Truyện Cười BlogTaPhiet KC

Chat Box


--------------:Search

Chủ Nhật, 30 tháng 10, 2011

[Game] Tricks and Treats

[Click here to Read More]

[31.10.11] Cơ bụng của F(x) krystal và SNSD Jessica “Ghen tị với chị em họ”

SNSD đã tạo ra một màn trình diễn lôi cuốn trên Mnet “M!Countdonw” được phát sóng vào ngày 27 với bài hát mới nhất của họ “The Boys”.

Với sân khấu đẹp, SNSD đã thu hút người xem với một cơ thể đầy sự hấp dẫn và lôi cuốn. Trong số các thành viên thì “ice princess” Jessica đặc biệt thu hút sự chú ý của nhiều người bởi bộ trang phục cho thấy cơ bụng đầy gợi cảm của mình.

Jessica là chị của F(x) Krystal cũng là một người có cơ bụng đẹp. Trong quá trình quay “Hot Summer”, cơ bụng của cô được lộ ra và thu hút sự chú ý của nhiều người.

Những người nhìn thấy cơ bụng của Jessica nói “Tôi nghĩ cơ bụng cũng theo quy luật cha truyền con nối”, “cô ấy như 1 con búp bê với một thân hình nhỏ cộng thêm cơ bụng đẹp, tôi ghen tị với chị em họ”, “họ nhận được một hình ảnh đẹp và một cơ bụng đẹp, thế giới này thật không công bằng”, “tôi đoán đó là lý do tại sao họ là chị em”….

Trong khi đó, SNSD đã đứng đầu trong ngày hôm đó với bài hát mới “The Boys”.




Source: TV Report]
V-TRANS: lovesoshi @snsdvn.blogspot.com
E-DIT: Sin @snsdvn.blogspot.com

[Click here to Read More]

[31.10.11] Hình tượng mới của SNSD: "Nó đã hiệu quả???"

SNSD đã trở lại với album thứ 3 của họ "The Boys". Có phải đã có cái nhìn mới và khái niệm làm việc của nhóm nhạc nữ?

SNSD được biết đến với ba thương hiệu: sự hấp dẫn, những bước nhảy đồng bộ và lời nhạc đáng yêu. Sự hấp dẫn của họ đã gây nghiện, những bước nhảy làm họ nổi bật trên sàn diễn và lời bài hát khiến tất cả các fan phải chú ý lắng nghe.



SNSD đã cho mọi người biết rằng tất cả điều họ đến với âm nhạc bằng tình yêu và sự trở về lần này với một cái nhìn hoàn toàn mới và âm thanh. Họ đã đặt sang một bên các đặc tính vốn có của họ. Rap đã thay thế lời nhạc ngọt ngào và nhiều động tác nhảy múa cho từng cá nhân. Hiện nay 9 cô gái trong chín màu sắc khác nhau trên sân khấu và họ đã vứt bỏ từ "oppa" từ các bài hát trước của họ.



Một số người có thể cảm thấy xa lạ với nhóm thông qua sự  thay đổi đột ngột lần này. Tuy nhiên, thông qua các giai đoạn trở lại của họ, điều gì sẽ cảm thấy như không quen với cái cách nhanh chóng chuyển sang một sự mới mẻ! Họ nắm lấy cơ hội để mở rộng sức hấp dẫn của họ với khái niệm chính là đẹp.

Bây giờ chúng ta hãy xem xét kỹ hơn sự  thay đổi của họ!


Quên đi một SNSD
Thông qua các bài hát như "Into the new World", "Gee""Oh", các cô gái đã đạt được rất nhiều tình yêu và sự chú ý thông qua lời nhạc lặp đi lặp lại và điệp khúc gây nghiện. Nhưng phong cách của bài hát đã đã thay đổi thông qua "The Boys". Thương hiệu đó đã biến mất và rap đã thế chỗ, lần đầu tiên kể từ  ca khúc đầu tay của họ, SNSD đã để rap là một trong những ấn tượng mạnh mẽ và lôi cuống trong ca khúc mới!

Những màn dance của họ cũng thay đổi và tốt hơn. Cách nhảy của họ có sự đồng bộ đã làm thay đổi lớn, cách chuyển động mạnh mẽ yêu cầu toàn bộ cơ thể để di chuyển. Đỉnh điểm là khung cảnh nền băng trên vũ đạo của bài hát này - động thái là sự di chuyển và mở rộng đôi chân dài của họ.

Phong cách quần áo làm nên sự khác nhau cho 9 cô gái của SNSD trên sân khấu. Họ bỏ đi đồng phục giống nhau và với xu hướng hỗn hợp nhưng khác nhau cho mùa thu 2011. Áo khoác quân đội, áo choàng thuộc đàn ông và phong cách phương Tây là một số các phong cách pha trộn thời trang biểu diễn của họ.



Chín thành viên SNSD đã đến.
SNSD của quá khứ được thống nhất và đồng bộ để nhấn mạnh một cảm giác đoàn kết của 1 nhóm nhạc vững chắc. Nhưng bây giờ họ đang nhấn mạnh rằng họ là một nhóm có 9 thành viên. Mỗi thành viên đều có nét quyến rũ độc đáo và vai trò riêng của mình. Thay đổi 180 độ, mạnh mẽ đã cho phép mỗi thành viên thể hiện năng lượng của riêng mình và chỉ huy toàn bộ sân khấu.

Đã được xuất hiện với hình ảnh dễ thương, SeoHyun đã thay đổi thành một vẻ đẹp mạnh mẽ. YoonA người đã nổi tiếng với sự  trong sáng, đã nhận được sự chú ý của nhiều người qua nét duyên dáng huyền bí của cô.

Dance và thay đổi hình ảnh đã được đi kèm với những thay đổi những thành phần thanh nhạc như Tae Yeon, Seo HyunJessica cho thấy giọng hát tươi mới của họ và trong khi Soo Young, Yuri và Hyo Yeon với phần rap độc đáo không có chỗ cho các lời hát nhàm chán hoặc lặp đi  lặp lại.

Không quen với sự thay đổi mới
Nếu một cái gì đó khác nhau từ những điều thường thấy, nó sẽ mất cảm giác quen thuộc và giống như người lạ. Trong ý nghĩa này, album của SNSD có thể được mô tả là như vậy. Hoàn toàn tất cả mọi thứ trong album đi kèm với một giai điệu khác nhau và phong cách khác biệt. Sự thay đổi đột ngột đã làm cho tất cả người nghe ngạc nhiên và có thể làm người hâm mộ mất cảm giác thân quen.



Trong tất cả những album phát hành, "The Boys" là đại diện duy nhất của các cô gái. SNSD là đại diện và mô hình cho các nhóm nhạc nữ  trong tương lai với giai điệu hấp dẫn của mình và trang phục.

Thay đổi xu hướng là một thứ không thể thiếu của họ. Mặc dù độc đáo và không quen thuộc, sự  thay đổi độc nhất của họ là nền tảng của để họ tiến đến sự thành công vượt ra ngoài ranh giới của khu vực châu Á.

SNSD đã nói: "Có một chút áp lực và không chắc chắn với sự thay đổi lớn, nhưng chúng tôi cũng mơ ước về một hình ảnh mới. Chúng tôi muốn biểu hiện khía cạnh thoải mái và tươi mát của chúng tôi".


Theo Kst.net
[Click here to Read More]

[Theme Anime Win 7] Ao No Exorcist (other versions)

[Click here to Read More]

SPAN và RSPAN

SPAN và RSPAN - Phần I PDF Print E-mail
- Trong phần này các bạn sẽ được làm quen với các phương pháp để cấu hình Switch Port Analyzer (SPAN) và Remote SPAN (RSPAN) trên Catalyst 3560 Switch.
- Cấu hình SPAN và RSPAN bao gồm những phần sau:
    + Phần I: Tìm hiểu SPAN và RSPAN
    + Phần II: Cấu hình SPAN và RSPAN
    + Phần III: Hiển trị trạng thái của SPAN và RSPAN.

Phần I: Tìm hiểu SPAN và RSPAN.

1. Tìm hiểu về SPAN và RSPAN.

- Bạn có thể phân tích lưu lượng mạng thông qua các port hoặc các VLAN bằng cách sử dụng SPAN hoặc RSPAN để gửi một bản sao lưu của những lưu lượng đó đến một port khác của switch hoặc trên một port của switch khác đã kết nối trực tiếp đến một thiết bị phân tích lưu lượng mạng hoặc thiết bị giám sát hoặc những thiết bị bảo mật. SPAN sẽ sao lưu những lưu lượng nhận được hoặc gửi trên những port nguồn hoặc những VLAN nguồn đến một port đích để phân tích. SPAN không ảnh hưởng đến quá trình chuyển mạch của những lưu lượng mạng trên những port nguồn hoặc những VLAN nguồn. Bạn sẽ phải dành port đích cho SPAN sử dụng. Trừ những lưu lượng cần cho SPAN hoặc RSPAN, những port đích sẽ không nhận hoặc chuyển mạch các lưu lượng này.

- Duy nhất những lưu lượng được đi vào hoặc đi ra khỏi port nguồn hoặc những lưu lượng được đi vào hoặc đi ra khỏi VLAN nguồn có thể được giám sát bằng bởi SPAN; những lưu lượng được định tuyến đến một VLAN nguồn không thể giám sát được. Cho ví dụ, nếu lưu lượng đến đã được giám sát, thì những lưu lượng được định tuyến từ một VLAN khác đến VLAN nguồn không thể giám sát được; tuy nhiên, những lưu lượng được nhận trên VLAN nguồn và được định tuyến đến VLAN khác có thể kiểm tra giám sát được.

- Bạn có thể sử dụng SPAN hoặc RSPAN của port đích để có thể kiểm tra hoặc giám sát được lưu lượng từ một thiết bị bảo mật mạng. Cho ví dụ, nếu bạn kết nối một thiết bị Cisco Intrusion Detection System (IDS) đến một port đích, thì thiết bị IDS có thể gửi một gói tin TCP reset để đóng lại TCP session của những người tấn công.

- Trong phần tìm hiểu về SPAN và RSPAN sẽ có một số chủ đề đang lưu ý sau:
    + Local SPAN
    + Remote SPAN
    + Các khái niệm và thuật ngữ của SPAN và RSPAN
    + Sự tương thích giữa SPAN và RSPAN với những giao thức khác.

