Point to Point Protocol (ppp) ppp được xây dựng dựa trên nền tảng giao thức điều khiển truyền dữ liệu lớp cao (High-Level Data link Control (hdlc)) nó định ra các chuẩn cho việc truyền dữ liệu các giao diện dte và dce của mạng wan như V
tải về 0.82 Mb.
|
- Điều hướng trang này:
- 6-Các loại IPv6 - Anycast Address
- Extended Unique Identifier (EUI)-64 Address (*)
- IPv4 Address IPv6 Address
- OSPF củng cố kiến thức lại nào.
- Những con biên [ABR: area border router] nằm giữa nhiều biên có bản topology cho nhiều vùng khác nhau. Nó chỉ gửi tuyến route summary từ area khác ra cho area0 [backbone].
- Quá trình bầu chọn DR, BDR có thể xảy ra trên môi trường Broadcast và NBMA networks.
- Tại sao interface serial không nhận được IP động từ DHCP-server Câu hỏi
- I. Wired Equivalent Privacy (WEP)
- PRNG = Pseudo-Random Number Generator
- 1. Tại sao WEP được chọn
- 64 bit và 128 bit
- ASCII
- 5 ký tự
- 2.2 Server mã hóa key tập trung
Solicited-Node Address (SNA)Là địa chỉ sủ dụng trong quy trình phân giải để cấp địa chỉ LLA (Link-Local Address) tự động cho các Node (tương tự quy trình tự cấp địa chỉ 169.254.X.X trong IPv4) SNA có dạng : FF02:0:0:0:0:1:FF / 104 + 24 bits địa chỉ MAC
6-Các loại IPv6 - Anycast Address Anycast Address có thể gán cho nhiều Interfaces, gói tin chuyển đến Anycast Address sẻ được vận chuyển bởi hệ thống Routing đến Interface gần nhất. Hiện nay, Anycast Address chỉ được dùng như Destination Address và gán cho các Router IPv6 - Interface ID Trong tất cả các loại địa chỉ nói trên đều có giá trị Interface ID dùng để xác định Interface. Giá trị Interface ID được xem xét và tạo nên theo các yếu tố sau : - Xác định bởi Extended Unique Identifier (EUI)-64 Address (*) . EUI-64 Address có thể do gán hoặc kết hợp với MAC (physical) Address của Network Adapter (Window XP / Windows 2k3) - Được gán tạm thời với giá trị ngẫu nhiên (**) (RFC 3041) - Được tạo thành bởi Link-layer address hoặc Serial Number khi cấu hình Point-to-Point Protocol (PPP) - Tự cấp (manual address configuration) - Là một giá trị phát sinh ngẫu nhiên và gán thường trực cho Interface (Windows Vista / LogHorn)
EUI-64 Address xác định phưong thức tạo 64 bits Interface ID bằng cách kết hợp Mac Address của Network Adapter (48 bits) theo quy tắc như sau : 
Mac Address = 6 nhóm 8 bits = 48 bits. Trong đó 24 bits là mã nhà sản xuất, 24 bits là mã số Adapter Bước 1 : Tách đôi MAC Address làm 2 nhóm (mổi nhóm 24 bits), chèn vào giữa 16 bits giá trị FFFE Bước 2 : Đảo ngược giá trị bit thứ 7 của nhóm đầu Ví dụ : Network Adapter có MAC address = 00-AA-00-3F-2A-1C Bước 1 00-AA-00-FF:FE-3F-2A-1C Bước 2 02-AA-00-FF-FE-3F-2A-1C Interface ID = 02AA:00FF:FE3F:2A1C (64 bits)
Bài 38:
OSPF củng cố kiến thức lại nào. 
