Đề tài Core Network

Router biên (Edge Router) là các router nằm ở biên mạng của nhà cung cấp dịch vụ ISP (Internet Service Provider). Đó là các router nằm ở vùng biên giới, để kết nối giữa mạng nội bộ (LAN) với mạng diện rộng (WAN), nhằm lựa chọn đường lưu thông tốt nhất cho việc gửi và nhận các gói tin. Ví dụ: những con router kết nối với mạng khách hàng. Còn router lõi (Core router) là các router nằm bên trong của mạng ISP, việc chia subnet cho các router không phụ thuộc vào các router đó ở đâu mà phụ thuộc vào cách quy hoạch mạng.

docx63 trang | Chia sẻ: tuandn | Lượt xem: 4519 | Lượt tải: 3download
Bạn đang xem trước 20 trang tài liệu Đề tài Core Network, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN ((( BÁO CÁO ĐỀ TÀI MÔN HỌC: MẠNG VIỄN THÔNG Đề tài : CORE NETWORK GV hướng dẫn : ThS Ngô Đắc Thuần TP Hồ Chí Minh ngày 12 tháng 05 năm 2011 MỤC LỤC Chương I : Router Router biên: 5 Định nghĩa 6 Chức năng 6 Các giao thức định tuyến cho Router biên Giao thức định tuyến OSPF 7 Giao thức định tuyến BGP 9 Các dịch vụ đi kèm với Router biên DNS 11 Định nghĩa Hoạt động Cấu trúc gói tin DNS DHCP 13 Định nghĩa Hoạt động Cấu trúc của DHCP Message NAT 14 Định nghĩa Chức năng Hoạt động VPN 16 Định nghĩa Phân loại Firewall 17 Firewall trên Router ACL Phân loại Những chú ý khi áp dụng ACLs Hạn chế của ACLs. Chuyển đổi giữa IPv4 và IPv6 20 Ưu điểm của IPv6 24 Cơ chế chuyển đổi 24 Chương II: SWITCH Giới thiệu tổng quan về SW 27 Vai trò của SW 29 Ở lớp Access Ở lớp Distribuiton Ở lớp Core Đặc tính của SW cơ bản 32 Hoạt động của SW 35 Chức năng của SW Cách học địa chỉ của SW Quá trình chuyển mạch của SW Độ trễ mạng Các giao thức và cơ chế hỗ trợ SW 36 STP Chia VLAN VTP Inter VLAN Layer 3 Forwading. Chương 3 : MPLS Khái quát MPLS 35 MPLS lá gì Chức năng của MPLS Lợi ích của MPLS Các thành phần trong MPLS 36 Các thành phần trong MPLS Các khái niệm trong MPLS Phần chức năng chuyển gói tin Phần chức năng điều khiển của MPLS Ứng dụng cơ bản của MPLS 42 Định tuyến phân cấp Ứng dụng MPLS trên nền ATM Kỹ thuật lưu lượng trong MPLS Mạng riêng ảo VPN MPLS tại Việt Nam 45 Router biên: Định nghĩa: Router biên (Edge Router) là các router nằm ở biên mạng của nhà cung cấp dịch vụ ISP (Internet Service Provider). Đó là các router nằm ở vùng biên giới, để kết nối giữa mạng nội bộ (LAN) với mạng diện rộng (WAN), nhằm lựa chọn đường lưu thông tốt nhất cho việc gửi và nhận các gói tin. Ví dụ: những con router kết nối với mạng khách hàng. Còn router lõi (Core router) là các router nằm bên trong của mạng ISP, việc chia subnet cho các router không phụ thuộc vào các router đó ở đâu mà phụ thuộc vào cách quy hoạch mạng. Chức năng: Router có chức năng tìm đường đi tốt nhất trong mạng và forward gói tin. Tuy nhiên tùy loại router mà chức năng này sẽ khác nhau. Đối với core router thì việc tìm đường đi và forward gói tin này được diễn ra ở nội bộ bên trong của mạng LAN. Còn edge router thì có một sự tương phản với Core router, việc liên lạc này được diễn ra giữa các mạng với nhau. Có nhiều loại router biên với nhiều chức năng khác nhau. Ví dụ: một LER(Lable Edge Router) sử dụng mạng MPLS làm nhiệm vụ kiểm tra việc đóng nhãn của các gói tin khi đi