ỦY BAN NHÂN DÂN TP HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN GIÁO TRÌNH HỌC PHẦN: QUẢN TRỊ HẠ TẦNG MẠNG PHẦN CỨNG CĂN BẢN NGÀNH: TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH TRÌNH Độ: CAO ĐẲNG Ban hành kèm theo Quyết định số: /QĐ- ngày tháng năm í RƯỜNG CAO ĐẲNG CƠNG NGHỆ THỦ ĐỨC THƯ VIỆN Đ KCB fflíl.íT.Ậấ TP Hổ Chí Minh, năm 2018 TUN BĨ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Quyển giáo trình biên soạn dựa theo đề cưong môn học “Quản trị hạ tầng mạng phần cứng bản” Khoa Công nghệ thông tin Trường Cao đẳng Công nghệ Thủ Đức Do giáo trình phát hành lần đầu nên khơng tránh khỏi sai sót nội dung lẫn hình thức, tác giả mong nhận góp ý chân thành từ q thầy em sinh viên để giáo trình hồn thiện hon Tp.HCM, ngày 30 tháng 05 năm 2018 Tham gia biên soạn Chủ biên: Nguyễn Thị Mộng Hằng MỤC LUC A DANH MỤC CÁC TỪ VIẾT TẮT B DANH MỤC BIỂU BẢNG SỐ LIỆU c DANH MỤC CÁC HÌNH CHƯƠNG 1: MƠ HÌNH T C P /IP 1.1 I LỚP NETWORK ACCESS 1.1.1 I LỚP PHYSICAL 1.1.2 I LỚP DATA LINK 1.2 I LỚP INTERNET (LỚP NETWORK) 11 1.2.1 I CÁC GIAO THỨC CỦA LỚP NETWORK 11 1.2.2 I CÁC ĐẶC ĐIỂM C BẢN CỦA GIAO THỨC IP 11 I IP PACKET 14 1.2.4 I IPV4 HEADER 14 1.2.5 I IPV6 HEADER 17 1.2.6 I ĐỊNH TUYẾN 18 1.2.7 I ĐỊA CHỈ IPV4 19 1.3 I LỚP TRANSPORT 1.3.1 I ĐIỀU KHIỂN CÁC CUỘC TRAO ĐỔI 28 1.3.2 I HỖ TRỢ TRUYỀN KHÔNG TIN CẬY 30 3 I T C PV Ẩ U D P 31 1.3.4 I ĐỊA CHỈ PORT 32 1.3.5 I GÍAO THỨC T C P -S ự TRUYỀN THÔNG TIN CẬY .35 1.3.6 I QUẢN LÝ CÁC PHIÊN GIAO DỊCH TCP 41 1.3.7 I GIAO THỨC UDP 4 1.4 I LỚP APPLICATION 1.4.1 I CÁC ỨNG DỤNG - GIAO DIỆN ĐỂ GIAO TIẾP GIỮA CÁC MẠNG 47 1.4.2 I MƠ HÌNH CLIENT-SERVER 48 1.4.3 I MẠNG NGANG HÀNG (PEER-TO-PEER) 49 1.4.4 I MỘT SỐ DỊCH VỤ VÀ GIAO THỨC PHỔ BIỂN Ở LỚP APPLICATION 50 1.5 I BÀI TẬP CHƯƠNG 60 CHƯƠNG 2: ĐỊA CHỈ IP V 2.1 I GIỚI THIỆU ĐỊA CHỈ IPV6 62 2.2 I CẤU TRÚC ĐỊA CHỈ IPV6 .63 I ĐỊNH DANH GIAO DIỆN (Interface Iden tifier) 65 2.3.1 I T ự ĐỘNG TẠO BIT ĐỊNH DANH GIAO DIỆN TỪ ĐỊA CHỈ MAC 65 2.3.2 I T ự ĐỘNG TẠO BIT ĐỊNH DANH GIAO DIẸN MỘT CÁCH NGẪU NHIÊN 67 2.4 I CÁC LOẠI ĐỊA CHỈ IPV6 ' .’ 68 2.4.1 I TỔNG QUAN VỀ PHÂN LOẠI ĐỊA CHỈ IPV6 68 2.4.2 I NHỮNG DẠNG ĐỊA CHỈ UNICAST 69 2.4.3 I ĐỊA CHỈ MULTICAST 73 2.4.4 I ĐỊA CHỈ ANYCAST 76 I BÀI TẬP CHƯƠNG 77 CHƯƠNG 3: CẤU HÌNH HỆ ĐIEU HÀNH MẠNG 3.1 I TỔNG QUAN HỆ ĐIỀU HÀNH CISCO ỈOS .79 3.1.1 I ROUTER - CÁC THÀNH PHẦN BÊN TRONG ROUTER 79 3.1.2 I MỤC ĐÍCH CỦA PHẦN MỀM CISCO IOS 3.1.3 I GIẢO DIỆN NGƯỜI DÙNG CỦA ROUTER 81 3.1.4 I CÁC CHE Đ ộ c ấ u h ìn h r o u t e r 81 3.1.5 I HOẠT ĐỘNG CỦA PHẦN MỀM CISCO IOS 82 3.1.6 I KHỞI ĐỘNG ROUTER 83 3.1.7 I ĐĂNG NHẬP VÀO ROUTER BẰNG GIAO DIỆN DÒNG LỆNH 85 3.1.8 I PHÍM TRỢ GIÚP TRONG ROUTER CLI ’ .87 3.1.9 I MỞ RỘNG THÊM CÁCH VIẾT CÂU LỆNH .89 I CẤU HÌNH ROUTER 89 3.2.1 I CHẾ ĐỘ GIAO TIẾP DÒNG LỆNH CLI .89 3.2.2 I ĐẶT TEN CHO ROUTER 91 3.2.3 I ĐẬT MẬT MÃ CHO ROUTER .91 3.2.4 I CẦU HÌNH CỔNG SERIAL 93 3.2.5 I CẤU HÌNH CỔNG ETHERNET 3.2.6 I CẤU HÌNH CÂU CHÚ THÍCH CHO CỔNG GIAO TIẾP 95 3.2.7 I THÔNG ĐIỆP ĐĂNG NHẬP 95 3.2.8 I THỰC HIỆN THÊM BÓT,’DỊCH CHUYỂN VÀ THAY ĐỔI TẬP TIN CẤU HÌNH 95 3.2.9 I KIỂM TRA BẰNG CÁC LẸNH SHOW .’ 