORE xuống dưới Switch Access sẽ thực
hiện trunking và trunking allowed VLAN tương ứng theo đúng các Interface được
nối xuống dưới Switch Access, điều này để giúp cho việc frame dữ liệu được
chuyển mạch đúng hướng đến từng Switch Access.
hơn. Cấu hình LACP group 1, CORE_HCM_1: mode active còn CORE_HCM_2:
mode passive.
3.3.3. Đối với Site Nguyễn Chí Thanh
- Các Switch Access sẽ tạo các VLAN với tên tương ứng theo thiết kế và thực hiện
gán port vào từng VLAN.
- Kết nối giữa các Switch Access lên Switch CORE sẽ thực hiện trunking để cho
phép dẫn lưu lượng của từng VLAN lên Switch CORE.
- Đối với 2 Switch CORE sẽ thực hiện khai báo toàn bộ các VLAN của Site Hồ Chí
Minh vào cơ sở dữ liệu VLAN, đồng thời tạo các Interface VLAN tương ứng theo
địa chỉ IP đã thiết kế.
97
- Switch CORE_NCT_1 cấu hình DHCP để cấp địa chỉ IP cho người dùng ở VLAN
dải từ: 192.168.90.1 – 192.168.90.4 và 192.168.90.251 – 192.168.90.255 là không
Server là: 192.168.60.60.
- Switch CORE_NCT_2 cấu hình DHCP để cấp địa chỉ IP cho người dùng ở VLAN
100: 192.168.100.0/24, cấp phát địa chỉ IP từ: 192.168.100.5 – 192.168.100.250,
loại bỏ dải từ: 192.168.100.1 – 192.168.100.4 và 192.168.100.251 –
192.168.100.255 là không cấp cho người dùng, địa chỉ Default Gateway là:
192.168.100.253, địa chỉ DNS Server là: 192.168.60.60.
- Các đường link vật lý trên Swicth CORE xuống dưới Switch Access sẽ thực hiện
trunking và trunking allowed VLAN tương ứng theo đúng các Interface được nối
xuống dưới Switch Access, điều này để giúp cho việc frame dữ liệu được chuyển
mạch đúng hướng đến từng Switch Access.
- Switch CORE_NCT_1 và CORE_NCT_2 thực hiện cấu hình HSRP group 90 và
100 trên Interface VLAN 90 và Interface VLAN 100. CORE_NCT_1 Active group
90 và Standby group 100. CORE_NCT_2 active group 100 và Standby group 90.
Mục đích của việc cấu hình HSRP để dự phòng gateway cho người dùng ở các
VLAN.
hơn. Cấu hình LACP group 1, CORE_NCT_1: mode active còn CORE_NCT_2:
mode passive.
3.4. Thiết kế định tuyến tĩnh

3.4.1. Đối với Site Hà Nội
- Router CE_HNI sẽ thực hiện cấu hình định tuyến tĩnh đến các dải mạng VLAN ở
bên trong bằng việc tạo các static route đến từng dải mạng của các VLAN và đẩy
đến next hop là địa chỉ IP của Firewall đấu nối trực tiếp với Router CE_HNI.
- Firewall sẽ thực hiện cấu hình định tuyến tĩnh bằng việc tạo static route đến từng cả
dải mạng VLAN ở Site Hồ Chí Minh và Site Nguyễn Chí Thanh, đẩy đến next hop
là địa chỉ IP của Router CE_HNI đang đấu nối trực tiếp với Firewall.
- Firewall sẽ thực hiện cấu hình định tuyến tĩnh bằng việc tạo staic route đến dải mạng
8.8.8.8/32 và 8.8.4.4/32 và tạo defaul route 0.0.0/0 0.0.0.0, cả static route và default
route đều đẩy đến nexthop là địa chỉ IP của Modem đang kết nối trực tiếp với
Firewall.
98
3.4.2. Đối với Site Hồ Chí Minh
- 2 Switch CORE sẽ thực hiện cấu hình định tuyến tĩnh bằng việc tạo default route
đẩy đến next hop là địa chỉ IP của router CE_HCM đang đấu nối trực tiếp với 2
Switch CORE, đồng thời cấu hình IP SLA để thực hiện tracking.
- Switch CORE_HCM_1 tạo track 1 để thực hiện monitor traffic địa chỉ IP của
Interface trên router CE_HCM đang kết nối trực tiếp với switch CORE_HCM_1,
default route đến hướng router CE_HCM là hướng chính, nếu track 1 mà down thì
default route đến hướng router CE_HCM sẽ bị xóa khỏi bảng định tuyến của switch
CORE_HCM_1, lúc này sẽ tạo thêm default route hướng dự phòng đẩy đến next
hop là địa chỉ IP Interface VLAN 80 của switch CORE_HCM_2. Lúc đó thực hiện
cấu hình track 2 để thực hiện monitor traffic địa chỉ IP của Interface VLAN 80 trên
switch CORE_HCM_2.
- Sau khi tạo xong track 1 và track 2 thì sẽ lồng track 1 và track 2 vào các default
route trên switch CORE_HCM_1.
- Switch CORE_HCM_2 tạo track 1 để thực hiện monitor traffic địa chỉ IP của
Interface trên router CE_HCM đang kết nối trực tiếp với switch CORE_HCM_2,
default route đến hướng router CE_HCM là hướng chính, nếu track 1 mà down thì
default route đến hướng router CE_HCM sẽ bị xóa khỏi bảng định tuyến của switch
CORE_HCM_2, lúc này sẽ tạo thêm default route hướng dự phòng đẩy đến next
hop là địa chỉ IP Interface VLAN 70 của switch CORE_HCM_1. Lúc đó thực hiện
cấu hình track 2 để thực hiện monitor traffic địa chỉ IP của Interface VLAN 70 trên
switch CORE_HCM_1.
route trên switch CORE_HCM_2.
- Router CE_HCM sẽ thực hiện cấu hình định tuyến tĩnh đến các dải VLAN của người
dùng bằng việc tạo các static route đến từng dải mạng của các VLAN đẩy đến next
hop là địa chỉ IP của 2 Switch CORE mà đang kết nối trực tiếp với router CE_HCM,
đồng thời cấu hình IP SLA để thực hiện tracking.
- Router CE_HCM tạo track 1 để thực hiện monitor traffic địa chỉ IP của Interface
trên switch CORE_HCM_1 đang kết nối trực tiếp với router CE_HCM, static route
đến hướng switch CORE_HCM_1 là hướng chính, nếu track 1 mà down thì static
route đến hướng switch CORE_HCM_1 sẽ bị xóa khỏi bảng định tuyến của router
CE_HCM, lúc này sẽ tạo thêm static route hướng dự phòng đẩy đến next hop là địa
chỉ IP của switch CORE_HCM_2 mà đang kết nối trực tiếp với router CE_HCM.
Lúc đó thực hiện cấu hình track 2 để thực hiện monitor traffic địa chỉ IP của Interface
trên switch CORE_HCM_2 mà đang kết nối trực tiếp với router CE_HCM.
- Sau khi tạo xong track 1 và track 2 thì sẽ lồng track 1 và track 2 vào các static route
trên router CE_HCM.
99
- Lưu ý giá trị AD của tuyến default route hướng chính thấp hơn giá trị AD của default
route hướng dự phòng. Giá trị AD của default route hướng chính mặc định là 1. Giá
trị AD của default route hướng dự phòng là 10.
- Lưu ý giá trị AD của tuyến static route hướng chính thấp hơn giá trị AD của static
route hướng dự phòng. Giá trị AD của static route hướng chính mặc định là 1. Giá
trị AD của static route hướng dự phòng là 10.
3.4.3. Đối với Site Nguyễn Chí Thanh
- 2 Switch CORE sẽ thực hiện cấu hình định tuyến tĩnh bằng việc tạo default route
đẩy đến next hop là địa chỉ IP của router CE_NCT đang đấu nối trực tiếp với 2
Switch CORE, đồng thời cấu hình IP SLA để thực hiện tracking.
- Switch CORE_NCT_1 tạo track 1 để thực hiện monitor traffic địa chỉ IP của
Interface trên router CE_NCT đang kết nối trực tiếp với switch CORE_NCT_1,
default route đến hướng router CE_NCT là hướng chính, nếu track 1 mà down thì
default route đến hướng router CE_NCT sẽ bị xóa khỏi bảng định tuyến của switch
CORE_NCT_1, lúc này sẽ tạo thêm default route hướng dự phòng đẩy đến next hop
là địa chỉ IP Interface VLAN 90 của switch CORE_NCT_2. Lúc đó thực hiện cấu
hình track 2 để thực hiện monitor traffic địa chỉ IP của Interface VLAN 90 trên
switch CORE_NCT_2.
route trên switch CORE_NCT_1.
- Switch CORE_NCT_2 tạo track 1 để thực hiện monitor traffic địa chỉ IP của
Interface trên router CE_NCT đang kết nối trực tiếp với switch CORE_NCT_2,
default route đến hướng router CE_NCT là hướng chính, nếu track 1 mà down thì
default route đến hướng router CE_NCT sẽ bị xóa khỏi bảng định tuyến của switch
CORE_NCT_2, lúc này sẽ tạo thêm default route hướng dự phòng đẩy đến next hop
là địa chỉ IP Interface VLAN 100 của switch CORE_NCT_1. Lúc đó thực hiện cấu
hình track 2 để thực hiện monitor traffic địa chỉ IP của Interface VLAN 100 trên
switch CORE_NCT_1.
route trên switch CORE_NCT_2.
- Router CE_NCT sẽ thực hiện cấu hình định tuyến tĩnh đến các dải VLAN của người
dùng bằng việc tạo các static route đến từng dải mạng của các VLAN đẩy đến next
hop là địa chỉ IP của 2 Switch CORE mà đang kết nối trực tiếp với router CE_NCT,
đồng thời cấu hình IP SLA để thực hiện tracking.
- Router CE_NCT tạo track 1 để thực hiện monitor traffic địa chỉ IP của Interface trên
switch CORE_NCT_1 đang kết nối trực tiếp với router CE_HCM, static route đến
hướng switch switch CORE_NCT_1 là hướng chính, nếu track 1 mà down thì static
route đến hướng switch CORE_NCT_1 sẽ bị xóa khỏi bảng định tuyến của router
100
CE_NCT, lúc này sẽ tạo thêm static route hướng dự phòng đẩy đến next hop là địa
chỉ IP của switch CORE_NCT_2 mà đang kết nối trực tiếp với router CE_NCT.
- Sau khi tạo xong track 1 và track 2 thì sẽ lồng track 1 và track 2 vào các static route
trên router CE_NCT.
- Lưu ý giá trị AD của tuyến default route hướng chính thấp hơn giá trị AD của default
route hướng dự phòng. Giá trị AD của default route hướng chính mặc định là 1. Giá
trị AD của default route hướng dự phòng là 10.
- Lưu ý giá trị AD của tuyến static route hướng chính thấp hơn giá trị AD của static
route hướng dự phòng. Giá trị AD của static route hướng chính mặc định là 1. Giá
trị AD của static route hướng dự phòng là 10.
3.5. Thiết kế định tuyến OSPF

