ỦY BAN NHÂN DÂN TP HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN GIÁO TRÌNH HỌC PHẦN: QUẢN TRỊ HẠ TẦNG MẠNG PHẦN CỨNG CĂN BẢN NGÀNH: TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG Ban hành kèm theo Quyết định số: /QĐ-… ngày tháng….năm của……………………………… TP Hồ Chí Minh, năm 2018 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Quyển giáo trình biên soạn dựa theo đề cương môn học “Quản trị hạ tầng mạng phần cứng bản” Khoa Công nghệ thông tin Trường Cao đẳng Công nghệ Thủ Đức Do giáo trình phát hành lần đầu nên khơng tránh khỏi sai sót nội dung lẫn hình thức, tác giả mong nhận góp ý chân thành từ quý thầy cô em sinh viên để giáo trình hồn thiện Tp.HCM, ngày 30 tháng 05 năm 2018 Tham gia biên soạn Chủ biên: Nguyễn Thị Mộng Hằng Trang i MỤC LỤC A DANH MỤC CÁC TỪ VIẾT TẮT B DANH MỤC BIỂU BẢNG SỐ LIỆU C DANH MỤC CÁC HÌNH CHƯƠNG 1: MƠ HÌNH TCP/IP .1 1.1 | LỚP NETWORK ACCESS 1.1.1 | LỚP PHYSICAL 1.1.2 | LỚP DATA LINK 1.2 | LỚP INTERNET (LỚP NETWORK) 11 1.2.1 | CÁC GIAO THỨC CỦA LỚP NETWORK 11 1.2.2 | CÁC ĐẶC ĐIỂM CƠ BẢN CỦA GIAO THỨC IP 11 1.2.3 | IP PACKET 14 1.2.4 | IPV4 HEADER 14 1.2.5 | IPV6 HEADER 17 1.2.6 | ĐỊNH TUYẾN 18 1.2.7 | ĐỊA CHỈ IPV4 19 1.3 | LỚP TRANSPORT 28 1.3.1 | ĐIỀU KHIỂN CÁC CUỘC TRAO ĐỔI 28 1.3.2 | HỖ TRỢ TRUYỀN KHÔNG TIN CẬY 30 1.3.3 | TCP VÀ UDP 31 1.3.4 | ĐỊA CHỈ PORT 32 1.3.5 | GIAO THỨC TCP – SỰ TRUYỀN THÔNG TIN CẬY 35 1.3.6 | QUẢN LÝ CÁC PHIÊN GIAO DỊCH TCP 41 1.3.7 | GIAO THỨC UDP 44 1.4 | LỚP APPLICATION 47 1.4.1 | CÁC ỨNG DỤNG – GIAO DIỆN ĐỂ GIAO TIẾP GIỮA CÁC MẠNG 47 1.4.2 | MƠ HÌNH CLIENT-SERVER 48 1.4.3 | MẠNG NGANG HÀNG (PEER-TO-PEER) 49 1.4.4 | MỘT SỐ DỊCH VỤ VÀ GIAO THỨC PHỔ BIẾN Ở LỚP APPLICATION 50 1.5 | BÀI TẬP CHƯƠNG 60 CHƯƠNG 2: ĐỊA CHỈ IPV6 62 2.1 | GIỚI THIỆU ĐỊA CHỈ IPV6 62 2.2 | CẤU TRÚC ĐỊA CHỈ IPV6 63 2.3 | ĐỊNH DANH GIAO DIỆN (Interface Identifier) 65 2.3.1 | TỰ ĐỘNG TẠO 64 BIT ĐỊNH DANH GIAO DIỆN TỪ ĐỊA CHỈ MAC 65 2.3.2 | TỰ ĐỘNG TẠO 64 BIT ĐỊNH DANH GIAO DIỆN MỘT CÁCH NGẪU NHIÊN 67 2.4 | CÁC LOẠI ĐỊA CHỈ IPV6 68 2.4.1 | TỔNG QUAN VỀ PHÂN LOẠI ĐỊA CHỈ IPV6 68 2.4.2 | NHỮNG DẠNG ĐỊA CHỈ UNICAST 69 2.4.3 | ĐỊA CHỈ MULTICAST 73 2.4.4 | ĐỊA CHỈ ANYCAST 76 2.5 | BÀI TẬP CHƯƠNG 77 CHƯƠNG 3: CẤU HÌNH HỆ ĐIỀU HÀNH MẠNG 79 3.1 | TỔNG QUAN HỆ ĐIỀU HÀNH CISCO IOS 79 3.1.1 | ROUTER – CÁC THÀNH PHẦN BÊN TRONG ROUTER 79 Trang ii 3.1.2 | MỤC ĐÍCH CỦA PHẦN MỀM CISCO IOS 80 3.1.3 | GIAO DIỆN NGƯỜI DÙNG CỦA ROUTER 81 3.1.4 | CÁC CHẾ ĐỘ CẤU HÌNH ROUTER 81 3.1.5 | HOẠT ĐỘNG CỦA PHẦN MỀM CISCO IOS 82 3.1.6 | KHỞI ĐỘNG ROUTER 83 3.1.7 | ĐĂNG NHẬP VÀO ROUTER BẰNG GIAO DIỆN DÒNG LỆNH 85 3.1.8 | PHÍM TRỢ GIÚP TRONG ROUTER CLI 87 3.1.9 | MỞ RỘNG THÊM CÁCH VIẾT CÂU LỆNH 89 3.2 | CẤU HÌNH ROUTER 89 3.2.1 | CHẾ ĐỘ GIAO TIẾP DÒNG LỆNH CLI 89 3.2.2 | ĐẶT TÊN CHO ROUTER 91 3.2.3 | ĐẶT MẬT MÃ CHO ROUTER 91 3.2.4 | CẤU HÌNH CỔNG SERIAL 93 3.2.5 | CẤU HÌNH CỔNG ETHERNET 94 3.2.6 | CẤU HÌNH CÂU CHÚ THÍCH CHO CỔNG GIAO TIẾP 95 3.2.7 | THÔNG ĐIỆP ĐĂNG NHẬP 95 3.2.8 | THỰC HIỆN THÊM BỚT, DỊCH CHUYỂN VÀ THAY ĐỔI TẬP TIN CẤU HÌNH 95 3.2.9 | KIỂM TRA BẰNG CÁC LỆNH SHOW 96 3.3 | TELNET VÀ SSH 97 3.3.1 | THIẾT LẬP VÀ KIỂM TRA KẾT NỐI TELNET 97 3.3.2 | SSH .101 3.4 | KHÔI PHỤC MẬT KHẨU CHO ROUTER VÀ SWITCH 103 3.4.1 | KHÔI PHỤC MẬT KHẨU CHO ROUTER 103 3.4.2 | KHÔI PHỤC MẬT KHẨU CHO SWITCH 106 3.5 | NẠP