[2] Karrenberg, D., Moskowitz, B. and Rekhter, Y. “Address Allocation for Private
Internets”, RFC 1918, February 1996.
Mô tả cấu tạo địa chỉ IP cho mạng nội bộ tư nhân. Internet Assigned Numbers
Authority đã dành 3 khối vùng địa chỉ IP sau cho mạng nội bộ tư nhân: 10.0.0.0 –
10.255.255.255, 172.16.0.0 – 172.31.255.255, và 192.168.0.0 – 192.168.255.255.
[3] Held, G., and Hundley, K., Cisco Access List Field Guide, McGraw-Hill, 1999.
Thông tin chi tiết về danh sách điều khiển truy cập và nhiều ví dụ về cấu trúc và
cách sử dụng danh sách.
[4] Held, G., and Hundley, K., Cisco Security Architectures, McGraw-Hill, 1999
Một giới thiệu hữu ích về bảo mật router và về danh sách truy cập.
[5] Cisco IOS Release 12.0 Security Configuration Guide, Cisco Press, 1999.
Tham khảo và chỉ dẫn các tính năng bảo mật trong IOS 12.0. Bao gồm thông tin về
Ngăn chặn TCP, bản thân danh sách truy cập, và danh sách truy cập động.
[6] Ferguson, P. and Senie, D. “Network Ingress Filtering:
Cung cấp tổng quan về lọc địa chỉ nguồn.
[7] Cisco ISP Essentials, version 2.9, Cisco Systems, June 2001.
Tập tin IOSEssentialsPDF.zip có ở
.
Chỉ dẫn chi tiết về thiết lập danh sách truy cập trong nhiều tình huống khác nhau,
và một thảo luận hữu ích về các vấn đề cần xem xét đối với quá trình thực thi.
[8] Sedayao, J., Cisco IOS Access Lists, O’Reilly Associates, 2001.
Chỉ dẫn chi tiết về danh sách truy cập, bao gồm báo cáo về sử dụng danh sách truy
cập bằng các giao thức định tuyến.
[9] “Selecting Burst and Extended Burst Values for Class-based Policing”, Cisco
Tech Note, Cisco Systems, Feb 2002.
Có tại
Mô tả mô hình nhóm mã thông báo CAR và tham số kích thước của truyền loạt khá
chi tiết; chỉ dẫn cách chọn các giá trị hữu dụng.
[10] “Using CAR During DOS Attacks”, Cisco Tech Note, Cisco Systems, 2001.
Có tại
Xem qua một ví dụ chi tiết về CAR liên quan đến quá trình làm lụt (flooding)

ICMP.
4.4. Định tuyến và giao thức định tuyến
“Một phương thức là một mô tả hình thức của một tập hợp các qui tắc và qui ước
chi phối cách trao đổi thông tin của các thiết bị trên một mạng máy tính”[5]. Phần
này ta sẽ bàn luận 2 loại giao thức cơ bản, sẽ tập trung vào loại 2. Hai loại giao
thức đó là:
Giao thức tuyến định
Đó là các giao thức có thể được định tuyến bằng một router. Giao thức tuyến định
cho phép router diễn dịch chính xác mạng logic. Vài ví dụ về giao thức này là IP,
IPX, Apple Talk, và DECnet.
Giao thức định tuyến
“Một giao thức định tuyến thu thập thông tin về các mạng hiện hữu và khoảng cách
hoặc giá cả để liên lạc đến các mạng đó.”[7] Các giao thức này hỗ trợ giao thức
tuyến định và được dùng để duy trì bảng định tuyến. Vài ví dụ về giao thức này là
OSPF, RIP, BGP, và EIGRP.
Tất cả các ví dụ trong phần này đều dựa trên kiến trúc mạng trên hình 4-1