- Các router P và PE sẽ thực hiện cấu hình định tuyến nội miền sử dụng giao thức
OSPF và cấu hình interface loopback trên mỗi Router để làm router-id khi tham gia
OSPF.
- Các Router PE lưu ý không quảng bá các mạng kết nối trực tiếp đến mỗi CE vào
miền OSPF.
- Giữa các router P và PE sẽ cấu hình ospf 1 area 0.
3.6. Thiết kế định tuyến BGP
• Quy hoạch AS:
- Router CE_HNI: AS 100
- Router CE_HCM: AS 200
- Router CE_NCT: AS 300
- Router PE1 ; PE2 ; PE3: AS 400
- Trong AS 400 Router PE1 cấu hình peer iBGP với Router PE2 và Router PE3 bằng
Interface Loopback 0, cấu hình thuộc tính next-hop-self và update-source thông qua
Interface Loopback 0 trên mỗi Router.
- Router PE2 và PE3 không cấu hình peer iBGP.
3.7. Thiết kế MPLS

- Các Router P và PE sẽ thực hiện cấu hình MPLS sử dụng giao thức LDP để phân
phối nhãn và thiết lập mối quan hệ neighbor với nhau.
- Router PE sẽ bật tính năng MPLS trên từng Interface kết nối đến các Router P.
- Router PE không bật tính năng MPLS trên Interface kết nối đến các Router CE.
- Quy luật cấp nhãn như sau:
• PE1 cấp nhãn trong khoảng: 100 – 199
• PE2 cấp nhãn trong khoảng: 200 - 299
101
• PE3 cấp nhãn trong khoảng: 300 - 399
• P1 cấp nhãn trong khoảng: 400 – 499
• P2 cấp nhãn trong khoảng: 500 - 599
• P3 cấp nhãn trong khoảng: 600 - 699
• P4 cấp nhãn trong khoảng: 700 – 799
3.8. Thiết kế MPLS L3VPN

- Trên mỗi router PE sẽ thực hiện khai báo VRF có tên là: SITE-HNI-HCM-NCT
và gán Interface kết nối trực tiếp với các router CE vào VRF và đặt địa chỉ IP.
- Trên mỗi VRF tạo các giá trị RD là 1:1 và route-target export 300:3 và route-target
import 300:3.
- Giữa các router PE sẽ peer iBGP mở rộng sử dụng họ địa chỉ VPNv4.
- Giữa các router PE và router CE sẽ thực hiện cấu hình eBGP với nhau.
- Router PE sẽ thực hiện peer eBGP với các router CE trong address-family ipv4 vrf
SITE-HNI-HCM-NCT. Các router CE cấu hình peer eBGP với địa chỉ của Interface
trên router PE đang kết nối trực tiếp với router CE.
- Các router PE sẽ định nghĩa access-list để permit dải mạng kết nối trực tiếp với các
router CE và tạo chính sách với access-list đó và quảng bá vào address-family ipv4
vrf SITE-HNI-HCM-NCT.
- Lưu ý: Các Router PE không quảng bá các mạng kết nối trực tiếp với các router P
vào address-family ipv4 vrf SITE-HNI-HCM-NCT.
3.9. Thiết kế hệ thống DMZ và kênh VPN IP SEC giữa các Site
- Trong vùng DMZ ở Site Hà Nội sẽ thực hiện cấu hình dịch vụ như sau:
- Dịch vụ DHCP để cấp IP Address cho các người dùng ở VLAN.
- Cấu hình dịch vụ DNS để phân giải tên miền: actvn.edu.vn.
- Cấu hình dịch vụ Web Server để người dùng có thể truy cập được vào Website nội
bộ của Học viện.
- Cấu hình dịch vụ FTP để chia sẻ dữ liệu và thực hiện cấu hình phân quyền chia sẻ
dữ liệu.
- Giữa router CE_HNI và router CE_HCM sẽ cấu hình IPSEC VPN với nhau lựa chọn
giao thức mã hóa là: AES, giao thức xác thực: SHA512, group 16 để trao đổi khóa
Diffle – Hellman và thực hiện trao đổi thỏa thuận key với nhau.
- Sau khi cấu hình xong kênh VPN IPSEC thì trên các Router CE thì sẽ tạo các access-
list để quy định những dải mạng nào được phép đi vào Interface Tunnel để mã hóa
dữ liệu.
102
- Sau đó thực hiện cấu hình static route đến các dải mạng tương ứng của mỗi site và
đẩy đến Interface Tunnel.
- Lưu ý: Phải tạo access-list và static route theo 2 chiều ở cả 2 Site Hà Nội và Site
Hồ Chí Minh.
3.10. Cấu hình chính sách trên Firewall ở Site Hà Nội

- Trên Firewall sẽ cấu hình chính sách kiểm soát người dùng: chỉ cho phép các dải
địa chỉ của Site Hồ Chí Minh và Site Nguyễn Chí Thanh có thể truy cập được vào
Server ở vùng DMZ của Site Hà Nội. Các địa chỉ IP khác sẽ không được phép truy
cập.
- Cấu hình chính sách NAT để cho phép người dùng ở bên trong hệ thống mạng của
Site Hà Nội có thể truy cập ra bên ngoài Internet.
- Cấu hình chính sách cho phép người dùng ở các phòng ban của Site Hà Nội có thể
truy cập vào được Server ở vùng DMZ.
103
3.11. Triển khai cấu hình hệ thống mạng
3.11.1. Cấu hình hostname, VLAN, đường trunk, địa chỉ IP
❖ Cấu hình hostname, VLAN, đường trunk
• Trên Switch Access THUCHANH
Switch(config)#hostname THUCHANH
THUCHANH(config)#vlan 10
THUCHANH(config-vlan)#name THUCHANH
THUCHANH(config-vlan)#exit
THUCHANH(config)#interface ethernet 0/0
THUCHANH(config-if)#switchport mode access
THUCHANH(config-if)#switchport access vlan 10
THUCHANH(config-if)#exit
THUCHANH(config-if)#switchport trunk encapsulation dot1q
THUCHANH(config-if)#switchport mode trunk
THUCHANH(config)#end
THUCHANH#
Thực hiện câu lệnh kiểm tra:
Sử dụng câu lệnh show vlan brief để kiểm tra khai báo VLAN trên Switch.
Sử dụng câu lệnh show interface trunk để kiểm tra các Interface được cấu hình trunk.
104
Hình 3.2. Kiểm tra khai báo VLAN trên Switch THUCHANH của Site Hà Nội
Hình 3.3. Kiểm tra cấu hình Interface trunk trên Switch THUCHANH của Site Hà Nội
• Trên Switch Access HANHCHINH