IOS CHO ROUTER VÀ SWITCH 111 3.5.1 | NẠP IOS CHO ROUTER 111 3.5.2 | NẠP IOS CHO SWITCH 112 3.6 | SAO LƯU VÀ NÂNG CẤP IOS 116 3.7 | BÀI TẬP CHƯƠNG 121 CHƯƠNG 4: ĐỊNH TUYẾN TĨNH 129 4.1 | GIỚI THIỆU VỀ ĐỊNH TUYẾN 129 4.2 | CẤU HÌNH ĐỊNH TUYẾN TĨNH 130 4.2.1 | CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV4 130 4.2.2 | CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV6 133 4.3 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH CHO ROUTER .135 4.3.1 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH TRÊN IPV4 .136 4.3.2 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH TRÊN IPV6 .137 4.4 | XỬ LÝ SỰ CỐ STATIC ROUTE VÀ DEFAULT ROUTE 138 4.5 | BÀI TẬP CHƯƠNG 139 CHƯƠNG 5: VLAN 142 5.1 | KHÁI NIỆM VỀ VLAN .142 5.1.1 | GIỚI THIỆU VỀ VLAN 142 5.1.2 | MIỀN QUẢNG BÁ THAY ĐỔI NHƯ THẾ NÀO KHI CÓ VLAN 143 5.1.3 | HOẠT ĐỘNG CỦA VLAN 145 5.1.4 | LỢI ÍCH CỦA VLAN 146 5.1.5 | CÁC LOẠI VLAN 147 5.1.6 | CẤU HÌNH VLAN 150 5.2 | TRUNKING 153 5.2.1 | GIỚI THIỆU 153 5.2.2 | KỸ THUẬT TRUNKING DOT1Q 154 5.2.3 | KỸ THUẬT TRUNKING ISL 156 Trang iii 5.2.4 | CẤU HÌNH TRUNKING 156 5.3 | VTP 158 5.3.1 | ĐẶC ĐIỂM 158 5.3.2 | CẤU HÌNH 161 5.4 | ĐỊNH TUYẾN VLAN VỚI ROUTER .162 5.5 | VLAN RIÊNG (PRIVATE VLAN) 165 5.5.1 | KHÁI NIỆM .165 5.5.2 | TẤN CÔNG CHUYỂN TIẾP VLAN .167 5.6 | BÀI TẬP CHƯƠNG 168 Trang iv DANH MỤC CÁC TỪ VIẾT TẮT CSMA/CD (Carier Sense Multiple Access/ Collision Detection ) CSMA/CA (Carier Sense Multiple Access/ Collision Avoidance) DNS (Domain Name System) DHCP (Dynamic Host Control Protocol) FTP (File Transfer Protocol) ICMP (Internet Control Message Protocol ) LLC (Logical Link Control) MAC (Media Access Control) OSI (Open Systems Interconnection Reference Model) POP (Post Office Protocol) SMTP (Simple Mail Transfer Protocol) SNMP (Simple Network Management Prorocol) TTL (Time To live) TCP/IP (Transmission Control Protocol / Internet Protocol) TCP (Transmission Control Protocol) UDP (User Datagram Protocol) VLSM (Variable Length Subnet Mask) VoIP (Voice over IP) VLAN (virtual LAN) Trang v DANH MỤC BIỂU BẢNG SỐ LIỆU Bảng 1: Bandwidth Bảng 2: Các port thông dụng 35 Bảng 3: Địa multicast 76 Bảng 4: Chế độ hoạt động router 83 Bảng 5: Các mode Trunking 157 Bảng 6: Mô tả cổng kết nối 166 Trang vi DANH MỤC CÁC HÌNH Hình 1: Mơ hình TCP/IP Hình 2: Phương pháp Signaling manchaster Hình 3: Cấu trúc frame .7 Hình 4: Các lớp lớp Data link Hình 5: Phương pháp truy cập Controlled .9 Hình 6: Phương pháp truy cập Contention based 10 Hình 7: Giao tiếp connectionless 12 Hình 8: Best-effort 13 Hình 9: Các IP packet độc lập với môi trường truyền 14 Hình 10: Tạo IP packet 14 Hình 11: Các cột IPv4 header 15 Hình 12: Các cột IPv6 header 17 Hình 13: Default gateway hỗ trợ giao tiếp mạng 18 Hình 14: Cấu trúc địa IP 19 Hình 15: Mượn thêm bit để chia subnet 20 Hình 16: Sơ đồ mạng .21 Hình 17: Nhiệm vụ lớp Transport 28 Hình 18: Các dịch vụ lớp Transport 29 Hình 19: Địa Port .33 Hình 20: TCP header .37 Hình 21: Thiết lập kết nối TCP .38 Hình 22: Ngắt kết nối TCP 40 Hình 23: Tại đích, TCP segment xếp lại 42 Hình 24: Acknowledgement Window size .43 Hình 25: Điều khiển luồng 44 Hình 26: Vận chuyển liệu với giao thức UDP 45 Hình 27: UDP: khơng kết nối không tin cậy 45 Hình 28: UDP server lắng nghe request từ client .46 Trang vii Hình 29: Client download file từ server 48 Hình 30: Mạng peer-to-peer 49 Hình 31: Các ứng dụng peer-to-peer .50 Hình 32: Giao thức HTTP .51 Hình 33: Các giao thức Email .52 Hình 34: Hoạt động SMTP .53 Hình 35: Hoạt động POP3 54 Hình 36: Các tiến trình FTP 55 Hình 37: Sự phân cấp DNS server 56 Hình 38: Tiện ích nslookup 57 Hình 39: Các tiến trình DHCP 58 Hình 40: DHCP Server 59 Hình 41: Chia sẻ tập tin giao thức SMB .60 Hình 42: Cấu trúc địa IPv6 63 Hình 43: Ánh xạ từ EUI-48 tới EUI-64 66 Hình 44: Tự động cấu hình 64 bit định danh giao diện từ địa MAC .67 Hình 45: Cấu trúc địa link-local 70 Hình 46: Cấu trúc địa site-local .71 Hình 47: Cấu trúc địa Global Unicast .72 Hình 48: Phân cấp định tuyến địa IPv6 Unicast tồn cầu .73 Hình 49: Cấu trúc địa IPv6 multicast 74 Hình 50: Các chế độ cấu hình router .82 Hình 51: Kết nối cổng console 85 Hình 52: Đấu nối cáp .86 Hình 53: Tera Term .87 Hình 54: Thơng số cổng COM 87 Hình 55: Help 88 Hình 56: Sơ đồ kết nối 104 Hình 57: Các đèn LED mặt trước switch 3560 107 Hình 58: Mặt sau switch dòng 3560 -24PS 108 Trang viii Hình 59: Sơ đồ .111 Hình 60: Sơ đồ .112 Hình 61: Mở cửa sổ kết nối 114 Hình 62: Chọn tốc độ cho cổng Console Secure CRT 115 Hình 63: Chọn Send Xmodem… 116 Hình 64: Chọn đường dẫn đến file IOS 116 Hình 65: Backup IOS cho ruter 117 Hình 66: Giao diện chương trình TFTPd32 118 Hình 67: Giao diện TFTPd32 hiển thị thông số .119 Hình 68: Giao diện TFTPd32 copy từ Server vào Router 121 Hình 69: Định tuyến tĩnh .130 Hình 70: Sơ đồ mạng 131 Hình 71: Sơ đồ mạng 136 Hình 72: Kiểm tra default static route 137 Hình 73: Cấu hình đường mặc định IPv6 138 Hình 74: Kiểm tra default static route 138 Hình 75: Khái niệm VLAN 143 Hình 76: Miền quảng bá trước có VLAN .144 Hình 77: Miền quảng bá sau có VLAN 145 Hình 78: Fields an Ethernet 802.1Q Frame 148 Hình 79: VLAN1 149 Hình 80: Voice VLAN 149 Hình 81: Ví dụ cấu hình VLAN 151 Hình 82: Đấu nối VLAN hai Switch 153 Hình 83: Đường Trunk kết nối VLAN hai switch 154 Hình 84: Trunk Dot1Q 155 Hình 85: Trunking ISL 156 Hình 86: VTP Pruning 160 Hình 87: Ví dụ Router on a stick 162 Hình 88: Sơ đồ đấu nối router với VLAN switch 164 Trang ix  Vlan-list: danh sách VLAN Các VLAN danh sách phân cách với dấu phẩy dấu gạch ngang (“-“)  All: tất VLAN từ đến 4094 phép qua đường trunk Đây chế độ mặc định cổng trunk  Add vlan-list: thêm danh sách VLAN vào danh sách VLAN có  Except vlan-list: tất VLAN phép qua đường trunk ngoại trừ VLAN nằm vlan-list  Remove vlan-list: gỡ bỏ VLAN vlan-list khỏi danh sách VLAN qua đường trunk Có thể hiệu chỉnh chọn native VLAN cổng trunk câu lệnh: Switch(config-if)# switchport trunk native vlan vlan-id Sau cấu hình xong đường trunk, câu lệnh sau thường dùng để kiểm tra kết cấu hình: Switch#show interface [tên_interface] trunk Switch#show interface switchport 5.3 | VTP Mọi yêu cầu đặt hệ thống chuyển mạch Ethernet switch phải thống với cấu hình VLAN Khi số lượng VLAN hệ thống đủ lớn, việc kiểm tra trì tính đồng cấu hình VLAN switch trở nên khó khăn Cisco đưa giao thức chạy switch cho phép switch tự động đồng cấu hình VLAN với mà khơng cần có can thiệp người quản trị, giúp giảm nhẹ nhiều gánh nặng việc quản trị cấu hình VLAN mạng chuyển mạch Giao thức gọi VTP – VLAN trunking Protocol 5.3.1 | ĐẶC ĐIỂM VTP có số đặc điểm sau:  VTP sử dụng đường