Cisco Network part 33

Chia sẻ: Adasdsaeqd Asdasdasdaseq | Ngày: | Loại File: PDF | Số trang:13

0
33
lượt xem
3
download

Cisco Network part 33

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'cisco network part 33', công nghệ thông tin, quản trị mạng phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Cisco Network part 33

  1.  Hiệu của cạt mạng là NETGEAR  Ðịa chỉ thật (MAC Address)  IP Address của cạt được configured tự động  Hiện giờ IP Address của cạt là 169.254.164.100. Ðiều nầy có nghĩa là DHCP không chạy tốt hay đã ngừng.  Không có Gateway  Cạt có 3 DNS servers Cạt Local area Connection:  Hiệu của cạt mạng là Realtec.  Ðịa chỉ thật (MAC Address)  Cạt có một static IP Address - DHCP không được enabled.  Không có Gateway  DNS server có cùng một IP Address. Ðiều ấy có nghĩa là Sadec là DNS server.  WINS server có cùng một IP Address. Ðiều ấy có nghĩa là Sadec cũng là WINS server. Có một số switches khác của lệnh IPConfig cũng rất thông dụng: Switch Công dụng /flushdns Xóa bỏ cache chứa tên trong DNS Làm mới lại tất cả Dynamic Host Configuration Protocol (DHCP) leases và đăng ký lại tất cả tên DNS. Một lease là một /registerdns hợp đồng mà DHCP cho phép một computer được dùng một IP Address trong thời hạn bao lâu. /displaydns Hiển thị cache của DNS resolver /release tên cạt nào thì DHCP hủy bỏ mọi leases
  2. Phát hành một lease mới với IP Address cho một cạt. Nếu /renew cạt. Bạn nên thận trọng khi dùng lệnh IPConfig trên client computer. Có nhiều features tân tiến của IPConfig tuy hay nhưng không nên dùng trên một máy client nếu không được sự trợ giúp của một administrator về mạng. Dùng lệnh nầy sai lạc có thể làm cho client computer mất móc nối với server. Ðể biết thêm về các switches của IPConfig hãy đánh IPConfig /?. Error! NSLookup NSLookup là một công cụ tiện dụng để giải quyết những khó khăn về DNS, chẳng hạn như host name resolution (tìm IP Address của một computer) bằng cách đọc những records trong DNS database. Ta dùng NSLookup bằng cách đánh nslookup , trong đó name là host name của record mà bạn đang tìm, và server là tên của server mà bạn muốn hỏi. Nếu server không được cung cấp thì default server sẽ đuợc dùng. Error! Kết quả trong hình trên cho biết DNS server không thể tìm ra tên host hay IP Address trong authoritative domain. Cái authoritative domain có thể nằm trên DNS server ấy hay một DNS server khác mà DNS server nầy liên lạc được. Khi bạn khởi động NSLookup, nó hiển thị host name và IP Address của DNS server đã được configured cho hệ thống địa phương, rồi hiển thị một command prompt để cho bạn tiếp tục hỏi. Một câu hỏi có kết quả tốt sẽ có dạng như dưới đây:
  3. Error! Bạn có thể hỏi nhiều thứ cùng một lúc với command-line parameter -d2 khi dùng verbose debugging enabled. Verbose debugging cho phép bạn kiểm tra các bọc hỏi và đáp giữa computer hỏi (resolver) và server.. Error! Muốn biết thêm về cách dùng NSLookup chỉ cần đánh ? hay help. Tracert Tracert hiển thị đường đi giữa nguồn (source host) và đích (destination). Chỉ đánh Tracert sẽ hiển thị chỉ dẩn như sau: Error! Trong hình dưới đây, Tracert hiển thị các routers phát hiện dọc đường từ host cho đến đích; sau hai routers thì trace đã đến nơi. Error! Trong trường hợp trace không đi đến đích được, thì kết quả là một dấu hoa thị (*) nằm ở những cột thường dùng để hiển thị thời gian đi giáp vòng, và có hiển thị sứ điệp Request time out, hay sứ điệp lỗi nào khác trong cột bên phải, nơi domain name hay IP Address thường được hiển thị. Error! CÁC PHƯƠNG THỨC TRUY CẬP BĂNG THÔNG RỘNG