Switch(config)#hostname HANHCHINH
HANHCHINH(config)#vlan 20
HANHCHINH(config-vlan)#name HANHCHINH
HANHCHINH(config-vlan)#exit
HANHCHINH(config)#interface ethernet 0/0
HANHCHINH(config-if)#switchport mode access
HANHCHINH(config-if)#switchport access vlan 20
HANHCHINH(config-if)#exit
HANHCHINH(config-if)#switchport mode access
105
HANHCHINH(config-if)#switchport access vlan 20
HANHCHINH(config-vlan)#exit
HANHCHINH(config-if)#switchport trunk encapsulation dot1q
HANHCHINH(config-if)#switchport mode trunk
HANHCHINH(config-if)#switchport trunk encapsulation dot1q
HANHCHINH(config-if)#switchport mode trunk
HANHCHINH(config)#end
HANHCHINH#
Hình 3.4. Kiểm tra khai báo VLAN trên Switch HANHCHINH của Site Hà Nội
Hình 3.5. Kiểm tra cấu hình Interface trunk trên Switch HANHCHINH của Site Hà Nội
106
• Trên Switch Access DAOTAO
Switch(config)#hostname DAOTAO
DAOTAO(config)#vlan 30
DAOTAO(config-vlan)#name DAOTAO
DAOTAO(config-vlan)#exit
DAOTAO(config)#interface ethernet 0/0
DAOTAO(config-if)#switchport mode access
DAOTAO(config-if)#switchport access vlan 30
DAOTAO(config-if)#exit
DAOTAO(config-if)#switchport mode access
DAOTAO(config-if)#switchport access vlan 30
DAOTAO(config-vlan)#exit
DAOTAO(config-if)#switchport trunk encapsulation dot1q
DAOTAO(config-if)#switchport mode trunk
DAOTAO(config-if)#switchport trunk encapsulation dot1q
DAOTAO(config-if)#switchport mode trunk
DAOTAO(config)#end
DAOTAO#
107
Hình 3.6. Kiểm tra khai báo VLAN trên Switch DAOTAO của Site Hà Nội
Hình 3.7. Kiểm tra cấu hình Interface trunk trên Switch DAOTAO của Site Hà Nội
• Trên Switch Access THUVIEN

Switch(config)#hostname THUVIEN
THUVIEN(config)#vlan 40
THUVIEN(config-vlan)#name THUVIEN
THUVIEN(config-vlan)#exit
THUVIEN(config)#interface ethernet 0/0
THUVIEN(config-if)#switchport mode access
THUVIEN(config-if)#switchport access vlan 40
THUVIEN(config-if)#exit
108
THUVIEN(config-if)#switchport mode access
THUVIEN(config-if)#switchport access vlan 40
THUVIEN(config-vlan)#exit
THUVIEN(config-if)#switchport trunk encapsulation dot1q
THUVIEN(config-if)#switchport mode trunk
THUVIEN(config-if)#switchport trunk encapsulation dot1q
THUVIEN(config-if)#switchport mode trunk
THUVIEN(config)#end
THUVIEN#
Hình 3.8. Kiểm tra khai báo VLAN trên Switch THUVIEN của Site Hà Nội
109
Hình 3.9. Kiểm tra cấu hình Interface trunk trên Switch THUVIEN của Site Hà Nội
• Trên Switch Access VANPHONG
Switch(config)#hostname VANPHONG
VANPHONG(config)#vlan 50
VANPHONG(config-vlan)#name VANPHONG
VANPHONG(config-vlan)#exit
VANPHONG(config)#interface ethernet 0/0
VANPHONG(config-if)#switchport mode access
VANPHONG(config-if)#switchport access vlan 50
VANPHONG(config-if)#exit
VANPHONG(config-if)#switchport trunk encapsulation dot1q
VANPHONG(config-if)#switchport mode trunk
110
VANPHONG(config)#end
VANPHONG#
Hình 3.10. Kiểm tra khai báo VLAN trên Switch DAOTAO của Site Hà Nội
Hình 3.11. Kiểm tra cấu hình Interface trunk trên Switch DAOTAO của Site Hà Nội
• Trên Switch Access DMZ
Switch(config)#hostname DMZ
DMZ(config)#vlan 60
DMZ(config-vlan)#name DMZ
DMZ(config-vlan)#exit
DMZ(config)#interface ethernet 0/1
DMZ(config-if)#switchport mode access
111
DMZ(config-if)#switchport access vlan 60
DMZ(config-vlan)#exit
DMZ(config-if)#switchport trunk encapsulation dot1q
DMZ(config-if)#switchport mode trunk
DMZ(config-if)#exit
DMZ(config-if)#switchport trunk encapsulation dot1q
DMZ(config-if)#switchport mode trunk
DMZ(config-if)#exit
DMZ(config)#end
DMZ#
Hình 3.12. Kiểm tra khai báo VLAN trên Switch DMZ của Site Hà Nội
112
Hình 3.13. Kiểm tra cấu hình Interface trunk trên Switch DMZ của Site Hà Nội
• Trên Switch CORE_HNI_1
Switch(config)#hostname CORE_HNI_1
CORE_HNI_1(config)#vlan 10
CORE_HNI_1(config-vlan)#name THUCHANH
CORE_HNI_1(config-vlan)#exit
CORE_HNI_1(config-vlan)#name HANHCHINH
CORE_HNI_1(config-vlan)#name DAOTAO
CORE_HNI_1(config-vlan)#name THUVIEN
CORE_HNI_1(config-vlan)#name VANPHONG
113
CORE_HNI_1(config-vlan)#name DMZ
CORE_HNI_1(config)#interface ethernet 0/2
CORE_HNI_1(config-if)#switchport trunk encapsulation dot1q
CORE_HNI_1(config-if)#switchport mode trunk
CORE_HNI_1(config-if)#switchport trunk allowed vlan 10
CORE_HNI_1(config-if)#exit
114
CORE_HNI_1#
Hình 3.14. Kiểm tra khai báo VLAN trên Switch CORE_HNI_1 của Site Hà Nội
115
Hình 3.15. Kiểm tra cấu hình Interface trunk trên Switch CORE_HNI_1 của Site Hà Nội
116
Switch(config)#hostname CORE_HNI_2
CORE_HNI_2(config-vlan)#name THUCHANH
CORE_HNI_2(config-vlan)#name HANHCHINH
CORE_HNI_2(config-vlan)#name DAOTAO
CORE_HNI_2(config-vlan)#name THUVIEN
CORE_HNI_2(config-vlan)#name VANPHONG
CORE_HNI_2(config-vlan)#name DMZ
CORE_HNI_2(onfig-if)#switchport trunk allowed vlan 10
117
118
CORE_HNI_2(config)#end
CORE_HNI_2#
Hình 3.16. Kiểm tra khai báo VLAN trên Switch CORE_HNI_2 của Site Hà Nội
Hình 3.17. Kiểm tra cấu hình Interface trunk trên Switch CORE_HNI_2 của Site Hà Nội
119
❖ Cấu hình địa chỉ IP
• Trên Modem
Router(config)#hostname Modem
Modem(config)#interface ethernet 0/2
Modem(config-if)#no shutdown
Modem(config-if)#description TO-FW_HNI
Modem(config-if)#ip address 192.168.71.2 255.255.255.252
Modem(config-if)#exit
Modem(config)#interface ethernet 0/0
Modem(config-if)#no shutdown
Modem(config-if)#description TO-Internet
Modem(config-if)#ip address 10.96.199.90 255.255.0.0
Modem(config-if)#exit
Modem(config)#end
Modem#end
Sử dụng câu lệnh show ip interface brief để kiểm tra địa chỉ IP được cấu hình trên
Interface và trạng thái của Interface.
Hình 3.18. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của Modem của
Site Hà Nội
120
• Trên Router CE_HNI
Router(config)#hostname CE_HNI
CE_HNI(config)#interface ethernet 0/0
CE_HNI(config-if)#no shutdown
CE_HNI(config-if)#description TO-FW_HNI
CE_HNI(config-if)#ip address 192.168.61.2 255.255.255.252
CE_HNI(config-if)#exit
CE_HNI(config-if)#no shutdown
CE_HNI(config-if)#description TO-PE1
CE_HNI(config-if)#ip address 192.168.101.2 255.255.255.252
CE_HNI(config)#end
CE_HNI#end
Hình 3.19. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của router CE_HNI
của Site Hà Nội
121
• Trên Firewall FW_HNI
Cấu hình địa chỉ IP trên port7
Hình 3.20. Cấu hình địa chỉ IP trên port7 trên Firewall kết nối đến Modem của
Site Hà Nội
122
Cấu hình địa chỉ IP trên port4
Hình 3.21. Cấu hình địa chỉ IP port4 trên Firewall kết nối đến router CE_HNI của
Site Hà Nội
123
Cấu hình địa chỉ IP và cấu hình DHCP Relay trên Interface VLAN 10
Hình 3.22. Cấu hình địa chỉ IP Interface VLAN 10 và cấu hình DHCP Relay trên
Firewall của Site Hà Nội
124
Hình 3.23. Cấu hình địa chỉ IP Interface VLAN 10 và cấu hình DHCP Relay trên
Firewall của Site Hà Nội
125
Hình 3.24. Cấu hình địa chỉ IP Interface VLAN 30 và cấu hình DHCP relay trên Firewall
126
127
128
Cấu hình địa chỉ IP trên Interface VLAN 60
Hình 3.27. Cấu hình địa chỉ IP Interface VLAN 60 trên Firewall của Site Hà Nội
129
Cấu hình địa chỉ IP trên Server của vùng DMZ
Hình 3.28. Cấu hình địa chỉ IP của Server trong vùng DMZ của Site Hà Nội
130
VANPHONG#
Hình 3.29. Kiểm tra khai báo VLAN trên Switch VANPHONG của Site Hồ Chí Minh
131
Hình 3.30. Kiểm tra cấu hình Interface trunk trên Switch VANPHONG của
Site Hồ Chí Minh
• Trên Switch Access THUCHANH