2. Local SPAN

- Local SPAN có khả năng hỗ trợ một SPAN session hoàn toàn với một switch; tất cả các port nguồn hoặc VLAN nguồn và các port đích nằm trên cùng một switch. Local SPAN thực hiện sao lưu một lưu lượng từ một hoặc nhiều port nguồn trong một VLAN hoặc đến từ một hoặc nhiều VLAN đến một port đích để thực hiện phân tích. Cho ví dụ, trong hình 1.1, tất cả các lưu lượng trên port 5 (port nguồn) đã được sao lưu đến port 10 (port đích). Một công cụ phân tích mạng trên port 10 đã nhận tất cả các lưu lượng mạng từ port 5 mà không cần phải cắm trực tiếp vào port 5.

hình 1.1: Ví dụ về Local SPAN.



3. Remote SPAN (RSPAN)

- RSPAN có khả năng hỗ trợ các port nguồn, VLAN nguồn, và các port đích nằm trên các switch khác nhau, cho phép kiểm tra và giám sát từ xa đối với nhiều switch trong hệ thống mạng. Hình 1.2 hiển thị các port nguồn trên Switch A và Switch B. Lưu lượng cho mỗi RSPAN session sẽ được mang theo trên mỗi một user được chỉ định trong RSPAN VLAN. Lưu lượng RSPAN từ các port nguồn hoặc các VLAN nguồn sẽ được sao lưu vào trong một RSPAN VLAN và chuyển mạch ra các port trunk để mang theo RSPAN VLAN đến một RSPAN VLAN đích. Mỗi switch RSPAN nguồn phải có các port hoặc các VLAN đóng vai trò như một RSPAN nguồn. Đích sẽ luôn là một port vật lý, giống như switch C được hiển thị trong hình.

hình 1.2: Ví dụ về RSPAN




4. Các khái niệm và thuật ngữ của SPAN và RSPAN

- Trong chủ đề này sẽ đưa ra các khái niệm và các thuật ngữ có liên quan đến cấu hình SPAN và RSPAN.

a. SPAN Sessions.

- SPAN sessions (local hoặc remote) cho phép bạn có thể kiểm tra giám sát lưu lượng mạng trên một hoặc nhiều port, hoặc trên một hoặc nhiều VLAN, và gửi những lưu lượng đã được kiểm tra đến một hoặc nhiều port đích.

- Một local SPAN session là một sự kết hợp của một port đích với những port nguồn hoặc VLAN nguồn, tất cả trên một thiết bị mạng duy nhất. Local SPAN không có các session nguồn và đích riêng biệt. Local SPAN sessions thu thập được những gói tin đi vào và đi ra chỉ định bởi người dùng và đưa chúng vào trong một luồng của dữ liệu SPAN, và chuyển đến port đích.

- RSPAN có chứa ít nhất một RSPAN source session, một RSPAN VLAN, và ít nhất một RSPAN destination session. Bạn có thể cấu hình để tách riêng RSPAN source session và RSPAN destination session trên những thiết bị mạng khác nhau. Để cấu hình một RSPAN source session trên một thiết bị, bạn có thể kết hợp một số port nguồn hoặc VLAN nguồn với một RSPAN VLAN. Kết quả của session này là một luồng gói tin SPAN sẽ được gửi đến một RSPAN VLAN. Để cấu hình một RSPAN destication session trên một thiết bị khác, bạn có thể kết hợp port đích với một RSPAN VLAN. Session đích sẽ tập hợp tất cả các lưu lượng RSPAN VLAN và gửi chúng ra khỏi RSPAN destination port.

- Một RSPAN source session giống như một local SPAN session, trừ nơi mà luồng gói tin sẽ được chuyển đến. Trong một RSPAN source session, các gói tin SPAN sẽ có liên quan với một RSPAN VLAN ID và sẽ được chuyển trên những port trunk thông thường để đến các switch đích.

- Một RSPAN destination session sẽ giữ lại tất cả những gói tin đã được nhận trên một RSPAN VLAN, bỏ đi thông tin VLAN tagging, và biểu diễn chúng trên một port đích. Mục đích của nó là để biểu diễn một bản sao lưu của tất cả các gói tin RSPAN VLAN (trừ những gói tin điều khiển Layer 2) để người dùng có thể phân tích.

- Có thể có nhiều hơn một source session và nhiều hơn một destination session được hoạt động trong cùng một RSPAN VLAN. Và các RSPAN source và destination có thể hoạt động trên các switch riêng biệt.

- Các lưu lượng quản lý trong một SPAN session có những hạn chế sau:
    + Nguồn có thể là các port hoặc là các VLAN, nhưng bạn không thể dùng đồng thời port và VLAN trong cùng một session.
    + Switch có thể hỗ trợ hai source session (Local SPAN và RSPAN source session). Bạn có thể chạy cả hai: một Local SPAN và một RSPAN source session trên cùng một switch. Switch có khả năng hỗ trợ tối đa là 66 source và destination RSPAN session.
    + Bạn có thể có nhiều port đích trong một SPAN session, nhưng không thể nhiều hơn 64 port.
    + Bạn có thể cấu hình hai SPAN hoặc RSPAN source session riêng biệt với các port nguồn hoặc các VLAN nguồn. Các port đã được cấu hình chuyển mạch và định tuyến có thể được cấu hình như một SPAN nguồn và đích.
    + SPAN session không làm ảnh hưởng đến sự hoạt động bình thường của switch. Tuy nhiên, một SPAN đích, cho ví dụ, một port 10-Mb/s quản lý giám sát một port 100-Mb/s, có thể dẫn đến kết quả bị mất gói tin hoặc hủy gói tin.
    + Khi RSPAN đã được enable, mỗi gói tin sẽ được kiểm tra giám sát khi được truyền và nhận. Vì vậy quá trình kiểm tra giám sát với một số lượng port lớn hoặc VLAN lớn có thể dẫn đến việc đưa ra một lượng rất lớn của những lưu lượng quản lý mạng.
    + Bạn có thể cấu hình SPAN session trên các port đã bị disable; tuy nhiên, một SPAN session sẽ không hoạt động cho đến khi nào bạn enable port đích và có ít nhất một port nguồn hoặc VLAN nguồn cho session đó.
    + Switch sẽ không hỗ trợ cả Local SPAN và RSPAN hoạt động trong một session.

b. Kiểm tra lưu lượng.

SPAN session có khả năng kiểm tra và giám sát những loại lưu lượng sau:

- Receive (Rx) SPAN: SPAN có khả năng kiểm tra giám sát được những gói tin nhận từ interface nguồn hoặc VLAN nguồn trước khi có sự sửa đổi hoặc sử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được nhận bởi nguồn sẽ gửi đến port đích của SPAN session đó. Những gói tin sẽ được sửa đổi bởi quá trình định tuyến hoặc quá trình phân loại của QoS.

- Transmit (Tx) SPAN: SPAN có khả năng kiểm tra giám sát được các gói tin gửi bởi interface nguồn sau khi tất cả quá trình sửa đổi hoặc quá trình xử lý được thi hành bởi switch. Một bản sao lưu của mỗi một gói tin được gửi bởi nguồn sẽ gửi đến port đích của SPAN session đó. Bản sao lưu của gói tin sẽ được cung cấp sau khi gói tin được sửa đổi. Các gói tin sẽ bị sửa đổi vì quá trình định tuyến,  cho ví dụ: sửa đổi thông tin của trường TTL (time-to-live), địa chỉ MAC, hoặc giá trị QoS.

- Cả hai: Transmit và Recieve trong một SPAN session, bạn cũng có thể kiểm tra và giám sát một port hoặc một VLAN cho cả hai loại gói tin gửi và nhận. Và cơ chế này là mặc định.

- Cấu hình mặc định cho local SPAN session port là gửi tất cả những gói tin mà không cần tagged. SPAN cũng không kiểm tra giám sát các gói tin BPDU và các giao thức Layer 2, như:  CDP (Cisco Discovery Protocol), VTP (VLAN Trunk Protocol), DTP (Dynamic Trunking Protocol), STP (Spanning Tree Protocol), và PAgP (Port Aggregation Protoccol). Tuy nhiên, bạn nhập câu lệnh: enacapsulation replicate khi bạn cấu hình một port đích, thì sẽ có những sự thay đổi sau:
    + Các gói tin sẽ được gửi trên một port đích với cùng giao thức đóng gói, ISL (Inter-Switch) Link, hoặc IEEE 802.1Q với port nguồn.
    + Các loại gói tin, bao gồm BPDU và các gói tin của các giao thức Layer 2 sẽ được kiểm tra và giám sát.

C. Port nguồn.

- Một Port nguồn (còn được gọi là monitored port) sẽ là một port chuyển mạch hoặc một port định tuyến được bạn dùng để kiểm tra và phân tích các lưu lượng mạng. Trong một Local SPAN session hoặc RSPAN  source session, bạn có thể kiểm tra và giám sát những port nguồn hoặc các VLAN nguồn cho những lưu lượng truyền theo cả hai hướng. Switch có khả năng hỗ trợ rất nhiều port nguồn (tối đa số port đang hoạt động trên switch) và một số VLAN nguồn (tối đa số VLAN đang được cấu hình hoạt động trên Switch). Tuy nhiên, switch chỉ có khả năng hỗ trợ tối đa là hai session (local hoặc RSPAN ) với các port hoặc VLAN nguồn, và bạn không thể sử dụng chung cả port  và VLAN trong một session.

- Một Port nguồn sẽ có những đặc điểm sau:
    + Nó có thể được kiểm tra và giám sát trong nhiều SPAN session
    + Mỗi port nguồn có thể cấu hình với một hướng (đi vào, đi ra hoặc cả hai) để kiểm tra giám sát.
    + Port nguồn có thể có nhiều loại port (ví dụ: EtherChannel, Fastethernet, Gigabit Ethernet..)
    + Những nguồn EtherChannel, bạn có thể kiểm tra và giám sát cho toàn bộ EtherChannel hoặc riêng biệt từng port vật lý của EtherChannel đó.
    + Nó có thể là một Access Port, Trunk Port, Routed Port, hoặc Voice VLAN port.
    + Nó không thể là một port đích.
    + Các port nguồn có thể nằm trong cùng một VLAN hoặc khác VLAN.
    + Bạn có thể kiểm tra và giám sát nhiều Port nguồn trong cùng một session.

d. VLAN nguồn.