tới. Nếu nó phát hiện không có nhãn thì nó sẽ làm nhiệm vụ đóng nhãn cho gói tin đó. Còn nếu có nhãn thì nó sẽ tra cứu trong bảng chứa thông tin nhãn dùng để forward các gói tin(LFIB) và thực hiện thay thế nhãn hay gắn thêm nhãn rồi chuyển tới next hop tiếp theo. Khi gói tin ra khỏi mạng MPLS thì router biên sẽ tháo hết nhãn ra và thực hiện routing bình thường. Còn các router lõi thì chỉ có nhiệm vụ thay thế nhãn và chuyển mạch. Các giao thức định tuyến cho router biên: Có nhiều giao thức được dùng để định tuyến cho router biên. Tuy nhiên ở đây ta chỉ xét 2 giao thức tiêu biểu nhất, đó là OSPF và BGP. Giao thức định tuyến OSPF: Định nghĩa: Giao thức OSPF là một giao thức đặc trưng cho kiểu Interior Gateway Protocol (IGP), hoạt động theo kiểu trạng thái liên kết (link state protocol). Bắt đầu được xây dựng vào năm 1988 và hoàn thành vào năm 1991. Nó sử dụng thuật toán tìm ra tuyến đường đi ngắn nhất mô tả cụ thể các tuyến đường nên chọn để đến được đích.OSPF có nhiều tính năng mà các giao thức distance vector không có. Việc hỗ trợ các tính năng này đã khiến cho OSPF trở thành một giao thức định tuyến khá phức tạp nhưng được sử dụng rộng rãi trong các môi trường mạng lớn. Trong thực tế, RFC 1812 (đưa ra các yêu cầu cho bộ định tuyến IPv4) - đã xác định OSPF là giao thức định tuyến động duy nhất cần thiết phục vụ cho các mạng lớn hiện nay. Tính chất: Đây chính là một số tính năng tiêu biểu đã tạo nên thành công của giao thức này: Cân bằng tải giữa các tuyến cùng cost (load balancing): Việc sử dụng cùng lúc nhiều tuyến cho phép tận dụng có hiệu quả tài nguyên băng thông trên mạng. Phân chia mạng một cách logic: Điều này làm giảm bớt các thông tin phát ra trong những điều kiện bất lợi. Nó cũng giúp kết hợp các thông báo về định tuyến, hạn chế việc phát đi những thông tin không cần thiết về mạng. Hỗ trợ chứng thực (authentication): OSPF hỗ trợ chứng thực cho tất cả các node phát thông tin quảng cáo định tuyến. Điều này hạn chế được nguy cơ thay đổi bảng định tuyến với mục đích xấu. Thời gian hội tụ (convergence) nhanh hơn các giao thức khác: OSPF cho phép truyền các thông tin về thay đổi các đường paths một cách tức thì. Điều đó giúp rút ngắn thời gian hội tụ cần thiết để cập nhật thông tin cấu hình mạng. Hỗ trợ CIDR và VLSM: Điều này cho phép nhà quản trị mạng có thể phân phối nguồn địa chỉ IP một cách có hiệu quả hơn. c. Cách thức hoạt động của OSPF: Trước khi router tiến hành truyền thông tin cho các devides khác trong mạng, nó sẽ xác định các neighbors đang được kết nối trực tiếp với nó bằng cách gửi gói tin Hello packets ra tất cả các interfaces của nó. Trong gói Hello packet có chứa thông tin OSPF Router ID của router gửi. Router ID: đơn giản là IP address. Router ID được sử dụng dựa theo thứ tự sau: Sử dụng IP address từ câu lệnh router-id. Nếu router không được cấu hình câu lệnh router-id thì nó sẽ lấy địa chỉ IP cao nhất của các loopback interfaces(dùng loopback interface có thuận lợi là nó không bao giờ rơi vào trạng thái down cả). Nếu không có loopback interfaces nào được cấu hình, router sẽ lầy địa chỉ IP cao nhất của các interfaces vật lý. Sau khi nhận được thông tin phản hồi từ các gói Hello packets mà các