Tài liệu Đề tài Thiết kế hệ thống mạng WAN có tính năng sẵn sàng cao tại Tổng Cục Thuế thành phố Hồ Chí Minh: LỜI CẢM ƠN
Chúng em những sinh viên được sự hướng dẫn tận tình của thầy Lý Anh Tuấn, đã hoàn thành xong đồ án tốt nghiệp với đề tài: “Thiết kế hệ thống mạng diện rộng có tính năng sẵn sàng cao tại Tổng Cục Thuế TP.HCM’’.
Chúng em xin chân thành cảm ơn thầy Lý Anh Tuấn đã giúp đỡ chúng em trong suốt thời gian qua, giúp chúng em khắc phục những khó khăn, thiếu xót trong quá trình thực hiện đồ án.
Xin chân thành cảm ơn các thầy cô trong khoa công nghệ thông tin, trường Đại Học Dân Lập Kỹ Thuật Công Nghệ đã tạo điều kiện cho chúng em nghiên cứu và thực hiện đồ án này. Đặc biệt là thầy Nguyễn Đức Quang đã giúp đỡ chúng em rất nhiều để chúng em hoàn thành phần Demo cho đồ án.
Mặc dù đã cố gắng rất nhiều nhưng không tránh khỏi những thiếu xót, chúng em rất mong sự đóng góp ý kiến, hướng dẫn chân tình của quý thầy cô và các bạn để chúng em hoàn thiện đồ án này.
Xin chân thành cảm ơn !
TP. Hồ Chí Minh, tháng 1/2007.
LỜI GIỚI THIỆU
Trong tình hình thực tế hiện nay, nhất là khi V...
99 trang |
Chia sẻ: hunglv | Lượt xem: 1147 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Thiết kế hệ thống mạng WAN có tính năng sẵn sàng cao tại Tổng Cục Thuế thành phố Hồ Chí Minh, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
LỜI CẢM ƠN
Chúng em những sinh viên được sự hướng dẫn tận tình của thầy Lý Anh Tuấn, đã hoàn thành xong đồ án tốt nghiệp với đề tài: “Thiết kế hệ thống mạng diện rộng có tính năng sẵn sàng cao tại Tổng Cục Thuế TP.HCM’’.
Chúng em xin chân thành cảm ơn thầy Lý Anh Tuấn đã giúp đỡ chúng em trong suốt thời gian qua, giúp chúng em khắc phục những khó khăn, thiếu xót trong quá trình thực hiện đồ án.
Xin chân thành cảm ơn các thầy cô trong khoa công nghệ thông tin, trường Đại Học Dân Lập Kỹ Thuật Công Nghệ đã tạo điều kiện cho chúng em nghiên cứu và thực hiện đồ án này. Đặc biệt là thầy Nguyễn Đức Quang đã giúp đỡ chúng em rất nhiều để chúng em hoàn thành phần Demo cho đồ án.
Mặc dù đã cố gắng rất nhiều nhưng không tránh khỏi những thiếu xót, chúng em rất mong sự đóng góp ý kiến, hướng dẫn chân tình của quý thầy cô và các bạn để chúng em hoàn thiện đồ án này.
Xin chân thành cảm ơn !
TP. Hồ Chí Minh, tháng 1/2007.
LỜI GIỚI THIỆU
Trong tình hình thực tế hiện nay, nhất là khi Việt Nam đang đứng trong thời kỳ hội nhập, nền kinh tế đang có những bước phát triển vượt bậc. Kinh tế nhà nước cũng như kinh tế tư nhân ngày càng phát triển, nên cần có những thay đổi cho phù hợp với tình hình phát triển đó. Việc này đồng nghĩa với việc các doanh nghiệp cần mở rộng quy mô và tầm hoạt động của mình, xây dựng chi nhánh ở nhiều nơi trong các tỉnh, thành phố, thậm chí là ra nước ngoài. Nhưng lại nảy ra thêm yêu cầu thông tin liên lạc thông suốt giữa các chi nhánh của doanh nghiệp.
Công Nghệ Thông Tin đóng một vai trò rất quan trọng trong việc đáp ứng yêu cầu kinh doanh ngày càng phát triển và mở rộng của các doanh nghiệp. Một trong các đều quan trọng đó là khả năng đồng bộ và xử lý dữ liệu giữa các chi nhánh với nhau, nhu cầu về cập nhật thông tin hàng ngày, hàng giờ.
Tuy nhiên, các thiết bị mạng và đường truyền mạng không phải lúc nào cũng hoạt động theo đúng ý muốn của con người, đó là hoạt động 24/24 tiếng một ngày, 30/30 ngày một tháng và 365/365 ngày một năm nhưng lại có rất nhiều những lý do khác nhau gây ra tín hiệu mạng không ổn định hoặc mất tín hiệu. Đối với những doanh nghiệp lớn như ngân hàng, bảo hiểm, cục thuế, nhà cung cấp dịch vụ Internet ISP… hoạt động nhờ vào mạng thì mạng Down hoặc không ổn định có thể gây ra tổn thất rất lớn.
Hiểu được những vấn đề đó mà hiện nay Công Nghệ Thông Tin có rất nhiều công nghệ nhằm nâng cao độ tin cậy và tính sẵn sàng của mạng. Ví dụ như công nghệ Clustering, tạo Server dự phòng, công nghệ Backup cho đường thuê bao số DSL (Digital Subcriber Line), công nghệ dự phòng Router…
Giới thiệu về Tổng Cục Thuế, là một tổ chức thuộc Bộ Tài Chính, thực hiện chức năng quản lý nhà nước đối với các khoản thu nội địa, bao gồm: thuế, phí, lệ phí và các khoản thu khác của ngân sách nhà nước theo quy định của pháp luật. Được tổ chức theo nguyên tắc tập trung, thống nhất thành hệ thống dọc từ trung ương đến địa phương, theo đơn vị hành chính nên có tầm hoạt động rất lớn và cần một hệ thống mạng sẵn sàng hoạt động mọi lúc, đảm bảo đồng nhất cơ sở dữ liệu trong toàn ngành Thuế.
Cũng vì những lý do trên mà chúng em chọn đề tài tốt nghiệp của mình tên: ‘Thiết kế hệ thống mạng diện rộng có tính năng sẵn sàng cao tại Tổng Cục Thuế TP.HCM’. Và một lý do lớn khác đó là trong quá trình nghiên cứu, tìm hiểu sẽ giúp chúng em học hỏi thêm nhiều kiến thức cũng như kinh nghiệm trước khi ra trường.
MỤC LỤC
CÁC HÌNH ẢNH SỬ DỤNG TRONG ĐỀ TÀI
Hình I1: Cơ cấu tổ chức Tổng Cục Thuế. 11
Hình I2: Các ban, phòng trực thuộc Tổng Cục Thuế. 12
Hình II1: Mạng Logic hiện tại. 20
Hình II2: Mạng vật lý hiện tại. 21
Hình II3: Mô hình căn bản Tổng Cục TP.HCM 22
Hình II4: Mô hình khi áp dụng công nghệ HSRP. 23
Hình IV1: Gởi và nhận gói tin Hello 35
Hình IV2: Lỗi truyền trong 9s 35
Hình IV3: Bảng trạng thái HSRP 39
Hình IV4: Truyền và nhận gói tin HSRP 40
Hình IV5: Cấu hình Tracking 46
Hình IV6: ICMP Redirect 47
Hình IV7: Đa nhóm HSRP và Secondary Address 50
Hình V1: Mô hình VRRP căn bản 60
Hình V2: Mô hình chia sẻ tải truyền của VRRP. 61
Hình V3: Sơ đồ chuyển tiếp trạng thái. 64
Hình V4: VRRP hoạt động trên mạng Ethernet 75
Hình V5: VRRP hoạt động trên FDDI 77
Hình VI1: Mô hình Demo căn bản 82
Hình VI2: Mô hình Demo nâng cao 82
CÁC THUẬT NGỮ VÀ TỪ VIẾT TẮT
HSRP (Hot Standby Router Protocol): Giao thức Router dự phòng nóng.
LAN Emulation (LANE): Mô phỏng mạng LAN là phương pháp mô phỏng tính chất của mạng LAN trên mạng chuyển mạch ví dụ như mạng ATM (Asynchronous Transfer Mode). Thật sự, mô phỏng mạng LAN đồng nghĩa với mạng ATM chuyển mạch. Xem “LANE (LAN Emulation).
FDDI (Fiber Distributed Data Interface): FDDI là công nghệ mạng cao tốc do ủy ban X3T9.5 của ANSI phát triển. Ban đầu được thiết kế cho cáp quang nhưng ngày nay nó cũng hỗ trợ cáp đồng với khoảng cách ngắn hơn. Chuẩn này được dùng phổ biến trên mạng LAN. FDDI có tốc độ 10Mbit/s và dùng đồ hình vòng kép dự phòng, hỗ trợ 500 nút với khoảng cách cực đại 100km. Token-Ring: Mạng mã thông báo vòng tròn, mạng tiếp sức vòng tròn. Trong các mạng cục bộ, đây là loại cấu trúc mạng kết hợp phương pháp truyền mã thông báo với tôpô lai hình sao/hình tròn.
Intranet: Mạng nội bộ.
Local Area Network – LAN: Mạng cục bộ ( LAN)
Router: Bộ định tuyến, là thiết bị mạng biên.
Wide Area Network - WAN: Mạng Diện Rộng.
VRRP (Virtual Router Redundancy Protocol): Giao thức dư thừa Router ảo.
Host: Các máy tính trong mạng cục bộ.
Default Gateway: Giao diện cổng vào mặc định.
Cisco Group Manage Protocol – CGMP: Giao thức quản lý nhóm của Cisco.
Burned-in MAC (BIA): Địa chỉ MAC chính của Interface.
DECnet: Là tên của sản phẩm phần cứng và phần mềm của hãng DEC sử dụng kiến trúc DNA (Digital Network Architecture). DECnet xác định các mạng truyền thông qua các Ethernet LAN, FDDI (Fiber Distributed Data Interface) MAN, và các mạng diện rộng (WAN) dùng các thiết bị truyền dữ liệu dùng riêng hoặc công cộng. Nó có thể dùng các giao thức TCP/IP và OSI.
APPN (Advanced Peer-to-Peer Networking): Mạng ngang hàng cao cấp.
MPLS – Multiple Protocol Label Switch: Chuyển mạch nhãn đa giao thức. Là một giao thức của Cisco để định tuyến các gói tin sử dụng nhãn định danh.
CEF - Cisco Express Forwarding.
VRF - VPN routing/forwarding.
DSL - Digital Subscriber Line: Đường dây thuê bao số, là công nghệ truyền dẫn dữ liệu tốc độ cao trên đôi dây cáp đồng truyền thống.DSL tách băng thông trên dây dẫn làm 2 phần: phần nhỏ truyền âm (0KHz đến 20KHz )và phần lớn truyền dữ liệu tốc độ cao(25.875 KHz đến 1.104 MHz)
HDSL - High Bit Rate DSL: Đường thuê bao số tốc độ cao.
VRID – Virtual Router Identification: Định danh Router ảo.
PROTOCOL NUMBERS (Cập nhật lần cuối là 03 October 2006): Đây là một field 8 bits. Do IANA (Internet Assigned Numbers Authority) gán vào tháng 6 năm 1995 (iana@iana.org).
Ví dụ: Gán số giao thức như sau.
Decimal
Keyword
Protocol
References
0
HOPOPT
IPv6 Hop-by-Hop Option
[RFC1883]
1
ICMP
Internet Control Message
[RFC792]
111
IPX-in-IP
IPX in IP
[Lee]
112
VRRP
Virtual Router Redundancy Protocol
[RFC3768]
TỔNG CỤC THUẾ TP.HỒ CHÍ MINH
GIỚI THIỆU
Cơ cấu tổ chức chung của Tổng Cục Thuế.
Cao nhất là Tổng Cục trực thuộc trung ương, dưới là cục thuế các tỉnh và chi cục thuế ở tuyến huyện, thị xã.
Hình I1: Cơ cấu tổ chức Tổng Cục Thuế.
Về cơ bản Tổng Cục Thuế có 13 ban, 3 trung tâm và văn phòng Tổng Cục.
Hình I2: Các ban, phòng trực thuộc Tổng Cục Thuế.
Ban Pháp chế - Chính sách.
Ban Dự toán thu thuế.
Các Ban Quản lý thuế đối với doanh nghiệp.
Ban Doanh nghiệp Nhà nước.
Ban QL Thuế DN đầu tư nước ngoài.
Ban QL Thuế DN tư nhân và DN khác .
Ban Quản lý thuế thu nhập cá nhân.
Ban Quản lý thuế tài sản và thu khác.
Ban Hợp tác Quốc tế.
Ban Tuyên truyền và hỗ trợ đối tượng nộp thuế.
Ban Thanh tra.
Ban Tổ chức cán bộ.
Ban Tài vụ - Quản trị.
Văn Phòng Tổng Cục Thuế.
Đại diện Tổng Cục Thuế tại Thành Phố Hồ Chí Minh.
Tổng Cục Thuế Thành Phố Hồ Chí Minh.
Nhiệm vụ.
- Chỉ đạo, đôn đốc, kiểm tra tình hình thu thuế các tỉnh phía nam.
- Thanh tra, kiểm tra các tổ chức, cá nhân nộp thuế lớn, thanh tra nội bộ ngành, xác minh đơn khiếu nại tố cáo theo chương trình của Tổng Cục Thuế tại các tỉnh phía nam.
- Thực hiện công tác quản trị, tài vụ, quản lý ấn chỉ, văn phòng phục vụ cho các hoạt động của Tổng Cục Thuế tại cơ quan đại diện.
- Thực hiện các nhiệm vụ khác do Tổng Cục Trưởng Tổng Cục Thuế giao.
Quyền hạn.
- Được quyền yêu cầu các đơn vị, cá nhân trong ngành Thuế cung cấp đầy đủ các văn bản, hồ sơ, tài liệu có liên quan đến việc thực hiện nhiệm vụ được giao.
- Được ký các văn bản hướng dẫn, giải thích, trả lời các vấn đề thuộc chức năng, nhiệm vụ của đơn vị theo phân công của Tổng Cục Trưởng Tổng Cục Thuế.
Tổ chức bộ máy.
Các Ban tổ chức làm việc theo chế độ chuyên viên. Các Ban sau được tổ chức theo phòng:
- Ban Tài vụ - quản trị, gồm:
+ Phòng Tài vụ.
+ Phòng Quản trị.
+ Phòng Quản lý ấn chỉ.
- Văn phòng Tổng Cục Thuế, gồm:
+ Phòng Hành chính - Lưu trữ.
+ Phòng Thi đua.
- Đại diện Tổng Cục Thuế tại Thành Phố Hồ Chí Minh, gồm:
+ Phòng Thanh tra.
+ Phòng Hành chính quản trị tài vụ và Quản lý ấn chỉ (gọi tắt là phòng Hậu cần).
- Đại diện Tổng Cục Thuế tại TP Hồ Chí Minh có con dấu riêng và được mở tài khoản tại Kho bạc Nhà nước.
- Các phòng thuộc Đại diện phía Nam ngoài việc chịu sự quản lý trực tiếp của Trưởng đại diện, còn chịu sự chỉ đạo về chuyên môn nghiệp vụ của các Ban có liên quan và Văn phòng thuộc Tổng Cục Thuế.
- Nhiệm vụ cụ thể của các phòng thuộc Ban và Đại diện Tổng Cục Thuế tại Thành Phố Hồ Chí Minh do Tổng Cục Trưởng Tổng Cục Thuế quy định.
