Đang tải... (xem toàn văn)
Cisco IOS version 15
BÁO CÁO MÔN CÔNG NGHỆ MẠNG ĐẠI HỌC QUỐC GIA TPHCM TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG BÁO CÁO MÔN CÔNG NGHỆ MẠNG ĐỀ TÀI: CISCO IOS VERSION 15 GVGD: ThS Nguyễn Việt Hà SVTH: Nhóm LỚP: 10DVT Thành phố Hồ Chí Minh 16/10/ 2013 Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG MỤC LỤC Giới thiệu Cisco IOS version 15 Khái niệm Cisco IOS Cisco IOS (Internetwork Operating System) hệ điều hành đa nhiệm sử dụng rộng rãi sản phẩm Router Switch hãng Cisco (Switch cũ sử Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG dụng CatOS) IOS hỗ trợ chức định tuyến, chuyển mạch, liên kết mạng truyền thông Giao diện dòng lệnh IOS cung cấp tập lệnh cho "kiểu" (mode) phân cấp người dùng Với "kiểu cấu hình toàn cục" (global configuration mode), tập lệnh cung cấp cho phép thay đổi cấu hình hệ thống, "kiểu cấu hình giao diện" cung cấp lệnh cấu hình giao diện cụ thể Tất lệnh phân vào cấp từ tới 15, người dùng phân cấp sử dụng Các phân cấp định nghĩa qua giao diện dòng lệnh Các phiên Cisco IOS vesion 15 Cisco IOS Software Release 15.2 M&T, 15.1 M&T, 15.0 M, 12.4 M&T: dòng IOS thiết kế để chạy thiết bị Cisco Router Integrated Services Router – ISR ( 800, 1800, 2800, 3800 Series) ISR-2 (Cisco Router 1900, 2900, 3900 Series) Đặc điể dòng IOS thiết kế để hỗ trợ “đa dịch vụ” như: Routing, Switching, VPN, Firewall, IPS, QoS, Wireless, Unified Communication Trong dòng chia ký hiệu “M” “T”, Version (phiên bản) có mang ký hiệu “M” phiên phát hành để fix bugs (vá lỗi version IOS tại) mà không hỗ trợ thêm tính phần cứng mới, Version mang ký hiệu “T” phát hành với mục đích để hỗ trợ thêm tính năng/ phần cứng fix bugs Như thay đổi (hỗ trợ thêm phần cứng, tính mới) lớn nâng cấp từ 15.0 M lên 15.2 T, muốn nâng cấp IOS cho thiết bị, cần lưu ý mục đích nâng cấp: để fix bugs => nên nâng cấp lên dòng “M” phiên (ví dụ: 15.1(3)M lên 15.1(7)M) Cần hỗ trợ thêm hardware feature => cần nâng cấp lên dòng “T” cao hơn, sử dụng Cisco Features Navigator để tìm IOS phù hợp Trong series này, phiên 15.2 M&T, phiên 15.0 M phiên nâng cấp trực tiếp từ 12.4 M&T Cisco IOS Software Release 15.1 S, 15.0 S: dòng IOS thiết kế để chạy dòng thiết bị định tuyến Cisco Router 7600 Series, hỗ trợ features sử dụng hệ thống mạng ISP như: MPLS encapsulation, Multicast Label Distribution Protocol (MLDP), Multicast VPN (MVPN), Virtual Private LAN Service (VPLS)… Trong version series 15.1 S Cisco IOS Software Release 15.0 SY: dòng IOS thiết kế để chạy Catalyst Switch 6500 với SuperVisor Engine 2T, version nâng cấp 12.2 SX, hỗ trợ khả chuyển mạch từ phần cứng với feature sau: IP Address version (IPv6), Multiprotocol Label Switching (MPLS) and VPN, Generic Routing Encapsulation (GRE), Advanced IP Routing and Multicast, Bidirectional Protocol Independent Multicast (Bidirectional PIM), Nonstop Forwarding with State full Switch Over (NSF/SSO) Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG Cisco IOS Software Release 12.2 SX: dòng IOS thiết kế để chạy Catalyst Switch 6500 với SuperVisor Engine: Sup-32, Sup-720, Sup-7203B/3BXL, Sup720-3C/3CXL, sử dụng mạng Campus Service Provider Edge với feature hỗ trợ trực tiếp từ Hardware: MPLS and VPN, IPv6, Advanced IP Routing and Multicast, Integrated Security, NAT/PAT, GRE, Bidirectional PIM, NSF/SSO Phiên sử dụng 12.2(33)SXI Khái niệm IOS Universal Image Trong khứ, muốn nâng cấp feature cho Switch / Router nhằm hỗ trợ tính mới, cách phải nâng cấp IOS (ví dụ: từ IP Base lên Advanced IP Service), nghĩa phải Copy IOS vào Flash: Router/Switch, phải delete IOS cũ không đủ chỗ để chứa lúc IOS cũ mới, sau cần phải reboot lại Router/Switch với IOS mới, điều tưởng chừng đơn giản thực với vài thiết bị Nhưng tưởng tượng, điều sảy số lượng thiết bị cần nâng cấp lên đến hàng trăm, chí hàng nghìn… rõ ràng việc đòi hỏi tiêu tốn nhiều thời gian nhân lực Do phiên sau (từ IOS version 15.0 trở sau), Cisco hỗ trợ đóng gói tất feature vào phiên IOS gọi “Universal IOS Image”, “active” sẵng feature có phiên IP Base, lúc khách hàng cần sử dụng thêm tính khác (ví dụ: cần sử dụng thêm IPSEC VPN) cần “install license” cho phiên “Advanced Security” để “active” feature có phiên Advanced Security Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG Đặc điểm bật phiên 15.0 (1)M Release 15.0(1) có thêm tính hỗ trợ Service Advertisement Framework (SAF) cho phép tự động dò tìm ứng dụng loại dịch vụ hệ thống mạng , NETFLOW linh hoạt tích hợp thêm NBAR có khả hiển thị lưu lượng thống kê ứng dụng theo lớp từ lớp đến Embedded Event Manager Version 3.1 cải tiến chức dò tìm cố , thông báo khả thực dòng lệnh hỗ trợ cho Cisco Integrated Services Routers Generation (ISR G2) ( Cisco tích hợp dịch vụ định tuyến hệ ) cho dòng sản phẩm 1900,2900,3900 Bảng liệt kê tính hỗ trợ phần cứng cung cấp phiên 15.0 M (nguồn: Cisco IOS Software Release 15 M and T Features and Hardware Support) New Hardware Cisco IOS version 15 IP Routing IP Multicast Page Call Admissions BÁO CÁO MÔN CÔNG NGHỆ MẠNG Control Cisco Integrated Services Routers Generation Two (ISR G2) 1900, 2900 and 3900 Series Cisco IOS version 15 • Graceful OSPF Restart (RFC 3623) (Helper Mode Only) • Graceful Restart for OSPFv3 (RFC 5187) (Helper Mode Only) • OSPF Graceful Shutdown • OSPF Generic Time to Live (TTL) Security Check (GTSM) • Performance Routing (PfR) Protocol Independent Route Control (PIRO) • Performance Routing (PfR) EIGRP mGRE DMVPN Hub-andSpoke Support • Service Advertisement Framework (SAF) • BGP Graceful Restart per Neighbor • Intermediate System-toIntermediate System (IS-IS) BFD Support • IS-IS VRF Support • MPLS VPN Inter-AS Option AB • BGP Route Target Changes Without PE-CE Impact • IS-IS MIB Support • MPLS VPN-BGP Local Convergence • IGMP Static Group Range Support • IP Multicast Load Splitting - Equal Cost Multipath (ECMP) using S, G and Next-hop • IPv4 and IPv6 Multicast Address Group Range Support • Multicast MIB VRF Support • Multicast VPN Extranet Support • Multicast VPN VRF Select • PIM Triggered Joins Page • RSVP based Proxy • RSVP Repair • RSVP Aware Control InterfaceReceiver Fast Link VRF Lite Admission BÁO CÁO MÔN CÔNG NGHỆ MẠNG High Availability • BFD client for IPv4 Static Routes • BFD VRF support • BFD Support for WAN Interfaces Embedded Management • Flexible NetFlow and NBAR Integration • EEM Version 3.1 Enhancements IOS Security Voice • Lightweight IPS Engines for Signatures • New Default IOS IPS Category signatures • Chaining of Traffic Scanning (Regular Expression) Tables for IPS • Configurable Threshold Limits for IPS Signatures • GET VPN VRFAware GDOI on GM • Ability to Disable Volume-based IPSec Lifetime Rekey • DMVPN Enhancements • Packet Voice, Video DSP Module-3 • Transcoding and Codec Enhancements • Cisco Unified Border Element (CUBE) Support for SRTP-RTP Internetworking • Cisco Unified Border Element (CUBE) Support for Out-of-dialog SIP OPTIONS Ping Messages to Monitor SIP Servers • UC Trusted Firewall Control Version • Service Advertisement Framework (SAF) Support for UC Manager Express, Cisco Unified Border Element and Voice Gateways I Phần cứng Cisco Integrated Services Routers Generation Two (ISR G2) – dòng router tích hợp dịch vụ Cisco hệ Các dòng router 1900, 2900, 3900 tích hợp dịch vụ Cisco xây dựng 25 năm cải tiến dẫn đầu sản phẩm ISR G2 tích hợp dịch vụ cho phát triển chi nhánh văn phòng cho phép truyền thông phong phú với video, ứng dụng nội khả tồn tài phát triển mạng diện rộng Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG Ngoài dịch vụ tích hợp sẵn có như: bảo mật, truyền thông hợp nhất, không dây dịch vụ tối ưu hoá ứng dụng ISR G2 tích hợp dịch vụ nâng cao khả giảm chi phí tổng thể cho chi nhánh văn phòng với đời “payas-you-grow” (trả phí theo thực tế sử dụng) quyền phần mềm đơn giản hoá việc đóng gói phần mềm Cisco IOS Thế hệ thứ router tích