  4. Tác giả: Đặng Quang Minh Bài viết này tập trung thảo luận về các công nghệ truy cập băng thông rộng được yêu cầu trong giáo trình BCRAN. Ba công nghệ được mô tả gồm: công nghệ không dây (wireless), cable và vệ tinh (satellite). I. Cơ bản về truy cập băng thông rộng: I.1. Cable modem Cable đã được các thành phố lớn cung cấp dịch vụ từ năm 1998. Tuy nhiên hiện nay ở Việt Nam vẫn chưa có cung cấp dịch vụ này. Dịch vụ cable-modem thường được cung cấp ở mức băng thông nhiều megabit. Mức băng thông cung cấp thực sự sẽ thay đổi phụ thuộc vào từng nhà cung cấp dịch vụ. Đối với khách hàng, cable modem có thể được xếp vào nhóm giải pháp SOHO. Cũng giống như ADSL, những người dùng đầu tiên của Cable Modem (CM) sẽ thấy đây là một dịch vụ rất tuyệt, tuy nhiên, khi số lượng người dùng nhiều lên, chất lượng dịch vụ sẽ giảm xuống. Cũng giống như các công nghệ khác, mức độ hài lòng của khách hàng phụ thuộc vào mức độ triển khai dịch vụ của nhà cung cấp cũng như các chiến lược kinh doanh của họ. Các đặc tả cho CM được mô tả trong một tài liệu có tên là Data Over Cable Service Interface Specification – DOCSIS. Phiên bản DOCSIS hiện có là 2.0. DOCSIS mô tả các phương thức sử dụng dữ liệu trên cable cũng như là một số đặc tả khác. Trong chương trình của CCNP-BCRAN, ta chỉ tập trung vào cấu hình các Cisco routers để hỗ trợ CM chứ không tìm hiểu về công nghệ CM. I.1.1 Cơ bản về DOCSIS: DOCSIS định nghĩa các đặc tả kỹ thuật của thiết bị ở cả hai nơi: người thuê bao và nhà cung cấp dịch vụ. DOCSIS được quản lý bởi CableLabs. CableLabs là một tổ chức nghiên cứu phi lợi nhuận được thành lập năm 1998.
  5. DOCSIS hiện có phiên bản 2.0. Tuy nhiên phần lớn các thiết bị hiện có hỗ trợ cho phiên bản 1.1. Trong một tương lai rất gần, các thiết bị hỗ trợ DOCSIS 2.0 sẽ ra đời. DOCSIS có vài thành phần trong cấu trúc của nó:  Cable Modem Termination System (CMTS): Là một thiết bị thực hiện chức năng điều chế tín hiệu trước khi đưa đến cable modem. CMTS thường được đặt ở nhà cung cấp dịch vụ  Cable Modem (CM): Một thiết bị đặt ở phía khách hàng thực hiện chức năng điều chế và giải điều chế các tín hiệu từ CMTS. Tốc độ truyền tốc độ tiêu biểu của CM là từ khoảng 1.5M-2.5Mbps.  BackOffice Services: Các dịch vụ như TFTP, DHCP, Time of Day (ToD). Các thông tin quan trọng để cấu hình một host chạy CM được lưu trong file cấu hình của DOCSIS. File này chứa các thông số sau:  Thông tin về tần số radio - Downstream Frequency - Upstream channel-ID - Network Access Configuration  Thông tin về loại dịch vụ (Class of Service) - Class of Service ID - Maximum Downstream Rate - Maximum Downstream Rate - Upstream Channel Priority - Minimum Upstream Rate - Maximum Upstream Channel Burst - Class of Service Privacy Enable  Các thông tin dành cho vendor  SNMP Management  Base line Interface Configuration