Switch(config)#hostname THUCHANH
THUCHANH(config)#vlan 70
THUCHANH(config-vlan)#name THUCHANH
THUCHANH(config-vlan)#exit
132
THUCHANH(config)#end
THUCHANH#
Hình 3.31. Kiểm tra khai báo VLAN trên Switch THUCHANH của Site Hồ Chí Minh
Hình 3.32. Kiểm tra cấu hình Interface trunk trên Switch THUCHANH của
Site Hồ Chí Minh
133
• Trên Switch CORE_HCM_1
Switch(config)#hostname CORE_HCM_1
CORE_HCM_1(config)#vlan 70
CORE_HCM_1(config-vlan)#name THUCHANH
CORE_HCM_1(config-vlan)#exit
CORE_HCM_1(config-vlan)#name VANPHONG
CORE_HCM_1(config)#interface ethernet 0/2
CORE_HCM_1(config-if)#switchport trunk encapsulation dot1q
CORE_HCM_1(config-if)#switchport mode trunk
CORE_HCM_1(config-if)#switchport trunk allowed vlan 80
CORE_HCM_1(config-if)#exit
CORE_HCM_1(config)#end
CORE_HCM_1#
Hình 3.33. Kiểm tra khai báo VLAN trên Switch CORE_HCM_1 của Site Hồ Chí Minh
134
Hình 3.34. Kiểm tra cấu hình Interface trunk trên Switch CORE_HCM_1 của
Site Hồ Chí Minh
Switch(config)#hostname CORE_HCM_2
CORE_HCM_2(config-vlan)#name THUCHANH
CORE_HCM_2(config-vlan)#name VANPHONG
135
CORE_HCM_2#
Hình 3.35. Kiểm tra khai báo VLAN trên Switch CORE_HCM_2 của Site Hồ Chí Minh
Hình 3.36. Kiểm tra cấu hình Interface trunk trên Switch CORE_HCM_2 của
Site Hồ Chí Minh
136
CORE_HCM_1(config)#interface vlan 70
CORE_HCM_1(config-if)#no shutdown
CORE_HCM_1(config-if)#ip address 192.168.70.1 255.255.255.0
CORE_HCM_1(config-if)#description TO-CE_HCM
CORE_HCM_1#
Hình 3.37. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của Switch
CORE_HCM_1 của Site Hồ Chí Minh
137
CORE_HCM_2(config-if)#description TO-CE_HCM
CORE_HCM_2#
CORE_HCM_2 của Site Hồ Chí Minh
138
• Trên Router CE_HCM
CE_HCM(config)#interface ethernet 0/0
CE_HCM(config-if)#no shutdown
CE_HCM(config-if)#description TO-CORE_HCM_1
CE_HCM(config-if)#ip address 192.168.21.2 255.255.255.252
CE_HCM(config-if)#exit
CE_HCM(config-if)#description TO-CORE_HCM_2
CE_HCM(config-if)#description TO-PE2
CE_HCM(config)#end
CE_HCM#
Hình 3.39. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của router CE_HCM
của Site Hồ Chí Minh
139
• Trên Switch Access NGHIENCUU
Switch(config)#hostname NGHIENCUU
NGHIENCUU(config)#vlan 90
NGHIENCUU(config-vlan)#name NGHIENCUU
NGHIENCUU(config-vlan)#exit
NGHIENCUU(config)#interface ethernet 0/1
NGHIENCUU(config-if)#switchport mode access
NGHIENCUU(config-if)#switchport access vlan 90
NGHIENCUU(config-if)#exit
NGHIENCUU(config-if)#switchport mode access
NGHIENCUU(config-if)#switchport access vlan 90
NGHIENCUU(config-if)#switchport trunk encapsulation dot1q
NGHIENCUU(config-if)#switchport mode trunk
NGHIENCUU(config-if)#switchport trunk encapsulation dot1q
NGHIENCUU(config-if)#switchport mode trunk
NGHIENCUU(config)#end
NGHIENCUU#
140
Hình 3.40. Kiểm tra khai báo VLAN trên Switch NGHIENCUU của
Site Nguyễn Chí Thanh
Hình 3.41. Kiểm tra cấu hình Interface trunk trên Switch NGHIENCUU của

141
VANPHONG#
Hình 3.42. Kiểm tra khai báo VLAN trên Switch VANPHONG của
142
Hình 3.42. Kiểm tra cấu hình Interface trunk trên Switch VANPHONG của
• Trên Switch CORE_NCT_1
Switch(config)#hostname CORE_NCT_1
CORE_NCT_1(config)#vlan 90
CORE_NCT_1(config-vlan)#name NGHIENCUU
CORE_NCT_1(config-vlan)#exit
CORE_NCT_1(config-vlan)#name VANPHONG
CORE_NCT_1(config)#interface ethernet 0/0
CORE_NCT_1(config-if)#switchport trunk encapsulation dot1q
CORE_NCT_1(config-if)#switchport mode trunk
CORE_NCT_1(config-if)#switchport trunk allowed vlan 90
CORE_NCT_1(config-if)#exit
143
CORE_NCT_1(config)#end
CORE_NCT_1#
Hình 3.43. Kiểm tra khai báo VLAN trên Switch CORE_NCT_1 của
Hình 3.44. Kiểm tra cấu hình Interface trunk trên Switch CORE_NCT_1 của
144
Switch(config)#hostname CORE_NCT_2
CORE_NCT_2(config-vlan)#name NGHIENCUU
CORE_NCT_2(config-vlan)#name VANPHONG
CORE_NCT_2#
Hình 3.45. Kiểm tra khai báo VLAN trên Switch CORE_NCT_2 của
145
Hình 3.46. Kiểm tra cấu hình Interface trunk trên Switch CORE_NCT_2 của
CORE_NCT_1(config)#interface vlan 90
CORE_NCT_1(config-if)#no shutdown
CORE_NCT_1(config-if)#ip address 192.168.90.1 255.255.255.0
CORE_NCT_1(config-if)#description TO-CE_NCT
146
CORE_NCT_1#
CORE_NCT_1 của Site Nguyễn Chí Thanh
CORE_NCT_2(config-if)#description TO-CE_NCT
CORE_NCT_2#
147
CORE_NCT_2 của Site Nguyễn Chí Thanh
• Trên Router CE_NCT

CE_NCT(config)#interface ethernet 0/0
CE_NCT(config-if)#no shutdown
CE_NCT(config-if)#description TO-CORE_NCT_2
CE_NCT(config-if)#ip address 192.168.32.2 255.255.255.252
CE_NCT(config-if)#exit
CE_NCT(config-if)#description TO-CORE_NCT_2
CE_NCT(config-if)#description TO-PE3
CE_NCT(config-if)#exit
CORE_NCT_2(config-if)#end
CORE_NCT_2#
148
Hình 3.49. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của router CE_NCT
của Site Nguyễn Chí Thanh
❖ Cấu hình hostname và địa chỉ IP
• Trên Router P1
Router(config)#hostname P1
P1(config)#interface loopback 0
P1(config-if)#no shutdown
P1(config-if)#ip address 1.1.1.1 255.255.255.255
P1(config-if)#exit
P1(config)#interface ethernet 0/0
P1(config-if)#description TO-P3
P1(config-if)#exit
P1(config-if)#exit
P1(config-if)#description TO-PE1
149
P1(config-if)#exit
P1(config)#end
P1#
Hình 3.50. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của router P1 trong
hạ tầng mạng của nhà cung cấp dịch vụ
• Trên Router P2
P2(config-if)#exit
P2(config-if)#exit
150
P2(config-if)#exit
P2(config-if)#exit
P2(config)#end
P2#
• Trên Router P3
P3(config-if)#exit
P3(config-if)#exit
151
P3(config-if)#exit
P3(config-if)#exit
P3(config-if)#exit
P3(config)#end
P3#
152
• Trên Router P4
P4(config-if)#exit
P4(config-if)#exit
P4(config-if)#exit
P4(config-if)#exit
P4(config-if)#exit
P4(config)#end
P4#
153
• Trên Router PE1