96 3.3 I TELNET VÀ SSH 3.3.1 I THIẾT LẬP VÀ KIỂM TRA KẾT NỐI TELNET 97 33 I SSH 101 3.4 I KHÔI PHỤC MẬT KHẨU CHO ROUTER VÀ SWITCH 103 3.4.1 I KHÔI PHỤC MẬT KHẤU CHO ROUTER 103 3.4.2 I KHÔI PHỤC MẬT KHẤU CHO SWITCH 106 I NẠP IOS CHO ROUTER VÀ SW ITCH I l l 3.5.1 I NẠP IOS CHO ROUTER I l l 3.5.2 I NẠP IOS CHO SWITCH 112 3.6 I SAO LƯU VÀ NÂNG CẤP IOS 1 3.7 I BÀI TẬP CHƯƠNG 121 CHƯƠNG 4: ĐỊNH TUYẾN T ĨN H 4.1 I GIỚI THIỆU VỀ ĐỊNH TUYẾN 129 4.2 I CẤU HỈNH ĐỊNH TUYẾN TĨNH 130 4.2.1 I CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV4 130 4.2.2 I CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV6 133 4.3 I CẤU HỈNH ĐƯỜNG MẶC ĐỊNH CHO ROUTER 135 4.3.1 I CẤU HÌNH ĐƯỜNG MẶC ĐỊNH TRÊN IPV4 136 4.3.2 I CẤU HÌNH ĐƯỜNG MẬC ĐỊNH TRÊN IPV6 137 4.4 I XỬ LÝ SỰ CỐ STATIC ROUTE VÀ DEFAULT ROUTE 13 4.5 I BÀI TẬP CHƯƠNG 139 CHƯƠNG 5: VLAN 5.1 I KHÁI NIỆM VẼ VLAN 142 5.1.1 I GIỚI THIỆU VỀ VLAN 142 5.1.2 I MIỀN QUẦNG BÁ THAY ĐỔI NHƯ THẾ NÀO KHI c ó VLAN .143 5.1.3 I HOẠT ĐỘNG CỦA VLAN 145 5.1.4 I LỢI ÍCH CỦA VLAN 146 5.1.5 I CAC LOẠI VLAN 147 5.1.6 I CẤU HÌNH VLAN 150 5.2 I TRUNKING 153 5.2.1 I GIỚI THIỆU 153 5.2.2 I KỸ THUẬT TRUNKING DOT1Q 5.2.3 I KỸ THUẬT TRUNKING IS L 156 5.2.4 I CẤU HÌNH TRƯNKING .1 56 5.3 I VTP ' 5.3.1 I ĐẶC ĐIỂM 58 5.3.2 CẦU HÌNH 161 5.4 I ĐỊNH TUYẾN VLAN VỚI ROUTER 162 5.5 I VLAN RIÊNG (PRIVA TE VLAN) 16 5.5.1 I KHÁI NIỆM 165 5.5.2 TẤN CÔNG CHUYỂN TIẾP VLAN 167 5.6 I BÀI TẬP CHƯƠNG 16 DANH MỤC CÁC TỪ VIÉT TẤT • CSMA/CD (Carier Sense Multiple Access/ Collision Detection ) CSMA/CA (Carier Sense Multiple Access/ Collision Avoidance) DNS (Domain Name System) DHCP (Dynamic Host Control Protocol) FTP (File Transfer Protocol) ICMP (Internet Control Message Protocol) LLC (Logical Link Control) MAC (Media Access Control) OSI (Open Systems Interconnection Reference Model) POP (Post Office Protocol) SMTP (Simple Mail Transfer Protocol) SNMP (Simple Network Management Prorocol) TTL (Time To live) TCP/IP (Transmission Control Protocol / Internet Protocol) TCP (Transmission Control Protocol) UDP (User Datagram Protocol) VLSM (Variable Length Subnet Mask) VoIP (Voice over IP) VLAN (virtual LAN) DANH MỤC BIỂU BẢNG SỐ LIỆU Bảng 1: Bandwidth Bảng 2: Các port thông dụng 35 Bảng 3: Địa multicast 76 Bảng 4: Chế độ hoạt động router 83 Bảng 5: Các mode Trunking 157 Bảng 6: Mô tả cổng kết nối 166 DANH MỤC CAC HINH Hình 1: Mơ hình TCP/IP Hình 2: Phương pháp Signaling manchaster Hình 3: cấu trúc frame Hình 4: Các lóp lớp Data link Hình 5: Phương pháp truy cập Controlled Hình 6: Phương pháp truy cập Contention based 10 Hình 7: Giao tiếp connectionless 12 Hình 8: Best-effort .13 Hình 9: Các IP packet độc lập với môi trường truyền 14 Hình 10: Tạo IP packet 14 Hình 11: Các cột IPv4 header .15 Hình 12: Các cột IPv6 header .17 Hình 13: Default gateway hỗ trợ giao tiếp mạng 18 Hình 14: cấu trúc địa IP 19 Hình 15: Mượn thêm bit để chia subnet 20 Hình 16: Sơ đồ mạng 21 Hình 17: Nhiệm vụ lớp Transport 28 Hình 18: Các dịch vụ lớp Transport 