  6. - Authorize wait timeout - Reauthorize wait timeout (Tham khảo thêm trong giáo trình) Kiểu truyền dữ liệu dùng cable rất giống với kiểu truyền wireless, ngoại trừ là kiểu truyền wireless thì không dùng cáp. Kiểu truyền trong CM cũng dùng băng tần của sóng radio (RF). FR có tần số cao hơn tín hiệu audio và thấp hơn kiểu truyền hồng ngoại. Trong chiều truyền dữ liệu download (từ ISP đến khách hàng), tần số được dùng là 55-750 MHZ. Tần số này bằng với UHP và VHF. Chiều upload dùng băng tần 5-42-Mhz. Cisco hiện thực CMTS bằng các uBR Router. Các uBR Router này có đặc điểm là cho phép nó kết nối đến các mạng hybrid fiber coaxial network. HFC là một công nghệ được phát triển bởi các công ty cung cấp dịch vụ. HFC cho phép truyền dữ liệu tốc độ cao, hai chiều dùng kết hợp cả cáp quang và cáp đồng trục. Để kết nối uBR7200, 7100 và 10K vào mạng HFC, ta phải dùng thêm các card cable-modem. Card này sẽ cung cấp một giao tiếp giữa bus PCI của uBR và tín hiệu RF trên mạng HFC. I.1.2. Khởi động CM: Để thiết lập kết nối đến CMTS, CM phải khởi động chính xác. Trên một thiết bị uBR, ta có thể dùng lệnh show cable modem để xem trạng thái của từng kết nối riêng lẽ. I.1.3. Cấu hình CM: Một file cấu hình của DOCSIS ở dạng binary, trong đó chứa các thông số chẳng hạn như Maximum Downstream and Upstream rate, Maximum Upstream Burst Rate, Class of Services, Base line privacy, MIB…File cấu hình này có thể download từ TFTP. Router có thể cấu hình ở hai chế độ: bridging hoặc routing. Trong bridging mode, việc truyền dữ liệu dựa trên MAC address. Chế độ này là chế độ
  7. mặc định. Trong chế độ routing, một router có thể hoạt động như một IP routers. uBR9000 có thể hỗ trợ RIP, RIP v.2, IGRP, EIGRP và static route. Trong quá trình khởi động, CM sẽ liên lạc với DHCP server. DHCP server sẽ cung cấp các thông tin sau  IP address  Subnet Mask  Default-gateway  TFTP_server  DHCP Relay Agent  Tên đầy đủ của file cấu hình DOCSIS  Địa chỉ của ToD server  Địa chỉ của Syslog server Sau khi CM nhận được thông tin này, CM sẽ tìm đến địa chỉ của ToS server và đồng bộ thời gian của CM với server. Cũng trong thời điểm này, CM sẽ gửi request đến TFTP_server để yêu cầu file cấu hình. Các IOS image file cũng có thể đuợc lưu trong TFTP_server. I.2. Truy cập dùng vệ tinh: I.2.1. Cơ bản về truyền dữ liệu bằng vệ tinh: Cách thức truyền dữ liệu dùng vệ tinh được dùng trong những nơi mà CM và xDSL chưa sẵn có. Ngoài ra CM và xDSL bị giới hạn bởi khoảng cách địa lý. Để dùng cách thức truyền bằng vệ tinh, ta cần phải trang bị dĩa và các adapters. Chi phí cho một dĩa khoảng $500, công cài đặt khoảng 200. Các vệ tinh cho phép truyền dữ liệu hai chiều trong khoảng cách 23000 dặm. Tốc độ downstream có thể đạt đến 400 kbps (150 kbps trong giờ bình thường). Tốc độ upstream có thể từ 40kbps đến 128kbps. Một trong những hạn chế nữa là độ delay trong kiểu truyền bằng vệ tinh là lớn. I.2.2. Các kiểu quĩ đạo: - GEO (Geostationary Orbit): tốc độ quay quanh trái đất là 24giờ. Do đó vệ tinh xuất hiện đối với một điểm nào đó trên mặt đất như là