- VSPAN (VLAN-based SPAN) là sự kiểm tra các lưu lượng mạng trên một hoặc nhiều VLAN. SPAN hoặc RSPAN source interface trong VSPAN là một VLAN ID, và lưu lượng được kiểm tra trên tất cả các port của VLAN đó.

- VSPAN có những đặc điểm sau:
    + Tất cả các port hoạt động trong một VLAN nguồn sẽ bao gồm các port nguồn và có thể được kiểm tra theo cả hai hướng truyền dữ liệu.
    + Trên một port, duy nhất những lưu lượng trên một VLAN được kiểm tra sẽ gửi đến port đích.
    + Nếu port đích nằm trong một VLAN nguồn, thì nó sẽ không nằm trong danh sách của nguồn và sẽ không được kiểm tra.
    + Nếu các port được thêm vào hoặc hủy khỏi VLAN nguồn, thì những lưu lượng trên VLAN nguồn sẽ được nhận bởi những port được thêm vào hoặc hủy đi đến những port được kiểm tra.
    + Bạn không thể sử dụng các VLAN filter trong cùng một session với VLAN nguồn.
    + Bạn có thể kiểm tra duy nhất các VLAN Ethernet.

e. VLAN Filtering

Khi bạn kiểm tra và giám sát một port trunk như một port nguồn, theo mặc định, tất cả các vlan hoạt động trên đường trunk đó sẽ được kiểm tra. Bạn có thể giới hạn các lưu lượng SPAN được kiểm tra trên port trunk của các VLAN bằng cách sử dụng VLAN filtering:
- VLAN filtering sẽ được áp dụng duy nhất trên các port trunk hoặc các port Voice VLAN.
- VLan filtering chỉ áp dụng cho duy nhất các port-based sessions và không cho phép những session với các VLAN nguồn.
- Khi một danh sách VLAN filter được định nghĩa, duy nhất những VLAN trong danh sách được kiểm tra và giám sát trên những port trunk đó hoặc những port Voice VLAN đó.
- Lưu lượng SPAN đến từ các loại port khác sẽ không được lọc bởi VLAN filtering.
- VLAN filtering sẽ ảnh hưởng duy nhất đến những lưu lượng được chuyển đến các port SPAN đích và không ảnh hưởng đến những lưu lượng chuyển mạch bình thường.

f. Port đích.

- Mỗi một Local SPAN session hoặc RSPAN destination session sẽ phải có một port đích (còn được gọi là monitoring port), và port đó sẽ nhận một bản sao của những lưu lượng từ các port nguồn hoặc các VLAN nguồn và gửi các gói tin SPAN đến các người dùng, và thường sử dụng một bộ công cụ phân tích mạng.
- Một Port đích sẽ có những đặc điểm sau:

    + Một Local SPAN session, port đích phải nằm trong cùng một switch với port nguồn. Trong một RSPAN session, thì port đích nằm trên một switch có chứa RSPAN destination session. Không có port đích trên một switch đang chạy duy nhất một RSPAN session.

    + Khi một port được cấu hình là một SPAN destination port, thì cấu hình này sẽ thay thế cấu hình port nguyên bản ban đầu. Khi cấu hình SPAN destination bị hủy bỏ, thì port sẽ chuyển đổi lại thành cấu hình trước kia của nó. Nếu một cấu hình thay đổi trên một port trong khi nó đang hoạt động với vai trò là một SPAN destination port, thì sự thay đổi đó không bị ảnh hưởng cho đến khi cấu hình SPAN destination bị hủy bỏ.

    + Nếu một port nằm trong một nhóm EtherChannel, thì nó sẽ bị hủy bỏ khỏi nhóm đó trong khi nó là một port đích. Nếu port đó là một routed port, thì nó sẽ không còn đóng vai trò như một routed port nữa.

    + Nó có thể là các port Ethernet vật lý.
    + Nó không thể là một port secure.
    + Nó không thể là một port nguồn
    + Nó không thể là một nhóm EtherChannel hoặc một VLAN.
    + Nó có thể là một port trong một SPAN session tại một thời điểm nào đó.
    + Khi port đích được active, thì các lưu lượng đi đến sẽ bị disable. Các port này sẽ không truyền mọi lưu lượng trừ những lưu lượng cần thiết cho SPAN session.
- Local SPAN và RSPAN destination port có những điểm khác nhau khi đề cập đến VLAN tagging và encapsulation:
    + Local SPAN, nếu từ khóa encapsulation replicate được chỉ định cho port đích, thì những gói tin sẽ được biểu diễn với những kiểu đóng gói sau: untegged, ISL, hoặc IEEE 802.1Q. Những từ khóa đó không được chỉ ra, thì các gói tin sẽ được biểu diễn dưới dạng định dạng untagged.
    + RSPAN, thì VLAN ID nguyên bản sẽ bị mất bởi vì nó được thay thế bởi RSPAN VLAN ID. Vì vậy tất cả các gói tin sẽ được biểu diễn trên port đích dưới định dạng untagged.

5. Sự tương thích của SPAN và RSPAN với những giao thức khác.

SPAN có khả năng tương thích với những tính năng sau:

- Routing: SPAN không có khả năng kiểm tra và giám sát những lưu lượng đã được định tuyến. VSPAN duy nhất chỉ có khả năng kiểm tra và giám sát những lưu lượng được đưa vào switch hoặc tồn tại trên switch, không có lưu lượng nào được định tuyến giữa các VLAN. Cho ví dụ, nếu một VLAN nào mà có Rx-monitored và switch sẽ định tuyến những lưu lượng từ VLAN khác để có thể kiểm tra và giám sát được, những lưu lượng này sẽ không được kiểm tra và không được nhận trên một port đích của SPAN.

- STP: một port đích không hoạt động với giao thức SPT trong khi SPAN hoặc RSPAN của nó đang hoạt động. Port đích có thể hoạt động trong một STP sau khi SPAN hoặc RSPAn session bị disbable. Trên một port nguồn, SPAN sẽ không làm ảnh hưởng đến trạng thái của STP. STP có thể hoạt động trên các port trunk và mang theo các RSPAN VLAN.

- CDP: Một port đích của SPAN không hoạt động với giao thức CDP trong khi SPAN session thì đang hoạt động. Sau khi SPAN session bị disable, thì port đó sẽ lại hoạt động với CDP.

- VTP: Bạn có thể sử dụng VTP để hạn chế một RSPAN VLAN giữa các switch.

- VLAN và Trunking: Bạn có thể sửa đổi các thành viên của VLAN hoặc Trunk cho các port nguồn và port đích ở mọi thời điểm. Tuy nhiên, những thay đổi của các thành viên trong VLAN hoặc Trunk cho port đích sẽ không ảnh hưởng cho đến khi bạn hủy bỏ cấu hình SPAN destination. Những thay đổi của các thành viên trong VLAN hoặc trunk của các port nguồn sẽ bị ảnh hưởng ngay lập tức, và tương ứng cho những SPAN session.

- EtherChannel: Bạn có thể cấu hình một nhóm EtherChannel như một port nguồn nhưng không thể như một port đích của SPAN. Khi một nhóm được cấu hình như một SPAN nguồn, thì toàn bộ nhóm đó sẽ được kiểm tra và giám sát. Nếu một port vật lý được thêm vào một nhóm EtherChannel đã được kiểm tra, thì port mới đó sẽ nằm trong danh sách của port nguồn. Nếu một port được hủy bỏ khỏi nhóm EtherChannel đã được kiểm tra, thì nó sẽ tự động hủy bỏ khỏi danh sách port nguồn. Một port vật lý nằm trong một nhóm EtherChannel có thể được cấu hình như một SPAN source port và vẫn là một phần của EtherChannel. Trong trường hợp này, dữ liệu từ port vật lý đó sẽ được kiểm tra như một thành phần của EtherChannel. Tuy nhiên, nếu một port vật lý nằm trong một nhóm EtherChannel được cấu hình như một SPAN destination, thì nó sẽ rời bỏ khỏi nhóm đó. Sau khi port này rời bỏ khỏi SPAN session, thì nó sẽ ra nhập vào một nhóm EtherChannel. Các port tách  từ một nhóm EtherChannel vẫn sẽ là thành viên của nhóm, nhưng chúng sẽ ở trạng thái inactive hoặc suspended. Nếu một port vật lý hoạt động bên dưới một nhóm EtherChannel là một port đích và nhóm EtherChannel đó là một SPAN nguồn, thì port đó sẽ tách khỏi nhóm EtherChannel đó và cũng tách khỏi danh sách các port được kiểm tra.

- Lưu lượng Multicast có thể được kiểm tra.

- Một Private-VLAN port không thể là một port đích của SPAN.

- Một secure port không thể là một port đích của SPAN.

- Một IEEE 802.1x port có thể là một port nguồn của SPAN. Bạn có thể enable IEEE 802.1x trên một port để trở thành port đích của SPAN.

SPAN và RSPAN - Phần II PDF Print E-mail
Phần II: Cấu hình SPAN và RSPAN
Phần này sẽ bao gồm những thông tin cấu hình sau:
- Cấu hình SPAN và RSPAN mặc định
- Cấu hình Local SPAN
- Cấu hình RSPAN

1. Cấu hình SPAN và RSPAN mặc định
- Bảng 1.3 hiển thị các thông số cấu hình mặc định của SPAN và RSPAN.

Bảng 1.3



2. Cấu hình Local SPAN.
chủ đề cấu hình này sẽ bao gồm một số phần sau:
- Cấu hình SPAN theo hướng dẫn.
- Tạo một Local SPAN session.
- Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Chỉ ra các VLAN để Filter.

a. Cấu hình SPAN theo hướng dẫn.
Dưới đây là những hướng dẫn các bạn có thể dùng để tham khảo trong quá trình SPAN:
- Đối với các SPAN nguồn, bạn có thể kiểm tra những lưu lượng cho một port hoặc VLAN hoặc một dải các port hoặc các VLAN cho mỗi session. Bạn không thể dùng chung những port nguồn và VLAN nguồn với một SPAN session.