- Trong trường hợp cần thiết do nhu cầu cấp bách của công tác đối ngoại, Tổng Cục Trưởng Tổng Cục Thuế được quyền trao chức danh cấp Phòng hoặc cấp Ban cho những chuyên viên thuộc cơ quan Tổng Cục Thuế trong thời gian công tác và làm việc với các đối tác nước ngoài.
- Biên chế của các đơn vị do Tổng Cục Trưởng Tổng Cục Thuế quyết định trong tổng số biên chế được giao.
- Mỗi đơn vị có một cấp trưởng và một số cấp phó giúp việc, cấp trưởng chịu trách nhiệm trước Tổng Cục Trưởng Tổng Cục Thuế về toàn bộ hoạt động của đơn vị, cấp phó chịu trách nhiệm trước cấp trưởng về nhiệm vụ được phân công. Việc bổ nhiệm, miễn nhiệm, điều động và kỷ luật cấp Trưởng, cấp Phó của đơn vị được thực hiện theo phân cấp của Bộ trưởng Bộ Tài Chính.
- Thủ trưởng các đơn vị có trách nhiệm quản lý cán bộ, công chức và tài sản của đơn vị theo quy định của Tổng Cục Trưởng Tổng Cục Thuế.
Trung tâm Tin học - Thống kê.
Trung tâm Tin học và Thống kê là đơn vị sự nghiệp trực thuộc Tổng Cục Thuế, có chức năng giúp Tổng Cục Trưởng Tổng Cục Thuế thống nhất quản lý, hướng dẫn, chỉ đạo, kiểm tra các đơn vị trong ngành Thuế thực hiện ứng dụng công nghệ thông tin vào quản lý thuế, thống kê thuế và tổ chức thực hiện trong toàn ngành Thuế.
Nhiệm vụ, quyền hạn.
Nghiên cứu xây dựng chiến lược phát triển ứng dụng công nghệ tin học và các chính sách quy định về ứng dụng công nghệ thông tin vào các hoạt động quản lý của ngành Thuế. Hướng dẫn thực hiện các qui định về thống kê thuế.
Hướng dẫn, chỉ đạo, kiểm tra các đơn vị trong ngành Thuế thực hiện ứng dụng công nghệ thông tin vào các hoạt động quản lý, nghiệp vụ của ngành và thống kê về thuế trong toàn ngành.
Xây dựng, phát triển, bảo trì và nâng cấp các phần mềm ứng dụng theo yêu cầu quản lý thuế. Tổ chức triển khai các phần mềm ứng dụng thống nhất trong toàn ngành Thuế.
Tổ chức quản lý cơ sở dữ liệu cho các đơn vị trong ngành và trực tiếp quản trị kho cơ sở dữ liệu tập trung của toàn ngành. Thực hiện các giải pháp kỹ thuật để đảm bảo bảo mật và an toàn dữ liệu cho toàn ngành.
Thiết kế, xây dựng và quản trị hệ thống mạng máy tính toàn ngành Thuế. Đảm bảo an ninh mạng, kết nối mạng với các ngành liên quan và kết nối với mạng Internet.
Thực hiện việc mua sắm, lắp đặt trang thiết bị tin học thống nhất cho toàn ngành Thuế theo yêu cầu quản lý và đảm bảo các tiêu chuẩn công nghệ quy định của Nhà nước, Bộ Tài Chính và ngành Thuế.
Trực tiếp quản lý, vận hành và bảo trì hệ thống phần mềm, quản trị cơ sở dữ liệu, hệ thống mạng và trang thiết bị tin học tại văn phòng Tổng Cục Thuế.
Tổ chức thực hiện thống kê về thuế.
+ Phân tích các chính sách, chế độ và biểu mẫu thống kê quy định về thuế để xây dựng phần mềm ứng dụng thu thập và xử lý thông tin, số liệu đáp ứng yêu cầu thống kê thuế.
+ Xử lý các thông tin, số liệu có trong cơ sở dữ liệu của ngành để cung cấp thông tin thống kê thuế theo các yêu cầu của công tác chỉ đạo, nghiệp vụ, thanh tra thuế, kiểm tra thuế và xây dựng chính sách thuế.
+ Tổ chức việc truyền, nhận, cập nhật thông tin thống kê vào hệ thống mạng máy tính. Quản lý, bảo trì dữ liệu thống kê về thuế trong toàn ngành theo chế độ quy định.
Quản lý hệ thống cấp mã số thuế trên mạng máy tính thống nhất toàn ngành. Hướng dẫn nghiệp vụ liên quan đến việc đăng ký cấp mã số thuế.
Tổng kết, đánh giá tình hình và kết quả công tác ứng dụng công nghệ thông tin, thống kê thuế của toàn ngành theo quy định.
Phối hợp với các đơn vị trong và ngoài ngành Thuế để trao đổi thông tin phục vụ công tác thuế. Tập hợp, phân tích những đề xuất, kiến nghị liên quan để sửa đổi, bổ sung, chấn chỉnh, tiếp thu, cập nhật hệ thống ứng dụng công nghệ thông tin của ngành Thuế.
Nghiên cứu khoa học công nghệ thông tin, tham gia xây dựng chương trình giảng dạy về công nghệ thông tin và thống kê thuế cho cán bộ ngành Thuế.
Quản lý cán bộ, công chức, tài sản của Trung tâm Tin học và thống kê theo quy định.
Thực hiện các nhiệm vụ khác được giao.
Cơ cấu tổ chức.
Gồm:
Phòng Phát triển ứng dụng.
Phòng Quản trị cơ sở dữ liệu.
Phòng Quản lý thiết bị tin học.
Phòng Quản trị hệ thống và hỗ trợ.
Phòng Thống kê - Tổng hợp.
Trung tâm công nghệ thông tin có trách nhiệm chỉ đạo về tin học thống kê đối với tổ tin học thuộc phòng Hậu Cần thuộc đại diện Tổng Cục Thuế tại Thành Phố Hồ Chí Minh.
Phòng Tin học và xử lý dữ liệu về thuế.
Nhiệm vụ về tin học.
- Tổ chức quản lý và phát triển công tác tin học tại Cục Thuế theo chỉ đạo của Tổng Cục Thuế. Đề xuất kế hoạch, nhu cầu phát triển ứng dụng tin học vào công tác quản lý của Cục Thuế với Tổng Cục Thuế. Tham mưu, đề xuất các biện pháp quản lý, triển khai và vận hành hệ thống tin học của Cục Thuế.
- Tổ chức triển khai hệ thống tin học theo đúng các quy định của ngành Thuế gồm: lắp đặt trang thiết bị tin học, cài đặt phần mềm hệ thống và các chương trình ứng dụng thống nhất trong ngành; trực tiếp vận hành, quản trị hệ thống mạng, quản trị cơ sở dữ liệu, quản trị hệ thống mạng truyền thông kết nối với các Chi cục Thuế trực thuộc và kết nối thông tin với Tổng Cục Thuế, đảm bảo an toàn hệ thống và dữ liệu.
- Quản lý hệ thống trang thiết bị tin học: thực hiện bảo dưỡng, bảo trì hệ thống trang thiết bị tin học tại Cục Thuế và Chi Cục Thuế theo đúng quy định của Tổng Cục; tổ chức quản lý các bản quyền sử dụng phần mềm hệ thống và các phần mềm ứng dụng trong ngành theo đúng quy định của Tổng Cục Thuế và ngành Tài chính.
- Hướng dẫn, chỉ đạo và kiểm tra các Chi Cục Thuế trong việc thực hiện nhiệm vụ tin học; hỗ trợ Chi cục Thuế về công tác tin học như: xử lý các vấn đề về kỹ thuật tin học, sửa chữa thiết bị, giải quyết các vướng mắc khi thực hiện chương trình ứng dụng; tập hợp và thông báo lỗi về xử lý thông tin tại các phần mềm ứng dụng của ngành lên Tổng Cục Thuế.
Nhiệm vụ xử lý dữ liệu.
- Tổ chức công tác đăng ký thuế: tiếp nhận tờ khai đăng ký thuế, kiểm tra tờ khai, nhập dữ liệu, cấp mã số thuế...; lập danh bạ tổ chức và cá nhân nộp thuế.
- Tiếp nhận tờ khai thuế, kiểm tra, nhập chính xác, đầy đủ, kịp thời các dữ liệu về quản lý thuế bao gồm dữ liệu trên tờ khai thuế, chứng từ nộp thuế và các thông tin liên quan đến việc xử lý tính thuế của các tổ chức và cá nhân nộp thuế do Cục Thuế trực tiếp quản lý thu, các dữ liệu về số thu nộp vào tài khoản tạm giữ, tài khoản nộp ngân sách từ kết quả thanh tra, kiểm tra về thuế.
- Thực hiện tính thuế, thông báo thuế, thông báo phạt nộp chậm, ấn định thuế.
- Thực hiện kế toán, thống kê thuế, in và truyền các báo cáo kế toán, thống kê thuế về Tổng Cục Thuế.
- Thực hiện điều phối thông tin trực tiếp từ cơ sở dữ liệu có trên mạng máy tính của Cục Thuế để đáp ứng các yêu cầu của lãnh đạo Cục Thuế.
- Thực hiện và hướng dẫn Chi cục Thuế việc đối chiếu biên lai thuế, phí, lệ phí với bộ thuế.
- Thực hiện các thủ tục hoàn tiền thuế cho đối tượng nộp thuế sau khi có quyết định hoàn thuế của Cục trưởng Cục Thuế; theo dõi và kế toán tài khoản tạm giữ, tài khoản quỹ hoàn thuế.
- Phối hợp với các đơn vị trong hệ thống Tài chính để xây dựng chương trình khai thác dữ liệu phục vụ công tác quản lý thuế.
- Tổ chức công tác bảo quản, lưu giữ hồ sơ tài liệu như các tờ khai thuế, chứng từ nộp thuế của tổ chức và cá nhân nộp thuế, các báo cáo kế toán, thống kê thuế của các Chi cục Thuế, các tài liệu và văn bản pháp quy của Nhà nước thuộc lĩnh vực quản lý của Phòng theo qui định.
Khảo sát hệ thống mạng Tổng Cục Thuế TP.HCM.
Hiện tại Tổng Cục Thuế Việt Nam có một mô hình mạng riêng, các Chi Cục tuyến huyện nối lên Cục Thuế của tỉnh và Cục Thuế các tỉnh nối trực tiếp lên Tổng Cục bằng đường Lease Line thông qua Modem chuẩn G.HDSL và đường Backup bằng Dial-up. Tuy nhiên, với nhu cầu mạng hoạt động liên tục và yêu cầu tính sẵn sàng cao mà hiện tại Tổng Cục Tp.HCM chỉ sử dụng một Router đường biên để phục vụ cho định truyến toàn mạng. Như vậy khi có sự cố về đường truyền đến Router hoặc Router bị lỗi… thì toàn bộ hệ thống mạng nối với Tổng Cục bị ngưng hoạt động. Điều này có thể gây nên mất mát dữ liệu, gây tổn thất rất lớn cho Tổng Cục Thuế.
Mạng Logic hiện tại.
Hình II1: Mạng Logic hiện tại.
Mạng vật lý hiện tại.
Hình II2: Mạng vật lý hiện tại.
Mô hình mạng căn bản.
Hình II3: Mô hình căn bản Tổng Cục TP.HCM
Vì những chức năng và nhiệm vụ quan trọng của phòng tin học - thống kê Tổng Cục Thuế TP.HCM, vừa đảm bảo chính xác về dữ liệu thuế, vừa đảm bảo cập nhật dữ liệu hàng ngày, hàng giờ và thậm chí là hàng giây, do đó phải nghĩ tới những công nghệ làm tăng tính sẵn sàng đáp ứng của hệ thống khi có bất kỳ sự cố nào xảy ra. Đảm bảo cho hệ thống có tính ổn định, không có một giây phút nào không hoạt động.
Để làm được việc này, có rất nhiều những công nghệ khác nhau nhằm nâng cao khả năng đáp ứng của mạng, có thể về phương diện mạng LAN, về phương diện mạng WAN nhưng ở đây trong phạm vi của đề tài này chúng em xin giới thiệu công nghệ Redundancy Router (Dự phòng Router) nhằm tăng khả năng đáp ứng mạng diện rộng (WAN) của Tổng Cục Thuế TP.HCM.
Công nghệ này dùng giao thức Router dự phòng nóng HSRP (Hot Standby Router Protocol) hoặc giao thức dư thừa Router ảo VRRP (Virtual Router Redundancy Protocol). Khả năng chính của hai giao thức này là dùng một Router thứ hai dự phòng cho Router chính đang hoạt động, khi Router chính bị lỗi hoặc đường truyền qua Router đó bị lỗi thì Router dự phòng sẽ thay thế nhiệm vụ đó ngay, đảm bảo cho mạng vẫn hoạt động bình thường.
Hình II4: Mô hình khi áp dụng công nghệ HSRP.
GIỚI THIỆU CÔNG NGHỆ
SƠ LƯỢC VỀ CÔNG NGHỆ
Lịch sử ra đời của HSRP và VRRP.
HSRP là một giao thức Router dự phòng nóng ra đời vào năm 1994 và công bố trong RFC 2281 tháng 3 năm 1998, còn VRRP là giao thức dư thừa Router ảo được công bố trong RFC 2338 và RFC 3768 tháng 4 năm 1998, tức là sau khi giao thức HSRP công bố được một tháng nhưng không ai nhận là tác giả của giao thức VRRP này.
Định nghĩa.
Giao thức HSRP.
HSRP (Hot Standby Router Protocol) là một giao thức Router dự phòng nóng, cung cấp một kỹ thuật để chống lại sự gián đoạn của những lưu lượng IP trong một trường hợp nào đó. Cụ thể hơn, giao thức này dùng để đề phòng sự thất bại (hay bị lỗi) của Router làm nhiệm vụ định tuyến quan trọng trên mạng.
HSRP cung cấp tính năng sẵn sàng cao trên các mạng Ethernet, FDDI (Fiber Distributed Data Interface), Bridge-Group Virtual Interface (BVI), LAN Emulation (LANE) hoặc Token Ring. HSRP được sử dụng trong một nhóm các Router và từ nhóm đó chọn ra Active Router và Standby Router. Trong một nhóm của các Router, Active Router là Router làm nhiệm vụ định tuyến các gói tin trên mạng, Standby Router là Router sẽ thay thế Active Router khi Active Router bị lỗi.
Giao thức VRRP.
VRRP (Virtual Router Redundancy Protocol) là một giao thức dư thừa Router ảo, nó không thuộc quyền sở hữu của tác giả nào và được công bố trong RFC 2338 và RFC 3768, thiết kế ra để làm tăng tính năng sẵn sàng và độ tin cậy của mạng. Kết hợp các Router lại thành Router ảo với IP làm Default Gateway cho các Host bên trong mạng LAN. Hai hoặc nhiều Router được cấu hình làm Router ảo nhưng chỉ một Router làm chức năng định tuyến thực sự tại một thời điểm. Nếu Router hiện tại đang làm nhiệm vụ định tuyến mà bị lỗi thì Router khác tự động thay thế Router đó ngay. Router làm nhiệm vụ định tuyến được gọi là Master Router, còn các Router khác gọi là Backup Router.
VRRP có thể được sử dụng trong mạng Ethernet, MPLS (Multiprotocol Label Switching) và Token Ring, trong mạng IPv6 cũng đã được phát triển nhưng không tốt lắm. Chức năng của giao thức VRRP cũng giống như HSRP nhưng không được thực thi rộng rãi.
Lý do áp dụng công nghệ.