29 Hình 19: Địa Port 33 Hình 20: TCP header 37 Hình 21: Thiết lập kết nối TCP 38 Hình 22: Ngắt kết nối TCP 40 Hình 23: Tại đích, TCP segment xếp lại 42 Hình 24: Acknowledgement Window size 43 Hình 25: Điều khiển luồng 44 Hình 26: Vận chuyển liệu với giao thức UDP 45 Hình 27: UDP: không kểt nối không tin cậy 45 Hình 28: UDP server lắng nghe request từ client 46 Hình 29: Client download file từ server 48 Hình 30: Mạng peer-to-peer 49 Hình 31: Các ứng dụng peer-to-peer 50 Hình 32: Giao thức HTTP 51 Hình 33: Các giao thức Email 52 Hình 34: Hoạt động SMTP 53 Hình 35: Hoạt động POP3 54 Hình 36: Các tiến trình FTP 55 Hình 37: Sự phân cấp DNS server 56 Hình 38: Tiện ích nslookup 57 Hình 39: Các tiến trình DHCP 58 Hình 40: DHCP Server 59 Hình 41: Chia sẻ tập tin giao thức SM B 60 Hình 42: cấu trúc địa IPv6 63 Hình 43: Ánh xạ từ EUI-48 tới EƯI-64 66 Hình 44: Tự động cấu hình 64 bit định danh giao diện từ địa MAC 67 Hình 45: cấu trúc địa link-local 70 Hình 46: cấu trúc địa site-local .71 Hình 47: cấu trúc địa Global Unicast 72 Hình 48: Phân cấp định tuyến địa IPv6 Unicast toàn cầu .73 Hĩnh 49: cấu trúc địa IPv6 multicast 74 Hình 50: Các chế độ cấu hình router 82 Hình 51: Kết cổng console 85 Hình 52: Đấu nối cáp 86 Hình 53: Tera Term .87 Hình 54: Thơng số cổng COM 87 Hình 55: Help 88 Hình 56: Sơ đồ kết n ổ i 104 Hình 57: Các đèn LED mặt trước switch 3560 107 Hình 58: Mặt sau switch dòng 3560 -24PS 108 Hình 59: Sơ đồ Ill Hình 60: Sơ đ .112 Hình 61: Mở cửa sổ kết nối 114 Hình 62: Chọn tổc độ cho cổng Console Secure C R T 115 Hình 63: Chọn Send Xmodem 116 Hình 64: Chọn đường dẫn đến file 10 s 116 Hình 65: Backup IOS cho rater 117 Hình 66: Giao diện chương trình TFTPd32 118 Hình 67: Giao diện TFTPd32 hiển thị thông số 119 Hình 68: Giao diện TFTPd32 copy từ Server vào Router 121 Hình 69: Định tuyến tĩnh 130 Hình 70: Sơ đồ mạng 131 Hình 71: Sơ đồ mạng 136 Hình 72: Kiểm tra default static route 137 Hình 73: cấu hình đường mặc định IPv6 138 Hình 74: Kiểm tra default static route 138 Hình 75: Khái niệm VLAN 143 Hình 76: Miền quảng bá trước có VLAN 144 Hình 77: Miền quảng bá sau có VLAN 145 Hình 78: Fields an Ethernet 802.IQ Frame 148 Hình 79: VLAN1 149 Hình 80: Voice VLAN .149 Hình 81: Ví dụ cấu hình VLAN 151 Hình 82: Đấu cácVLAN hai Switch 153 Hình 83: Đường Trank kết nốicác VLANtrên hai switch 154 Hình 84: Trank D otlQ 155 Hình 85: Trunking ISL 156 Hình 86: VTP Pruning 160 Hình 87: Ví dụ Router on a stick 162 Hình 88: Sơ đồ đấu nối router với VLAN switch 164 • Vlan-list danh sách VLAN Các VLAN danh sách phân cách với dấu phẩy dấu gạch ngang • All: tất VLAN từ đến 4094 phép qua đường trunk Đây chế độ mặc định cổng trunk • Add vlan-list: thêm danh sách VLAN vào danh sách VLAN có • Except vlan-lisf tất VLAN phép qua đường trunk ngoại trừ VLAN nằm vlan-list • Remove vlan-list: gỡ bỏ VLAN vlan-list khỏi danh sách VLAN qua đường trunk Có thể hiệu chỉnh chọn native VLAN cổng trunk câu lệnh: Switch(config-if)# switchport trunk native vlan vlan-id Sau cấu hình xong đường trunk, câu lệnh sau thường