CÔNG TY CỔ PHẦN PHÁT TRIỂN ĐẦU TƯ CÔNG NGHỆ FPT -*** - TÀI LIỆU ĐÀO TẠO THỰC HÀNH CẤU HÌNH CISCO ROUTER/SWITCH LAYER GÓI THẦU: TRIỂN KHAI MỞ RỘNG HẠ TẦNG MẠNG TÍCH HỢP ĐA DỊCH VỤ CỤC CÔNG NGHỆ TIN HỌC NGHIỆP VỤ TỔNG CỤC KỸ THUẬT – BỘ CÔNG AN Hà nội, tháng năm 2007 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ I GIỚI THIỆU II CÁC BÀI THỰC HÀNH CẤU HÌNH CISCO ROUTER CĂN BẢN .6 II.1 Bài LAB 1: Thực hành login vào Cisco Router lần II.1.1 Chuẩn bị thiết bị thực hành II.1.2 Bắt đầu thực hành làm quen với mức cấu hình Router II.1.2.1 Chế độ Setup Mode II.1.2.2 Chế độ User Mode II.1.2.3 Chế độ Privileged Mode II.1.2.4 Chế độ Global Configuration Mode .10 II.1.3 Thực hành cấu hình khai báo tham số cho Router 10 II.1.3.1 Đặt tên cho thiết bị Router 10 II.1.3.2 Khai báo tham số cho cổng (interface) thiết bị Router 11 II.1.3.3 Kiểm tra trạng thái cổng (interface) thiết bị Router 11 II.1.3.4 Kiểm tra tất cấu hình khai báo thiết bị Router 12 II.1.3.5 Khai báo địa IP thiết bị máy tính bạn 13 II.1.3.6 Kiểm tra kết nối IP từ máy tính tới Router ngược lại .14 II.1.3.7 Lưu trữ hệ điều hành cấu hình Router vào máy tính 15 II.1.3.8 Kích hoạt thức CDP-Cisco Discovery Protocol Router 18 II.1.4 Ghi lại (save) cấu hình khai báo Router 19 II.2 Bài LAB 2: Thực hành cấu hình định tuyến tĩnh 20 II.2.1 Chuẩn bị thiết bị thực hành 20 II.2.2 Thực hành cấu hình định tuyến tĩnh .21 II.2.2.1 Khai báo địa IP cho thiết bị Router máy tính .21 II.2.2.2 Cấu hình định tuyến tĩnh 21 II.2.2.3 Kiểm tra hoạt động bảng định tuyến tĩnh 22 II.2.2.4 Cấu hình định tuyến tĩnh mặc định- default route 23 II.3 Bài LAB 3: Thực hành cấu hình định tuyến động RIP v2 26 II.3.1 Chuẩn bị thiết bị thực hành 26 II.3.2 Thực hành cấu hình định tuyến động RIP 27 II.3.2.1 Khai báo địa IP cho thiết bị Router máy tính .27 II.3.2.2 Cấu hình định tuyến động RIP 27 II.3.2.3 Kiểm tra hoạt động định tuyến động RIP 28 II.3.2.4 Kiểm tra bảng sơ đồ định tuyến động RIP .28 II.4 Bài LAB 4: Thực hành cấu hình định tuyến động EIGRP 30 II.4.1 Chuẩn bị thiết bị thực hành 30 II.4.2 Thực hành cấu hình định tuyến động EIGRP 31 II.4.2.1 Khai báo địa IP cho thiết bị Router máy tính .31 II.4.2.2 Cấu hình định tuyến động EIGRP 31 II.4.2.3 Kiểm tra hoạt động định tuyến động EIGRP .32 II.4.2.4 Kiểm tra bảng thông tin hàng xóm 32 II.4.2.5 Kiểm tra hình trạng mạng định tuyến động EIGRP 33 II.4.2.6 Kiểm tra bảng sơ đồ định tuyến động EIGRP 33 II.5 Bài LAB 5: Thực hành cấu hình định tuyến động OSPF 35 II.5.1 Chuẩn bị thiết bị thực hành 35 II.5.2 Thực hành cấu hình định tuyến động OSPF 35 II.5.2.1 Khai báo địa IP cho thiết bị Router máy tính .35 Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ II.5.2.2 Cấu hình định tuyến động OSPF 36 II.5.2.3 Kiểm tra hoạt động định tuyến động OSPF .37 II.5.2.4 Kiểm tra bảng thông tin hàng xóm 37 II.5.2.5 Kiểm tra bảng sơ đồ định tuyến động OSPF 38 III CÁC BÀI THỰC HÀNH CẤU HÌNH CISCO SWITCH CĂN BẢN 40 III.1 Bài LAB 1: Thực hành login vào Cisco Switch lần 40 III.1.1 Chuẩn bị thiết bị thực hành 40 III.1.2 Bắt đầu thực hành làm quen với mức cấu hình Switch .40 III.1.2.1 Chế độ Setup Mode .40 III.1.2.2 Chế độ User Mode 40 III.1.2.3 Chế độ Privileged Mode .41 III.1.2.4 Chế độ Global Configuration Mode 42 III.1.3 Thực hành cấu hình khai báo tham số cho Switch .43 III.1.3.1 Đặt tên cho thiết bị Switch 43 III.1.3.2 Khai báo cổng (interface) điều khiển thiết bị Switch 43 III.1.3.3 Kiểm tra trạng thái cổng (interface) thiết bị Switch .44 III.1.3.4 Kiểm tra tất cấu hình khai báo thiết bị Switch .44 III.1.3.5 Kiểm tra bảng địa MAC Switch 46 III.1.3.6 Kiểm tra kết nối IP từ máy tính tới Switch ngược lại .47 III.1.3.7 Kích hoạt thức CDP-Cisco Discovery Protocol Switch 47 III.1.4 Ghi lại (save) cấu hình khai báo Switch 48 III.2 