Các doanh nghiệp, cá nhân và đặc biệt là những tổ chức có quy mô lớn dựa vào các dịch vụ của mạng Intranet, Internet để phục vụ cho mục đích kinh doanh của mình thì họ mong đợi rằng mạng và các ứng dụng mạng luôn sẵn sàng đáp ứng cao. Dữ liệu của họ luôn luôn yêu cầu cập nhật mới, luôn luôn thay đổi thậm chí là trong từng giây, vì thế mà họ không muốn mạng Down một khoảng thời gian nào. Nhưng trong thực tế thì rất khó đạt được điều này bởi vì nhiều lý do khác nhau gây ra đường truyền mạng không ổn định, việc giảm thiểu tối đa thời gian Down của mạng là công việc rất khó khăn.
Tuy nhiên, hiện nay có rất nhiều giải pháp khác nhau để khắc phục hiện trạng này. Các giải pháp có thể được áp dụng trong mạng LAN ( khả năng chịu đựng lỗi của Server ), WAN ( khả năng chịu lỗi của các thiết bị biên – Router ) hoặc là khả năng chịu lỗi trên đường truyền.v.v…
Các khách hàng có thể đạt được gần 100% yêu cầu về tính sẵn sàng đáp ứng của mạng nếu dùng công nghệ HSRP hoặc VRRP trong các giao thức đã được tích hợp sẵn trên thiết bị Cisco. HSRP và VRRP là nền tảng duy nhất của Cisco về khả năng cung cấp dự phòng cho các mạng IP, đảm bảo rằng mạng sẽ được phục hồi ngay lập tức nếu có lỗi xảy ra trên các thiết bị mạng đóng vai trò là các thiết bị biên.
Lợi ích khi áp dụng công nghệ.
Ưu điểm.
Khi áp dụng công nghệ dự phòng của Cisco thì đạt được những lợi ích sau:
Linh động về thiết bị.
Với giao thức HSRP và VRRP, khi áp dụng công nghệ dự phòng Router không cần các thiết bị có cấu hình hoàn toàn giống nhau, chỉ cần thiết bị có hỗ trợ tính năng cần thiết là đã Enable tính năng HSRP hoặc VRRP. (Tuy nhiên, cũng có những phiên bản IOS khác nhau của Cisco có thể không hỗ trợ tính năng này).
Dư thừa dùng để dự phòng.
HSRP và VRRP triển khai một mô hình dư thừa Router, Router dư thừa sẽ dùng để dự phòng cho Active Router, nó cung cấp tính sẵn sàng của mạng và được triển khai rộng trong những mô hình mạng lớn.
Khắc phục lỗi nhanh.
HSRP và VRRP cung cấp khả năng đáp ứng lỗi nhanh của các Router đường biên. Khi có sự cố xảy ra trên thiết bị hay đường truyền thì các Router đã được Enable chức năng dự phòng sẽ dựa vào kỹ thuật đó thay thế Router bị lỗi ngay lập tức, giúp mạng hoạt động gần như 100% thời gian. Tùy theo sự cố mà thời gian khắc phục lỗi có thể khác nhau.
Chia sẻ tải (Load Sharing).
Khi sử dụng đa nhóm HSRP hoặc VRRP, một Router có thể vừa đóng vai trò định tuyến trong nhóm này lại vừa có thể đóng vai trò dự phòng trong nhóm khác, giúp chia sẻ tải trên mạng. Những Host chỉ ra Default Gateway của nhóm nào thì Active Router của nhóm đó làm chức năng định tuyến. Việc này vừa giúp giảm bớt tải cho một Router vừa giảm được lãng phí Router dự phòng.
Nhược điểm.
HSRP và VRRP cũng có những nhược điểm sau:
Giá thành cao: Do phải tăng thêm một hoặc nhiều Router để dự phòng cho Active Router nên giá thành tăng cao nên giao thức HSRP và VRRP chủ yếu áp dụng cho những mô hình mạng lớn với những doanh nghiệp lớn cần tính năng mạng sẵn sàng cao. Ví dụ như các nhà cung cấp dịch vụ Internet ISP, các ngân hàng, Tổng Cục Thuế…
Không thay thế được giao thức định tuyến động: HSRP và VRRP được thiết kế để sử dụng cho định tuyến và chia sẻ tải nhưng nó lại không thể thay thế cho các giao thức định tuyến động hiện tại được. Ví dụ như các giao thức định tuyến RIP (Routing Information Protocol), OSPF (Open Shortest Path First)… Nó vẫn cần những giao thức định tuyến này để định tuyến các gói tin đi đến đích cần đến.
Tuỳ theo thiết bị hỗ trợ đa nhóm Hot Standby: Nhiều mạng như Ethernet, FDDI, BVI, LANE hoặc Token Ring đều có thể áp dụng hai giao thức HSRP và VRRP nhưng với mạng Token Ring thì chỉ cho phép cùng tồn tại ba nhóm Hot Standby. Các Router Cisco dòng 2500, 3000, 4000, 4500 mà sử dụng phần cứng Lance Ethernet không hỗ trợ đa nhóm Hot Standby. Router dòng 800 và 1600 mà sử dụng phần cứng PQUICC Ethernet cũng không hỗ trợ đa nhóm Hot Standby.
GIAO THỨC HSRP.
Các thuật ngữ liên quan.
Active Router: Router chính trong nhóm HSRP mà hiện thời đang chuyển tiếp các gói tin đến Router ảo.
Standby Router: Router dự phòng chính.
Standby Group: Tập hợp các Router trong nhóm HSRP mà cùng nhau cạnh tranh để thay thế cho Active Router.
Virtual IP Address: Địa chỉ IP được gán cho Router ảo, được sử dụng như Default Gateway cho các Host trong LAN.
Virtual MAC Address: Địa chỉ MAC ảo của Router ảo. Trong mạng Ethernet và FDDI sẽ tự động tạo ra địa chỉ MAC ảo khi HSRP được Enable. Địa chỉ MAC ảo chuẩn được sử dụng là: 0000.0C07.ACXY. Với XY là số nhóm (Group Number).
Định dạng gói tin HSRP.
Miêu tả.
Bộ giao thức:
TCP/IP.
Type:
Application layer protocol.
Port:
1985 (UDP).
Định dạng.
MAC header
IP header
UDP packet
HSRP packet
00
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Version
Opcode
State
Hellotime
Holdtime
Priority
Group
Reserved
Authentication Data-
Virtual IP Address
Version. 8 bits.
Phiên bản của HSRP. Xác định phiên bản hiện tại đang sử dụng.
Opcode. 8 bits.
Có các giá trị như sau:
Opcode
Miêu tả
0
Hello. Thông điệp Hello chuyển tới các Router khác các thông số Priority Number và thông tin trạng thái của Router gởi.
1
Coup. Router muốn trở thành Active Router.
2
Resign. Active Router gởi thông điệp này khi nó muốn Shut Down.
State. 8 bits.
Trường này miêu tả trạng thái hiện hành của Router đang gởi thông điệp. Có các trạng thái sau:
State
Miêu tả
0
Initial. Trạng thái bắt đầu và chỉ thị HSRP đang không hoạt động. Trạng thái này được bắt đầu khi có một sự thay đổi cấu hình hoặc khi một Interface đầu tiên được Up lên.
1
Learn. Router không xác định được địa chỉ IP ảo, và không thấy được gói tin Hello chứng thực từ Active Router. Trong trạng thái này Router vẫn đang chờ để nghe thông tin từ Active Router.
2
Listen. Router xác định được địa chỉ IP ảo, và đang nhận các thông điệp Hello.
4
Speak. Router gởi và nhận thông điệp Hello định kỳ và tham gia tích cực vào việc chọn Active Router hoặc Standby Router. Một Router có trạng thái Speak chỉ khi nó có địa chỉ IP ảo.
8
Standby. Router sẽ được chọn để trở thành Active Router tiếp theo và cũng gởi thông điệp Hello theo định kỳ. Router đó phải là Router trong nhóm trạng thái Standby Router.
16
Active. Router đang chuyển tiếp các gói tin đến địa chỉ MAC ảo của nhóm. Router gởi các thông điệp Hello theo định kỳ. Router đó phải là Router trong nhóm trạng thái Active Router.
Hellotime. 8 bits.
Mặc định là 3 giây.
Trường này chỉ có ý nghĩa trong các thông điệp Hello. Nó chứa giá trị thời gian giữa các lần gởi thông điệp Hello định kỳ. Thời gian được cho trong từng giây. Nếu Hellotime không được cấu hình trên Router, thì nó có thể học từ Active Router (nếu Hellotime của Active Router đã được cấu hình chứng thực).
Một Router mà gởi một thông điệp Hello phải đưa giá trị Hellotime mà nó đang sử dụng vào trong trường Hellotime.
Holdtime. 8 bits.
Mặc định là 10 giây.
Trường này chỉ có ý nghĩa trong các thông điệp Hello. Nó chứa khoảng thời gian mà thông điệp Hello hiện hành cần xem xét sự hợp lệ. Thời gian được cho trong từng giây. Nếu Router gởi một thông điệp Hello, thì nơi nhận sẽ xem xét thông điệp Hello có giá trị trong khoảng Holdtime không.
Giá trị Holdtime sẽ ít nhất bằng 3 lần giá trị của Hellotime. Nếu Holdtime không được cấu hình trên Router, thì nó có thể học từ Active Router. Holdtime sẽ chỉ được học nếu thông điệp Hello đã được chứng thực.
Một Router mà gởi một thông điệp Hello phải đưa giá trị Holdtime mà nó đang sử dụng vào trong trường Holdtime của thông điệp Hello.
Một Router trong trạng thái Active không học giá trị Hellotime và Holdtime mới từ Router khác, nó có thể tiếp tục sử dụng giá trị mà nó học từ Active Router trước.
Priority. 8 bits.
Trường này được dùng để chọn ra Active và Standby Router. Khi so sánh Priority của hai Router khác nhau, Router với số Priority cao hơn sẽ được ưu tiên hơn. Trong trường hợp các Router có số Priority bằng nhau thì Router có địa chỉ IP cao hơn sẽ được ưu tiên hơn.
Group. 8 bits.
Trường này dùng xác định số nhóm Standby. Trong mạng Token Ring, Group có giá trị 0à2. Trong những môi trường khác thì Group có giá trị 0à255.
Reserved. 8 bits.
Phần để dành.
Authentication Data. 8 bytes.
Trường này chứa đoạn text 8 ký tự làm mật khẩu. Nếu Authentication Data không được cấu hình thì giá trị mặc định là 0x63 0x69 0x73 0x63 0x6F 0x00 0x00 0x00 (cisco).
Virtual IP Address. 32 bits.
Địa chỉ IP ảo được sử dụng với nhóm HSRP. Nếu địa chỉ IP ảo không được cấu hình trên Standby Router thì nó có thể học từ thông điệp Hello của Active Router. Một địa chỉ sẽ chỉ được học nếu không có địa chỉ nào được cấu hình và thông điệp Hello phải được chứng thực.
Hoạt động của HSRP.
Hầu hết các Host lấy địa chỉ của Interface trên Router nối với chúng làm địa chỉ Default Gateway nhưng mà khi giao thức HSRP đã sử dụng thì địa chỉ IP ảo của HSRP được dùng làm Default Gateway cho các Host đó.
HSRP rất hữu dụng cho các Host khi các Host đó không được hỗ trợ giao thức tìm ra Router ( ví dụ như ICMP Router Discovery Protocol – IRDP). Nhờ HSRP mà khi Router chính bị khởi động lại hoặc bị mất nguồn (nói chung là không còn khả năng định tuyến hiện thời nữa) thì các Host vẫn gởi gói tin ra địa chỉ Default Gateway được, đảm bảo mạng hoạt động bình thường.
Khi giao thức HSRP được cấu hình trên một đoạn mạng, nó sẽ cung cấp một địa chỉ MAC ảo và một địa chỉ IP dùng chung cho một nhóm các Router đang chạy giao thức HSRP này. Địa chỉ của nhóm HSRP này được hiểu như là một địa chỉ IP ảo.
Một trong các Router mà được chọn để định tuyến chính khi sử dụng giao thức này được gọi là Active Router. Active Router làm nhiệm vụ nhận và định tuyến các gói tin định sẵn cho địa chỉ MAC của nhóm đó. Với n Router đang chạy giao thức HSRP thì có n+1 địa chỉ IP và địa chỉ MAC được gán.
Giao thức HSRP làm nhiệm vụ kiểm tra xem khi nào thì Active Router bị lỗi, và một Standby Router sẽ được Active ngay lập tức để thay thế cho Active Router đó. HSRP sử dụng số ưu tiên (Priority Number) để chọn ra Router nào làm Active Router và Standby Router. Vì vậy để cấu hình cho một Router trở thành một Active Router thì chỉ cần gán Priority Number của nó cao hơn Priority Number của các Router khác trong cùng nhóm HSRP đó. Priority mặc định được gán là 100.
Router mà có Priority Number cao hơn sẽ só khả năng làm Active Router nhưng trong trường hợp cả hai Router có cùng Priority Number thì Router nào có địa chỉ IP cao hơn sẽ trở thành Active Router.
Các Router HSRP giao tiếp với nhau thông qua việc trao đổi các gói tin Hello HSRP định kỳ, thường là dựa vào trường Hellotime của gói tin HSRP. Các gói tin này được gởi tới địa chỉ Multicast 224.0.0.2 trên UDP port 1985 ( Địa chỉ Multicast 224.0.0.2 là địa chỉ Multicast dành để giao tiếp của một nhóm các Router ).
Địa chỉ Source trong các gói tin Hello của Active Router là địa chỉ IP của nó và địa chỉ MAC ảo HSRP, còn của các Standby Router là địa chỉ IP của nó và địa chỉ Burned-in MAC (BIA). Mục đích của gói tin Hello là để thông báo trạng thái của Router gởi và để kịp thời chỉ định lại Router nào làm Active Router hoặc Standby Router.
Minh họa:
Hình IV1: Gởi và nhận gói tin Hello
Khi Active Router bị lỗi trong việc gởi các thông điệp Hello (Xác định bằng cách là sau một khoảng thời gian định kỳ quy định trước Active Router không gởi bất kỳ gói tin Hello nào hoặc Standby không nhận được bất kỳ gói tin nào từ Active Router) thì Stanby Router nào có Priority Number lớn nhất sẽ trở thành Active Router. Việc chuyển tiếp các gói tin trên mạng lại được xuyên suốt đến tất cả các Host.
Hình IV2: Lỗi truyền trong 9s
Có thể cấu hình nhiều nhóm Hot Standby trên một Interface để tăng khả năng chịu lỗi và chia sẻ tải trên mạng.
Với việc chia sẻ một địa chỉ MAC ảo và địa chỉ IP ảo, hai hoặc nhiều Router có thể hoạt động như một Router ảo. Router ảo không phải là Router tồn tại vật lý nhưng nó cung cấp Default Gateway cho các Host bên trong mạng LAN. Vì vậy mà chúng ta không cần cấu hình Default Gateway của các Host trong LAN bằng địa chỉ của Active Router mà thay vào đó là địa chỉ ảo của Router ảo.
HSRP Timers.
Mỗi Router chỉ được sử dụng 3 lần trong nhóm HSRP. Nếu định giờ hết hạn thì Router chuyển sang trạng thái mới.
Timer
Miêu tả
Active timer
Timer này được dùng để theo dõi Active Router. Timer này bắt đầu khi một Active Router nhận một thông điệp Hello. Timer này hết hạn phù hợp với giá trị Holdtime.
Standby timer
Timer này được dùng để theo dõi Standby Router. Timer này bắt đầu khi một Standby Router nhận một thông điệp Hello. Timer này hết hạn phù hợp với giá trị Holdtime.
Hello timer
Timer này được dùng để định giờ các gói tin Hello. Tất cả các Router HSRP trong các trạng thái tạo ra một gói tin Hello khi Timer Hello này hết hạn.
Trạng thái HSRP ( HSRP State ).
