Chương này sẽ cung cấp những thông tin và các câu lệnh có liên quan đến những chủ đề sau
www.ccna-4.blogspot.com www.ccna4u.tk CCNA LAB GUIDE Version 4.0 (Cisco Certified Network Associate) Tác giả: Dương Văn Toán Hà Nội - 12/10/2008 Mục lục Nội dung Trang Phần I Giới thiệu thiết bị Cisco Chương Các loại cáp loại kết nối Chương Giao diện Command-Line Interface Phần II Cấu hình Cisco Router 12 Chương Cấu hình Cisco Router 12 Phần III Định tuyến 23 Chương Giao thức định tuyến tĩnh 23 Chương Giao thức định tuyến RIP 27 Chương Giao thức định tuyến EIGRP 31 Chương Phần IV OSPF đơn vùng 38 Chuyển Mạch (Switching) 48 Chương Cấu hình Switch 48 Chương VLAN 56 Chương 10 VTP Inter-Vlan Routing 60 Chương 11 STP EtherChannel 73 Phần V Mở rộng mạng LAN 89 Chương 12 Triển khai Wireless LAN 89 Phần VI Quản trị mạng xử lý lỗi 111 Chương 13 Dự phịng khơi phục phần mềm Cisco IOS file cấu hình 111 Chương 14 Các bước khơi phục Mật Configuration Register 117 Chương 15 Giao thức CDP 123 Chương 16 Telnet SSH 124 Chương 17 Các câu lệnh Ping Traceroute 126 Chương 18 SNMP Syslog 129 Chương 19 Cơ xử lý lỗi 130 Phần VII Quản lý dịch vụ IP 135 Chương 20 Network Address Translation (NAT) 135 Chương 21 DHCP 142 Chương 22 Ipv6 148 Phần VIII WAN 158 Chương 23 HDLC PPP 158 Chương 24 Frame Relay 162 Phần IX Bảo mật mạng 171 Chương 25 Access Control List (ACL) 171 www.ccna-4.blogspot.com www.ccna4u.tk Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net Phần I – GIỚI THIỆU VỀ CÁC THIẾT BỊ CISCO Chương 1: Các loại cáp loại kết nối Chương 2: Giao diện Command-Line Chương 1: Các loại cáp loại kết nối Chương cung cấp thơng tin câu lệnh có liên quan đến chủ đề sau: - Kết nối Router Switch sử dụng cáp Rollover - Xác định thông số cài đặt PC để thực kết nối Router Switch - Tìm hiểu phương pháp cấu hình kết nối Lan khác - Xác định loại cáp Serial khác - Xác định loại cáp sử dụng để kết nối router switch đến thiết bị khác Kết nối Router Switch sử dụng cáp Rollover - Hình 1-1: Hiển thị phương pháp kết nối từ PC đến switch router thơng qua cáp Rollover Hình 1-1 Xác định thông số cài đặt PC để thực kết nối Router Switch - Hình 1-2 hiển thị hình mơ tả phương pháp cấu hình PC để kết nối đến router switch thông qua cáp Rollover Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net Hình 1-2 Các kết nối LAN - Bảng 1-1 hiển thị loại port khác loại kết nối khác thiết bị LAN Port Kết Loại Port Kết nối trực tiếp đến Cáp Ethernet RJ-45 Ethernet Switch RJ-45 T1/E1 RJ-48C/CA81A Mạng T1 E1 Rollover Console pin Computer COM Port Rollover AUX pin Modem RJ-45 BRI S/T RJ-48C/CA81A Thiết bị NT1 PINX RJ-45 BRI U WAN RJ-49C/CA11A Mạng ISDN RJ-45 nối Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 4 Các loại cáp Serial - Hình 1-3 hiển thị đầu cáp DB-60 cáp serial dùng để kết nối đến router 2500 - Hinh 1-4 hiển thị đầu cáp Smart Serial loại cáp serial dùng để kết nối đến Port Smart Serial router Các port smart serial tìm thấy modular router, ISR (x800), modular router cũ như: 1700 2600 - Hình 1-5 hiển thị đầu cáp DTE đực DTE cái, đầu cáp lại loại cáp serial - Thông thường máy xách tay ngày có port USB, khơng có port Serial Vì vậy, bạn cần trang bị thêm đầu nối chuyển đổi từ USB sang Serial (USB-to-Serial), hiển thị hình 1-6 Hình 1-3: Cáp Serial (2500) Hình 1-4: Cáp Smart Serial (1700, 1800, 2600, 2800) Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net Hình 1-5: Cáp V35 DTE DCE Hình 1-6: Đầu chuyển đổi từ USB sang Serial cho Labtop Phương pháp sử dụng loại cáp Serial - Bảng 1-2 mô tả cách để sử dụng loại cáp serial Điều quan trọng để chắn bạn cài đặt loại cáp Bảng 1-2: Phương pháp sử dụng loại cáp để kết nối thiết bị If Device A Has A: And Device B Has A: Cổng COM máy tính Cổng Console Then Use This Cable: Rollover Router/switch Card NIC máy tính Switch Created by: Dương Văn Tốn – CCNP, CCSP, MCSE, LPI level Cáp thẳng http://www.vnexperts.net Card NIC máy tính Card NIC máy tính Cáp chéo Cổng switch Cổng Ethernet Router Cáp thẳng Cổng switch Cổng switch Cáp chéo Cổng Ethernet Router Cổng Ethernet Router Cáp chéo Card NIC máy tính Cổng Ethernet Router Cáp chéo Cổng Serial Router Cổng Serial Router Cáp serial DCE/DTE - Bảng 1-3 danh sách vị trị PIN loại cáp: Thẳng, chéo, cáp Rollover Bảng 1-3: Vị trí PIN loại cáp khác Cáp thẳng Cáp chéo Cáp Rollover Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Pin – Pin Chương 2: Giao diện Command-Line Chương cung cấp thông tin câu lệnh có liên quan đến chủ đề sau: - Các câu lệnh tắt - Sử dụng phím Tab để hồn thành câu lệnh - Sử dụng phím “ ? “ để trợ giúp - Câu lệnh: enable - Câu lệnh: exit - Câu lệnh: disable - Câu lệnh: logout - Chế độ cấu hình Setup - Phím trợ giúp - Các câu lệnh thực thi - Câu lệnh: Show Các câu lệnh tắt - Để sử dụng câu lệnh có hiệu hơn, phần mềm Cisco IOS có số câu lệnh phép nhập tắt Mặc dù phương pháp lại sử dụng nhiều thực tế làm việc với phần mềm Cisco IOS, bạn tiến hành thi Cisco, chắn bạn cần phải câu lệnh đầy đủ Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net Router> enable = Router> enab = Các bạn nhập vào câu lệnh Router> en đầy đủ câu lệnh tắt phần mềm Cisco IOS thực thi Nhưng bạn cần phải lưu ý điều câu lệnh tắt phải nhập vào Router# configure terminal Cũng tương tự câu lệnh : Router# config t Sử dụng phím Tab để hoàn thành câu lệnh : - Khi bạn nhập vào câu lệnh, bạn sử dụng phím Tab bàn phím để hồn thành câu lệnh Nhập vào vài ký tự câu lệnh nhấn phím Tab Nếu ký tự bạn nhập vào câu lệnh thì, ký tự lại câu lệnh hiển thị hình Router# sh -> nhấn phím Tab = Router# show Sử dụng phím ? để trợ giúp - Những ví dụ bảng hướng dẫn phương pháp sử dụng phím ? để trợ giúp bạn hiển thị tham số cịn lại câu lệnh Router# ? Hiển thị tất câu lệnh có khả thực thi chế độ thời (chế độ Privileged) Router# c? Hiển thị tất câu lệnh ký tự c Router# cl? Hiển thị tất câu lệnh ký tự cl Router# clock Nhắc nhở bạn nhiều tham số khác % Imcomplete command câu lệnh mà cần phải nhập vào Router# clock ? Hiển thị tất câu lệnh phụ câu Set lệnh (trong trường hợp này, Set, dùng để đặt tham số ngày tháng, thời gian) Router# clock set 19:50:00 14 July Nhấn phím Enter để xác nhận lại thời 2007 ? gian ngày tháng cấu hình Router# Khơng có thơng báo lỗi đưa có nghĩa câu lệnh nhập vào thành cơng Created by: Dương Văn Tốn – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net Câu lệnh Enable Router> enable Chuyển người dùng từ chế độ cấu hình Router# User vào chế độ cấu hình Privileged Câu lệnh Exit Router# exit Thốt khỏi chế độ cấu hình Router Hoặc Router> exit Router(config-if)# exit Chuyển người dùng khỏi cấp Router(config)# độ cấu hình Router(config)# exit Chuyển người dùng thoát khỏi cấp Router# độ cấu hình Câu lệnh Disable Router# disable Chuyển người dùng từ chế độ cấu hình Router> Privileged ngồi chế độ cấu hình User Câu lệnh Logout Router# logout Thực thi chức giống câu lệnh exit Chế độ cấu hình Setup - Chế độ cấu hình Setup chế độ cấu hình khởi động tự động q trình khởi động router khơng tìm thấy file startup-config Router# setup Vào chế độ cấu hình Setup từ giao diện Command Line * ý: Bạn khơng thể sử dụng chế độ cấu hình Setup để cấu hình tồn tham số router Ở chế độ bạn cấu hình cho router Cho ví dụ, bạn cấu hình RIPv1 IGRP, khơng thể cấu hình giao thức định tuyến OSPF EIGRP Bạn tạo ACL enable NAT hoạt động Bạn gán địa IP cho Interface, gán cho subinterface Tóm lại, chế độ cấu hình Setup tính cấu hình router có giới hạn Cisco khơng khuyến khích bạn cấu hình tham số router chế độ Setup Thay vào đó, bạn sử dụng giao diện Command-Line (CLI), bạn cấu hình đầy đủ tính router từ giao diện này: Would you like to enter the initial configuration dialog? [yes] : no Would you like