Distance vector và link state Khi ta học về giao thức distance vector thì router học đường đi nhờ neighbors [định tuyến theo tin đồn, neighbors bảo gì nghe nấy như RIP]. Giao thức distance chỉ tin cậy thông tin route của neighbor. Học qua EIGRP thì có tiến bộ hơn tí là nó nghe tin đồn nhưng nó còn xác nhận lại để xem có đúng hay không [ở đây là xem đường nào tốt hơn]. EIGRP thì nhanh hơn nhưng chỉ hỗ trợ sản phẩm cisco. Có một giao thức khác khá hơn 2 cái kia nhưng hơi tốn performance một chút, hỗ trợ đa chủng loại sản phẩm là OSPF. OSPF thì không nghe tin đồn như những giao thức kia mà nó lấy toàn bộ thông tin về state [trạng thái: links của router đó, interfaces, những neighbor của router đó, và trạng thái up/down,ip, subnet,…] của thằng gốc copy vào link state database của nó rồi tự tìm ra đường đi tốt nhất cho mình bằng thuật toán shortest-path-frist [hay còn gọi là Dijkstra]. Những con biên [ABR: area border router] nằm giữa nhiều biên có bản topology cho nhiều vùng khác nhau. Nó chỉ gửi tuyến route summary từ area khác ra cho area0 [backbone]. Nhưng trước khi trao đổi thông tin thì nó cần phải thiết lập một mối qua hệ gọi là neighbor. Quan hệ neighbor sẽ được thiết lập nhờ vào gói những gói hellos. Khi router nhận gói hello từ neighbor thì nó kiểm tra:
Khi trở thành neighbor thì các router có thể trao đổi các gói update cho nhau. Nhưng nếu như vậy thì sẽ tốn một lượng băng thông rất lớn vì một con sẽ cần trao đổi với tất cả các con còn lại. => Có n(n-1)/2 các quan hệ gần [adjacencies] với nhau. Vì vậy cần tồn tại một quá trình để bầu chọn con chính [DR], chỉ có con chính là quan hệ được với các con khác, và một con phụ là BDR để backup con chính khi nó chết. 
Quá trình bầu chọn DR, BDR có thể xảy ra trên môi trường Broadcast và NBMA networks. Quá trình hình thành full adjacency có thể diễn ra qua 7 quá trình cơ bản sau. Có 2 router A và B với Router ID tương ứng là a và b. 1.Down state Hai router mới gắn vào và cấu hình thì ở trạng thài Down state [router không nhận được thông tin từ router cận kề] 2. Init State Chỉ có 1 router gửi gói tin hello và router kia nhận được nhưng chưa biết router ID của chính nó nên chỉ là 1 chiều. [one way] 3. Two-way state 1 router gửi có router ID của nó, router kia nhận được và hồi đáp lại với router ID của nó. Ở trong trạng thái này nếu ở môi trường Ethernet [hay còn gọi là multiaccess, hoặc broadcast] cũng bầu chọn luôn DR và BDR. **Router có ưu tiên lớn nhất là DR, lớn nhì là BDR. Ưu tiên theo thứ tự sau:
Router có priotity là 0 thì không tham gia vào quá trình bầu chọn DR/BDR. Bài 39: Tại sao interface serial không nhận được IP động từ DHCP-server?
Câu hỏi: Trong khi cấu hình DHCP Relay thì câu lệnh IP helper address A.B.C.D(địa chỉ của con DHCP) chỉ tác dụng trong kết nối Ethernet(FastEthernet), còn trong kết nối Serial thì không được? Và khi cấu hình DHCP client trên Router, mình cấu mình trên cổng Ethernet thì nó support còn trong kết nối Serial thì lại không nhỉ?. Trả lời: Câu trả lời cho vấn đề này là để cấp IP cho client thì DHCP server cần biết MAC của client để nó có thể lưu trong cơ sở dữ liệu của nó. Sau này nếu client có xin IP cũng dựa vào bảng này mà cấp phát lại IP cho client. 