Initial. Trạng thái bắt đầu và chỉ định rằng HSRP đang không hoạt động. Trạng thái này được bắt đầu khi có một sự thay đổi cấu hình hoặc khi một Interface đầu tiên được Up lên.
Learn. Router không xác định được địa chỉ IP ảo, và không thấy được gói tin Hello chứng thực từ Active Router. Trong trạng thái này Router vẫn đang chờ để nghe thông tin từ Active Router.
Listen. Router đang nhận các thông điệp Hello.
Speak. Router đang gởi và nhận các thông điệp Hello.
Active. Router đang thực hiện chức năng chuyển tiếp các gói tin.
Standby. Router sẽ đảm nhận chức năng chuyển tiếp các gói tin nếu mà Active Router bị lỗi.
HSRP Event.
Key
Event
1
HSRP được Enable trên Interface.
2
HSRP bị Disable trên một Interface hay Interface bị Disable.
3
Active Timer hết hạn. Active Timer đã đạt đến Holdtime khi thông điệp Hello cuối cùng được gởi từ Active Router
4
Standby Timer hết hạn. Standby Timer đã đạt đến Holdtime khi thông điệp Hello cuối cùng được gởi từ Standby Router.
5
Hello Timer hết hạn. Thời gian định kỳ cho việc gởi các thông điệp Hello đã hết hạn.
6
Nhận được một thông điệp Hello từ một Router có độ ưu tiên cao hơn trong trạng thái Speak.
7
Nhận được một thông điệp Hello từ một Active Router có độ ưu tiên cao hơn.
8
Nhận được một thông điệp Hello từ một Active Router có độ ưu tiên thấp hơn.
9
Nhận một thông điệp nhường quyền ưu tiên (Resign) từ một Active Router.
10
Nhận một thông điệp Coup từ một Router có độ ưu tiên cao hơn.
11
Nhận được một thông điệp Hello từ một Standby Router có độ ưu tiên cao hơn.
12
Nhận được một thông điệp Hello từ một Standby Router có độ ưu tiên thấp hơn.
HSRP Action.
Initial
Action
A
Bắt đầu Active Timer. Nếu hành động này xảy ra thì kết quả nhận một thông điệp Hello đã được chứng thực từ một Active Router, Active Timer được đặt tới trường Holdtime trong thông điệp Hello. Mặt khác Active Timer được đặt tới giá trị Holdtime hiện hành.
B
Bắt đầu Standby Timer. Nếu hành động này xảy ra thì kết quả nhận một thông điệp Hello đã được chứng thực từ một Standby Router, Standby Timer được đặt tới trường Holdtime trong thông điệp Hello. Mặt khác, Standby Timer được đặt tới giá trị Holdtime hiện hành.
C
Active Timer bị ngừng.
D
Standby Timer bị ngừng.
E
Học các tham số: Hoạt động này xảy ra khi một thông điệp đã chứng thực được nhận từ Active Router. Nếu địa chỉ IP ảo của nhóm này chưa được cấu hình thì có thể học được từ thông điệp Hello.
F
Gởi thông điệp Hello: Router gởi thông điệp Hello với trạng thái hiện hành Helotime và Holdtime.
G
Gởi thông điệp Coup: Router gởi thông điệp Coup để báo cho Active Router biết là có một Router độ ưu tiên cao hơn đã sẵn sàng.
H
Gởi thông điệp Resign: Router gởi thông điệp Resign để cho phép Router khác có thể trở thành Active Router.
I
Gởi một thông điệp ARP không có lý do: Router lan truyền một gói tin đáp ứng ARP để quảng bá địa chỉ ảo và địa chỉ MAC của nhóm.
Bảng trạng thái HSRP.
Hình IV3: Bảng trạng thái HSRP
Mô hình chuyển tiếp trạng thái của máy trạng thái HSRP, mỗi lần một sự kiện xảy ra thì có một kết quả tương ứng xảy ra và Router chuyển sang trạng thái tiếp theo.
Con số đại diện cho sự kiện – Events.
Chữ cái đại diện cho hành động – Actions.
+ Nếu địa chỉ IP ảo đã cấu hình.
++ Nếu địa chỉ IP ảo chưa được cấu hình.
* Nếu Preempt được Enable.
** Nếu Preempt chưa được Enable.
Truyền và nhận gói tin HSRP.
Hình IV4: Truyền và nhận gói tin HSRP
Device
MAC Address
IP Address
Subnet Mask
Default Gateway
PC1
0000.0c00.0001
10.1.1.10
255.255.255.0
10.1.1.1
PC2
0000.0c00.1110
10.1.2.10
255.255.255.0
10.1.2.1
Cấu hình Router A – Active Router:
interface ethernet 0
ip Address 10.1.1.2 255.255.255.0
mac-Address 4000.0000.0010
standby 1 ip 10.1.1.1
standby 1 Priority 200
interface ethernet 1
ip Address 10.1.2.2 255.255.255.0
mac-Address 4000.0000.0011
standby 1 ip 10.1.2.1
standby 1 Priority 200
Cấu hình Router B – Standby Router:
interface ethernet 0
ip Address 10.1.1.3 255.255.225.0
mac-Address 4000.0000.0020
standby 1 ip 10.1.1.1
interface ethernet 1
ip Address 10.1.2.3 255.255.255.0
mac-Address 4000.0000.0021
standby 1 ip 10.1.2.1
Không nên cấu hình MAC tĩnh cho các thiết bị nếu không cần thiết.
Router A có Priority Number là 200 và trở thành Active Router trên cả hai Interface. Gói tin mà đi từ Router xuống các máy trạm sẽ có địa chỉ Source MAC là địa chỉ MAC vật lý của Router đó (BIA), các gói tin mà đi từ các máy trạm đến địa chỉ IP HSRP thì có địa chỉ MAC đến là địa chỉ MAC ảo HSRP. Do đó, các địa chỉ MAC là không giống nhau với từng luồng dữ liệu của các Host và Router khác nhau.
Ví dụ:
Packet Flow
Source MAC
Destination MAC
Source IP
Destination IP
Gói tin đi từ PC1 đến PC2
PC1
(0000.0c00.0001)
Địa chỉ MAC ảo HSRP của Interface E0 Router A
(0000.0c07.ac01)
10.1.1.10
10.1.2.10
Gói tin đi từ PC2 sang PC1 thông qua Router A
Interface E0 Router A (BIA)
(4000.0000.0010)
PC1
(0000.0c00.0001)
10.1.2.10
10.1.1.10
Gói tin đi từ PC1 đến địa chỉ IP dự phòng HSRP.
PC1
(0000.0c00.0001)
Địa chỉ MAC ảo HSRP của Interface E0 Router A
(0000.0c07.ac01)
10.1.1.10
10.1.1.1
Gói tin đi từ PC1 đến Active Router
PC1
(0000.0c00.0001)
Địa chỉ MAC vật lý của Interface E0 Router A (BIA)
(4000.0000.0010)
10.1.1.10
10.1.1.2
Gói tin đi từ PC1 đến Standby Router
PC1
(0000.0c00.0001)
Địa chỉ MAC vật lý của Interface E0 Router A (BIA)
(4000.0000.0020)
10.1.1.10
10.1.1.3
Đặc điểm của HSRP.
Cisco giới thiệu giao thức HSRP trong IOS 10.0. Cho phép một nhóm các Router làm việc cùng một lúc dưới dạng Router ảo hoặc là địa chỉ Default Gateway của các Host bên trong mạng LAN.
Đặc biệt, HSRP hữu dụng trong các môi trường mạng có nhiều ứng dụng quan trọng và yêu cầu tính sẵn sàng cao. Hai hay nhiều Router hoạt động như một Router ảo bằng cách chia sẻ địa chỉ IP ảo và địa chỉ MAC ảo. Router này có thể đảm nhận nhiệm vụ của Router kia trong trường hợp gặp sự cố và Router vừa thay thế sẽ tiếp tục định tuyến các gói tin.
Active Router sẽ làm chức năng định tuyến các gói tin và Standby Router sẽ làm nhiệm vụ sẵn sàng thay thế Active Router khi có sự cố xảy ra.
Còn các Router khác trong nhóm Standby Router thì làm nhiệm vụ giám sát hoạt động của Active Router và Standby Router để đảm bảo khả năng đáp ứng lỗi nhanh hơn. Các Router trong nhóm HSRP thường xuyên trao đổi định kỳ các gói tin Hello để thông báo trạng thái hiện tại của mình.
Các phiên bản của HSRP.
Hiện nay HSRP có hai phiên bản được dùng đó là phiên bản 1 và 2.
HSRP phiên bản 1 sử dụng địa chỉ Multicast 224.0.0.2 để gửi các gói tin Hello. Và cấu hình HSRP Timer trong Second.
HSRP phiên bản 2 lại sử dụng một địa chỉ Multicast mới 224.0.0.102 để gởi các gói tin Hello. Địa chỉ Multicast mới này cho phép giao thức quản lý nhóm của Cisco (Cisco Group Manage Protocol – CGMP) bỏ qua xử lý trung gian để cho phép nhận cùng một lúc nhiều nhóm HSRP khác nhau.
HSRP phiên bản 2 cho phép mở rộng số nhóm từ 0 đến 4095 và do đó mà sử dụng một dãy địa chỉ MAC mới từ 0000.0C9F.F000 đến 0000.0C9F.FFFF.
HSRP phiên bản 2 cũng cấu hình HSRP Timer nhưng trong Milisecond.
Địa chỉ hoá HSRP.
Như đã nói ở trên, các Router HSRP giao tiếp với nhau bởi sự trao đổi theo định kỳ các gói tin Hello HSRP. Các gói tin này được gởi đến địa chỉ Multicast 224.0.0.2 trên UDP port 1985.
Địa chỉ nguồn gói tin Hello của Active Router là từ địa chỉ IP của nó và địa chỉ MAC ảo HSRP, trong khi đó địa chỉ nguồn gói tin Hello của Standby Router là địa chỉ IP của nó và địa chỉ MAC của Interface (có thể là địa chỉ Burn-in MAC). Vì các Host được cấu hình Default Gateway là địa chỉ IP ảo HSRP nên các Host phải giao tiếp với địa chỉ MAC kết hợp với địa chỉ IP ảo HSRP. Địa chỉ MAC này sẽ là địa chỉ MAC ảo với định dạng 0000.0C07.ACXY. Trong đó, XY là HSRP số nhóm (Group Number) của Interface tương ứng.
Ví dụ: HSRP Group 1 sẽ sử dụng địa chỉ MAC ảo là 0000.0c07.AC01. Các Host thuộc đoạn LAN kế tiếp sẽ sử dụng giao thức phân giải địa chỉ ARP HSRP để phân giải các địa chỉ MAC tương ứng.
Các mạng Token Ring sử dụng các địa chỉ chức năng làm địa chỉ MAC HSRP. Các địa chỉ chức năng chỉ là kỹ thuật Multicast có sẵn. Số địa chỉ chức năng dùng trong mạng Token Ring là giới hạn, một số được dùng cho những chức năng khác, chỉ có 3 địa chỉ để sử dụng cho HSRP.
C000.0001.0000 (group 0)
C000.0002.0000 (group 1)
C000.0004.0000 (group 2)
Như vậy là chỉ có 3 nhóm được cấu hình trên mạng Token Ring, trừ khi dòng lệnh Standby use-bia được cấu hình.
HSRP và ARP.
HSRP cũng làm việc khi các Host được cấu hình Proxy ARP. Khi Active Router nhận một ARP Request từ một Host không phải trong mạng LAN thì Active Router trả lời lại dùng địa chỉ MAC của Router ảo. Nếu Active Router bị Down hoặc đường truyền đến LAN từ xa bị mất kết nối thì Standby Router mà có khả năng trở thành Active Router sẽ có nhiệm vụ nhận các gói tin và chuyển đến Router ảo. Nếu trạng thái Hot Standby của Interface chưa được Enable thì đáp ứng Proxy ARP bị chặn.
Quyền ưu tiên Preemption.
Chức năng Preempt cho phép một Router với quyền ưu tiên cao nhất ngay lập tức trở thành Active Router. Tuy nhiên, chức năng này không được áp dụng cho trường hợp khi hai Router có cùng thứ tự ưu tiên và có địa chỉ IP lớn hơn.
Mặc định của kỹ thuật HSRP thì Standby Router chờ cho đến khi không nhận được ba gói tin Hello liên tục từ Active Router thì nó mới Active lên đảm nhận vai trò của Active Router mà không quan tâm đến quyền ưu tiên nữa.
Sau khi Active Router bị Down và lấy lại được trạng thái Up nhưng lệnh standby [Group-number] preempt chưa được cấu hình thì Router đó vẫn không thể trở lại trạng thái Active, thậm chí là khi nó có Priority Number cao hơn tất cả các Router khác.
Preempt delay: Được thêm vào trong IOS phiên bản 11.3, cho phép người quản trị mạng chỉ ra khoảng thời gian chậm trễ trước khi Router chuyển sang trạng thái Active. Khoảng thời gian này cho phép HSRP ngang hàng đủ thời gian tạo được quyền ưu tiên cao hơn để định vị trong bảng định tuyến của nó trước khi đảm nhận vai trò Active.
Để cấu hình chức năng Preempt delay, dùng lệnh: preempt delay [interval].
Chức năng Interface Tracking.
Chức năng Tracking được thêm vào trong IOS 10.3, cho phép người quản trị có thể chỉ định Interface khác trên Router (Interface không gắn lệnh) giám sát thay đổi Priority cho một nhóm cấu hình định sẵn.
Cụ thể, nếu Interface chỉ định bị Down hoặc Line-protocol bị Down thì Priority của Router đó giảm xuống. Điều này tạo điều kiện cho Router khác với Priority Number cao hơn có thể trở thành Active Router thay cho nó. Ví dụ như Interface Serial của Active Router bị Down vì một lý do nào đó, HSRP có thể tự động thay đổi Priority của Active Router và cho phép Router trong nhóm Standby Router có Priority Number cao nhất đảm nhận chức năng của Active Router.
Chức năng Tracking được sử dụng để đảm bảo rằng Active Router có khả năng kết nối đến phần còn lại của mạng mà không quan tâm đến vấn đề về đường truyền. Chức năng này cũng cho phép Active Router có thể trở lại trạng thái Active khi mà Interface nối đến nó trở lại trạng thái hoạt động bình thường. Điều này sẽ xảy ra một cách tự động bởi vì Priority Number của Router đó sẽ tăng lên khi giao thức đường truyền của Interface đó Up lên.
Để cấu hình chức năng Tracking, sử dụng dòng lệnh: Standby track [interface] [amount to decrement Priority].
Hình IV5: Cấu hình Tracking
HSRP hỗ trợ ICMP Redirect.
Mặc định thì HSRP Filtering của thông điệp ICMP Redirect được Enable trên các Router chạy HSRP. ICMP là một giao thức Internet tầng mạng để cung cấp những gói tin thông điệp tường thuật lỗi xảy ra trên đường truyền. ICMP có thể gởi các gói tin lỗi đến Host và có thể gởi các gói tin lỗi này một lần nữa đến Host. Nếu các Host gởi gói tin đến địa chỉ thực của Router nhưng Router sau đó lại bị lỗi thì các gói tin đó sẽ bị mất, do đó khi HSRP được Enable thì nó ngăn chặn các Host biết được địa chỉ IP thực Interface của Router trong nhóm HSRP.
Các thông điệp ICMP Redirect được Enable tự động trên Interface đã cấu hình HSRP.
Hình IV6: ICMP Redirect
Giả sử nếu Host của mạng A muốn gởi một gói tin đến một Host khác thuộc mạng D thì đầu tiên nó gởi gói tin đó ra Default Gateway. Default Gateway này là địa chỉ IP ảo của nhóm 1. Khi đó:
Dest MAC = HSRP group 1 Virtual MAC.