hợp dịch vụ bao gồm dòng sản phẩm tương tự hệ ISR: Cisco 1900, 2900, 3900 danh mục sản phẩm từ cisco 1941 qua cisco 3945 router cung cấp hiệu suất cao, mật độ hệ số khe tính để phù hợp nhu cầu văn phòng chi nhánh khác chạy dịch vụ khác II IP routing Graceful OSPF Restart (RFC 3623) Graceful OSPF restart cho phép chuyển tiếp liên tục gói tin router mà thông tin định tuyến lưu trữ để thực switchover (chuyển sang hệ thống dự phòng cần nâng cấp hay update) Khi việc khởi động lại xảy ra, thiết bị ngang hàng cho phép chuyển tiếp tới router chuyển mạch, hầu hết trường hợp mối quan hệ ngang hàng thiết bị OSPF cần phải thiết lập lại Lợi ích: Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG Tăng khả dụng mạng cách cho phép định tuyến OSPF theo đường chuyển tiếp ban đầu chương trình OSPF khởi động lại OSPF Graceful Shutdown Tính OSPF graceful shutdown cho phép người quản lý mạng chuyển router khỏi mạng mà không làm ảnh hưởng đến luồng liệu Khi người dùng thực lệnh OSPF shutdown thông báo cho router hàng xóm offline việc gửi tin nhắn OSPF tất liên kết có nguồn gốc từ không chuyển tiếp liệu Thêm vào gửi tin nhắn để thông báo cắt liên lạc với OSPF hàng xóm Lưu ý router truy cập sau graceful shutdown để sửa lỗi nâng cấp phần mềm hay phần cứng Lợi ích: Cho phép nâng cấp phần mềm phần cứng thiết bị router - người dùng ngắt kết nối router khỏi hệ thống mạng, nâng cấp phần cứng phần mềm cần thiết Cho phép xác định sửa lỗi router mà không ảnh hưởng đến luồng liệu sau ngắt router, người dùng truy cập vào router để tìm sửa lỗi OSPF Generic Time to Live (TTL) Security Check (GTSM) Cơ chế bảo mật chung (GTSM) TLL OSPF cung cấp thêm bảo mật đảm bảo router OSPF hàng xóm thực xác số bước qui định cấu hình Khi router OSPF nhận tin nhắn từ OSPF hàng xóm so sánh với TTL IP header với TTL cấu hình cho hàng xóm, TTL giống nhau, router OSPF xử lý tin nhắn từ hàng xóm Tính cấu hình linh hoạt cho phép người dùng cấu hình TTL OSPF interface Khi TTL cấu hình để xử lý OSPF nghĩa TTL dùng để xác định tất hàng xóm interface router Nếu TTL cấu hình interface ghi đè lên TTL cấu hình theo level Lợi ích: Cisco IOS version 15 Page BÁO CÁO MÔN CÔNG NGHỆ MẠNG Bảo mật đơn giản: tính cung cấp thêm chế bảo mật, cho phép cấu hình đơn giản yêu cầu giá trị TTL router OSPF, đảm bảo hacker từ xa hình thành router liền kề với router mạng Performance Routing (PfR) Cisco Performance Routing giải pháp cho vấn đề định tuyến địa mạng cách thiết lập hệ thống chọn đường thông minh để đến dịch vụ yêu cầu Thêm vào đó, PfR cho phép mạng tính toán tài nguyên để giảm tối đa số cost (metric OSPF) PfR lựa chọn ngõ vào ngõ mạng WAN dựa thông số độ tin cậy (reachability), độ trễ (delay), costs, jitter,… đồng thời PfR có khả cân tải thông minh dựa thông số interface reachability, load, lưu lượng (throughput)… Cisco Performance Routing (PfR) use case PfR triển khai branch office headquater Ví dụ từ small office người quản trị muốn gửi tập tin voice với độ trễ thấp email với lưu lượng cao PfR tự động tính toán độ trễ lưu lượng thông qua thiết bị node mạng, sau thiết lập định tuyến mail thông qua VPN voice thông qua MPLS cloud Service Advertisement Framework (SAF) Cisco SAF giao tiếp lớp xây dựng phần mềm Cisco IOS có nhiệm vụ phân tán gói tin dịch vụ tới mạng nội (local) bên (wide area) sử dụng giao thức EIGRP Cisco IOS version 15 Page 10 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Các thành phần bao gồm: SAF client, SAF forwarder Intermediate System-to-Intermediate System (IS-IS) BFD Support IS-IS giao thức định tuyến nội (IGP) phát triển năm 1980 Digital Equipment Sau ISIS công nhận tổ chức ISO giao thức định tuyến chuẩn ISIS tạo nhằm mục đích sau: - Xây dựng giao thức định tuyến chuẩn Có chế định vị địa rộng lớn Có chế định vị có cấu trúc Hiệu quả, cho phép hội tụ nhanh có phí tổn thấp Mục tiêu ban đầu ISIS tạo giao thức mà tất hệ thống dùng Tuy nhiên, để đảm bảo yếu tố thực mang tính mở (open), ISO cố gắng tích hợp đặc điểm mang tính thuyết phục giao thức định tuyến khác vào ISIS Kết ISIS giao thức phức tạp Phần lớn nhà cung cấp dịch vụ Internet (ISP) dùng ISIS từ năm ISIS tạo Điều ISIS giao thức độc lập, có khả mở rộng đặc biệt có khả định nghĩa “kiểu dịch vụ” trình routing (ToS routing) Sự tương tự ISIS OSPF ISIS OSPF có nhiều điểm chung Cả hai giao thức nhóm linkstate dựa giải thuật Dijsktra SPF Thêm vào đó, hai hỗ trợ kiểu thiết kế cấu trúc OSPF triển khai hầu hết mạng cấp công ty, ISIS dùng mạng ISP Bảng so sánh ISIS OSPF Technology Integrated ISIS OSPF Areas Giới hạn định nghĩa Giới hạn định kết nối nghĩa router Một router Các cổng giao tiếp area router thuộc areas khác Level-1 ISIS routers tương đương với OSPF stub area DR Nếu router trở thành - Cisco IOS version 15 Page 11 Một router có độ ưu tiên BÁO CÁO MÔN CÔNG NGHỆ MẠNG active có độ ưu tiên cao DIS, router trở thành DIS Các quan hệ thiết lập với tất IS mạng broadcast cao không trở thành DR Các quan hệ thiêt lập router với DR BDR Mỗi IS gửi LSP đến tất Tất LSA có routers theo chế ACK multicast Các LSP không ACK Encapsulation ISIS chạy layer-2 OSPF ứng dụng IP ISIS layer-3 giao thức Có OSPF header nằm bên với cấu trúc packet riêng IP Fragmentation trách nhiệm IP Lan flooding Tât IS thiết lập quan Multicast thông tin cập nhật hệ với IS khác gởi từ DR DIS gửi CSNP tới tất Unicast ACK gởi từ DR router khác Định kỳ CSNP gửi để database đồng LSAs Có hai kiểu LSP Có kiểu LSA LSP mã hóa Các unrecognized bị drop Các LSP không nhận LSA thông tin cập nhật bị flood mạng gửi tất routers Khái niệm BFD (Bidirectional Forwarding Detection): giao thức tìm kiếm thiết kế để phát lỗi thiết bị kết nối trực tiếp Lợi ích: - Phát lỗi chưa đầy giây - Cho phép chế phát lỗi chung phù hợp cho IS-IS - Giảm chu kỳ CPU Mạng riêng ảo MPLS VPN AS (Autonomous System) Khái niệm VPN: Các mạng VPN truyền thống sử dụng chức bảo mật như: tạo đường hầm (Tunneling), mã hoá liệu (Encription), Cisco IOS version 15 Page 12 BÁO CÁO MÔN CÔNG NGHỆ MẠNG nhận thực (Authentication) với mục đích đạt khả bảo mật truyền liệu hai đầu cuối Khái niệm MPLS VPN: Không giống mạng VPN truyền thống, mạng MPLS VPN không sử dụng hoạt động đóng gói mã hóa gói tin để đạt mức độ bảo mật cao MPLS VPN sử dụng bảng chuyển tiếp nhãn “tags” (label) để tạo nên tính bảo mật cho mạng VPN Kiến trúc mạng loại sử dụng tuyến mạng xác định để phân phối dịch vụ VPN, chế xử lý thông minh MPLS VPN lúc nằm hoàn toàn phần lõi mạng Mô hình MPLS VPN Inter-AS Option AB Ưu điểm MPLS VPN: - Không đòi hỏi thiết bị CPE thông minh toàn chức VPN thực phía mạng lõi nhà cung cấp dịch vụ hoàn toàn “trong suốt” CPE Các CPE không đòi hỏi chức VPN hỗ trợ IPSec điều có nghĩa khách - hàng chi phí cao cho thiết bị CPE Trễ mạng giữ mức thấp gói tin lưu chuyển mạng thông qua hoạt động đóng gói mã - hóa Vấn đề bảo mật chí đơn giản nhiều triển khai mạng MPLS VPN VPN khép kín thân đạt an toàn thông tin kết nối với mạng Internet công - cộng Một ưu điểm mạng MPLS VPN cần kết nối cho remote site So sánh với mạng Frame Relay truyền thống có nút trung tâm 10 remote site (mỗi remote site Cisco IOS version 15 Page 13 BÁO CÁO MÔN CÔNG NGHỆ MẠNG cần Frame Relay PVC) nút trung tâm (hub) cần 10 PVCs Trong bên mạng MPLS VPN cần PVC vị trí hub trung tâm phí mạng giảm đáng kể III IP multicast Internet Group Management Protocol (IGMP) Static Group Range Support Khái niệm: IGMP giao thức Internet để host kết nối hủy kết nối từ nhóm multicast Nhóm multicast gồm máy tính nhận gói từ host truyền thông theo chế độ multicast (đa điểm đến) Các gói multicast đánh địa IP lớp D Các host có địa lớp A, B hay C thông thường với hay nhiều địa lớp D Địa lớp D chúng phần nhóm multicast Các thông điệp IGMP gửi bên gói tin IP với trường protocol number 2, trường TTL có giá trị Các gói IGMP truyền LAN không tiếp tục chuyển sang LAN khác giá trị TTL Hai mục đích quan trọng IGMP là: - Thông