Bài LAB 2: Thực hành cấu hình nâng cao Cisco Switch layer 49 III.2.1 Chuẩn bị thiết bị thực hành 49 III.2.2 Cấu hình VTP/VLAN Switch .49 III.2.2.1 Cấu hình VTP Switch 49 III.2.2.2 Cấu hình thêm VLAN Switch .50 III.2.3 Kiểm tra cấu hình VTP/VLAN khai báo Switch 51 III.2.3.1 Kiểm tra cấu hình VTP Switch 51 III.2.3.2 Kiểm tra cấu hình VLAN Switch 51 III.2.4 Cấu hình cổng kết nối liên switch-trunking .52 III.2.4.1 Cấu hình cổng Switch thành trunking 52 III.2.4.2 Kiểm tra cổng Switch trunking hay không .52 III.2.5 Cấu hình thêm phần điều khiển cho VLAN switch 52 III.2.5.1 Thêm phần điều khiển VLAN switch 52 III.2.5.2 Kiểm tra phần điều khiển cho VLAN switch 53 III.2.6 Gán cổng làm việc theo VLAN switch .53 III.2.6.1 Gán cổng làm việc theo VLAN switch 53 III.2.6.2 Kiểm tra lại cổng làm việc theo VLAN switch 54 III.2.7 Cấu hình địa gateway switch 54 III.2.8 Cấu hình định tuyến Routing switch 54 IV CẤU HÌNH BẢO MẬT CHO THIẾT BỊ ROUTER 56 IV.1 Bài LAB 1: Thực hành cấu hình bảo mật đăng nhập (login) vào Cisco Router 56 IV.1.1 Chuẩn bị thiết bị thực hành 56 IV.1.2 Cấu hình bảo mật đăng nhập cho bị thiết bị 57 IV.1.2.1 Đặt password cho cổng Console thiết bị Router 57 IV.1.2.2 Đặt password cho chế độ Enabled (Privileged Router): .57 IV.1.2.3 Đặt user/password cho phiên telnet từ vào thiết bị Router 59 Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ IV.1.2.4 Mã hoá password thiết bị Router 60 IV.2 Bài LAB 2: Thực hành cấu hình ngăn chặn dịch vụ vào/ra Cisco Router .61 IV.2.1 Chuẩn bị thiết bị thực hành 61 IV.2.2 Cấu hình ngăn chặn dịch vụ vào/ra Cisco Router 62 IV.2.2.1 Cấu hình ngăn chặn dịch vụ Telnet vào Cisco Router .62 IV.2.2.2 Cấu hình ngăn chặn dịch vụ ping vào Cisco Router 63 Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ I GIỚI THIỆU Đây tài liệu hướng dẫn thực hành cấu hình Cisco Router Cisco Switch cho cán quản trị mạng Bộ Công An toàn quốc, tài liệu cung cấp kiến thức việc cấu hình quản trị thiết bị Cisco Router Cisco Switch khuôn khổ dự án nâng cấp mở rộng mạng trục WAN backbone kết nối toàn Tỉnh Thành toàn quốc theo hợp đồng số: 022006 FPT-FIS/E15-BCA Người biên soạn: Nguyễn Hữu Tuyên Email: tuyennh2@fpt.com.vn Mobile: 0904678478 Giám đốc phòng mạng, Trung tâm hạ tầng, Công ty Hệ thống thông tin FPT Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ II CÁC BÀI THỰC HÀNH CẤU HÌNH CISCO ROUTER CĂN BẢN II.1 Bài LAB 1: Thực hành login vào Cisco Router lần Bài thực hành giúp cho học viên nắm vững: - Thao tác vào mức thiết bị Cisco Router - Thao tác cấu hình đặt tên cho thiết bị Cisco Router để quản lý - Kiểm tra trạng thái cổng giao tiếp thiết bị Cisco Router - Cách sử dụng tính CDP thiết bị router để có hình tổng quan mô hình kết nối toàn router/switch hệ thống mạng II.1.1 Chuẩn bị thiết bị thực hành Giảng viên giới thiệu phần cứng thiết bị Cisco Router/Cisco Switch, sau kết nối vật lý thiết bị Hình: Sơ đồ kết nối thiết bị Cisco Router để thực hành Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Giảng viên hướng dẫn cách kết nối từ cổng Com máy tính vào cổng Console thiết bị Cisco Router để chuẩn bị thực hành Phải sử dụng chương trình Terminal để login vào thiết bị, khuyến nghị sử dụng phần mềm SecureCRT để làm tác vụ đó.