to enable autoinstall? [yes] : no Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 9 Phím trợ giúp - Các tổ hợp phím bảng trợ giúp bạn trình chỉnh sửa câu lệnh Cisco IOS Bởi bạn cần thực thi lại câu lệnh nhiệm vụ làm vào thời điểm trước, phần mềm Cisco IOS cung cấp cho bạn tổ hợp phím để bạn xử lý câu lệnh cách hiệu Router#config t Hiển thị nơi mà bạn nhập câu lệnh bị ^ sai % Invalid input detected at ‘^’ marker Router#config t Router(config)# Ctrl – A Di chuyển trỏ đầu dòng Esc – B Di chuyển trỏ trước từ Ctrl – B Di chuyển trỏ trước ký tự Ctrl – E Di chuyển trỏ cuối dòng Ctrl – F Di chuyển trỏ sau ký tự Esc – F Di chuyển trỏ sau từ Ctrl – Z Di chuyển trỏ từ chế độ cấu hình trở chế độ cấu hình Privileged Router# terminal no editing Tắt khả sử dụng phím tắt Router# terminal editing Bật lại khả sử dụng phím tắt sử dụng tổ hợp phím q trình xử dụng câu lệnh 10 Các câu lệnh thực thi (History command) Ctrl – P Để gọi lại câu lệnh nằm đệm history, câu lệnh thực thi gần Ctrl – N Trở câu lệnh vừa thực thi đệm history sau gọi lại câu lệnh với tổ hợp phím Ctrl – P Terminal history size_number Cấu hình dịng lệnh phép lưu vào đệm history phép bạn gọi lại câu lệnh (lớn 256 câu lệnh) Router# terminal history size 25 Router lưu tối đa 25 câu lệnh thực thi vào đệm history Router# no terminal history size 25 Cấu hình router trở mặc định lưu Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 10 Hình 24-1 * Chú ý : Trong sơ đồ sử dụng thiết bị Adtran Atlas 550 để giả lập đám mây Frame Relay Ba port vật lý (1/1, 2/1, 2/2) sử dụng để kết nối đến ba thiết bị thành phố Edmonton Router router>enable Chuyển cấu hình vào chế độ Privileged router#configure terminal Chuyển cấu hình vào chế độ Global Configuration router(config)#host Edmonton Đặt tên router Edmonton Edmonton(config)#no ip domainlookup Tắt tính phân dải câu lệnh người dùng nhập sai Edmonton(config)#enable secret Cisco Đặt mật enable secret cisco Edmonton(config)#line console Chuyển cấu hình vào chế độ Line console Edmonton(config-line)#login Cho phép router yêu cầu người dùng xác thực truy cập router thông qua port Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 166 console Edmonton(config-line)#password Class Edmonton(config-line)#logging Synchronous Đặt mật truy cập console Class Không cho phép ngắt câu lệnh thông điệp loggin hiển thị hình console Edmonton(config-line)#exit Trở chế độ Global Configuration Edmonton(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface Edmonton(config-if)#ip address 192.168.20.1 255.255.255.0 Gán địa IP subnet mask cho Edmonton(config-if)#no shutdown Bật interface Edmonton(config-if)#interface serial 0/0/0 Chuyển cấu hình vào chế độ interface Edmonton(config-if)#encapsulation frame-relay Cho phép đóng gói liệu giao Edmonton(config-if)#no shutdown Bật interface Edmonton(config-if)#interface serial 0/0/0.12 point-to-point Tạo subinterface loại poin – to –point với Edmonton(configsubif)# description link to Winnipeg router DLCI 12 Edmonton(config-subif)#ip address 192.168.1.1 255.255.255.0 Cấu hình mơ tả cho subinterface Edmonton(config-subif)#framerelay interface-dlci 12 point-topoint Edmonton(config-subif)#interface serial 0/0/0.21 Edmonton(configsubif)# description link to Calgary router DLCI 21 Edmonton(config-subif)#ip address 192.168.3.1 255.255.255.0 Gán giá trị DLCI local cho interface Edmonton(config-subif)#framerelay interface dlci 21 Edmonton(config-subif)#exit Gán giá trị DLCI local cho subinterface Trở chế độ interface configuration Edmonton(config-if)#exit Trở chế độ Global Configuration Edmonton(config)#router eigrp 100 Cho phép router chạy giao thức định fa0/0 interface fa0/0 s0/0/0 thức Frame Relay số 12 Gán địa IP subnet mask cho subinterface Tạo subinterface với số 21 Cấu hình mô tả cho subinterface Gán địa IP subnet mask cho