báo cho router multicast có máy muốn nhận - multicast traffic nhóm cụ thể Thông báo cho router có máy muốn rời nhóm multicast (nói cách khác, có máy không quan tâm đến việc nhận multicast traffic nữa) Các router thường dùng IGMP để trì thông tin cho cổng router nhóm multicast - router cần phải chuyển host muốn nhận Tính giúp cho việc cấu hình đơn giản thông qua lệnh ip igmp static-group Cisco IOS version 15 Page 14 BÁO CÁO MÔN CÔNG NGHỆ MẠNG IGMP Static Group Enhancement IP Multicast Load Splitting-Equal Cost Multipath (ECMP) using S, G and Next-hop Tính cho phép lưu lượng multicast từ thiết bị gửi nhiều dòng cho nhóm phát sóng nhiều kênh chẳng hạn máy chủ IPTV máy chủ video MPEG, để có hiệu tải chia thông qua đường cân Trước giới thiệu tính này, phần mềm Cisco IOS hỗ trợ ECMP multicast chia tải dựa địa nguồn, hạn chế lưu lượng multicast gửi nguồn tới nhiều nhóm để chia tải thông qua đường cân Lợi ích: Lưu lượng multicast từ nhiều nguồn khác từ nguồn nhóm khác phân chia tải thông qua đường cân để tận dụng đa đường mạng Sử dụng tối ưu tài nguyên mạng cho giao lưu lượng multicast Cisco IOS version 15 Page 15 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Enhanced Multicast Load Splitting IPv4 and IPv6 Multicast Address Group Range Support Tính cung cấp quyền kiểm soát truy xuất để ngăn chặn gói tin multicast nhận với thuê bao không chứng thực kênh không phép access control profile Lợi ích: - Cung cấp khả vô hiệu hóa PIM, IGMP, Multicast Nguồn - Discovery Protocol (MSDP) kiểm soát hoạt động máy bay Không IGMP (cache), Protocol Independent Multicast (PIM), Multicast Routing Information Base (MRIB)/Multicast Forwarding Information Base (MFIB) trạng thái tạo cho nhóm bị từ chối - Ngắt hết tất liệu cho nhóm bị từ chối.) Hỗ trợ Multicast MIB VRF Virtual Routing and Forwarding (VRF): Bảng định tuyến local VPN MIB management information base : Quản lý cở sở liệu Cisco IOS version 15 Page 16 BÁO CÁO MÔN CÔNG NGHỆ MẠNG MIB cho phép khách hàng quản lý thiết bị Cisco môi trường VPN Multicast sử dụng giao thức SNMP SNMP (Simple Network Management Protocol): Là tập hợp giao thức không cho phép kiểm tra nhằm đảm bảo thiết bị mạng router, switch hay server vận hành mà vận hành cách tối ưu, SNMP cho phép quản lý thiết bị mạng từ xa High availability (khả dự phòng cao) IV High Availability tạm hiểu mô hình hệ thống có tính dự phòng cố đường truyền mạng (dịch sát nghĩa có tính sẵn sàng cao) Mục đích mô hình giúp cho hệ thống mạng không bị gián đoạn tín hiệu truyền tải liệu, tin tức, Có thể hiểu đơn giản sau: Chúng ta muốn từ điểm A đến điểm B, đường tới B giao thông bị tắc nghẽn Nếu biết nhiều đường khác đến B không vấn đề phải lo sợ tình trạng giao thông tắc nghẽn Ưu điểm: Có thêm đường dự phòng "tốt hơn" (vì có chuyển sang nhằm đảm bảo tính sẵn sàng) Việc sắm thêm tài nguyên đường truyền, giúp có thêm hội thực việc giảm tải phân bổ tải nguyên hợp lý kỹ thuật load balancing & load sharing đường truyền Nhược điểm: Duy trì đường kết nối tốn kém, làm thêm (vài) đường khác để "đảm bảo" High Availability tốn (về mặt kinh tế) Nếu phải thực việc chuyển kết nối sang đường kết nối dự phòng thủ công phải thời gian quản lý chi phí Các high availability phiên Cisco là: Bidirectional Forwarding Detection (BFD) Enhancements Cisco IOS version 15 Page 17 BÁO CÁO MÔN CÔNG NGHỆ MẠNG BFD cho phép phát lỗi kênh hệ thống, bao gồm kết nối vật lý trực tiếp, mạch ảo, đường hầm, MPLS LSP, kênh định tuyến multihop kênh gián tiếp BFD cung cấp cho người quản trị mạng số phương pháp phù hợp cho việc detect failure Những cải tiến Cisco 15.0(1)M : ● BFD—Client for IPv4 static route ● BFD—VRF aware support ● BFD—WAN interfaces support 1.1 Bidirectional Forwarding Detection (BFD) client for IPv4 Static Routes Client for IPv4 static route mở rộng layer cho phép xác định đường truyển lỗi forwarding hai mạng liền kề giao thức định tuyến không kích hoạt, thay vào static route Trong