- Port đích không thể là một port nguồn; một port nguồn cũng không thể là một port đích.

- Bạn không thể có hai SPAN session sử dụng cùng một port đích.

- Khi bạn cấu hình một port của switch là một port đích của SPAN, thì nó không phải là một port bình thường của switch; duy nhất những lưu lượng được kiểm tra có thể đi qua port đích của SPAN.

- Khi nhập những câu lệnh cấu hình SPAN mà không muốn hủy bỏ những tham số cấu hình cũ của SPAN. Thì bạn sẽ phải nhập câu lệnh: no monitor session { session_number | all | local | remote } ở chế độ global configuration để xóa đi những tham số đã được cấu hình của SPAN.

- Với một Local SPAN, những gói tin đi ra thông qua port đích của SPAN có thể mang theo những hearder đã được đóng gói-untagged, ISL, hoặc IEEE 802.1Q - nếu từ khóa encapsulation replicate được chỉ ra. Nếu từ khóa này không được chỉ ra, những gói tin sẽ được gửi dưới định dạng Native. Với những port đích của RSPAN, thì những gói tin đi ra sẽ không được tagged.

- Bạn có thể cấu hình một port không hoạt động với vai trò port nguồn hoặc port đích, nhưng chức năng của SPAN sẽ không khởi động cho đến khi port đích và ít nhất một port nguồn hoặc VLAN nguồn được enable.

- Bạn có thể giới hành những lưu lượng của SPAN bằng cách dùng từ khóa filter vlan. Nếu một port trunk đã được cấu hình kiểm tra, thì duy nhất những lưu lượng trên những VLAN được chỉ ra với từ khóa đó sẽ được kiểm tra. Theo mặc định, tất cả các VLAN đều được kiểm tra trên các port trunk.

- Bạn không thể dùng chung các VLAN nguồn và các Filter VLAN trong cùng một SPAN session.

- Catalyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn những liên quan đến SPAN. Một bản sao lưu lượng của SPAN là một lưu lượng định tuyến unicast sẽ phải hiển thị sai địa chỉ MAC trên cả hai local hoặc remote SPAN session. Sự giới hạn này sẽ không được áp dụng lên những gói tin được chuyển mạch trên Bridge.

b. Tạo một Local SPAN session.
- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để tạo một SPAN session và chỉ ra các port hoặc các VLAN được kiểm tra và những port đích kiểm tra.

- Ví dụ dưới đây sẽ dùng để cấu hình một SPAN session 1 để kiểm tra và giám sát các lưu lượng port nguồn đến một port đích. Đầu tiên, mọi thông số cấu hình cho session 1 sẽ bị xóa, và sau đó các lưu lượng sẽ được kiểm tra từ port Gigabit Ethernet 1 nguồn đến port đích Gigabit Ethernet 2.
example:
Switch_3560_VNE# configure terminal
Swtich_3560_VNE(config)# no monitor session 1 all
Swtich_3560_VNE(config)# monitor session 1 source interface gigabitethernet 0/1
Swtich_3560_VNE(config)# monitor session 1 destination interface gigabitethernet 0/2 encapsulation replicate
Swtich_3560_VNE(config)# end
Swtich_3560_VNE# show monitor session 1
Swtich_3560_VNE# show running-config
Swtich_3560_VNE# copy run start

- Để xóa bỏ một SPAN session, sử dụng câu lệnh: no monitor session session_number ở chế độ global configuration. Để tách một port nguồn hoặc một port đích hoặc VLAN khỏi một SPAN session, sử dụng câu lệnh: no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration hoặc no monitor session session_number destination interface interface-id ở chế độ global configuration.

- Ví dụ sau sẽ mô tả cách để tách port 1 đóng vai trò như một SPAN nguồn cho SPAN session 1:
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 1 source interface gi0/1
Switch_3560_VNE(config)# end

- Ví dụ sau sẽ mô tả cách để disable chức năng nhận lưu lượng trên port 1:
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 1 source interface gi0/1 rx
Switch_3560_VNE(config)# end
- Chức năng kiểm tra những lưu lượng nhận trên port 1 đã bị disable, những những lưu lượng gửi đi từ port này vẫn sẽ được kiểm tra và giám sát.

- Ví dụ sau sẽ mô tả cách xóa bỏ những tham số cấu hình trên SPAN session 2, và sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng nhận được trên tất cả các port nằm trong VLAN 1 đến VLAN 3, và gửi nó đến port đích Gigabit Ethernet 2.
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 2
Switch_3560_VNE(config)# monitor session 2 source vlan 1 - 3 rx
Switch_3560_VNE(config)# monitor session 2 destination interface gi0/2
Switch_3560_VNE(config)# monitor session source vlan 10
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

C. Tạo một Local SPAN session và cấu hình các lưu lượng đến.
- Bắt đầu cấu hình ở chế độ global configuration, những bước sau sẽ được thực hiện để tạo một SPAN session, để hiển thị những port nguồn hoặc những VLAN nguồn và các port đích, và để enable những lưu lượng đến trên một port đích cho một thiết bị bảo mật mạng (Cisco IDS).
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 2
Switch_3560_VNE(config)# monitor session 2 source gigabitethernet 0/1 rx
Switch_3560_VNE(config)# monitor session 2 destination interface gi0/2 encapsulation replicate ingress dot1q vlan 6
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

D. Chỉ ra các VLAN để Filter.
- Bắt đầu cấu hình ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để giới hạn lưu lượng SPAN nguồn cho những VLAN.

- Ví dụ sau sẽ mô tả cách thức để xóa bỏ những tham số cấu hình tồn tại trên SPAN session 2, sau đó cấu hình SPAN session 2 để kiểm tra những lưu lượng được nhận trên Gigabit Ethernet Trunk port 2, và những lưu lượng sẽ gửi duy nhất từ những vlan từ 1 đến 5 và VLAN 9 đến port đích là Gigabit Ethernet 1.
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 2
Switch_3560_VNE(config)# monitor session 2 source gigabitethernet 0/2 rx
Switch_3560_VNE(config)# monitor session 2 filter vlan 1 - 5, 9
Switch_3560_VNE(config)# monitor session 2 destination interface gigabitethernet 0/1
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

- Để kiểm tra và giám sát tất cả các VLAN trên port trunk, sử dụng câu lệnh: no monitor session session_number filter ở chế độ global configuration của switch.
SPAN và RSPAN - Phần III PDF Print E-mail
3. Cấu hình RSPAN.
Trong phần cấu hình RSPAN này sẽ bao gồm những tiêu điểm sau:
- Cấu hình RSPAN theo hướng dẫn.
- Cấu hình một VLAN như một RSPAN VLAN.
- Tạo một RSPAN Source Session.
- Tạo một RSPAN Destination Session
- Tạo một RSPAN destination và Cấu hình những lưu lượng đến.
- Cấu hình các VLAN filter.

a. Cấu hình RSPAN theo hướng dẫn.

Những hướng dẫn sau các bạn có thể tham khảo khi cấu hình RSPAN.

- Tất cả các mục trong phần: "Cấu hình SPAN theo hướng dẫn" ở trên có thể dùng được đối với RSPAN.

- Các RSPAN VLAN sẽ có những thuộc tính đặc biệt, bạn sẽ có một số VLAN được rành riêng để cấu hình như những RSPAN VLAN trong hệ thống của bạn; không được phép gán những access port vào trong các VLAN này.

- Bạn có thể áp dụng một ACL cho một lưu lượng RSPAN để lọc hoặc kiểm tra giám sát những gói tin này. Những ACL này được chỉ định cho các RSPAN VLAN trong một RSPAN source switch.

- Khi cấu hình RSPAN, bạn có thể phân tán các port nguồn và các port đích thông qua nhiều switch trong hệ thống mạng của bạn.

- RSPAN không hỗ trợ việc kiểm tra giám sát các gói tin BPDU hoặc các giao thức của Layer 2.

- RSPAN VLAN được cấu hình duy nhất trên các port trunk và không được phép cấu hình trên các access port. Để ngăn ngừa việc không muốn các lưu lượng truyền trong các RSPAN VLAN, thì bạn cần phải chắc chắn rằng chức năng VLAN remote-span sẽ phải hỗ trợ trên tất cả các switch trong hệ thống.

- Các port access (bao gồm cả các Voice VLAN port) trên một RSPAN VLAN sẽ được đưa về trạng thái inactive.

- Các RSPAN VLAN bao gồm cả các port nguồn của RSPAN session được tạo dựa trên port khi các port trunk nguồn có RSPAN VLAN được active. RSPAN VLAN cũng có thể là một nguồn trong một SPAN session.

- Bạn có thể cấu hình nhiều VLAN như một RSPAN VLAN với những điều kiện sau:

+ Cùng một RSPAN VLAN được dùng cho một RSPAN session trong tất cả các switch.

+ Tất cả các switch sẽ hỗ trợ RSPAN.

- Chúng tôi khuyến cáo rằng bạn nên cấu hình một RSPAN VLAN trước khi bạn cấu hình một RSPAN nguồn hoặc một RSPAN đích.

- Nếu bạn enable VTP và VRP pruning, thì lưu lượng RSPAN sẽ được hạn ché trong các đường trunk để ngăn cản việc quảng bá các lưu lượng RSPAN không mong muốn thông qua mạng cho những VLAN ID có giá trị thấp hơn 1005.
- Catatyst 3560-24PS và 3560-48PS switch có phần cứng giới hạn liên quan đến RSPAN:

+ Một bản sao của lưu lượng SPAN đi ra được định tuyến như một lưu lượng unicast sẽ phải hiển thị không đúng địa chỉ MAC trên cả hai session là: Local và Remote SPAN. Sự giới hạn này không được áp dùng cho các gói tin được chuyển mạch trên Bridged.

+ Các gói tin SPAN được định tuyến ra ngoài (cả unicast và multicast) sẽ hiển thị không đúng địa chỉ MAC nguồn. Vói những gói tin SPAN remote, thì địa chỉ MAC nguồn sẽ địa chỉ MAC của VLAN ra, nhưng thay vào đó gói tin này sẽ hiển thị địa chỉ MAC của RSPAN VLAN.

b. Cấu hình một VLAN như một RSPAN VLAN.