  8. đứng yên. Độ cao của quĩ đạo này là 35,800km. - LEO (LeoEarth Orbit): vệ tinh bay theo hình ellipse ở độ cao thấp hơn 2000km. Chu kỳ quĩ đạo thay đổi từ 90 phút đến 2 giờ. - MEO (MediumEarth Orbit): Quĩ đạo ở độ cao 10,000km. Chu kỳ quĩ đạo khoảng 6 giờ. - HEO (Highly Eliptical Orbit): Được dùng ở độ cao 500km và độ cao đỉnh là 50,000km. Chu kỳ bay thay đổi từ 8 đến 24 giờ - PO (Polar Orbit): giống LEO - SSO (Sun Synchronous Orbit): Chu kỳ bay của vệ tinh đồng bộ với mặt trời. Do đó vệ tinh sẽ xuất hiện tại mỗi điểm trên trái đất cùng một thời điểm trong mỗi ngày. I.3. Dùng Wireless: I.3.1. Cơ bản Wireless Networking (còn gọi là WiFi – Wireless Fidelity) đang trong giai đoạn phát triển nhanh. Wireless hiện nay được dùng như một công nghệ LAN hơn là một công nghệ được dùng để truy cập Internet. IEEE 802.11 quy định các tiêu chuẩn về tín hiệu và giao thức nhằm đảm bảo tính tương thích cho các thiết bị mạng không dây. 802.11 có ba phiên bản: 802.11a, 802.11b và 802.11g. Hiện nay 802.11a và .11b đang được dùng. 802.11g thì mới hơn. I.3.2. IEEE 802.11a Hoạt động ở tần số 5Ghz. Các hệ thống mạng LAN dùng các tần số 5.15 đến 5.25, 5.25-5.25, 5.725-5.825. Tốc độ truyền dữ liệu có thể đạt đến 6,9,12,18,24,36,48 và 54Mbps. Các tốc độ truyền thường được dùng là 6,12 và 24Mbps. I.3.3. IEEE 802.11b: Tốc độ truyền dữ liệu có thể đạt được là 1, 2, 5.5 và 11Mbps.
  9. I.3.4. IEEE 802.11g: - Hỗ trợ tốc độ truyền là 54Mbps. II. Wireless LAN: Một hệ thống mạng LAN wireless thường giống như mô hình star truyền thống. Thiết bị trung tâm thường được gọi là Wireless Access Point. Các máy trạm sẽ cài các card mạng wireless. Nếu một card mạng 802.11b cố gắng truy cập 802.11a WAP, kết quả sẽ thất bại. 802.11b sẽ hoạt động ở tần số 4,2Ghz. Một vài thiết bị phone cũng hoạt động ở tần số này. II.1. Một số ưu điểm của mạng không dây WLAN • Không phải khoan tường, bấm và đi dây. • Không phải ngồi tại những vị trí cố định. • Trong nhiều trường hợp là giải pháp rẻ hơn cho mạng LAN • Có thể kết nối ở khoảng cách xa hơn so với các thiết bị blue tooth hoặc IR. • Công suất và tốc độ có thể chấp nhận được….. II.2. Nhược điểm của mạng không dây • Phức tạp hơn trong việc thiết lập, quản lý và vận hành mạng. • Thông tin được truyền trên không trung trên tần số dùng chung dẫn đến các vấn đề an ninh và nhiễu. • Tần số càng cao thì tốc độ càng cao, nhưng đồng thời độ suy giảm cũng càng cao... II.3. Các mô hình mạng không dây: Mô hình infrastructure: ABCDEF kết nối thông qua AP • Extended Service Set (ESS) • A - - - | - ------- Access Point (AP)------- | - - - D •B---||---E •C---||---F
  10. • Mô hình ad-hoc: ABCD kết nối với nhau trực tiếp •A---C •|\/| • | /\ | •|/\| •B---D III. Các vấn đề bảo mật trong mạng không dây: III.1. Những vấn đề an ninh của mạng không dây Trong định hướng ban đầu của mạng WLAN trong vấn đề an ninh mạng là sử dụng SSID (System Set Identifier) và xác thực điều khiển thông qua địa chỉ MAC của Client. Với ý tưởng SSID được sử dụng giống như một từ khoá dùng chung cho AP và các Client. Nếu client sử dụng SSID không giống với SSID của AP thì không có khả năng truy nhập vào mạng LAN thông qua AP. Ngoài ra, WLAN còn hỗ trợ việc lọc theo địa chỉ MAC để điều khiển mức truy nhập mạng. Các bảng thiết lập bằng tay trên AP cho phép hay ngăn cấm các client truy nhập qua AP vào mạng LAN. Error! Tuy nhiên, khi mạng WLAN phát triển, được ứng dụng nhiều thì có nhiều vấn đề về an ninh mạng phát sinh và trở thành mối quan tâm đặc biệt khi triển khai mạng WLAN, và việc sử dung SSID và địa chỉ MAC không đảm bảo được an ninh mạng. Tiêu chuẩn 802.11 định nghĩa khả năng bảo mật WEP (Wired Equivalency Privacy) cho mạng WLAN sử dụng các khoá mã hoá 40 bit cho thuật toán