trunk layer để trao đổi thơng tin Do đó, để switch chạy VTP với nhau, đường trunk phải thiết lập chúng  VTP domain: switch chạy VTP với tổ chức thành domain, switch thuộc domain trao đổi thông tin VTP với Trang 158 Mỗi domain đặt trưng domain-name, switch thuộc domaim phải cấu hình thiết lập domain-name giống VTP domainname xây dựng ký tự chữ số, có phân biệt chữ hoa, chữ thường  VTP mode: switch chạy VTP, hoạt động mode sau:  Server: switch mode server có tồn quyền thao tác cấu hình VLAN Các quyền bao gồm:  Tạo, sửa, xóa VLAN  Học cấu hình VLAN từ switch khác (hay đồng thông tin VLAN từ switch khác)  Forward thông tin VLAN: sau học xong thông tin VLAN, switch thực chuyển tiếp thông tin cho switch cập nhật  Client: ngược với mode server, switch mode không phép thay đổi cấu hình VLAN cuả Các hành động mà switch mode client thực bao gồm:  Đồng cấu hình VLAN từ swithc khác  Forward thông tin VLAN: sau học xong thông tin VLAN, switch client thực chuyển tiếp thông tin cho switch cập nhật  Transparent: switch mode transparent đứng đường lưu lượng VTP, giúp switch khác trao đổi thông tin VTP thân khơng đồng cấu hình VLAN theo thông tin Các hành động switch mode transparent thực bao gồm:  Tao, sửa, xóa VLAN cách độc lập với switch khác  Khơng đồng với cấu hình VLAN từ switch khác không gửi thông tin VLAN cho switch khác  Forward thơng tin VLAN: không đồng thông tin VLAN switch transparent thực trung chuyển lưu lượng VTP ngang qua để switch khác đồng thông tin VLAN với  Số Revision: Trang 159  Mỗi switch tham gia VTP trì giá trị revision cho cấu hình VLAN mà lưu giữ  Ở chể độ cấu hình mặc định, số revision môi switch 0, lần swicth thực tạo, sửa xóa VLAN, giá trị tăng lên đơn vị Như vậy, cấu hình VLAN chỉnh sửa nhiều, số revision tương ứng cao vậy, số revision phản ánh “độ mới” cấu hình VLAN  Nếu hai switch trao đổi cấu hình VLAN với nhau, cấu hình VLAN với số revision cao đè lên cấu hình VLAN có số revision thất (nghĩa switch với cấu hình VLAN có số revision thấp phải đồng lại thơng tin VLAN theo switch có revision cao hơn)  VTP Pruning: tính giúp switch giảm thiểu việc phải forward lưu lượng khơng cần thiết qua mạng chuyển mạch Xét ví dụ sau hình 86: Hình 86: VTP Pruning Trên sơ đồ hình 586, giả sử host X thực gửi broadcast VLAN Vì VLAN broadcast–domain, lưu lượng chuyển tiếp đến tất host khác thuộc VLAN hệ thống chuyển mạch, host thuộc VLAN switch Như trình bày phần trunking, mặc định đường trunk cho qua liệu tất VLAN nên cổng trunk switch nối để switch switch forward vào đường trunk lưu lượng broadcast VLAN Tuy nhiên, quan sát sơ đồ hình 86 thấy switch switch khơng có diện VLAN Trang 160 nên việc forward lưu lượng VLAN đến switch không cần thiết gây tổn hao tài nguyên mạng Vấn đề vừa nêu khắc phục cách bật tính VTP Pruning VTP server switch hệ thống chuyển mạch Tính VTP Pruning bật server tự động lan truyền đến switch lại kết switch server client hệ thống chuyển mạch bật VTP Pruning Khi bật VTP Pruning, hai switch hình 86 gửi thơng điệp VTP lên switch để thông báo chúng chúng khơng cần liệu VLAN (vì hai switch không tồn VLAN 3) Switch nhận thông điệp chủ động chặn không cho liệu broadcast VLAN lan truyền vào đường trunk nối đến hai switch từ tiết kiệm tài nguyên mạng phải xử lý VLAN hai đường link nối đến hai switch  VTP