Source MAC = Host MAC.
Dest IP = IP của Host trên mạng D.
Source IP = Host IP.
Router R1 nhận gói tin này nhưng nó xác định rằng Router R4 sẽ cung cấp một đường dẫn tốt hơn đến mạng D. Vì vậy mà nó chuẩn bị để gởi một Redirect Message trở lại Host trên mạng A địa chỉ IP thực của Router R4 (vì chỉ có địa chỉ IP thực mới nằm trong bảng định tuyến của nó).
Thông tin của ICMP Redirect Messsage như sau:
Dest MAC = Host MAC.
Source MAC = MAC Router R1.
Dest IP = Host IP.
Source IP = IP Router R1.
Gateway to use = IP Router R4.
Nhưng trước khi gởi thông điệp này đi thì Router R1 xác định rằng R4 là Active Router của nhóm 3 vì vậy mà nó thay đổi địa chỉ Default Gateway của thông điệp này từ địa chỉ IP thực của Router R4 thành địa chỉ IP ảo của nhóm 3. Và cũng thay đổi địa chỉ Source IP của Redirect Message thành địa chỉ IP ảo của nhóm 1.
Dest MAC = Host MAC
Source MAC = Router R1 MAC
Dest IP = Host IP
Source IP* = HSRP group 1 virtual IP
Gateway = HSRP group 3 virtual IP
Sử dụng địa chỉ Burned-in MAC (BIA).
Địa chỉ Burned-in MAC (BIA) được bắt đầu sử dụng trong IOS phiên bản 11.1.8 của Cisco. Các Router HSRP sử dụng địa chỉ Burned-in MAC (BIA) kết hợp với địa chỉ MAC ảo HSRP thay vì chỉ sử dụng địa chỉ MAC ảo HSRP.
Có một số Card Ethernet của Cisco chỉ có thể sử dụng được địa chỉ Unicast MAC nên không thực hiện được trên DECnet kết hợp cùng với HSRP. Nhưng với hỗ trợ mới của IOS phiên bản 11.1.8, cho phép sử dụng DECnet, XNS và HSRP trên cùng Router.
Tuy nhiên, khi sử dụng chức năng này của HSRP thì chỉ sử dụng được duy nhất một nhóm Standby trên Interface đó mà thôi. Khi lệnh standby use-bia được Enable thì địa chỉ MAC của Interface đó sẽ không đổi thành địa chỉ MAC ảo nữa (khi Router trở thành Active Router). Do đó, khi Standby Router đảm nhận vai trò mới thì địa chỉ MAC kết hợp với địa chỉ IP sẽ thay đổi thành địa chỉ MAC của Active Router mới.
Để không gây gián đoạn khi Router khác trở thành Active Router thì Router mới sẽ gởi ra ngoài một bảng ARP để các Host trong mạng cập nhật thông tin ARP đó. Nhưng có một hạn chế đó là không phải tất cả các Host đều nắm bắt được thông tin đã thay đổi này.
Đa nhóm HSRP.
Chức năng này được thêm vào trong IOS 10.3 cho phép nhiều nhóm HSRP (Multiple HSRP Groups - MHSRP) được cấu hình trên một Interface. Chức năng này nói một cách rộng hơn là cho phép dư thừa và chia sẻ tải bên trong mạng. Với chức năng Multiple Group thì mọi Router dự phòng đều có chức năng riêng, sử dụng tối đa chức năng, không dư thừa. Một Router đang ở trạng thái Active làm nhiệm vụ định tuyến cho một nhóm HSRP thì đồng thời cũng đang ở trạng thái Standby hoặc Listen cho nhóm HSRP khác.
Và một chức năng nữa cũng giới thiệu trong IOS phiên bản 10.3 là sử dụng địa chỉ Secondary, nó hữu dụng cho những mạng thực.
Hình IV7: Đa nhóm HSRP và Secondary Address
Ở đây thì một Router vừa làm chức năng định tuyến (Active Router) cho nhóm 1 và vừa dự phòng (Standby Router) cho nhóm 2, thậm chí là địa chỉ IP ảo của nhóm khác có thể khác Subnet. Việc này giúp sử dụng tối đa công dụng của Router, không dư thừa Router và giúp chia sẻ tải trên mạng.
Có thể cấu hình MAC.
Thông thường, sử dụng HSRP để giúp các Host trong LAN định vị được cổng ra mặc định cho các gói tin IP, như là việc cấu hình một địa chỉ Default Gateway cho các Host. Tuy nhiên, HSRP có thể cung cấp địa chỉ Default Gateway dự phòng mà các giao thức khác không có.
Một vài giao thức khác như Advanced Peer−to−Peer Networking (APPN) thì sử dụng địa chỉ MAC để xác định bước truyền đầu tiên cho các gói tin cần định tuyến. Với HSRP thì địa chỉ MAC ảo được dùng để chia sẻ trong các nhóm HSRP và khi đó sẽ sử dụng lệnh standby mac−Address. Tuy nhiên, lúc này thì địa chỉ IP ảo sẽ không quan trọng đối với giao thức HSRP này nữa. Cú pháp của lệnh này là standby [group] mac−Address mac−Address.
Hỗ trợ Syslog.
Chức năng Syslog được thêm vào trong IOS 11.3. Chức năng này giúp đăng ký và theo dõi hiệu quả hơn các trạng thái thay đổi của Active và Standby Router. Các Router thay đổi trạng thái tùy theo tình trạng và cấu hình hiện tại cũng như là những biến đổi xảy ra trong quá trình vận hành mạng.
Ví dụ:
%STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Speak -> Standby
%STANDBY-6-STATECHANGE: Standby: 0: FastEthernet0.1 state Standby -> Active
HSRP Debuging.
Trước phiên bản Cisco IOS 12.1, lệnh Debug HSRP tương đối đơn giản. Để Enable chức năng Debug HSRP, ta sử dụng lệnh debug standby khi đó sẽ cho phép xuất ra trạng thái HSRP và thông tin về gói tin cho tất cả các nhóm Standby trên tất cả các Interface.
Một điều kiện Debug đã được thêm vào trong IOS phiên bản 12.0(2.1) đó là cho phép xuất ra từ lệnh standby debug để được lọc dựa trên số Interface và số nhóm. Lệnh debug condition đã được giới thiệu trong IOS phiên bản 12.0, cụ thể là debug condition standby interface group. Interface được chỉ định hợp lệ là đã Enable chức năng HSRP và Group có thể là các nhóm bất kỳ từ 0-255.
Ta có thể thiết lập debug condition cho những nhóm mà hiện thời không tồn tại, điều này cho phép giữ lại những thông tin trong suốt quá trình khởi tạo của nhóm mới.
Ta phải Enable chức năng standby debug có trình tự đối với bất kỳ Debug nào được tạo. Nếu không cấu hình bất kỳ một standby debug nào thì khi xuất ra Debug sẽ được tạo với tất cả các nhóm trên tất cả các Interface. Và nếu ta cấu hình ít nhất một điều kiện standby debug thì khi xuất ra Debug sẽ được lọc theo tất cả các điều kiện standby debug.
HSRP Debugging nâng cao.
Trước IOS phiên bản 12.1(0.2), HSRP Debug bị giới hạn sử dụng bởi vì thông tin bị mất do tạp nhiễu (noise) của các thông điệp Hello định kỳ. Vì thế đặc tính Debug được nâng cao và được đưa vào Cisco IOS phiên bản 12.1(0.2).
Ta có thể lọc lỗi xuất bằng cách sử dụng Interface và nhóm HSRP theo điều kiện Debug. Để Enable điều kiện Debug của Interface ta sử dụng lệnh debug condition interface interface. Và để Enable điều kiện Debug nhóm HSRP ta sử dụng lệnh debug condition standby interface group.
Điều kiện Debug Interface được sử dụng chỉ khi ta không thiết lập những điều kiện standby debug. Điều kiện Debug nhóm HSRP được nâng cao hơn trong Cisco IOS phiên bản 12.1(1.3).
Thuật toán chứng thực MD5 HSRP.
Các gói tin HSRP có chức năng chứng thực để giao tiếp với các Router khác trong nhóm HSRP. Chứng thực trong gói tin HSRP được thực hiện bằng cách thêm một từ khóa String làm mật khẩu (Password). Mục đích của từ khóa này cũng như của thuật toán chứng thực MD5 HSRP là không chấp nhận những Router mà không tham gia trong nhóm HSRP hiện tại và ngăn chặn những Router có quyền ưu tiên thấp hơn học giá trị Standby IP Address và Standby Timer từ Router có quyền cao hơn.
Vì vậy, mục đích chính của thuật toán này là giúp tăng bảo mật hơn và chống lại những phần mềm giả mạo HSRP. Nhưng cũng giống như các thuật toán bảo mật khác, cần sử dụng chức năng chứng thực này một cách thận trọng.
Có hai thuật toán chứng thực chính trong HSRP đó là Plain Text Authentication và MD5 Authentication nhưng không thể dùng cùng một lúc hai thuật toán chứng thực. Để cấu hình chức năng Authentication thì sử dụng lệnh: standby Authentication string và standby [group-number] Authentication md5 key-string [0 | 7] key [timeout seconds].
HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức.
HSRP hỗ trợ cho chuyển mạch nhãn đa giao thức (MPLS), mạng riêng ảo (VPN). Nó có lợi khi mạng Ethernet LAN nối giữa hai Router của hai phía nhà cung cấp và khách hàng, tuy nhiên có các điều kiện sau:
Phía Router khách hàng cấu hình Default Route là địa chỉ IP ảo HSRP.
Các Host cấu hình Default Gateway là địa chỉ IP ảo HSRP.
VPN A
MPLS VPN Network
VPN A
VPN A
VPN B
VPN B
VPN B
CE Redundancy
HSRP/VRRP
Running between PEs
Mỗi VPN được kết hợp với một hoặc nhiều trường hợp định tuyến/chuyển tiếp VPN (VRF). Mỗi VRF bao gồm các yếu tố sau:
Bảng định tuyến IP.
Bảng chuyển tiếp tốc hành Cisco (CEF).
Tập hợp của các Interface mà sử dụng bảng chuyển tiếp CEF.
Tập hợp những quy tắc và tham số giao thức định tuyến để điều khiển thông tin trong bảng định tuyến.
Tổng hợp.
Flatform chỉ định chức năng hỗ trợ và các phiên bản IOS hỗ trợ của Cisco.
Platform
10.0
10.2
10.3
11.0
11.1
11.2
11.3
HSRP
X
X
X
X
X
X
X
Standby Preempt
X
X
X
X
X
X
X
Ethernet 802.10SDE
--
--
--
--
X
X
X
Tracking
--
--
--
--
X
X
X
Use BIA
--
--
--
--
X 1
X
X
Preempt Delay
--
--
--
--
--
X
X
Ethernet LANE
--
--
--
--
--
X
X
Inter Switch Link
--
--
--
--
--
--
X
Token Ring LANE
--
--
--
--
--
--
X
Syslog Support
--
--
--
--
--
--
X
X: Chỉ định phiên bản có hỗ trợ chức năng.
X1: Trong phiên bản 11.1.8.
GIAO THỨC VRRP
Các thuật ngữ liên quan.
VRRP Router : Là Router mà sử dụng giao thức VRRP tham gia trong một hoặc nhiều nhóm Router ảo.
Virtual Router: Là một Router trừu tượng hoạt động như một Router mặc định cho các Host trong LAN chia sẻ. Nó bao gồm một định danh Router ảo (VRID) và một bộ các địa chỉ IP kết hợp. Router VRRP có thể dự phòng cho một hoặc nhiều Router ảo.
IP Address Owner: Router VRRP mà có các địa chỉ IP của Router ảo như là các địa chỉ trên Interface thực. Đó là Router mà khi Up lên nó đáp ứng các gói tin đã địa chỉ hoá đến một hoặc nhiều địa chỉ IP. Và địa chỉ IP Interface thực đó là IP Address Owner.
Primary IP Address: Là một địa chỉ IP được chọn từ các địa chỉ Interface thực (luôn luôn chọn địa chỉ đầu tiên). Các thông điệp quảng bá VRRP khi gởi luôn sử dụng Primary IP Address làm địa chỉ nguồn của gói tin IP.
Virtual Router Master: Là Router VRRP mà có nhiệm vụ chuyển các gói tin tới địa chỉ IP kết hợp với Router ảo và đáp ứng các Request ARP cho các địa chỉ này. Chú ý rằng nếu Router có IP Address Owner thì ngay lập tức nó sẽ trở thành Master.
Virtual Router Backup: Là một nhóm các Router VRRP mà có nhiệm vụ đảm nhận vai trò Master nếu Master Router hiện hành bị lỗi.
Virtual Router MAC Address: Là địa chỉ MAC của Router ảo 00-00-5E-00-01-XX với XX là ID của Router ảo (VRID). Mỗi Router ảo là khác nhau trên mạng nhưng địa chỉ MAC ảo được sử dụng chỉ bởi một Router tại một thời điểm, và đó cũng là cách để các Router vật lý khác xác định Master Router trong nhóm các Router ảo.
Định dạng gói tin VRRP.
Miêu tả.
Bộ giao thức:
TCP/IP.
Loại giao thức:
Transport layer election protocol.
Multicast Addresses:
224.0.0.18.
IP Protocol:
112.
Định dạng.
MAC header
IP header
VRRP message
00
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Version
Type
Virtual Rtr ID
Priority
Count IP Addrs
Auth Type
Adver Int
Checksum
IP Address (1)
…
…
…
IP Address (n)
Authentication Data (1)
Authentication Data (2)
Version: 4 bits.
Trường Version xác định phiên bản đang sử dụng của giao thức VRRP.
Type: 4 bits.
Trường Type xác định loại của gói tin VRRP. Chỉ có một loại gói được xác định trong phiên bản này là Value 1: ADVERTISEMENT. Một gói mà không xác định được loại phải bị bỏ đi.
Virtual Rtr ID (VRID): 8 bits.
Trường định danh Router ảo (Virtual Router Identifier - VRID). Có thể cấu hình các số trong dãy 1à255. Không có giá trị mặc định.
Priority : 8 bits.
Trường Priority xác định Priority Number của Router gởi cho Router ảo.
Giá trị Priority của VRRP Router đang hoạt động mà có địa chỉ IP của chính nó kết hợp với Router ảo phải là một số thập phân 255.
Các Router dự phòng trong các Router ảo phải có giá trị Priority 1à254.
Giá trị Priority mặc định cho các Router dự phòng với Router ảo là 100.
Giá trị Priority bằng 0 có nghĩa là Master Router hiện hành đã ngừng tham gia trong nhóm VRRP. Việc này tạo điều kiện để cho các Router dự phòng nhanh chóng chuyển thành Master Router không cần chờ cho đến khi Master Router hiện hành bị Timeout.
Count IP Addrs: 8 bits.
Số địa chỉ IP chứa trong gói tin quảng bá VRRP.
Authentication Type: 8 bits.
Trường Authentication Type xác định phương thức chứng thực được sử dụng. Authentication Type là duy nhất trên Router ảo. Trường Authentication Type là một số nguyên không dấu 8 bits. Một gói tin không xác định được loại Authentication hoặc không đúng với phương pháp chứng thực đã cấu hình cục bộ thì phải bị bỏ đi.
Các phương pháp chứng thực được xác định:
Authentication Type
Miêu tả
0
No Authentication
1
Simple Text Password
2
IP Authentication Header
Authentication Type 0 - No Authentication.
Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP đã không được chứng thực. Nội dung của trường Authentication Data sẽ được thiết đặt là 0 khi truyền và bỏ qua khi nhận.
