Trang 1 TỔNG HỢP CÁC LỆNH CẤU HÌNH THIẾT BỊ CISCO CƠ BẢN Cơ bản về thiết bị Cisco 2 Các lệnh cơ bản 3 Các lệnh cơ bản (dùng cho tất cả thiết bị Cisco) 3 Các lệnh xem thông tin và kiểm tra trạng thái 3.
TỔNG HỢP CÁC LỆNH CẤU HÌNH THIẾT BỊ CISCO CƠ BẢN Cơ thiết bị Cisco: Các lệnh bản: .3 Các lệnh (dùng cho tất thiết bị Cisco): Các lệnh xem thông tin kiểm tra trạng thái: Cấu hình cho giao tiếp mạng (interface): Tóm tắt cấu hình Switching: .5 Cấu hình VLAN: Gán port vào VLAN: Cấu hình Trunk mode cho port: Cấu hình VTP Server: Cấu hình VTP Client: Cấu hình Routing VLANs: Cấu hình Spanning-tree: Cấu hình EtherChannel: Các lệnh xem thông tin kiểm tra trạng thái Switch: Tóm tắt cấu hình Routing bản: Cấu hình Static Route: Cấu hình RIP v1: Cấu hình RIP v2: Cấu hình OSPF: Cấu hình EIGRP: Access-list: .9 Tạo Access-List: Gán Access-list vào interface: Khuyến nghị gán Access-list vào interface: Tạo Standard ACL: Tạo Extended ACL: HSRP / GLBP: 11 Cấu hình HSRP Router: .11 Cấu hình GLBP Router: .11 Các cấu hình khác Cisco Router 12 Cấu hình DHCP: 12 Cấu hình NAT (Network Address Translation – cho “mượn” địa IP ): 12 Cấu hình PAT (Port Address Translation – cho “mượn” địa Port ): 12 Trang Cơ thiết bị Cisco: - Là thiết bị mạng có Hệ Điều Hành (IOS) - Các thiết bị bật: Router, Switch, Firewall, Access Point… - Các thành phần bên thiết bị Cisco: - CPU: Xử lý tác vụ thiết bị, thực thi cấu hình người quản trị ROM: chứa POST (Power On Self Test) Bootstrap (chỉ thị khởi động IOS) RAM: chứa chương trình, cấu hình hoạt động (running-config) Flash: chứa Hệ điều hành (IOS) liệu người quản trị lưu vào NVRAM: Loại RAM không liệu điện Dùng lưu trữ tập lệnh cấu hình thiết bị Những tập lệnh tự nạp thiết bị khởi động (startup-config) Tên gọi cổng kết nối thiết bị Cisco: Console: cổng dùng để cấu hình thiết bị Kết nối với máy tính qua cổng RS-232 (cổng COM) cổng USB (tùy theo loại cáp Console) AUX (Auxiliary): cổng có chức tương tự Console Dùng giao tiếp console qua Modem (loại dial-up digital) Ethernet: cổng kết nối mạng LAN Cổng có dạng tên gọi: o Ex/y (ví dụ: e0/1): card mạng chuẩn Ethernet – tốc độ 10Mbps, vị trí module / port o Fx/y (ví dụ: f0/0): card mạng chuẩn Fast Ethernet – tốc độ 10/100 Mbps, vị trí module / port o Gx/y (ví dụ: g1/1): card mạng chuẩn Gigabit Ethernet – tốc độ 10/100/1000 Mbps, vị trí module / port Serial: cổng “giao tiếp nối tiếp” Kết nối với hệ thống truyền dẫn mạng WAN (như DSLAM, ATM, PPPoE…) - Các chế độ (mode) hiển thị hình Console thiết bị Cisco (mỗi chế độ thể dấu nhắc lệnh >, #, (config)# ) User EXEC mode: (dấu nhắc lệnh >) cho xem (show) số thông tin hạn chế thiết bị Privileged mode: (dấu nhắc lệnh #) cho phép xem / thay đổi tất thông tin liệu thiết bị Cisco Configure mode: (dấu nhắc lệnh (config)#) cho phép thay đổi cấu hình hoạt động thiết bị Cisco Trang Các lệnh bản: Các lệnh (dùng cho tất thiết bị Cisco): R> enable: chuyển từ “User EXEC mode” sang “Privileged mode” R# disable: chuyển từ “Privileged mode” sang “User EXEC mode” R# configure terminal: vào chế độ cấu hình “Configure mode” (config)# enable password : đặt mật truy cập vào “Privileged mode” (config)# enable secret :đặt mật vào “Privileged mode” có mã hóa (config)# line console : vào chế độ cấu hình cho cổng Console o (config-line)# password : đặt mật cho cổng console o (config-line)# login: bật yêu cầu mật vào kết nối điều khiển qua cổng console (config)# hostname: đặt tên cho thiết bị exit: ngồi cấp Ctrl_Z: thoát khỏi “Configure mode” R# show running-config: xem tất thơng số cấu hình chạy R# show startup-config: xem tất thơng số cấu hình lưu (sẽ nạp khởi động) R# copy running-config startup-config (hoặc write): lưu running-config vào NVRAM R# erase startup-config : xóa cấu hình khởi động (reset cấu hình thiết bị) R# show version: xem phiên iOS o Ghi chú: Các lệnh đặc biệt: ? : liệt kê danh sách lệnh dùng mode ? : hiển thị tham số / thành phần lệnh no : phủ định lệnh cấu hình : thực thi lệnh Privillege mode Configure mode : tự động hoàn tất thành phần lệnh Các lệnh xem thông tin kiểm tra trạng thái: R# show ip interface br //xem thông tin IP address interface R# show vlan //xem bảng thông tin VLANs R# show ip route //xem bảng thông tin định tuyến R# show spanning-tree //xem thông tin SPT R# show standby //xem thông tin HSRP R# show access-list //xem thơng tin ACL Cấu hình cho giao tiếp mạng (interface): (config)# interface : chọn giao tiếp mạng để cấu hình o (config-if)# ip address đặt địa IP Mask (Static IP) o (config-if)# ip address dhcp cho interface tự nhận IP động (Dynamic IP) o (config-if)# no shutdown: cho interface hoạt động o (config-if)# shutdown: cho interface ngừng hoạt động Trang o Ghi chú: Tên giao tiếp mạng: f0/0 : giao tiếp Fast Ethernet số 0/0 e1/0 : giao tiếp Ethernet số 1/0 s0/0: giao tiếp mạng Serial số 0/0 Xác lập tốc độ truyền giao tiếp Serial – đầu DCE: Clock rate 2000000: xác lập tốc độ triệu bps (2 Mbps) Trang Tóm tắt cấu hình Switching: Cấu hình VLAN: (config)# vlan Định nghĩa VLAN với ID số từ – 1000 Ví dụ: vlan 10 (config-vlan)# name Đặt tên cho VLAN, Name chuỗi ký tự Ví dụ: name SALE Gán port vào VLAN: (config)# interface : chọn port giao tiếp mạng để cấu hình Ví dụ: interface f0/2 o (config-if)# switchport access vlan gán port vào VLAN Ví dụ: switchport access vlan 10 Hoặc (config)# interface range : chọn dãy nhiều port Ví dụ: interface range f0/2-5 o (config-if)# switchport access vlan gán port vào VLAN Cấu hình Trunk mode cho port: (config)# interface : chọn port giao tiếp mạng để cấu hình o (config-if)# switchport mode trunk chuyển port mode Trunk Cấu hình VTP Server: Cấu hình Trunk mode cho port giao tiếp với Switch “VTP Client” (config)# vtp mode server : xác định Switch VTP Server (config)# vtp domain : đặt tên cho miền VTP (config)# vtp password : đặt mật cho miền VTP Cấu hình VTP Client: Cấu hình Trunk mode cho port giao tiếp với Switch “VTP Server” (config)# vtp mode client : xác định Switch VTP client (config)# vtp domain : khai báo tên miền VTP Server muốn tham gia (config)# vtp password : khai báo mật miền VTP muốn tham gia Cấu hình Routing VLANs: Trên Switch: o Cấu hình VLAN gán port (Access mode) tương ứng cho VLAN o Cấu hình Trunk mode cho port giao tiếp Switch – Router Switch – Switch Trên Router: o “no shutdown” cho interface giao tiếp Switch (interface thật đặt không đặt địa IP) o Định nghĩa “Sub interface” (config)# interface . (num mã số Sub Interface - từ đến triệu) Ví dụ : interface f0/1.1 o Quy định nhận dạng VLAN ID theo kiểu đóng gói chuẩn 802.1q (config-subif)# encapsulation dot1q (VLAN ID phải với ID VLAN mà Sub interface giao tiếp) Ví dụ : encapsulation dot1q 10 (10 VLAN ID VLAN tên Phịng Kế Tốn) Trang o Gán IP address cho Sub interface (cùng Network ID với VLAN mà sub.int hỗ trợ giao tiếp) (config-subif)# ip address 192.168.12.1 255.255.255.0 Trên máy thuộc VLAN: o Xác lập IP address