version:  Hiện có version VTP version 1, 3, hai version sử dụng phổ biến version version  Các switch server client phải thống với version VTP sử dụng hay để trao đổi thơng tin VTP với Vì hai version khơng tương thích với Switch transparent chạy version forward thơng tin VTP cho switch chạy version  VTP version tương thích ngược với VTP version cung cấp thêm nhiều cải tiến hoạt động giao thức VTP Ví dụ hỗ trợ private VLAN,… 5.3.2 | CẤU HÌNH Một số thao tác cần thực cấu hình VTP switch: Khai báo domain-name cho switch tham gia VTP: Switch(config)#vtp domain domain-name Khai báo pasword VTP Switch(config)#vtp password password Khai báo thêm password cho phép tăng tính bảo mật việc trao đổi thông tin VTP switch Các switch phải password đồng thông tin VTP với Chọn mode hoạt động cho switch: Trang 161 Switch(config)#vtp mode { server | client | transparent } Bật VTP Pruning: Switch(config)#vtp pruning Một vài lệnh kiểm tra bản: Switch#show vtp status Switch#show vtp pasword 5.4 | ĐỊNH TUYẾN VLAN VỚI ROUTER Các host kết nối vào VLAN khác trao đổi liệu với nhau, cần phải có thiết bị lớp trung chuyển liệu VLAN Tác vụ gọi định tuyến VLAN Có hai phương pháp định tuyến VLAN thông dụng: sử dụng router sử dụng switch lớp Trong tài liệu trình bày định tuyến VLAN sử dụng router hay gọi Router on a stick Ý tưởng giải pháp thiết lập đường trunk nối cổng Fastethernet router cổng switch Khi đó, cổng Fastethernet router tiếp nhận frame đến từ VLAN khác switch router thực trung chuyển liệu VLAN dựa tên thơng tin lớp gói tin IP nằm frame Xét ví dụ hình: VLAN Trunk VLAN F0/1 VLAN Switch F0/0 VLAN 1: 192.168.1.0/24 VLAN 2: 192.168.2.0/24 VLAN 3: 192.168.3.0/24 Hình 87: Ví dụ Router on a stick Ví dụ hình 87, switch cấu hình VLAN 1, Các host gắn vào VLAN qui hoạch sau:  VLAN lấy dãy IP 192.168.1.0/24 Trang 162  VLAN lấy dãy IP 192.168.2.0/24  VLAN lấy dãy IP 192.168.3.0/24 Đầu tiên, cấu hình để cổng F0/1 switch cổng trunk: Switch(config)#interface F0/1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Lưu ý: câu lệnh “switchport trunk encapsulation dot1q” khơng có dịng switch lớp 2950, 2960 switch hỗ trợ chuẩn trunking dot1q Khi cấu hình switch này, sinh viên bỏ qua dịng lệnh Tiếp theo, thực cấu hình chia sub-interface, thiết lập sub-inteface tiếp nhận frame đến từ VLAN tương ứng cấu hình IP sub-interface này: Router(config)#interface F0/0 Router(config-if)#no shutdown Router(config)#interface F0/0.2 Router(config-subif)#encapsulation dot1q Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface F0/0.3 Router(config-subif)#encapsulation dot1q Router(config-subif)#ip address 192.168.3.1 255.255.255.0 Router(config-subif)#exit Nhận xét:  Các sub-interface F0/0.2 F0/0.3 tạo để tiếp nhận frame đến từ VLAN VLAN Câu lệnh “encapsulation dot1q vlan-id” giúp subinterface hiểu tiếp nhận frame có gắn thơng tin trunking dot1q xuất phát từ VLAN vlan-id Trang 163  Chỉ số sub-interface vlan-id nên sử dụng trùng để dễ dàng cho mục đích quản lý Tuy nhiên điều không bắt buộc  Mặc định, VLAN cổng trunk native VLAN nên frame xuất phát từ VLAN vào đường trunk tag thêm thông tin trunking Do đó, frame VLAN giữ nguyên định dạng Ethernet thông thường Cổng F0/0 router tiếp nhận Ethernet frame thơng thường khơng gắn tag, nên ví dụ sử dụng để tiếp nhận frame đến từ native VLAN mà khơng cần phải cấu hình thêm Có cách khác để tiếp nhận frame xuất phát từ native VLAN ta thêm sub-interface dành riêng cho VLAN sử dụng từ khóa “native” sau câu lệnh “encapsulation” Ví dụ, thay sử dụng cổng F0/0 router, tạo thêm sub-interfaec F0/0.1 cho VLAN 1: Router(config)#interface F0/0.1 Router(config-subif)#encapsulation dot1q native Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#exit  Mỗi sub-interface đặt địa IP để làm gateway cho host nằm bên VLAN tương ứng mà đấu nối vào Các host thuộc VLAN tương ứng default gateway đến địa để đến host thuộc VLAN khác thông qua router Sau cấu hình xong định tuyến VLAN, sơ đồ đấu nối router với VLAN switch thể lại hình 88 VLAN VLAN VLAN Switch F0/0 F0/0.2 F0/0.3 VLAN 1: 192.168.1.0/24 VLAN 2: 192.168.2.0/24 VLAN 3: 192.168.3.0/24 Hình 88: Sơ đồ đấu nối router với VLAN switch Trang 164 5.5 | VLAN RIÊNG (PRIVATE VLAN) 5.5.1 | KHÁI NIỆM Các kỹ sư thiết kế VLAN với nhiều mục đích Trong nhiều trường hợp ngày nay, thiết bị nằm VLAN chung vị trí đặt máy Vấn đề bảo mật yếu tố khác thiết kế VLAN: thiết bị khác VLAN khác khơng nghe thơng tin quảng bá tồn mạng (broadcast) Thêm vào đó, việc chia máy trạm thuộc VLAN khác dẫn đến yêu cầu dùng router switch hoạt động đa tầng (multilayer switch) mạng kiểu thiết bị thường có thêm nhiều chức bảo mật Trong vài trường hợp, nhu cầu tăng tính bảo mật cách tách thiết bị bên VLAN nhỏ xung đột với mục đích thiết kế sử dụng địa IP sẵn có Tính private VLAN Cisco giúp giải vấn đề Private VLAN cho phép switch tách biệt host thể host VLAN khác dùng mạng IP Một tình phổ biến để triển khai private VLAN trung tâm liệu nhà cung cấp dịch vụ - (Service Provider-SP) Nhà cung cấp dịch vụ cài đặt router switch Sau đó, SP gắn thiết bị từ khách hàng khác vào switch Private VLAN cho phép SP dùng mạng cho nhà, cho cổng khác khách hàng cho khơng thể giao tiếp trực tiếp hỗ trợ tất khách hàng switch Về mặt ý niệm, private VLAN bao gồm đặc điểm sau:  Các cổng cần giao tiếp với tất thiết bị khác  Các cổng cần giao tiếp với với thiết bị khác, thường router  Các cổng giao tiếp với thiết bị dùng chung Mô tả cổng Cổng thuộc Cổng thuộc Cổng thuộc VLAN nối với cổng primary VLAN cộng đồng cô lập VLAN Truyền liệu với cổng kiểu primary Có Có Có Trang 165 VLAN (cổng tổng hợp) Truyền liệu với cổng secondary VLAN Có Có Khơng Truyền liệu với cổng secondary VLAN khác Có Khơng Khơng Bảng 6: Mơ tả cổng kết nối Để hỗ trợ nhóm cổng có chức trên, private VLAN bao gồm primary VLAN nhiều secondary VLAN Các cổng primary VLAN gọi cổng tổng hợp (promicuous) có nghĩa gửi nhận liệu với cổng khác, kể với cổng gán vào secondary VLAN Các thiết bị truy cập chung, chẳng hạn router hay server thường đặt vào primary VLAN Các cổng khác, chẳng hạn cổng khách hàng gắn vào secondary VLAN Secondary VLAN thường có hai dạng VLAN cộng đồng (community VLAN) VLAN cô lập (isolated VLAN) Các kỹ sư chọn lựa kiểu tùy thuộc vào thiết bị có phần tập hợp cổng cho phép gửi frame vào (community VLAN) Cịn kiểu lập (isolated port khơng thể truyền đến port khác ngồi VLAN Private VLAN phân làm hai khái niệm: Primary VLAN secondary VLAN Trong Primary VLAN cung cấp kết nối luận lý với secondary VLAN Một máy trạm secondary VLAN giao tiếp với cổng thuộc primary VLAN giao tiếp với máy trạm nằm secondary VLAN khác