- Tại CoreSW, chúng ta sẽ cấu hình VTP mode Server như sau - Đặt trunk cho các cổng nối với Client Switch: CoreSWconfig#int range fa0/1-2 CoreSWconfig-if-range#sw trunk encapsulation dot
6
1 (2 điểm) Xây dựng sơ đồ mạng và cấu hình các tham số cơ bản như trong sơ đồ mạng
- Chúng ta đã xây dựng được sơ đồ mạng như hình trên.
- Tiếp theo, đặt IP tĩnh cho các Server
- Ví dụ về đặt IP tĩnh cho DHCP Server, làm tương tự với các Server khác.
At CoreSW, we will access the Fa0/3 and Fa0/4 interfaces and use the command "no switchport" to switch the ports from switching mode to routing mode This allows us to assign IP addresses to those ports.
2 (3 điểm) Cấu hình VLAN, Trunking, IP cho các interface VLAN (SV tự cho)
- Chúng ta sẽ tiến hành cấu hình VLAN sử dụng VTP.
- Tại CoreSW, chúng ta sẽ cấu hình VTP mode Server như sau
CoreSW(config)#vtp mode server
CoreSW(config)#vtp domain SPKT
Sau đó chúng ta sẽ tạo các số hiệu vlan:
CoreSW(config-vlan)#name K.CNTT
CoreSW(config-vlan)#name K.CLC
CoreSW(config-vlan)#name P.DT
CoreSW(config-vlan)#name Wifi
- Đặt trunk cho các cổng nối với Client Switch:
CoreSW(config)#int range fa0/1-2
CoreSW(config-if-range)#sw trunk encapsulation dot1q
CoreSW(config-if-range)#sw m trunk
CoreSW(config-if-range)#sw trunk allowed vlan all
Switch(config)#vtp mode client
Switch(config)#vtp domain SPKT
- Tại Interface nối với CoreSW thiết lập mode trunk
Switch(config-if)#sw m trunk
Switch(config-if)#sw trunk allowed vlan all
- Thiết lập mode access cho các interface nối với PC
Switch(config-if)#sw a vl 10
- Tương tự với các vlan khác
Các thiết bị trong cùng một VLAN đã có khả năng giao tiếp với nhau Để kiểm tra, chúng ta có thể thiết lập địa chỉ IP tĩnh cho PC0 và PC3 thuộc VLAN 10.
- Sau đó quay lại CoreSW, ta sẽ thiết lập default gateway cho các interface vlan CoreSW(config)#int vlan 10
CoreSW(config-if)#ip add 192.168.10.254 255.255.255.0
CoreSW(config-if)#no sh
- Tương tự với các vlan khác
- Sau đó thiết lập chế độ routing cho CoreSW
- Khi này các thiết bị trong các vlan khác nhau đã có thể giao tiếp với nhau
- Từ PC0 ta ping thử sang PC1:
- Tại Server-Switch chúng ta sẽ cấu hình thêm một vlan để DHCP Server và DNS Server có thể giao tiếp được với mạng 172.16.22.0/24
Switch(config-vlan)#name Servers
Switch(config-if)#ip add 192.168.100.254 255.255.255.0
Switch(config-if)#no sh
- Tương tự chúng ta sẽ thiết lập mode access cho các cổng hướng đến Server
3 (5 điểm) Cấu hình định tuyến cho hệ thống mạng nội bộ (SV tùy chọn giao thức định tuyến)
3.1) Chúng ta sẽ chọn giao thức định tuyến OSPF để cấu hình
- Router0, Router1 và CoreSW là nơi mà chúng ta sẽ cấu hình định tuyến OSPF
- Để cấu hình OSPF, chúng ta sẽ dùng các câu lệnh: router ospf (process-id) network area
- Trong đó IP là các network kết nối trực tiếp với thiết bị Router hoặc CoreSW Wildcard mask = 255.255.255.255 – Subnet Mask
- Ví dụ ở CoreSW khi đã bật chế độ routing: router ospf 100 network 192.168.10.0 0.0.0.255 area 0 network 192.168.20.0 0.0.0.255 area 0 network 192.168.30.0 0.0.0.255 area 0 network 192.168.40.0 0.0.0.255 area 0 network 172.16.22.0 0.0.0.255 area 0 network 172.16.12.0 0.0.0.255 area 0
- Tương tự với Router0 và Router1
- Khi này thì mạng của chúng ta đã được định tuyến thành công
3.2) Cấu hình DHCP cấp phát IP cho client ở các VLAN 10, 20, 30,40
- Trong mục Services của DHCP Server chọn DHCP
Để cấp phát địa chỉ IP cho VLAN 10, hãy thiết lập các thông số như hình trên, bắt đầu từ 192.168.10.1 và tối đa 200 địa chỉ Sau khi hoàn tất, nhấn “Add” để thêm vào.
- Làm tương tự với các vlan còn lại
To enable VLANs to receive IP addresses from a DHCP Server, access the VLAN interface on the Core Switch and use the command "ip helper" followed by the static IP address of the DHCP Server.
CoreSW(config-if)#ip helper 192.168.100.150
- Tương tự đối với các interface vlan khác.
- Khi này các vlan đã được cấp địa chỉ IP động từ DHCP Server, chúng ta sẽ kiểm tra thử.
- Như vậy các máy PC đã được cấp địa chỉ IP bằng DHCP Server.
3.3) Cấu hình local DNS phân giải cho server WEB (www.xyz.net) và
- Chúng ta sẽ phân giải hai tên miền này trong DNS Server như hình dưới.
- Địa chỉ 10.10.10.100 và 10.10.10.200 tương ứng với địa chỉ của FTP Server và Web Server.
- Trước đó chúng ta đã thêm sẵn DNS Server cho từng vlan pool cũng như cho các Server với địa chỉ của DNS Server tức là 192.168.100.160.
Để kiểm tra xem DNS Server đã hoạt động hiệu quả hay chưa, chúng ta cần mở trình duyệt web trên máy tính và truy cập vào tên miền đã được phân giải.
- Như vậy, chúng ta truy cập được web với tên miền www.xyz.net.
- Để kiểm thử FTP có hoạt động chính xác hay chưa chúng ta làm như sau.
- Trên PC0 chúng ta sẽ tạo một file text với nội dung đơn giản “Mang may tinh nang cao t4” và lưu với tên testlab01.txt
- Sau đó vào FTP Server và tạo tài khoản
- Sau đó tại PC0 chúng ta sẽ truy cập vào tên miền và đăng nhập với tài khoản vừa tạo
- Tiếp theo chúng ta sẽ upload file lên FTP server bằng lệnh
- Khi này file đã được up lên thành công, có thể dùng lệnh dir để kiểm tra thử
- Tại PC1, tương tự chúng ta cũng sẽ đăng nhập vào FTP và dùng lệnh get để tải file về
- Khi này file đã được lưu về máy PC1
- Vậy là chúng ta đã hoàn thành phân giải tên miền bằng DNS Server
3.4) Cấu hình mạng Wifi như trong sơ đồ (SSID: MCB, chứng thực WPA2)
- Kết nối dây cáp tới Wireless Router bằng cổng LAN (Ethernet) Sau đó bắt đầu cấu hình
- Tiếp theo để Wifi có thể cấp phát địa chỉ IP từ DHCP Server, chúng ta sẽ tắt tính năng DHCP để nhận IP tử DHCP Server.
- Tiếp theo chúng ta sẽ kết nối Laptop với Wifi bằng SSID và mật khẩu vừa tạo
- Khi này thì Laptop thuộc vlan 40 đã có thể nhận địa chỉ IP được cấp phát tự động bằng DHCP Server.