- Đầu tiên tạo một VLAN mới hoạt động với vai trò như một RSPAN VLAN cho một RSPAN session. Bạn sẽ phải tạo một RSPAN VLAN trên tất cả các switch nằm trong một RSPAN. Nếu RSPAN VLAN-ID nằm trong dải thấp hơn 1005 và VTP được enable trên hệ thống, bạn có thể tạo RSPAN VLAN trên một switch, và quảng bá các thông tin về VTP của nó cho các switch khác trong VTP domain đó. Với những VLAN mở rộng (lớn hơn 1005), bạn sẽ phải cấu hình RSPAN VLAN trên cả hai switch nguồn và đích.

- Sử dụng VTP pruning để lấy về một luồng lưu lượng của RSPAN, hoặc có thể xóa một RSPAN VLAN từ tất cả những đường trunk mà không ảnh hưởng đến những lưu lượng RSPAN được mang theo trên những đường trunk đó.

- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ phải được thực hiện để tạo một RSPAN VLAN:

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# vlan 901
Switch_3560_VNE(config-vlan)# remote span
Switch_3560_VNE(config-vlan)# end
Switch_3560_VNE# copy run start

- Để xóa bỏ những tham số cấu hình của SPAN từ một VLAN và chuyển đổi nó trở về một VLAN bình thường, sử dụng câu lệnh: no remote-span ở chế độ VLAN configuration.

C. Tạo một RSPAN Source Session.

- Bắt đầu ở chế độ Privileged EXEC của switch, những bước sau sẽ phải được thực hiện để khởi động một RSPAN source session và chỉ định một RSPAN VLAN nguồn và đích được kiểm tra:

- Ví dụ dưới đây sẽ mô tả phương pháp để xóa bỏ những thông số cấu hình tồn tại trên RSPAN cho session 1, cấu hình RSPAN session 1 để kiểm tra giám sát nhiều interface nguồn, và cấu hình RSPAN VLAN 901 như một destination.

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 1
Switch_3560_VNE(config)# monitor session 1 source interface gi0/1 tx
Switch_3560_VNE(config)# monitor session 1 source interface gi0/2 rx
Switch_3560_VNE(config)# monitor session 1 source interface port-channel 2
Switch_3560_VNE(config)# monitor session 1 destination remote vlan 901
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

- Để xóa một port nguồn hoặc một VLAN từ một SPAN session, sử dụng câu lệnh no monitor session session_number source {interface interface-id | vlan vlan-id} ở chế độ global configuration. Để xóa bỏ một RSPAN VLAN từ một session, sử dụng câu lệnh: no monitor session session_number destination remote vlan vlan-id.

d. Tạo một RSPAN Destination Session.

- Bạn cấu hình một RSPAN destination session trên một switch khác; không cấu hình source session trên một switch nào cả.

- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực hiện để cấu hình một RSPAN VLAN trên một switch, để tạo một RSPAN destination session, và để chỉ ra một port RSPAN VLAN nguồn và đích.

- Ví dụ bên dưới sẽ dùng để cấu hình VLAN 901 như một source remote VLAN và port 1 như một port đích.

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# monitor session 1 source remote vlan 901
Switch_3560_VNE(config)# monitor session 1 destination interface gigabitethernet 0/1
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

- Để xóa một SPAN session, sử dụng câu lệnh: no monitor session session-number ở chế độ global configuration.

e. Tạo một RSPAN destination và Cấu hình những lưu lượng đến.

- Bắt đầu ở chế độ Privileged EXEC, những bước sau sẽ được thực thi để tạo một RSPAN destination session, để chỉ định một port RSPAN VLAN nguồn và đích, và để enable những lưu lượng đến trên một port đích của một thiết bị bảo mật. (cisco IDS).

- Ví dụ sau sẽ mô tả cách cấu hình VLAN 901 như một source remote VLAn trong RSPAN session 2, để cấu hình port Gi0/2 như một port đích, và để enable chức năng chuyển mạch các lưu lượng đến trên interface VLAN 6 như một VLAN nhận mặc định.

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# no monitor session 2
Switch_3560_VNE(config)# monitor session 2 source remote vlan 901
Switch_3560_VNE(config)# monitor session 2 destination interface gi0/2 ingress vlan 6
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

- Để xóa một RSPAN session, sử dụng câu lệnh no monitor session session_number ở chế độ global configuration.

f. Cấu hình các VLAN filter.

- Bắt đầu ở chế độ Privileged EXEC, những bước sau được thực hiện để cấu hình một RSPAN source session để giới hạn các lưu lượng RSPAN nguồn đến một số vlan được chỉ định.
- Ví dụ sau sẽ mô tả cách xóa bỏ những thông tin cấu hình đang tồn tại trên một RSPAN session 2, và cấu hình RSPAN session 2 để kiểm tra những lưu lượng nhận được trên port trunk 2, và gửi những lưu lượng này duy nhất từ những VLAN 1 đến VLAN 5 và VLAN 9 đến RSPAN VLAN 902.
example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# monitor session 2 source interface gi0/2 rx
Switch_3560_VNE(config)# monitor session 2 filter vlan 1 - 5, 9
Switch_3560_VNE(config)# monitor session 2 destination remote vlan 902
Switch_3560_VNE(config)# end
Switch_3560_VNE# copy run start

Phần III: Hiển trị trạng thái của SPAN và RSPAN.

- Để hiển thị những thông số cấu hình hiện tại của SPAN hoặc RSPAN, sử dụng câu lệnh: show monitor ở chế độ user EXEC. Bạn cũng có thể sử dụng câu lệnh: show running-config ở chế độ privileged EXEC để hiển thị những thông số cấu hình của SPAN hoặc RSPAN.
[Click here to Read More]

Remote Access VPN

Remote Access VPN PDF Print E-mail
- Trong bài viết này sẽ giới thiệu với các bạn những nhiệm cơ bản để cấu hình một IP-based, remote access VPN trên một Cisco 7200 Router. Trong trường hợp Remote Access VPN business, một remote user đang chạy phần mềm VPN client trên một PC sẽ thiết lập một kết nối đến Cisco 7200 Rouer ở Headquarter.
- Những cấu hình thực hiện trong bài viết này đều dựa trên Cisco 7200 Router. Nếu bạn có một Cisco 2600 series router hoặc một Cisco 3600 series router, thì bạn có thể cấu hình khác đi một chút, thông thường sự khác biệt này không đáng kể.

- Trong bài viết này chủ yếu mô tả về những tính năng cơ bản và cách thức cấu hình được sử dụng trong trường hợp Remote Access VPN. Một số những tính năng của Cisco IOS security software không được giới thiệu trong bài viết này cũng có thể được sử dụng để tăng khả năng thực thi và mở rộng cho kết nối VPN của bạn.
- Bài viết này sẽ bao gồm những chủ đề sau:
+ Mô tả trường hợp kết nối
+ Cấu hình một Cisco IOS VPN Gateway để sử dụng với Cisco Secure VPN Client Software
+ Cấu hình một Cisco IOS VPN Gateway để sử dụng với Microsoft Dial-up Networking
+ Cấu hình Cisco IOS Firewall Authentication Proxy
+ Các ví dụ cấu hình.

I. Mô tả trường hợp kết nối
- Hình 1.1 hiển thị mạng của headquaters cung cấp một kết nối truy cập cho một user từ xa đến corporate intranet. Trong trường hợp này, headquarters và remote user đang kết nối trực tiếp thông qua một tunnel bảo mật đã được thiết lập dựa trên kiến trúc IP (chính là Internet). Remote User có khả năng truy cập vào bên trong mạng, truy cập vào các trang web nội bộ và thi hành một số nhiệm vụ khác dựa trên IP.

hình 1.1



- Hình 1.2 sẽ hiển thị các thành phần vật lý trong trường hợp này. Mạng Internet cung cấp một kết nối giữa headquarter và remote user. Headquater đang sử dụng một Cisco IOS VPN gateway (là: cisco 7200 series được tích hợp một module ISA hoặc VAM) và remote user đang chạy phần mềm VPN Client của Cisco trên một PC.
- Tunnel đã được cấu hình trên interface serial 1/0 của Headquarter và các router remote office. Interface Fast Ethernet 0/0 của router Headquarter đang kết nối trực tiếp đến một server nội bộ của corporate và Fast Ethernet 0/1 đang kết nối trực tiếp đến Web Server.

hình 1.2



- Các bước cấu hình trong trường hợp này là được thực hiện trên Headquarter Router. Bảng 1.3 là danh sách những tham số cấu hình cần thiết cho các thành phần vật lý của Headquarter Router và Remote User.

hình 1.3



II. Cấu hình một Cisco IOS VPN Gateway để sử dụng với Cisco Secure VPN Client Software

- Sử dụng phần mềm Cisco Secure VPN client, một remote user có thể truy cập vào mạng Corporate Headquarter thông qua một Secure IPSec tunnel. Mặc dù Cisco IOS VPN Gateway có khả năng hỗ trợ phần mềm Cisco Secure VPN Client, nhưng trong bài viết này không đề cập đến phương pháp cấu hình gateway của bạn cho việc sử dụng nó.

III. Cấu hình một Cisco IOS VPN Gateway để sử dụng với Microsoft Dial-up Networking.

- Sử dụng Microsoft Dial-up Networking (DUN), được tích hợp sẵn với Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 200, XP, một remote user có thể sử dụng Point-to-Point Tunneling Protocol (PPTP) với Microsoft Point-to-Point Encryption (MPPE) để truy cập vào mạng của Corporate Headquater thông qua một tunnel bảo mật.

- Sử dụng PPTP/MPPE, các user có thể sử dụng mọi tài khoản của các ISP khác nhau và địa chỉ IP Internet-routeable để truy cập vào edge của Enterprise Network. Tại edge, thì các gói tin IP sẽ được detunneled và dải địa chỉ IP của Enterprise sẽ được sử dụng để truyền dữ liệu trong Internal Network. MPPE sẽ cung cấp một dịch vụ mã hóa để bảo vệ các luồng dữ liệu được truyền trên Internet. MPPE có khả năng mã hóa với độ dài là 40bit, và 128 bit.