Authentication Type 1 – Simple Text Password.
Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một chuỗi Text đơn giản làm Password để chứng thực.
Authentication Type 2 – IP Authentication Header.
Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP (English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công.
Advertisement Interval (Adver Int): 8 bits.
Khoảng thời gian giữa việc gởi các gói tin quảng bá, được tính bằng giây. Mặc định là 1 giây. Chúng được sử dụng để xác định Master Router có bị lỗi hay không.
Checksum: 16 bits.
Trường Checksum được sử dụng để dò tìm dữ liệu bị lỗi trong thông điệp VRRP. Khởi tạo trường Checksum được thiết lập bằng zero.
IP Address: 32 bits.
Địa chỉ IP cho Router ảo, là một hoặc nhiều địa chỉ IP kết hợp với Router ảo. Số địa chỉ IP ảo được đặt trong một trường đặc biệt là “Count IP Addrs”.
Authentication Data: 32 bit.
Chuỗi dữ liệu chứng thực. Tùy theo loại chứng thực sử dụng mà trường này có giá trị khác nhau. Nếu giá trị trong trường Auth Type bằng 0 thì trường Authentication Data được thiết lập bằng 0 khi truyền và bỏ qua khi nhận.
Hoạt động của VRRP.
Có nhiều cách để một Client trong mạng LAN có thể xác định Router nào là bước truyền đầu tiên của nó khi dữ liệu nó gởi đi không nằm trong cùng mạng với nó. Client này có thể được cấu hình định tuyến tĩnh hoặc động.
Ví dụ như các giao thức:
Proxy ARP: Client sử dụng giao thức phân giải địa chỉ để định ra địa chỉ đích mà nó muốn đến, và một Router sẽ đáp ứng ARP Request với địa chỉ MAC của nó.
Routing Protocol: Client sử dụng giao thức định tuyến động (ví dụ như giao thức RIP (Routing Information Protocol )) và cập nhật vào bảng định tuyến của chính nó.
IRDP (ICMP Router Discovery Protocol) Client: Client dùng bộ định tuyến thông điệp quản lý Internet để tìm ra Router định tuyến đường biên cho nó. Xác định địa chỉ của Interface của Router đó làm Default Gateway cho các Host.
Mặt hạn chế của giao thức tìm động là chúng phải tuân theo một cấu hình chặt chẽ và xử lí chống tràn trong mạng LAN. Khi Router bị lỗi thì quá trình chọn lựa lại một Router khác có thể làm chậm tiến trình xử lý.
Một sự thay thế giao thức tìm kiếm động là cấu hình định tuyến tĩnh cho các Router trên mạng. Điều này tiến gần đến việc cấu hình và xử lí một cách đơn giản hơn nhưng nó lại tạo ra một sự đơn điệu về khả năng chịu lỗi của hệ thống.
VRRP có thể giải quyết vấn đề của cấu hình định tuyến tĩnh này.
Các Router VRRP được xem là một nhóm Router dự phòng, chia sẻ nhiệm vụ chuyển tiếp các gói tin nếu chúng có địa chỉ Default Gateway là địa chỉ IP ảo của Router dự phòng. Tại một thời điểm, chỉ có một Router VRRP hoạt động với vai trò là Master Router, còn các Router khác hoạt động với vai trò Backup Router.
Chỉ có Master Router ảo mới gởi các thông điệp quảng bá VRRP định kỳ. Router ảo dự phòng không giành quyền Master cho dù Priority của nó cao hơn nhưng có một ngoại lệ đó là Router VRRP sẽ có thể trở thành Master Router nếu nó có địa chỉ IP kết hợp với Router ảo. Nếu Master Router bị lỗi thì Router ảo dự phòng nào có Priority cao nhất sẽ chuyển sang trạng thái Master trong một thời gian ngắn nhất, điều này giúp tối thiểu gián đoạn mạng.
VRRP được hỗ trợ trên các mạng Ethernet, Fast Ethernet, BVI, giao diện Gigabit Ethernet, MPLS, VPNs và VLANs.
Hình V1: Mô hình VRRP căn bản
Router A, B, C là các Router VRRP mà bao gồm một Router ảo. Địa chỉ của Router ảo giống như địa chỉ của Router A (10.0.0.1).
Vì Router ảo được cấu hình là địa chỉ IP của giao diện Ethernet vật lý của Router A (10.0.0.1) nên Router A được gọi là Master Router ảo (Virtual Router Master) và địa chỉ IP của nó được gọi là IP Address owner. Vì Router A là Master Router ảo nên nó giám sát địa chỉ IP của Router ảo và có nhiệm vụ chuyển tiếp các gói tin gởi đến địa chỉ IP này. Các Client từ Client 1 đến Client 3 được cấu hình với địa chỉ Default Gateway là 10.0.0.1.
Router B và C lúc này có chứa năng là các Router ảo dự phòng (Virtual Router Backup). Nếu Master Router ảo bị lỗi thì Router ảo dự phòng nào có độ ưu tiên cao hơn sẽ trở thành Master Router ảo.
Hình V2: Mô hình chia sẻ tải truyền của VRRP.
Ở đây VRRP được cấu hình để Router A và B chia sẻ lưu lượng gói tin đến và đi cho các Client 1 tới Client 4. Router A và B cũng hoạt động như những Router ảo dự phòng hỗ trợ cho nhau nếu một trong hai Router bị lỗi.
Đối với nhóm 1, Router A sở hữu địa chỉ IP 10.0.0.1 và là Master Router ảo nhóm 1. Còn Router B sẽ là Router ảo dự phòng cho Router A. Các Client 1 và Client 2 được cấu hình với địa chỉ Default Gateway là 10.0.0.1.
Đối với nhóm 2, Router B sở hữu địa chỉ IP 10.0.0.2 và là Master Router ảo nhóm 2. Còn Router A sẽ là Router ảo dự phòng cho Router B. Các Client 3 và Client 4 được cấu hình với địa chỉ Default Gateway là 10.0.0.2.
Máy trạng thái giao thức VRRP.
Các tham số.
Các tham số trên Interface.
Authentication_Type: Loại chứng thực đang được sử dụng, tham số này đã được miêu tả trong định dạng gói tin VRRP.
Authentication_Data: Dữ liệu chứng thực, đồng thời cũng xác định được loại chứng thực đang được sử dụng.
Các tham số trên Router ảo.
VRID: Virtual Router Identification - Định danh Router ảo, được cấu hình trong khoảng từ 1-255 (hệ 10). Và không có giá định mặc định.
Priority: Giá trị ưu tiên được sử dụng để lựa chọn ra Master Router VRRP hoặc Backup Router cho những nhóm Router ảo.
Giá trị 255 (hệ 10) được dành cho Router mà có địa chỉ IP kết hợp với Router ảo.
Giá trị 0 được dành cho Master Router hiện hành, chỉ ra rằng nó đã ngừng tham gia trong VRRP. Priority được sử dụng để cho phép Router dự phòng nhanh chóng chuyển sang trạng thái Master mà không cần đợi Master Router hiện hành Timeout hoàn toàn.
Khoảng giá trị là từ 1-254 (hệ 10), nó có sẵn để dành cho các Router VRRP dự phòng cho Router ảo. Giá trị mặc định là 100 (hệ 10).
IP_Addresses: Là một trong nhiều địa chỉ IP kết hợp với địa chỉ IP của Router ảo. Tham số này phải được cấu hình bởi vì nó sẽ không có giá trị mặc định.
Advertisement_Interval: Là khoảng thời gian giữa các lần gởi thông điệp quảng bá, thông số này được tính bằng giây và giá trị mặc định là 1 giây.
Skew_Time: Thời gian để làm lệch khoảng thời gian bị Down của Master Router. Công thức để tính toán thông số này là: ( (256 - Priority) / 256 ).
VRRP sử dụng thông số Skew_Time để hạn chế cho các Router dự phòng không chuyển sang trạng thái Master trong cùng một thời điểm. Skew_Time cũng đảm bảo rằng các Router dự phòng nào có Priority cao hơn thì có nhiều khả năng trở thành Master Router hơn các Router dự phòng có Priority nhỏ hơn.
Giá trị Skew_Time được dùng để tính toán Master_ down_ interval. Khi Skew_Time giảm thì Priority Number sẽ tăng. Cũng có nghĩa là các Router có Priority thấp hơn thì sẽ có Master_down_interval dài hơn và cũng lâu nhận các thông điệp quảng bá hơn. Do đó, Router dự phòng có Skew_Time nhỏ hơn thì có khả năng chuyển sang trạng thái Master cao hơn.
Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down.
Công thức tính: (3 * Advertisement_Interval) + Skew_time.
Preempt_Mode: Điều khiển để Router dự phòng có độ ưu tiên cao hơn sẽ giành quyền trở thành Master Router so với các Router có độ ưu tiên thấp hơn. Có các giá trị:
True: Cho phép. False: Cấm giành quyền.
Giá trị mặc định của Preempt_Mode là True.
VRRP Timer.
Có hai khoảng thời gian quan trọng trong VRRP là: Master_Down_Timer và Adver_Timer.
Master_Down_Timer: Là khoảng thời gian mà Master Router sẽ Down, nó phù hợp với giá trị mà Router dự phòng xác định Master Router bị Down (Master_Down_Interval).
Adver_Timer: Thời gian để khởi tạo việc gởi các thông điệp quảng bá dựa trên giá trị Advertisement_Interval.
Trong đó: Advertisement_interval: Là khoảng thời gian giữa các thông điệp quảng bá và Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down.
Sơ đồ chuyển tiếp trạng thái.
Hình V3: Sơ đồ chuyển tiếp trạng thái.
Các trạng thái VRRP.
Mỗi Router VRRP thực thi trong một trường hợp của máy trạng thái cho mỗi sự lựa chọn Router ảo mà nó tham gia.
Trạng thái Initialize.
Mục đích của trạng thái này là đợi sự kiện Startup xảy ra. Nếu sự kiện Startup đã xảy ra thì:
Nếu Priority = 255 (địa chỉ IP của Router đó kết hợp với Router ảo).
Gởi một thông điệp quảng bá.
Broadcast một Request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo.
Thiết lập Adver_Timer thành Advertisement_Interval.
Chuyển sang trạng thái Master.
Ngược lại
Thiết lập Master_Down_Timer thành Master_Down_Interval.
Chuyển tiếp đến trạng thái Backup.
Trạng thái Backup.
Mục đích của trạng thái Backup để điều khiển tính sẵn sàng và trạng thái của Master Router.
Trong trạng thái này, VRRP Router phải thực hiện:
- Không đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo.
- Phải loại bỏ những gói tin mà có địa chỉ MAC đến bằng với địa chỉ MAC Router ảo.
- Không chấp nhận những gói tin được địa chỉ hoá với địa chỉ IP kết hợp với Router ảo.
- Nếu nhận được một Shutdown Event thì:
Hủy Master_Down_Timer.
Chuyển sang trạng thái Initial.
- Nếu Master_Down_Timer hết hạn thì:
Gởi một thông điệp quảng bá.
Broadcast một request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo.
Thiết lập Adver_Timer thành Advertisement_Interval.
Chuyển sang trạng thái Master.
- Nếu nhận được một thông điệp quảng bá thì:
Và nếu Priority trong thông điệp quảng bá là Zero thì:
Thiết lập Master_Down_Timer thành Skew_Time.
Nếu Preempt_Mode có giá trị False, hoặc Priority <= local Priority thì:
Thiết lập lại Master_Down_Timer thành Master_Down_Interval.
Loại bỏ thông điệp quảng bá.
Trạng thái Master.
Chức năng của Router trong trạng thái Master là chuyển tiếp các gói tin với địa chỉ IP kết hợp với Router ảo.
Trong trạng thái Master thì Router phải thực hiện:
- Phải đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo.
- Phải chuyển tiếp các gói tin với địa chỉ MAC đến là địa chỉ MAC của Router ảo.
- Không chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà không phải là địa chỉ IP của chính nó.
- Chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà là địa chỉ IP của chính nó.
- Nếu nhận được một Shutdown Event thì:
Hủy Adver_Timer.
Gởi thông điệp quảng bá với Priority = 0.
Chuyển sang trạng thái Initial.
- Nếu Adver_Timer hết hạn thì:
Gởi một thông điệp quảng bá.
Thiết lập lại Adver_Timer thành Advertisement_Interval.
- Nếu nhận được một thông điệp quảng bá thì:
Nếu Priority trong thông điệp quảng bá bằng Zero thì:
Gởi một thông điệp quảng bá.
Thiết lập lại Adver_Timer thành Advertisement_Interval.
Nếu Priority trong thông điệp quảng bá lớn hơn Local Priority hoặc Priority trong thông điệp quảng bá bằng Local Priority và địa chỉ IP nơi gởi lớn hơn địa chỉ IP cục bộ thì:
Hủy Adver_Timer.
Thiết lập Master_Down_Timer thành Master_Down_Interval.
Chuyển sang trạng thái Backup.
Ngược lại
Loại bỏ thông điệp quảng bá.
Tổng hợp các trạng thái và sự kiện.
Truyền và nhận gói tin VRRP.
Truyền các gói tin VRRP.
Khi truyền các gói tin VRRP cần thực hiện :
Điền vào các trường trong gói tin VRRP với trạng thái cấu hình Router ảo thích hợp.
Tính toán Checksum.
Thiết lập địa chỉ MAC nguồn thành địa chỉ MAC của Router ảo.
Thiết lập địa chỉ IP nguồn thành địa chỉ IP của Interface (Primary IP Address).
Thiết lập giao thức IP 112.
Gởi gói tin VRRP đến địa chỉ Multicast VRRP 224.0.0.18.
Nhận các gói tin VRRP.
Khi nhận các gói tin VRPP cần thực hiện:
Phải kiểm tra trường IP TTL bằng 255.
Phải kiểm tra trường Version trong định dạng VRRP.
Phải kiểm tra chiều dài gói tin nhận được lớn hơn hay bằng VRRP Header.
Phải kiểm tra Checksum.
Phải thực hiện loại chứng thực đã xác định bởi trường Auth Type.
Phải kiểm tra VRID là giá trị trên Interface nhận.
Kiểm tra địa chỉ IP kết hợp với VRID là hợp lệ.
Nếu một trong số những điều kiện trên không thỏa thì nơi nhận phải loại bỏ các gói tin này.
Hơn nữa:
Nếu các gói tin không được tạo bởi địa chỉ IP của chính nó (tức là Priority không bằng 255) thì nơi nhận phải loại bỏ gói này, ngược lại thì tiếp tục xử lý.
Đặc điểm của VRRP.
Thông điệp quảng bá VRRP.
VRRP gởi đến địa chỉ Multicast 224.0.0.18 cho các thông điệp quảng bá nhằm làm giảm số Router phục vụ cho các địa chỉ Multicast và cho phép kiểm tra chính xác mã của các gói tin VRRP. Tổ chức IANA đã gán cho VRRP số giao thức IP là 112.
Master Router ảo gởi những thông điệp quảng bá VRRP tới các Router VRRP khác trong cùng một nhóm. Những thông điệp quảng bá này truyền đạt các thông tin như Priority Number và tình trạng của Master Router ảo. Các thông điệp quảng bá VRRP sẽ được đóng gói trong IP Packet. Và các thông điệp quảng bá này gởi mặc định mỗi giây. Khoảng thời gian này có thể cấu hình.
Địa chỉ MAC của Router ảo
Địa chỉ MAC của Router ảo kết hợp với một Router ảo là một địa chỉ MAC IEEE 802 được định dạng trong hệ Hexa như sau: 00-00-5E-00-01-VRID.