subinterface tuyến EIGRP với AS 100 Edmonton(config-router)#network 192.168.1.0 Quảng bá mạng kết nối trực tiếp vào Edmonton(config-router)#network 192.168.3.0 Quảng bá mạng kết nối trực tiếp vào Edmonton(config-router)#network 192.168.20.0 Quảng bá mạng kết nối trực tiếp vào interface router interface router Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 167 interface router Edmonton(config-router)# ctrl – z Trở chế độ Privileged Edmonton#copy running-config startup-config Lưu file cấu hình chạy RAM vào NVRAM Winnipeg Router router>enable Chuyển cấu hình vào chế độ Privileged router#configure terminal Chuyển cấu hình vào chế độ Global Configuration router(config)#host Winnipeg Đặt tên router Winnipeg Winnipeg(config)#no ip domainlookup Tắt tính phân dải câu lệnh người dùng nhập sai Winnipeg(config)#enable secret Cisco Đặt mật enable secret cisco Winnipeg(config)#line console Chuyển cấu hình vào chế độ Line console Winnipeg(config-line)#login Cho phép router yêu cầu người dùng xác thực truy cập router thông qua port console Winnipeg(config-line)#password Class Winnipeg(config-line)#logging Synchronous Đặt mật truy cập console Class Không cho phép ngắt câu lệnh thông điệp loggin hiển thị hình console Winnipeg(config-line)#exit Trở chế độ Global Configuration Winnipeg(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface Winnipeg(config-if)#ip address 192.168.30.1 255.255.255.0 Gán địa IP subnet mask cho Winnipeg(config-if)#no shutdown Bật interface Winnipeg(config-if)#interface serial 0/0/0 Chuyển cấu hình vào chế độ interface Winnipeg(config-if)#encapsulation frame-relay Cho phép đóng gói liệu giao Winnipeg(config-if)#no shutdown Bật interface Winnipeg(config-if)#interface serial 0/0/0.11 point-to-point Tạo subinterface loại poin – to –point với Winnipeg(configsubif)# description link to Edmonton router DLCI 11 Winnipeg(config-subif)#ip address 192.168.1.2 255.255.255.0 Cấu hình mơ tả cho subinterface fa0/0 interface fa0/0 s0/0/0 thức Frame Relay số 11 Gán địa IP subnet mask cho subinterface Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 168 Winnipeg(config-subif)#framerelay interface-dlci 11 Winnipeg(config-subif)#interface s 0/0.21 point-to-point Winnipeg(configsubif)# description link to Calgary router DLCI 21 Winnipeg(config-subif)#ip address 192.168.4.2 255.255.255.0 Gán giá trị DLCI local cho interface Winnipeg(config-subif)#framerelay interface-dlci 21 Winnipeg(config-subif)#exit Gán giá trị DLCI local cho subinterface Winnipeg(config-if)#exit Trở chế độ Global Configuration Winnipeg(config)#router eigrp 100 Cho phép router chạy giao thức định Tạo subinterface với số 21 Cấu hình mơ tả cho subinterface Gán địa IP subnet mask cho subinterface Trở chế độ interface configuration tuyến EIGRP với AS 100 Winnipeg(config-router)#network 192.168.1.0 Quảng bá mạng kết nối trực tiếp vào Winnipeg(config-router)#network 192.168.4.0 Quảng bá mạng kết nối trực tiếp vào Winnipeg(config-router)#network 192.168.30.0 Quảng bá mạng kết nối trực tiếp vào Winnipeg(config-router)# ctrl -z Trở chế độ Privileged Winnipeg#copy running-config startup-config Lưu file cấu hình chạy RAM vào interface router interface router interface router NVRAM Calgary Router router>enable Chuyển cấu hình vào chế độ Privileged router#configure terminal Chuyển cấu hình vào chế độ Global Configuration router(config)#host Calgary Đặt tên router Calgary Calgary(config)#no ip domainlookup Tắt tính phân dải câu lệnh người dùng nhập sai Calgary(config)#enable secret Cisco Đặt mật enable secret cisco Calgary(config)#line console Chuyển cấu hình vào chế độ Line console Calgary(config-line)#login Cho phép router yêu cầu người dùng xác thực truy cập router thông qua port console Calgary(config-line)#password Class Calgary(config-line)#logging Synchronous Đặt mật truy cập