định tuyến tĩnh trường hợp next-hop down interface up Tính giúp xác định lỗi xảy để tạo điều kiện cho traffic truyền lại traffic không bị rơi vào hố đen (drop) BFD client static route hổ trợ cho IPv4 Trong tương lai IOS 15(M ) (T) hổ trợ cho IPv6 1.2 Bidirectional Forwarding Detection (BFD) VRF support VRF: Virtual Routing and Forwarding BFD VRF ứng dụng mở rộng BFD giúp xác định lỗi thông qua bảng định tuyến (VRF) Dựa liệu interface VRF , failure hai đường forward thiết bị PE CE xác định chí đường kết nối lí up 1.3 Bidirectional Forwarding Detection (BFD) WAN interface Support Sử dụng BFD cho WAN interface cách dò tìm lỗi nhanh đường forward ATM, POS hay FrameRelay Ngoài BFD hỗ trợ cho VLAN interface (802.1q) V Embedded Management (Quản lý hệ thống nhúng) Cisco IOS version 15 Page 18 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Flexible NetFlow Network Based Application Recognition (NBAR) Integration (NBAR) Flexible NetFlow hệ công nghệ luồng Nó cho phép tối ưu sở hạ tầng mạng, giảm chi phí hoạt động, cải thiện hiệu suất việc tìm cố bảo mật với tăng tính linh hoạt NetFlow khả mở rộng vượt xa công nghệ luồng khác Ưu Điểm Flexible NetFlow : - Tính linh hoạt, khả mở rộng, tùy biến luồng liệu Khả giám sáng gói thông tinh rộng Cải tiến mạng bất thường, phát bảo mật Người dùng cấu hình luồng thông tin để thực tùy biến lưu lượng - khả hội tụ theo dõi hành vi mạng cụ thể Sự hội tụ nhiều công nghệ kế toán vào chế kế toán Có thể cấu hình nhiều cache luồng NBAR công cụ phân loại thông minh phần mềm Cisco IOS, nhận dạng loạt ứng dụng, bao gồm web ứng dụng Client/server Một ứng dụng nhận dạng, mạng gọi dịch vụ cần thiết cho ứng dụng cụ thể NBAR phân loại ứng dụng mà sử dụng : - Statically gán số cổng Transfer Control Protocol (TCP) and User Datagram - Protocol (UDP) Non-UDP and non-TCP IP protocols Dynamically gán số cổng TCP and UCP thiết lập kết nối, trạng thái kiểm tra cần thiết để phân loại ứng dụng giao thức Đây khả phát kết nối liệu phân loại , việc điều khiển kết nối thông qua cổng - kết nối liệu Sub-port classification; Classification of HTTP (URLs, mime or host names) Citrix applications Independent Computing Architecture (ICA) traffic based on published application name) Cisco IOS version 15 Page 19 BÁO CÁO MÔN CÔNG NGHỆ MẠNG - Phân loại dựa việc kiểm tra gói tin, nhiều thuộc tính ứng dụng riêng biệt Real-Time Transport Protocol (RTP) phân loại tải dựa thuật toán này, gói tin dược phân loại RTP dựa nhiểu thuộc tính RTP header Sự khác biệt NetFlow NBAR NetFlow : - Theo dõi liệu lớp - Xác định ứng dụng việc kết hợp Port hay Port/IP addressed Luồng thông tin ai, , nào, đâu , NBAR : Kiểm tra liệu từ lớp – Sử dụng lớp để thêm gói tin kiểm tra cho việc phân loại Kiểm tra trạng thái Dynamic port traffic Đếm gói tin byte Cisco IOS Embedded Event Manager (EEM) Phiên 3.1 Cisco IOS version 15 Page 20 BÁO CÁO MÔN CÔNG NGHỆ MẠNG EEM hệ thống mạnh mẽ linh hoạt cung cấp theo thời gian thực phát kiên mạng tự động tích hợp Khách hàng sử dụng EEM để tạo chạy chương trình hay tập lệnh trực tiếp router switch Các tập lệnh gọi Chính sách EEM lập trình cách sử dụng giao diện đơn giản CLI-based sử dụng ngôn ngữ lập trình gọi Tool Command Language (Tcl) EEM sử dụng nhiều lĩnh vực khác bao gồm tự động phát lỗi cảnh báo, thu thập liệu tự động báo cáo, xử lý cố tự động high availability, zero-touch deployment, nhiều Product Architecture Cisco IOS Embedded Event Manager bao gồm Event Detectors, Embedded Event Manager Server giao diện cho phép thủ tục hoạt động (Policies) Sơ đồ Hình 19 minh họa thành phần EEM Hình 19 Cấu trúc EEM Cisco IOS version 15 Page 21 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Có loại EEM Policies: • Applet Policies-Easy-to-use giao diện, định nghĩa cách sử dụng cấu hình CLI • Tcl Policies-More linh hoạt có khả mở rộng hơn, định nghĩa cách sử dụng ngôn ngữ lập trình Tcl Khi nhiều sách xác định, phần mền Event Detector