Ba Octet đầu tiên được xuất phát từ IANA's OUI. Hai Octet tiếp theo (00-01) cho biết khối địa chỉ được gán cho giao thức VRRP. VRID là một định danh của Router VRRP, nó xác định số nhóm VRRP. Ví dụ như xác định VRRP nhóm 1 thì địa chỉ MAC ảo sẽ là 00-00-5E-00-01-01. Tùy theo từng mạng mà hỗ trợ lên đến 255 Router trên một mạng. Như vậy khi mà cấu hình lên đến 255 nhóm Router ảo thì khi đó giá trị VRID ở dạng Hexa sẽ là FF.
Proxy ARP.
Nếu Proxy ARP được sử dụng trên Router VRRP thì ngay sau đó Router VRRP phải quảng bá địa chỉ MAC của Router ảo trong thông điệp đáp ứng lại Proxy ARP. Nếu không làm như vậy thì các Host sẽ học địa chỉ MAC thực của Router VRRP.
Khi một Host gởi một ARP Request đến một trong số địa chỉ IP của các Router ảo. Master Router ảo phải đáp ứng ARP Request bằng địa chỉ MAC ảo và không được đáp ứng bằng địa chỉ MAC vật lý của nó. Điều này cho phép Client luôn sử dụng cùng địa chỉ MAC đến mà không cần quan tâm đến Master Router hiện hành đang Down hay Up.
Khi Router VRRP khởi động lại thì không gởi bất kỳ thông điệp ARP nào bằng địa chỉ MAC vật lý của nó cho địa chỉ IP mà nó có. Vì vậy, Router VRRP gởi thông điệp ARP chỉ bao gồm địa chỉ MAC ảo.
Khi cấu hình VRRP, các Router VRRP quảng bá ARP Request ngẫu nhiên có chứa địa chỉ MAC ảo của Router ảo cùng với địa chỉ IP trên Interface đó. Do đó mà chức năng Proxy ARP rất quan trọng trong việc giúp các Client xác định mạng có sử dụng Router dự phòng.
Priority và Preemption của VRRP Router.
Một khía cạnh quan trọng của hệ thống dư thừa Router ảo VRRP là độ ưu tiên của Router VRRP. Độ ưu tiên xác định quy tắc cho các Router VRRP hoạt động khi Master Router bị lỗi. Nếu một Router VRRP có địa chỉ IP của Router ảo và địa chỉ IP của Interface vật lý thì Router này sẽ có chức năng là một Master Router ảo. Độ ưu tiên cũng dùng để xác định một Router ảo dự phòng có Priority Number cao hơn sẽ trở thành Master Router ảo thay thế Master Router ảo bị lỗi.
Có thể cấu hình độ ưu tiên của Router ảo dự phòng với giá trị từ 1-254, dùng lệnh vrrp priority.
Ví dụ, nếu Router A là Master Router ảo trong mạng LAN. Khi Router này bị lỗi thì có sự chọn lựa lại một trong các Router ảo dự phòng sẽ lên làm Master Router ảo thay thế. Nếu Router B được cấu hình với độ ưu tiên 101 và Router C là 100 thì Router B sẽ được chọn làm Master Router ảo. Nếu cả Router B và C đều được cấu hình với cùng độ ưu tiên là 100 thì Router ảo dự phòng nào có địa chỉ IP cao hơn sẽ trở thành Master Router ảo.
Mặc định, cơ chế Preempt của VRRP được Enable, điều này cho phép Router ảo nào có độ ưu tiên cao hơn sẽ được chọn làm Master Router ảo ngay lập tức và Master Router có thể trở lại trạng thái Master một lần nữa sau khi bị Down nhưng lại lấy lại được trạng thái cũ. Còn khi Disable cơ chế Preempt (sử dụng lệnh no vrrp preempt) thì Router ảo dù có Priority cao hơn vẫn không thể trở thành Master Router được.
VRRP Object Tracking.
VRRP Object Tracking cho phép Router VRRP theo dõi đối tượng chỉ định bên trong Router, ví dụ như theo dõi trạng thái Up-Down của các Interface nối với Router. Object Tracking có thể làm thay đổi Priority Number của một Router ảo với một nhóm VRRP chỉ định. Đây là cách để tạo điều kiện cho Router VRRP nào có Priority Number cao hơn trở thành Master Router ảo cho một nhóm.
VRRP Object Tracking là một tiến trình độc lập để tạo, theo dõi và hủy bỏ các đối tượng Track của một Interface. Router VRRP đăng ký Track Object và Track này hoạt động khi trạng thái của Object thay đổi.
Mỗi Track được xác định bởi một con số duy nhất được chỉ định trên giao diện dòng lệnh Command-line Interface. Router VRRP sử dụng số này để theo dõi một đối tượng đã chỉ định.
Tiến trình Track định kỳ thăm dò đối tượng Track và quan tâm đến mọi thay đổi trạng thái của nó. Trạng thái của đối tượng có thể là Up hoặc Down.
VRRP cung cấp một Interface cho tiến trình Track. Mỗi nhóm VRRP có thể có nhiều đối tượng Track được theo dõi mà qua đó làm giảm (hoặc tăng) Priority Number của Router VRRP.
Để cấu hình Object Tracking, sử dụng dòng lệnh: track object-number interface type number {line-protocol | ip routing}.
Từ khoá line-protocol theo dõi trạng thái Up-Down của Interface chỉ định.
Từ khoá ip routing cũng kiểm tra định tuyến IP có Enable và Active trên Interface không.
Để áp Object Tracking vào cấu hình VRRP, dùng lệnh: vrrp group track object-number [decrement priority].
Lưu ý:
Nếu một nhóm VRRP cấu hình địa chỉ IP ảo là IP Address owner thì Priority của nó đã được cố định là 255 và không thể bị giảm nữa khi có cấu hình Tracking. Đây cũng là một hạn chế của VRRP.
ICMP Redirect.
Cũng giống như giao thức HSRP thì VRRP cũng được hỗ trợ ICMP Redirect. ICMP là một giao thức Internet tầng mạng để cung cấp những gói tin thông điệp tường thuật lỗi xảy ra trên đường truyền. Mục đích là tránh mất mát dữ liệu trên đường truyền và chọn đường dẫn tối ưu nhất.
ICMP Redirect được sử dụng một cách bình thường khi VRRP đang chạy trên một nhóm các Router. Điều này cho phép VRRP được sử dụng trong các mô hình mạng không cân đối.
Địa chỉ IP nguồn của ICMP Redirect là địa chỉ của Host cuối cùng được sử dụng khi thực hiện định tuyến ở bước tiếp theo. Nếu Router VRRP đang hoạt động là trạng thái Master cho các Router ảo chứa địa chỉ không phải của nó thì sau đó nó phải xác định gói tin của Router ảo nào đã được gởi khi chọn địa chỉ Source gởi lại.
Một phương pháp để suy ra Router ảo nào được sử dụng là kiểm tra địa chỉ MAC sẽ đến trong gói tin gởi lại lần nữa.
Chức năng ICMP Redirect rất hữu dụng để Disable Redirect với những trường hợp đặc biệt khi mà VRRP được sử dụng để chia sẻ tải truyền giữa một số các Router trong mô hình mạng đối xứng.
Bảo mật trong VRRP.
VRRP được thiết kế cho các môi trường liên mạng, do đó có thể thực hiện các chính sách bảo mật khác nhau. Giao thức này bao gồm một số phương pháp chứng thực và phương pháp không chứng thực.
Bất kỳ loại chứng thực VRRP nào cũng bao gồm một cơ chế: thiết lập TTL=255 và kiểm tra lúc nhận. Mục đích là nhằm chống lại các gói tin VRRP giả mạo xen vào từ các mạng khác và hạn chế được hầu hết các cuộc tấn công vào mạng nội bộ.
Không chứng thực (No Authentication).
Nghĩa là sự trao đổi của các Router VRRP không cần chứng thực. Loại chứng thực này chỉ nên sử dụng trong môi trường ít có xảy ra rủi ro về bảo mật và cấu hình (ví dụ như mạng chỉ có 2 Router).
Mật khẩu văn bản đơn giản (Simple Text Password).
Sử dụng loại chứng thực này có nghĩa là khi trao đổi các giao thức VRRP được chứng thực bởi một chuỗi Text đơn giản làm Password.
Loại chứng thực này rất hữu dụng để chống lại việc cấu hình bị lỗi của Router trên mạng LAN. Nó nhằm để chống lại việc các Router sử dụng phần mềm VRRP giả mạo không mong muốn làm Router dự phòng. Với Router VRRP mới, đầu tiên nên cấu hình Password Text khi chạy VRRP với Router khác.
Tuy nhiên, loại chứng thực này không chống lại các cuộc tấn công mà mật khẩu có thể được học bởi một Host dò hỏi gói tin VRRP trong mạng LAN. Chứng thực văn bản đơn giản kết hợp với việc kiểm tra TTL làm cho các gói tin VRRP được gởi từ mạng khác khó thâm nhập được hệ thống hoạt động của VRRP.
Để đạt hiệu quả cao nhất người sử dụng cần phải thường xuyên thay đổi Password.
Cấu hình VRRP theo chứng thực MD5 sử dụng Key String.
vrrp group authentication md5 key-string [0 / 7] key-string [timeout seconds]
Ví dụ:
Chiều dài Key_String có thể lên đến 64 ký tự và ít nhất là 16 ký tự.
Key với chỉ định 0 nghĩa là Key không bị mã hoá, chỉ định là 7 nghĩa là Key sẽ bị mã hoá. Khoá chứng thực key-string sẽ mã hoá một cách tự động nếu có cấu hình password-encryption.
Giá trị timeout là thời gian định trước mà Key String cũ chấp nhận cấu hình cho tất cả Router trong một nhóm với Key String mới.
Chú ý: Tất cả Router bên trong nhóm VRRP phải được cấu hình với cùng chuỗi chứng thực. Nếu không cấu hình cùng chuỗi chứng thực thì Router trong nhóm VRRP sẽ không giao tiếp được với nhau và bất cứ Router nào cấu hình bị lỗi sẽ làm thay đổi trạng thái Master của nó.
IP Authentication Header.
Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header [Auth], sử dụng HMAC-MD5-96 với ESP ( English for Specific Purposes - Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công.
VRRP hoạt động trên mạng Ethernet.
Để hiểu rõ hoạt động của VRRP trên mạng Ethernet ta xét mô hình sau:
Hình V4: VRRP hoạt động trên mạng Ethernet
Mô hình đang xét có hai Router vật lý là R1 và R2.
R1 có địa chỉ IP: 192.32.15.1 và địa chỉ MAC: 00:00:A2:0B:00:01. R2 là Router dự phòng cho R1.
R2 có địa chỉ IP: 192.32.15.2 và địa chỉ MAC 00:00:A2:BE:D0:03. R1 là Router dự phòng cho R2.
Vì thế sẽ có hai Router ảo là V1 và V2.
Router ảo V1 có địa chỉ IP là IP(V1)=192.32.15.1, VRID là 37, và có địa chỉ MAC VRRP là MAC(V1)=00:00:5E:00:01:25 (VRID 37, Hex 25).
Router ảo V2 có địa chỉ IP là IP(V2)=192.32.15.2, VRID là 73, và có địa chỉ MAC VRRP là MAC(V2)= 00:00:5E:00:01:49 (VRID 73, Hex 49).
Vì thế, Router R1 và R2 sẽ lắng nghe địa chỉ MAC của V1 và V2, và địa chỉ MAC của nó.
Host H1 được cấu hình để sử dụng định tuyến mặc định của IP(V1).
Host H2 được cấu hình để sử dụng định tuyến mặc định của IP(V2).
Lúc này, R1 sẽ là Master của Router ảo V1 vì nó có địa chỉ IP là IP Address owner. R1 sẽ định kỳ gởi thông điệp quảng bá VRRP với địa chỉ Source MAC là địa chỉ VRRP của nó và Destination là địa chỉ MAC Multicast Ethernet 01:00:5E:00:00:12. R2 dự phòng cho Router ảo V1, nó sẽ lắng nghe một cách bị động bởi việc đăng ký cho địa chỉ MAC Multicast và thực thi máy trạng thái của nó như đã tìm hiểu. Nếu R1 bị lỗi, R2 sẽ đảm nhận nhiệm vụ Master cho V1.
Khi khởi động, Host H1 gởi ARP Request đến địa chỉ IP của R1 (Master cho V1) là 192.32.15.1. R1 sẽ đáp ứng bằng địa chỉ MAC của V1. Sau đó, Host H1 sẽ cập nhật ARP Cache của nó với MAC(V1) này.
Khi Host H1 truyền thông với Host H3 trên một Subnet khác thì Host H1 sẽ gởi gói tin với:
Địa chỉ Source MAC là MAC(H1).
Địa chỉ Destination MAC là MAC(V1).
Địa chỉ Source IP là IP(H1).
Địa chỉ Destination IP là IP(H3).
Router R1 (là Master hiện hành cho V1) sẽ nhận gói tin này và chuyển nó sang các Interface rồi đến đích cuối cùng là Host H3. Nếu R1 bị lỗi thì Router dự phòng của nó là R2 sẽ chuyển sang trạng thái Master thay cho R1 bị lỗi. Trong khi đó, Host H1 vẫn không có bất cứ sự thay đổi nào và gói tin của nó sẽ được chuyển đến Host H3 thông qua R2.
Mọi tiến trình là hoàn toàn giống với Host H2 trong VRID 73.
VRRP hoạt động trên FDDI.
Không giống như Ethernet, hoạt động của VRRP trên FDDI phức tạp hơn. Khác với Interface trên Ethernet, Interface của FDDI sẽ loại bỏ bất cứ Frame nào mà có địa chỉ MAC là một trong số địa chỉ MAC của nó.
Hình V5: VRRP hoạt động trên FDDI
Với mô hình này thì R1 là Master Router, R1 sẽ gởi các thông điệp quảng bá với VRRP MAC(V1) là địa chỉ Source MAC và VRRP Multicast MAC Address là Destination MAC Address.
Nếu R1 gặp gói này một lần nữa trên Ring, nó sẽ loại bỏ ngay Frame đó khỏi Ring. Dưới điều kiện chịu lỗi nào đó như chịu lỗi vòng, chuyển giao thức, hoặc mất kết nối thì VRRP có thể tạo ra nhiều hơn một Master Router. Trên Ethernet nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) thì sẽ có một Master bị loại bỏ. Tuy nhiên, trong FDDI, nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) và đã Install Virtual Router MAC Address MAC(V1) như là địa chỉ phần cứng trên Interface của nó thì bất kỳ thông điệp quảng cáo nào được gởi bởi R1 mà sử dụng MAC Address MAC(V1) như là địa chỉ nguồn thì sẽ bị R2 loại bỏ và ngược lại, có nghĩa có thể có hơn hai Router làm Master Router.
Để tránh được điều này thì Virtual Router MAC Address MAC (V1) nên thay đổi hơn là thay đổi địa chỉ MAC phần cứng của Interface. Làm được việc này bởi thêm vào một bộ lọc MAC Unicast trong thiết bị FDDI trên các Interface của R1 và R2 . Điều này cho phép Interface FDDI nhận và xử lý MAC(V1) thêm vào địa chỉ MAC FDDI của chúng.
Nếu FDDI không có hỗ trợ bộ lọc MAC trên Interface FDDI thì R1 và R2 phải sử dụng địa chỉ MAC vật lý MAC(R1) hoặc MAC(R2) như là địa chỉ nguồn để trao đổi các thông điệp quảng bá VRRP.
So sánh hai giao thức VRRP và HSRP.
HSRP là một giao thức của Cisco về dự phòng Router nóng.
VRRP là một giao thức và tiêu chuẩn công nghệ hoạt động trên nhiều Router.