Nhưng serial là dạng point-to-point và không có MAC, cho nên nó không thể xin IP từ DHCP server được. Do đó không có lệnh ip address dhcp hỗ trợ cho nó. Đối với interface Ethernet, ta có thể xin địa chỉ ip mới nhằm mục đích test cho các bài Lab bằng cách sau.
Sẵn tiện đây mình cũng trích một chút của CCNA về 2 dạng đóng gói phổ biến của interface serial. Mặc định serial sẽ có dạng HDLC. R1#sh int s1/0 Serial1/0 is up, line protocol is up Hardware is M4T Internet address is 1.1.1.2/8 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs Last input 00:00:05, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 97 packets input, 7396 bytes, 0 no buffer Received 93 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 116 packets output, 9881 bytes, 0 underruns 0 output errors, 0 collisions, 5 interface resets 0 output buffer failures, 0 output buffers swapped out 7 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up Một dạng tiên tiến hơn so với HDLC là PPP. Ta có thể cấu hình interface serial thành dạng PPP bằng lệnh sau. R1(config)#int serial 1/0 R1(config-if)#encapsulation ppp R1#sh interfaces serial 1/0 Serial1/0 is up, line protocol is down Hardware is M4T Internet address is 1.1.1.2/8 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Listen, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs Last input 00:00:04, output 00:00:02, output hang never Last clearing of "show interface" counters 00:01:10 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 8 packets input, 184 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 20 packets output, 280 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 output buffer failures, 0 output buffers swapped out 2 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up HDLC chỉ chạy được IP (không hỗ trợ IPX, apple talk, …) PPP thêm vào trường để hỗ trợ thêm các giao thức IPX, apple talk, … PPP(layer 2) gồm có 2 trường chính: + NCP:giao tiếp để biết IP, IPX, … để đóng gói cho chính xác. + LCP đóng gói khỏi tạo đường link, gồm 5 phần nhỏ bên trong: - Authentication: PAP: bắt tay 2 bước, không mã hóa /CHAP: bắt tay 3 bước và mã hóa MD5. - Compress: nén - Multilink: gom nhiều đường lại với nhau làm tăng bandwidth lên. - Error detection: kiểm tra lỗi - Callback. Bài 40: BẢO MẬT MẠNG WLAN - Mạng WLAN bản thân nó là không bảo mật, tuy nhiên, đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ nào thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật và giữ nó an toàn là việc đào tạo những người triển khai và quản lý mạng WLAN. Đào tạo những nhà quản trị về mức độ bảo mật cơ bản và nâng cao cho mạng WLAN là một điều cốt yếu để ngăn chặn những lỗ hổng bảo mật trong mạng WLAN. I. Wired Equivalent Privacy (WEP): - WEP là một thuật toán mã hóa được sử dụng bởi tiến trình xác thực Shared Key Authentication để xác thực người dùng và mã hóa dữ liệu trên phân đoạn không dây của mạng LAN. Chuẩn 802.11 yêu cầu sử dụng WEP như là một phương thức bảo mật cho mạng không dây. - WEP là một thuật toán đơn giản sử dụng bộ phát sinh số giả ngẫu nhiên (PRNG = Pseudo-Random Number Generator) và mã hóa dòng (stream cipher) RC4. Trong nhiều năm, thuật toán này được xem như là một bí mật thương mại và chi tiết về nó