Router(config)#hostname PE1
PE1(config)#interface loopback 0
PE1(config-if)#no shutdown
PE1(config-if)#ip address 11.11.11.11 255.255.255.255
PE1(config-if)#exit
PE1(config)#interface ethernet 0/0
PE1(config-if)#description TO-CE_HNI
PE1(config-if)#exit
PE1(config-if)#description TO-P1
PE1(config-if)#exit
154
PE1(config-if)#exit
PE1(config)#end
PE1#
Hình 3.54. Kiểm tra địa chỉ IP trên Interface và trạng thái Interface của router PE1
trong hạ tầng mạng của nhà cung cấp dịch vụ
PE2(config-if)#exit
PE2(config-if)#description TO-CE_HCM
PE2(config-if)#exit
PE2(config-if)#exit
155
PE2(config-if)#exit
PE2(config)#end
PE2#
PE3(config-if)#exit
PE3(config-if)#description TO-CE_NCT
PE3(config-if)#exit
156
PE3(config-if)#exit
PE3(config-if)#exit
PE3(config)#end
PE3#
3.11.2. Cấu hình DHCP

CORE_HCM_1(config)#ip dhcp pool VLAN80_VANPHONG
CORE_HCM_1(dhcp-config)#network 192.168.80.0 255.255.255.0
CORE_HCM_1(dhcp-config)#default-router 192.168.80.253
CORE_HCM_1(dhcp-config)#dns-server 192.168.60.60
CORE_HCM_1(dhcp-config)#exit
CORE_HCM_1(config)#ip dhcp excluded-address 192.168.80.1 192.168.80.4
157
CORE_HCM_1#
CORE_HCM_2(config)#ip dhcp pool VLAN70_THUCHANH
CORE_HCM_2(dhcp-config)#network 192.168.70.0 255.255.255.0
CORE_HCM_2(dhcp-config)#default-router 192.168.70.253
CORE_HCM_2(dhcp-config)#dns-server 192.168.60.60
CORE_HCM_2(dhcp-config)#exit
CORE_HCM_2#

CORE_NCT_1(config)#ip dhcp pool VLAN90_NGHIENCUU
CORE_NCT_1(dhcp-config)#network 192.168.90.0 255.255.255.0
CORE_NCT_1(dhcp-config)#default-router 192.168.90.253
CORE_NCT_1(dhcp-config)#dns-server 192.168.60.60
CORE_NCT_1(dhcp-config)#exit
CORE_NCT_1(config)#ip dhcp excluded-address 192.168.90.1 192.168.90.4
CORE_NCT_1#
CORE_NCT_2(config)#ip dhcp pool VLAN100_VANPHONG
CORE_NCT_2(dhcp-config)#network 192.168.100.0 255.255.255.0
CORE_NCT_2(dhcp-config)#default-router 192.168.100.253
158
CORE_NCT_2(dhcp-config)#dns-server 192.168.60.60
CORE_NCT_2(dhcp-config)#exit
CORE_NCT_2#
3.11.3. Cấu hình HSRP trên 2 Switch CORE
CORE_HCM_1(config-if)#standby 70 ip 192.168.80.253
CORE_HCM_1(config-if)#standby 70 preempt
CORE_HCM_1(config-if)#standby 80 priority 150
CORE_HCM_1#
CORE_HCM_2(config-if)#standby 70 priority 150
159
CORE_HCM_2#
Sử dụng câu lệnh: show standby brief để kiểm tra trạng thái HSRP trên 2 Switch CORE.
Hình 3.57. Kiểm tra trạng thái HSRP của Switch CORE_HCM_1 của Site Hồ Chí Minh
Hình 3.58. Kiểm tra trạng thái HSRP của Switch CORE_HCM_2 của Site Hồ Chí Minh

CORE_NCT_1(config-if)#standby 90 ip 192.168.90.253
CORE_NCT_1(config-if)#standby 90 priority 150
CORE_NCT_1(config-if)#standby 90 preempt
CORE_NCT_1#
160
CORE_NCT_2(config-if)#standby 100 priority 150
CORE_NCT_2#
Hình 3.59. Kiểm tra trạng thái HSRP của Switch CORE_NCT_1 của
Hình 3.60. Kiểm tra trạng thái HSRP của Switch CORE_NCT_2 của
161
3.11.4. Cấu hình LACP trên 2 Switch CORE
CORE_HNI_1(config)#interface range ethernet 0/0-1
CORE_HNI_1(config-if-range)#switchport trunk encapsulation dot1q
CORE_HNI_1(config-if-range)#switchport mode trunk
CORE_HNI_1(config-if-range)#channel-group 1 mode active
CORE_HNI_1(config-if-range)#exit
CORE_HNI_1(config)#interface port-channel 1
CORE_HNI_1#
CORE_HNI_2(config)#interface range ethernet 0/0-1
CORE_HNI_2(config-if-range)#switchport trunk encapsulation dot1q
CORE_HNI_2(config-if-range)#switchport mode trunk
CORE_HNI_2(config-if-range)#channel-group 1 mode passive
CORE_HNI_2(config-if-range)#exit
CORE_HNI_2(config)#interface port-channel 1
CORE_HNI_2#
Sử dụng câu lệnh show etherchannel summary để kiểm tra trạng thái LACP của interface
port-channel 1 trên 2 Switch CORE. Trạng thái P là đạt yêu cầu bundled LACP.
162
Hình 3.61. Kiểm tra trạng thái LACP trên Switch CORE_HNI_1 của Site Hà Nội
Hình 3.62. Kiểm tra trạng thái LACP trên Switch CORE_HNI_2 của Site Hà Nội

CORE_HCM_1(config)#interface range ethernet 0/0-1
CORE_HCM_1(config-if-range)#switchport trunk encapsulation dot1q
CORE_HCM_1(config-if-range)#switchport mode trunk
CORE_HCM_1(config-if-range)#channel-group 1 mode active
163
CORE_HCM_1(config-if-range)#exit
CORE_HCM_1(config)#interface port-channel 1
CORE_HCM_1#
CORE_HCM_2(config)#interface range ethernet 0/0-1
CORE_HCM_2(config-if-range)#switchport trunk encapsulation dot1q
CORE_HCM_2(config-if-range)#switchport mode trunk
CORE_HCM_2(config-if-range)#channel-group 1 mode passive
CORE_HCM_2(config-if-range)#exit
CORE_HCM_2(config)#interface port-channel 1
CORE_HCM_2#
164
Hình 3.63. Kiểm tra trạng thái LACP trên Switch CORE_HCM_1 của Site Hồ Chí Minh
Hình 3.64. Kiểm tra trạng thái LACP trên Switch CORE_HCM_2 của Site Hồ Chí Minh
165
CORE_NCT_1(config)#interface range ethernet 0/3, ethernet 1/0
CORE_NCT_1(config-if-range)#switchport trunk encapsulation dot1q
CORE_NCT_1(config-if-range)#switchport mode trunk
CORE_NCT_1(config-if-range)#channel-group 1 mode active
CORE_NCT_1(config-if-range)#exit
CORE_NCT_1(config)#interface port-channel 1
CORE_NCT_1#
CORE_NCT_2(config)#interface range ethernet 0/3, ethernet 1/0
CORE_NCT_2(config-if-range)#switchport trunk encapsulation dot1q
CORE_NCT_2(config-if-range)#switchport mode trunk
CORE_NCT_2(config-if-range)#channel-group 1 mode passive
CORE_NCT_2(config-if-range)#exit
CORE_NCT_2(config)#interface port-channel 1
CORE_NCT_2#
166
Hình 3.65. Kiểm tra trạng thái LACP trên Switch CORE_NCT_1 của
Hình 3.66. Kiểm tra trạng thái LACP trên Switch CORE_NCT_2 của
167
3.11.5. Cấu hình định tuyến tĩnh
CE_HNI(config)#ip route 192.168.10.0 255.255.255.0 192.168.61.1
Sử dụng câu lệnh: show ip route để kiểm tra bảng định tuyến của Router CE_HNI.
Hình 3.67. Bảng định tuyến trên router CE_HNI của Site Hà Nội
168
Hình 3.68. Bảng định tuyến của Firewall của Site Hà Nội

Cấu hình IP SLA 1 và 2 , cấu hình track 1 và track 2 thực hiện lồng track 1 và track
2 vào định tuyến tĩnh.
CORE_HCM_1(config)#ip sla 1
CORE_HCM_1(config-ip-sla)#icmp-echo 192.168.21.2
CORE_HCM_1(config-ip-sla-echo)#frequency 5
CORE_HCM_1(config-ip-sla-echo)#ip sla schedule 1 life forever start-time now
CORE_HCM_1(config)#track 1 ip sla 1 reachability
CORE_HCM_1(config-track)#ip sla 2
CORE_HCM_1(config)#ip route 0.0.0.0 0.0.0.0 192.168.21.2 track 1
CORE_HCM_1(config)#ip route 0.0.0.0 0.0.0.0 192.168.80.2 10 track 2
Sử dụng câu lệnh: show track 1 và show track 2 để kiểm tra trạng thái tracking.
169
Hình 3.69. Kiểm tra trạng thái tracking trên Switch CORE_HCM_1 của
Site Hồ Chí Minh
Hình 3.70. Bảng định tuyến trên Switch CORE_HCM_1 của Site Hồ Chí Minh
170
CORE_HCM_2(config)#ip sla 1
CORE_HCM_2(config-track)#ip sla 2
CORE_HCM_2(config)#ip route 0.0.0.0 0.0.0.0 192.168.22.2 track 1
CORE_HCM_2(config)#ip route 0.0.0.0 0.0.0.0 192.168.70.1 10 track 2
CORE_HCM_2#
Hình 3.71. Kiểm tra trạng thái tracking trên Switch CORE_HCM_2 của
Site Hồ Chí Minh
171
Hình 3.72. Bảng định tuyến trên Switch CORE_HCM_2 của Site Hồ Chí Minh