xem điều kiện phù hợp với quy định sách Khi điều kiện xảy ra, kiện thông qua Event Manager Server Máy chủ sau gọi sách đăng ký cho kiện cụ thể Các hành động định nghĩa sách sau thực Cisco IOS version 15 Page 22 BÁO CÁO MÔN CÔNG NGHỆ MẠNG EEM Phiên 3.1 Cải tiến Những cải tiến sau để phát kiện, chế thông báo, khả thực lệnh giới thiệu phiên 15.0 (1) M: • SNMP Object Event Detector - Ngăn chặn đến SNMP Get Set yêu cầu tạo kiện - Cho phép người sử dụng xây dựng sách EEM cung cấp đáp ứng - • tùy chỉnh yêu cầu cho đối tượng SNMP hành Người sử dụng sử dụng kiện phát để mô phản hồi yêu cầu thiếu đối tượng SNMP Outgoing Trap Interception Enhancement for SNMP Notification Event Detector - Phát SNMP gửi tạo kiện tương ứng từ SNMP phát - • kiện thông báo Với cải tiến này, người dùng đăng ký sách EEM để lắng nghe hai SNMP vào và cung cấp logic tùy chỉnh để xử lý Chính sách Mô tả Tăng cường EEM - Cả hai sách TCL-based and Applet-based EEM dựa tăng - cường để hỗ trợ mô tả cung cấp người sử dụng "show event manager policy" tăng cường để hiển thị mô tả cho sách EEM • Tăng cường hành động đăng nhập - Các hoạt động đăng nhập cho hai TCL-based and CLI-based EEM tăng cường để hỗ trợ sở người dùng định nghĩa để sách EEM tạo thông tin Syslog với tên sở riêng • EEM Policy AAA Bypass - Một câu lệnh cấu hình "event manager applet authorization " thêm vào phiên Nó cho phép người sử dụng bỏ qua kiểm tra AAA cho lệnh thực phần sách EEM • EEM TCL Thư viện tăng cường - Hai thủ tục TCL thêm vào phiên cho phép thực nhiều lệnh CLI cú pháp chức với kết kết hợp VI IOS security (bảo mật) Cisco IOS version 15 Page 23 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Cisco IOS security nhằm chống lại công làm gián đoạn mạng, bảo vệ riêng tư, hỗ trợ kiểm soát việc tuân thủ sách quy định Lợi ích: - Tối đa hóa bảo mật : Áp dụng chức bảo mật tường lửa - IPS nơi mạng, bao gồm chi nhánh từ xa Bảo mật lưu lượng: Cung cấp an toàn ứng dụng quan trọng cho - doanh nghiệp Tiết kiệm thời gian tiền bạc: Giảm tổng số thiết bị mạng bạn để giảm hỗ trợ, điện, chi phí quản lý Điểm version 15.0 Cisco IOS Intrusion Prevention System (IPS) Enhancements IPS “Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) thiết bị phần cứng hay phần mềm có khả phát ngăn ngừa công quen biết” Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” đề cập đến việc phát sau ngăn chặn công chuyên biệt ứng dụng biết Thuật ngữ “Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) thân sử dụng để hợp hai khái niệm “Hệ thống Phát hiện” (detection system) “Hệ thống Ngăn ngừa” (prevention system) cấu trúc Định nghĩa nhằm vào công quen biết Làm gọn nhẹ hệ thống IPS, hỗ trợ signature có signature mới, tối ưu cho giao thức HTTP, SMTP FTP - Sử dụng nhớ hiệu 40% so với cũ quét attack signature Có Default IOS IPS Category signatures, thường xuyên cập nhật Cisco - Mang lại giải pháp bảo vệ toàn diện Đưa giải pháp cho loại signature nhanh Cisco IOS version 15 Page 24 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Chaining of Traffic Scanning (Regular Expression) Tables - Có thể chạy nhiều signatures song song, chống nhiều loại công khác Thiết lập ngưỡng cho IPS Tránh việc IPS chiếm nhiều nhớ hoạt động Tránh vấn đề hiệu suất hoạt động Các dịch vụ Sercurity Cisco IOS Software Release 15.0(1)M - GET VPN VRF-Aware GDOI - Hỗ trợ cho việc phân chia tầng data tầng control cho VRF Disable Volume-based IPSec Lifetime Rekey - Có khả tắt chức IPSec volume-based lifetimes để tiết kiệm tài nguyên hệ thống DMVPN Enhancement - Báo cáo cho người quản lý tình trạng DMVPN health and recovery, interface status,… Tài liệu tham khảo : http://www.cisco.com/en/US/prod/collateral/iosswrel/ps8802/ps10587/ps10591/ps10621/prod uct_bulletin_c25-561938.html#wp9000284 Cisco IOS version 15 Page 25 [...]