là không được tiết lộ, nhưng vào tháng 9 năm 1994, một người nào đó đã phát tán mã nguồn của nó trên các mailing list. RC4 thuộc sở hữu thương mại của RSADSL. Mã hóa dòng RC4 là khá nhanh để giải mã và mã hóa, vì thế nó tiết kiệm được CPU, RC4 cũng đủ đơn giản để các nhà phát triển phần mềm lập trình nó vào trong sản phẩm của mình. - Chúng ta nói WEP là đơn giản, điều đó có nghĩa là nó khá yếu. Thuật toán RC4 được cài đặt một cách không thích hợp vào WEP tạo nên một giải pháp bảo mật thấp hơn mức vừa đủ cho mạng 802.11. Cả 64 bit và 128 bit WEP đều có mức độ yếu kém như nhau trong việc cài đặt 24 bit IV (Initialization Vector) và cùng sử dụng tiến trình mã hóa có nhiều lỗ hổng. Tiến trình này khởi tạo giá trị ban đầu cho IV là 0, sau đó tăng IV lên 1 khi mỗi gói được truyền. Trong một mạng thường xuyên nghẽn, những phân tích thống kê cho thấy rằng tất cả các giá trị IV có thể (2^24) sẽ được sử dụng hết chỉ trong ½ ngày, điều đó có nghĩa là IV sẽ khởi tạo lại từ 0 ít nhất một lần trong ngày. Điều này tạo ra lỗ hổng cho các hacker. Khi WEP được sử dụng, IV sẽ được truyền đi (mà không mã hóa) cùng với mỗi gói tin (đã mã hóa). Cách làm này tạo nên những lỗ hổng bảo mật sau: + Tấn công chủ động để chèn traffic mới: Các trạm di động không đặc quyền (chưa được quyền, unauthorized) có thể chèn các gói tin vào mạng dựa trên chuỗi dữ liệu biết trước. + Tấn công chủ động để giải mã traffic: Dựa trên việc lừa gạt AP + Tấn công bằng cách xây dựng từ điển (Dictionary-building): Sau khi thu thập đầy đủ traffic thì WEP key có thể bị crack dùng các phần mềm miễn phí. Một khi WEP key đã bị crack thì việc giải mã các gói tin theo thời gian thực có thể được thực hiện bằng cách lắng nghe các gói tin được quản bá, sau đó dùng WEP key để giải mã chúng. + Tấn công bị động để giải mã traffic: Bằng cách sử dụng những phân tích thống kê, WEP traffic có thể bị giải mã. 1. Tại sao WEP được chọn: - Nếu như WEP không bảo mật như vậy thì tại sao nó được chọn để cài đặt trong chuẩn 802.11? Khi chuẩn 802.11 được hoàn tất và thông qua, các nhà sản xuất thiết bị WLAN bắt đầu đưa sản phẩm của họ ra thị trường. Chuẩn 802.11 xác định rằng thiết bị phải bảo đảm các tiêu chuẩn về bảo mật sau: + Có thể xuất được (exportable)
2. WEP key: - Chức năng chính của WEP dựa trên các key, là các yếu tố cơ bản cho thuật toán mã hóa. WEP key được cài đặt vào client và các thiết bị hạ tầng trong mạng WLAN. Một WEP key là một chuỗi ký tự và số được sử dụng theo 2 cách. Thứ nhât, WEP key có thể được sử dụng để kiểm tra định danh xác thực client. Thứ 2, WEP key có thể được dùng để mã hóa dữ liệu. - Khi một client sử dụng WEP cố gắng xác thực và kết nối với AP thì AP sẽ - xác định xem client có giá trị WEP key chính xác hay không. Chính xác ở đây có nghĩa là client đã có key là một phần của hệ thống phân phát WEP key được cài đặt trong WLAN. WEP key phải khớp ở cả 2 đầu xác thực (AP và Client). - Một nhà quản trị WLAN có thể phân phát WEP key một cách thủ công hay sử dụng các phương thức cấp cao như hệ thống phân phát WEP key. Hệ thống phân phát WEP key có thể đơn giản chỉ là việc cài đặt các key tĩnh hay cao cấp hơn như sử dụng các server mã hóa key tập trung. Rõ ràng là các giải pháp cao cấp hơn sẽ gây