console Class Không cho phép ngắt câu lệnh thông điệp loggin hiển thị hình console Created by: Dương Văn Tốn – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 169 Calgary(config-line)#exit Trở chế độ Global Configuration Calgary(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface Calgary(config-if)#ip address 192.168.40.1 255.255.255.0 Gán địa IP subnet mask cho Calgary(config-if)#no shutdown Bật interface Calgary(config-if)#interface serial 0/0/0 Chuyển cấu hình vào chế độ interface Calgary(config-if)#encapsulation frame-relay Cho phép đóng gói liệu giao Calgary(config-if)#no shutdown Bật interface Calgary(config-if)#int s0/0/0.11 point-to-point Tạo subinterface loại poin – to –point với Calgary(config-subif)#description link to Edmonton router DLCI 11 Calgary(config-subif)#ip address 192.168.3.2 255.255.255.0 Cấu hình mơ tả cho subinterface Calgary(config-subif)#frame-relay interface-dlci 11 point-to-point Calgary(config-subif)#interface serial 0/0/0.12 Calgary(config-subif)#description link to Winnipeg router DLCI 12 Calgary(config-subif)#ip address 192.168.4.1 255.255.255.0 Gán giá trị DLCI local cho interface Calgary(config-subif)#frame-relay interface-dlci 12 Calgary(config-subif)#exit Gán giá trị DLCI local cho subinterface Calgary(config-if)#exit Trở chế độ Global Configuration Calgary(config)#router eigrp 100 Cho phép router chạy giao thức định fa0/0 interface fa0/0 s0/0/0 thức Frame Relay số 11 Gán địa IP subnet mask cho subinterface Tạo subinterface với số 12 Cấu hình mơ tả cho subinterface Gán địa IP subnet mask cho subinterface Trở chế độ interface configuration tuyến EIGRP với AS 100 Calgary(config-router)#network 192.168.3.0 Quảng bá mạng kết nối trực tiếp vào Calgary(config-router)#network 192.168.4.0 Quảng bá mạng kết nối trực tiếp vào Calgary(config-router)#network 192.168.40.0 Quảng bá mạng kết nối trực tiếp vào Calgary(config-router)# ctrl -z Trở chế độ Privileged Calgary#copy running-config startup-config Lưu file cấu hình chạy RAM vào interface router interface router interface router NVRAM Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 170 Phần IX: BẢO MẬT MẠNG Chương 25: Access Control List Chương 25: Access Control List Chương cung cấp thông tin câu lệnh có liên quan đến chủ đề sau: - Access List number - Các từ khóa ACL - Tạo ACL standard - Gán ACL standard cho interface - Kiểm tra ACL - Xóa ACL - Tạo ACL extended - Gán ACL extended cho interface - Từ khóa established (tùy chọn) - Tạo ACL named - Sử dụng sequence number ACL named - Xóa câu lệnh ACL named sử dụng sequence number - Chú ý với sequence number - Tích hợp comments cho tồn ACL - Sử dụng ACL để hạn chế truy cập router thông qua telnet - Cấu hình ví dụ: ACL Access List numbers 1–99 or 1300–1999 Standard IP 100–199 or 2000–2699 Extended IP 600–699 AppleTalk 800–899 IPX 900–999 Extended IPX 1000–1099 IPX Service Advertising Protocol Các từ khóa ACL Any Được sử dụng để thay cho 0.0.0.0 255.255.255.255, trường hợp Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 171 tương ứng với tất địa mà ACL thực so sánh Host Được sử dụng để thay cho 0.0.0.0, trường hợp tương ứng với địa IP Tạo ACL Standard Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255 Tất gói tin có địa IP nguồn access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 172.16.x.x phép truyền tiếp 1300 đến 1999, sử dụng cho ACL standard Permit Các gói tin tương ứng với câu lệnh cho phép 172.16.0.0 Địa IP nguồn so sánh 0.0.255.255 Wildcard mask Router(config)#access-list host 172.17.0.1 10 deny Tất gói tin có địa IP nguồn 172.17.0.1 phép truyền tiếp access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 1300 đến 1999, sử dụng cho ACL standard Deny Các gói tin tương ứng với câu lệnh bị chặn lại Host Từ khóa 172.17.0.1 Chỉ địa host Router(config)#access-list 10 permit