  11. mã hoá RC4. Khi sử dụng phương thức bảo mật này, một AP và các Wireless Client dùng chung các khoá WEP tĩnh. Khoá mã này được kiểm tra trong quá trình xác thực, nếu khoá không tương thích thì client không được liên kết với AP và tất nhiên không truy nhập được vào mạng. Khoá mã tĩnh dùng chung có khả năng bị dò tìm và lấy cắp, khi đó việc mã hoá không còn ý nghĩa với vấn đề an ninh mạng nữa, điều này sẽ được đề cập sâu hơn trong các phần tiếp theo Error! Cisco hỗ trợ sử dụng tới 4 khoá mã WEP có độ dài lên đến 128 bit trong một AP để tăng cường mức độ an ninh mạng. Tương ứng với khoá mã WEP, có hai phương thức xác thực là xác thực sử dụng khoá mã dùng chung (Shared Key Authentication) và xác thực mở (Open Authentication). Xác thực sử dụng khoá mã dùng chung (shared key) cùng mục đích an ninh giống như SSID ban đầu, nhưng khi đó sẽ hạn chế khả năng linh hoạt của mạng WLAN. Trong khi đó xác thực sử dụng khoá mã mở (Open ) lại được ưu dùng hơn, nhưng lại bộ lộ một số nhược điểm khác. Mặc dù đã có những cải thiện trong vấn đề an ninh mạng song chuẩn 802.11 vẫn còn bộc lộ những thiếu sót, lỗ hổng bảo mật cho mạng WLAN. • Nhận thức của người dùng: – Kỹ thuật mới, hiện đại, ít người am hiểu tường tận. – Quan điểm chủ quan (quá phức tạp chắc không ai biết) – Cấu hình mặc định của các thiết bị thường ở chế độ mở hoàn toàn. • Các lỗ hổng bảo mật: – WEP (wired equivalent protocol) không an toàn
  12. – MAC filtering không hiệu quả vì MAC có thể bị thay đổi Lỗ hổng bảo mật WEP • Wired Equivalent Protcol (WEP) là một bộ phận bảo mật của chuẩn IEEE 802.11. • WEP sử dụng 64 hoặc 128 bits keys để mã hoá data ở mức link-layer dựa trên thuật toán RC4, trong đó 24 bits được dùng cho Initialization Vector (IV). • Do nhược điểm của việc ứng dụng IV và RC4 trong chuẩn 802.11, khoá WEP có thể bị bẻ gãy trong khoảng thời gian tính bằng phút với một may tính thông thường. MAC spoofing • Phần lớn các Access Point đều sử dụng danh sách địa chỉ MAC như là một phương tiện bảo mật. • Người dùng thông thường tưởng rằng mình đã được bảo vệ khi ứng dụng cơ chế hạn chế địa chỉ MAC. • Tuy nhiên địa chỉ MAC có thể bị thay đổi chỉ với một câu lệnh III.2. Các biện pháp bảo mật cho WLAN • Thay đổi ngay các giá trị mặc định của thiết bị trước khi đưa vào sử dụng. • Đặt AP ở vị trí hợp lý sao cho người dùng có được tín hiệu tốt nhất và hạn chế được tín hiệu ra bên ngoài. • Thay đổi ngay các giá trị mặc định của thiết bị trước khi đưa vào sử dụng. • Đặt AP ở vị trí hợp lý sao cho người dùng có được tín hiệu tốt nhất và hạn chế được tín hiệu ra bên ngoài. • Tránh sử dụng AP trên cùng kênh với các AP khác. • Áp dụng tất cả các biện pháp bảo mật của thiết bị mà nhà sản xuất cung cấp.
  13. • Luôn cập nhật các phiên bản firmware mới nhất. • Dùng Virtual Private Network (VPN) (cho user ? - quy)
Đồng bộ tài khoản