ra khó khăn hơn cho các hacker khi muốn đột nhập vào mạng, - Có 2 loại WEP key là 64 bit và 128 bit (đôi khi bạn thường nghe nhắc đến là 40 bit và 104 bit). Điều này gây ra sự hiểu nhầm. Lý do cho sự hiểu nhầm này là WEP được cài đặt theo cách giống nhau cho cả 2 kích thước mã hóa kể trên. Mỗi WEP key đều sử dụng 24 bit IV kết nối với key bí mật. Chiều dài của key bí mật là 40 hoặc 104 bit, vì thế tạo thành WEP key 64 và 128 bit. - Việc nhập WEP key tĩnh vào client hay các thiết bị hạ tầng như Bridge hay AP là hoàn toàn đơn giản. Đôi khi, sẽ có một checkbox để chọn chiều dài WEP key sử dụng, đôi khi không có checkbox nào, vì thế admin phải biết phải nhập vào bao nhiêu ký tự khi được yêu cầu. Thông thường các phần mềm client sẽ cho phép nhập vào WEP key theo dạng ký tự số (ASCII) hay theo dạng thập lục phân (HEX) 
- Số ký tự nhập vào cho key bí mật tùy thuộc vào phần mềm cấu hình yêu cầu dạng ASCII hay HEX và sử dụng 64 bit hay 128 bit. Nếu card không dây của bạn hỗ trợ 128 bit, thì nó cũng hỗ trợ 64 bit. Nếu bạn nhập WEP key theo định dạng ASCII thì bạn sẽ phải nhập 5 ký tự cho 64 bit và 13 ký tự cho 128 bit. Nếu bạn nhập theo dạng HEX thì phải nhập 10 ký tự cho 64 bit và 26 ký tự cho 128 bit. 2.1 WEP Key tĩnh (static): - Nếu bạn chọn cài đặt WEP key tĩnh, bạn sẽ phải gán các WEP key tĩnh này một cách thủ công cho các AP và các client. Các WEP key này sẽ không bao giờ thay đổi làm cho đoạn mạng đó dễ bị hacker tấn công. Vì lý do này mà WEP key tĩnh chỉ thích hợp sử dụng như là một phương thức bảo mật căn bản cho các mạng WLAN nhỏ, đơn giản. Nó không được khuyến khích sử dụng cho các doanh nghiệp lớn. - Khi sử dụng WEP key tĩnh, mạng sẽ có rất nhiều sơ hở. Hãy xem xét trường hợp một nhân viên rời khỏi công ty và làm mất card mạng không dây của họ. Vì WEP key được lưu trữ trong firmware của card mạng nên card đó vẫn có thể truy cập vào mạng không dây chừng nào WEP key trên WLAN chưa thay đổi. - Hầu hết các AP và client có khả năng lưu trữ 4 WEP key đồng thời. Một lý do hữu ích cho việc có nhiều WEP key chính là việc phân đoạn (segment) mạng. Giả sử rằng mạng có 100 client, sử dung 4 WEP key thay vì 1 sẽ phân người dùng vào 4 nhóm khác nhau, mỗi nhóm 25 người dùng. Nếu WEP key bị crack thì điều đó có nghĩa là chỉ cần thay đổi WEP key cho 25 client và AP thay vì phải thay đổi toàn bộ mạng. - Một lý do khác để có nhiều WEP key là trong môi trường hỗn hợp các card hỗ trợ 128 bit và các card chỉ hỗ trợ 64 bit. Trong trường hợp này, chúng ta có thể phân ra 2 nhóm người dùng. 
2.2 Server mã hóa key tập trung: - Các doanh nghiệp sử dụng WEP key như là một phương thức bảo mật cơ bản cho WLAN thì nên sử dụng các server mã hóa key tập trung nếu có thể vì các lý do sau: + Sinh khóa tập trung (centralized key generation)
- Bất cứ một thiết bị nào cũng có thể hoạt động như là một server key tập trung. Thường thì một server như RADIUS server hay các server ứng dụng chuyên biệt sẽ đảm nhận việc phát sinh WEP key mới trong thời gian sử dụng. Bình thường, khi sử dụng WEP, key (được gán bởi admin) sẽ được nhập một cách thủ công vào client và AP. Khi sử dụng server key tập trung thì một tiến trình tự động giữa client, AP và Server sẽ thực hiện tác vụ phân phát key. 