dùng để kiểm tra kết cấu hình: Switch#show interface [tên interface] trunk Switch#show interface switchport 5.3 I V T P Mọi yêu cầu đặt hệ thống chuyển mạch Ethernet switch phải thống với cấu hình VLAN Khi số lượng VLAN hệ thống đủ lớn, việc kiểm tra trì tính đồng cấu hình VLAN switch trở nên khó khăn Cisco đưa giao thức chạy switch cho phép switch tự động đồng cấu hình VLAN với mà khơng cần có can thiệp người quản trị, giúp giảm nhẹ nhiều gánh nặng việc quản trị cấu hình VLAN mạng chuyển mạch Giao thức gọi VTP - VLAN trunking Protocol 5.3.1 I ĐẶC ĐIỂM VTP có sổ đặc điểm sau: • VTP sử dụng đường trunk layer để trao đổi thông tin Do đó, để switch chạy VTP với nhau, đường trunk phải thiết lập chúng • VTP domain-, switch chạy VTP với tổ chức thành domain, switch thuộc domain trao đổi thơng tin VTP với nên việc forward lưu lượng VLAN đến switch không cần thiết gây tổn hao tài nguyên mạng Vấn đề vừa nêu khắc phục cách bật tính VTP Pruning VTP server switch hệ thống chuyển mạch Tính VTP Pruning bật server tự động lan truyền đến switch lại kểt switch server client hệ thống chuyển mạch bật VTP Pruning Khi bật VTP Pruning, hai switch hình 86 gửi thông điệp VTP lên switch để thông báo chúng chúng không cần liệu VLAN (vì hai switch khơng tồn VLAN 3) Switch nhận thông điệp chủ động chặn không cho liệu broadcast VLAN lan truyền vào đường trunk đến hai switch từ tiết kiệm tài nguyên mạng phải xử lý VLAN hai đường link nối đến hai switch • VTP version: ■ Hiện có version VTP version 1, 3, hai version sử dụng phổ biến version version ■ Các switch server client phải thống với version VTP sử dụng hay để trao đổi thơng tin VTP với Vì hai version khơng tương thích với Switch transparent chạy version forward thơng tin VTP cho switch chạy version ■ VTP version tương thích ngược với VTP version cung cấp thêm nhiều cải tiến hoạt động giao thức VTP Ví dụ hỗ trợ private VLAN, 5.3.2 I CẤƯHÌNH Một sổ thao tác cần thực cấu hình VTP switch: Khai báo domain-name cho switch tham gia VTP: Switch(confíg)#vtp domain domain-name Khai báo pasword VTP Switch(config)#vtp password password Khai báo thêm password cho phép tăhg tính bảo mật việc trao đổi thông tin VTP switch Các switch phải password đồng thông tin VTP với Chọn mode hoạt động cho switch: Switch(confïg)#vtp mode { server I client I transparent} Bật VTP Pruning: Switch(config)#vtp pruning Một vài lệnh kiểm tra bản: Switch#show vtp status Switch#show vtp pasword I Đ ỊN H TUYÊN VLAN V Ơ I RO U TER Các host kết nối vào VLAN khác trao đổi liệu với nhau, cần phải có thiết bị lớp trung chuyển liệu VLAN Tác vụ gọi định tuyến VLAN Có hai phương pháp định tuyến VLAN thơng dụng: sử dụng router sử dụng switch lớp Trong tài liệu trình bày định tuyến VLAN sử dụng router hay gọi Router on a stick Ý tưởng giải pháp thiết lập đường trunk nối cổng Fastethemet router cổng switch Khi đó, cổng Fastethemet router tiếp nhận frame đến từ VLAN khác switch router thực trung chuyển liệu VLAN dựa tên thông tin lớp gói tin IP nằm frame Xét ví dụ hình: Ví dụ hình 87, switch cấu