any Tất gói tin tất mạng phép truyền tiếp access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 1300 đến 1999, sử dụng cho ACL standard Permit Các gói tin tương ứng với câu lệnh cho phép any Từ khóa tương ứng với tất địa IP Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 172 Gán ACL Standard cho interface Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Router(config-if)#ip access-group 10 in Câu lệnh sử dụng để gán ACL 10 vào interface fa0/0 Những gói tin vào router thông qua interface fa0/0 kiểm tra * Chú ý: - Access list gán vào interface theo hai hướng: hướng vào (dùng từ khóa in) hướng (dùng từ khóa out) - Gán ACL standard vào vị trí gần mạng đích thiết bị đích Kiểm tra ACL Router#show ip interface Hiển thị tất ACL gán vào interface Router#show access-lists Hiển thị nội dung tất ACL router Router#show access-list access-list- Hiển thị nội dung ACL có số number câu lệnh Router#show access-list name Hiển thị nội dung ACL có tên câu lệnh Router#show run Hiển thị file cấu hình chạy RAM Xóa ACL Router(config)#no access-list 10 Xóa bỏ ACL có số 10 Tạo ACL Extended Router(config)#access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 80 Các gói tin HTTP có địa IP nguồn access-list Câu lệnh ACL 110 Chỉ số nằm khoảng từ 100 đến 172.16.0.x cho phép truyền đến mạng đích 192.168.100.x 199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP Permit Những gói tin tương ứng với câu lệnh cho phép Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 173 Tcp Giao thức sử dụng phải TCP 172.16.0.0 Địa IP nguồn sử dụng để so sánh 0.0.0.255 Wildcard mask địa IP nguồn 192.168.100.0 Địa IP đích dùng để so sánh 0.0.0.255 Wildcard mask địa IP đích Eq Tốn tử 80 Port 80, dùng cho lưu lượng HTTP Router(config)#access-list 110 tcp any 192.168.100.7 0.0.0.0 eq 23 deny Các gói tin Telnet có địa IP nguồn bị chặn lại chúng truy cập đến đích 192.168.100.7 access-list Câu lệnh ACL 110 Chỉ số nằm khoảng từ 100 đến 199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP Deny Những gói tin tương ứng với câu lệnh bị từ chối Tcp Giao thức sử dụng TCP Any Từ khóa tương ứng với tất địa mạng 192.168.100.7 Là địa IP đích 0.0.0.0 Wildcard mask đích Eq Tốn từ 23 Port 23, port ứng dụng telnet Gán ACL extended cho interface Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 110 out Chuyển cấu hình vào chế độ interface fa0/0 Đồng thời gán ACL 110 vào interface theo chiều out Những gói tin khỏi interface fa0/0 kiểm tra * Chú ý: - Access list gán vào interface theo hai hướng: hướng vào (dùng từ khóa in) hướng (dùng từ khóa out) - Duy access list gán cho interface, theo hướng - Gán ACL extended vị trí gần mạng nguồn thiết bị nguồn Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 174 Từ khóa established (tùy chọn) Router(config)#access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 80 established Cho biết kết nối thiết lập * Chú ý: - Câu lệnh kiểm tra tương ứng TCP datagram có bit ACK RST gán - Từ khóa established làm việc cho TCP, cịn UDP khơng 10 Tạo ACL named Router(config)#ip access-list extended Serveraccess Tạo ACL extended tên seraccess chuyển cấu hình vào chế độ ACL configuration Router(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Cho phép gói tin mail từ tất Router(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Cho phép gói tin Domain Name Router(config-ext-nacl)#deny ip any any log Không cho phép tất gói tin từ các địa nguồn đến host có địa 131.108.101.99 System (DNS) từ tất địa nguồn đến địa đích 131.108.101.99 mạng nguồn đến tất mạng đích Nếu gói tin bị chặn lại phép đưa log Router(config-ext-nacl)#exit Trở chế độ cấu hình Global Configuration Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group serveraccess out Chuyển cấu hình vào chế độ interface fa0/0 Gán ACL serveaccess vào interface fa0/0 theo chiều 11 Sử dụng