router neighbors gửi về, router sẽ tiến hành phân chia các neighbors. Quá trình này được xác định dựa vào thông số cost trong mạng. Cách tình cost của OSPF: cost = 108/bps. Dựa vào cost mà router sẽ tính toán được đường đi tốt nhất trong mạng. Lựa chọn Designated Router (DR) và Backup Designated Router (BDR) DR sẽ update cho tất cả các router khác trong mạng khi có sự thay đổi xuất hiện trong mạng multi – access. BDR cũng hoạt động giống như DR nhưng khi DR đã bị ngừng hoạt động. Quá trình lựa chọn DR và BDR: Router có số interface priority cao nhất được chọn làm DR. Router có số interface priority cao thứ hai được chọn làm BDR. Trong trường hợp số interface priority bằng nhau, thì việc lựa chọn sẽ dựa vào Router ID (RID). Các thông số về thời gian: Hello interval: xác định chu kỳ gửi các gói hello packets. Đối với multi-access segments hay point- to –point segments thì là 10s. Đối với non-broadcast multi-access segments(NBMA) như là Frame Relay, X.25 hay ATM thì là 30s. Dead interval: là khoảng thời gian mà router chờ gói hello packet phản hồi từ các neighbors trước khi đưa nó về trạng thái “down”. Mặc định thời gian này sẽ gấp 4lần thời gian hello interval : đối với multi-access segments hay point – to – point segmets là 40s, đối với non-broadcast multi-access segments là 120s. Chú ý: Nếu dead interval kết thúc mà router chưa nhận được gói hello packet phản hồi thì giao thức OSPF sẽ loại bỏ router neighbor ra khỏi link-state database và sẽ gửi thông báo về trạng thái “down ” của router này cho các neighbors khác trong mạng. Vấn đề chứng thực (authentication): cũng giống như các giao thức khác, OSPF cũng được hỗ trợ chứng thực. Authentication đảm bảo rằng router sẽ nhận được các routing information từ các router khác đã được cấu hình cùng password hoặc authentication information. Giao thức định tuyến BGP: Định nghĩa: BGP là giao thức đặc trưng cho kiểu Exterior Gateway Protocol (EGP), là giao thức để kết nối các mạng rất lớn hoặc các Autonomuos System (AS). Đây là một giao thức khá phức tạp được dùng nhiều trên Internet và các công ty đa quốc gia. Mục đích của giao thức ngoại BGP không chỉ là tìm ra đường đi trong mạng mà còn cho phép người quản trị tìm ra các AS của các mạng. Autonomous-System (AS) là một nhóm các router cùng chia sẻ một chính sách hay hoạt động trong cùng một miền nhất định. Mỗi AS được định danh bởi một số( loại Public từ 1-64511, loại Privite từ 64512- 65535)và được cung cấp bởi một nhà cung cấp AS hoặc bởi ISP. Một số thuộc tính cơ bản của BGP: AS- Path:là thuộc tính quan trọng trong việc xác định đường đi tối ưu(AS-Path càng ngắn thì càng được router ưu tiên) và để ngăn ngừa loop. Thuộc tính Origin-attribute: là thuộc tính xác định nguồn gốc các routing thông tin cập nhật định tuyến (“i”: IGP, “e”: EGP). Thuộc tính Next hop attribute:là địa chỉ của router bên ngoài vùng tự trị AS quảng bá vào bên trong AS. Thuộc tính Local Preference: được diễn tả bằng một con số và được so sánh để tìm đường đi đến đích khi ra khỏi một AS (Local Preference cao sẽ được chọn). Thuộc tính Weight: Router sẽ ưu tiên dùng câu route có giá trị Weight cao hơn. Thuộc tính Multi-Exit-Disc(MED): là một thuộc tính