CE_HCM(config)#ip sla 1
CE_HCM(config-ip-sla)#icmp-echo 192.168.21.1
CE_HCM(config-ip-sla-echo)#frequency 5
CE_HCM(config-ip-sla-echo)#ip sla schedule 1 life forever start-time now
CE_HCM(config)#track 1 ip sla 1 reachability
CE_HCM(config)#ip sla 2
CE_HCM(config-ip-sla)#icmp-echo 192.168.22.1
CE_HCM(config-ip-sla-echo)#frequency 5
CE_HCM(config-ip-sla-echo)#ip sla schedule 2 life forever start-time now
CE_HCM(config)#track 2 ip sla 2 reachability
CE_HCM(config)#ip route 192.168.70.0 255.255.255.0 192.168.21.1 track 1
CE_HCM(config)#ip route 192.168.80.0 255.255.255.0 192.168.21.1 track 1
CE_HCM(config)#ip route 192.168.70.0 255.255.255.0 192.168.22.1 10 track 2
172
CE_HCM(config)#ip route 192.168.80.0 255.255.255.0 192.168.22.1 10 track 2
CE_HCM(config)#end
CE_HCM#
Hình 3.73. Kiểm tra trạng thái tracking trên Router CE_HCM của
Site Hồ Chí Minh
173
Hình 3.74. Bảng định tuyến trên Router CE_HCM của
Site Hồ Chí Minh

CORE_NCT_1(config)#ip sla 1
CORE_NCT_1(config-ip-sla)#icmp-echo 192.168.31.2
CORE_NCT_1(config-ip-sla-echo)#frequency 5
CORE_NCT_1(config-ip-sla-echo)#ip sla schedule 1 life forever start-time now
CORE_NCT_1(config)#track 1 ip sla 1 reachability
CORE_NCT_1(config-track)#ip sla 2
CORE_NCT_1(config)#ip route 0.0.0.0 0.0.0.0 192.168.31.2 track 1
174
CORE_NCT_1(config)#ip route 0.0.0.0 0.0.0.0 192.168.90.2 10 track 2
CORE_NCT_1#
Hình 3.75. Kiểm tra trạng thái tracking trên Switch CORE_NCT_1 của
175
Hình 3.76. Bảng định tuyến trên Switch CORE_NCT_1 của Site Nguyễn Chí Thanh
CORE_NCT_2(config)#ip sla 1
CORE_NCT_2(config-track)#ip sla 2
CORE_NCT_2(config)#ip route 0.0.0.0 0.0.0.0 192.168.32.2 track 1
CORE_NCT_2(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 10 track 2
CORE_NCT_2#
176
Hình 3.77. Kiểm tra trạng thái tracking trên Switch CORE_NCT_2 của
Hình 3.78. Bảng định tuyến trên Switch CORE_NCT_2 của Site Nguyễn Chí Thanh
177
CE_NCT(config)#ip sla 1
CE_NCT(config-ip-sla)#icmp-echo 192.168.31.1
CE_NCT(config-ip-sla-echo)#frequency 5
CE_NCT(config-ip-sla-echo)#ip sla schedule 1 life forever start-time now
CE_NCT(config)#track 1 ip sla 1 reachability
CE_NCT(config)#ip sla 2
CE_NCT(config-ip-sla)#icmp-echo 192.168.32.1
CE_NCT(config-ip-sla-echo)#frequency 5
CE_NCT(config-ip-sla-echo)#ip sla schedule 2 life forever start-time now
CE_NCT(config)#track 2 ip sla 2 reachability
CE_NCT(config)#ip route 192.168.90.0 255.255.255.0 192.168.31.1 track 1
CE_NCT(config)#ip route 192.168.100.0 255.255.255.0 192.168.31.1 track 1
CE_NCT(config)#ip route 192.168.90.0 255.255.255.0 192.168.32.1 10 track 2
CE_NCT(config)#ip route 192.168.100.0 255.255.255.0 192.168.32.1 10 track 2
CE_NCT(config)#end
CE_NCT#
178
Hình 3.79. Kiểm tra trạng thái tracking trên Router CE_NCT của
Hình 3.80. Bảng định tuyến trên Router CE_NCT của Site Nguyễn Chí Thanh
179
3.11.6. Cấu hình định tuyến OSPF
Định tuyến OSPF sử dụng làm giao thức IGP trong hạ tầng mạng của nhà cung cấp
dịch vụ.
• Trên Router P1
P1(config)#router ospf 1
P1(config-router)#network 1.1.1.1 0.0.0.0 area 0
P1(config-router)#exit
P1(config)#end
P1#
• Trên Router P2
P2(config)#end
P2#
• Trên Router P3
180
P3(config)#end
P3#
• Trên Router P4
P4(config)#end
P4#
PE1(config)#router ospf 1
PE1(config-router)#network 11.11.11.11 0.0.0.0 area 0
PE1(config-router)#exit
PE1(config)#end
PE1#
PE2(config)#end
PE2#
181
PE3(config)#end
PE3#
Sử dụng câu lệnh show ip ospf neighbor để kiểm tra trạng thái thiết lập mối quan hệ OSPF
giữa các Router trong hạ tầng mạng của nhà cung cấp dịch vụ.
Sử dụng câu lệnh show ip route ospf | section O để lọc các route học được qua giao thức
OSPF trên bảng định tuyến trên của mỗi Router trong hạ tầng mạng của nhà cung cấp dịch
vụ.
• Trên Router P1
Hình 3.81. Kiểm tra bảng trạng thái thiết lập OSPF neighbor trên Router P1
182
Hình 3.82. Kiểm tra bảng định tuyến trên Router P1 học các route qua giao thức OSPF
• Trên Router P2
183
• Trên Router P3
184
• Trên Router P4
Hình 3.87. Kiểm tra bảng trạng thái thiết lập mối OSPF neighbor trên Router P4
185
Hình 3.89. Kiểm tra bảng trạng thái thiết lập OSPF neighbor trên Router PE1
186
Hình 3.90. Kiểm tra bảng định tuyến trên Router PE1 học các route qua giao thức OSPF
187
188
3.11.7. Cấu hình định tuyến BGP

Router PE1 cấu hình peer iBGP với Router PE2 và Router PE3.
PE1(config)#router bgp 400
PE1(config-router)#neighbor 22.22.22.22 remote-as 400
PE1(config-router)#neighbor 22.22.22.22 update-source Loopback0
PE1(config-router)#neighbor 22.22.22.22 next-hop-self
PE1(config)#end
PE1#
189
PE2(config)#end
PE2#

PE3(config)#end
PE3#
3.11.8. Cấu hình MPLS

PE1(config)#mpls label range 100 199
PE1(config-if)#mpls ip
PE1(config-if)#exit
PE1(config-if)#exit
PE1(config)#end
PE1#
190
PE2(config-if)#exit
PE2(config-if)#exit
PE2(config)#end
PE2#