- Như một sự lựa chọn, một Remote User với một phần mềm client được tích hợp sẵn vào hệ điều hành Microsoft Windows 2000 hoặc XP có thể sử dụng Layer 2 Tunneling Protocol (L2TP) với IPSec để truy cập vào hệ thống mạng Corporate Headquarter thông qua một Tunnel bảo mật.

- Bởi vì L2TP là một giao thức chuẩn, nên các Enterprise có thể có nhiều lựa chọn dùng L2TP với các sản phẩm của các hãng khác nhau. Triển khai L2TP là một giải pháp cung cấp một tính năng mềm dẻo, khả năng mở rộng cho môi trường mạng truy cập từ xa mà không cần bận tâm nhiều đến vấn đề bảo mật dữ liệu truyền.
- Trong phần này sẽ bao gồm một số chủ đề quan trọng sau:
+ Cấu hình PPTP/MPPE
+ Kiểm tra PPTP/MPPE
+ Cấu hình L2TP/IPSec

1. Cấu hình PPTP/MPPE

-PPTP là một giao thức cho phép tạo ra một đường truyền dữ liệu bảo mật của data từ một remote client đến một private enterprise serser bằng cách tạo một VPN thông qua các mạng truyền dữ liệu dựa trên TCP/IP. PPTP có khả năng hỗ trợ on-demand, nhiều giao thức, mạng VPN trên các mạng public, như Internet.
- MPPE là một công nghệ mã hóa được phát triển bởi Microsoft để mã hóa các liên kết point-to-point. Những kết nối này có thể được tạo trên một đường dialup hoặc trên một VPN Tunnel. MPPE làm việc như một tính năng con của giao thức Microsoft Point-to-Point Compression (MPPC).

- MPPE sử dụng thuật toán RC4 với hai loại khóa 40 và 128 bit. Tất cả các khóa sẽ được truyền dưới dạng cleartext. RC4 là một stream cipher; vì vậy, các frame sẽ được mã hóa và giải mã đều có kích thước như nhau. Cisco triển khai giao thức MPPE để cho phép tương thích với Microsoft và sử dụng tất cả các tùy chọn có thể, bao gồm chế độ Historyless. Chế độ Historyless có thể làm tăng thêm thông lượng thực sự trong môi trường high-loss như VPN.

- Trong phần cấu hình PPTP/MPPE sẽ bao gồm những nhiệm vụ sau:
+ Cấu hình một Virtual Template cho các phiên Dial-in
+ Cấu hình PPTP
+ Cấu hình MPPE

a. Cấu hình Virtual Template cho các phiên Dial-in
- Sử dụng Virtual Templates, bạn có thể cấu hình các interface virtual-access với các thông số cấu hình đã được định nghĩa trước. Để cấu hình Cisco IOS VPN gateway tạo các interface Virtual-access từ một Virtual Template cho các cuộc gọi đến của PPTP, sử dụng những câu lệnh ở dưới đây bắt đầu từ chế độ global configuration:
example:
hq-sanjose(config)# interface virtual-template 1
hq-sanjose(config-if)# ip unnumbered fastethernet 0/0
hq-sanjose(config-if)# ppp authentication ms-chap
hq-sanjose(config-if)# ip local pool default 10.1.3.10 10.1.3.100
hq-sanjose(config-if)# peer default ip address pool default
hq-sanjose(config-if)# ip mroute-cache
hq-sanjose(config-if)# ppp encrypt mppe 128 stateful

b. Cấu hình PPTP
- Để cấu hình một Cisco 7200 Series router để chập nhận các kết nối tunneled PPP từ một client, sử dụng những câu lệnh dưới đây bắt đầu từ chế độ global configuration:
example:
hq-sanjose(config)# vpdn-enable
hq-sanjose(config)# vpdn-group 1
hq-sanjose(config-vpdn)# accept dialin
hq-sanjose(config-vpdn-acc-in)# protocol pptp
hq-sanjose(config-vpdn-acc-in)# virtual-template 1
hq-sanjose(config-vpdn-acc-in)# exit
hq-sanjose(config-vpdn)# local name hq-sanjose

c. Cấu hình MPPE.
- Để cấu hình MPPE trên Cisco 7200 Series router (với module ISA), sử dụng những câu lệnh bên dưới đây trong chế độ global configuration:
example:
hq-sanjose(config)# controller isa 1/0
hq-sanjose(config-controller)# encryption mppe

2. Kiểm tra PPTP/MPPE
- Sau khi bạn hoàn thành một kết nối, bạn có thể nhập câu lệnh: show vpdn tunnel hoặc show vpdn session ở chế độ Privileged EXEC để kiểm tra cấu hình PPTP và MPPE.

3. Cấu hình L2TP/IPSec
- L2TP là một giao thức mở rộng của Point-to-Point (PPP) và nó thường là một khối xây dựng cơ bản cho VPN. L2TP đã kết hợp những tính năng tốt nhất của hai giao thức Tunneling đó là: Layer 2 Forwarding (L2F) của Cisco Systems và PPTP của Microsfot. L2TP là một chuẩn của IETF.
- Phần cấu hình L2TP/IPSec sẽ bao gồm những nhiệm vụ sau:
+ Cấu hình Virtual Template cho các phiên Dial-in
+ Cấu hình L2TP
+ Cấu hình mã hóa và IPSec.

a. Cấu hình một Virtual Template cho các phiên Dial-In.
- Để cấu hình Cisco 7200 Series Router tạo các interface Virtual-Access từ một Virtual template cho các cuộc gọi từ L2TP, thì các bạn có thể xem lại phần trên.

b. Cấu hình L2TP
- Để cấu hình một Cisco 7200 Series router để chấp nhận các phiên kết nối Tunneled L2TP từ một client, sử dụng những câu lệnh dưới đây ở chế độ global configuration:
example:
hq-sanjose(config)# vpdn-enable
hq-sanjose(config)# vpdn-group 1
hq-sanjose(config-vpdn)# accept dialin
hq-sanjose(config-vpdn-acc-in)# protocol l2tp
hq-sanjose(config-vpdn-acc-in)# virtual-template 1
hq-sanjose(config-vpdn-acc-in)# exit
hq-sanjose(config-vpdn)# local name hq-sanjose

- Để kiểm tra L2TP dùng câu lệnh: show vpdn tennel ở chế độ Privileged EXEC.

c. Cấu hình mã hóa và IPSec.
Những thông tin chi tiết về cấu hình mã hóa và IPSec, mời các bạn đọc các bài viết sau:
- Cấu hình IKE Prolicies
- Kiểm tra IKE Policies
- Tạo Crypto Access Lists
- Kiểm tra Crypto Access Lists
- Định nghĩa Transform Sets và Cấu hình IPSec Tunnel Mode
- Kiểm tra Transform Sets và IPSec Tunnel Mode.
- Tạo Crypte Map Entries
- Kiểm tra Crypto Map Entries
- Áp dụng Crypto Maps vào các interface.

IV. Cấu hình Cisco IOS Firewall Authenticaiton Proxy.
- Sử dụng tính năng Cisco IOS firewall authentication proxy, người quản trị mạng có thể áp dụng các chính sách bảo mật đặc biệt cho từng user. Các User có thể được định nghĩa và được cấp quyền dựa trên các chính sách của mỗi một user, và các quyền truy cập đặc biệt trên một người dùng dựa trên khả năng của người dùng đó, trong trường hợp khác thì một chính sách có thể được áp dụng cho nhiều user.
- Với tính năng Authentication Proxy, các user có thể log vào mạng hoặc truy cập Internet thông qua HTTP, và các chính sách truy cập đặc biệt sẽ tự động được lấy về và áp dụng từ một authentication server. Các chính sách người dùng sẽ được hoạt động duy nhất khi các lưu lượng được hoạt động từ chính các user đã được xác thực.
- Authentication Proxy được tích hợp với Network Address Translation (NAT), Context-Based Acces Controll (CBAC), IP Security (IPSec) encryption, và phần mềm VPN Client.
- Phần này sẽ bao gồm các bước để cấu hình Cisco IOS Firewall Authentication Proxy:
+ Cấu hình Authentication, Authorization, và Accounting
+ Cấu hình HTTP Server
+ Cấu hình Authentication Proxy
+ Kiểm tra Authenticaiton Proxy

1. Cấu hình Authentication, Authorization, và Accounting
- Bạn có thể cấu hình Authenticaiton Proxy cho các dịch vụ Authenticaiton, Authorization và Accouting (AAA). Sử dụng những câu lệnh bên dưới đây ở chế độ global configuration để enable Authorization và để định nghĩa các phương thức Authorization:
example
hq-sanjose(config)# aaa new-model
hq-sanjose(config)# aaa authentication login default raidus tacacs+
hq-sanjose(config)# aaa authorization auth-proxy default tacacs+ radius
hq-sanjose(config)# tacacs-server host 172.31.54.143
hq-sanjose(config)# tacacs-server key vne
hq-sanjose(config)# radius-server host 172.31.54.143
hq-sanjose(config)# radius-server key vne

2. Cấu hình HTTP server
- Để sử dụng Authentication Proxy, bạn sẽ phải enable HTTP server trên firewall và cấu hình HTTP server authentication sử dụng phương thức AAA. Nhập những câu lệnh bên dưới đây ở chế độ global configuration để thực hiện cấu hình:
example:
hq-sanjose(config)# ip http server
hq-sanjose(config)# ip http authentication aaa

3. Cấu hình Authentication Proxy.
- Để cấu hình Authentication Proxy, sử dụng những câu lệnh sau đây ở chế độ global configuration:
example:
hq-sanjose(config)# ip auth-proxy auth-cache-time 60
hq-sanjose(config)# ip auth-proxy auth-proxy-banner
hq-sanjose(config)# ip auth-proxy name VNE_User http
hq-sanjose(config)# interface fa0/0
hq-sanjose(config-if)# ip auth-proxy VNE_User
hq-sanjose(config)# exit
hq-sanjose# copy run start

- Để kiểm tra authentication proxy sử dụng câu lệnh: show ip auth-proxy configuration.
[Click here to Read More]

Cấu hình WCCP

Cấu hình WCCP PDF Print E-mail
Trong phần này sẽ giới thiệu với các bạn phương pháp cấu hình dịch vụ web cache trên Catalyst 3560 Switch (chức năng này giống như chức năng của thiết bị Cisco Cache Engine 550) bằng cách sử dụng giao thức Web Cache Communication Protocol (WCCP). Những Cisco IOS cho các dòng Catalyst 3560 Switch chỉ có khả năng hỗ trợ duy nhất WCCP version 2 (WCCPv2).