... viện tăng cường - Hai thủ tục TCL mới được thêm vào trong phiên bản này cho phép thực hiện nhiều lệnh CLI trong một cú pháp chức năng với một kết quả kết hợp VI IOS security (bảo mật) Cisco IOS version 15 Page 23 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Cisco IOS security nhằm chống lại các cuộc tấn công làm gián đoạn mạng, bảo vệ sự riêng tư, hỗ trợ kiểm soát việc tuân thủ các chính sách và quy định Lợi ích: - Tối... động high availability, zero-touch deployment, và nhiều hơn nữa Product Architecture Cisco IOS Embedded Event Manager bao gồm các Event Detectors, Embedded Event Manager Server và giao diện cho phép thủ tục hoạt động (Policies) Sơ đồ trong Hình 19 minh họa các thành phần EEM Hình 19 Cấu trúc EEM Cisco IOS version 15 Page 21 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Có 2 loại EEM Policies: • Applet Policies-Easy-to-use... NBAR : 2 Kiểm tra dữ liệu từ lớp 3 – 7 Sử dụng lớp 3 và 4 để thêm gói tin kiểm tra cho việc phân loại Kiểm tra trạng thái của Dynamic port traffic Đếm gói tin và byte Cisco IOS Embedded Event Manager (EEM) Phiên bản 3.1 Cisco IOS version 15 Page 20 BÁO CÁO MÔN CÔNG NGHỆ MẠNG EEM là một hệ thống mạnh mẽ và linh hoạt cung cấp theo thời gian thực phát hiện sự kiên mạng và tự động tích hợp Khách hàng có... thức HTTP, SMTP và FTP - Sử dụng bộ nhớ hiệu quả hơn 40% so với bản cũ khi quét các attack signature Có Default IOS IPS Category signatures, thường xuyên được cập nhật bởi Cisco - Mang lại giải pháp bảo vệ toàn diện Đưa ra các giải pháp cho các loại signature mới nhanh hơn Cisco IOS version 15 Page 24 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Chaining of Traffic Scanning (Regular Expression) Tables - Có thể chạy nhiều... Enhancement - Báo cáo cho người quản lý về tình trạng của DMVPN như health and recovery, interface status,… Tài liệu tham khảo : http://www .cisco. com/en/US/prod/collateral/iosswrel/ps8802/ps10587/ps10591/ps10621/prod uct_bulletin_c25-561938.html#wp9000284 Cisco IOS version 15 Page 25 ... ký cho sự kiện cụ thể Các hành động được định nghĩa trong chính sách này sau đó được thực hiện Cisco IOS version 15 Page 22 BÁO CÁO MÔN CÔNG NGHỆ MẠNG EEM Phiên bản 3.1 Cải tiến Những cải tiến sau đây để phát hiện sự kiện, cơ chế thông báo, và khả năng thực hiện lệnh đang được giới thiệu trong phiên bản 15. 0 (1) M: • SNMP Object Event Detector - Ngăn chặn đến SNMP Get và Set yêu cầu và tạo ra các... phải thực hiện việc chuyển kết nối sang đường kết nối dự phòng thủ công thì phải mất thời gian quản lý và chi phí Các high availability trong phiên bản mới của Cisco là: 1 Bidirectional Forwarding Detection (BFD) Enhancements Cisco IOS version 15 Page 17 BÁO CÁO MÔN CÔNG NGHỆ MẠNG BFD cho phép phát hiện lỗi trên các kênh giữa các hệ thống, bao gồm kết nối vật lý trực tiếp, mạch ảo, đường hầm, MPLS LSP,... nguồn khác nhau hoặc từ nguồn hoặc nhóm khác nhau được phân chia tải thông qua đường cân bằng để tận dụng được đa đường trong mạng Sử dụng tối ưu tài nguyên mạng cho giao lưu lượng multicast Cisco IOS version 15 Page 15 BÁO CÁO MÔN CÔNG NGHỆ MẠNG Enhanced Multicast Load Splitting 3 IPv4 and IPv6 Multicast Address Group Range Support Tính năng này cung cấp quyền kiểm soát truy xuất để ngăn chặn những gói... trợ Multicast MIB VRF Virtual Routing and Forwarding (VRF): Bảng định tuyến local trong VPN MIB management information base : Quản lý cở sở dữ liệu cơ bản Cisco IOS version 15 Page 16 BÁO CÁO MÔN CÔNG NGHỆ MẠNG MIB cho phép khách hàng quản lý thiết bị Cisco trong môi trường VPN Multicast sử dụng giao thức SNMP SNMP (Simple Network Management Protocol): Là một tập hợp các giao thức không chỉ cho phép kiểm... cho từng cổng của router là những nhóm multicast nào - router cần phải chuyển và những host nào muốn nhận Tính năng này giúp cho việc cấu hình đơn giản hơn thông qua lệnh ip igmp static-group Cisco IOS version 15 Page 14 BÁO CÁO MÔN CÔNG NGHỆ MẠNG IGMP Static Group Enhancement 2 IP Multicast Load Splitting-Equal Cost Multipath (ECMP) using S, G and Next-hop Tính năng này cho phép lưu lượng multicast