Giao thức tuyến định
Thông dụng nhất là cặp TCP/IP; cơ sở của nó là Giao thức mạng Internet Protocol
IP. Phần này không đi sâu vào giao thức này, vì nó vượt quá phạm vi tài liệu
hướng dẫn này, xem [6] để biết thêm hướng dẫn. ARPA đã tài trợ cho việc phát
triển IP trong hơn 25 năm qua trong dự án ARPANET. Ngày nay, nó là nền tảng
của Internet toàn cầu. Sự lớn mạnh và phổ biến của nó có thể qui cho khả năng kết
nối các mạng máy tính khác nhau bất kể môi trường vật lý nào, và do bản chất linh
hoạt và mở của kiến trúc mạng IP.
IP được thiết kế để sử dụng trên các mạng lớn; bằng cách sử dụng IP, một máy chủ
kết được nối bất cứ đâu trên mạng có thể giao tiếp với bất cứ mày nào khác. Trong
thực tế, các ứng dụng máy chủ hầu như không bao giờ sử dụng IP thô để giao tiếp.
Thay vào đó, chúng dùng một trong 2 phương thức truyền tải qua lớp được xây
dựng dựa trên IP: đó là TCP (Transmission Control Protcol = Giao thức điều khiển

số liệu) hoặc UDP (User Datagram Protocol = Giao thức gam dữ liệu người dùng).
Việc dùng TCP hay UDP đều không liên quan gì đến việc định tuyến (có vai trò
dành riêng ở lớp mạng). Từng máy chủ IP không cần biết đường trong mạng để
đến với máy chủ khác mà chỉ cần biết địa chỉ của một hoặc một số nhỏ các router.
Các router đó có nhiệm vụ chỉ đường cho từng gói tin IP đến chỗ nó cần đến.
Trong một mạng nhỏ, từng router có thể chỉ đơn giản nối trực tiếp tới các router
khác. Dĩ nhiên trong các mạng lớn, làm như thế rất tốn kém. Thay vì làm như vậy,
từng router duy trì một bảng tuyến trong đó có thông tin về cách chuyển các gói tin
đến địa chỉ của chúng. Đối với bất kì mạng IP lớn nào, thao tác này có chính xác,
có hiệu quả, có bảo mật hay không đều tùy thuộc vào sự toàn vẹn của bảng tuyến
của mạng đó. Để có thêm thông tin chi tiết về các khái niệm định tuyến, xem [6].
Bảng tuyến và Giao thức định tuyến
Nhiệm vụ cơ bản của một router là gửi gói tin đến địa chỉ đã định. Để thực hiện
điều này, từng router cần một bảng tuyến. Từng router xây dựng bảng tuyến cho nó
dựa trên thông tin từ mạng và từ các quản trị viên. Sau đó router dùng một tập hợp
phép đo lường, tùy vào nội dung của bảng tuyến và thuật toán định tuyến của nó,
để so sánh các tuyến rồi quyết định đường tới đích tốt nhất. Router dùng 4 kĩ thuật
cơ bản sau để xây dựng bảng tuyến:
1. Kết nối trực tiếp: Bất cứ phần nào của mạng LAN mà router kết nối trực tiếp đều
tự động được thêm vào bảng tuyến. Ví dụ, router Central nối với phần mạng LAN
14.2.9.0/24.
2. Định hướng tĩnh: Với vai trò là người quản trị mạng, bạn có thể xác lập cho
router sử dụng một tuyến cho trước đến một đích xác định. Phương pháp này
thường trước sau gì cũng dùng khi đã dùng các phương pháp khác
3. Định tuyến động: Dùng router cập nhật thông điệp từ các router khác để tạo
tuyến. Thuật toán định tuyến đi với từng giao thức định tuyến xác định sẽ quyết
định đường dẫn tối ưu tới đích và cập nhật bảng tuyến. Phương pháp này linh động
nhất bởi nó có thể tự động cập nhật những thay đổi trong mạng.
4. Định tuyến mặc định: Dùng tuyến được nhập vào thủ công tới ‘cổng vào của lần
dùng cuối’ cụ thể khi các cơ cấu định tuyến khác không nhận biết được tuyến.