- WCCP là một công nghệ content-routing được phát triển bởi Cisco, cho phép bạn có thể sử dụng để tích hợp với các application engine vào trong một kiến trúc mạng hợp nhất. Những application engines là trong suốt (không thể nhìn thấy) được dùng để lưu trữ những nội dung thường xuyên truy cập và sau đó hoàn thành lần lượt những yêu cầu có cùng nội dung đã được lưu trữ, để giới hạn những quá trình lặp đi lặp lại của những nội dung giống nhau từ các web server. Các application engines giúp cho quá trình truyền tải nội dung của các trang web nhanh hơn và đảm bảo cho những khả năng mở rộng và tính sẵn sàng sử dụng những nội dung của các web server. Trong một mạng của nhà cung cấp dịch vụ, bạn có thể triển khai WCCP và những giải pháp application engine tại các POPs (points of presence). Trong một enterprise network, bạn có thể triển khai WCCP và những giải pháp engine solution tại các regional site và các branch office.

- Để cấu hình được chức năng này trên Catalyst 3560 Switch thì bạn sẽ phải chạy một IP services Image (EMI).

- Giới thiệu về WCCP sẽ bao gồm các phần sau:
    + Phần I: Tìm hiểu WCCP.
    + Phần II: Cấu hình WCCP.
    + Phần III: Giám sát và duy trì WCCP.

Phần I: Tìm hiểu WCCP.

1. Tìm hiểu WCCP.

- Giao thức WCCP và Cisco cache engines (hoặc các application engines đang chạy WCCP) sẽ xác định được những lưu lượng thường xuyên được truyền trong một hệ thống mạng, sau đó cho phép trả lời những yêu cầu về sau nhưng cùng của các nội dung đó.

- WCCP chỉ có khả năng hỗ trợ trên các Cisco router và các switch để có thể trực tiếp trả những yêu cầu có cùng một nội dung đã được lưu trữ. Với chức năng đó, các người dùng không cần thiết phải cấu hình các trình duyệt web của mình để sử dụng một Web Proxy. Thay vào đó, chúng có thể sử dụng một target URL để yêu cầu nội dung, và những yêu cầu đó sẽ tự động được chuyển đến một application engine. Khi người dùng truy cập đến một web server nào đó thì toàn bộ những nội dung yêu cầu đến webserver đó đều được chuyển đến một application engine mà người dùng không hề biết rằng mình đang lấy nội dung web site đó là từ application engine.

- Khi một application engine nhận được một yêu cầu, thì nó sẽ cố gắng trả lời yêu cầu này từ chính cache nằm trên nó. Nếu những thông tin yêu cầu mà không được tìm thấy trong cache, thì application engine sẽ gửi một yêu cầu riêng lẻ đến server cuối cùng để lấy về những thông tin cần thiết để trả lời. Sau khi nhận những thông tin yêu cầu, thì application engine sẽ chuyển những thông tin đó đến client đã yêu cầu thông tin đó và sẽ lưu thông tin đó vào cache để trả lời cho những yêu cầu lần sau.

- Với WCCP, thì application-engine cluster (một chuỗi của các application engines) có thể chạy trên nhiều router hoặc switch. Hình 1.1

hình 1.1



2. Trao đổi thông điệp WCCP.

Những chuỗi sự kiện sau sẽ mô tả quá trình trao đổi các thông điệp của giao thức WCCP:

- Các application engines sẽ gửi các địa chỉ IP của chúng đến switch đã được enable WCCP bằng cách sử dụng giao thức WCCP, những tín hiệu này sẽ được biểu diễn thông qua một thông điệp "Here I am". Switch và các application engine sẽ giao tiếp với nhau thông qua một kênh điều khiển dựa trên UDP port 2048.

- Các switch được enable WCCP sẽ sử dụng thông tin về địa chỉ IP của application engine để tạo một cluster view (là một danh sách của các application engines trong một cluster). Cluster View này sẽ gửi một thông điệp "I see you" đến mỗi application engine trong cluster, về bản chất là Cluster View sẽ đánh dấu tất cả các application engines để phân biệt được mỗi application engine với nhau. Một Stable View sẽ được thiết lập sau khi các thành viên của cluster còn lại cùng một khoảng thời gian nào đó.

- Khi một Stable View được thiết lập, thì application engine trong cluster với địa chỉ IP thấp nhất sẽ được bầu chọn với vai trò là: designated application engine.

3. Quá trình WCCP Negotiation.

Trong quá trình trao đổi các thông điệp của giao thức WCCP, thì designated application engine và các switch đã enable WCCP sẽ thực hiện các quá trình đàm phán sau.

- Forwarding method (với phương thức này thì switch sẽ chuyển các gói tin đến application engine). Switch sẽ thay đổi lại Layer 2 header bằng cách thay thế địa chỉ MAC đích của gói tin thành một địa chỉ MAC của target application engine. Sau đó switch sẽ chuyển gói tin này đến application engine. Forwarding method cần một target application engine để kết nối trực tiếp đến switch ở layer 2.

- Assignment method (với phương thức này thì các gói tin sẽ được phân phối đến các application engines trong cluster). Switch sẽ sử dụng một vài bit của địa chỉ IP đích, địa chỉ IP nguồn, chỉ số port đích Layer 4, và chỉ số port nguồn Layer 4 để xác định xem application engine nào sẽ nhận những gói tin chuyển tiếp này.

- Packet-return method (với phương thức này thì các gói tin sẽ được gửi trở lại từ application engine đến switch). Những lý do dưới đây sẽ khiến một application engine hủy các gói tin đến và khởi động tính năng packet-return:

    + Application engine bị quá tải và không còn đủ bộ nhớ để thực hiện việc lưu thông tin gói tin đó lại.

    + Application engine nhận các thông điệp lỗi (như một giao thức hoặc một quá trình xác thực bị lỗi) từ web server và sử dụng tính năng tự động bypass trên client. Tính năng bypass sẽ cho phép các client sẽ không đi qua các application engines và trực tiếp thực hiện việc kết nối đến web server.

4. MD5 Security

- WCCP cung cấp một tùy chọn thành phần bảo mật trong mỗi thông điệp để cho phép switch có thể sử dụng phương pháp xác thực MD5 trên mỗi một thông điệp giữa switch và application engine. Những thông điệp không xác thực bởi MD5 (Khi xác thực của switch được enable) thì sẽ bị hủy bởi switch. Chuỗi ký tự của password kết hợp với một giá trị của MD5 để tạo ra một kết nối bảo mật giữa switch và application engine. Bạn sẽ phải cấu hình cùng một password trên mỗi một application engine.

5. Gói tin chuyển tiếp và Các nhóm dịch vụ

- Bạn có thể cấu hình WCCP để phân loại lưu lượng cho các gói tin chuyển tiếp, như: FTP, Proxy-web-cache handling, audio và các ứng dụng video. Sự phân loại này, được biết đến như một service group (nhóm dịch vụ), dựa trên loại giao thức (TCP hoặc UDP) và các chỉ số port nguồn và port đích của Layer 4. Các nhóm dịch vụ được xác định bởi well-known names như: web-cache, với TCP port là 80 hoặc một dịch vụ nào có chỉ số port từ 0 đến 99. Các nhóm dịch vụ được cấu hình để ánh xạ một giao thức và một chỉ số port của Layer 4 và thiết lập, duy trì chúng một cách độc lập. WCCP cho phép tạo các nhóm dịch vụ một cách tự động, ở đó sự phân loại theo tiêu chuẩn được cung cấp một cách tự động bởi các application engine.
- Bạn có thể cấu hình tối đa là 8 nhóm dịch vu trên một switch howacj switch stack và tối đa là 32 client trên một nhóm dịch vụ đó. WCCP sẽ duy trì thứ tự ưu tiên của các nhóm dịch vu trong các nhóm đã được định nghĩa. WCCP sử dụng priority để cấu hình các nhóm dịch vu trong một phần cứng của switch. Cho ví dụ, nếu nhóm dịch vụ 1 có giá trị priority là 100 và đang trả lời thông tin cho một gói tin có port đích là 80, và một nhóm dịch vụ 2 có giá trị priority là 50 và đang trả lời thông tin cho một gói tin có port nguồn là 80, thì các gói tin đến với port nguồn và port đích là 80 sẽ được chuyển tiếp bằng cách sử dụng nhóm dịch vụ 1 bởi vì nhóm này có priority cao hơn.
- WCCP có khả năng hỗ trợ một cluster của các application engines cho mọi nhóm dịch vụ. Các lưu lượng chuyển tiếp có thể được gửi đến mọi application engine trong một cluster. Switch hỗ trợ assignment method để có thể thực hiện cân bằng tải cho những lưu lượng của các application engine trong một cluster cho một nhóm dịch vụ.
- Sau khi WCCP được cấu hình trên switch, thì switch sẽ chuyển tiếp tất cả các gói tin của các nhóm dịch vụ nhận được từ client đến các application engine. Tuy nhiên, sẽ có những gói tin sau sẽ không được chuyển tiếp:
    + Các gói tin đến từ applicatin engine và đích đến là webserer.
    + Các gói tin từ các application engine và đích đến là các client
    + Các gói tin returned hoặc rejected bởi application engine. Những gói tin này sẽ gửi đến web server.
- Bạn có thể cấu hình một địa chỉ multicast trên một nhóm dịch vụ cho các thông điệp gửi và nhận. Khi đã có một địa chỉ multicast, thì application engine sẽ gửi một cảnh báo đến một địa chỉ, với phương pháp đó có thể cung cấp thông tin cho tất cả các router trong một nhóm dịch vụ, cho ví dụ: 225.0.0.0. Nếu bạn thêm hoặc xóa bỏ các router một cách tự động, sử dụng một địa chỉ multicast để cung cấp việc cấu hình đó một cách dễ dàng bởi vì bạn không cần phải nhập vào một địa chỉ cho tất cả các thiết bị trong mạng WCCP.
- Bạn có thể sử dụng một danh sách của nhóm các router để xác nhận tính hợp lệ của các gói tin nhận được từ các application engine. Các gói tin sẽ phải tương ứng với địa chỉ trong danh sách của nhóm đó, các gói tin không tương thích với địa chỉ trong nhóm danh sách đó sẽ bị drop.
- Để disable cache cho các client, server hoặc cặp client/server, bạn có thể sử dụng một WCCP redirect Access Control List (ACL). Các gói tin tương ứng với redirect ACL sẽ truyền không thông qua cache và được chuyển tiếp một cách bình thường.
- Trước khi các gói WCCP bị chuyển tiếp, thì switch sẽ kiểm tra ACLs liên quan với tất cả các gói tin đến đã được cấu hình trên interface và cho phép hoặc không cho phép các gói tin đó tiếp tục chuyển tiếp dựa trên sự tương ứng của các gói tin đó với toàn bộ ACL đã được định nghĩa.