( Giảng viên hỗ trợ cài đặt trước phần mềm SecureCRT vào máy tính thực hành) Hình: Khai báo login từ cổng Com máy tính vào thiết bị II.1.2 Bắt đầu thực hành làm quen với mức cấu hình Router II.1.2.1 Chế độ Setup Mode Sau khai báo login từ cổng Com, học viên kích vào biểu tượng “ Connect” để bắt đầu kết nối vào phần cấu hình Cisco Router Vì ban đầu tất Router chưa có cấu hình NVRAM, lúc Router chế độ Setup Mode, kết nối vào Router học viên thấy dòng thông báo sau: - System Configuration Dialog Would you like to enter the initial configuration dialog? [yes/no]: Học viên chọn “no” enter, hình cấu hình tên mặc định thiết bị “ Router>” Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Router> Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ II.1.2.2 Chế độ User Mode “Router>” thị bạn đứng mức User Mode, mức bạn làm thay đổi tham số Router, mà sử dụng lệnh để kiểm tra vài tính năng/trạng thái thiết bị mà Học viên sử dụng lệnh «show version» để kiểm tra xem Router thuộc chủng lại gì, có giao tiếp, có nhớ RAM/Flash, version IOS… Ví dụ lệnh «show version» cho thông tin sau: Router>show version Cisco IOS Software, 3600 Software (C3660-JSX-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2006 by Cisco Systems, Inc Compiled Wed 22-Mar-06 22:55 by pwade ROM: ROMMON Emulation Microcode ROM: 3600 Software (C3660-JSX-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2) Router uptime is 10 minutes System image file is "flash:c3660-jsx-mz.123-14.T7.bin" Cisco 3660 (R527x) processor (revision 1.0) with 97280K/5120K bytes of memory Processor board ID JAB0446C0L2 R527x CPU at 250MHz, Implementation 40, Rev 1.2, 512KB L2 Cache 3660 Chassis type: ENTERPRISE FastEthernet interfaces DRAM configuration is 64 bits wide with parity enabled 125K bytes of NVRAM 8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2142 Router> Học viên sử dụng lệnh Router cho biết thông tin sau: - Kiểu Router bạn ?: - Router bạn có RAM/Flash ?: - Router bạn có giao tiếp (interface) ?: - Hệ điều hành (IOS), tên gì, có version ?: - Router bật nguồn, chạy ?: II.1.2.3 Chế độ Privileged Mode Từ mức User-Mode, bạn sử dụng lệnh «enable» để vào mức Privileged Mode Router>enable (enter) Router# Dấu nhắc « Router# », bạn vào mức Privileged Mode, mức bạn không sử dụng lệnh để kiểm tra vài tính năng/trạng thái thiết bị mà bạn có toàn quyền thay đổi tham số Router, tất nhiên nguyên tắc phải xét chế độ bảo mật từ mức User Mode sang Privileged Mode, việc trình bày thực hành bảo mật sau Học viên sử dụng lệnh «show running-config» để kiểm tra cấu hình Router ( tất nhiên lúc cấu hình trắng) Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Ví dụ lệnh «show running-config» sau: Router#show running-config Building configuration Current configuration : 625 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! no aaa new-model ! resource policy ! memory-size iomem ip subnet-zero ! ip cef no ip dhcp use vrf connected ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! ip http server ip classless ! control-plane ! gatekeeper shutdown ! line line aux line vty ! end Router# Kết cho thấy: - Cổng FastEthernet thứ Router có số hiệu 0/0 (viết tắt F0/0) - Cổng FastEthernet thứ hai Router có số hiệu 0/1 (viết tắt F0/1) - Ngoài nhiều cổng khác (phụ thuộc vào Router) Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ - Các cổng chưa có địa (no ip address) bị shutdown - Cổng mạng LAN dùng chế tự nhận tốc độ (speed auto) tùy thuộc vào Switch mà kết nối vào, 10Mbps 100Mbps Cơ chế truyền liệu tự động (duplex auto) Nếu chế duplex full gọi chế song công, truyền nhận đồng thời Nếu duplex half gọi chế bán song công, làm việc truyền nhận thời điểm, không đồng thời Chú ý : Từ mức Privileged Mode, bạn sử dụng lệnh «disable» để lại mức UserMode Router#disable Router> II.1.2.4 Chế độ Global Configuration Mode Để thay đổi cấu hình tham số thiết bị Router, bạn phải vào chế độ Global Configuration Mode, từ dấu nhắc « Router# » sử dụng lệnh «configure terminal» để vào chế độ Global Configuration: Ví dụ sau: Router>enable Router#configure terminal Enter configuration commands, one per line Router(config)# End with CNTL/Z Dấu nhắc « Router(config)# », bạn vào mức Global Configuration Mode, sẵn sàng cho việc cấu hình khai báo tham số cho Router làm việc Chú ý: Từ mức