Sequence Number ACL named Router(config)#ip access-list extended serveraccess2 Tạo ACL extended tên Router(config-ext-nacl)#10 permit tcp any host 131.108.101.99 eq smtp Sử dụng giá trị sequence number Router(config-ext-nacl)#20 permit udp any host 131.108.101.99 eq domain Router(config-ext-nacl)#30 deny ip any Sử dụng giá trị sequence number serveraccess2 10 cho dòng lệnh 20 cho dòng lệnh Sử dụng giá trị sequence number Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 175 any log 30 cho dịng lệnh Router(config-ext-nacl)#exit Trở chế độ cấu hình Global Configuration Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Router(config-if)#ip access-group serveraccess2 out Gán Router(config-if)#exit Trở ACL tên serveraccess2 vào interface fa0/0 theo chiều chế độ cấu hình hình vào ACL Global Configuration Router(config)#ip access-list extended serveraccess2 Chuyển cấu tên Router(config-ext-nacl)#25 permit tcp any host 131.108.101.99 eq ftp Router(config-ext-nacl)#exit Sử dụng giá trị sequence number serveraccess2 25 cho dòng lệnh Trở chế độ cấu hình Global Configuration * Chú ý: - Sử dụng Sequence Number cho phép bạn dễ dàng sửa câu lệnh ACL named Trong ví dụ sử dụng số 10, 20, 30 cho dòng lệnh ACL - Tham số sequence-number phép cấu hình phiên phần mềm Cisco IOS 12.2 trở lên 13 Xóa câu lệnh ACL named sử dụng sequence number Router(config)#ip access-list extended serveraccess2 Chuyển cấu hình vào chế độ ACL Router(config-ext-nacl)#no 20 Xóa câu lệnh có giá trị Sequence number serveraccess2 20 Router(config-ext-nacl)#exit Trở chế độ cấu hình Global Configuration 14 Những ý sử dụng Sequence Number - Sequence Number khởi tạo từ giá trị 10 tăng nên 10 cho dòng lệnh ACL named - Nếu bạn quên không gán giá trị Sequence Number trước câu lệnh, câu lệnh gán tự động vào cuối ACL - Sequence Number thay đổi router router khởi động để phản ánh khả tăng 10 policy Nếu ACL bạn có số 10, 20, 30, 40, 50 60 ACL khởi động lại số trở thành 10, 20, 30, 40, 50, 60, 70 Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 176 - Sequence Number khơng thể nhìn thấy bạn sử dụng câu lệnh Router# show running-config Router# show startup-config Để nhìn thấy giá trị Sequence Number, bạn sử dụng câu lệnh sau: Router#show Router#show Router#show Router#show access-lists access-lists list name ip access-list ip access-list list name 15 Tích hợp comments cho toàn ACL Router(config)#access-list 10 remark only Jones has access Với từ khóa remark cho phép bạn Router(config)#access-list 10 permit 172.16.100.119 Host có địa IP 172.16.100.119 tích hợp thêm ghi (giới hạn 100 ký tự) cho phép truyền liệu đến mạng khác Router(config)#ip access-list extended Telnetaccess Tạo ACL extended tên Router(config-ext-nacl)#remark not let Smith have telnet Với từ khóa remark cho phép bạn Router(config-ext-nacl)#deny tcp host 172.16.100.153 any eq telnet Host có địa IP 172.16.100.153 telnetaccess tích hợp thêm ghi (giới hạn 100 ký tự) bị từ chối thực telnet đến mạng khác * Chú ý: - Bạn sử dụng từ khóa remark với ACL standard, ACL extended ACL named - Bạn sử dụng từ khóa remark trước sau câu lệnh permit deny 16 Sử dụng ACL để hạn chế truy cập router thông qua telnet Router(config)#access-list permit host 172.16.10.2 Cho phép host có địa IP Router(config)#access-list permit 172.16.20.0 0.0.0.255 Cho phép host nằm mạng 172.16.10.2 telnet vào router 172.16.20.x telnet vào router Mặc định có câu lệnh deny all cuối ACL tạo Router(config)#line vty Chuyển cấu hình vào chế độ line vty Router(config-line)#access-class in Gán ACL vào chế độ line vty theo chiều vào router Khi gói tin telnet đến router kiểm Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 177 tra * Chú ý: Khi cấu hình hạn chế truy cập vào router thơng qua telnet, sử dụng câu lệnh access-class thay sử dụng câu lệnh access-group 17 Ví