PE3(config-if)#exit
PE3(config-if)#exit
PE3(config)#end
PE3#
• Trên Router P1
P1(config)#mpls label range 400 499
P1(config-if)#mpls ip
P1(config-if)#exit
191
P1(config-if)#exit
P1(config-if)#exit
P1(config)#end
P1#
• Trên Router P2
P2(config-if)#exit
P2(config-if)#exit
P2(config-if)#exit
P2(config)#end
P2#
• Trên Router P3
P3(config-if)#exit
P3(config-if)#exit
192
P3(config-if)#exit
P3(config-if)#exit
P3(config)#end
P3#
• Trên Router P4
P4(config-if)#exit
P4(config-if)#exit
P4(config-if)#exit
P4(config-if)#exit
P4(config)#end
P4#
Sử dụng câu lệnh: show mpls ldp neighbor để kiểm tra trạng thái thiết lập LDP neighbor
giữa các Router trong hạ tầng mạng của nhà cung cấp dịch vụ.
193
Hình 3.95. Kiểm tra bảng trạng thái thiết lập LDP neighbor trên Router PE1
194
• Trên Router P1
Hình 3.98. Kiểm tra bảng trạng thái thiết lập LDP neighbor trên Router P1
195
• Trên Router P2
196
• Trên Router P3
197
• Trên Router P4
198
3.11.9. Cấu hình MPLS L3VPN
3.11.9.1. Cấu hình VRF, khai báo giá trị RD và RT
PE1(config)#ip vrf SITE-HNI-HCM-NCT
PE1(config-vrf)#rd 1:1
PE1(config-vrf)#route-target export 300:3
PE1(config-vrf)#route-target import 300:3
PE1(config-vrf)#exit
PE1(config)#end
PE1#
PE2(config)#end
PE2#
PE3(config)#end
PE3#
199
3.11.9.2. Gán Interface vào VRF và đặt địa chỉ IP
PE1(config-if)#ip vrf forwarding SITE-HNI-HCM-NCT
PE1(config-if)#description TO-CE_HNI
PE1(config-if)#exit
PE1(config)#end
PE1#
PE2(config-if)#description TO-CE_HCM
PE2(config-if)#exit
PE2(config)#end
PE2#
PE3(config-if)#description TO-CE_NCT
PE3(config-if)#exit
PE3(config)#end
PE3#
200
3.11.9.3. Cấu hình BGP mở rộng
Cấu hình peer iBGP sử dụng họ địa chỉ VPNv4 giữa Router PE1 và Router PE2,
Router PE1 và Router PE3.
PE1(config-router)#address-family vpnv4
PE1(config-router-af)#neighbor 22.22.22.22 activate
PE1(config-router-af)#neighbor 22.22.22.22 send-community extended
PE1(config-router-af)#exit
PE1(config)#end
PE1#
PE2(config)#end
PE2#
201
PE3(config)#end
PE3#
Cấu hình peer eBGP sử dụng họ địa chỉ ipv4 trong vrf SITE-HNI-HCM-NCT giữa
router PE1 và router CE_HNI, router PE2 và router CE_HCM, router PE3 và router
CE_NCT.
PE1(config-router)#address-family ipv4 vrf SITE-HNI-HCM-NCT
PE1(config-router-af)#neighbor 192.168.101.2 remote-as 100
PE1(config)#end
PE1#
PE2(config)#end
PE2#
202
PE3(config)#end
PE3#
Cấu hình peer eBGP giữa router CE_HNI và router PE1, router CE_HCM và router
PE2, router CE_NCT và router PE3.
CE_HNI(config)#router bgp 100
CE_HNI(config-router)#neighbor 192.168.101.1 remote-as 400
CE_HNI(config-router)#exit
CE_HNI(config)#end
CE_HNI#
CE_HCM(config)#router bgp 200
CE_HCM(config-router)#neighbor 192.168.102.1 remote-as 400
CE_HCM(config-router)#exit
CE_HCM(config)#end
CE_HCM#
CE_NCT(config)#router bgp 300
CE_NCT(config-router)#neighbor 192.168.102.1 remote-as 400
CE_NCT(config-router)#exit
CE_NCT(config)#end
CE_NCT#
3.11.9.4. Cấu hình chính sách quảng bá route
Các router PE sẽ định nghĩa access-list để permit dải mạng kết nối trực tiếp với các
router CE và tạo chính sách với access-list đó và quảng bá vào address-family ipv4
vrf SITE-HNI-HCM-NCT.
203
PE1(config)#access-list 1 permit 192.168.101.0 0.0.0.3
PE1(config)#route-map REDISTRIBUTE-192.168.101.0/30-CE_HNI
PE1(config-route-map)#match ip address 1
PE1(config-route-map)#exit
PE1(config-router-af)# redistribute connected route-map REDISTRIBUTE-
192.168.101.0/30-CE_HNI
PE1(config)#end
PE1#
PE2(config)#route-map REDISTRIBUTE-192.168.102.0/30-CE_HCM
PE2(config-router-af)#redistribute connected route-map REDISTRIBUTE-
192.168.102.0/30-CE_HCM
PE2(config)#end
PE2#
204
PE3(config)#route-map REDISTRIBUTE-192.168.103.0/30-CE_NCT
PE3(config-router-af)#redistribute connected route-map REDISTRIBUTE-
192.168.103.0/30-CE_NCT
PE3(config)#end
PE3#
Trên các router PE gõ câu lệnh: show bgp vpnv4 unicast all summary để kiểm tra trạng
thái thiết lập Neighbor với các router PE trong cùng AS và với các router CE ở mỗi AS.
Trên các router PE gõ câu lệnh: show bgp vpnv4 unicast all để kiểm tra các route mà mỗi
router PE học được qua giao thức BGP sử dụng họ địa chỉ VPNv4.
Trên các router CE gõ câu lệnh: show ip bgp summary để kiểm tra trạng thái thiết lập
Neighbor với các router PE qua giao thức BGP.
Trên mỗi router CE gõ câu lệnh: show ip route | section B để kiểm tra các route học được
thông qua giao thức BGP.
205
Hình 3.102. Kiểm tra bảng trạng thái thiết lập Neighbor trên Router PE1 thông qua
giao thức BGP
Hình 3.103. Kiểm tra bảng định tuyến trên Router PE1 học các route thông qua giao
thức BGP sử dụng họ địa chỉ VPNv4
206
giao thức BGP
207
giao thức BGP
Hình 3.108. Kiểm tra bảng trạng thái thiết lập Neighbor trên Router CE_HNI thông qua
giao thức BGP
208
Hình 3.109. Kiểm tra bảng định tuyến trên Router CE_HNI học các route thông qua
giao thức BGP
Hình 3.110. Kiểm tra bảng trạng thái thiết lập Neighbor trên Router CE_HCM thông qua
giao thức BGP
Hình 3.111. Kiểm tra bảng định tuyến trên Router CE_HCM học các route thông qua
giao thức BGP
209
Hình 3.112. Kiểm tra bảng trạng thái thiết lập Neighbor trên Router CE_NCT thông qua
giao thức BGP
Hình 3.113. Kiểm tra bảng định tuyến trên Router CE_NCT học các route thông qua
giao thức BGP
210
3.11.10. Cấu hình VPN sử dụng IPSEC
Giữa router CE_HNI và router CE_HCM sẽ cấu hình IPSEC VPN với nhau lựa chọn
giao thức mã hóa là: AES, giao thức xác thực: SHA512, group 16 để trao đổi khóa
Diffle – Hellman và thực hiện trao đổi thỏa thuận key với nhau.
CE_HNI(config)#crypto isakmp policy 10
CE_HNI(config-isakmp)#encryption aes
CE_HNI(config-isakmp)#hash sha512
CE_HNI(config-isakmp)#authentication pre-share
CE_HNI(config-isakmp)#group 16
CE_HNI(config-isakmp)#exit
CE_HNI(config)#crypto isakmp key toanhv@5632 address 192.168.102.2
CE_HNI(config)#crypto ipsec transform-set SET-HNI_to_HCM esp-aes esp-sha512-
hmac ah-sha512-hmac
CE_HNI(cfg-crypto-trans)#mode tunnel
CE_HNI(cfg-crypto-trans)#exit
CE_HNI(config)#crypto map HNI_to_HCM 10 ipsec-isakmp
CE_HNI(config-crypto-map)#set peer 192.168.102.2
CE_HNI(config-crypto-map)#set transform-set SET-HNI_to_HCM
CE_HNI(config-crypto-map)#set pfs group16
CE_HNI(config-crypto-map)#match address ACL-HNI_to_HCM
CE_HNI(config-crypto-map)#exit
CE_HNI(config-if)#crypto map HNI_to_HCM
CE_HNI(config)#end
CE_HNI#
211
CE_HCM(config)#crypto isakmp policy 10
CE_HCM(config-isakmp)#encryption aes
CE_HCM(config-isakmp)#hash sha512
CE_HCM(config-isakmp)#authentication pre-share
CE_HCM(config-isakmp)#group 16
CE_HCM(config-isakmp)#exit
CE_HCM(config)#crypto isakmp key toanhv@5632 address 192.168.101.2
CE_HCM(config)#crypto ipsec transform-set SET-HCM_to_HNI esp-aes esp-sha512-
hmac ah-sha512-hmac
CE_HCM(cfg-crypto-trans)#mode tunnel
CE_HCM(cfg-crypto-trans)#exit
CE_HCM(config)#crypto map HCM_to_HNI 10 ipsec-isakmp
CE_HCM(config-crypto-map)#set peer 192.168.101.2
CE_HCM(config-crypto-map)#set transform-set SET-HCM_to_HNI
CE_HCM(config-crypto-map)#set pfs group16
CE_HCM(config-crypto-map)#match address ACL-HCM_to_HNI
CE_HCM(config-crypto-map)#exit
CE_HCM(config-if)#crypto map HCM_to_HNI
CE_HCM(config)#end
CE_HCM#
212
Cấu hình Access Control List
CE_HNI(config)#ip access-list extended ACL-HNI_to_HCM
CE_HNI(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.70.0 0.0.0.255
213
CE_HNI(config-ext-nacl)#exit
CE_HNI(config)#end
CE_HNI#
CE_HCM(config)#ip access-list extended ACL-HCM_to_HNI
CE_HCM(config-ext-nacl)#permit ip 192.168.70.0 0.0.0.255 192.168.10.0 0.0.0.255
214
CE_HCM(config-ext-nacl)#exit
215
CE_HCM(config)#end
CE_HCM#
Cấu hình định tuyến tĩnh các dải mạng của mỗi Site đẩy đến Interface Tunnel
CE_HNI(config)#ip route 192.168.70.0 255.255.255.0 ethernet 0/1 192.168.102.2
CE_HNI(config)#end
CE_HNI#
CE_HCM(config)#ip route 192.168.10.0 255.255.255.0 ethernet 0/2 192.168.101.2
CE_HCM(config)#end
CE_HCM#
216
Thực hiện kiểm tra:
Hình 3.114. Kiểm tra bảng định tuyến trên Router CE_HNI sau khi cấu hình VPN IPSEC
Hình 3.115. Kiểm tra bảng định tuyến trên Router CE_HCM sau khi cấu hình
VPN IPSEC
217
Hình 3.116. Kiểm tra bảng Access Control List trên Router CE_HNI
218
Hình 3.117. Kiểm tra bảng Access Control List trên Router CE_HCM
219
Hình 3.117. Kiểm tra bảng định tuyến trên Firewall của Site Hà Nội sau khi cấu hình
VPN IPSEC
Sử dụng câu lệnh: show crypto isakmp sa để kiểm tra trạng thái hoạt động của VPN
IPSEC
Sử dụng câu lệnh: show crypto engine connections active để kiểm tra các gói tin được
mã hóa vã giải mã.
Hình 3.118. Kiểm tra hoạt động của VPN IPSEC trên Router CE_HNI
220
Hình 3.119. Số lượng gói tin được mã hóa và giải mã sử dụng IPSEC trên Router
CE_HNI
Hình 3.120. Kiểm tra hoạt động của VPN IPSEC trên Router CE_HCM
Hình 3.121. Số lượng gói tin được mã hóa và giải mã sử dụng IPSEC trên Router
CE_HCM
221
3.11.11. Cấu hình dịch vụ trên Server ở vùng DMZ ở Site Hà Nội
3.11.11.1. Dịch vụ DHCP
Trên DHCP Server sẽ cấu hình 5 Scope để cấp IP cho 5 phòng ban ở Site Hà Nội.
Hình 3.122. Cài đặt dịch vụ DHCP trên Server