Global Configuration Mode, bạn sử dụng lệnh «exit» để lại mức Privileged Mode Router(config)#exit Router# II.1.3 Thực hành cấu hình khai báo tham số cho Router II.1.3.1 Đặt tên cho thiết bị Router Vì mặc định tất thiết bị Cisco Router có tên «Router», phải đặt lại tên để thuận tiện cho vấn đề quản trị nhiều thiết bị Router hệ thống Tại mức Global Configuration Mode, bạn sử dụng lệnh «hostname Tên_muốn_đặt», để khai báo tên cho thiết bị router đó: Ví dụ sau: Router(config)#hostname R1 Sau gõ lệnh enter, tự động thiết bị nhảy sang tên R1 R1(config)# Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 10 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Để tạo vlan khác vlan mặc định (default), sử dụng lệnh «vlan database» để vào mức cấu hình vlan cấu hình switch toàn hệ thống LAN trở thành VTP server: SW1#vlan database % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated Please consult user documentation for configuring VTP/VLAN in config mode SW1(vlan)#vtp ? client Set the device to client mode domain Set the name of the VTP administrative domain password Set the password for the VTP administrative domain pruning Set the administrative domain to permit pruning server Set the device to server mode transparent Set the device to transparent mode v2-mode Set the administrative domain to V2 mode SW1(vlan)#vtp server Device mode already VTP SERVER SW1(vlan)# Tiếp theo khai báo VTP domain name TEST: SW1(vlan)#vtp domain TEST Changing VTP domain name from NULL to TEST SW1(vlan)# III.2.2.2 Cấu hình thêm VLAN Switch Tiếp theo khai báo thêm vlan mới: SW1(vlan)#vlan 10 name VLAN 10 added: Name: TECH SW1(vlan)#vlan 20 name VLAN 20 added: Name: SALES SW1(vlan)#vlan 30 name VLAN 30 added: Name: MAKETING SW1(vlan)#vlan 40 name VLAN 40 added: Name: MANAGER SW1(vlan)#vlan 50 name VLAN 50 added: Name: VISITOR SW1(vlan)#apply APPLY completed TECH SALES MAKETING MANAGER VISITOR Sau cấu hình xong, thoát khỏi mức «vlan database» SW1(vlan)#exit APPLY completed Exiting SW1# Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 50 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ III.2.3 Kiểm tra cấu hình VTP/VLAN khai báo Switch III.2.3.1 Kiểm tra cấu hình VTP Switch Tiếp theo học viên kiểm tra lại cấu hình VTP switch, thông qua câu lệnh «show vtp status » : SW1#show vtp status VTP Version : Configuration Revision : Maximum VLANs supported locally : 256 Number of existing VLANs : 10 VTP Operating Mode : Server VTP Domain Name : TEST VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x4A 0x6D 0x59 0x42 0x94 0x96 0xA4 0x4C Configuration last modified by 10.1.0.2 at 3-1-02 01:22:53 Local updater ID is 10.1.0.2 on interface Vl1 (lowest numbered VLAN interface found) SW1# III.2.3.2 Kiểm tra cấu hình VLAN Switch Tiếp theo học viên kiểm tra lại cấu hình VLAN switch, thông qua câu lệnh «show vlan » : SW1#show vlan VLAN Name Status Ports - default active Fa0/1, Fa0/2, Fa0/3,Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 10 TECH active 20 SALES active 30 MAKETING active 40 MANAGER active 50 VISITOR active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active … Mặc định tất cổng switch thuộc vlan (default) Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 51 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ III.2.4 Cấu hình cổng kết nối liên switch-trunking Để kết nối nhiều VLAN hệ thống mạng LAN, đường kết nối liên switch phải khai báo thành trunking, mặc định tất cổng switch có tốc độ 100Mbps trở lên làm trunking được, nhiên thường thiết bị switch dành sẵn cổng cuối để làm trunking III.2.4.1 Cấu hình cổng Switch thành trunking Muốn cấu hình tham số cổng, học viên phải vào cổng trước, sau sử dụng câu lệnh «switchport mode trunk» «switchport trunk encapsulation dot1q» , để