Packet Tracer-Configuring EtherChannel Instructions
Cấu hình
Phần 1: Cấu hình các thiết lập cơ bản trên switch a Gán hostname cho mỗi switch theo sơ đồ:
Để cấu hình hostname cho các switch, sử dụng lệnh `Switch(config)# hostname S1` cho switch 1, `Switch(config)# hostname S2` cho switch 2, và `Switch(config)# hostname S3` cho switch 3 Tiếp theo, cần cấu hình các cổng trunk giữa các thiết bị, cụ thể là thiết lập chế độ trunk cho các cổng Gi và Fa trên S1.
S1(config-if-range)# switchport mode trunk
S1(config)# interface range fa 0/21-24 S1(config-if-range)# switchport mode trunk S1(config-if-range)# exit
S2(config-if-range)# switchport mode trunk S2(config-if-range)# exit
S2(config)# interface range fa 0/21-24 S2(config-if-range)# switchport mode trunk S2(config-if-range)# exit
S3(config)# interface range fa 0/21-24S3(config-if-range)# switchport mode trunkS3(config-if-range)# exit
Phần 2: Cấu hình EtherChannel với Cisco PagP
Bước 1: Cấu hình Port Channel 1. a Kiểm tra kết nối trunk:
S3# show interfaces trunk b Thêm cổng F0/21 và F0/22 vào Port Channel 1: Trên S1:
S1(config)# interface range fastEthernet 0/21-22 S1(config-if-range)# shutdown
S1(config-if-range)# channel-group 1 mode desirable S1(config-if-range)# no shutdown
S3(config)# interface range fastEthernet 0/21-22 S3(config-if-range)# shutdown
S3(config-if-range)# channel-group 1 mode desirableS3(config-if-range)# no shutdown c Cấu hình giao diện logic Port Channel 1 thành trunk: Trên S1:
S1(config-if)# switchport mode trunk
S3(config-if)# switchport mode trunk
Bước 2: Kiểm tra trạng thái của Port Channel 1. a Xác minh trạng thái EtherChannel:
S3# show etherchannel summary b Khắc phục sự cố nếu EtherChannel không hoạt động: Trên S1:
S1(config-if-range)# no shutdown
S3(config-if-range)# no shutdown c Xác minh lại trạng thái:
Phần 3: Cấu hình 802.3ad LACP EtherChannel
Bước 1: Cấu hình Port Channel 2. a Cấu hình LACP trên cổng G0/1 và G0/2 giữa S1 và S2 và cấu hình Port Channel 2 thành trunk:
S1(config-if-range)# channel-group 2 mode active
S1(config-if-range)# no shutdown
S1(config-if)# switchport mode trunk
S2(config-if-range)# channel-group 2 mode active
S2(config-if-range)# no shutdown
S2(config-if)# switchport mode trunk
Bước 2: Kiểm tra trạng thái của Port Channel 2. a Xác minh cấu hình của Port Channel 2:
Phần 4: Cấu hình Redundant EtherChannel Link
Bước 1: Cấu hình Port Channel 3. a Thêm các cổng F0/23 và F0/24 vào Port Channel 3 trên S2:
S2(config-if-range)# channel-group 3 mode passive
S2(config-if-range)# no shutdown
S2(config-if)# switchport mode trunk b Thêm các cổng F0/23 và F0/24 vào Port Channel 3 trên S3:
S3(config-if-range)# channel-group 3 mode active
S3(config-if-range)# no shutdown
S3(config-if)# switchport mode trunk
Bước 2: Kiểm tra trạng thái của Port Channel 3. a Xác minh trạng thái của Port Channel 3:
S3# show etherchannel summary b Giải quyết vấn đề nếu các cổng Gigabit đang bị block bởi spanning tree:
- Cấu hình trên S1 để trở thành root chính cho VLAN 1:
S1(config)# spanning-tree vlan 1 root primary
- Hoặc, để đặt priority cho S1:
S1(config)# spanning-tree vlan 1 priority 24576
Phần 1: Cấu hình các thiết lập cơ bản trên switch
Trong phần này, bạn sẽ tiến hành thiết lập mô hình mạng và cấu hình các thiết lập cơ bản, bao gồm địa chỉ IP cho giao diện, quyền truy cập vào thiết bị và mật khẩu.
Bước 1: Kết nối mạng theo sơ đồ mô hình Kết nối các thiết bị theo sơ đồ và sử dụng cáp cần thiết.
Bước 2: Khởi tạo và nạp lại các switch.
Bước 3: Cấu hình các thiết lập cơ bản cho mỗi switch. a Vô hiệu hóa tính năng DNS lookup.
Switch(config)#no ip domain-lookup b Cấu hình tên thiết bị như trong sơ đồ mô hình.
Switch(config)#hostname S1 c Mã hóa mật khẩu dạng văn bản thường.
S1(config)#service password-encryption d Tạo thông báo MOTD cảnh báo người dùng rằng việc truy cập trái phép bị cấm.
S1(config)#banner motd #Unauthorized access is prohibited# e Đặt "class" làm mật khẩu mã hóa cho chế độ EXEC đặc quyền.
S1(config)#enable secret class f Đặt "cisco" làm mật khẩu cho console và vty, đồng thời bật tính năng đăng nhập.
S1(config-line)#login g Cấu hình tính năng đồng bộ logging để ngăn các thông báo console làm gián đoạn quá trình nhập lệnh.
S1(config-line)#logging synchronous h Tắt tất cả các cổng trên switch trừ các cổng kết nối với PC.
S1(config-if-range)#int fa0/6
S1(config-if)#no sh i Cấu hình VLAN 99 và đặt tên là "Management".
S1(config-vlan)#name Management j Cấu hình VLAN 10 và đặt tên là "Staff".
S1(config-vlan)#name Staff k Cấu hình các cổng switch có kết nối với host là cổng truy cập (access ports) trong VLAN 10.
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10 l Gán địa chỉ IP theo bảng địa chỉ.
S1(config-if)#no sh m Sao chép cấu hình đang chạy (running configuration) sang cấu hình khởi động (startup configuration).
S1#copy running-config startup-config
Nhập filename hoặc ấn Enter để chọn tên mặc định
Bước 4: Cấu hình các máy tính (PC)
- Gán địa chỉ IP cho các máy tính theo bảng địa chỉ (Addressing Table).
PAgP là giao thức độc quyền của Cisco, được sử dụng để thực hiện việc kết hợp liên kết (link aggregation) Trong bài viết này, chúng ta sẽ cấu hình một liên kết giữa S1 và S3 thông qua PAgP.
Bước 1: Cấu hình PAgP trên S1 và S3
Để kết nối S1 với S3, cần cấu hình các cổng trên S1 ở chế độ PAgP desirable và các cổng trên S3 ở chế độ PAgP auto Sau khi hoàn tất cấu hình chế độ PAgP, hãy tiến hành kích hoạt các cổng để thiết lập liên kết.
S1(config-if-range)#channel-group 1 mode desirable
S1(config-if-range)#no shutdown
S3(config-if-range)#channel-group 1 mode autoS3(config-if-range)#no shutdown
Bước 2: Xác minh rằng các cổng đã được gộp
- Trong lệnh show etherchannel summary, các cờ (flags) như SU và P có ý nghĩa đặc biệt liên quan đến trạng thái của EtherChannel và các cổng thành viên
EtherChannel được cấu hình ở Layer 2, tức là tầng Ethernet, cho phép kết nối mạng tại tầng liên kết dữ liệu Điều này cho thấy EtherChannel không hoạt động ở tầng mạng (Layer 3).
Port-channel đang hoạt động bình thường, cho thấy EtherChannel hiện đang hoạt động hiệu quả với các liên kết giữa các cổng vật lý đang được sử dụng.
- P: (Layer Participating) chỉ rằng một cổng thành viên đang tham gia
(participating) vào EtherChannel Điều này có nghĩa là cổng này đang hoạt động và là một phần của Port-channel.
- Ví dụ: SU: Port-channel ở Layer 2 và đang hoạt động bình thường.