Các máy trạm secondary VLAN giao tiếp với giới bên ngồi (Internet) thơng qua primary VLAN Ta hình dung primary VLAN có tác dụng chuyên chở máy trạm nằm secondary VLAN Secondary VLAN chia làm hai loại: VLAN cô lập ( isolated VLAN) VLAN cộng đồng (community VLAN)  Cô lập (isolated): cổng switch gắn vào VLAN cô lập giao tiếp với primary VLAN mà thôi, giao tiếp với secondary VLAN khác Thêm vào đó, máy trạm thuộc VLAN cô lập giao tiếp với chúng nằm VLAN Các máy trạm giao tiếp với VLAN để khỏi Trang 166 mạng mà thơi Các máy trạm độc lập hồn tồn với thứ, ngoại trừ primary VLAN  Cộng đồng (community): cổng switch gắn vào VLAN cộng đồng nói chuyện với với primary VLAN Nhưng VLAN thứ cấp khác khơng Tất secondary VLAN phải kết hợp với primary VLAN Private VLAN loại VLAN đặt biệt nên có ý nghĩa cục switch mà thơi Switch cấu hình private VLAN có switch có VLAN Giao thức VTP không quảng bá thông tin private VLAN cho switch khác Và lúc cấu hình private VLAN bị yêu cầu phải cấu hình thiết bị VTP mode Transparent Đối với VLAN thường, muốn gắn cổng vào VLAN ta gõ câu lệnh switchport access vlan-id Nhưng private VLAN định nghĩa hai dạng cổng: tổng hợp (promiscuous) kiểu host Cổng tổng hợp cổng switch kết nối với router có vai trị chuyển tiếp liệu ngồi Quy luật private VLAN khơng áp dụng cho loại cổng Cổng giao tiếp với loại primary VLAN hay secondary VLAN mà không bị giới hạn Host cổng switch kết nối với VLAN cô lập hay VLAN cộng đồng Cổng loại giao tiếp với cổng tổng hợp cổng khác nằm VLAN cộng đồng Đối với máy trạm nằm VLAN lập khơng giao tiếp với nhau, mà giao tiếp với cổng tổng hợp mà thơi Cấu hình private VLAN thực Catalyst 6500, switch 3550 không thực chức private VLAN, switch 3550 có câu lệnh private-vlan bổ sung khơng có, có khơng có tác động 5.5.2 | TẤN CÔNG CHUYỂN TIẾP VLAN Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình trung kế ISL/802.1Q sử dụng để trao đổi thông tin switch Nó đồng chế độ trung kế hai đầu cuối tuyến hạn chế cần thiết việc can thiệp biện pháp quản lý switch Nhân viên quản trị mạng cấu hình trạng thái DTP cổng trung kế Các trạng thái bao gồm On, Off, Desirable, Auto Non-Negotiate  On: trạng thái sử dụng switch khác không hiểu giao thức DTP  Off: trạng thái sử dụng cổng cấu hình từ trước khơng với mục đích trở thành cổng trung kế  Desiarable: trạng thái sử dụng cổng switch muốn trở thành cổng trung kế Trang 167  Auto: trạng thái mặc định nhiều switch  Non-negotiate: trạng thái sử dụng người quản trị mạng muốn loại trung kế ISL hay dot1Q cụ thể Đặc điểm cần nhớ giao thức DTP chế độ mặc định cổng phần lớn switch Auto Tấn công xảy người công đánh lừa switch để switch nghĩ thiết bị người kết nối với switch switch muốn kết nối trung kế Kỹ thuật đòi hỏi thiết lập có khả chuyển đổi thành đường trung kế, kiểu thiết lập Auto, cơng thành công Bây giờ, kẻ công trở thành thành viên nhiều VLAN kết nối đến switch gửi nhận lưu lượng VLAN Cách tốt để ngăn chặn kiểu công chuyển tiếp VLAN (VLAN hopping) tắt kết nối tất cổng ngoại trừ cổng cần thiết Kiểu công chuyển VLAN dùng kỹ thuật đóng gói kép Kiểu cơng lợi dụng cách mà phần cứng phần lớn switch hoạt động Hiện nay, phần lớn switch thực đóng gói IEEE 802.1Q mức Điều cho phép kẻ cơng, tình cụ thể, có khả gắn đuôi 802.1Q (gọi 802.1Q tag) vào khung Ethernet Khung tạo VLAN