được AS dùng để tham chiếu trong việc chọn router nào để đến cùng một đích trong một AS. Thuộc tính Community attribute: cung cấp các chính sách cho một nhóm các router đi qua một AS. Là thuộc tính không bắt buộc. Hoạt động của BGP: BGP là giao thức định tuyến dạng Path-vector nên việc lựa chọn đường đi tốt nhất thông thường dựa trên một tập hợp các thuộc tính được gọi là Attribute. Do sử dụng metric khá phức tạp, BGP được xem là một trong những giao thức phức tạp. Nhiệm vụ của BGP là đảm bảo thông tin liên lạc giữa các AS, trao đổi thông tin định tuyến và cung cấp thông tin về trạm cuối cho mỗi đích đến. Trong giai đoạn đầu của phiên thiết lập quan hệ BGP, toàn bộ các thông tin routing-update sẽ được gửi. Sau đó, BGP sẽ chuyển sang cơ chế dùng trigger-update. Bất kỳ một thay đổi nào trong hệ thống mạng cũng sẽ là nguyên nhân để gửi trigger-update. So sánh giữa OSPF và BGP: OSPF  BGP   - Là giao thức kiểu IGP, dạng link state. - Quảng bá thông tin hiện có đến các láng giềng. - Chống loop kém. - Cân bằng tải. - Không biết được topology mạng - Gói tin đi từ nguồn đến đích mà không quan tâm đến policy  - Là giao thức kiểu EGP, dạng path vector. - Quảng bá thông tin đến danh sách toàn bộ đường dẫn dến đích. - Có khả năng phát hiện loop và loại bỏ ngay lập tức. - Không cân bằng tải. - Biết được topology của mạng. - Hỗ trợ chính sách định tuyến (policy).   Các dịch vụ đi kèm với router biên: DNS (Domain Name System): Định nghĩa: DNS là hệ thống tên miền được phát minh vào năm 1984 cho Internet, là hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP với tên miền. Ta có thể hiểu đơn giản là DNS giống như một “Danh bạ điện thoại”, mỗi một tên tương ứng với một số điện thoại và ngược lại. Ví dụ: tên miền www.cisco.com có địa chỉ IP tương ứng là 198.133.219.25 Cách thức hoạt động: DNS phân giải các tên miền thành các địa chỉ IP tương ứng giúp tạo sự dễ dàng, thuận lợi cho người truy cập mạng. DNS sử dụng một hệ thống phân tầng gồm các DNS Server tạo cơ sở dữ liệu cho việc phân giải các tên miền thành các địa chỉ IP. DNS có khả năng yêu cầu các DNS Server khác hỗ trợ trong việc phân giải tên miền thành địa chỉ IP. DNS Server có khả năng ghi nhớ lại những tên miền vừa phân giải để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên miền phân giải được lưu lại tùy thuộc vào quy mô của từng DNS. Ví dụ: mỗi một website có mọt tên và một địa chỉ IP riêng. Khi mở một trình duyệt web lên và truy nhập tên website, trình duyệt web sẽ gửi yêu cầu lên DNS Server để xin địa chỉ IP tương ứng với tên miền đó. Khi đó DNS Server sẽ dịch tên miền ra địa chỉ IP tương ứng và gửi về cho trình duyệt web. Trình duyệt web sẽ dùng địa chỉ IP mới nhận được này để truy cập đến website cần vào. Các DNS Server hỗ trợ lẫn nhau để dịch địa chỉ Ip thành tên miền và ngược lại. Cấu trúc của gói tin DNS: Một gói tin DNS có dạng: ID QR Opcode AA TC RD RA Z Rcode QDcount ANcount NScount ARcount ID (16 bits): chứa mã nhận dạng. Mã này được tạo ra bởi một chương trình để thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này để hồi đáp lại. Chính vì vậy mà truy vấn và hồi đáp có thể phù hợp với nhau. QR(1 bit): có giá trị là 0 ↔ truy vấn; 1 ↔hồi