Đặc tính và chức năng của hai giao thức này rất giống nhau, tuy nhiên cũng có một số mặt khác nhau. Nhưng so sánh sự khác nhau giữa hai giao thức này là không lớn và không thật rõ ràng.
Những khoảng tính toán thời gian mặc định VRRP thì nhanh hơn HSRP.
VRRP cho phép nhiều địa chỉ IP được gán cùng một lúc, xác định bởi VRID - số định danh của Router ảo, trong khi đó HSRP dùng những nhóm riêng biệt Group Number để thực hiện điều này.
VRRP có thể đề nghị sự chứng thực trên nền tảng HMAC như một đặc tính an toàn cũng như sự chứng thực mức mật khẩu mà HSRP sử dụng. HSRP sử dụng sự chứng thực String Password, nếu không xác định thì giá trị mặc định là ‘cisco’.
Tổng hợp.
Parameter
HSRP
VRRP
Protocol và Port
UDP port 1985
IP protocol 112
Địa chỉ Virtual MAC
0000.0c07.ac[HSRP grp]
0000.5e00.01[VRID]
Địa chỉ Virtual IP
User cấu hình
User cấu hình
Router gởi Hello Packet khi Active
Active và Standby Routers
Master Router
Router gởi Hello Packet khi Failure
Tất cả
Tất cả
Hellotime
3s
1s (Advertisement_Interval)
Holdtime
10s
Master_Down_Timer=3*Adv+Skew_Time
Hello Src IP
IP của Interface
IP của Interface
Hello Src MAC
BIA (Standby) Virtual MAC (Active)
Virtual MAC
Hello Dst IP
224.0.0.2 (TTL 1)
224.0.0.18 (TTL 255)
Hello Dst MAC
01:00:5e:00:00:02
01:00:5e:00:00:12
Data đến Standby Group: Dst MAC
Virtual MAC
Virtual MAC
Data từ Standby Group: Src MAC
BIA
BIA
Máy trạng thái
Phức tạp: 6 State, 8 Event
Đơn giản: 3 State, 5 Event
Loại thông điệp
Ba loại: Hello, Coup, Resign
Một loại: Hello
PHẦN III. DEMO ỨNG DỤNG THỰC TẾ
MÔ HÌNH DEMO
Giới thiệu.
Tuy là có hai công nghệ được nêu trong nội dung đề tài, đó là công nghệ Router dự phòng nóng (HSRP) và công nghệ dư thừa Router ảo (VRRP). Qua so sánh sự giống nhau và khác nhau giữa hai công nghệ thì chúng em thấy rằng đặc tính và chức năng của hai công nghệ có nhiều điểm giống nhau. Vì vậy, chúng em chỉ chọn một công nghệ HSRP để trình bày trong phần Demo ứng dụng thực tế.
Việc chọn một công nghệ để Demo ứng dụng thực tế là không có mục đích chủ định mà sẽ tạo điều kiện cho chúng em tập trung vào một công nghệ, nhằm bám sát vấn đề, đi sâu, mở rộng tìm hiểu và mục đích cuối cùng đó là nắm bắt công nghệ kỹ càng hơn.
Mô hình Demo.
Ở phần Demo này chúng em xin giới thiệu hai mô hình, bắt đầu từ mô hình áp dụng căn bản HSRP và tiếp theo là mô hình nâng cao.
Mô hình 1.
Hình VI1: Mô hình Demo căn bản
Mô hình 2.
Hình VI2: Mô hình Demo nâng cao
Trong mô hình 1 thì mạng của Tổng Cục Thuế TP.HCM chỉ sử dụng một nhóm Hot Standby, có nghĩa là tại một thời điểm chỉ có một Router nắm giữ một trạng thái hoặc là Active, hoặc là Standby. Router A1 được cấu hình Priority là 110 cao hơn giá trị Priority mặc định (100) của Router S1 nên A1 chính là Active Router cho nhóm 1, nó có tác dụng định tuyến chính cho Host A.
Địa chị IP ảo của nhóm là 10.0.0.1 và Host A mang địa chỉ IP là 10.0.0.10 nhưng Default Gateway của nó không chỉ ra địa chỉ của Active Router mà chỉ ra địa chỉ IP ảo của nhóm.
Nếu Router A1 bị lỗi trong quá trình định tuyến hoặc hỏng hóc hoặc đứt tuyến cáp nối giữa các Cục Thuế A và Cục Thuế B lên Router này thì Router S1 với chức năng dự phòng sẽ thay thế Router A1 ngay lập tức.
Với mô hình 2 thì sử dụng chức năng hỗ trợ đa nhóm của kỹ thuật Hot Standby, chúng em sử dụng mô hình hai Router A1S2 và Router A2S1 với hai nhóm Hot Standby là nhóm 1 và nhóm 2. Nhóm 1 có địa chỉ IP ảo là 10.0.0.1 và Priority Number là 110 đối với Router A1S2, 100 đối với Router A2S1. Còn nhóm 2 có địa chỉ IP ảo là 10.0.0.4 và Priority Number là 100 đối với Router A1S2, 110 đối với Router A2S1. Vì vậy Router A1S2 sẽ là Active Router cho nhóm 1 nhưng lại là Standby cho nhóm 2 và Router A2S1 là Active Router cho nhóm 2 nhưng là Standby Router cho nhóm 1.
Trong mạng LAN có hai Host, Host A và Host B. Host A mang địa chỉ: 10.0.0.10, Host B: 10.0.0.11. Host A sử dụng địa chỉ IP ảo của nhóm 1 làm Default Gateway còn Host B lại sử dụng địa chỉ IP ảo của nhóm 2 làm Default Gateway, việc này có ý nghĩa hai Router cùng làm nhiệm vụ định tuyến vào cùng thời điểm, giúp chia sẻ tải truyền cho một Router và tránh gây lãng phí thiết bị.
Do mặt hạn chế của hai giao thức HSRP và VRRP là không thể thay thế cho các giao thức định tuyến động nên chúng em sử dụng giao thức định tuyến RIP (Routing Information Protocol) để định tuyến cho mô hình mạng của mình.
Kiểm nghiệm.
Để kiểm chứng tốt nhất cho mô hình mạng có hỗ trợ kỹ thuật dự phòng, mang tính năng sẵn sàng cao thì ta hãy thực hiện lệnh Ping từ một Host mạng Cục Thuế A hoặc B vào một Host của mạng Tổng Cục. Và để giả lập Active Router bị lỗi thì ta thực hiện lệnh Shutdown một Interface nào đó của Active Router này.
Trước hết ta phải kiểm xem mô hình mạng của chúng ta có hoạt động ổn định chưa bằng cách sử dụng lệnh Ping từ bất cứ Note mạng nào trên mô hình.
Lệnh Ping.
Từ Host A trong mạng Tổng Cục Thuế TP.HCM ta tiến hành Ping các Note mạng khác:
Ping địa chỉ IP ảo nhóm 1
Ping Interface của Router Cục Thuế A
Ping Interface của Router Cục Thuế B
Ping Host D
Từ một Router chúng ta Ping kiểm nghiệm vài Note mạng:
Từ Router A1S2 Ping Standby Router.
Router A1S2 ping Host C.
Như vậy, qua một vài lệnh Ping từ một Note mạng tới một Node mạng bất kỳ đều có đáp ứng trả lời lại, điều này có ý nghĩa mạng đã thông suốt trong quá trình áp dụng công nghệ dự phòng Hot Standby. Sau đây là áp dụng một vài lệnh để kiểm tra chức năng Hot Standby đã chạy trên các Router.
Các lệnh Show.
Trước hết chúng ta dùng lệnh show ip route, show standby brief và show standby all để kiểm tra bảng định tuyến và Standby đã Enable trên các Router.
Tại Router A1S2:
Tại Router A2S1:
Tại Router CTA:
Tại Router CTB:
Như vậy là các Router trong mạng đã học được định tuyến từ Router khác thông qua giao thức RIP, tất cả các mạng đều đã được học. Và chức năng Standby đã được Enable trên Router A1S2 và A2S1.
Để kiểm chứng cho chức năng Hot Standby là tạo khả năng mạng sẵn sàng cao, từ một Host trong mạng của Cục Thuế A hoặc Cục Thuế B chúng ta thực hiện lệnh Ping các Host trong mạng của Tổng Cục Thuế TP.HCM.
Từ Host C chúng ta tiến hành Ping liên tục Host A và Host B.
Ping Host A
Chúng ta giả sử đường Link giữa Tổng Cục Thuế TP.HCM và Cục Thuế B bị Down (Bằng cách Shutdown cổng Serial0 của một trong hai Router A2S1 và CTB). Do chúng ta đã cấu hình chức năng Track cho Router A1S2 về chức năng Line-protocol nên khi Serial0 của Router này bị Down thì Priority nhóm 1 của Router A1S2 giảm từ 110 sang 99, việc này tạo điều kiện cho Router A2S1 trở thành Active Router cho cả hai nhóm, nhóm 1 và nhóm 2.
A1S2(config)#interface serial 0
A1S2(config-if)#shutdown
*Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Track 100 object changed, state Up -> Down
*Mar 1 01:46:07.791: HSRP: Fa0/0 Grp 1 Priority 110 -> 99
*Mar 1 01:46:09.047: HSRP: Fa0/0 Grp 1 Ignoring Coup (100/10.0.0.3 < 110/10.0.0.2)
*Mar 1 01:46:09.055: HSRP: Fa0/0 Grp 1 Active -> Speak
*Mar 1 01:46:09.055: %HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Active -> Speak
*Mar 1 01:46:09.055: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Active -> Speak
*Mar 1 01:46:09.059: HSRP: Fa0/0 API MAC address update
*Mar 1 01:46:09.287: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down
*Mar 1 01:46:10.287: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down
*Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Speak: d/Standby timer expired (unknown)
*Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Standby router is local
*Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Speak -> Standby
*Mar 1 01:46:19.055: HSRP: Fa0/0 Grp 1 Redundancy "hsrp-Fa0/0-1" state Speak -> Standby
Và bây giờ Router A1S2 trở thành trạng thái Standby cho cả hai nhóm:
Còn Router A2S1 lại là trạng thái Active cho cả hai nhóm:
Lúc này, từ Host C và Host D mà chúng ta Ping liên tục từ trước chỉ bị Timeout trong một chu kỳ đáp ứng (khoảng 3s). Nếu chúng ta không cấu hình HSRP thì mạng sẽ ngừng hoạt động suốt thời gian khắc phục lại sự cố. Khả năng đáp ứng cao của hệ thống khi cấu hình HSRP là ở đây.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Kết luận.
Luận văn đã thực hiện được:
Đã tìm hiểu các khả năng và chức năng hỗ trợ của hai giao thức HSRP và VRRP.
Sử dụng các lệnh của IOS Router để làm sáng tỏ chức năng HSRP như phần lý thuyết, giúp giải quyết khó khăn hiện tại của Tổng Cục Thuế TP.HCM.
Mạng Tổng Cục Thuế TP.HCM đã mang tính năng sẵn sàng đáp ứng cao, đảm bảo dữ liệu toàn ngành Thuế được thống nhất liên tục.
Các hạn chế:
Chưa Demo thực tế cả hai giao thức HSRP và VRRP.
Chưa đi sâu vào chức năng bảo mật của HSRP.
Do hạn chế về Router nên chưa cấu hình nhiều nhóm Hot Standby kết hợp với nhiều Router đồng hành cùng lúc.
Hướng phát triển.
Tăng cường Router để hỗ trợ đa nhóm Hot Standby kết hợp cùng nhiều Standby Router.
Xây dựng mô hình mạng kết hợp cả hai kỹ thuật HSRP và VRRP nhằm tăng khả năng sẵn sàng đáp ứng của mạng hơn nữa.
Xây dựng mô hình mạng với chức năng bảo mật tích hợp sẵn của HSRP và VRRP có mã hóa nhằm chống phần mềm giả mạo giao thức này một cách an toàn hơn.
PHỤ LỤC
Cấu hình của các Router:
Router A1S2
Router A2S1
A1S2#sh run
Building configuration...
Current configuration : 1024 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname A1S2
!
logging queue-limit 100
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.2 255.0.0.0
keepalive
standby 1 preempt
standby 1 ip 10.0.0.1
standby 1 priority 110
standby 1 track 100 decrement 11
standby 1 track 101 decrement 11
standby 2 preempt
standby 2 ip 10.0.0.4
!
interface Serial0
ip address 30.0.0.1 255.0.0.0
no fair-queue
!
interface Serial1
ip address 50.0.0.1 255.0.0.0
!
interface Serial2
no ip address
shutdown
!
interface Serial3
no ip address
shutdown
!
ip http server
ip classless
!
router rip
network 10.0.0.0
network 30.0.0.0
netword 50.0.0.0
!
line con 0
exec-timeout 0 0
line vty 0 4
login
!
end
A1S2#
A2S1#sh run
Building configuration...
Current configuration : 1189 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname A2S1
!
logging queue-limit 100
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.3 255.0.0.0
keepalive
standby 1 preempt
standby 1 ip 10.0.0.1
standby 2 preempt
standby 2 ip 10.0.0.4
standby 2 priority 110
standby 2 track 100 decrement 11
standby 2 track 101 decrement 11
!
interface Serial0
ip address 40.0.0.1 255.0.0.0
no fair-queue
!
interface Serial1
ip address 60.0.0.1 255.0.0.0
!
interface Serial2
no ip address
shutdown
!
interface Serial3
no ip address
shutdown
!
ip http server
ip classless
!
router rip
network 10.0.0.0
network 40.0.0.0
netword 60.0.0.0
!
line con 0
exec-timeout 0 0
line vty 0 4
login
!
end
A2S1#
Router CTA
Router CTB
CTA#sh run
Building configuration...
Current configuration : 1024 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CTA
!
logging queue-limit 100
!
ip subnet-zero
!
interface Ethernet0
ip address 20.0.0.1 255.0.0.0
!
interface Serial0
ip address 30.0.0.2 255.0.0.0
no fair-queue
!
interface Serial1
ip address 60.0.0.2 255.0.0.0
!
interface Serial2
no ip address
shutdown
!
interface Serial3
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
ip http server
ip classless
!
router rip
network 20.0.0.0
network 30.0.0.0
netword 60.0.0.0
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
CTA#
CTB#sh run
Building configuration...
Current configuration : 1024 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CTB
!
logging queue-limit 100
!
ip subnet-zero
!
interface Ethernet0
ip address 70.0.0.1 255.0.0.0
!
interface Serial0
ip address 40.0.0.2 255.0.0.0
no fair-queue
!
interface Serial1
ip address 50.0.0.2 255.0.0.0
!
interface Serial2
no ip address
shutdown
!
interface Serial3
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
ip http server
ip classless
!
router rip
network 40.0.0.0
network 50.0.0.0
netword 70.0.0.0
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
CTB#
TÀI LIỆU THAM KHẢO
1. CCIE Professional Development Routing TCP/IP-Volume II-Jeff Doyle, CCIE & Jennifer DeHaven Carroll, CCIE.
2. ALL IN ONE Cisco CCIE LAB Study Guide-Stephen Hutnik & Michael Satterlee, CCIE#3980
3. Cisco Documentation-Ebook.
4. Đặng Quang Minh, Lê Đình An (2001). VnPro CCNA LabPro
5. Cisco System. OSPF and RIP BSCI slides
6. Wendell Odom, CCIE No.1624 (2004). CCNA ICND Exam Certification Guide, Cisco Press
7. Cisco System (2000). CCIE Fundamentals : Network Design and Case Study.
8. [RFC3768] R. Hinden, Ed., "Virtual Router Redundancy Protocol (VRRP)", RFC 3768, April 2004.
Một số trang Web tham khảo:
1.
2.
3.
4.
5.
6.
Các file đính kèm theo tài liệu này:
- NOI DUNG CHINH.doc