Phương pháp này hữu dụng nhất cho các router ở biên và các router có vai trò như
kết nối nền giữa một mạng LAN nhỏ và mạng lớn như Internet. Các router dựa vào
một cổng vào mặc định duy nhất thường không dùng các giao thức định tuyến
Mặc dù có nhiều giao thức định tuyến động nhưng có thể chia chúng ra 2 nhóm:
nhóm giao thức cổng trong và nhóm giao thức cổng ngoài. Một IGP (Interior
Gateway Protocol = giao thức cổng trong) được dùng để trao đổi thông tin tuyến
giữa các cổng nằm trong một hệ thống độc lập. Một hệ thống độc lập là một nhóm
các thành phần mạng dưới một tên miền được quản lý. Các cổng nằm trong hệ
thống độc lập sử dụng thông tin tuyến được truyền bởi các thông điệp IGP để phân
luồng lưu lượng. Một EGP (Exterior Gateway Protocol = Giao thức cổng ngoài)
được dùng để trao đổi thông tin tuyến giữa các hệ thống độc lập. Theo tiêu chuẩn,
mặc dù không phổ biến, thì các IGP được giao việc trên các router trong, và các
EGP thì trên các router xương sống. Các router biên có thể dùng một trong hai hay
cả hai tùy thuộc vào cấu trúc mạng tìm thấy chúng. BGP-4 (Border Gateway
Protocol version 4 = Giao thức cổng biên phiên bản 4) là EGP dùng để truyền
thông tin giữa các mạng độc lập trên Internet. Phần này tập trung vào một số nhỏ
các giao thức định tuyến thông dụng như: RIP, OSPF, BGP và EIGRP. 3 giao thức
đầu theo chuẩn IETF, giao thức còn lại EIGRP còn lại do nhà đầu tư xác định. RIP,
viết tắt của Routing Information Protocol (giao thức thông tin định tuyến), là một
ví dụ về IGP định hướng từ xa. OSPF, Open Shortest Path First = Mở đường ngắn
nhất trước, là một ví dụ về IGP của trạng thái đường nối. BGP-4 là EGP theo
chuẩn IETF. EIGRP, giao thức định tuyến cổng trong mở rộng, là một IGP của
riêng Cisco, thường được dùng trong tất cả các mạng Cisco. Dưới đây là bảng so
sánh ngắn.
Bảng 4-2 – 4 giao thức định tuyến IP phổ biến

RIP Giao thức định hướng từ xa: duy trì một danh sách các khoảng cách tới các
mạng khác đo bằng bước nhảy, số router một gói tin phải đi ngang qua để đến đích.
Bị giới hạn về kích cỡ vì khoảng cách nào quá 15 bước nhảy thì không thể tới
được. Trạm truyền thông 30 giây cập nhật 1 lần tất cả các router RIP gần nó. Mỗi

bản cập nhật là một bảng tuyến. RIP thích hơp cho các mạng nhỏ
OSPF Giao thức trạng thái đường truyền: sử dụng đơn vị đo dựa trên tốc độ đường
truyền để quyết định đường tới các mạng khác. Mỗi router duy trì một bản đồ giản
lược của toàn bộ mạng. Các bản cập nhật được gửi bằng kĩ thuật multicast và được
gửi chỉ khi nào cấu hình của mạng thay đổi. Mỗi bản cập nhật chỉ bao gồm những
thay đổi đến mạng. OSPF thích hợp cho các mạng lớn

EIGRP Giao thức định hướng từ xa: duy trì một tập hợp các đơn vị đo lường phức
tạp đo khoảng cách đến các mạng khác và kết hợp chặt chẽ với vài tính năng của
các giao thức trạng thái đường truyền. Trạm truyền thông cứ 90 giây cập nhật một
lần cho tất cả các EIGRP gần nó. Mỗi bản cập nhật chỉ bao gồm các thay đổi đến
mạng. EIGRP thích hợp các cho mạng lớn.
BGP Một giao thức cổng ngoài định hướng từ xa nhờ một nhóm các qui tắc duy trì
các con đường tới các mạng. Các bản cập nhật được gửi trên khắp các kết nối TCP
giữa các đẳng đã được xác định cụ thể. BGP-4 nhờ khối tuyến hỗ trợ các mạng cực
lớn như Internet.
Một khía cạnh quan trọng nữa của lược đồ giao thức định tuyến là lượng thời gian
cần thiết để kiến trúc mạng hay những thay đổi về kết nối đựơc thể hiện trong bảng
tất cả các router bị ảnh hưởng. Khía cạnh này thường được gọi là tốc đô hội tụ. Ví
dụ, trong một mạng lớn OSPF nhanh hơn nhiều so với RIP.
Việc cấu hình định tuyến trong các mạng IP có thể là công việc phức tạp, và cũng
nằm ngoài phạm vi của hướng dẫn này. Định tuyến chắc chắn tạo ra nhiều vấn đề
về bảo mật, và IOS của Cisco cung cấp nhiều dịch vụ bản mật trong quá trình định
tuyến; Phần này bàn luận vài vấn đề bảo mật và mô tả tương đối chi tiết nhiều dịch
vụ bảo mật. Để biết các hướng dẫn chung về các giao thức định tuyến, xem tài liệu
của Cisco hoặc [3].
4.4.1. Các rủi ro thường gặp khi định tuyến
Một câu hỏi thường không được chú ý là “Tại sao ta lại phải cần chuốc lấy lo lắng
về bảo mật mạng?”. Một câu hỏi hay hơn là “Kẻ phá hoại có thể gây những tổn
thất nào đến mạng của ta?” Phần 3 giới thiệu vài động cơ thúc đẩy bảo mật router