hình VLAN 1, Các host gắn vào VLAN qui hoạch sau: VLAN lấy dãy IP 192.168.1.0/24 Mỗi domain đặt trưng domain-name, switch thuộc domaim phải cấu hình thiết lập domain-name giống VTP domain name xây dựng ký tự chữ số, có phân biệt chữ hoa, chữ thường VTP mode: switch chạy VTP, hoạt động mode sau: ■ Server: switch mode server có tồn quyền thao tác cấu hình VLAN Các quyền bao gồm: + Tạo, sửa, xóa VLAN + Học cấu hình VLAN từ switch khác (hay đồng thông tin VLAN từ switch khác) + Forward thông tin VLAN: sau học xong thông tin VLAN, switch thực chuyển tiếp thông tin cho switch cập nhật ■ Client: ngược với mode server, switch mode khơng phép thay đổi cấu hình VLAN cuả Các hành động mà switch mode client thực bao gồm: + Đồng cấu hình VLAN từ swithc khác + Forward thông tin VLAN: sau học xong thông tin VLAN, switch client thực chuyển tiếp thông tin cho switch cập nhật ■ Transparent: switch mode transparent đứng đường lưu lượng VTP, giúp switch khác trao đổi thông tin VTP thân khơng đồng cấu hình VLAN theo thông tin Các hành động switch mode transparent thực bao gồm: + Tao, sửa, xóa VLAN cách độc lập với switch khác + Khơng đồng với cấu hình VLAN từ switch khác không gửi thông tin VLAN cho switch khác + Forward thơng tin VLAN: không đồng thông tin VLAN switch transparent thực trung chuyển lưu lượng VTP ngang qua để switch khác đồng thông tin VLAN với Sổ Revision: ■ Mỗi switch tham gia VTP trì giá trị revision cho cấu hình VLAN mà lưu giữ ■ Ở chể độ cấu hình mặc định, số revision môi switch 0, lần swicth thực tạo, sửa xóa VLAN, giá trị tăng lên đơn vị Như vậy, cấu hình VLAN chỉnh sửa nhiều, số revision tương ứng cao vậy, số revision phản ánh “độ mới” cấu hình VLAN ■ Nếu hai switch trao đổi cấu hình VLAN với nhau, cấu hình VLAN với số revision cao đè lên cấu hình VLAN có số revision thất (nghĩa switch với cấu hình VLAN có số revision thấp phải đồng lại thơng tin VLAN theo switch có revision cao hơn) • VTP Pruning: tính giúp switch giảm thiểu việc phải forward lưu lượng không cần thiết qua mạng chuyển mạch Xét ví dụ sau hình 86: Hình 86: VTP Pruning Trên sơ đồ hình 586, giả sử host X thực gửi broadcast VLAN Vì VLAN broadcast-domain, lưu lượng chuyển tiếp đến tất host khác thuộc VLAN hệ thống chuyển mạch, host thuộc VLAN switch Như trình bày phần trunking, mặc định đường trunk cho qua liệu tất VLAN nên cổng trunk switch nối để switch switch forward vào đường trunk lưu lượng broadcast VLAN Tuy nhiên, quan sát sơ đồ hình 86 thấy switch switch khơng có diện VLAN • VLAN lấy dãy IP 192.168.2.0/24 • VLAN lấy dãy IP 192.168.3.0/24 Đầu tiên, cấu hình để cổng F0/1 switch cổng trunk: Switch(config)#interface F0/1 Switch(confĩg-if)#switchport trunk encapsulation dotlq Switch(confíg-if)#switchport mode trunk Lưu ý: câu lệnh “switchport trunk encapsulation dotlq” khơng có dịng switch lófp 2950, 2960 switch hỗ trợ chuẩn trunking dotlq Khi cấu hình switch này, sinh viên bỏ qua dịng lệnh Tiếp theo, thực cấu hình chia sub-interface, thiết lập sub-inteface tiếp nhận frame đến từ VLAN tương ứng cấu hình