khai báo cổng thành trunking, kiểu đóng gói theo chuẩn 802.1Q Ví dụ: SW1(config)#interface g0/1  Vào cổng để cấu hình SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk encapsulation dot1q III.2.4.2 Kiểm tra cổng Switch trunking hay không Muốn kiểm tra lại cấu hình tham số cổng, học viên sử dụng câu lệnh «show running-config»: ! interface FastEthernet0/16 switchport trunk encapsulation dot1q switchport mode trunk no ip address ! Hoặc «show interface interface_name switchport»: SW1#show interface f0/16 switchport Name: Fa0/16 Switchport: Enabled Administrative Mode: trunk  Cấu hình cổng hoạt động chế độ Trunk Operational Mode: down  Tình trạng hoạt động Administrative Trunking Encapsulation: dot1q  Kiểu đóng gói Negotiation of Trunking: Disabled Access Mode VLAN: ((Inactive)) Trunking Native Mode VLAN: (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: none Priority for untagged frames: Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none SW1# III.2.5 Cấu hình thêm phần điều khiển cho VLAN switch III.2.5.1 Thêm phần điều khiển VLAN switch Vì switch layer cho phép vlan mặc định, cấu hình thêm nhiều vlan khác để điều khiển, bên tạo vlan như: VLAN 10 tên TECH, vlan Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 52 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ 20 SALES…, học viên sử dụng câu lệnh «interface vlan vlan_number», làm giống khai báo vlan Ví dụ: SW1(config)#interface vlan 10 SW1(config-if)#no shutdown SW1(config-if)#ip address 10.10.0.2 255.255.255.0 SW1(config-if)#exit SW1(config)# SW1(config)#interface vlan 20 SW1(config-if)#no shutdown SW1(config-if)#ip address 10.20.0.2 255.255.255.0 III.2.5.2 Kiểm tra phần điều khiển cho VLAN switch Học viên sử dụng câu lệnh «show running-config»: ! interface Vlan1 ip address 10.1.0.2 255.255.255.0 no ip mroute-cache ! interface Vlan10 ip address 10.10.0.2 255.255.255.0 ! interface Vlan20 ip address 10.20.0.2 255.255.255.0 ! III.2.6 Gán cổng làm việc theo VLAN switch III.2.6.1 Gán cổng làm việc theo VLAN switch Để gán hay nhiều cổng switch vào VLAN chia, học viên cần làm việc: - Chuyển cổng sang hoạt động chế độ Access: dùng lệnh switchport mode access viết tắt sw mode acc chế độ lệnh cấu hình interface - Gán cổng vào VLAN: dùng lệnh switchport access vlan X viết tắt sw acc vlan X chế độ lệnh cấu hình interface (X số hiệu VLAN cần gán cổng vào) Dưới ví dụ cấu hình gán cổng số SW1 VTP-Server vào VLAN 10: SW1(config)#interface f0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 10 SW1(config-if)#exit SW1(config)#interface f0/2 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 10 Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 53 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ SW1(config-if)#end III.2.6.2 Kiểm tra lại cổng làm việc theo VLAN switch SW1#show vlan VLAN Name Status Ports - default active Fa0/3,Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 10 TECH active Fa0/1, Fa0/2, 20 SALES active 30 MAKETING active 40 MANAGER active 50 VISITOR active Học viên thấy cổng F0/1 F0/2 thuộc vlan 10 TECH III.2.7 Cấu hình địa gateway switch Để quản lý thiết bị switch từ xa (không mạng LAN), người quản trị mạng phải báo địa gateway cho switch đó, thông qua câu lệnh «ip default-gateway ip_ address» mức Global Configuration Mode: SW1(config)#ip default-gateway 10.20.1.1  IP cổng khỏi mạng LAN III.2.8 Cấu hình định tuyến Routing switch Thiết bị switch layer 3, switch có phần điểu khiển định tuyến giống thiết bị Router, trước tiên kích hoạt tính định tuyến thông qua câu lệnh «ip routing» mức Global Configuration Mode: SW1(config)#ip routing Sau kích hoạt Routing, bạn cấu hình thuật toán routing thiết bị Router: static route, RIP…mà học viên học phần Router SW1(config)# router rip