toàn diện. Phần này tập trung vào các vấn đề bảo mật liên quan đến định tuyến và
giao thức định tuyến. Bảo mật quá trình định tuyến cần là một ưu tiên hàng đầu đối
với các quản trị viên muốn:
Ngăn cản sự truy cập trái phép đến tài nguyên mạng,
Bảo vệ thông tin nhiệm vụ tránh bị phơi bày và sửa chữa không được phép,
Ngăn cản sự gián đoạn và từ chối thực thi trong dịch vụ

Router hoặc tên miền định tuyến không được bảo vệ sẽ trở thành một mục tiêu cho
các kẻ tấn công có hiểu biết về mạng. Ví dụ, kẻ tấn công gửi các gói tin cập nhật
định tuyến không đúng đến một router không được bản vệ có thể dễ dàng gây bất
ổn cho bảng tuyến của router. Bằng cách này, kẻ tấn công có thể định lại tuyến của
các lưu lượng trên mạng theo ý muốn. Chìa khóa để ngăn ngừa những kiểu tấn
công như vậy là bảo vệ bảng tuyến tránh các thay đổi không phép và nguy hiểm.
Có 2 lối tiếp cận cơ bản nhằm bảo vệ sự ổn định của bảng tuyến:

1. Sử dụng các tuyến tĩnh –
Có thể phù hợp với mạng nhỏ, nhưng không ổn định trong mạng lớn.
2. Chứng thực các bản cập nhật bảng tuyến –
Bằng cách dùng giao thức đinh tuyến có chứng thực, các quản trị mạng có thể phát
hiện ra các đợt tấn công dựa trên các thay đổi định tuyến không phép. Các bản cập
nhật được chứng thực chắc rằng các thông điệp cập nhật đến từ các nguồn xác
thực, các thông điệp không thật sẽ tự động được hủy bỏ.
Một dạng tấn công khác một kẻ phá hoại có thể cố đối với router là dạng tấn công
từ chối dịch vụ. Dạng này có thể thực hiện bằng rất nhiều cách. Ví dụ, việc ngăn
cản các thông điệp cập nhật router gửi đi hay nhận và sẽ dẫn đến sự hạ xuống của
vài phần của mạng. Để kháng cự các đợt tấn công từ chối dịch vụ và hồi phục
nhanh chóng, các router cần các tuyến sao lưu và hội tụ mau lẹ.
4.4.2. ARP và các mạng LAN
Tuy nhiên vì ARP cũng như ARP proxy đều không có bản mật. Điểm yếu bảo mật
chủ yếu của ARP là ở chỗ nó không phải được thiết kế để dùng bất kì xác lập

chứng thực nào. Bất cứ ai trên phần mạng LAN đều có thể sửa đổi mục vào của
cạc (cache) ARP của router phục vụ phần mạng đó. Vì thế, nếu một máy chủ trên
mạng không dùng các cổng vào mặc định nhưng thay vào đó là dùng các ARP
proxy để xử lý quá trình định tuyến thì điều này cũng dễ xảy ra với các tuyến xấu
và nguy hiểm. Trong bất cứ trường hợp nào, không nên dùng ARP proxy nữa và
nên vô hiệu hóa nó. Ví dụ sau mô tả cách làm.

Central# config t
Enter configuration commands, o¬ne per line. End with CNTL/Z.
Central(config)# interface ethernet0/0
Central(config-if)# no ip proxy-arp
Central(config-if)# exit
Central(config)# interface ethernet0/1
Central(config-if)# no ip proxy-arp
Central(config-if)# end
Central#
4.4.3. Các bảng tuyến, các tuyến tĩnh và các giao thức định tuyến
Phần này mô tả cách bảo vệ router tránh các rủi ro thường thấy khi định tuyến.
Phần này tập trung vào việc sử dụng chứng thực router ngang hàng với các giao