6. Các tính năng không hỗ trợ trên WCCP.

Những tính năng sau đây sẽ không được WCCP hỗ trợ trong các phiên bản IOS của Cisco đã ban hành:
- Các gói tin chuyển tiếp trên một interface ra đã được cấu hình bằng cách sử dụng câu lệnh: ip wccp redirect out ở chế độ interface configuration. Câu lệnh này không được hỗ trợ.
- Phương thức GRE Forwarding cho các gói tin chuyển tiếp cũng không được hỗ trợ
- Phương thức hash assignment cho cơ chế cân bằng tải cũng không được hỗ trợ
- Không có phiên bản của giao thức SNMP nào được WCCP hỗ trợ.

Phần II: Cấu hình WCCP.
Trong phần cấu hình WCCP sẽ bao gồm những chủ đề sau:
- Cấu hình WCCP mặc định
- Cấu hình WCCP theo hướng dẫn.
- Enabel dịch vụ Web Cache.

1. Cấu hình WCCP mặc định
- Bảng 1.2 hiển thị các tham số cấu hình mặc định của giao thức WCCP

Bảng 1.2



2. Cấu hình WCCP theo hướng dẫn.

Trước khi bạn thực hiện cấu hình WCCP trên switch của bạn, bạn phải chắc chắn rằng đã lắm được những hướng dẫn cấu hình sau:

- Các application engine và switch trong cùng một nhóm dịch vụ sẽ phải thuộc cùng một subnetwork.

- Phải cấu hình các interface của switch đang kết nối trực tiếp đến các web client, application engine và các web server hoạt động như một interface hoạt động ở Layer 3 (routed port và SVI). Khi các gói tin chuyển tiếp của WCCP làm việc, thì các server, application engine và các client phải hoạt động trên các subnet khác nhau.

- Sử dụng duy nhất một địa chỉ multicast không được dành riêng khi cấu hình một địa chỉ multicast cho mỗi một application engine.

- Toàn bộ danh mục của WCCP và PBR sử dụng cùng một TCAM region. WCCP có khả năng hỗ trợ duy nhất trên các templates có hỗ trợ PBR: access, routing, và dual IPv4/v6 routing.

- Khi các danh muc của TCAM không có khả năng thêm vào các danh mục của WCCP, thì các gói tin sẽ không được chuyển tiếp và được truyền đi bằng cách sử dụng các bảng định tuyến chuẩn.

- Số lượng nhãn của PBR (policy-based routing) sẽ bị hạn chế như các interface được phép enable WCCP ingress redirection. Mọi interface khác vẫn có khả năng hỗ trợ các nhóm dịch vụ, một nhãn sẽ bị dùng hết. Các nhãn WCCP sẽ được tạo ra từ các nhãn PBR. Khi các nhãn không có khả năng sử dụng, thì switch sẽ không thể thêm các nhóm dịch vụ. Tuy nhiên, nếu một interface khác có cùng chuỗi của các nhóm dịch vụ, thì một nhãn mới sẽ không cần thiết, và nhóm đó vẫn được phép thêm vào interface.

- Kích thước của MTU trên một switch sẽ phải lớn hơn kích thước của MTU trên các client. Kích thước của MTU MAC-layer được cấu hình trên các port kết nối trực tiếp với các application engine.

- Bạn không thể cấu hình WCCP và VPN routing/forwarding (VRF) trên cùng một interface của switch.

- Bạn không thể cấu hình WCCP và PBR trên cùng một interface của switch.

- Bạn không thể cấu hình WCCP và một private VLAN (PVLAN) trên cùng một interface của switch

3. Enabel dịch vụ Web Cache.

- Khi các gói tin chuyển tiếp của WCCP đã hoạt động, thì bạn sẽ phải cấu hình các interface của switch kết nối trực tiếp vào các client để thực hiện chuyển tiếp các gói tin inbound.

- Các thủ tục sau đây sẽ mô tả phương pháp để cấu hình những tính năng đó trên một port routed. Để cấu hình những tính năng đó trên một interface SVI, thì các bạn cũng có thể tham khảo luôn với ví dụ bên dưới.

- Bắt đầu cấu hình ở chế độ Privileged EXEC, những bước sau sẽ được dùng để enable dịch vụ Web Cache, để cấu hình một địa chỉ multicast cho một nhóm hoặc một danh sách các nhóm, để cấu hình một interface routed, để chuyển tiếp các gói tin inbound nhận được từ các client đến các application engine, enable một interface để lắng nghe cho một địa chỉ multicast, và cuối cùng là cấu hình một password.

- Trong ví dụ bên dưới sẽ mô tả cách cấu hình các routed interface và enable dịch vụ web cache với một địa chỉ nhóm multicast và một redirect ACL. Gigabit ethernet port 1 đang kết nối trực tiếp với application engine, cấu hình port này như một routed port với một địa chỉ IP 172.20.10.30, và re-enabled. Gigabit Ethernet port 2 đang kết nối trực tiếp thông qua internet đến web server, và cấu hình port đó như một routed port với một địa chỉ ip là 175.20.20.10, và re-enabled. Các Gigabit ethernet port 3 đến 6 đang kết nối trực tiếp đến các client và được cấu hình như một routed port với các địa chỉ ip là: 175.20.20.20, 175.20.40.30, 175.20.50.40 và 175.20.60.50. Switch sẽ lắng nghe các lưu lượng multicast và chuyển tiếp các gói tin nhận được từ các interface kết nối với các client đến application egine.

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# ip wccp web-cache 80 group-address 224.1.1.100 redirect list 12
Switch_3560_VNE(config)# access-list 12 permit host 10.1.1.1
Switch_3560_VNE(config)# interface gigabitethernet 0/1
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 172.20.10.30 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache grop-listen
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/2
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.20.10 255.255.255.0
Switch_3560_VNE(config-if)# no shut
Switch_3560_VNE(config)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/3
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.30.20 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/4
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.40.30 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/5
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.50.40 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet 0/6
Switch_3560_VNE(config-if)# no switchport
Switch_3560_VNE(config-if)# ip address 175.20.60.50 255.255.255.0
Switch_3560_VNE(config-if)# no shutdown
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit

- Để disable dịch vụ web cache, sử dụng câu lệnh: no ip wccp web-cache ở chế độ global configuration. Để disable các gói tin chuyển tiếp inbound, sử dụng câu lệnh: no ip wccp web-cache redirect in ở chế độ interface configuration. Sau khi hoàn thành những câu lệnh này, thì bạn sẽ cấu hình các application engine trên mạng.

- Ví dụ thứ 2 sẽ mô tả phương pháp để cấu hình SVI và enable dịch vụ web cache với một danh sách của nhóm multicast. VLAN 299 đã được tạo và được cấu hình với một địa chỉ IP là 175.20.20.10. Gigabit ethernet port 1 đang kết nối trực tiếp thông qua internet đến web server và được cấu hình như một access port trong VLAN 299. VLAN 300 đã được tạo và được cấu hình với một địa chỉ IP: 172.20.10.30. Gigabit ethernet port 2 đang kết nối trực tiếp đến application engine và được cấu hình như một access port trong VLAN 300. VLAN 301 đã tạo và cấu hình với một địa chỉ IP là 175.20.30.50. Fast Ethernet port từ 3 đến 6, đang kết nối trực tiếp vào các client, đã được cấu hình với vai trò là access port trong VLAN 301. Switch sẽ chuyển tiếp các gói tin nhận được từ các interface kết nối với các client đến application engine.

example:
Switch_3560_VNE# configure terminal
Switch_3560_VNE(config)# ip wccp web-cache 80 group-list 15
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.102
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.104
Switch_3560_VNE(config)# access-list 15 permit host 171.69.198.106
Switch_3560_VNE(config)# vlan 299
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 299
Switch_3560_VNE(config-if)# ip address 175.20.20.10 255.255.255.0
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet0/1
Switch_3560_VNE(config-if)# switchport mode access
Switch_3560_VNE(config-if)# switchport access vlan 299
Switch_3560_VNE(config)# vlan 300
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 300
Switch_3560_VNE(config-if)# ip address 172.20.10.30 255.255.255.0
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface gigabitethernet0/2
Switch_3560_VNE(config-if)# switchport mode access
Switch_3560_VNE(config-if)# switchport access vlan 300
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# vlan 301
Switch_3560_VNE(config-vlan)# exit
Switch_3560_VNE(config)# interface vlan 301
Switch_3560_VNE(config-if)# ip address 175.20.30.20 255.255.255.0
Switch_3560_VNE(config-if)# ip wccp web-cache redirect in
Switch_3560_VNE(config-if)# exit
Switch_3560_VNE(config)# interface range gigabitethernet0/3 - 6
Switch_3560_VNE(config-if-range)# switchport mode access
Switch_3560_VNE(config-if-range)# switchport access vlan 301
Switch_3560_VNE(config-if-range)# exit

Phần III: Giám sát và duy trì WCCP
- Để giám sát và duy trì WCCP, bạn có thể sử dụng một trong số các câu lệnh sau ở chế độ Privileged Exex
Switch_3560_VNE# clear ip wccp web-cache
Switch_3560_VNE# show ip wccp web-cache
Switch_3560_VNE# show ip wccp web-cache detail
Switch_3560_VNE# show ip interface
Switch_3560_VNE# show ip wccp web-cache view
[Click here to Read More]
Top