3.11.11.2. Dịch vụ DHCP
Hình 3.123. Cài đặt dịch vụ DNS trên Server
222
3.11.11.3. Dịch vụ WebServer và FTP
Hình 3.124. Cài đặt dịch vụ WebServer FTP

3.11.12. Cấu hình các chính sách trên Firewall ở Site Hà Nội
Cấu hình chính sách để các phòng ban ở Site Hà Nội có thể truy cập được vào Server
ở vùng DMZ và ngược lại.
Hình 3.125. Cấu hình chính sách để các phòng ban ở Site Hà Nội có thể truy cập được
vào Server ở vùng DMZ
223
Hình 3.126. Cấu hình chính sách để Server ở vùng DMZ giao tiếp được với các phòng
ban ở Site Hà Nội
224
Cấu hình chính sách để các phòng ban ở Site Hà Nội có thể truy cập được Internet
Internet
225
Cấu hình chính sách để các phòng ban ở Site Hồ Chí Minh có thể truy cập được vào
Server và các phòng ban ở Site Hà Nội và ngược lại.
vào Server và các phòng ban ở Site Hồ Chí Minh.
226
Hình 3.129. Cấu hình chính sách để các phòng ban ở Site Hồ Chí Minh có thể truy cập
được vào Server và các phòng ban ở Site Hà Nội.
227
3.11.13. Kiểm tra kết quả
Kiểm tra địa chỉ IP của người dùng ở VLAN 80 của Site Hồ Chí Minh.
Hình 3.130. Kiểm tra địa chỉ IP của người dùng ở VLAN 80 của Site Hồ Chí Minh
Người dùng ở VLAN 80 của Site Hồ Chí Minh ping đến địa chỉ của Server trong
vùng DMZ của Site Hà Nội.
Hình 3.131. Người dùng ở VLAN 80 của Site Hồ Chí Minh ping đến địa chỉ của Server
trong vùng DMZ của Site Hà Nội
228
Người dùng ở VLAN 80 của Site Hồ Chí Minh truy cập vào Web Server.
Hình 3.132. Người dùng ở VLAN 80 của Site Hồ Chí Minh truy cập vào Web Server
Người dùng ở VLAN 80 của Site Hồ Chí Minh truy cập vào FTP Server.
Hình 3.133. Người dùng ở VLAN 80 của Site Hồ Chí Minh truy cập vào FTP Server
229
Hình 3.134. Người dùng ở VLAN 80 của Site Hồ Chí Minh truy cập vào FTP Server
Server ở Site Hà Nội ping đến địa chỉ của PC người dùng ở VLAN 80 của Site Hồ
Chí Minh
Hình 3.135. Server ở Site Hà Nội ping đến địa chỉ của PC người dùng ở VLAN 80 của
Site Hồ Chí Minh
230
Sử dụng Wireshark để bắt gói tin giữa Site Hà Nội và Site Hồ Chí Minh gửi nhận
qua đường hầm thì đã thấy mã hóa toàn bộ dữ liệu.
Hình 3.136. Sử dụng Wireshark để bắt gói tin giữa Site Hà Nội và Site Hồ Chí Minh gửi
nhận qua đường hầm thì đã thấy mã hóa toàn bộ dữ liệu
231
TÀI LIỆU THAM KHẢO
1. Giáo trình CCNP & CCIE Enterprise Core ENCOR 350-401 Official Cert Guide
2. Giáo trình CCNP Enterprise Advanced Routing ENARSI 300-410 Official Cert
Guide
3. Giáo trình CCNA_200-301_Official_Cert_Guide
232

1. Nội Dung Đề Tài Tìm Hiểu Về Vấn Đề Lựa Chọn Giao Thức Cho Hệ Thống Mạng Thiết Kế

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1. Nội Dung Đề Tài Tìm Hiểu Về Vấn Đề Lựa Chọn Giao Thức Cho Hệ Thống Mạng Thiết Kế

Uploaded by

Copyright:

Available Formats

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

BÁO CÁO BÀI TẬP LỚN HỌC PHẦN

GIẢNG VIÊN HƯỚNG DẪN: Ths. Đinh Văn Hùng

Hà Nội,ngày 03 tháng 08 năm 2020

1.2. Thế nào là Routing

Hình 1.1. Đường đi dữ liệu

Hình 1.2. Phân loại định tuyến

Hình 1.3. Giá trị AD

Hình 1.4. Hệ thống nhiều AS(Autonomous System)

1.4. Giao thức định tuyến OSPF(Open Shortest Path First)

1.4.3. Nguyên tắc hoạt động của giao thức OSPF

Hình 1.5. Bầu chọn router – id(1)

Hình 1.6. Bầu chọn router – id (2)

Hình 1.10. Broadcast MultiAccess

Hình 1.12. Đây là môi trường Multiaccess dù chỉ có 02 Router

Hình 1.13. Sơ đồ ví dụ tính path cost

Hình 1.14. Tổng path cost là 66 hay 129?

Hình 1.16. Neighbor State Machine

Hình 1.17. Topology OSPF

Hình 1.18. BGP sử dụng Route là các AS

Sự tăng trưởng của kích thước bảng tìm đường

Độ tin cậy và cơ chế mã hóa thông tin

Hình 1.19. Mô hình sử dụng MPLS

Hình 1.20. MPLS Network

Hình 1.21. Cấu trúc Nhãn(Label)

Hình 1.22. Ngăn xếp Nhãn

1.6.4.4. Cấu trúc một nút MPLS

Hình 1.25. Đường chuyển mạch nhãn

Hình 1.26. Cơ cấu báo hiệu nhãn

Hình 1.28. Sử dụng câu lệnh “show mpsl interfaces”

Hình 1.29. Thủ tục phát hiện LSR lân cận

Hình 1.30. LDP Hello

Hình 1.31. LDP Sessions

1.7. Giới thiệu tổng quan mô hình MPLS VPN

Hình 1.32. Sơ đồ tổng quan MPLS VPN

1.7.2. Route Distinguisher(RD)

1.7.3. Route Targets(RT)

Hình 1.39. Cấu hình RT

Hình 1.40. Các router target(RT)

Hình 1.41. Cấu hình trong VRF

Hình 1.42. Ví dụ về extranet

Hình 1.43. Ví dụ extranet với các RT

Hình 1.44. Cấu hình các RT cho extranet

Hình 1.45. Định tuyến extranet

Hình 1.46. Truyền bá tuyến trong một mạng MPLS VPN

Hình 1.47. Truyền bá tuyến trong mạng MPLS VPN

1.7.5.2. Bảo mật trong MPLS VPN

Hình 2.1. Dùng mỗi kết nối cho từng VLAN

Hình 2.2. Kết nối trunk

Hình 2.3. Cấu trúc Frame theo chuẩn 802.1Q

2.4. Vlan Trunking Protocol (VTP)

Hình 2.4. Hoạt động của VTP

Hình 2.5. Cơ chế hoạt động của VTP

2.5. Giao Thức HSRP (Host Standby Router Protocol)

2.6. Giao thức LACP

3.1.2. Tính bí mật

3.1.3. Tính toàn vẹn

Hình 3.1. Sơ đồ thiết kế hệ thống mạng

3.2.3.3. Đối với Site Nguyễn Chí Thanh

Bảng 5: Quy hoạch VLAN của Site Hà Nội

Bảng 6: Quy hoạch IP Address của Site Hà Nội

Bảng 7: Quy hoạch VLAN của Site Hồ Chí Minh

Bảng 8: Quy hoạch IP Address của Site Hồ Chí Minh