với đuôi 802.1Q đầu không xác định Một đặc điểm quan trọng kiểu cơng tiến hành chí với cổng trung kế thiết lập chế độ Off Ngăn chặn công kiểu không dễ việc ngăn chặn công chuyển tiếp VLAN (VLAN hopping) Biện pháp tốt để đảm bảo VLAN cổng trung kế phân biệt rạch ròi với VLAN cổng người dùng 5.6 | BÀI TẬP CHƯƠNG Bài 1: Cho sơ đồ mạng Trang 168 Bảng địa Device Interface IP Address Subnet Mask Default Gateway S1 VLAN 192.168.1.11 255.255.255.0 N/A S2 VLAN 192.168.1.12 255.255.255.0 N/A PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.10.4 255.255.255.0 192.168.10.1 PC-C NIC 192.168.20.3 255.255.255.0 192.168.20.1 Yêu cầu: Thiết lập sơ đồ khởi động thiết bị Tạo VLAN gán port cho VLAN Cấu hình Trunk hai switch Bài 2: Cho sơ đồ mạng Bảng địa Trang 169 Device Interface IP Address Subnet Mask Default Gateway R1 G0/1.1 192.168.1.1 255.255.255.0 N/A G0/1.10 192.168.10.1 255.255.255.0 N/A G0/1.20 192.168.20.1 255.255.255.0 N/A Lo0 209.165.200.225 255.255.255.224 N/A S1 VLAN 192.168.1.11 255.255.255.0 192.168.1.1 S2 VLAN 192.168.1.12 255.255.255.0 192.168.1.1 PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.20.3 255.255.255.0 192.168.20.1 Yêu cầu: Thiết lập sơ đồ khởi động thiết bị Tạo VLAN gán port cho VLAN Cấu hình Trunk hai switch Cấu hình định tuyến VLAN Bài 3: Cho sơ đồ mạng: Phần 1: Thiết lập Tắt chế phân giải tên miền cho router Đặt hostname cho router là: R1, R2, R3 switch là: SW1, SW2 Trang 170 Đặt banner cho router họ tên sinh viên Đặt enable password “tdc” cho router R1, R2, R3 Cấu hình cho phép telnet khơng password router R1, R2 Cấu hình cho phép SSH vào router R3 (với username: tensv, password: ssh) Phần 2: Trên switch SW1, tạo Vlan gán port cho Vlan Ports Vlan F0/2 – F0/5 Vlan 10 - Students F0/6 – F0/10 Vlan 20 – Guest Network 192.168.1.0/24 2001:db8:acad:1::/64 192.168.2.0/24 2001:db8:acad:2::/64 Trên switch SW2, tạo Vlan gán port cho Vlan Ports Vlan F0/2 – F0/5 Vlan 30 - Teacher F0/6 – F0/10 Vlan 40 – Manager Network 192.168.3.0/24 2001:db8:acad:3::/64 192.168.4.0/24 2001:db8:acad:4::/64 Trên router R1 switch SW2 cấu hình định tuyến Vlan, cung cấp gateway cho PC Đảm bảo Vlan thấy IPv4 IPv6 Phần 3: Cấu hình định tuyến tĩnh cho router R1, R2, R3, switch SW2 IPv4 IPv6 Lưu ý: Đảm bảo mạng hội tụ Phần 4: Backup file cấu hình router R1 đến TFTP Server Trang 171 TÀI LIỆU THAM KHẢO [1] Nguyễn Thị Điệp, Nguyễn Hồng Sơn - Giáo trình hệ thống mạng máy tính CCNA, Version 4.0 - NXB Lao động -Xã hội – 2009 [2] Đội ngũ giảng viên Vnpro – Hướng dẫn học CCNA Routing & Switching, - NXB thông tin truyền thông– 2016 [3] Wendell Odom, CCent/CCNA ICND1 100-105, Cisco Press – 2016 Một số website:  http://netacad.com  http://www.ntps.edu.vn Trang 172 ... 164 Trang ix GIÁO TRÌNH HỌC PHẦN Tên giáo trình: Quản trị hạ tầng mạng phần cứng Mã học phần: CNC108233 Vị trí, tính chất, ý nghĩa vai trị học phần:  Vị trí: Đây học phần thuộc khối kiến... LỜI GIỚI THIỆU Quyển giáo trình biên soạn dựa theo đề cương môn học ? ?Quản trị hạ tầng mạng phần cứng bản? ?? Khoa Công nghệ thông tin Trường Cao đẳng Công nghệ Thủ Đức Do giáo trình phát hành lần... tiếp mạng Trong mạng hay mạng con, máy tính giao tiếp với khơng cần phải qua thiết bị trung gian lớp Network Nhưng cần giao tiếp với máy tính mạng hay mạng khác, cần phải qua gateway – thông