đáp. Opcode(4 bits): được thiết lập là 0 ↔ cờ hiệu truy vấn; 1 ↔ truy vấn ngược; 2 ↔ tình trạng truy vấn. AA(1bit):nếu gói tin là hồi đáp, nó sẽ đi đến một server có thẩm quyền giải quyết truy vấn. TC(1bit):cho biết gói tin có bị cắt khúc do kích thước vượt quá băng thông cho phép hay không. RD(1bit): cho biết truy vấn muốn server tiếp tục truy vấn một cách đệ quy. RA(1bit):cho biết truy vấn đệ quy có được thực thi trên router hay không. Z(1bit):là trường dự trữ, và được thiết lập là 0. Rcode(4bits): gói tin hồi đáp có thể nhận các giá trị sau: 0: không có lỗi trong quá trình truy vấn. 1: định dạng gói tin bị lỗi, server không hiểu được truy vấn. 2: Server bị trục trặc, không thực hiện hồi đáp được. 3: Tên bị lỗi. Chỉ có Server có đủ thẩm quyền mới có thể thiết lập giá trị này. 4: không thi hành, Server không thể thực hiện chức năng này. 5: Server từ chối thực thi truy vấn. QDcount:số lần truy vấn của gói tin trong một vấn đề. ANcount: số lượng tài nguyên tham gia trong phần trả lời. NScount: số lượng tài nguyên được ghi lại trong các phần có thẩm quyền của gói tin. ARcount: số lượng tài nguyên ghi lại trong phần thêm vào của gói tin. DHCP(Dynamic Host Configuration Protocol): Định nghĩa: Giao thức cấu hình động máy chủ - DHCP – là một giao thức cấu hình tự động địa chỉ IP. Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích là để tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP. Nếu không có DHCP, các máy có thể cấu hình IP bằng tay, nhưng sẽ mất nhiều thời gian. Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, như DNS. Hoạt động: Đầu tiên, DHCP Client sẽ gửi broadcast gói tin DHCP Discover chứa Mac Address và tên máy tính cho đến khi nhận được trả lời từ DHCP Server. Một DHCP Server sẽ trả lời bằng cách gửi unicast gói tin DHCP Offer chứa các thông tin về địa chỉ IP, subnet mask, default getway, DNS Server,…DHCP Client có thể nhận được nhiều DHCP Offer nếu như có nhiều DHCP Server cùng trả lời. DHCP Client gửi broadcast gói tin DHCP Request để xác định nó đã chọn địa chỉ IP và DHCP Server nào. Cuối cùng, DHCP Server sẽ gửi unicast gói tin DHCP Acknowledge cho DHCP Client để xác nhận toàn bộ quá trình. Cấu trúc của DHCP Message: NAT(Network Address Translation): Định nghĩa: NAT là một kỹ thuật chuyển đổi giữa private address và public address để giải quyết vấn đề IP shortage cũng như giúp các máy tính trong một mạng LAN có thể truy cập Internet bằng địa chỉ IP của ISP. Chức năng: NAT cho phép chia sẻ kết nối internet cho nhiều máy bên trong mạng LAN với một địa chỉ IP của mạng WAN. NAT có thể làm việc như một Firewall. NAT rất linh hoạt và sử dụng dễ dàng trong việc quản lý. Nhờ các ưu điểm trên mà NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với Internet một cách dễ dàng và hiệu quả cũng như tiết kiệm vốn đầu tư. Hoạt động: Static NAT: Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất. Các địa chỉ này được chứa trong bảng NAT Table. Static NAT rất hữu ích trong trường hợp những host cần phải có địa chỉ cố định để truy cập từ Internet. Những host này có thể là những public server: mail server, web server,… Dynamic NAT: khác với Static NAT, đối với Dynamic NAT, các địa chỉ IP được thay đổi