IP sub-interface này: Router(confíg)#interface F0/0 Router(config-if)#no shutdown Router(config)#interface F0/0.2 Router(confíg-subif)#encapsulation dotlq Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#exit Router(confíg)#interface F0/0.3 Router(config-subif)#encapsulation dotlq Router(confíg-subif)#ip address 192.168.3.1 255.255.255.0 Router(config-subif)#exit Nhân xét: • Các sub-interface F0/0.2 F0/0.3 tạo để tiếp nhận frame đến từ VLAN VLAN Câu lệnh “encapsulation dotlq vlan-ỉđ’ giúp sub­ interface hiểu tiếp nhận frame có gắn thơng tin trunking dotlq xuất phát từ VLAN vlan-id • Chỉ số sub-interface vlan-id nên sử dụng trùng để dễ dàng cho mục đích quản lý Tuy nhiên điều khơng bắt buộc • Mặc định, VLAN cổng trunk native VLAN nên frame xuất phát từ VLAN vào đường trunk tag thêm thông tin trunking Do đó, frame VLAN giữ nguyên định dạng Ethernet thông thường, cổng F0/0 router tiếp nhận Ethernet frame thơng thường khơng gắn tag, nên ví dụ sử dụng để tiếp nhận frame đến từ native VLAN mà khơng cần phải cấu hình thêm Có cách khác để tiếp nhận frame xuất phát từ native VLAN ta thêm sub-interface dành riêng cho VLAN sử dụng từ khóa “native” sau câu lệnh “encapsulation Ví dụ, thay sử dụng cổng F0/0 router, tạo thêm sub-interface F0/0.1 cho VLAN 1: Router(confìg)#interface F0/0.1 Router(confíg-subif)#encapsulation dotlq native Router(confíg-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#exit • Mỗi sub-interface đặt địa IP để làm gateway cho host nằm bên VLAN tương ứng mà đấu nối vào Các host thuộc VLAN tương ứng default gateway đến địa để đến host thuộc VLAN khác thông qua router Sau cấu hình xong định tuyến VLAN, sơ đồ đấu nối router với VLAN switch thể lại hình 88 Hình 88: Sơ đồ đấu nối router với VLAN switch 5.5 I VLAN RIÊNG (PR IV A TE VLAN) 5.5.1 I KHÁI NIỆM Các kỹ sư thiết kế VLAN với nhiều mục đích Trong nhiều trường hợp ngày nay, thiết bị nằm VLAN chung vị trí đặt máy Vấn đề bảo mật yếu tố khác thiết kế VLAN: thiết bị khác VLAN khác không nghe thông tin quảng bá tồn mạng (broadcast) Thêm vào đó, việc chia máy trạm thuộc VLAN khác dẫn đến yêu cầu dùng router switch hoạt động đa tầng (multilayer switch) mạng kiểu thiết bị thường có thêm nhiều chức bảo mật Trong vài trường hợp, nhu cầu tăng tính bảo mật cách tách thiết bị bên VLAN nhỏ xung đột với mục đích thiết kế sử dụng địa IP sẵn có Tính private VLAN Cisco giúp giải vấn đề Private VLAN cho phép switch tách biệt host thể host VLAN khác dùng mạng IP Một tình phổ biến để triển khai private VLAN trung tâm liệu nhà cung cấp dịch vụ - (Service Provider-SP) Nhà cung cấp dịch vụ cài đặt router switch Sau đó, SP gắn thiết bị từ khách hàng khác vào switch Private VLAN cho phép SP dùng mạng cho nhà, cho cổng khác khách hàng cho khơng thể giao tiếp trực tiếp hỗ trợ tất khách hàng switch mặt ý niệm, private VLAN bao gồm đặc điểm sau: • Các cổng cần giao tiếp với tất thiết bị khác • Các cổng cần giao tiếp với với thiết bị khác, thường router • Các cổng giao tiếp với thiết bị dùng chung thuộc Cổng thuộc Cổng thuộc VLAN Mô tả cổng Cổng VLAN cộng đồng lập primary nối vói cổng VLAN A Truyền liệu với cổng kiểu primary Có Có A Có VLAN (cổng tổng hợp) Truyền liệu với cổng secondary VLAN Có Có Khơng Truyền liệu với cổng secondary VLAN khác Có Khơng Khơng - ? r ~ Bảng 6: Mô tả công kêt nơi Để hỗ trợ nhóm cổng có chức trên, private VLAN bao gồm primary VLAN nhiều secondary VLAN Các cổng primary VLAN gọi cổng tổng họp (promicuous) có nghĩa gửi nhận liệu với cổng khác, kể với cổng gán vào secondary VLAN Các thiết bị truy cập chung, chẳng hạn router hay server thường đặt vào primary VLAN Các cổng khác, chẳng hạn cổng khách hàng gắn vào secondary VLAN Secondary VLAN thường có hai dạng VLAN cộng đồng (community VLAN) VLAN cô lập (isolated VLAN) Các kỹ sư chọn lựa kiểu tùy thuộc vào thiết bị có phần tập họp cổng cho phép gửi frame vào (community VLAN) Cịn kiểu lập (isolated port khơng thể truyền đến port khác ngồi VLAN Private VLAN phân làm hai khái niệm: Primary VLAN secondary VLAN Trong Primary VLAN cung cấp kết luận lý với secondary VLAN Một máy trạm secondary VLAN giao tiếp với cổng thuộc primary VLAN giao tiếp với máy trạm nằm secondary VLAN khác Các máy trạm secondary VLAN giao tiếp với giới bên ngồi (Internet) thơng qua primary VLAN Ta hình dung primary VLAN có tác dụng chuyên chở máy trạm nằm secondary VLAN Secondary VLAN chia làm hai loại: VLAN cô lập ( isolated VLAN) VLAN cộng đồng (community VLAN) • Cơ lập (isolated): cổng switch gắn vào VLAN lập giao tiếp với primary VLAN mà thôi, giao tiếp với secondary VLAN khác Thêm vào đó, máy trạm thuộc VLAN cô lập giao tiếp với chúng nằm VLAN Các máy trạm giao tiếp với VLAN để khỏi mạng mà thơi Các máy trạm độc lập hoàn toàn với thứ, ngoại trừ primary VLAN • Cộng đồng (community): cổng switch gắn vào VLAN cộng đồng nói chuyện với với primary VLAN Nhưng VLAN thứ cấp khác khơng Tất secondary VLAN phải kết hợp với primary VLAN Private VLAN loại VLAN đặt biệt nên có ý nghĩa cục switch mà thơi Switch cấu hình private VLAN có switch có VLAN thơi Giao thức VTP không quảng bá thông tin private VLAN cho switch khác Và lúc cẩu hình private VLAN bị yêu cầu phải cấu hình thiết bị VTP mode Transparent Đối với VLAN thường, muốn gắn cổng vào VLAN ta gõ câu lệnh switchport access vlan-id Nhưng private VLAN định nghĩa hai dạng cổng: tổng hợp (promiscuous) kiểu host Cổng tổng hợp cổng switch kết nối với router có vai trị chuyển tiếp dừ liệu ngồi Quy luật private VLAN khơng áp dụng cho loại cổng cổng giao tiếp với loại primary VLAN hay secondary VLAN mà không bị giới hạn Host cổng switch kết nối với VLAN cô lập hay VLAN cộng đồng, cổng loại giao tiếp với cổng tổng hợp cổng khác nằm VLAN cộng đồng Đối với máy trạm nằm VLAN lập khơng giao tiếp với nhau, mà giao tiếp với cổng tổng họp mà thơi Cẩu hình private VLAN thực Catalyst 6500, switch 3550 không thực chức private VLAN, switch 3550 có câu lệnh private-vlan bổ sung khơng có, có khơng có tác động 5.5.2 I TẤN CÔNG CHUYÊN TIẾP VLAN Giao thức DTP (Dynamic Trunking Protocol) tự động cấu hình trung kế ISL/802.1Q sử dụng để