o Khai báo Default Gateway IP address Sub interface tương ứng Cấu hình Spanning-tree: Lựa chọn Spanning-tree mode (PVST Rapid-PVST) o (config)# spanning-tree mode {pvst | rapid-pvst} Đặt giá trị STP Priority cho VLAN (default) Switch: o (config)# spanning-tree vlan priority x (trong đó: x giá trị Priority, bội số 4096) Cấu hình cho Switch làm Root Bridge VLAN (default): o (config)# spanning-tree vlan root primary Cấu hình cho Switch làm Root Bridge VLAN 10,20 (pvst) o (config)# spanning-tree vlan 10,20 root primary Kích hoạt BPDU-Guard cho port cụ thể (ví dụ: từ f0/1 – 20) o (config)# interface range f0/1-20 o (config-if)# spanning-tree bpduguard enable Kích hoạt BPDU-Guard cho port cụ thể (ví dụ: từ f0/1 – 20) o (config)# interface range f0/1-20 o (config-if)# spanning-tree bpduguard enable Cấu hình Portfast cho port cụ thể (ví dụ: từ f0/1 – 20) o (config)# interface range f0/1-20 o (config-if)# spanning-tree portfast Cấu hình EtherChannel: Giao thuc PAGP va LACP Chọn dãy port (interface) muốn cấu hình EtherChannel: o Ví dụ : interface range f0/20-21 Chọn giao thức mode cho Channel-group: o (config-if)# channel-protocol pagp (chọn giao thức PAgP cho EtherChannel) o (config-if)# channel-group mode {on | auto | desirable } (định nghĩa chọn mode cho Channel-group) số ID channel Mode desirable: chủ động đề nghị Switch láng giềng bắt tay hình thành EtherChannel Mode Auto: tự động hình thành EtherChannel có Switch khác đề nghị) Điều kiện hình thành etherchannel: o Các port tham gia channel group phải có VLAN (nếu Access port) Native VLAN Allow VLAN (nếu Trunk port) o Channel-group ID phải giống đầu bó link o Cả switch đầu bó dây phải dùng chung giao thức etherchannel (PAgP LACP) o Ảnh hưởng chế độ (mode) giao thức PAgP (hoặc LACP) Switch với việc hình thành etherchannel: Trang Sau cấu hình thành cơng, Channel-Group interface (port) Có thể cấu hình port-channel theo Trunk mode Access mode cho VLAN o Ví dụ : (config)# interface port-channel (config-if)# switchport mode trunk Các lệnh xem thông tin kiểm tra trạng thái Switch: SW# show vlan //xem bảng thông tin VLANs SW# show vlan id 10 //xem thông tin chi tiết VLAN 10 SW# show vlan name SALE //xem thông tin chi tiết VLAN tên SALE SW# show interface trunk //xem thông tin cổng trunk SW# show ip interface br //xem thông tin IP address trạng thái kết nối tất interface SW# show spanning-tree //xem thông tin SPT Trang Tóm tắt cấu hình Routing bản: Cấu hình Static Route: (config)# ip route o VD: ip route 192.168.2.0 255.255.255.0 192.168.0.2 o VD: ip route 0.0.0.0 0.0.0.0 192.168.1.1 khai báo Default Gateway o Ghi chú: Next Hop Router (cịn gọi Gateway) khai báo cách Cách 1: khai báo IP address Router kế cận Cách 2: khai báo interface name giao tiếp với Router kế cận Lệnh R# Show ip route: xem bảng định tuyến (Routing Table) Cấu hình RIP v1: ccác Router láng giềng o VD: network 192.168.1.0 o VD: network 192.168.12.0 Cấu hình RIP v2: (config)# router rip (config-router)# version (config-router)# network : khai báo IP network muốn quảng bá cho Router láng giềng o VD: network 192.168.1.64 o VD: network 192.168.12.0 Cấu hình OSPF: (config)# router ospf o VD: router ospf (config-router)# network area : khai báo IP network muốn tham gia vào vùng định tuyến o VD: network 192.168.11.0 0.0.0.255 area o VD: network 192.168.12.0 0.0.0.255 area Các tinh chỉnh OSPF: o R(config)# interface s0/0/0: chọn interface muốn xác lập OSPF cost o R(config-if)# ip ospf cost : xác lập giá trị OSPF cost danh định cho interface Cấu hình EIGRP: (config)# router eigrp (giá trị AS phải giống cho tất Router) o VD: router eigrp (config-router)# network : khai báo IP network muốn tham gia định tuyến o VD: network 192.168.11.0 (không dùng wildcard mask cho mạng classfull) o VD: network 192.168.12.0 0.0.0.127 (wildcard mask cho mạng classless: 192.168.12.0/25) (config-router)# no auto-sumary : không gom subnet mạng chuẩn (classful) Trang Access-list: Tạo Access-List: Cách 1: dùng lệnh access-list từ Config mode: (config)# access-list Trong : o ACL number từ 99 nhận dạng Standard ACL o ACL number từ 100 199 nhận dạng Extended ACL o : cho phép o : cấm (ngăn chặn) Cách 2: dùng lệnh ip access-list từ Config mode: (config)# ip access-list (config-ext-nacl)# Trong : o Loại ACL o dùng tên định danh cho ACL thay cho số Gán Access-list vào interface: (config)# interface (config-if)# ip access-group Khuyến nghị gán Access-list vào interface: Với Standard ACL: nên gán vào interface xa khu vực mạng liệt kê ACL, hướng out Với Extended ACL: nên gán vào interface gần khu vực mạng liệt kê ACL, hướng in Tạo Standard ACL: Cách 1: (config)# access-list o VD: access-list deny 192.168.10.0 0.0.0.255 o VD: access-list permit 192.168.11.11 0.0.0.255 Cách 2: (config)# ip access-list standard (config-ext-nacl)# o VD: (config)# ip access-list standard Ketoan o (config-ext-nacl)# deny 192.168.11.0 0.0.0.255 o (config-ext-nacl)# permit any o (config-ext-nacl)# exit Tạo Extended ACL: (config)# access-list [operator port] [operator port] [log] Hoặc: (config)# ip access-list ext (config-ext-nacl)# [operator port] [operator port] [protocol options] [log] Trong đó: o : mã số ACL, dùng từ: 100 đến 199, Trang o : dùng Name thay cho số, ví dụ như: INSIDE-deny… o : giao thức áp đặt cho list: tcp, udp, icmp, eigrp, ospf, gre,… o : bao gồm IP address Wildcard Mask là: Một Host – ví dụ: 192.168.10.3 0.0.0.255 Một Network – ví dụ: 192.168.10.0 0.0.0.255 Tất – ví dụ: any o [operator port]: protocol tcp udp cần xác định giá trị port Các toán tử dùng cho port: eq : (equal) với port Ví dụ: eq 80 gt : (greater than) lớn port Ví dụ: gt 80 lt : (less than) nhỏ port Ví dụ: lt 80 neq : (not equal) với port Ví dụ: neq 80 range : dãy port Ví dụ: range 3456-3459 Các ví dụ: - Chọn interface f0/0 (giao tiếp mạng cần áp đặt ACL), gán Extended ACL tên KhachHang vào interface này: o (config)# interface f0/0 o (config-if)# ip access-group KhachHang in - Tạo ACL tên KhachHang, loại Extended ACL: o (config)# ip access-list extended KhachHang - Gán quy tắc truy cập cho ACL tên KhachHang (mỗi quy tắc dòng Access-list): VD1: cấm mạng 192.168.20.0 ping tới any deny icmp 192.168.20.0 0.0.0.255 any echo VD2: cho mạng any ping tới 192.168.20.0 permit icmp 192.168.20.0 0.0.0.255 any echo-reply VD3: cho mạng 192.168.20.0 cung cấp Web, DNS cho mạng khác permit tcp 192.168.20.0 0.0.0.255 eq 80 any permit udp 192.168.20.0 0.0.0.255 eq 53 any VD4: cho mạng 192.168.20.0 truy cập Web, DNS mạng khác permit tcp 192.168.20.0 0.0.0.255 any eq www permit udp 192.168.20.0 0.0.0.255 any eq 53 Trang 10 HSRP / GLBP: Cấu hình HSRP Router: Lệnh ! - Router -interface f0/1 ip address 192.168.10.5 255.255.255.0 no shutdown standby ip 192.168.10.1 standby preempt standby priority 105 standby track f0/1 - Router -interface f0/1 ip address 192.168.10.6 255.255.255.0 no shutdown standby ip 192.168.10.1 standby preempt standby priority 100 standby track f0/1 Giải thích Chọn interface mặt Đặt IP thật cho interface (cùng Net ID với IP R2) - Tạo nhóm HSRP - đặt IP “ảo” cho HSRP (cùng Network) - Cho phép router chiếm quyền Active có hội - Chỉ số ưu tiên R1 lớn R2 (R1 Active) - Dùng interface f0/1 cho tracking Chỉ số Priority mặc định 100 Cấu hình HSRP thành cơng Router có thơng báo: Standby Active Trên Router-1: %HSRP-5-STATECHANGE: FastEthernet0/1 Grp state Speak -> Standby %HSRP-5-STATECHANGE: FastEthernet0/1 Grp state Standby -> Active Trên Router-2: %HSRP-5-STATECHANGE: FastEthernet0/1 Grp state Speak -> Standby Hoặc dùng lệnh: show standby Router Cấu hình GLBP Router: Lệnh ! - Router -interface f0/1 ip address 192.168.10.5 255.255.255.0 no shutdown glbp ip 192.168.10.1 glbp preempt glbp load-balancing round-robin glbp priority 120 - Router -interface f0/1 Giải thích Chọn interface mặt Đặt IP thật cho interface (cùng Net ID với IP R2) - 192.168.10.1 GLBP Virtual IP address Cho phép router chiếm quyền AVG có hội Cân tải theo thuật toán Round-robin Chỉ số ưu tiên cao mặc định (100) Active %GLBP-6-FWDSTATECHANGE: FastEthernet0/1 Grp Fwd state Listen -> Active Trên Router-2: %GLBP-6-FWDSTATECHANGE: FastEthernet0/1 Grp Fwd state Listen -> Active Hoặc dùng lệnh: show glbp Router Các cấu hình khác Cisco Router Cấu hình DHCP: (config)# ip dhcp pool Mang1 Định nghĩa DHCP pool tên Mang1 (dhcp-config)# network 192.168.1.0 255.255.255.0 dãy IP address cấp phát (dhcp-config)# default-router 192.168.1.1 Default gateway cấp phát (dhcp-config)# dns-server 8.8.8.8 Pref DNS Server cấp phát (dhcp-config)# exit Thoát khỏi khu vực định nghĩa DHCP pool (config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10 dãy IP address không cấp phát (dãy IP loại trừ) Cấu hình NAT (Network Address Translation – cho “mượn” địa IP ): Xác định interface inside outside Ví dụ: R(config)# interface f0/1 chọn interface “bên trong” R(config-if)# ip nat inside xác định interface “mặt trong” NAT R(config)# interface f0/0 chọn interface “bên ngoài” R(config-if)# ip nat outside xác định interface “mặt ngoài” NAT Định nghĩa danh sách truy cập (access-list) chứa dãy IP mạng bên cho phép sử dụng NAT qua Router Ví dụ: R(config)# access-list permit 192.168.10.0 0.0.0.255 R(config)# access-list permit 192.168.20.0 0.0.0.255 Cấu hình NAT overload - cho phép mạng access-list giao tiếp internet qua interface (outside interface) R(config)# ip nat inside source list interface f0/0 overload (f0/0 interface ngồi Cấu hình PAT (Port Address Translation – cho “mượn” địa Port ): R(config)# ip nat inside source static tcp ext hoặc: Trang 12 R(config)# ip nat inside source static tcp Ví dụ: R(config)# ip nat ip nat inside source static tcp 192.168.20.3 80 192.168.62.22 80 extendable hoặc: R(config)# ip nat inside source static tcp 192.168.10.3 80 interface f1/0 80 Trang 13 ... nhắc lệnh #) cho phép xem / thay đổi tất thông tin liệu thiết bị Cisco Configure mode: (dấu nhắc lệnh (config)#) cho phép thay đổi cấu hình hoạt động thiết bị Cisco Trang Các lệnh bản: Các lệnh. .. xóa cấu hình khởi động (reset cấu hình thiết bị) R# show version: xem phiên iOS o Ghi chú: Các lệnh đặc biệt: ? : liệt kê danh sách lệnh dùng mode ? : hiển thị tham số / thành phần lệnh. .. số / thành phần lệnh no : phủ định lệnh cấu hình : thực thi lệnh Privillege mode Configure mode : tự động hồn tất thành phần lệnh Các lệnh xem thông tin kiểm tra