SW1(config-router)# network 10.0.0.0 Chú ý: Tuỳ hệ điều hành, mức switch layer cisco hỗ trợ phần routing static route, RIP… Kết thúc phần LAB Switch layer Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 54 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 55 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ IV CẤU HÌNH BẢO MẬT CHO THIẾT BỊ ROUTER IV.1 Bài LAB 1: Thực hành cấu hình bảo mật đăng nhập (login) vào Cisco Router Bài thực hành giúp cho học viên nắm vững: - Thao tác khai báo bảo mật đăng nhập vào thiết bị Cisco Router IV.1.1 Chuẩn bị thiết bị thực hành Giảng viên giới thiệu phần cứng thiết bị Cisco Router/Cisco Switch, sau kết nối vật lý thiết bị (giống mô hình thực hành Router trước đây) Hình: Mô hình kết nối Router Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 56 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ IV.1.2 Cấu hình bảo mật đăng nhập cho bị thiết bị IV.1.2.1 Đặt password cho cổng Console thiết bị Router Để Router trung tâm an toàn, người quản trị mạng cần đặt password cho cổng Console, nghĩa có người đột nhập vào phòng máy trung tâm dùng cáp Console để cấu hình Router phải biết password vào Ví dụ thực router R1, với mật bca2007fpt sau: R1(config)#line console R1(config-line)#password bca2007fpt R1(config-line)#login Lệnh login yêu cầu người quản trị phải thực gõ password vào cho kết nối Đặt thời gian chờ tối đa cổng Console phút 30 giây: R1(config-line)#exec-timeout 30 R2(config-line)#exec-timeout 30 Nếu bạn không thao tác với Router phút 30 giây Router tự động log off bạn phải gõ lại password Console muốn kết nối trở lại Kiểm tra: bạn thoát khỏi Console cách dùng lệnh exit chế độ usermode enabled (privileged) mode: R1>exit R1#exit Nội dung hình Console biến thông báo sau: R1 con0 is now available Press RETURN to get started Đây tình trạng Router log off khỏi chế độ làm việc Console, để quay trở lại chế độ Console bạn bấm phím , hình thông báo sau: User Access Verification Password: Thông báo yêu cầu bạn phải nhập password bca2007fpt vào muốn kết nối trở lại vào cổng Console Router IV.1.2.2 Đặt password cho chế độ Enabled (Privileged Router): Tiếp theo để bảo mật mức cấu hình Router, người quản trị mạng cần đặt password mức enable, có lệnh dùng để đặt password bca2007 này: Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 57 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ - Lệnh 1: Router(config)#enable password bca2007 - Lệnh 2: Router(config)#enable secret bca2007 Hai lệnh có tác dụng đặt password Tuy nhiên lệnh enable secret mã hóa password thuật toán MD5 không hiển thị xem cấu hình, lệnh enable password hiển thị password ta xem cấu hình Do lệnh cần thực lệnh enable secret bca2007 Router mà học viên phụ trách đủ Trong trường hợp lệnh thực hiện, Router dùng password lệnh enable secret, không dùng lệnh enable password Ví dụ ta dùng lệnh đặt password ta show run để xem cấu hình, cấu hình có dạng sau: R1#sho run Building configuration Current configuration : 932 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret $1$n.WL$8hckkhe1boTr8kfEG7ZfX0 enable password bca2007 ! no aaa new-model ! resource policy ! memory-size iomem ip subnet-zero ! Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 58 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Học viên nhìn thấy kết show run trên, password lệnh enable secret mã hóa thành chuỗi ký tự dị dạng khiến cho người ta đọc (tức password có người đặt biết), password lệnh enable password hiển thị y nhập vào, nhìn vào kết show run đọc Số “5” kết lệnh enable secret số hiệu thuật toán mã hóa (ở thuật toán MD5) Kiểm tra lại xem password có hiệu lực chưa, học viên thoát khỏi Router, dùng lệnh exit, vào lại, bạn bị hỏi password muốn vào mức enable, phải gõ password ( bca2007) vào R1>en Password: R1# IV.1.2.3 Đặt user/password cho phiên telnet từ vào thiết bị Router Cấu hình Router Telnet: Là phương pháp hữu hiệu để cấu hình Router từ xa Telnet cấu hình qua mạng IP, mà mạng IP giới hạn khoảng cách (dùng Console phải ngồi cạnh Router để cấu hình) Để cấu hình Router Telnet phải thỏa mãn điều kiện sau: - Router phải có địa IP (địa cổng), PC mà bạn dùng để Telnet phải có đường đến địa IP - Router phải có password cho cổng Telnet (là line vty từ đến mà bạn nhìn thấy cấu hình show run) - Router phải có password chế độ Enabled Nhưng việc xác thực phép Telnet dựa vào yếu tố: password (password line VTY) Người quản trị mạng muốn xác thực thêm username cho chắn Khai báo cặp username password router: Ví dụ khai báo tên hocvien1 mật hocvien1bca router R1 sau: R1(config)#username hocvien1 password hocvien1bca Khai báo thẩm tra telnet vào thiết bị router: Để yêu cầu router kiểm tra username password, bạn dùng lệnh login local hướng dẫn: Ví dụ khai báo thẩm tra router R1 sau: R1(config)#line vty Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 59 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ R1(config-line)#login local R1(config-line)#exec-timeout 25 Kiểm tra lại : Coi bạn nơi khác: từ PC bạn, bạn Telnet đến router R1, R1 yêu cầu bạn nhập password để kết nối vào router, bạn nhập username password Telnet bạn vào Router Từ bạn cấu hình Router y dùng Console Hình: Minh hoạ telnet vào Router R1 IV.1.2.4 Mã hoá password thiết bị Router Khi bạn show run để xem cấu hình tổng thể Router, password chế độ enable mã hóa ra, loại password khác không mã hóa: password cổng Console, cổng Telnet (các line VTY) password user vừa tạo Người khác xem lệnh show run đọc password router Để thực mã hóa tất loại password Router , người quản trị mạng dùng lệnh sau: R1(config)#service password-encryption Sau thực lệnh này, bạn dùng lại lệnh show run Router R1 thấy tất password Console, Telnet, User mã hóa thành dạng không đọc R1#sho run Building configuration Current configuration : 1032 bytes ! version 12.3 Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 60 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret $1$n.WL$8hckkhe1boTr8kfEG7ZfX0 enable password 0204075A59565F76 ! no aaa new-model ! username hocvien1 password 12110A140402090A7B292729 ! ! line password 1511021F0725 login line aux line vty login local ! ! end R1# Kết thúc phần LAB bảo mật đăng nhập thiết bị Cisco Router Chú ý, thiết bị Cisco switch làm tương tự IV.2 Bài LAB 2: Thực hành cấu hình ngăn chặn dịch vụ vào/ra Cisco Router Bài thực hành giúp cho học viên nắm bản: - Thao tác khai báo thẩm tra dịch vụ vào/ra thiết bị Cisco Router IV.2.1 Chuẩn bị thiết bị thực hành Giảng viên giới thiệu phần cứng thiết bị Cisco Router/Cisco Switch, sau kết nối vật lý thiết bị (giống mô hình thực hành Router trước đây) Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 61 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Hình: Mô hình kết nối Router IV.2.2 Cấu hình ngăn chặn dịch vụ vào/ra Cisco Router IV.2.2.1 Cấu hình ngăn chặn dịch vụ Telnet vào Cisco Router Cấu hình Router Telnet: Là phương pháp hữu hiệu để cấu hình Router từ xa Telnet cấu hình qua mạng IP, mà mạng IP giới hạn khoảng cách (dùng Console phải ngồi cạnh Router để cấu hình), nhiên lại nảy sinh vấn đề khó kiểm soát xem mở dịch vụ Telnet vào router để thay đổi cấu hình Do mục tiêu phần tạo sách bảo mật, cho máy PC có quyền telnet vào router, máy khác bị router từ chối dịch vụ Chúng ta sử dụng Standard Access-list để thực nhiệm vụ này, khởi tạo ACL với cấu trúc lệnh: Router(config)#access-list access-list-number permit ip_address wildcard mask Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 62 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Hoặc: Router(config)#access-list access-list-number permit host ip_address Router(config)#access-list access-list-number deny any Ví dụ theo sơ đồ thực hành, người quản trị mạng muốn máy tính PC1 có địa IP 10.x.0.100 quyền telnet vào router mình, tất PC khác mạng LAN khác mạng LAN telnet, lệnh tạo ALC router R1 sau: R1(config)#access-list permit 10.1.0.100 0.0.0.0 (Hoặc: R1(config)#access-list permit host 10.1.0.100) R1(config)#access-list deny any Kiểm tra lại ACL router, sử dụng lệnh show ip access-lists: R1#sho ip access-lists Standard IP access list 10 permit 10.1.0.100 20 deny any R1# ACL thực hoạt động “ gán “ vào “ cổng “ thiết bị Router, học viên gán ACL vừa tạo bên vào phiên telnet, với cấu trúc lệnh: Router(config)#line vty 15  gán vào đủ 16 phiên telnet Router(config-line)#access-class access-list-number in  lệnh kiểm tra vào Ví dụ lệnh tạo gán ALC router R1 sau: R1(config)#line vty 15 R1(config-line)#access-class in R1(config-line)#exit  thoát khỏi mức cấu hình line vty R1(config)#exit  thoát mức R1# Sau cấu hình xong, học viên thử telnet từ PC1 nhóm vào Router bạn phụ trách, chắn thành công ( bạn cấu hình đúng), đồng thời yêu cầu học viên khác telnet vào router bạn/hoặc bạn thử telnet tới router học viên khác, kết không thành công Cùng lúc đó, thử “ ping” tới router khác lần nữa, chắn thành công, không cấu hình chặn “ ping “ IV.2.2.2 Cấu hình ngăn chặn dịch vụ ping vào Cisco Router Một phương pháp hữu hiệu để chống việc “thăm dò mạng” sử dụng tin icmp, ngăn chặn gói tin icmp vào/ra thiết bị router hệ thống Do mục tiêu phần tạo sách bảo mật, cho máy PC có quyền ping vào router, máy khác bị router từ chối dịch vụ Chúng ta sử dụng Extended Access-list để thực nhiệm vụ này, khởi tạo ACL với cấu trúc lệnh: Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 63 Tài liệu đào tạo thực hành cấu hình Cisco Router/Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ Router(config)# access-list 100 deny icmp any router_ip Router(config)# access-list 100 permit ip any any wildcard mask echo-reply log Ví dụ theo sơ đồ thực hành, người quản trị mạng muốn máy tính PC1 có địa IP 10.x.0.100 quyền ping vào router mình, tất PC khác mạng LAN khác mạng LAN ping, lệnh tạo ALC router R1 sau: R1(config)#access-list 100 deny icmp any 10.1.0.1 0.0.0.255 echo-reply log Router(config)# access-list 100 permit ip any any Kiểm tra lại ACL router, sử dụng lệnh show ip access-lists: R1#show ip access-lists Standard IP access list 10 permit 10.1.0.100 20 deny any Extended IP access list 100 10 deny icmp any 10.1.0.0 0.0.0.255 echo-reply log 20 permit ip any any R1# ACL thực hoạt động “ gán “ vào “ cổng “ thiết bị Router, học viên gán Ex ACL vừa tạo bên vào cổng fastethernet 0/0 router, với cấu trúc lệnh: R1(config)#interface f0/0 R1(config-if)#ip access-group 100 in Sau cấu hình xong, học viên thử ping từ PC1 PC2 … nhóm vào Router bạn phụ trách, chắn không thành công Hình: Sau cấu hình Extended Access-lists, không ping Router Kết thúc phần LAB kiểm soát dịch vụ vào/ra thiết bị Cisco Router Công ty hệ thống thông tin FPT Địa chỉ: 89 Láng hạ, Đống Đa, Hà nội, Việt nam Trang 64 ... THIỆU Đây tài liệu hướng dẫn thực hành cấu hình Cisco Router Cisco Switch cho cán quản trị mạng Bộ Công An toàn quốc, tài liệu cung cấp kiến thức việc cấu hình quản trị thiết bị Cisco Router Cisco. .. II.1.4 Ghi lại (save) cấu hình khai báo Router Khi bạn cấu hình, thao tác lưu nhớ RAM Router, tắt Router bật lại, cấu hình mất, sau làm xong, bạn phải lưu cấu hình vào NVRAM router, sử dụng lệnh... Trang Tài liệu đào tạo thực hành cấu hình Cisco Router/ Switch Gói thầu: Triển khai mạng tích hợp đa dịch vụ II CÁC BÀI THỰC HÀNH CẤU HÌNH CISCO ROUTER CĂN BẢN II.1 Bài LAB 1: Thực hành login vào Cisco