- Server mã hóa key tập trung cho phép tự động sinh key theo từng gói tin (per-packet), từng phiên làm việc (per-session) … tùy thuộc vào cài đặt của nhà sản xuất. Việc phân phát WEP key theo per-packet sẽ sinh ra một WEP key mới cho cả 2 đầu kết nối đối với từng gói tin được truyền đi, trong khi per-session sử dụng WEP key mới cho mỗi phiên làm việc giữa các node. Chú ý là việc sử dụng per-packet sẽ ngốn nhiều băng thông mạng hơn là per-session. 2.3 Sử dụng WEP: - Khi WEP được khởi tạo, phần dữ liệu của gói tin truyền sẽ được mã hóa, tuy nhiên, một phần header của gói tin (bao gồm MAC address) là không được mã hóa. Tất cả những thông tin lớp 3 bao gồm địa chỉ nguồn, địa chỉ đích đều được mã hóa bởi WEP. Khi một AP gởi ra một Beacon trong mạng WLAN sử dụng WEP, Beacon này cũng không được mã hóa. Hãy lưu ý là Beacon không chứa thông tin lớp 3 nào. - Khi các gói tin được gởi sử dụng mã hóa WEP, những gói tin đó phải được giải mã mới có thể sử dụng được. Việc giải mã này làm tiêu tốn tài nguyên CPU và giảm hiệu quả băng thông trên WLAN đôi khi là rất đáng kể. Một số nhà sản xuất đã cài đặt thêm CPU vào AP của họ nhằm mục đích thực hiện mã hóa và giải mã WEP. Nhiều nhà sản xuất cài đặt mã hóa và giải mã WEP bằng phần mềm và sử dụng chung CPU cho việc quản lý AP, truyền gói tin … Những AP này sẽ bị ảnh hưởng lớn nếu như có sử dụng WEP. Bằng việc cài đặt WEP trong phần cứng thì có vẽ như là AP sẽ duy trì được băng thông 5 Mbps (hay nhiều hơn) khi WEP được sử dụng. Điểm bất lợi của giải pháp này là nó làm tăng chi phí cho các AP cấp cao. - WEP có thể được triển khai như là một cơ chế bảo mật cơ bản nhưng nhà quản trị mạng cần phải biết những yếu điểm của WEP và cách khắc phục chúng. Admin cũng nên biết rằng mỗi nhà sản xuất khác nhau sẽ cài đặt WEP khác nhau làm cho việc sử dụng sản phẩm của nhiều nhà sản xuất khác nhau gặp khó khăn. Каталог: Hoc%20Tap Hoc%20Tap -> Tác giả: Đặng Quang Minh bgp nâng cao xây dựng network dùng ibgp Hoc%20Tap -> GIỚi thiệu về multicast Hoc%20Tap -> Độ ưu tiên cao nhất (mặc định là 100, trong tầm từ 1-255) sẽ xác định router, với cơ chế pre-emption bị tắt Hoc%20Tap -> Cấu hình Application Port-Mapping với cbac mục tiêu: Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn. Mô hình Hoc%20Tap -> ĐẢng cộng sản việt nam đẢng ủy phưỜng 04 Hoc%20Tap -> CiR = Bc / Tc Hoc%20Tap -> Mean command : ip ospf mtu-ignore Diagram : Problems Hoc%20Tap -> R1# ip route 0 0 0 0 FastEthernet0/0 R2# show run Hoc%20Tap -> Lab 2-3: XÁc thực trong rip version 2 Mô tả tải về 0.82 Mb. Chia sẻ với bạn bè của bạn:
|