liên tục mỗi lần host tạo kết nối ra ngoài. Khi đó, NAT sẽ lưu lại thông tin IP của host này trong NAT Table và khi host này không kết nối nữa thì địa chỉ IP này sẽ được sử dụng để cấp phát cho một host khác có nhu cầu kết nối ra ngoài. Vì vậy, ưu điểm của Dynamic NAT là tất cả các host đều có khả năng kết nối ra ngoài, còn Static NAT thì chỉ có những host được mapping mới có thể kết nối ra ngoài. PAT (Port Address Translation): PAT cung cấp chức năng giống như NAT nhưng PAT cho phép nhiều host có thể kết nối Internet cùng một lúc bằng cách chỉ dùng một địa chỉ IP public address (cho phép gán tới 65536 hosts cho một public address). Vì vậy, PAT được xem là NAT overload. PAT sẽ track và chuyển đổi: Source IP address, Destination IP address và TCP/UDP Source port Number. Nhờ vậy có thể phân biệt được giữa các gói tin của các host và nhiều host có thể kết nối ra ngoài cùng một thời điểm. VPN – dịch vụ mạng riêng ảo(Virtual Private Network): Định nghĩa: VPN là một công nghệ xây dựng một mạng riêng sử dụng hệ thống mạng công cộng (Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Ví dụ như nhu cầu truy cập từ xa mạng nội bộ để trao đổi dữ liệu hay sử dụng các ứng dụng ngày càng phổ biến. Thay vì dùng kết nối vật lý thật khá phức tạp(đường dây thuê bao số), dựa vào router, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại, gây mất thời gian và không an toàn. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, ví dụ như truyền trên các đường truyền ống riêng được gọi là tunnel. Để đảm bảo tính riêng tư và bảo mật, các gói tin được mã hóa và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp bị mất gói tin trên đường truyền. Phân loại: Có 2 loại được sử dụng phổ biến: VPN truy cập từ xa (Remote- Access) Còn được gọi là mạng Dial-up riêng ảo (VPDN),là một kết nối giữa người dùng đến mạng LAN, để đáp ứng nhu cầu liên lạc mạng riêng từ rất nhiều địa điểm ở xa. Ưu điểm của loại VPN này là cho phép các kết nối an toàn, có mật mã. Ví dụ: Một công ty muốn thiết lập một VPN lớn thì cần phải liên hệ với nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng NAS và cung cấp cho những người sử dụng từ xa (“văn phòng” tại gia hay nhân viên di động)một phần mềm client cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên lạc với NAS và dùng phần mềm VPN client để truy cập vào mạng riêng của công ty đó. VPN điểm nối điểm (Site –to -Site): Là việc sử dụng mật mã dành riêng cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet(VPN nội bộ) hay Extranet (VPN mở rộng). Intranet: ví dụ như công ty có một vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN nội bộ (Intranet) để nối LAN với LAN. Extranet: ví dụ công ty trên có mối quan hệ mật thiết với một công ty khác (đối tác cung cấp, khách hàng,…) họ có thể xây dựng một VPN mở rộng (Extranet) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Router là thiết bị cung cấp tính năng truyền dẫn, bảo mật được sử dụng trong VPN. Dựa vào hệ điều hành Internet IOS của mình, Cisco đã phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-văn phòng cho đến các doanh nghiệp có quy mô lớn. Bảo mật : Firewall trên router: Firewall cho VPN: Tường lửa là rào chắn vững chắc giữa