dụ: cấu hình ACL - Hình 25-1 sơ đồ mạng sử dụng để cấu hình ACL, câu lệnh sử dụng ví dụ nằm phạm vi chương Hình 25-1 17.1 Ví dụ 1: Viết ACL để chặn không cho phép mạng 10.0 truy cập đến mạng 40.0 cho phép ngược lại RedDeer(config)#access-list 10 deny 172.16.10.0 0.0.0.255 Tạo ACL standard để không cho phép RedDeer(config)#access-list 10 permit Dùng câu lệnh để làm tác dụng mạng 172.16.10.0 Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 178 any câu lệnh ẩn deny all RedDeer(config)#interface Chuyển cấu hình vào chế độ interface fastethernet 0/0 fa0/0 RedDeer(config)#ip access-group 10 out Gán ACL 10 vào interface fa0/0 theo chiều 17.2 Ví dụ 2: Viết ACL khơng cho phép host 10.5 truy cập đến host 50.7 ngược lại cho phép Edmonton(config)#access list 115 deny ip host 172.16.10.5 host 172.16.50.7 Edmonton(config)#access list Tạo ACL extended để không cho phép host 172.16.10.5 truy cập đến host 172.16.50.7 tất giao thức 115 Dùng câu lệnh để làm tác dụng permit ip any any câu lệnh ẩn deny all Edmonton(config)#interface Chuyển cấu hình vào chế độ interface fastethernet 0/0 fa0/0 Edmonton(config)#ip access-group 115 in Gán ACL 115 vào interface fa0/0 theo chiều vào 17.3 Ví dụ 3: Viết ACL phép host 10.5 Telnet đến router Red Deer Các host khác RedDeer(config)#access-list 20 permit host 172.16.10.5 Tạo RedDeer(config)#line vty Chuyển cấu hình vào chế độ line vty RedDeer(config-line)#access-class 20 ACL 20 phép host 172.16.10.5 sử dụng tất giao thức để truyền Gán ACL 20 vào line vty thel chiều in in 17.4 Ví dụ 4: Viết ACL named phép host 20.163 telnet đến host 70.2 Nhưng khơng có host mạng 20.0 telnet đến host 70.2 Ngoài host nằm mạng khác truy cập đến host 70.2 sử dụng giao thức khác Calgary(config)#ip access-list extended Serveraccess Tạo ACL extended tên Calgary(config-ext-nacl)#10 permit tcp host 172.16.20.163 host 172.16.70.2 eq Cho phép host 172.16.20.163 serveraccess telnet đến host 172.16.70.2 telnet Calgary(config-ext-nacl)#20 deny tcp 172.16.20.0 0.0.0.255 host 172.16.70.2 eq telnet Không cho phép host khác nằm mạng 172.16.20.0 telnet đến host 172.16.70.2 Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 179 Calgary(config-ext-nacl)#30 permit ip any any Dùng câu lệnh để làm tác dụng Calgary(config-ext-nacl)#exit Trở chế độ Global Configuration Calgary(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface Calgary(config)#ip access-group serveraccess out Gán ACL tên serveraccess vào câu lệnh ẩn deny all fa0/0 interface fa0/0 theo chiều 17.5 Ví dụ 5: Viết ACL để host từ 50.1 đến 50.63 không truy cập web đến host 80.16 Những host từ 50.64 đến 50.254 cho phép RedDeer(config)#access-list 101 deny tcp 172.16.50.0 0.0.0.63 host 172.16.80.16 eq 80 Tạo ACL để chặn lưu lượng HTTP từ mạng 172.16.50.0 0.0.0.63 đến host 172.16.80.16 RedDeer(config)#access-list 101 Dùng câu lệnh để làm tác dụng permit ip any any câu lệnh ẩn deny all RedDeer(config)#interface Chuyển cấu hình vào chế độ interface fastethernet 0/0 fa0/0 RedDeer(config)#ip access-group 101 Gán ACL 101 vào interface fa0/0 theo in chiều vào *******************THE END******************** Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level http://www.vnexperts.net 180 ... Router(config-router)# version Giao thức định tuyến sử dụng để nhận gửi gói tin Ripv2 Router(config-router)# version Giao thức định tuyến sử dụng để nhận gửi gói tin Ripv1 Router(config-if)# ip rip send version. .. nhận gói tin version Ripv1 qua interface Router(config-if)# ip rip receive Router nhận gói tin version Ripv2 qua interface Router(config-if)# ip rip receive Router nhận gói tin Ripv1 version Ripv2... gói tin Ripv1 qua interface Router(config-if)# ip rip send version Router gửi gói tin Ripv2 qua interface Router(config-if)# ip rip send version Router gửi gói tin Ripv1 Created by: Dương Văn Toán