- P: Cổng vật lý đang tham gia vào EtherChannel và hoạt động bình thường.
Bước 3: Cấu hình các cổng trunk
Sau khi gộp các cổng thành EtherChannel, lệnh áp dụng cho giao diện Port-channel sẽ tác động đến tất cả các liên kết vật lý Trong bước này, bạn cần cấu hình thủ công các cổng Po1 trên S1 và S3 thành cổng trunk và gán chúng vào native VLAN 99.
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
Bước 4: Xác minh rằng các cổng đã được cấu hình là cổng trunk a Sử dụng lệnh show run interface interface-id trên S1 và S3.
So sánh kết quả giữa các giao diện F0/3 và F0/4 với cấu hình hiện tại của giao diện Port-channel 1 (Po1) cho thấy rằng Po1 đại diện cho tất cả các cổng đã được gộp Khi Po1 được cấu hình dưới dạng cổng trunk, tất cả các cổng thành viên trong nhóm EtherChannel, bao gồm F0/3 và F0/4, sẽ tự động nhận cấu hình tương tự Để kiểm tra, hãy sử dụng các lệnh "show interfaces trunk" và "show spanning-tree" trên các switch S1 và S3.
Po1 (Port-channel 1) hoạt động như một cổng trunk, đại diện cho các cổng vật lý đã được gộp lại, cụ thể là F0/3 và F0/4, thông qua EtherChannel.
Native VLAN là VLAN mặc định được sử dụng trên cổng trunk để xử lý dữ liệu không gắn thẻ (untagged frames) Cổng trunk trên switch có khả năng truyền tải dữ liệu từ nhiều VLAN khác nhau qua một liên kết vật lý duy nhất Thông thường, các khung dữ liệu sẽ được gắn thẻ (tagged) với thông tin VLAN để xác định nguồn gốc của chúng Tuy nhiên, đối với các khung dữ liệu không có thẻ, cổng trunk sẽ tự động gán chúng vào native VLAN.
VLAN Native VLAN 99 xuất hiện trong kết quả ở trên.
- Tiếp theo, sử dụng lệnh sau để kiểm tra trạng thái spanning-tree và thu thập thông tin về port cost và port priority cho liên kết đã gộp
Port-channel 1 (Po1) có cost là 12 cho VLAN 1.
FastEthernet 0/6 có cost là 19 cho VLAN 10.
Port cost là chi phí được sử dụng trong thuật toán spanning-tree để xác định đường đi ngắn nhất đến root bridge, với giá trị thấp hơn cho các liên kết có tốc độ cao hơn.
Port-channel 1 có priority là 128.28 cho VLAN 1.
FastEthernet 0/6 có priority là 128.6 cho VLAN 10.
Port priority ảnh hưởng đến việc chọn cổng nào sẽ được ưu tiên hơn nếu có nhiều cổng có cùng port cost.
- LACP là một giao thức mã nguồn mở cho việc kết hợp liên kết (link aggregation), được phát triển bởi IEEE Trong phần này, liên kết giữa S1 và
S2 và liên kết giữa S2 và S3 sẽ được cấu hình bằng LACP, trong khi các liên kết riêng lẻ sẽ được thiết lập dưới dạng cổng trunk trước khi được kết hợp thành EtherChannels.
Bước 1: Cấu hình LACP giữa S1 và S2
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#channel-group 2 mode active
S1(config-if-range)#no shutdown
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#channel-group 2 mode passive
S2(config-if-range)#no shutdown
Bước 2: Xác minh rằng các cổng đã được gộp lại.
Giao thức nào mà Po2 đang sử dụng cho việc kết hợp liên kết?
Những cổng nào đã được gộp lại để tạo thành Po2?
- Sử dụng lệnh show etherchannel summary ta thu được những thông tin sau
- Ta có thể thấy Po2 sử dụng giao thức LACP và gộp cổng Fa0/1 và Fa0/2.
Bước 3: Cấu hình LACP giữa S2 và S3 a Cấu hình liên kết giữa S2 và S3 thành Po3 và sử dụng LACP làm giao thức kết hợp liên kết.
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#channel-group 3 mode active
S2(config-if-range)#no shutdown
S3(config-if-range)#switchport mode trunk
S3(config-if-range)#switchport trunk native vlan 99
S3(config-if-range)#channel-group 3 mode active
S3(config-if-range)#no shutdown b Xác minh rằng EtherChannel đã được hình thành.
- Khi này các PC đã có thể Ping đến nhau
- Phần tự đánh giá: Những yếu tố có thể ngăn chặn việc hình thành
- Giao thức không tương thích: Switch sử dụng LACP, PAgP hoặc static khác nhau.
- Chế độ EtherChannel không phù hợp: Chế độ active/passive hoặc desirable/auto không khớp.
- Tham số cổng không đồng nhất: Tốc độ, chế độ song công, trunking phải giống nhau trên tất cả các cổng.
- VLAN không đồng nhất: Các cổng trunk phải cho phép cùng VLAN.
- Lỗi kết nối vật lý: Cáp kết nối hoặc cổng bị lỗi.
- Giới hạn số cổng: Chỉ tối đa 8 cổng trong một nhóm EtherChannel.
- Cấu hình chưa đúng: Cổng chưa được gán vào channel-group chính xác.
Cấu hình 4 port e0/0 đến e0/3 thành 1 port duy nhất
Sử dụng chuẩn của Cisco (PagP)
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group ?
In configuring a channel group in a network, the command `channel-group 1 mode` offers several options: "active" enables LACP unconditionally, "auto" activates PAgP only when a PAgP device is detected, "desirable" enables PAgP unconditionally, "on" activates EtherChannel, and "passive" allows LACP only if a compatible LACP device is present.
SW1(config-if-range)#channel-group 1 mode desirable
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 1 mode auto
- Cấu hình Port Channel 1 là port trunk
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk
SW2(config)#int port-channel 1
SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group 10 mode desirable Switch(config-if-range)#exit
SW1(config)#interface port-channel 10
SW1(config-if)#no switchport
SW1(config-if)#ip address 1.1.1.1 255.0.0.0
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 10 mode desirable SW2(config-if-range)#exit
SW2(config)#interface port-channel 10
SW2(config-if)#no switchport
Switch(config-if)#ip address 1.1.1.2 255.0.0.0
- Bằng cách giới hạn và kiểm soát các thiết bị gắn vào Switch có thể hạn chế nhiều tấn công trong LAN như:
Kẻ tấn công dùng công cụ để quét lấy hết IP từ DHCP server
Kiểm soát các thiết bị người dùng cố định, các server kết nối đến Switch (tránh sự thay đổi tự do trong quá trình vận hành hệ thống) Topology
1 Chỉ có client với địa chỉ MAC: 00-40-45-19-71-83 được sử dụng port fa0/1 trên Switch (tùy vào PC, SV có thể dùng địa chỉ MAC khác).
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
3 port fa0/1 sẽ khôi phục lại sau 30 giây.
- Đầu tiên chúng ta sẽ vào Command Prompt của PC0 để kiểm tra địa chỉ MAC của nó
- Như vậy địa chỉ MAC chúng ta nhận được là 00D0.97DB.0DE2.
1 Cấu hình port security Chỉ có client với địa chỉ MAC: 00D0.97DB.0DE2 được sử dụng port fa0/1 trên Switch.
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
(Switch(config-if)#switchport port-security mac-address 00D0.97DB.0DE2) Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
Switch(config-if)#switchport port-security violation shutdown
3 Port fa0/1 sẽ khôi phục lại sau 30 giây (các lệnh sau không hỗ trợ trên phần mềm giả lập Packet Tracer, – SV không cần làm chức năng này hoặc thử nghiệm trên GNS3)
Switch(config)#errdisable detect cause all
Switch(config)#errdisable recovery cause all
Switch(config)#errdisable recovery interval 30
Kiểm tra cấu hình show interface switchport show port-security interface
- Sau khi cấu hình xong chúng ta sẽ thử kết nối một PC khác vào cổng Fa0/1.
- Cổng này vi phạm nên đã bị shutdown
- Chống giả các DHCP server trong hệ thống, chỉ cho phép các client xin IP từ DHCP Server thật (sử dụng phần mềm giả lập Packet Tracer hoặc EVE)
1 Cấu hình theo sơ đồ mạng trên
- Cấu hình vlan cho các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
- Ở đây chúng ta sẽ cấu hình định tuyến bằng giao thức OSPF:
Switch(config-router)#network 172.16.10.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.20.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.30.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.10.0 0.0.0.255 area 0
- Khi này thì mạng của chúng ta đã được định tuyến thành công
- Cấu hình cho DHCP server cấp phát địa chỉ IP động cho các PC ở các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
Tạo các Pool cho từng Vlan trong DHCP Server
- Ở CoreSW chúng ta sẽ vào interface của từng vlan và gọi IP helper đến địa chỉ IP của DHCP Server
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
- Khi này thì các PC thuộc các vlan đã nhận được địa chỉ IP được cấp bởi DHCP Server
2 Thử trường hợp với các DHCP server giả và AP cấp IP động
- Giả sử có một DHCP Server giả kết nối vào Client Switch
- Đây là địa chỉ IP của DHCP Server giả mạo
- Trong DHCP giả mạo này tạo một DHCP Pool để cấp địa chỉ IP giả cho PC
Địa chỉ Default gateway và DNS Server trùng nhau, đồng thời phù hợp với cấu hình IP của DHCP giả mạo, cho phép kẻ tấn công kiểm soát hoàn toàn lưu lượng truy cập mạng của nạn nhân.
- Đây là địa chỉ IP của PC0 lúc đầu
- Khi một DHCP giả mạo kết nối với Switch và cùng chung Vlan với PC0
- PC0 lúc này đã nhận được địa chỉ IP do DHCP giả mạo này cấp.
- Trong một trường hợp khác, kẻ tấn công dùng Access Point nối với Client Switch
- Đây là cấu hình DHCP của Access Point
- Sau khi kẻ tấn công thiết lập mode access vlan 20 cho interface fa0/1, khi này PC1 có thể nhận được địa chỉ IP được cấp do Access Point này
- Như vậy kẻ tấn công đã có thể có quyền kiểm soát mạng ở cấp độ nhất định, mở ra nhiều khả năng tấn công khác nhau trong hệ thống.
3 Cấu hình DHCP snooping trên Switch, sao cho các client chỉ xin địa chỉ
IP từ DHCP trên DHCP Server thật.
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 10
Switch(config)#no ip dhcp snooping information option
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#ip dhcp snooping limit rate 25
Kiểm tra cấu hình show ip dhcp snooping show ip dhcp snooping binding show ip dhcp snooping database show ip source binding
- Sau khi cấu hình xong thì P0 đã nhận được IP từ DHCP được ủy quyền
Configuring EtherChannel
Phần 1: Cấu hình các thiết lập cơ bản trên switch
Trong phần này, bạn sẽ thiết lập mô hình mạng và cấu hình các cài đặt cơ bản, bao gồm địa chỉ IP cho giao diện, quyền truy cập vào thiết bị và thiết lập mật khẩu.
Bước 1: Kết nối mạng theo sơ đồ mô hình Kết nối các thiết bị theo sơ đồ và sử dụng cáp cần thiết.
Bước 2: Khởi tạo và nạp lại các switch.
Bước 3: Cấu hình các thiết lập cơ bản cho mỗi switch. a Vô hiệu hóa tính năng DNS lookup.
Switch(config)#no ip domain-lookup b Cấu hình tên thiết bị như trong sơ đồ mô hình.
Switch(config)#hostname S1 c Mã hóa mật khẩu dạng văn bản thường.
S1(config)#service password-encryption d Tạo thông báo MOTD cảnh báo người dùng rằng việc truy cập trái phép bị cấm.
S1(config)#banner motd #Unauthorized access is prohibited# e Đặt "class" làm mật khẩu mã hóa cho chế độ EXEC đặc quyền.
S1(config)#enable secret class f Đặt "cisco" làm mật khẩu cho console và vty, đồng thời bật tính năng đăng nhập.
S1(config-line)#login g Cấu hình tính năng đồng bộ logging để ngăn các thông báo console làm gián đoạn quá trình nhập lệnh.
S1(config-line)#logging synchronous h Tắt tất cả các cổng trên switch trừ các cổng kết nối với PC.
S1(config-if-range)#int fa0/6
S1(config-if)#no sh i Cấu hình VLAN 99 và đặt tên là "Management".
S1(config-vlan)#name Management j Cấu hình VLAN 10 và đặt tên là "Staff".
S1(config-vlan)#name Staff k Cấu hình các cổng switch có kết nối với host là cổng truy cập (access ports) trong VLAN 10.
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10 l Gán địa chỉ IP theo bảng địa chỉ.
S1(config-if)#no sh m Sao chép cấu hình đang chạy (running configuration) sang cấu hình khởi động (startup configuration).
S1#copy running-config startup-config
Nhập filename hoặc ấn Enter để chọn tên mặc định
Bước 4: Cấu hình các máy tính (PC)
- Gán địa chỉ IP cho các máy tính theo bảng địa chỉ (Addressing Table).
PAgP là giao thức độc quyền của Cisco dành cho việc kết hợp liên kết (link aggregation) Trong bài viết này, chúng ta sẽ cấu hình một liên kết giữa S1 và S3 sử dụng PAgP.
Bước 1: Cấu hình PAgP trên S1 và S3
Để thiết lập liên kết giữa S1 và S3, cần cấu hình các cổng trên S1 ở chế độ PAgP desirable và các cổng trên S3 ở chế độ PAgP auto Sau khi hoàn tất cấu hình chế độ PAgP, hãy tiến hành kích hoạt các cổng.
S1(config-if-range)#channel-group 1 mode desirable
S1(config-if-range)#no shutdown
S3(config-if-range)#channel-group 1 mode autoS3(config-if-range)#no shutdown
Bước 2: Xác minh rằng các cổng đã được gộp
- Trong lệnh show etherchannel summary, các cờ (flags) như SU và P có ý nghĩa đặc biệt liên quan đến trạng thái của EtherChannel và các cổng thành viên
Layer S2 cho thấy EtherChannel được cấu hình ở tầng liên kết dữ liệu (Layer 2), cho phép kết nối mạng tại đây, không phải ở tầng mạng (Layer 3).
Layer Up (U) cho thấy Port-channel đang hoạt động bình thường, điều này chứng tỏ EtherChannel hiện đang hoạt động hiệu quả và các liên kết giữa các cổng vật lý đang được sử dụng một cách tối ưu.
- P: (Layer Participating) chỉ rằng một cổng thành viên đang tham gia
(participating) vào EtherChannel Điều này có nghĩa là cổng này đang hoạt động và là một phần của Port-channel.
- Ví dụ: SU: Port-channel ở Layer 2 và đang hoạt động bình thường.
- P: Cổng vật lý đang tham gia vào EtherChannel và hoạt động bình thường.
Bước 3: Cấu hình các cổng trunk
Sau khi gộp các cổng thành EtherChannel, lệnh áp dụng cho giao diện Port-channel sẽ ảnh hưởng đến tất cả các liên kết vật lý Trong bước này, bạn sẽ cấu hình thủ công cổng Po1 trên S1 và S3 thành cổng trunk và gán chúng vào native VLAN 99.
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
Bước 4: Xác minh rằng các cổng đã được cấu hình là cổng trunk a Sử dụng lệnh show run interface interface-id trên S1 và S3.
So sánh kết quả của các giao diện F0/3 và F0/4 với cấu hình hiện tại của giao diện Port-channel 1 (Po1), cho thấy Po1 đại diện cho tất cả các cổng đã được gộp Khi cấu hình Po1 dưới dạng cổng trunk, tất cả các cổng thành viên trong nhóm EtherChannel (F0/3 và F0/4) sẽ tự động áp dụng cấu hình tương tự Để kiểm tra, hãy sử dụng lệnh show interfaces trunk và show spanning-tree trên các switch S1 và S3.
Port-channel 1 (Po1) hoạt động như một cổng trunk, đại diện cho các cổng vật lý đã được gộp lại, cụ thể là F0/3 và F0/4, thông qua EtherChannel.
Native VLAN là VLAN mặc định trên cổng trunk, dùng để xử lý dữ liệu không gắn thẻ (untagged frames) Cổng trunk trên switch cho phép truyền dữ liệu của nhiều VLAN qua một liên kết vật lý duy nhất Thông thường, các khung dữ liệu sẽ được gắn thẻ với thông tin VLAN, nhưng đối với các khung không gắn thẻ, cổng trunk sẽ tự động gán chúng vào native VLAN.
VLAN Native VLAN 99 xuất hiện trong kết quả ở trên.
- Tiếp theo, sử dụng lệnh sau để kiểm tra trạng thái spanning-tree và thu thập thông tin về port cost và port priority cho liên kết đã gộp
Port-channel 1 (Po1) có cost là 12 cho VLAN 1.
FastEthernet 0/6 có cost là 19 cho VLAN 10.
Chi phí cổng (port cost) là giá trị được sử dụng trong thuật toán spanning-tree để xác định con đường ngắn nhất đến root bridge Giá trị này sẽ thấp hơn đối với các liên kết có tốc độ cao hơn.
Port-channel 1 có priority là 128.28 cho VLAN 1.
FastEthernet 0/6 có priority là 128.6 cho VLAN 10.
Port priority ảnh hưởng đến việc chọn cổng nào sẽ được ưu tiên hơn nếu có nhiều cổng có cùng port cost.
- LACP là một giao thức mã nguồn mở cho việc kết hợp liên kết (link aggregation), được phát triển bởi IEEE Trong phần này, liên kết giữa S1 và
S2 và liên kết giữa S2 và S3 sẽ được cấu hình bằng LACP, trong khi các liên kết riêng lẻ sẽ được thiết lập là cổng trunk trước khi được gộp lại thành EtherChannels.
Bước 1: Cấu hình LACP giữa S1 và S2
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#channel-group 2 mode active
S1(config-if-range)#no shutdown
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#channel-group 2 mode passive
S2(config-if-range)#no shutdown
Bước 2: Xác minh rằng các cổng đã được gộp lại.
Giao thức nào mà Po2 đang sử dụng cho việc kết hợp liên kết?
Những cổng nào đã được gộp lại để tạo thành Po2?
- Sử dụng lệnh show etherchannel summary ta thu được những thông tin sau
- Ta có thể thấy Po2 sử dụng giao thức LACP và gộp cổng Fa0/1 và Fa0/2.
Bước 3: Cấu hình LACP giữa S2 và S3 a Cấu hình liên kết giữa S2 và S3 thành Po3 và sử dụng LACP làm giao thức kết hợp liên kết.
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#channel-group 3 mode active
S2(config-if-range)#no shutdown
S3(config-if-range)#switchport mode trunk
S3(config-if-range)#switchport trunk native vlan 99
S3(config-if-range)#channel-group 3 mode active
S3(config-if-range)#no shutdown b Xác minh rằng EtherChannel đã được hình thành.
- Khi này các PC đã có thể Ping đến nhau
- Phần tự đánh giá: Những yếu tố có thể ngăn chặn việc hình thành
- Giao thức không tương thích: Switch sử dụng LACP, PAgP hoặc static khác nhau.
- Chế độ EtherChannel không phù hợp: Chế độ active/passive hoặc desirable/auto không khớp.
- Tham số cổng không đồng nhất: Tốc độ, chế độ song công, trunking phải giống nhau trên tất cả các cổng.
- VLAN không đồng nhất: Các cổng trunk phải cho phép cùng VLAN.
- Lỗi kết nối vật lý: Cáp kết nối hoặc cổng bị lỗi.
- Giới hạn số cổng: Chỉ tối đa 8 cổng trong một nhóm EtherChannel.
- Cấu hình chưa đúng: Cổng chưa được gán vào channel-group chính xác.
Cấu hình 4 port e0/0 đến e0/3 thành 1 port duy nhất
Sử dụng chuẩn của Cisco (PagP)
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group ?
In configuring a channel group, various modes can be set, including 'active' to enable LACP unconditionally, 'auto' to enable PAgP only when a PAgP device is detected, 'desirable' to enable PAgP unconditionally, 'on' to enable EtherChannel, and 'passive' to enable LACP only when a LACP device is detected.
SW1(config-if-range)#channel-group 1 mode desirable
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 1 mode auto
- Cấu hình Port Channel 1 là port trunk
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk
SW2(config)#int port-channel 1
SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group 10 mode desirable Switch(config-if-range)#exit
SW1(config)#interface port-channel 10
SW1(config-if)#no switchport
SW1(config-if)#ip address 1.1.1.1 255.0.0.0
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 10 mode desirable SW2(config-if-range)#exit
SW2(config)#interface port-channel 10
SW2(config-if)#no switchport
Switch(config-if)#ip address 1.1.1.2 255.0.0.0
- Bằng cách giới hạn và kiểm soát các thiết bị gắn vào Switch có thể hạn chế nhiều tấn công trong LAN như:
Kẻ tấn công dùng công cụ để quét lấy hết IP từ DHCP server
Kiểm soát các thiết bị người dùng cố định, các server kết nối đến Switch (tránh sự thay đổi tự do trong quá trình vận hành hệ thống) Topology
1 Chỉ có client với địa chỉ MAC: 00-40-45-19-71-83 được sử dụng port fa0/1 trên Switch (tùy vào PC, SV có thể dùng địa chỉ MAC khác).
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
3 port fa0/1 sẽ khôi phục lại sau 30 giây.
- Đầu tiên chúng ta sẽ vào Command Prompt của PC0 để kiểm tra địa chỉ MAC của nó
- Như vậy địa chỉ MAC chúng ta nhận được là 00D0.97DB.0DE2.
1 Cấu hình port security Chỉ có client với địa chỉ MAC: 00D0.97DB.0DE2 được sử dụng port fa0/1 trên Switch.
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
(Switch(config-if)#switchport port-security mac-address 00D0.97DB.0DE2) Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
Switch(config-if)#switchport port-security violation shutdown
Cổng fa0/1 sẽ tự động khôi phục sau 30 giây Lưu ý rằng các lệnh liên quan không được hỗ trợ trên phần mềm giả lập Packet Tracer, vì vậy sinh viên không cần thực hiện chức năng này hoặc thử nghiệm trên GNS3.
Switch(config)#errdisable detect cause all
Switch(config)#errdisable recovery cause all
Switch(config)#errdisable recovery interval 30
Kiểm tra cấu hình show interface switchport show port-security interface
- Sau khi cấu hình xong chúng ta sẽ thử kết nối một PC khác vào cổng Fa0/1.
- Cổng này vi phạm nên đã bị shutdown
- Chống giả các DHCP server trong hệ thống, chỉ cho phép các client xin IP từ DHCP Server thật (sử dụng phần mềm giả lập Packet Tracer hoặc EVE)
1 Cấu hình theo sơ đồ mạng trên
- Cấu hình vlan cho các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
- Ở đây chúng ta sẽ cấu hình định tuyến bằng giao thức OSPF:
Switch(config-router)#network 172.16.10.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.20.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.30.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.10.0 0.0.0.255 area 0
- Khi này thì mạng của chúng ta đã được định tuyến thành công
- Cấu hình cho DHCP server cấp phát địa chỉ IP động cho các PC ở các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
Tạo các Pool cho từng Vlan trong DHCP Server
- Ở CoreSW chúng ta sẽ vào interface của từng vlan và gọi IP helper đến địa chỉ IP của DHCP Server
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
- Khi này thì các PC thuộc các vlan đã nhận được địa chỉ IP được cấp bởi DHCP Server
2 Thử trường hợp với các DHCP server giả và AP cấp IP động
- Giả sử có một DHCP Server giả kết nối vào Client Switch
- Đây là địa chỉ IP của DHCP Server giả mạo
- Trong DHCP giả mạo này tạo một DHCP Pool để cấp địa chỉ IP giả cho PC
Địa chỉ Default gateway và DNS Server trùng nhau, đồng thời khớp với cấu hình IP của DHCP giả mạo, cho phép kẻ tấn công kiểm soát hoàn toàn lưu lượng truy cập mạng của nạn nhân.
- Đây là địa chỉ IP của PC0 lúc đầu
- Khi một DHCP giả mạo kết nối với Switch và cùng chung Vlan với PC0
- PC0 lúc này đã nhận được địa chỉ IP do DHCP giả mạo này cấp.
- Trong một trường hợp khác, kẻ tấn công dùng Access Point nối với Client Switch
- Đây là cấu hình DHCP của Access Point
- Sau khi kẻ tấn công thiết lập mode access vlan 20 cho interface fa0/1, khi này PC1 có thể nhận được địa chỉ IP được cấp do Access Point này
- Như vậy kẻ tấn công đã có thể có quyền kiểm soát mạng ở cấp độ nhất định, mở ra nhiều khả năng tấn công khác nhau trong hệ thống.
3 Cấu hình DHCP snooping trên Switch, sao cho các client chỉ xin địa chỉ
IP từ DHCP trên DHCP Server thật.
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 10
Switch(config)#no ip dhcp snooping information option
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#ip dhcp snooping limit rate 25
Kiểm tra cấu hình show ip dhcp snooping show ip dhcp snooping binding show ip dhcp snooping database show ip source binding
- Sau khi cấu hình xong thì P0 đã nhận được IP từ DHCP được ủy quyền
Cấu hình DHCP Snooping là một yếu tố quan trọng trong việc bảo vệ mạng khỏi các cuộc tấn công DHCP, đồng thời đảm bảo tính toàn vẹn và bảo mật trong quá trình cấp phát địa chỉ IP.
Sử dụng lại bài Lab 01, có bổ sung thêm khu vực quản trị (Management zone) a) Định tuyến cho khu vực Management Zone
Mở line telnet/SSH trên các thiết bị mạng: CoreSW, Dist-SW1, Dist-SW2, Access-SW1 Access-SW6)
- IP của các Acc-Sw1 Acc-SW3: 172.16.1.1/24 172.16.1.3/24
- IP của các Acc-Sw4 Acc-SW6: 172.16.2.4/24 172.16.2.6/24
- Ở Building 1, chúng ta sẽ cấu hình VTP VLAN như thông thường.
- Ở đây chúng ta sẽ thêm một vlan 100 để quản lý việc telnet tới các switch
- Ở Dist-SW1, interface vlan 100 sẽ có địa chỉ IP là 172.16.1.254/24
Dist-SW1(config)#int vlan 100
Dist-SW1(config-if)#ip add 172.16.1.254 255.255.255.0
- Từ Acc-SW1 đến Acc-SW3, tương tự chúng ta sẽ đặt địa chỉ ip cho interface vlan 100 lần lượt là 172.16.1.1/24 đến 172.16.1.3/24.
EtherChannel PAgP
Cấu hình 4 port e0/0 đến e0/3 thành 1 port duy nhất
Sử dụng chuẩn của Cisco (PagP)
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group ?
In configuring a channel group, various modes can be set: "active" enables LACP unconditionally, while "auto" activates PAgP only if a PAgP device is detected The "desirable" mode enables PAgP unconditionally, and "passive" allows LACP only when a compatible LACP device is present.
SW1(config-if-range)#channel-group 1 mode desirable
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 1 mode auto
- Cấu hình Port Channel 1 là port trunk
SW1(config)#int port-channel 1
SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk
SW2(config)#int port-channel 1
SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group 10 mode desirable Switch(config-if-range)#exit
SW1(config)#interface port-channel 10
SW1(config-if)#no switchport
SW1(config-if)#ip address 1.1.1.1 255.0.0.0
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 10 mode desirable SW2(config-if-range)#exit
SW2(config)#interface port-channel 10
SW2(config-if)#no switchport
Switch(config-if)#ip address 1.1.1.2 255.0.0.0
LAN Security
Port Security (1,0 điểm)
- Bằng cách giới hạn và kiểm soát các thiết bị gắn vào Switch có thể hạn chế nhiều tấn công trong LAN như:
Kẻ tấn công dùng công cụ để quét lấy hết IP từ DHCP server
Kiểm soát các thiết bị người dùng cố định, các server kết nối đến Switch (tránh sự thay đổi tự do trong quá trình vận hành hệ thống) Topology
1 Chỉ có client với địa chỉ MAC: 00-40-45-19-71-83 được sử dụng port fa0/1 trên Switch (tùy vào PC, SV có thể dùng địa chỉ MAC khác).
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
3 port fa0/1 sẽ khôi phục lại sau 30 giây.
- Đầu tiên chúng ta sẽ vào Command Prompt của PC0 để kiểm tra địa chỉ MAC của nó
- Như vậy địa chỉ MAC chúng ta nhận được là 00D0.97DB.0DE2.
1 Cấu hình port security Chỉ có client với địa chỉ MAC: 00D0.97DB.0DE2 được sử dụng port fa0/1 trên Switch.
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
(Switch(config-if)#switchport port-security mac-address 00D0.97DB.0DE2) Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
2 Các client khác gắn vào port fa0/1, port fa0/1 sẽ bị shutdown
Switch(config-if)#switchport port-security violation shutdown
3 Port fa0/1 sẽ khôi phục lại sau 30 giây (các lệnh sau không hỗ trợ trên phần mềm giả lập Packet Tracer, – SV không cần làm chức năng này hoặc thử nghiệm trên GNS3)
Switch(config)#errdisable detect cause all
Switch(config)#errdisable recovery cause all
Switch(config)#errdisable recovery interval 30
Kiểm tra cấu hình show interface switchport show port-security interface
- Sau khi cấu hình xong chúng ta sẽ thử kết nối một PC khác vào cổng Fa0/1.
- Cổng này vi phạm nên đã bị shutdown
DHCP snooping (2,0 điểm)
- Chống giả các DHCP server trong hệ thống, chỉ cho phép các client xin IP từ DHCP Server thật (sử dụng phần mềm giả lập Packet Tracer hoặc EVE)
Cấu hình theo sơ đồ mạng trên
- Cấu hình vlan cho các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
- Ở đây chúng ta sẽ cấu hình định tuyến bằng giao thức OSPF:
Switch(config-router)#network 172.16.10.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.20.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.30.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 10.10.10.0 0.0.0.255 area 0
Switch(config-router)#network 192.168.10.0 0.0.0.255 area 0
- Khi này thì mạng của chúng ta đã được định tuyến thành công
- Cấu hình cho DHCP server cấp phát địa chỉ IP động cho các PC ở các mạng 172.16.10.0/24, 172.16.20.0/24, 172.16.30.0/24
Tạo các Pool cho từng Vlan trong DHCP Server
- Ở CoreSW chúng ta sẽ vào interface của từng vlan và gọi IP helper đến địa chỉ IP của DHCP Server
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
Switch(config-if)#ip helper 192.168.10.100
- Khi này thì các PC thuộc các vlan đã nhận được địa chỉ IP được cấp bởi DHCP Server
Thử trường hợp với các DHCP server giả và AP cấp IP động
- Giả sử có một DHCP Server giả kết nối vào Client Switch
- Đây là địa chỉ IP của DHCP Server giả mạo
- Trong DHCP giả mạo này tạo một DHCP Pool để cấp địa chỉ IP giả cho PC
Địa chỉ Default gateway và DNS Server có thể trùng nhau và giống với cấu hình IP của DHCP giả mạo, điều này cho phép kẻ tấn công kiểm soát hoàn toàn lưu lượng truy cập mạng của nạn nhân.
- Đây là địa chỉ IP của PC0 lúc đầu
- Khi một DHCP giả mạo kết nối với Switch và cùng chung Vlan với PC0
- PC0 lúc này đã nhận được địa chỉ IP do DHCP giả mạo này cấp.
- Trong một trường hợp khác, kẻ tấn công dùng Access Point nối với Client Switch
- Đây là cấu hình DHCP của Access Point
- Sau khi kẻ tấn công thiết lập mode access vlan 20 cho interface fa0/1, khi này PC1 có thể nhận được địa chỉ IP được cấp do Access Point này
- Như vậy kẻ tấn công đã có thể có quyền kiểm soát mạng ở cấp độ nhất định, mở ra nhiều khả năng tấn công khác nhau trong hệ thống.
Cấu hình DHCP snooping trên Switch, sao cho các client chỉ xin địa chỉ IP từ DHCP trên DHCP Server thật
IP từ DHCP trên DHCP Server thật.
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 10
Switch(config)#no ip dhcp snooping information option
Switch(config-if)#ip dhcp snooping trust
Switch(config-if)#ip dhcp snooping limit rate 25
Kiểm tra cấu hình show ip dhcp snooping show ip dhcp snooping binding show ip dhcp snooping database show ip source binding
- Sau khi cấu hình xong thì P0 đã nhận được IP từ DHCP được ủy quyền
Cấu hình DHCP Snooping là rất quan trọng để bảo vệ mạng khỏi các cuộc tấn công DHCP, đồng thời đảm bảo tính toàn vẹn và bảo mật trong việc cấp phát địa chỉ IP.
Access Control List (2,0 điểm)
Sử dụng lại bài Lab 01, có bổ sung thêm khu vực quản trị (Management zone) a) Định tuyến cho khu vực Management Zone
Mở line telnet/SSH trên các thiết bị mạng: CoreSW, Dist-SW1, Dist-SW2, Access-SW1 Access-SW6)
- IP của các Acc-Sw1 Acc-SW3: 172.16.1.1/24 172.16.1.3/24
- IP của các Acc-Sw4 Acc-SW6: 172.16.2.4/24 172.16.2.6/24
- Ở Building 1, chúng ta sẽ cấu hình VTP VLAN như thông thường.
- Ở đây chúng ta sẽ thêm một vlan 100 để quản lý việc telnet tới các switch
- Ở Dist-SW1, interface vlan 100 sẽ có địa chỉ IP là 172.16.1.254/24
Dist-SW1(config)#int vlan 100
Dist-SW1(config-if)#ip add 172.16.1.254 255.255.255.0
- Từ Acc-SW1 đến Acc-SW3, tương tự chúng ta sẽ đặt địa chỉ ip cho interface vlan 100 lần lượt là 172.16.1.1/24 đến 172.16.1.3/24.
Để switch client giao tiếp với các thiết bị bên ngoài, bao gồm Telnet từ máy tính hoặc thiết bị khác, cần cấu hình default gateway Default gateway chính là địa chỉ IP của interface VLAN trên switch Layer 3, cụ thể là 172.16.1.254.
Acc-SW1(config)# ip default-gateway 172.16.1.254
- Sử dụng các lệnh sau trên các switch để có thể telnet tới, ở dưới là ví dụ trên CoreSW:
- Thực hiện tương tự với các switch mà ta muốn telnet tới
- Các lệnh này nhằm cấu hình các cổng VTY (Virtual Terminal Lines) để cho phép truy cập từ xa qua Telnet vào các switch.
- Khi đã mở được line telnet, chúng ta có thể dùng địa chỉ IP của cổng vật lý (physical interface) để telnet tới CoreSW
- Ví dụ cổng Fa0/4 với địa chỉ IP 172.16.12.1, chúng ta sẽ thực hiện như sau:
- Hoặc chúng ta cũng có thể telnet tới địa chỉ IP của một interface vlan có trong CoreSW, ở đây chúng ta sẽ thử với vlan 10
- Tương tự chúng ta có thể telnet tới Dist-SW1 và Dist_SW2 với địa chỉ IP của interface
Đối với các Switch layer 2 hoặc Switch layer 3 không có cổng nào được gán IP, chúng ta sẽ sử dụng giao diện của VLAN 100 với tên Management mà đã được tạo sẵn trước đó.
- Như vậy chúng ta đã telnet thành công tới các Acc-SW1 Acc-SW6 b) Cấu hình ACL:
- Cấm các PC thuộc VLAN 10 và VLAN 20 ping tới các server trong khu vực Internal Server
PC0 đã ping được tới DHCP Server 1
- Bây giờ chúng ta sẽ cấm nó ping tới các server trong khu vực Internal Server bằng cách đặt Access List ở trên Server-SW1
Server-SW1(config)#access-list 100 deny icmp 192.168.10.0 0.0.0.255 10.50.50.0 0.0.0.255
Server-SW1(config)#access-list 100 deny icmp 192.168.20.0 0.0.0.255 10.50.50.0 0.0.0.255
Server-SW1(config)#access-list 100 permit ip any any
Server-SW1(config)#int fa0/3
Server-SW1(config-if)#ip access-group 100 in
Server-SW1(config-if)#end
Chúng ta đã sử dụng các lệnh cấu hình để chặn giao thức ICMP, ngăn chặn việc ping đến mạng 192.168.10.0/24, tương ứng với Vlan 10, và mạng 192.168.20.0/24, đại diện cho Vlan 20, mà chúng ta đã thiết lập trong Lab1.
- Như vậy chúng ta đã cấu hình thành công PC0 và PC1 thuộc Vlan 10 và Vlan 20 đã không thể ping tới Internal Server.
- Chỉ cho phép các PC trong khu vực quản trị được phép quản trị từ xa các thiết bị mạng (CoreSW, Dist-SW1, Dist-SW2, Access-SW1 Access- SW6)
- Đầu tiên chúng ta phải cấu hình định tuyến để PC6 ở Management Zone có thể telnet được tới các Switch
- Khi đã telnet thành công chúng ta bắt đầu cấu hình ACL.
- Ở trên Dist-SW1 ta cấu hình như sau:
Dist-SW1(config)#access-list 100 permit tcp 10.60.60.0 0.0.0.255 any eq telnet
Dist-SW1(config)#access-list 100 deny tcp any any eq telnet
Dist-SW1(config)#access-list 100 permit ip any any
- Hai câu lệnh trên sẽ thiết lập một access list với mục đích cho phép
10.60.60.0/24 sử dụng telnet, từ chối tất cả các giao thức tcp thực hiện việc telnet thông qua port 23 và cho phép các lưu lượng còn lại đi qua interface.
Dist-SW1(config)#int fa0/4
Dist-SW1(config-if)#ip access-group 100 in
- Gán access list vào interface fa0/4 (Hoặc có một cách khác hiệu quả hơn là cấu hình ACL ngay ở trên line vty
Dist-SW1(config)#access-list 100 permit tcp 10.60.60.0 0.0.0.255 any eq telnet
Dist-SW1(config)#line vty 0 15
Dist-SW1(config-line)#access-class 100 in
Dist-SW1(config-line)#end
- Khi này, chỉ PC trong khu vực Management mới có thể telnet tới Dist-SW và Acc-SW1 đến Acc-SW3
- Ta thấy ở dưới, PC0 và các PC không thuộc khu vực Management không còn telnet được tới các switch này nữa
- PC vùng khác, với cấu hình inbound trên interface fa0/4
- PC vùng khác với cấu hình inbound ngay trên line vty
- Tương tự chúng ta sẽ cấu hình cho các switch còn lại.
Firewall (2,0 điểm)
- ASA o Firewall rule: inside outside
- Sinh viên tự chọn một Firewall dạng VMWare để thử nghiệm (Fortigate, Checkpoint,…)
- Cho phép các PC bên trong mạng nội bộ ra ngoài Internet
- Kiểm soát truy cập Web
- Kiểm soát port truy cập
- Kiểm soát ứng dụng truy cập
- Thực hiện các phương thức khác
SV có thể sử dụng các FW dạng VMWare: Fortigate, Checkpoint,…
Firewall là thiết bị bảo mật quan trọng giúp kiểm soát lưu lượng dữ liệu giữa mạng nội bộ (LAN) và Internet Trong bài viết này, chúng ta sẽ sử dụng firewall ảo hóa trên nền tảng VMware để thiết lập các quy tắc bảo vệ cho hệ thống mạng dựa trên sơ đồ topology.
Sơ đồ mạng bao gồm các thành phần chính:
- Client: Máy tính người dùng trong mạng nội bộ.
- Firewall: Thiết bị bảo mật đứng giữa mạng nội bộ và Internet, dùng để kiểm soát lưu lượng truy cập.
- Internet: Mạng bên ngoài, nơi client có thể truy cập các tài nguyên qua firewall.
This diagram illustrates the data flow from the client through the firewall to the Internet, highlighting the configured control rules on the firewall to ensure safety and efficiency.
Cấu hình cơ bản cho ASA Firewall:
In the basic configuration, two interfaces are established: the inside interface connects to the internal network, while the outside interface connects to the Internet The inside interface, designated as GigabitEthernet0/1, has a security level of 100 and a static IP address of 192.168.1.1 with a subnet mask of 255.255.255.0 Conversely, the outside interface, designated as GigabitEthernet0/2, has a security level of 0 and obtains a dynamic IP address via DHCP.
To enable internal network computers to access the Internet, it is essential to configure NAT and establish firewall rules that permit inside-to-outside traffic This involves creating an access list named "outside_access_in" to allow all IP traffic and applying it to the outside interface Additionally, dynamic NAT should be set up to facilitate the translation of internal IP addresses to the outside interface.
Kiểm soát truy cập Web: Để kiểm soát việc truy cập vào các trang web, chúng ta có thể sử dụng ACL
In this example, we implement access control through an Access Control List (ACL) or URL Filtering, if supported by the firewall, to manage access to specific websites The configuration involves creating a class map that matches default inspection traffic and a policy map that inspects HTTP parameters, allowing access to www.example.com.
Kiểm soát port truy cập:
Giới hạn chỉ cho phép truy cập vào một số port nhất định như HTTP (80) và
To enhance security and manage web traffic effectively, the access control list (ACL) named "inside_access_in" is configured to permit TCP traffic on port 80 for HTTP and port 443 for HTTPS This configuration allows all incoming connections on these ports, ensuring that users can access web services securely The ACL is then applied to the inside interface to control the flow of traffic.
To manage application access effectively, we can utilize App-ID or application policies For instance, implementing an access control list can restrict access by denying IP traffic from any source to a specific host, such as 192.168.1.10.
Các phương pháp bảo mật khác:
Ngoài các quy tắc cơ bản, ta cũng có thể cấu hình thêm các tính năng bảo mật nâng cao như:
- Intrusion Prevention System (IPS): Ngăn chặn các cuộc tấn công từ bên ngoài.
- VPN: Thiết lập mạng riêng ảo để kết nối từ xa an toàn.
- QoS (Quality of Service): Quản lý băng thông cho các dịch vụ quan trọng. access-list inside_access_in extended permit ip any any dscp ef
Kiểm tra và xác nhận cấu hình:
Sau khi hoàn thành cấu hình, chúng ta cần kiểm tra các chức năng như sau:
- Ping từ client đến địa chỉ ngoài Internet để đảm bảo kết nối thành công.
- Truy cập một số trang web từ client và kiểm tra xem các quy tắc kiểm soát có hoạt động đúng hay không.
- Sử dụng các công cụ như Wireshark hoặc công cụ monitor của firewall để giám sát lưu lượng và phát hiện các lỗi nếu có.
Cấu hình firewall là bước thiết yếu trong bảo mật mạng, giúp bảo vệ mạng nội bộ khi kết nối với Internet Bằng cách thiết lập các quy tắc như kiểm soát truy cập web, giới hạn port truy cập và sử dụng NAT, chúng ta có thể nâng cao mức độ an toàn cho hệ thống mạng.
Snort-IDS (2,0 điểm)
- Dùng một số công cụ tấn công và mô tả kết quả xử lý trên Snort
Network Monitoring System (1,0 điểm)
- Thực hiện giám sát mạng với phần mềm PRTG
- Cấu hình chức năng giám sát performance (RAM, CPU), giám sát một số dịch vụ mạng (DHCP, Web,…), giám sát dung lượng đĩa trên Server
- Thiết lập ngưỡng cảnh báo
Router R1: Thực hiện vai trò NAT (Network Address Translation).
Router R2: Kết nối giữa R1 và ISP.
Router ISP: Đóng vai trò cung cấp kết nối Internet.
Các thiết bị đầu cuối (PC4, PC5): Máy tính nội bộ thuộc các dải mạng riêng.
Server nội bộ và Internet Web Server: Server nội bộ trong mạng nội bộ và
Server ngoài Internet (có địa chỉ IP 8.8.8.8).
Kết nối giữa các thiết bị được thể hiện trong sơ đồ mạng ở hình cuối mà bạn cung cấp.
Router R2 đóng vai trò kết nối giữa R1 và ISP Cấu hình các interface để kết nối giữa hai router và ISP:
Interface Serial 0/1/0 (Kết nối với R1):
Interface GigabitEthernet 0/0/1 (Kết nối với ISP):
R2(config-if)# ip nat outside
Trước khi cấu hình NAT, cần đảm bảo các interface trên router R1 đã được cấu hình IP và được khai báo đúng vai trò (Inside/Outside) cho NAT.
Interface Gi0/0/0 (kết nối mạng nội bộ 192.168.100.0/24):
R1(config-if)# ip nat inside
Cấu hình cho interface GigabitEthernet 0/0/1 (Kết nối với ISP, địa chỉ IP công cộng):
R1(config-if)# ip nat outside
2.3 Cấu hình trên Router ISP
Cấu hình các interface trên Router ISP
Interface kết nối với R2 (Gi0/0/1):
ISP(config-if)# ip address 203.1.1.1 255.255.255.0
ISP(config-if)# no shutdown
Cấu hình định tuyến trên Router ISP để gửi tất cả lưu lượng không rõ đích về
6 Kiểm tra cấu hình NAT và kết nối
Kiểm tra bảng NAT trên R1
Sử dụng lệnh sau để kiểm tra quá trình NAT dịch các địa chỉ IP trên R1:
Kết quả sẽ hiển thị các địa chỉ Inside Local (192.168.100.x) được dịch thành địa chỉ Inside Global (192.168.12.x).
Ví dụ, quá trình dịch địa chỉ từ mạng nội bộ ra mạng bên ngoài:
Pro Inside global Inside local Outside local Outside global icmp 192.168.12.1:1 192.168.100.254:1 8.8.8.8:1 8.8.8.8:1
Kiểm tra kết nối từ PC đến Internet
Để kiểm tra kết nối từ Server nội bộ, cần xác minh khả năng truy cập các tài nguyên trên Internet thông qua NAT Điều này có thể được thực hiện bằng cách sử dụng lệnh ping tới địa chỉ 8.8.8.8.
Từ các máy tính nội bộ (PC4, PC5), thực hiện lệnh ping đến địa chỉ IP 8.8.8.8: