1. Trang chủ
  2. » Công Nghệ Thông Tin

Slide bảo mật hệ thống mạng

227 1,6K 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 227
Dung lượng 10,76 MB

Nội dung

... Thanh Trí: MCSE CCIE-Security I MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho Router Vì lý bảo mật, ta đặt mật cho mode cấu hình Điều có nghĩa đăng nhập vào mode IOS yêu cầu nhập vào password Nếu... CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO ROUTER  Khôi phục mật cho Router (Password Recovery)  Thao tác trực tiếp Router (Admin)  Quá trình khởi động Router định trước Sau trình POST nạp hệ điều hành IOS,... tuyến, địa mà chứa mật Router  Mật phục hồi cách bỏ qua nội dung file cấu hình (Configuration file) NVRAM trình khởi động GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO ROUTER

CCNA CISCO CERTIFIED NETWORK ASSOCIATE BẢO MẬT HỆ THỐNG MẠNG Giảng viên: ThS. Từ Thanh Trí MCSE-CEH-CCIE Security NỘI DUNG Chương Chương 1 1 IOS CĂN BẢN (Internetwork Operating System) Chương Chương 2 2 IP ADDRESS Chương Chương 3 3 ROUTING Chương Chương 4 4 SWITCH Chương Chương 5 5 ACL (Access Control Lists) NAT(Network Address Translation) Chương Chương 6 6 Chương Chương 7 7 WAN (Wide-Area Network) IP V6 Chương Chương 8 8 GV Từ Thanh Trí: MCSE CCIE-Security Generic Workgroup GV Từ Thanh Trí: MCSE CCIE-Security CCNA Lab Topology GV Từ Thanh Trí: MCSE CCIE-Security Generic Workgroup GV Từ Thanh Trí: MCSE CCIE-Security GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 1: IOS CĂN BẢN I. MỘT SỐ THAO TÁC CƠ BẢN II. KHÔI PHỤC MẬT KHẨU CHO ROUTER VÀ SWITCH III. SAO LƯU VÀ NẠP IOS CHO ROUTER VÀ SWITCH IV. CISCO DISCOVERY PROTOCOL (CDP) GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 1: IOS CĂN BẢN CÁC THÀNH PHẦN CỦA ROUTER: RAM/DRAM : Ramdom Access Memory ROM : Read Only Memory FLASH : Lưu trữ hệ điều hành (IOS) của router NVRAM: Lưu tập tin cấu hình(configuration file) của router INTERFACES: Các cổng của router: – – – – – Console Serial FastEthernet Aux ….., GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Sơ đồ kết nối: Kết nối cổng COM của PC với cổng Console của Router. 172.16.1.1/16  Yêu cầu:     Line: Serial S0/1 192.168.1.1/24 Fa0/0 Line: Ethernet Router Đăng nhập bằng chế độ dòng lệnh (CLI) Đặt mật khẩu cho các mode Đặt địa chỉ cho các interface Mở đường telnet cho phép truy cập Router từ xa GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Các bước thực hiện:  Gắn cáp console giữa PC và Router  Trên PC (HĐH Windows) dùng chương trình Hyper Terminal GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Khởi động Router (bật nguồn): Xem các thông tin hiển thị trên màn hình Hyper Terminal GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Các mode của Router  Dấu nhắc đợi lệnh đầu tiên xuất hiện có dạng: Router> đang ở dạng user mode  Để quan sát các lệnh được phép sử dụng ở user mode, ta gõ dấu chấm hỏi (?) và Enter Router> ?  Để vào Privileged mode, ta dùng lệnh: Router> enable Router# đang ở privileged mode  Để quan sát các lệnh được phép sử dụng ở privileged mode, ta gõ dấu chấm hỏi (?) và Enter Router# ? GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN RouterX>? Exec commands: access-enable access-profile clear connect disable disconnect enable exit help lat lock login logout -- More -- Create a temporary Access-List entry Apply user-profile to interface Reset functions Open a terminal connection Turn off privileged commands Disconnect an existing network connection Turn on privileged commands Exit from the EXEC Description of the interactive help system Open a lat connection Lock the terminal Log in as a particular user Exit from the EXEC GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN RouterX#? Exec commands: access-enable access-profile access-template bfe cd clear clock configure connect copy debug delete dir disable disconnect enable erase exit help -- More -- Create a temporary Access-List entry Apply user-profile to interface Create a temporary Access-List entry For manual emergency modes setting Change current directory Reset functions Manage the system clock Enter configuration mode Open a terminal connection Copy from one file to another Debugging functions (see also 'undebug') Delete a file List files on a filesystem Turn off privileged commands Disconnect an existing network connection Turn on privileged commands Erase a filesystem Exit from the EXEC Description of the interactive help system GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Các mode của Router  Để vào configuration mode, ta dùng lệnh configure terminal (có thể gõ tắt là: config t) Router# configure terminal Router(config)#  Để trở lại mode trước đó, ta dùng lệnh exit Router# exit Router> GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho Router Vì lý do bảo mật, ta sẽ đặt mật khẩu cho các mode cấu hình. Điều này có nghĩa là mỗi khi đăng nhập vào một mode thì IOS sẽ yêu cầu chúng ta nhập vào password. Nếu password đúng thì mới có thể vào mode này. Chúng ta sẽ thực thi việc đặt password cho:  Console  Enable mode  Vty (virtual terminal password) GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho cổng console (console password) Ý nghĩa: Trước khi vào user mode, IOS sẽ yêu cầu nhập password để kiễm tra. Thực hiện: Router> enable Router# configure terminal Router(config)# line console 0 Router(config-line)# password cisco -> Pass: cisco Router(config-line)# login Router(config-line)# exit GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho enable mode Router(config)# enable password cisco Hoặc Router(config)# enable secret cisco Chú ý: Nếu sử dụng cả hai câu lệnh này, thì password của câu lệnh thứ 2 (enable secret) mạnh hơn, có nghĩa là nó sẽ được sử dụng. GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho truy cập Router từ xa: (virtual terminal password) Router(config)# line vty 0 – 4 Router(config-line)# password cisco Router(config-line)# login Router(config-line)# exit GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN Ví dụ minh họa:(Configuring a Router Password) GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ THAO TÁC CƠ BẢN  Phím tắt:      Ctrl-A: Di chuyển con trỏ về đầu dòng Ctrl-B: Di chuyển con trỏ về sau một từ (hoặc 0x2142  Việc phục hồi mật khẩu(Password Recovery) khác nhau đối với các dòng router GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO ROUTER  Thực hiện: (Nối console vào router)  Tắt router và bật lại  Khởi động router, ngăn không cho router nạp cấu hình trong NVRAM (bằng cách thay đổi thanh ghi từ 0x2102 sang 0x2142.  Reset lại router (lúc này router sử dụng thanh ghi 0x2142 để khởi động)  Đăng nhập vào router(Xem và cài lại mật khẩu)  Thay đổi thanh ghi (0x2142 sang 0x2102)  Lưu lại cấu hình vừa cài đặt. Lưu ý: Khôi phục mật khẩu chỉ có thể thực hiện trên terminal(PC) gắn trực tiếp với cổng console của router GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO ROUTER  Bước thực hiện khôi phục mật khẩu cho Router Cisco 2800  Tắt router và bật lại( Turn off / Turn on)  Bấm tổ hợp (Ctrl + Break) //Màn hình thông báo dung lượng bộ nhớ Ram của router Hoặc 15 giây sau khi Turn on  Router vào monitor mode, thực hiện lệnh: Rommon 1>confreg 0x2142 Rommon 2>reset // router sẽ nhắc phải reset lại để thay đổi có tác dụng //không bị pass, do router không load từ NVRAM vào RAM GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO ROUTER  Chép cấu hình NVRAM vào RAM: Router#copy start run Router#show run (xem password hoặc đặt pass mới) Router#copy run start (lưu lại cấu hình)  Thay đổi thanh ghi:  Xem cấu hình thanh ghi hiện tại: Router#show version (configuration register is 0x2142)  Thay đổi thanh ghi: Router#confg terminal Router(config)#config-register 0x2102 Router(config)#exit GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO ROUTER  Bước thực hiện khôi phục mật khẩu cho Router Cisco 2800 Router#show version (configuration register is 0x2142(will be 0x2102 at next reload) Router#reload Chú ý: Router sẽ khởi động lại. Nó sẽ lấy cấu hình từ NVRAM, mật khẩu của router bây giờ đã biết và bạn có thể truy cập vào privileged mode của router GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO SWITCH  Khôi phục mật khẩu cho Switch (Password Recovery)  Turn off / Turn on  Press mode button (Ấn giữ nút mode 3s) // Khi monitor hiện thông báo, rồi thả nút mode ra Switch: flash_init Switch: load_helper Switch: dir flash: //xem các file chứa trong flash Switch: rename flash:config.text flash:config.old //đổi tên file config.text thành config.old Switch: boot //continue with the configuration dialog?[yes/no] //no để bỏ qua cấu hình GV Từ Thanh Trí: MCSE CCIE-Security II. KHÔI PHỤC MẬT KHẨU CHO SWITCH  Khôi phục mật khẩu cho Switch (Password Recovery)  Vào privileged mode Switch# rename flash:config.old flash:config.text Switch# copy flash:config.text system:running-config //dùng lệnh show run để xem password hoặc thay đổi. Switch# copy run start  Xóa cấu hình Switch Switch# delete vlan.dat Switch# erase startup-config Switch# reload Note: Switch thuộc layer 2, nên không đặt IP cho cổng # router GV Từ Thanh Trí: MCSE CCIE-Security MỘT SỐ LỖI CẦN CHÚ Ý  Lỗi chèn chữ vào giữa khi cấu hình: Router(config)# no ip domain-lookup  Lỗi đẩy chữ chạy ra phía sau: Router(config)# line console 0 Router(config-line)# logging synchronous GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Backup IOS Router vào TFTP Server (ghost Router) Router#show version Router#show flash Router#copy flash tftp //source filename: *.bin(IOS) 192.168.14.2 //Address or name of remote host[]? Address tftp server //Destination filename *.bin ; //Mở tftp server lên GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Nạp IOS từ TFTP Server vào Flash Router  Yêu cầu: PC chạy TFTP server nối với Router trong cùng mạng LAN. IOS image mới sẽ chứa trong PC và sẽ truyền qua Cisco Router bằng giao thức TFTP. PC hoạt động như TFTP server, router sẽ là TFTP client. GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Cấu hình  Cấu hình IP cho TFTP server và router  Dùng lệnh Show version để tìm phiên bản của IOS hiện có.  //Lệnh này cung cấp thông tin như: dung lượng bộ nhớ và image của router  Xem nội dung bộ nhớ flash dùng lệnh: Show flash  Để chắn chắn có thể truy cập được TFTP server ở địa chỉ 192.168.1.2, dùng lệnh ping để kiễm tra.  Bắt đầu nạp IOS mới vào router bằng lệnh copy tftp flash  Sau khi quá trình nạp hoàn tất, ta kiểm tra nội dung của bộ nhớ flash bằng lệnh Show flash và dir flash GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Cấu hình Router#show flash Router#copy tftp flash //hiện thông báo xác nhận việc copy //Address or name of remote host[]? (tên or đ/c nơi lưu file) //Source filename[] *.bin Chú ý: Chạy TFTP server trên PC GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Nạp IOS cho Router khi mất IOS (mất mode Router)  Kiểm tra kết nối đến TFTP server.  Thực hiện các lệnh sau trên router Rommon>IP_ADDRESS=192.168.1.1 (Router) Rommon>IP_SUBNET_MASK=255.255.255.0 Rommon>DEFAULT_GATEWAY=192.168.1.1 Rommon>TFTP_SERVER=192.168.1.2 Rommon>TFTP_FILE= Rommon>sync Rommon>tftpdnld GV Từ Thanh Trí: MCSE CCIE-Security III. SAO LƯU VÀ NẠP IOS CHO ROUTER  Nạp IOS cho Switch khi mất IOS (mất mode Switch)  Kết nối Switch qua cổng console  Sử dụng chương trình Hyper Terminal Switch: copy xmodem: flash:tenfile  Ở cửa sổ Hyper Terminal chọn: • Transfer/Send file… • Chọn IOS và giao thức xmodem • Khi quá trình copy đã hoàn thành • Sử dụng lệnh: Switch:boot flash:tenfile để Switch khởi động lại với hệ điều hành vừa được copy vào Switch GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Cisco Discovery Protocol (CDP) là giao thức riêng của Cisco. Nó được dùng để thu thập thông tin về các thiết bị lân cận.  Khi sử dụng giao thức CDP, ta có thể biết được thông tin phần cứng, phần mềm của các thiết bị láng giềng.  Thông tin này rất hữu ích trong quá trình xử lý sự cố hay kiểm soát các thiết bị trong một hệ thống mạng.  Giao thức CDP mặc định(default) được bật trên các thiết bị của Cisco GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Cisco Discovery Protocol runs on Cisco IOS devices.  Summary information includes: – Device identifiers – Address list – Port identifier – Capabilities list – Platform GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Các câu lệnh hiển thị thông tin CDP: Router#show cdp Router#show cdp interface Router#show cdp traffic Router#show cdp neighbor Router#show cdp neighbor detail Router#show cdp entry * //khoản cách Router#show sessions GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Để tắt chức năng CDP trên toàn bộ các cổng của Router: Router(config)#no cdp run  Để bật chức năng CDP trên toàn bộ các cổng của Router: Router(config)#cdp run  Để tắt chức năng CDP trên một interface của Router, ta vào interface đó và sử dụng lệnh: no cdp enable Router(config)#interface fa0/0 Router(config-if)#no cdp enable  Để bật chức năng CDP trên một interface của Router, ta vào interface đó và sử dụng lệnh: cdp enable Router(config)#interface fa0/0 Router(config-if)#cdp enable GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP) RouterA#show cdp ? entry Information for specific neighbor entry interface CDP interface status and configuration neighbors CDP neighbor entries traffic CDP statistics … RouterA(config)#no cdp run ! Disable CDP Globally RouterA(config)#interface serial0/0/0 RouterA(config-if)#no cdp enable ! Disable CDP on just this interface GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP) RouterA#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID SwitchA RouterB Local Intrfce fa0/0 s0/0/0 Holdtme 122 177 Capability S I R S I Platform Port ID WS-C2960- fa0/2 2811 s0/0/1 GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Using the show cdp entry Command Device ID: RouterB Entry address(es): IP address: 10.1.1.2 Platform: Cisco 2811, Capabilities: Router Switch IGMP Interface: Serial0/0/0, Port ID (outgoing port): Serial0/0/1 Holdtime : 155 sec Version : Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Fri 17-Nov-06 12:02 by prod_rel_team GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP) RouterA#show cdp traffic CDP counters : Total packets output: 8680, Input: 8678 Hdr syntax: 0, Chksum error: 0, Encaps failed: 5 No memory: 0, Invalid packet: 0, Fragmented: 0 CDP version 1 advertisements output: 0, Input: 0 CDP version 2 advertisements output: 8680, Input: 8678 RouterA#show cdp interface s0/0/0 Serial0/0/0 is up, line protocol is up Encapsulation PPP Sending CDP packets every 60 seconds Holdtime is 180 seconds GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP)  Kiểm tra kết nối với các lệnh: Telnet, Ping, Traceroute  Lệnh telnet : kiểm tra kết nối tầng Application  Lệnh ping : kiểm tra kết nối tầng Network  Lệnh Traceroute: kiểm tra sự hoạt động tầng Network  Ý nghĩa của một số kết quả hiển thị của lệnh ping ! Successful echo reply . Timed out waiting for reply U Destination unreachable C Network congestion I Interrupted ? Unknown packect type & Packet TTL exceeded GV Từ Thanh Trí: MCSE CCIE-Security IV. CISCO DISCOVERY PROTOCOL (CDP) GV Từ Thanh Trí: MCSE CCIE-Security LƯU Ý: MỘT SỐ LỆNH CẤU HÌNH Switch(config)#interface Vlan1 Switch(config-if)#ip address 192.168.1.254 255.255.255.0 Switch(config-if)#no shutdown Router(config)#interface fa0/0 Router(config-if)#ip address 192.168.1.2 255.255.255.0 Router(config-if)#no shutdown Ví dụ:  Từ switch_1 xem được Router_2 (cấu hình R2 khi đứng ở Sw1 thông qua telnet) qua Router_1  Mở telnet trên router và switch (password vty)  Ctrl-shift-6: thoát ra nhưng vẫn kết nối GV Từ Thanh Trí: MCSE CCIE-Security GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 2: IP ADDRESS  Địa chỉ IPv4 gồm 32 bit, được chia thành 4 octect.  Địa chỉ IPv4 chia thành 5 lớp: A, B, C, D, E  Các loại địa chỉ IP:  Unicast  Multicast  Broadcast  Subnetting là một kĩ thuật cho phép tạo ra nhiều mạng con (subnetworks) từ một mạng lớn (major network). Với kĩ thuật này cho phép tạo ra nhiều mạng con (subnetwork) với số lượng ít host hơn, phù hợp cho nhu cầu sử dụng và tối ưu hóa cho hệ thống. GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 2: IP ADDRESS  Để thực hiện điều này, người ta sử dụng một số bit ở phần Host-ID tham gia vào phần Network-ID.  Một số tính chất cần lưu ý như sau:  Nếu gọi n là số bit mượn ở phần host để chia subnetting thì số mạng con (subnetwork) có thể chia là: 2n  Gọi h là số bit còn lại của phần host thì số host cho mỗi mạng con là: 2h -2  Với (n + h) = số bit phần host của mạng ban đầu GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 2: IP ADDRESS  VLSM (Variable-Length Subnet Mask): Là một kỹ thuật cho phép người quản trị dùng nhiều giá trị subnet mask khác nhau trong cùng một địa chỉ mạng. IP được chia thành các lớp A, B, C để tiện sử dụng. Tuy nhiên theo thời gian thì số địa chỉ IP ngày càng cạn kiệt. Vì vậy người ta mới đưa ra giải pháp chia subnet để việc sử dụng IP hiệu quả hơn  Ví dụ minh họa: GV Từ Thanh Trí: MCSE CCIE-Security A Working VLSM Example GV Từ Thanh Trí: MCSE CCIE-Security A Working VLSM Example GV Từ Thanh Trí: MCSE CCIE-Security A Working VLSM Example GV Từ Thanh Trí: MCSE CCIE-Security Địa chỉ IP và các lớp địa chỉ  Địa chỉ IP có 32 bit, được chia thành 4 phần (4 octet), mỗi octet có 8 bit. Địa chỉ IP có thể được viết dưới dạng nhị phân hoặc thập phân. Địa chỉ IP được chia thành 2 phần: Network(mạng).Host(máy)  Các lớp A, B, C được dùng để gán cho các Host  Lớp D là lớp địa chỉ Multicast  Lớp E không dùng(nghiên cứu) GV Từ Thanh Trí: MCSE CCIE-Security Địa chỉ IP và các lớp địa chỉ  Ðịa chỉ host là địa chỉ IP có thể dùng để đặt cho các interface của các host.  Hai host nằm cùng một mạng sẽ có network_id giống nhau và host_id khác nhau.  Khi cấp phát các địa chỉ host thì ta nên lưu ý không được cho tất cả các bit trong phần host_id bằng 0 hoặc tất cả bằng 1.  Ðịa chỉ mạng (network address): là địa chỉ IP dùng để đặt cho các mạng. Phần host_id của địa chỉ chỉ chứa các bit 0. Ví dụ: 172.29.0.0  Ðịa chỉ Broadcast (network address): là địa chỉ IP được dùng để đại diện cho tất cả các host trong mạng. Phần host_id chỉ chứa các bit 1. Ví dụ: 172.29.255.255. GV Từ Thanh Trí: MCSE CCIE-Security Lớp A (Class A) Dành 1 byte cho phần Network_ID và 3 byte cho phần Host_ID. GV Từ Thanh Trí: MCSE CCIE-Security Lớp A (Class A)  Bit đầu tiên của byte đầu tiên phải là bit 0. Dạng nhị phân của octet này là 0xxxxxxx  Những địa chỉ IP có byte đầu tiên nằm trong khoảng từ 0 (=00000000(2)) đến 127 (=01111111(2)) sẽ thuộc lớp A.  Byte đầu tiên này cũng chính là network_id, trừ đi bit đầu tiên làm ID nhận dạng lớp A, còn lại 7 bit để đánh thứ tự các mạng, ta được 128 (=2 7 ) mạng lớp A khác nhau. Bỏ đi hai trường hợp đặc biệt là 0 và 127.  Kết quả là lớp A chỉ còn 126 địa chỉ mạng, 1.0.0.0 đến 126.0.0.0. GV Từ Thanh Trí: MCSE CCIE-Security Lớp A (Class A) Phần host_id chiếm 24 bit, nghĩa là có 224 = 16777216 host khác nhau  trong mỗi mạng. Bỏ đi hai trường hợp đặc biệt (phần host_id chứa toàn các bit 0 và bit 1). Còn lại: 16777214 host.  Ví dụ: đối với mạng 10.0.0.0 thì những giá trị host hợp lệ là 10.0.0.1 đến 10.255.255.254.  Ví dụ: 10.10.10.1 00001010.00001010.00001010.00000001 GV Từ Thanh Trí: MCSE CCIE-Security Lớp B (Class B) Dành 2 byte cho phần Network_ID và 2 byte cho phần Host_ID. GV Từ Thanh Trí: MCSE CCIE-Security Lớp B (Class B)  Hai bit đầu tiên của byte đầu tiên phải là 10. Dạng nhị phân của octet này là 10xxxxxx  Những địa chỉ IP có byte đầu tiên nằm trong khoảng từ 128 (=10000000(2)) đến 191 (=10111111(2)) sẽ thuộc về lớp B  Phần network_id chiếm 16 bit bỏ đi 2 bit làm ID cho lớp, còn lại 14 bit cho phép ta đánh thứ tự 16384 (=214) mạng khác nhau (128.0.0.0 đến 191.255.0.0). GV Từ Thanh Trí: MCSE CCIE-Security Lớp B (Class B)  Phần host_id dài 16 bit hay có 65536 (=216) giá trị khác nhau. Trừ đi 2 trường hợp đặc biệt còn lại 65534 host trong một mạng lớp B.  Ví dụ: đối với mạng 172.29.0.0 thì các địa chỉ host hợp lệ là từ 172.29.0.1 đến 172.29.255.254.  Ví dụ: 172.16.10.1 10101100.00010000.00001010.00000001 GV Từ Thanh Trí: MCSE CCIE-Security Lớp C (Class C) Dành 3 byte cho phần Network_ID và 1 byte cho phần Host_ID. GV Từ Thanh Trí: MCSE CCIE-Security Lớp C (Class C)  Ba bit đầu tiên của byte đầu tiên phải là 110. Dạng nhị phân của octet này là 110xxxxx  Những địa chỉ IP có byte đầu tiên nằm trong khoảng từ 192 (=11000000(2)) đến 223 (=11011111(2)) sẽ thuộc về lớp C.  Ví dụ: 192.168.1.1 11000000.10101000.00000001.00000001 GV Từ Thanh Trí: MCSE CCIE-Security Các lớp địa chỉ IP GV Từ Thanh Trí: MCSE CCIE-Security Các lớp địa chỉ IP GV Từ Thanh Trí: MCSE CCIE-Security Tóm lại: Các lớp địa chỉ IP  1.0.0.0 - 126.0.0.0 : Class A.  127.0.0.0 : Loopback network.  128.0.0.0 - 191.255.0.0 : Class B.  192.0.0.0 - 223.255.255.0 : Class C.  224.0.0.0 < 240.0.0.0 : Class D, multicast.  >= 240.0.0.0 : Class E, reserved. Lớp Byte đầu tiên A 0xxxxxxx B C D E 10xxxxxx 110xxxxx 1110xxxx 11110xxx GV Từ Thanh Trí: MCSE CCIE-Security Các lớp địa chỉ IP ĐỊA CHỈ MẠNG GV Từ Thanh Trí: MCSE CCIE-Security Các lớp địa chỉ IP ĐỊA CHỈ BROADCAST GV Từ Thanh Trí: MCSE CCIE-Security Quy ước khi ghi địa chỉ IP  Nếu như có địa chỉ IP là 172.29.8.230 thì chưa thể biết được host này nằm trong mạng nào, có chia mạng con hay không và có nếu chia thì dùng bao nhiêu bit để chia. Chính vì vậy khi ghi nhận địa chỉ IP của một host, phải cho biết subnet mask của nó  Ví dụ: 172.29.8.230/255.255.255.0 hoặc 172.29.8.230/24 (có nghĩa là dùng 24 bit đầu tiên cho NetworkID). Lưu ý: Trong mỗi mạng: có 2 địa chỉ không dùng để gán cho các Host  Địa chỉ mạng (network address): là địa chỉ mà tất cả các bit ở phần Host đều là bit 0  Địa chỉ Broadcast (broadcast address): là địa chỉ mà tất cả các bit ở phần Host đều là bit 1 GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 1: Cho địa chỉ IP sau: 172.16.0.0/16. Hãy chia địa chỉ mạng trên thành 8 mạng con và có tối thiểu 1000 host trên mỗi mạng con đó. GV Từ Thanh Trí: MCSE CCIE-Security Bước 1: Xác định class và subnet mask mặc định  Địa chỉ trên được viết dưới dạng nhị phân: 10101100.00010000.00000000.00000000  Xác định lớp của IP trên là: → Lớp B  Xác định Subnet mask mặc định: → 255.255.0.0 GV Từ Thanh Trí: MCSE CCIE-Security Bước 2: Số bit cần mượn…  Cần mượn bao nhiêu bit: → N = 3, bởi vì: → Số mạng con có thể (2n): 23 = 8 network → Số host của mỗi mạng con có thể (2h-2): 2(16–3) – 2 = 213 - 2 > 1000 host  Xác định Subnet mask mới: → 11111111.11111111.11100000.00000000 → hay 255.255.224.0 GV Từ Thanh Trí: MCSE CCIE-Security Bước 3: Xác định vùng địa chỉ host 10101100.00010000.00000000.00000001 Đến 10101100.00010000.00000000.00000000 10101100.00010000.00011111.11111110 SubnetID Vùng HostID Broadcast 10101100.00010000.00011111.11111111 STT 1 172.16.0.0 172.16.0.1 -172.16.31.254 172.16.31.255 2 172.16.32.0 172.16.32.1 -172.16.63.254 172.16.63.255 … … … … 7 172.16.192.0 8 172.16.224.0 10101100.00010000.00100000.00000001 Đến172.16.223.255 172.16.192.1 – 10101100.00010000.00111111.11111110 172.16.223.254 172.16.224.1 – 172.16.255.255 172.16.255.254 10101100.00010000.00111111.11111111 10101100.00010000.00100000.00000000 GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 2: Cho 2 địa chỉ IP sau: 192.168.5.9/28 và 192.168.5.39/28  Hãy cho biết các địa chỉ network của từng IP trên ?  Hai địa chỉ IP trên có cùng mạng hay không? Vì sao?  Hãy liệt kê tất cả các địa chỉ IP thuộc các mạng vừa tìm được? GV Từ Thanh Trí: MCSE CCIE-Security Địa chỉ IP thứ nhất: 192.168.5.9/28    Chú ý: 28 là số bit dành cho NetworkID Đây là IP thuộc lớp C Subnet mask mặc nhiên: 255.255.255.0 IP (thập 192 168 5 9 phân) IP (nhị 11000000 10101000 00000101 00001001 phân) GV Từ Thanh Trí: MCSE CCIE-Security Thực hiện AND địa chỉ IP với Subnet mask IP 11000000 10101000 00000101 00001001 Subnet 11111111 11111111 11111111 11110000 mask Kết quả 11000000 10101000 00000101 00000000 AND GV Từ Thanh Trí: MCSE CCIE-Security Chuyển IP sang dạng thập phân Kết quả 11000000 10101000 00000101 00000000 AND Net ID 192 168 5 0 00001001 Host ID 9 GV Từ Thanh Trí: MCSE CCIE-Security Địa chỉ IP thứ hai: 192.168.5.39/28 IP 192 168 5 39 IP (nhị phân) 11000000 10101000 00000101 00100111 Subnet Mask 11111111 11111111 11111111 11110000 11000000 10101000 00000101 00100000 5 32 AND NetworkID HostID 192 168 7 GV Từ Thanh Trí: MCSE CCIE-Security Hai địa chỉ trên có cùng mạng không? • 192.168.5.9/28 • 192.168.5.39/28 Kết luận: Hai địa chỉ trên không cùng mạng Net ID của địa chỉ thứ 1 192 168 5 0 Net ID của địa chỉ thứ 2 192 168 5 32 GV Từ Thanh Trí: MCSE CCIE-Security Liệt kê tất cả các địa chỉ IP Mạng tương Vùng địa chỉ HostID với dạng nhị phân ứng với IP Vùng địa chỉ HostID với dạng thập phân 1 11000000.10101000.00000101.00000001 Đến 11000000.10101000.00000101.00001110 192.168.5.1/28 Đến 192.168.5.14/28 2 11000000.10101000.00000101.00100001 Đến 11000000.10101000.00000101.00101110 192.168.5.33/28 Đến 192.168.5.46/28 GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 3: Hãy xét đến một địa chỉ IP class B, 139.12.0.0, với subnet mask là 255.255.0.0.  Một Network với địa chỉ thế này có thể chứa 65534 nodes. Đây là một con số quá lớn, trên mạng sẽ có đầy broadcast traffic.  Hãy chia network thành 5 mạng con. GV Từ Thanh Trí: MCSE CCIE-Security Xác định Subnet mask  Để chia thành 5 mạng con thì cần thêm 3 bit (vì 23 > 5).   Do đó Subnet mask sẽ cần: 16 (bits trước đây) + 3 (bits mới) = 19 bits Địa chỉ IP mới sẽ là 139.12.0.0/19 (để ý con số 19 thay vì 16 như trước đây). Subnet mask với dạng nhị phân Subnet mask với dạng thập phân 11111111.11111111.11100000.00000000 255.255.224.0 GV Từ Thanh Trí: MCSE CCIE-Security NetworkID của 5 Subnets mới TT Subnet ID với dạng nhị phân Subnet ID với dạng thập phân 1 10001011.00001100.00000000.00000000 139.12.0.0/19 2 10001011.00001100.00100000.00000000 139.12.32.0/19 3 10001011.00001100.01000000.00000000 139.12.64.0/19 4 10001011.00001100.01100000.00000000 139.12.96.0/19 5 10001011.00001100.10000000.00000000 139.12.128.0/19 GV Từ Thanh Trí: MCSE CCIE-Security Cho biết vùng địa chỉ IP của các HostID Dạng thập phân TT Dạng nhị phân 1 10001011.00001100.00000000.00000001 10001011.00001100.00011111.11111110 139.12.0.1/19 139.12.31.254/19 2 10001011.00001100.00100000.00000001 10001011.00001100.00111111.11111110 139.12.32.1/19 139.12.63.254/19 3 10001011.00001100.01000000.00000001 10001011.00001100.01011111.11111110 139.12.64.1/19 -139.12.95.254/19 4 10001011.00001100.01100000.00000001 10001011.00001100.01111111.11111110 139.12.96.1/19 -139.12.127.254/19 5 10001011.00001100.10000000.00000001 10001011.00001100.10011111.11111110 139.12.128.1/19 -139.12.159.254/19 GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 4: Cho địa chỉ IP: 102.16.10.10/12  Tìm địa chỉ mạng con? Địa chỉ host  Dải địa chỉ host có cùng mạng với IP trên ?  Broadcast của mạng mà IP trên thuộc vào ? Bài tập 5: Cho địa chỉ IP: 172.19.160.0/21  Chia làm 4 mạng con  Liệt kê các thông số gồm địa chỉ mạng, dãy địa chỉ host, địa chỉ broadcast của các mạng con đó GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 6: Cho IP của host 152.39.45.31/255.255.240.0  Cho biết mạng chứa host này có chia mạng con hay không?Nếu có thì cho biết có bao nhiêu mạng con tương tự như vậy? Có bao nhiêu host trong mỗi mạng con?  Cho biết địa chỉ mạng của host trên?  Cho biết địa chỉ broadcast của host trên?  Liệt kê danh sách các địa chỉ host nằm chung mạng con với host trên? GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 7: Cho địa chỉ IP: 192.168.10.3/30 Hãy tính subnetmask dưới dạng nhị phân Bài tập 8: Cho địa chỉ IP: 192.168.10.0/27 Xác định: • Có bao nhiêu subnet • Số host tối đa trên 1 subnet GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 9: Cho IP address: 192.168.12.249/28 Xác định:  Network address  Range IP address  Broadcast address GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Hướng dẫn:  Network address: 192.168.12.240/28  Broadcast address: 192.168.12.255/28  Range IP address: 192.168.12.241 – 192.168.12.254/28 GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 10: Cho IP address: 192.168.1.210/29 Xác định:  Network address  Range IP address  Broadcast address GV Từ Thanh Trí: MCSE CCIE-Security BÀI TẬP IP ADDRESS Bài tập 11: Cho IP address: 172.16.100.50/20 Xác định:  Network address  Range IP address  Broadcast address GV Từ Thanh Trí: MCSE CCIE-Security GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 3: ROUTING I. ĐỊNH TUYẾN TĨNH – STATIC ROUTE VÀ DEFAULT II. ĐỊNH TUYẾN ĐỘNG III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 IV. ĐỊNH TUYẾN ĐỘNG – OSPF V. ĐỊNH TUYẾN ĐỘNG – EIGRP VI. REDISTRIBUTE GIỮA RIP – EIGRP – OSPF GV Từ Thanh Trí: MCSE CCIE-Security TỔNG QUAN VỀ ROUTING  Định tuyến là gì: Là chức năng của router giúp xác định quá trình tìm đường đi cho các gói tin từ nguồn tới đích thông qua hệ thống mạng.  Các loại định tuyến: Chia làm 2 loại  Định tuyến tĩnh  Định tuyến động GV Từ Thanh Trí: MCSE CCIE-Security TỔNG QUAN VỀ ROUTING  Để định tuyến thì router cần phải biết các thông tin sau:      Địa chỉ đích Các nguồn mà nó có thể học Các tuyến (routes) Tuyến tốt nhất (best route) Bảo trì và kiểm tra thông tin định tuyến  Router là thiết bị thuộc layer 3, phân định biên giới của các network, thực hiện chức năng định tuyến.  Router ngăn chặn broadcast (vì mỗi port trên router là 1 network broadcast domain)  Thực hiện việc lọc các gói tin GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – STATIC ROUTING  Định tuyến tĩnh là một quá trình định tuyến sử dụng các tuyến do người quản trị cấu hình thủ công trên router.  Một router cần phải làm như sau:      Biết địa chỉ đích. Xác định các nguồn mà từ đó các router có thể học. Khám phá các tuyến đường có thể đến đích dự định. Chọn con đường tốt nhất. Duy trì và xác minh thông tin định tuyến. GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – STATIC ROUTING  Routers must learn destinations that are not directly connected. (Router phải tìm hiểu các điểm đến mà không phải là kết nối trực tiếp)  Administrator cấu hình cho từng router và phải update nếu mạng có sự thay đổi. GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – STATIC ROUTING Cú pháp: Router(config)#ip route Trong đó:  Destination-network: là địa chỉ mạng cần đi tới  Subnet-mask: subnet-mask của destination-network  Address: địa chỉ IP của cổng trên router mà packet sẽ đi ra  Interface: cổng của router mà packet sẽ đi ra  Nexthop-address: địa chỉ của interface trên router kế tiếp mà packet sẽ gửi đến. GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – STATIC ROUTING Static Route Example: RouterA(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 RouterA(config)# ip route 172.16.1.0 255.255.255.0 s0/0/0 RouterA(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2 GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – DEFAULT ROUTE  Static route không có hoạt động gửi thông tin cập nhật như các giao thức định tuyến động. Nó rất hữu dụng khi hệ thống mạng chỉ có một đường duy nhất đến mạng đích, không còn đường nào khác phải chọn lựa. Khi đó, ta sẽ cấu hình đường default route cho hệ thống mạng.  Administrative Distance được sử dụng để đánh giá độ tin cậy của thông tin định tuyến mà Router nhận từ Router hàng xóm. AD là một số nguyên biến đổi từ : 0 đến 255; 0 tương ứng với độ tin cậy cao nhất và 255 có nghĩa là không có lưu lượng đi qua tuyến này (tức là tuyến này không được sử dụng để vận chuyển thông tin của người sử dụng)  Directly= 0 và Static route = 1 GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – DEFAULT ROUTE Cú pháp: Router(config)#ip route < 0.0.0.0 0.0.0.0 > Trong đó:  0.0.0.0 0.0.0.0 : default route  Interface: cổng của router mà packet sẽ đi ra  Nexthop-address: địa chỉ của interface trên router kế tiếp mà packet sẽ gửi đến. GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH – DEFAULT ROUTE Default Route Example: GV Từ Thanh Trí: MCSE CCIE-Security I. ĐỊNH TUYẾN TĨNH RouterX# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 C S* 10.0.0.0/8 is subnetted, 1 subnets 10.1.1.0 is directly connected, Serial0/0/0 0.0.0.0/0 is directly connected, Serial0 Thực hiện các câu lệnh sau để kiểm tra cấu hình 1.Router# show running-config 2.Router# show ip route : xem bảng định tuyến 3.Router# show ip protocol : xem các giao thức 4.Router# ping ip address : kiểm tra kết nối 5.Router# show interfaces 6.Router# show ip Interface brief GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG  Là những tuyến do router học được từ các router khác nhờ giao thức định tuyến động.  Giao thức định tuyến động được chia làm 3 loại:  Distance Vector ( RIPv1 và RIPv2 )  Link-State (OSPF và IS-IS )  Hybrid (EIGRP) GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Distance Vector:  Giao thức định tuyến thuộc loại này như: RIPv1 và RIP v2 GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Distance Vector:  Các router định tuyến theo Distance Vector thực hiện gửi định kỳ toàn bộ bảng định tuyến của mình và chỉ gửi cho các router láng giềng kết nối trực tiếp với mình.  Các router định tuyến theo Distance Vector không biết được đường đi đến đích một cách cụ thể, không biết về các router trung gian trên đường đi và cấu trúc kết nối giữa chúng.  Bảng định tuyến là nơi lưu kết quả chọn đường đi tốt nhất của mỗi router. Do đó, khi chúng trao đổi bảng định tuyến với nhau, các router chọn đường dựa trên kết quả đã chọn của router láng giềng. Mỗi router nhìn hệ thống mạng theo sự chi phối của các router láng giềng. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Distance Vector:  Các router định tuyến theo Distance Vector thực hiện cập nhật thông tin định tuyến theo định kỳ nên tốn nhiều băng thông đường truyền.  Khi có sự thay đổi xảy ra, router nào nhận biết sự thay đổi đầu tiên sẽ cập nhật bảng định tuyến của mình trước rồi chuyển bảng định tuyến cập nhật cho các router láng giềng. Chú ý:  Định tuyến theo kiểu tin đồn  Gửi nguyên bảng định tuyến cho router kế bên và gửi theo chu kỳ  Có Routing loop xảy ra. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Link State:  Giao thức định tuyến thuộc loại này như: OSPF, IS-IS GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Link State:  Trong các giao thức định tuyến Link state, các router sẽ trao đổi các LSA (link state advertisement) với nhau để xây dựng và duy trì cơ sở dữ liệu về trạng thái các đường liên kết hay còn gọi là cơ sở dữ liệu về cấu trúc mạng (topology database). Các thông tin trao đổi được gửi dưới dạng Multicast.  Như vậy mỗi router đều có một cái nhìn đầy đủ và cụ thể về cấu trúc của hệ thống mạng. Từ đó mỗi router sẽ dùng thuật toán SPF để tính toán chọn đường đi tốt nhất đến từng mạng đích. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Link State:  Khi các router định tuyến theo Link state đã hội tụ xong, nó không thực hiện cập nhật định tuyến định kỳ mà chỉ cập nhật khi nào có sự thay đổi xảy ra. Do đó thời gian hội tụ nhanh và ít tốn băng thông.  Giao thức định tuyến theo Link state có hỗ trợ CIDR, VLSM nên chúng là một lựa chọn tốt nhất cho các mạng lớn và phức tạp. Nhưng đồng thời nó đòi hỏi dung lượng bộ nhớ lớn và khả năng xử lý mạnh của CPU router  Thiết lập Neighbors bằng các gói tin Hello GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Link State:  Để đảm bảo là các database luôn cập nhật thông tin mới, trong các LSA này được đánh thêm chỉ số Sequence. Chỉ số sequence được bắt đầu từ giá trị initial đến giá trị Max-age. Khi một router nào đó tạo ra một LSA, nó sẽ đặt giá trị sequence bằng initial. Mỗi khi router gửi ra một phiên bản LSA update khác, nó sẽ tăng giá trị đó lên 1. Như vậy, giá trị sequence càng cao thì LSA update càng mới.  Nếu giá trị sequence này đạt đến max-age, router sẽ flood LSA ra cho tất cả các router còn lại, sau đó router đó sẽ set giá trị sequence về initial. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG Tóm lại Link State:  Duy trì 2 bảng: topology và routing. Bảng topology chứa tất cả tình trạng của toàn bộ link trong mạng. Routing table được xây dựng từ topology table, sử dụng thuật toán Dijkstra SPF.  Thiết lập neighbor bằng các gói tin Hello  Router trao đổi cho nhau thông tin về cost và tình trạng link của chúng qua các LSA.  Không trao đổi routing table như distance vector.  Giải thuật Dijkstra đã bao gồm việc chống loop  Hội tụ nhanh hơn các giao thức distance vector. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG  Function(s) of Dynamic Routing Protocols:  Dynamically share information between routers.  Automatically update routing table when topology changes.  Determine best path to a destination.  The purpose of a dynamic routing protocol is to:  Discover remote networks  Maintaining up-to-date routing information  Choosing the best path to destination networks  Ability to find a new best path if the current path is no longer available GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG  The purpose of a dynamic routing protocol is to: – Discover remote networks – Maintaining up-to-date routing information – Choosing the best path to destination networks – Ability to find a new best path if the current path is no longer available GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG  Ưu điểm – Advantages  Đường đi đến đích có tính linh hoạt khi có sự thay đổi trong kiến trúc và lưu lượng mạng.  Phù hợp với các mạng lớn, thường xuyên có sự thay đổi trong mô hình mạng.  Nhược điểm – Disadvantages  Tiêu tốn tài nguyên của router để thực hiện các xử lý, tính toán các thuật toán định tuyến.  Đòi hỏi khả năng cấu hình các giao thức của người quản trị GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG  Classful routing protocols – Do NOT send subnet mask in routing updates – Không hỗ trợ VLSM – Tự động sumroot  Classless routing protocols – Do send subnet mask in routing updates – Hỗ trợ VLSM GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ Routing Protocol  Là ngôn ngữ để một router trao đổi với router khác nhằm mục đích chia sẻ thông tin định tuyến về khả năng đến được cũng như trạng thái của mạng.  Được cài đặt tại các Router, chúng được sử dụng để: Xây dựng nên bảng định tuyến để đảm bảo rằng tất cả các Router đều có bảng “Routing table ” tương thích nhau cũng như đường đi đến các mạng phải được xác định trong “Routing Table”. Routed Protocol  Nó sử dụng các bảng “Routing Table” mà Routing Protocol xây dựng lên để đảm bảo việc truyền dữ liệu qua mạng một cách tin cậy. Ví dụ: IP và IPX. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ Autonomous System - Vùng tự trị  Mạng Internet được chia thành các vùng nhỏ hơn gọi là các vùng tự trị (Autonomous System – AS ).  AS bao gồm một tập hợp các mạng con được kết nối với nhau bởi Router. Một hệ thống AS thông thường thuộc quyền sử hữu của một công ty hay nhà cung cấp dịch vụ Internet (ISP). Và để các hệ thống AS này kết nối được với nhau, nhà quản lý phải đăng ký với cơ quan quản trị mạng trên Internet (Inter NIC) để lấy được một số nhận dạng AS cho riêng mình. Bên trong mỗi AS, các nhà quản lý có quyền quyết định loại Router cũng như giao thức định tuyến cho hệ thống của mình. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ Routing table - bảng định tuyến  Routing table là 1 bảng dữ liệu được lưu trữ trong mỗi router, nó chứa danh sách các tuyến đường đi tốt nhất từ mạng nguồn đến các mạng đích. Mỗi địa chỉ đích được gán với địa chỉ của router cần đến ở chặng tiếp theo. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ Routing table - bảng định tuyến GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ  Bảng định tuyến của mỗi giao thức định tuyến là khác nhau, nhưng có thể bao gồm những thông tin sau :  Địa chỉ đích của mạng, mạng con hoặc hệ thống.  Địa chỉ IP của Router chặng kế tiếp phải đến.  Giao tiếp vật lý phải sử dụng để đi đến Router kế tiếp.  Mặt nạ mạng của địa chỉ đích.  Khoảng cách đến đích (ví dụ: số lượng chặng để đến đích)  Thời gian (tính theo giây) từ khi Router cập nhật lần cuối. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ Administrative Distance (AD) - Khoảng cách quản lý  AD được sử dụng để đánh giá độ tin cậy của thông tin định tuyến mà Router nhận từ Router hàng xóm.  AD là một số nguyên biến đổi từ : 0 đến 255; 0 tương ứng với độ tin cậy cao nhất và 255 có nghĩa là không có lưu lượng đi qua tuyến này (tức là tuyến này không được sử dụng để vận chuyển thông tin của người sử dụng).  Khi một Router nhận được một thông tin định tuyến, thông tin này được đánh giá và một tuyến hợp lệ được đưa vào bảng định tuyến của Router. Thông tin định tuyến được đánh giá dựa vào AD. GV Từ Thanh Trí: MCSE CCIE-Security II. ĐỊNH TUYẾN ĐỘNG - THUẬT NGỮ  Giả sử 1 router nhận được 2 tuyến đường đến 1 mạng đích từ 2 giao thức là RIP (AD=120) và OSPF (AD=110), khi đó nó sẽ chọn tuyến đường do giao thức OSPF cung cấp và cập nhật vào bảng định tuyến vì OSPF có chỉ số AD thấp hơn.(chỉ số AD càng thấp độ tin cậy càng cao) GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIP (Routing Information Protocol)  Mô tả chức năng, đặc điểm, và hoạt động của giao thức RIPv1 và RIPv2  Cấu hình router sử dụng giao thức RIPv1 và RIPv2  Mô tả cách thức RIPv1 thực hiện automatic summarization.  Cấu hình, xác minh, và khắc phục sự cố các tuyến đường mặc định trong mạng định tuyến thực hiện RIPv1 và RIPv2  Sử dụng các kỹ thuật để giải quyết các vấn đề liên quan đến RIPv1 và RIPv2. GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2  RIPv1 mang đặc điểm của classful, RIPv2 classless  Giao thức định tuyến Distance Vector (DV)  AD (Administrative Distance) = 120  Metric = hop count (maximum metric = 15) (Routes with a hop count > 15 are unreachable(ko kết nối)  Thời gian update là 30s  Gửi update theo địa chỉ Broadcast (RIPv1): 255.255.255.255  Gửi update theo địa chỉ Multicast (RIPv2): 224.0.0.9  RIPv1 không gửi kèm Subnet mask và không hỗ trợ VLSM  RIPv2 thì gửi kèm Subnet mask và hỗ trợ VLSM GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIPv1 and RIPv2 Comparison RIPv1 RIPv2 Classful Classless Supports variable-length subnet mask? No Yes Sends the subnet mask along with the routing update? No Yes Addressing type Broadcast Multicast Defined in … RFC 1058 RFCs 1721, 1722, and 2453 Supports manual route summarization? No Yes Authentication support? No Yes Routing protocol GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIP v1 Configuration RouterX(config)# router RIP //Enables RIP routing process RouterX(config-router)# network < major network> //Associates a network with a RIP routing process Lưu ý: - < major network>: viết theo Subnet mask lớp A, B, C - Lệnh “no shutdown” sử dụng khi khai báo trên các interface - Lệnh “no keepalive” sử dụng khi router ko nối với thiết bị khác - Lệnh “no network….” sử dụng khi đánh sai network GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIP v2 Configuration RouterX(config)# router RIP //Enables RIP routing process RouterX(config-router)# version 2 //Enables RIP version 2 RouterX(config-router)# network < major network> //Associates a network with a RIP routing process RouterX(config-router)# no auto-summary GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIP Configuration Example 1 GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 Configuration basic Router A Router>enable Router#configure terminal Router(config)#hostname RouterA RouterA(config)#line console 0 RouterA(config-line)#logging synchronous RouterA(config)#no ip domain-lookup RouterA(config)#banner motd #Hay Dang Nhap Password duoc cho phep# GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 Configuration basic Router A RouterA(config)#enable secret Cisco1 RouterA(config)#line console 0 RouterA(config-line)#password cisco2 RouterA(config-line)#login RouterA(config)#line vty 0 4 RouterA(config-line)#password cisco2 RouterA(config-line)#login RouterA(config)#service password-encryption GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 Configuration basic Router A RouterA(config)#interface fa0/0 RouterA(config-if)#ip address 152.1.1.1 255.255.255.0 RouterA(config-if)#no shutdown RouterA(config-if)#no keepalive //nếu ko nối với thiết bị khác dùng câu lệnh: RouterA(config)#interface serial 1/0 RouterA(config-if)#ip address 192.168.12.1 255.255.255.0 RouterA(config-if)#clock rate 64000 //dong bo hoa cac cong RouterA(config-if)#no shutdown GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 RIP Configuration Router A RouterA(config)# router RIP RouterA(config-router)# version 2 RouterA(config-router)# network 152.1.0.0 RouterA(config-router)# network 192.168.12.0 RouterA(config-router)# no auto-summary GV Từ Thanh Trí: MCSE CCIE-Security III. ĐỊNH TUYẾN ĐỘNG – RIP V1 và RIP V2 Router A và Router C cấp DHCP cho client RouterA(config)# ip DHCP pool net1 RouterA(dhcp-config)# network 152.1.1.0 255.255.255.0 RouterA(dhcp-config)# default-router 152.1.1.1 RouterA(dhcp-config)# dns-server 192.168.1.1 RouterA(config)# ip dhcp excluded-address 152.1.1.1 152.1.1.99 //nghĩa là DHCP cấp cho client từ 100 -> 254, không cấp từ 1 -> 99) GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF(Open Shortest Path First) GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  AD: 110 - Trigger update - Metric = cost = 108/BW  Hỗ trợ VLSM – Tốc độ hội tụ nhanh  Router liên lạc qua 2 địa chỉ multicast 224.0.0.5 (all router) và 224.0.0.6 (BDR/DR).  Trong môi trường multiaccess: bầu chọn BDR và DR dựa vào Priority của interface và Router ID  Link – state nhận ra nhiều thông tin về mạng hơn Distance – vector. Mỗi router có 1 cái nhìn tổng quan về topology GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  Có 2 mức độ phân cấp:  Backbone or Area 0 (tất cả các Area đều nối với Area 0)  Non – backbone area  ABRs (Area Border Router)  Kết nối tất cả các Area khác đến Area 0 (Backbone)  ABR nằm giữa Area 0 và Area 1 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  Router OSPF Adjacencies: Router khám phá mối quan hệ láng giềng bằng cách trao đổi gói tin Hello GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  Router OSPF Calculation: Router tìm đường đi tốt nhất bằng thuật toán Dijkstra SPF. GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  Bầu chọn Router ID:  Độ ưu tiên(Priority): Cao nhất (1)  Loopback: Cao nhất (2)  Cổng địa chỉ IP vật lý: Cao nhất (3)  Bầu chọn Designated Router (DR):  Độ ưu tiên 1 (Default)  Priority = 0 ( không tham gia bầu chọn DR/BDR)  Priority càng lớn thì độ ưu tiên càng cao nhất  Priority bằng nhau. Thì dựa vào Router ID GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Configuration Single-Area RouterX(config)# router ospf // process-id: từ 1 -> 65535 RouterX(config-router)# network Area // network address: địa chỉ mạng của router // ip interface: địa chỉ IP của router GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF RouterX# show ip protocols  Verifies that OSPF is configured RouterX# show ip route  Displays all the routes learned by the router RouterX# show ip route Codes: I - IGRP derived, R - RIP derived, O - OSPF derived, C - connected, S - static, E - EGP derived, B - BGP derived, E2 - OSPF external type 2 route, N1 - OSPF NSSA external type 1 route, N2 - OSPF NSSA external type 2 route Gateway of last resort is 10.119.254.240 to network 10.140.0.0 O O O O O . 10.110.0.0 [110/5] via 10.119.254.6, 0:01:00, Ethernet2 IA 10.67.10.0 [110/10] via 10.119.254.244, 0:02:22, Ethernet2 10.68.132.0 [110/5] via 10.119.254.6, 0:00:59, Ethernet2 10.130.0.0 [110/5] via 10.119.254.6, 0:00:59, Ethernet2 E2 10.128.0.0 [170/10] via 10.119.254.244, 0:02:22, Ethernet2 . . GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF RouterX# show ip ospf  Displays the OSPF router ID, timers, and statistics RouterX# show ip ospf Routing Process "ospf 50" with ID 10.64.0.2 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Number of areas transit capable is 0 External flood list length 0 Area BACKBONE(0) Area BACKBONE(0) Area has no authentication SPF algorithm last executed 00:01:25.028 ago SPF algorithm executed 7 times GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF RouterX# show ip ospf interface  Displays the area ID and adjacency information RouterX# show ip ospf interface ethernet 0 Ethernet 0 is up, line protocol is up Internet Address 192.168.254.202, Mask 255.255.255.0, Area 0.0.0.0 AS 201, Router ID 192.168.99.1, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State OTHER, Priority 1 Designated Router id 192.168.254.10, Interface address 192.168.254.10 Backup Designated router id 192.168.254.28, Interface addr 192.168.254.28 Timer intervals configured, Hello 10, Dead 60, Wait 40, Retransmit 5 Hello due in 0:00:05 Neighbor Count is 8, Adjacent neighbor count is 2 Adjacent with neighbor 192.168.254.28 (Backup Designated Router) Adjacent with neighbor 192.168.254.10 (Designated Router) GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF RouterX# show ip ospf neighbor  Displays the OSPF neighbor information on a per-interface basis RouterX# show ip ospf neighbor ID 10.199.199.137 172.16.48.1 172.16.48.200 10.199.199.137 Pri 1 1 1 5 State Dead Time FULL/DR 0:00:31 FULL/DROTHER 0:00:33 FULL/DROTHER 0:00:33 FULL/DR 0:00:33 Address 192.168.80.37 172.16.48.1 172.16.48.200 172.16.48.189 Interface FastEthernet0/0 FastEthernet0/1 FastEthernet0/1 FastEthernet0/1 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF RouterX# show ip ospf neighbor 10.199.199.137 Neighbor 10.199.199.137, interface address 192.168.80.37 In the area 0.0.0.0 via interface Ethernet0 Neighbor priority is 1, State is FULL Options 2 Dead timer due in 0:00:32 Link State retransmission due in 0:00:04 Neighbor 10.199.199.137, interface address 172.16.48.189 In the area 0.0.0.0 via interface Fddi0 Neighbor priority is 5, State is FULL Options 2 Dead timer due in 0:00:32 Link State retransmission due in 0:00:03 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF debug Commands RouterX# debug ip ospf events OSPF:hello with invalid timers on interface Ethernet0 hello interval received 10 configured 10 net mask received 255.255.255.0 configured 255.255.255.0 dead interval received 40 configured 30 OSPF: rcv. v:2 t:1 l:48 rid:200.0.0.117 aid:0.0.0.0 chk:6AB2 aut:0 auk: RouterX# debug ip ospf packet OSPF: rcv. v:2 t:1 l:48 rid:200.0.0.116 aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x0 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Configuration Example 1 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF  OSPF network command • network address • wildcard mask - the inverse of the subnet mask • area-id - area-id refers to the OSPF area – OSPF area is a group of routers that share link state information – Example: Router(config)#router ospf process-id Router(config-router)#network networkaddress wildcard-ask area area-id GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Configuration Example 2 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Authentication  OSPF supports two types of authentication: • Plaintext (or simple) password authentication • MD5 authentication  Tạo ra các bộ định tuyến và kiểm tra tất cả các gói tin OSPF  Router xác thực nguồn gốc của mỗi gói tin cập nhật định tuyến mà nó nhận được.  Cấu hình một "chìa khóa" (mật khẩu), mỗi người hàng xóm tham gia phải có cùng một “key” được cấu hình. GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Authentication Plaintext Password GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Authentication Plaintext Password R1(config)# interface serial 0/0/1 R1(config-if)# ip address 192.168.1.101 255.255.255.254 R1(config-if)# no shutdown R1(config-if)# clock rate 64000 R1(config-if)# ip ospf authentication R1(config-if)# ip ospf authentication-key plainpass R2(config)# interface serial 0/0/1 R2(config-if)# ip address 192.168.1.102 255.255.255.254 R2(config-if)# no shutdown R2(config-if)# clock rate 64000 R2(config-if)# ip ospf authentication R2(config-if)# ip ospf authentication-key plainpass GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Authentication MD5 GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF OSPF Authentication MD5 R1(config)# interface serial 0/0/1 R1(config-if)# ip address 192.168.1.101 255.255.255.254 R1(config-if)# no shutdown R1(config-if)# clock rate 64000 R1(config-if)# ip ospf authentication message-digest R1(config-if)# ip ospf message-digest-key 100 md5 cisco key-id key R2(config)# interface serial 0/0/1 R2(config-if)# ip address 192.168.1.102 255.255.255.254 R2(config-if)# no shutdown R2(config-if)# clock rate 64000 R2(config-if)# ip ospf authentication message-digest R2(config-if)# ip ospf message-digest-key 100 md5 cisco GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – OSPF Authentication OSPF MD5 Verifying MD5 Authentication R1#sho ip ospf neighbor Neighbor ID Pri State 10.2.2.2 0 FULL/ - Dead Time 00:00:31 Address 192.168.1.102 Interface Serial0/0/1 R1#show ip route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks O 10.2.2.2/32 [110/782] via 192.168.1.102, 00:00:37, Serial0/0/1 C 10.1.1.0/24 is directly connected, Loopback0 192.168.1.0/27 is subnetted, 1 subnets C 192.168.1.96 is directly connected, Serial0/0/1 R1#ping 10.2.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP EIGRP(Enhanced Interior Gateway Routing Protocol) GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 1. Features  Mang đặc điểm của: Distance vector + Link state = Hybrid  Hỗ trợ VLSM, hỗ trợ nhiều giao thức như:IP, IPX, Appletalk  Update theo địa chỉ Multicast: 224.0.0.10  Administrative Distance (AD): 90  Metric: IGRP metric*256(32 bit)  Tốc độ hội tụ nhanh nhất (fast convergence) do có duy trì Successor & Feasible successor trong database GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 2.Key Technologies  Khám phá quan hệ láng giềng (Neighbor discovery/recovery)  Uses hello packets between neighbors  Reliable Transport Protocol (RTP)  Guaranteed(bảo đảm), ordered(ngăn nắp) delivery of EIGRP packets to all neighbors  DUAL finite-state machine  Sử dụng thuật toán tìm đường đi ngắn nhất trong EIGRP  Protocol-dependent modules (PDMs)  EIGRP supports IP, AppleTalk, and Novell NetWare GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 3. EIGRP Tables Dựa vào bảng Neighbor và bảng Topology. Router sẽ tìm đường đi tốt nhất dựa vào thuật toán(DUAL): Tìm đường đi ngắn nhất  FDmin GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP Example: EIGRP Tables Router C Tables: GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 4. EIGRP Packets  Hello: Establish neighbor relationships.  Update: Send routing updates.  Query: Ask neighbors about routing information.  Reply: Respond to query about routing information.  ACK: Acknowledge a reliable packet. 5. EIGRP Metric  Bandwidth  Delay  Reliability  Loading  MTU GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 6. EIGRP Configuration RouterX(config)# router eigrp RouterX(config-router)# network RIP Hoặc: Cấu hình giống OSPF RouterX(config-router)# network RouterX(config-router)# no auto-summary GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP 7. Verifying the EIGRP Configuration RouterX# show ip route eigrp RouterX# show ip eigrp interface RouterX# show ip eigrp topology RouterX# show ip eigrp neighbor detail RouterX# show ip eigrp traffic RouterX# show controllers GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP EIGRP Configuration Example 2 GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP EIGRP Authentication  EIGRP supports MD5 authentication  EIGRP can: • Encrypt routing information • Authenticate routing information GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – EIGRP EIGRP Authentication MD5 RouterX(config)# key chain name-of-chain // tên key RouterX(config-keychain)# key key-id // key ID RouterX(config-keychain-key)# key-string text //key string (password) RouterX(config)# interface fa0/1 RouterX(config-if)# ip authentication mode eigrp autonomous-system md5 // Specifies MD5 authentication for EIGRP RouterX(config-if)# ip authentication key-chain eigrp autonomous-system name-ofchain //Enables authentication of EIGRP packets using the key in the keychain GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – EIGRP Example EIGRP Authentication MD5 RouterX(config)# key chain RouterXchain RouterX(config-keychain)# key 1 RouterX(config-keychain-key)# key-string firstkey RouterX(config)# interface fa0/1 RouterX(config-if)# ip authentication mode eigrp 100 md5 RouterX(config-if)# ip authentication key-chain eigrp 100 RouterXchain GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN ĐỘNG – EIGRP Example EIGRP Authentication MD5 RouterY(config)# key chain RouterYchain RouterY(config-keychain)# key 1 RouterY(config-keychain-key)# key-string firstkey RouterY(config)# interface fa0/1 RouterY(config-if)# ip authentication mode eigrp 100 md5 RouterY(config-if)# ip authentication key-chain eigrp 100 RouterYchain GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP Example EIGRP Authentication MD5 RouterX key chain RouterXchain key 1 key-string firstkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 04:01:00 Jan 1 2006 key 2 key-string secondkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite ! interface Serial0/0/1 bandwidth 64 ip address 192.168.1.101 255.255.255.224 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 RouterXchain GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP Example EIGRP Authentication MD5 (Cont.) RouterY key chain RouterYchain key 1 key-string firstkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite key 2 key-string secondkey accept-lifetime 04:00:00 Jan 1 2006 infinite send-lifetime 04:00:00 Jan 1 2006 infinite ! interface Serial0/0/1 bandwidth 64 ip address 192.168.1.102 255.255.255.224 ip authentication mode eigrp 100 md5 ip authentication key-chain eigrp 100 RouterYchain GV Từ Thanh Trí: MCSE CCIE-Security V. ĐỊNH TUYẾN ĐỘNG – EIGRP Verifying MD5 Authentication RouterX# *Jan 21 16:23:30.517: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 192.168.1.102 (Serial0/0/1) is up: new adjacency RouterX#show ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface 0 192.168.1.102 Se0/0/1 Hold Uptime SRTT (sec) (ms) 12 00:03:10 17 RTO Q Seq Cnt Num 2280 0 14 RouterX#show ip route Gateway of last resort is not set D 172.17.0.0/16 [90/40514560] via 192.168.1.102, 00:02:22, Serial0/0/1 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks D 172.16.0.0/16 is a summary, 00:31:31, Null0 C 172.16.1.0/24 is directly connected, FastEthernet0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.96/27 is directly connected, Serial0/0/1 D 192.168.1.0/24 is a summary, 00:31:31, Null0 RouterX#ping 172.17.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.17.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/16 ms GV Từ Thanh Trí: MCSE CCIE-Security VI. REDISTRIBUTE GIỮA RIP – EIGRP - OSPF Đặt địa chỉ IP cho các Interface trên các Router R1, R2, R3, R4. Cấu hình định tuyến RIPv2, EIGRP, OSPF. Redistribute giữa các giao thức theo mô hình để các router này có thể liên lạc được với nhau. GV Từ Thanh Trí: MCSE CCIE-Security MỤC TIÊU 1. Cấu hình khởi tạo cho các thiết bị mạng, cấu hình các interface của router. - Đặt tên thiết bị, cấu hình bannermotd - Cấu hình password cho console, telnet ... - Cấu hình địa chỉ IP, cấu hình description - Cấu hình enable các interface 2. Ping qua lại giữa các interface được kết nối trực tiếp với nhau. 3. Thiết lập giao thức định tuyến trên các router như mô hình trên. 4. Redistribute giữa các giao thức. 5. Xem bảng định tuyến (routing table). 6. Kiểm tra các router có thể ping qua lại lẫn nhau. GV Từ Thanh Trí: MCSE CCIE-Security Redistribution OSPF, EIGRP và RIP hiểu nhau 1. Câu lệnh cấu hình cho OSPF hiểu được RIP và EIGRP: R(config)#router ospf R(config-router)#redistribute rip metric subnets R(config-router)#redistribute eigrp metric subnets Chú ý: OSPF chỉ hiểu cost cho nên sau metric ta phải điền thông số cost (cost = 10^8/bandwidth) GV Từ Thanh Trí: MCSE CCIE-Security Redistribution OSPF, EIGRP và RIP hiểu nhau 2. Câu lệnh cấu hình cho EIGRP hiểu được RIP và OSPF: R(config)#router eigrp R(config-router)#redistribute ospf metric R(config-router)#redistribute rip metric Chú ý: • Bandwidth(băng thông) : • Delay(độ trễ) : • Reliability(độ tin cậy): • Load : • MTU(Maximum Transmission Unit): GV Từ Thanh Trí: MCSE CCIE-Security Redistribution OSPF, EIGRP và RIP hiểu nhau 3. Câu lệnh cấu hình cho RIP hiểu EIGRP và OSPF: R(config)#router rip R(config-router)#redistribute ospf metric R(config-router)#redistribute eigrp metric GV Từ Thanh Trí: MCSE CCIE-Security Redistribution OSPF, EIGRP và RIP hiểu nhau 4. Câu lệnh thực hiện để cho 2 EIGRP có AS Number khác nhau hiểu được mạng của nhau: Giữa 2 EIGRP mà có AS Number khác nhau được coi là 2 mạng có những tiếng nói khác nhau, nên ta vẫn phải thực hiện Redistribution cho các EIGRP này: Ví dụ: Một mạng có 2 EIGRP là: EIGRP 10 và EIGRP 20. R(config)#router eigrp 10 R(config-router)#redistribute eigrp 20 Hoặc: R(config)#router eigrp 10 R(config-router)#redistribute eigrp 20 metric GV Từ Thanh Trí: MCSE CCIE-Security Redistribution OSPF, EIGRP và RIP hiểu nhau Chú ý: Đây là cách cấu hình cho các EIGRP có AS Number khác nhau hiểu được nhau.  Cách 1 là thực hiện Redistribute cho EIGRP 10 hiểu EIGRP 20 với metric được tính bằng băng thông của con 1.  Cách 2 là thực hiện Redistribute cho EIGRP 10 hiểu EIGRP 20 với các số liệu ta gán cho nó. GV Từ Thanh Trí: MCSE CCIE-Security GV Từ Thanh Trí: MCSE CCIE-Security CHƯƠNG 4: SWITCH I. MỘT SỐ KHÁI NIỆM TRÊN SWITCH II. VLAN (VIRTUAL - LOCAL AREA NETWORK) III. VTP (VLAN TRUNKING PROTOCOL) IV. ĐỊNH TUYẾN GIỮA CÁC VLAN (Inter VLANs Routing) V. STP (SPANNING – TREE PROTOCOL) GV: Từ Thanh Trí - CCNP- MCSE 189 I. MỘT SỐ KHÁI NIỆM  System startup routines initiate switch software.  Initial startup uses default configuration parameters. GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ KHÁI NIỆM Catalyst 2960 Switch LED Indicators GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ KHÁI NIỆM Initial Bootup Output from the Catalyst GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ KHÁI NIỆM Initial Configuration of the Catalyst GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ KHÁI NIỆM Collision Domain (Miền đụng độ)  Collision domain xảy ra khi có 2 hay nhiều máy truyền dữ liệu đồng thời trong một mạng chia sẻ. Khi Collision domain xảy ra, các frame đang được truyền đều bị phá hủy, các máy đang truyền sẽ ngưng việc truyền dữ liệu và chờ một khoản thời gian ngẫu nhiên theo quy luật của CSMA/CD. Nếu Collision xảy ra quá nhiều mạng có thể không hoạt động được.  Collision domain là khu vực mà Frame được phát ra có thể bị đụng độ. Tất cả các môi trường mạng chia sẻ là các miền đụng độ. Chú ý: Mỗi port trên Switch là một Collision domain Mỗi VLAN là 1 Broadcast Domain GV Từ Thanh Trí: MCSE CCIE-Security I. MỘT SỐ KHÁI NIỆM Broadcast Domain (Miền quảng bá)  Các thông tin liên lạc trong mạng được thực hiện theo 3 cách: Unicast, Multicast, Broadcast.  Unicast: gửi trực tiếp từ 1 máy đến một máy.  Multicast: được thực hiện khi máy muốn gửi packet cho một nhóm máy nằm trong segment.  Broadcast: được thực hiện khi một máy muốn gửi cho tất cả các máy khác trong mạng.  Khi một thiết bị muốn gửi một gói quảng bá thì địa chỉ MAC đích của frame đó sẽ là FF:FF:FF:FF:FF:FF. Với địa chỉ như vậy, mọi thiết bị đều nhận và xử lý gói quãng bá. GV: Từ Thanh Trí - CCNP- MCSE 195 I. MỘT SỐ KHÁI NIỆM  Là miền bao gồm tất cả các thiết bị LAN có thể nhận được frame quảng bá từ một host trong LAN đó.  Switch là một thiết bị lớp 2, khi switch nhận được Broadcast domain thì nó sẽ gửi ra tất cả các port của nó trừ port nhận gói vào. Mỗi thiết bị nhận được Broadcast domain đều phải xử lý thông tin nằm trong đó.  Router là thiết bị lớp 3, router không chuyển các gói quảng bá. Router được sử dụng để chia mạng thành nhiều miền đụng độ và nhiều miền quảng bá. GV: Từ Thanh Trí - CCNP- MCSE 196 I. MỘT SỐ KHÁI NIỆM VLAN – (Virtual Local Area Network)  Một VLAN là một tập hợp của các switchport nằm trong cùng một Broadcast domain. Các cổng trên Switch có thể được nhóm vào các VLAN khác nhau trên từng Switch hoặc trên nhiều Switch.  Khi có một gói tin Broadcast được gửi bởi một thiết bị nằm trong một VLAN sẽ được chuyển đến các thiết bị khác nằm trong cùng VLAN đó, broadcast sẽ không được forward đến các thiết bị trong VLAN khác. GV: Từ Thanh Trí - CCNP- MCSE 197 I. MỘT SỐ KHÁI NIỆM VLAN = Broadcast Domain = Logical Network (Subnet) GV: Từ Thanh Trí - CCNP- MCSE 198 I. MỘT SỐ KHÁI NIỆM Kết nối Trunk Thực tế: VLAN tổ chức trên nhiều Switch như vậy làm sao các Host thuộc cùng 1 VLAN nhưng nằm ở những switch khác switch có thể liên lạc với nhau??? Chúng ta có 2 cách để giải quyết vấn đề này: Dùng mỗi kết nối cho từng VLAN Kết nối Trunk GV: Từ Thanh Trí - CCNP- MCSE 199 I. MỘT SỐ KHÁI NIỆM Dùng mỗi kết nối cho từng VLAN (lãng phí) GV: Từ Thanh Trí - CCNP- MCSE 200 I. MỘT SỐ KHÁI NIỆM Có nghĩa là mỗi VLAN ở trên các Switch sẽ được kết nối lại bằng một đường kết nối. Theo mô hình trên ta thấy: Nếu PC_3 trong VLAN1 ở Switch_0 muốn liên lạc với PC_0 trong VLAN1 ở Switch_1, ta phải có 1 kết nối vật lý nối Switch_0 với Switch_1 và 2 Switchport kết nối này phải thuộc cùng VLAN1. Tương tự đối với VLAN2 và VLAN3, ta cần 2 kết nối vật lý như vậy với n VLAN được tạo ra tổng cộng ta phải dùng đến n dây nối để các thành viên trong cùng VLAN có thể giao tiếp được với nhau. Điều này gây ra sự lãng phí. GV: Từ Thanh Trí - CCNP- MCSE 201 I. MỘT SỐ KHÁI NIỆM Kết nối Trunk GV: Từ Thanh Trí - CCNP- MCSE 202 I. MỘT SỐ KHÁI NIỆM Theo như mô hình trên chúng ta chỉ dùng một dây nối Switch_0 với Switch_1, các thành viên trong cùng VLAN vẫn có thể giao tiếp với nhau. Đường dây như thế gọi là liên kết Trunk lớp 2(Switch). Mỗi thành viên trong cùng VLAN chỉ có thể thấy thành viên khác trong cùng VLAN với nó. Để PC_3 có thể giao tiếp với PC_1 hoặc PC_2(không thuộc cùng 1 VLAN), ta cần phải sử dụng thiết bị ở lớp 3 như Router hay Switch lớp 3( Core Switch). GV: Từ Thanh Trí - CCNP- MCSE 203 I. MỘT SỐ KHÁI NIỆM VLAN Trunking Protocol (VTP) VTP là giao thức hoạt động ở Layer 2 trong mô hình tham chiếu OSI. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng. GV: Từ Thanh Trí - CCNP- MCSE 204 I. GV: Từ Thanh Trí - CCNP- MCSE MỘT SỐ KHÁI NIỆM 205 I. MỘT SỐ KHÁI NIỆM Inter VLANs Routing Mỗi VLAN là một miền Broadcast. Do đó, mỗi Host trong VLAN chỉ liên lạc được với các Server và các máy khác trong cùng 1 VLAN. Nếu 1 host trong 1 VLAN muốn liên lạc với 1 host thuộc 1 VLAN khác thì nó phải thông qua thiết bị lớp 3 như là: Router Router trong cấu trúc VLAN thực hiện ngăn chặn quảng bá(Broadcast), bảo mật và quản lý các Traffic mạng. Switch layer 2 không thể chuyển mạch các traffic giữa các VLAN với nhau. Giao thông giữa các VLAN phải được định tuyến qua thiết bị layer 3 Router. Inter VLANs Routing: Giúp cho các host thuộc các VLAN khác nhau liên lạc được với nhau. GV: Từ Thanh Trí - CCNP- MCSE 206 I. GV: Từ Thanh Trí - CCNP- MCSE MỘT SỐ KHÁI NIỆM 207 I. GV: Từ Thanh Trí - CCNP- MCSE MỘT SỐ KHÁI NIỆM 208 I. MỘT SỐ KHÁI NIỆM STP (Spanning – Tree Protocol) Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng. Sau đó giao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một topology luận lý chứa loop-free. Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánh nối toàn bộ mạng lớp 2 Các nguyên nhân chính dẫn đến sự chậm trễ hoặc thậm chí “crash “ của switch :  Broadcast Storm  Multiple –frame copies  Instability MAC-address Table GV: Từ Thanh Trí - CCNP- MCSE 209 I. GV: Từ Thanh Trí - CCNP- MCSE MỘT SỐ KHÁI NIỆM 210 I. GV: Từ Thanh Trí - CCNP- MCSE MỘT SỐ KHÁI NIỆM 211 II. VLAN (Virtual - Local Area Network) Một VLAN là một tập hợp của các switchport nằm trong cùng một Broadcast domain. Các cổng trên Switch có thể được nhóm vào các VLAN khác nhau trên từng Switch hoặc trên nhiều Switch. Khi có một gói tin Broadcast được gửi bởi một thiết bị nằm trong một VLAN sẽ được chuyển đến các thiết bị khác nằm trong cùng VLAN đó, broadcast sẽ không được forward đến các thiết bị trong VLAN khác. VLAN cho phép người quản trị tổ chức mạng theo logic chứ không theo vật lý. GV: Từ Thanh Trí - CCNP- MCSE 212 II. VLAN (Virtual - Local Area Network) Ưu điểm của VLAN là:     Tăng khả năng bảo mật Thay đổi cấu hình LAN dễ dàng Di chuyển máy trạm trong LAN dễ dàng Thêm các máy trạm vào LAN dễ dàng GV: Từ Thanh Trí - CCNP- MCSE 213 II. VLAN (Virtual - Local Area Network) 1. Tạo VLAN Switch(config)# vlan vlan_id Switch(config-vlan)# name vlan_name Hoặc: Switch(config)# vlan vlan_id name vlan_name 2. Gán các port Switch vào VLAN Switch(config)# interface interface_id Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan id Hoặc: gán 1 dãy liên tiếp các port của switch vào VLAN Switch(config)# interface range fa0/1 - 8 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan id GV: Từ Thanh Trí - CCNP- MCSE 214 II. VLAN (Virtual - Local Area Network) Kiễm tra cấu hình: Switch# show Vlan Switch# show Vlan brief Switch# show Vlan id vlan-id Switch# show Vlan name vlan-name Switch# show interface Vlan x Switch# show interfaces interface switchport GV: Từ Thanh Trí - CCNP- MCSE 215 II. VLAN (Virtual - Local Area Network) Yêu cầu: - Cấu hình chia Switch_2 thành 3 VLAN độc lập nhau - Gán các port trên Switch vào VLAN và cấp IP cho VLAN GV: Từ Thanh Trí - CCNP- MCSE 216 III. VTP (VLAN TRUNKING PROTOCOL) Mục đích: VTP là giao thức hoạt động ở Layer 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn đồng nhất khi thêm, xóa , sửa thông tin về VLAN Hoạt động:  Server gởi VTP advertisement mỗi 5 phút hoặc khi có sự thay đổi xảy ra trong cấu hình VLAN.  Một VTP advertisement bao gồm: • • • • Revision – number VLAN name (tên VLAN) VLAN number (số hiệu VLAN) Thông tin về các switch có port gắn với mỗi VLAN (liên quan đến VTP pruning). GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL)  Một trong những thành phần quan trọng của VTP advertisement là tham số revision – number. Mỗi lần VTP server điều chỉnh thông tin VLAN, nó tăng revision – number lên 1, rồi sau đó VTP server mới gửi VTP advertisement đi. Khi một Switch nhận một advertisement với revision – number lớn hơn, nó sẽ cập nhật cấu hình VLAN. GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) VTP hoạt động ở một trong ba chế độ: Server-Client-Transparent  Create VLANs  Modify VLANs  Delete VLANs  Sends and forwards advertisements  Synchronizes  Saved in NVRAM  Cannot create, change, or delete VLANs  Sends and forwards advertisements  Synchronizes  Not Saved in NVRAM  Create local VLANs only  Modify local VLANs only  Delete local VLANs only  Forwards advertisements  Does not synchronize  Saved in NVRAM GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) Giải thích sơ đồ trên:  Switch ở chế độ VTP server có thể tạo, chỉnh sửa và xóa VLAN. VTP server lưu cấu hình VLAN trong NVRAM của nó. VTP Server gửi thông điệp ra tất cả các port trunk của nó  Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN. VTP Client có chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất cả các port trunk của nó. VTP Client không lưu cấu hình trong NVRAM mà chỉ đặt trên RAM vì nó có thể học cấu hình VLAN từ server. Do đó, chế độ client rất hữu dụng khi switch không có đủ bộ nhớ để lưu một lượng lớn thông tin VLAN GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) Giải thích sơ đồ trên:  Switch ở chế độ transparent sẽ nhận và chuyển tiếp (forward) các VTP update do các switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này. Nếu transparent switch nhận được thông tin cập nhật VTP nó cũng không cập nhật vào cơ sở dữ liệu của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng không gửi thông tin cập nhật cho các switch khác. Trên transparent switch chỉ có một việc duy nhất là chuyển tiếp thông điệp VTP. Switch hoạt động ở transparent-mode chỉ có thể tạo ra các VLAN cục bộ. Các VLAN này sẽ không được quảng bá đến các Switch khác. GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) 1. Thiết lập VTP mode, VTP domain và tạo các VLAN - Cấu hình VTP mode Switch(config)# vtp mode [client| transparent| server] - Thiết lập VTP domain Switch(config)# vtp domain domain_name - Tạo các VLAN Switch(config)# vlan vlan_id name vlan_name GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) 2. Gán các port Switch vào VLAN Switch(config)# interface interface_id ||hoặc(range fa0/1 - 5) Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan vlan id GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) 3. Cấu hình đường Trunk và cho phép tất cả các VLAN qua đường Trunk: Switch(config)# interface fa0/1 Switch(config-if)# switchport mode trunk Switch(config-if)#switchport trunk encapsulation dot1q (sw 2950) Switch(config-if)# switchport trunk allowed vlan all (mặc định trên switch 2950, 2960) GV Từ Thanh Trí: MCSE CCIE-Security III. VTP (VLAN TRUNKING PROTOCOL) 4. Kiểm tra cấu hình VTP Switch# show VLAN Switch# show int interface Switch# show vtp status Switch# show vtp counters (kiểm tra số lần gửi và nhận thông tin trunking) GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN GIỮA CÁC VLAN (Inter VLANs Routing) Mục đích:  Giúp các host thuộc các VLAN khác nhau liên lạc với nhau.(nhằm khắc phục sự cố các vấn đề kết nối phổ biến của VLAN)  Cần thiết bị layer 3 để thực hiện  Kết nối fa0/0 của Router với fa0/1 của Switch qua đường Trunk. GV Từ Thanh Trí: MCSE CCIE-Security IV. ĐỊNH TUYẾN GIỮA CÁC VLAN (Inter VLANs Routing) Describe the routing options between VLANs GV Từ Thanh Trí: MCSE CCIE-Security [...]... PHỤC MẬT KHẨU CHO ROUTER  Khôi phục mật khẩu cho Router (Password Recovery)  Thao tác trực tiếp trên Router (Admin)  Quá trình khởi động của Router đã được định trước Sau quá trình POST và nạp hệ điều hành IOS, router sẽ nạp cấu hình hoạt động trong NVRAM Các cấu hình này không chỉ chứa thông tin giao thức định tuyến, địa chỉ mà còn chứa mật khẩu của Router  Mật khẩu được phục hồi bằng cách bỏ qua... PHỤC MẬT KHẨU CHO ROUTER  Việc bỏ qua cấu hình được thực hiện bằng cách sửa đổi nội dung thanh ghi cấu hình (configuration register) router  Lúc này: Router sẽ không cấu hình chứa mật khẩu cần phục hồi  Khi đã vào được router, người dùng có thể xem mật khẩu trong NVRAM và có thể sử dụng, xóa hay thay đổi chúng  Thực hiện sửa đổi nội dung thanh ghi cấu hình 0x2102 -> 0x2142  Việc phục hồi mật khẩu(Password... II KHÔI PHỤC MẬT KHẨU CHO ROUTER  Bước thực hiện khôi phục mật khẩu cho Router Cisco 2800 Router#show version (configuration register is 0x2142(will be 0x2102 at next reload) Router#reload Chú ý: Router sẽ khởi động lại Nó sẽ lấy cấu hình từ NVRAM, mật khẩu của router bây giờ đã biết và bạn có thể truy cập vào privileged mode của router GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO... cài lại mật khẩu)  Thay đổi thanh ghi (0x2142 sang 0x2102)  Lưu lại cấu hình vừa cài đặt Lưu ý: Khôi phục mật khẩu chỉ có thể thực hiện trên terminal(PC) gắn trực tiếp với cổng console của router GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO ROUTER  Bước thực hiện khôi phục mật khẩu cho Router Cisco 2800  Tắt router và bật lại( Turn off / Turn on)  Bấm tổ hợp (Ctrl + Break) //Màn... configure terminal Router(config)#  Để trở lại mode trước đó, ta dùng lệnh exit Router# exit Router> GV Từ Thanh Trí: MCSE CCIE-Security I MỘT SỐ THAO TÁC CƠ BẢN  Đặt password cho Router Vì lý do bảo mật, ta sẽ đặt mật khẩu cho các mode cấu hình Điều này có nghĩa là mỗi khi đăng nhập vào một mode thì IOS sẽ yêu cầu chúng ta nhập vào password Nếu password đúng thì mới có thể vào mode này Chúng ta sẽ thực... Xem thông tin hệ điều hành (.bin) Router#Show history: Xem tất cả lệnh trong bộ nhớ(buffer) Router#Show ip interface brief Router#Show cdp: Xem thông tin CDP Router#ping : Kiễm tra kết nối Router#Show running-config // hiển thị cấu hình in RAM Router#Show start-config //hiển thị cấu hình in NVRAM Displays the current and saved configuration GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO... Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO ROUTER  Thực hiện: (Nối console vào router)  Tắt router và bật lại  Khởi động router, ngăn không cho router nạp cấu hình trong NVRAM (bằng cách thay đổi thanh ghi từ 0x2102 sang 0x2142  Reset lại router (lúc này router sử dụng thanh ghi 0x2142 để khởi động)  Đăng nhập vào router(Xem và cài lại mật khẩu)  Thay đổi thanh ghi (0x2142 sang... flash:config.old //đổi tên file config.text thành config.old Switch: boot //continue with the configuration dialog?[yes/no] //no để bỏ qua cấu hình GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO SWITCH  Khôi phục mật khẩu cho Switch (Password Recovery)  Vào privileged mode Switch# rename flash:config.old flash:config.text Switch# copy flash:config.text system:running-config //dùng lệnh show run... Nó sẽ lấy cấu hình từ NVRAM, mật khẩu của router bây giờ đã biết và bạn có thể truy cập vào privileged mode của router GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO SWITCH  Khôi phục mật khẩu cho Switch (Password Recovery)  Turn off / Turn on  Press mode button (Ấn giữ nút mode 3s) // Khi monitor hiện thông báo, rồi thả nút mode ra Switch: flash_init Switch: load_helper Switch: dir... Rommon 1>confreg 0x2142 Rommon 2>reset // router sẽ nhắc phải reset lại để thay đổi có tác dụng //không bị pass, do router không load từ NVRAM vào RAM GV Từ Thanh Trí: MCSE CCIE-Security II KHÔI PHỤC MẬT KHẨU CHO ROUTER  Chép cấu hình NVRAM vào RAM: Router#copy start run Router#show run (xem password hoặc đặt pass mới) Router#copy run start (lưu lại cấu hình)  Thay đổi thanh ghi:  Xem cấu hình thanh

Ngày đăng: 28/09/2015, 17:03

TỪ KHÓA LIÊN QUAN

w