trao đổi thông tin switch Nó đồng chế độ trung kể hai đầu cuối tuyến hạn chế cần thiết việc can thiệp biện pháp quản lý switch Nhân viên quản trị mạng cấu hình trạng thái DTP cổng trung kế Các trạng thái bao gồm On, Off, Desirable, Auto Non-Negotiate • On: trạng thái sử dụng switch khác khơng hiểu giao thức DTP • Off: trạng thái sử dụng cổng cấu hình từ trước khơng với mục đích trở thành cổng trung kể • Desiarable: trạng thái sử dụng cổng switch muốn trở thành cổng trung kế • Auto: trạng thái mặc định nhiều switch • Non-negotiate: trạng thái sử dụng người quản trị mạng muốn loại trung kế ISL hay dotlQ cụ thể Đặc điểm cần nhớ giao thức DTP chế độ mặc định cổng phần lớn switch Auto Tấn công xảy người công đánh lừa switch để switch nghĩ thiết bị người kết nối với switch switch muốn kết nối trung kế Kỹ thuật địi hỏi thiết lập có khả chuyển đổi thành đường trung kể, kiểu thiết lập Auto, cơng thành cơng Bây giờ, kẻ công trở thành thành viên nhiều VLAN kết nối đến switch gửi nhận lưu lượng VLAN Cách tốt để ngăn chặn kiểu công chuyển tiếp VLAN (VLAN hopping) tắt kết nối tất cổng ngoại trừ cổng cần thiết Kiểu cơng chuyển VLAN dùng kỹ thuật đóng gói kép Kiểu cơng lợi dụng cách mà phần cứng phần lớn switch hoạt động Hiện nay, phần lớn switch thực đóng gói IEEE 802.1Q mức Điều cho phép kẻ cơng, tình cụ thể, có khả gắn đuôi 802.1Q (gọi 802.IQ tag) vào khung Ethernet Khung tạo VLAN với đuôi 802.1Q đầu không xác định Một đặc điểm quan trọng kiểu cơng tiến hành chí với cổng trung kế thiết lập chế độ Off Ngăn chặn công kiểu không dễ việc ngăn chặn công chuyển tiếp VLAN (VLAN hopping) Biện pháp tốt để đảm bảo VEAN cổng trung kế phân biệt rạch ròi với VLAN cổng người dùng 5.6 I BÀI TẬP CHƯƠNG Bài 1: Cho sơ đồ mạng VLAN 10 (Stud en t) VLAN 10 (Student) Bảng địa Device Interface IP Address Subnet Mask Default Gateway SI VLAN 192.168.1.11 255.255.255.0 N/A S2 VLAN 192.168.1.12 255.255.255.0 N/A PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.10.4 255.255.255.0 192.168.10.1 PC-C NIC 192.168.20.3 255.255.255.0 192.168.20.1 Yêu cầu: Thiết lập sơ đồ khởi động thiết bị Tạo VLAN gán port cho VLAN Cấu hình Trunk hai switch Bài 2: Cho sơ đồ mạng LoO GO/1 802 1Q VLAN Trunk F0/5 F0/6 FO/18 VIAN 20 Bảng địa Device Interface IP Address Subnet Mask RI G0/1.1 192.168.1.1 255.255.255.0 N/A G0/1.10 192.168.10.1 255.255.255.0 N/A G0/1.20 192.168.20.1 255.255.255.0 N/A LoO 209.165.200.225 255.255.255.224 N/A SI VLAN 192.168.1.11 255.255.255.0 192.168.1.1 S2 VLAN 192.168.1.12 255.255.255.0 192.168.1.1 PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1 PC-B NIC 192.168.20.3 255.255.255.0 192.168.20.1 Default Gateway Yêu câu: Thiết lập sơ đồ khởi động thiết bị Tạo VLAN gán port cho VLAN > Cấu hình Trunk hai switch Cấu hình định tuyến VLAN Bài 3: Cho sơ đồ mạng: 2001:db3:acad:a::/64 172.16.100.0/30 RI íã “ l - 2001; c&8:acađ :b: :/64 172.16.200.0/30 s R3 V" ề 192.168.6.0/24 2001:db8:acad:6::/64 TFTP Server 192.168.1.0/24 2001:*8:acad:l::/64 192.168.2.0/24 2001:db8:acad:2::/64 2001:cfo8:acad:3::/64 2(K)l: