- Xem thông tin của thiết bị lân cận:R0#show cdp neighbors Router lân cận Router0 là Router3 nên khi thực hiện lệnh trên thì show ra thông tin của Router3: Device ID hostname của Route
Trang 11 cấu hình cơ bản Router
Trang 2Cấu hình cơ bản Router
1 Các chế độ làm việc cơ bản của Router
- Router > : User mode
- Router# : Privilegde mode
- Router(config)# : config mode
2 Vào chế độ Privilegde mode, config mode, đổi Hostname
- Router>enable
Router#
- Router#configure terminal
Router(config)#
- Router(config)#hostname abc {abc là tên hostname muốn đổi}
3 Khắc phục tình trạng trôi dòng lệnh (thuộc về phần quản lý)
Router(config)#line console 0
Router(config-line)#logging synchronous
4 Đặt banner cho Router
Router(config)#banner motd #Cau hinh co ban# {#Cau hinh co ban# là nội dung
của banner}
5 Đặt IP cho các interface trong mạng Lan và Wan (fast ethernet và Serial)
- Vào interface muốn đặt IP
- Đặt IP
- VD: Router(config)#interface fastEthernet 0/0 {0/0 là interface muốn đặt IP} Router(config-if)#ip address 192.168.1.1 255.255.255.0 {192.168.1.1 là
địa chỉ IP muốn đọc, 255.255.255.0 là subnetmask tương ứng}
Router(config-if)#no shutdown {bậc interface này lên}
Router(config-if)#exit
Router(config)#interface serial 1/0
Router(config-if)#ip address 10.10.10.1 255.0.0.0
Router(config-if)#no shutdown
Trang 36 Xem trạng thái các interface
- Xem trạng thái tất cả các interface đã đặt ở trên
Router#show ip interface brief
Trạng thái administratively (trạng thái của interface) được default là down,
chuyển trạng thái này từ down sang up và ngược lại bằng lệnh no shutdown và shutdown.
Protocol: Trạng thái PC nối với Router, Router nối với Router…thông qua các
interface tương ứng.
- Xem trạng thái trên một interface
Router#show interface fastEthernet 0/0
7 Mô tả đầu nối interface
Trang 4Router(config)#interface fastEthernet 0/0
Router(config-if)#description Cong nay noi voi PC {“Cong nay noi voi PC” là
nội dung mô tả của interface fastEthernet 0/0}
8 Xem toàn bộ cấu hình trên Router
Router#show running-config
Chú ý: Router hoặt động ở chế độ defaut là duplex auto (full-duplex), speed
auto (tốc độ luận lý, dùng để đo tốc độ vào và ra interface)
9 Đặt password cho cổng console trên Router
Router(config)#line console 0
Router(config-line)#password ngocdai {“ngocdai” là password đặt cho cồng
console}
Router(config-line)#login {áp password vào cổng console}
password này không được mã hóa
10 Mở phiên telnet và đặt password telnet
Router(config)#line vty 0 4 {mở tối đa là 5 phiên telnet}
Router(config-line)#password ngocdai
Router(config-line)#login
password này không được mã hóa
11 Mã hóa password – mã hóa theo thuật toán MD7
Router(config)#service password-encryption
Lệnh trên thì sẽ mã hóa toàn bộ password từ trước và sau khi câu lệnh được thực thi
12 Đặt password cho privileged mode – password enable
Router(config)#enable password ngocdai
13 Mã hóa MD5 cho password enable
Router(config)#enable secret ngocdai2
Router sẽ default là luôn chọn password được mã hóa cao hơn Vậy password
enable ở trên là “ngocdai” sẽ được thay bằng “ngocdai2”.
14 Lưu cấu hình Router
Trang 5Router#copy running-config startup-config
Hoặc Router#write memory
Cisco chỉ chấp nhận câu lệnh copy running-config startup-config để lưu cấu hình
15 Khởi động lại Router
Router#reload
16 Xóa cấu hình trên Router
Router#erase startup-config
Router#reload {Sau khi xóa cấu hình thì phải khởi động lại Router}
17 Ngăn không cho Router truy tìm DNS (hiệu quả khi đánh sai câu lệnh và phải đợi Router phân giải rất lâu)
Lệnh bandwidth chỉ tác động tới quá trình tính toán metric của các giao thức
định tuyến (EIGRP, OSPF) để tìm ra đường đi tốt nhất.
Trang 6I Giao thức CDP (Cisco Discovery Protocol)
Lý thuyết
- Giao thức chỉ sử dụng trên các thiết bị của Cisco
- Thuộc layer 2 trong mô hình OSI.
- Mặc định là được bậc trên Router.
- Dùng đề thu thập thông tin về các thiết bị lân cận (các thiết bị kết nối trực tiếp), trái với các giao thức định tuyến Giao thức định tuyến cung cấp thông tin cho
phép Router xác định chặng kết tiếp cho các mạng muốn tới.
- Thu thập các thông tin về:
Thông tin phần cứng, phần mềm của thiết bị lận cận
Thông tin về Hostname
Thông tin về IP của neighbors
Thông tin IOS của neighbors
Thông tin về khả năng của neighbors (Router hay Switch đang nối với mình)
Thông tin flatform: dòng sản phẩm của thiết bị
Vẽ được hệ thống mạng và kiểm tra được kết nối layer 2 (kiểm tra được các cổng nối các thiết bị lại với nhau)
Kiểm tra tình trạng kết nối layer 2
…
Mô hình mạng:
- Đặt IP như mô hình, cấu hình định tuyến, đảm bảo mạng hội tụ.
- Xem thông tin về thông số thời gian của CDP
R0#show cdp
Trang 7 Sending CDP packets every 60 seconds: là thời gian CDP timer – mặc định cứ
60 giây gói tin CDP được gửi tới cho tất cả các cổng đang hoạt động.
Sending a holdtime value of 180 seconds: là thời gian CDP holdtime – mặc
định 180 giây là khoảng thời gian thiết bị giữa gói tin CDP từ neighbor.
Có thề cấu hình cho các khoảng thời gian này:
R0(config)#cdp timer 90
R0(config)#cdp holdtime 240
R0(config)#do show cdp
Chú ý: Cấu hình cho khoảng thời gian ở trên chỉ thực hiện được trên GNS3,
không thực hiện được trên Packet Tracert… Sài đồ thật thì khỏi phải nói…
Trang 8- Xem thông tin của thiết bị lân cận:
R0#show cdp neighbors
Router lân cận Router0 là Router3 nên khi thực hiện lệnh trên thì show ra thông
tin của Router3: Device ID (hostname của Router3 là R3), Local Intrfce (interface của R0 nối với R3), Holdtme (thời gian giữa gói tin CDP), Capability (khả năng
của thiết bị đang nối với mình – phần chú thích ở trên), Platform (dòng sản phẩm
của R3 – C2600), Port ID (interface của R3 nối với R0).
Muốn biết thông tin của R2 từ R0 thì không thể thực hiện show cdp neighbors
trên R0 được Từ R0 telnet tới R3, dùng R3 xem thông tin của R2…
Chú ý: R0#show ip interface brief chỉ xem được thông tin các interface của mình
- Xem thông tin của thiết bị lân cận đầy đủ hơn (Xem được thêm IOS của
neighbors, IP của neighbors)
R0#show cdp neighbors detail
Trang 9 Địa chỉ của R3 trên interface FastEthernet 0/1 là 192.168.12.2
IOS của R3 là Version 12.2(28)
Câu lệnh thực hiện chức năng tương tự:
- Xem thông tin từng cổng dùng CDP
Thông tin về dạng đóng gói trên đường truyền (1)
Chu kỳ gửi (2)
Thời gian chờ trên mỗi cổng (3)
Trên GNS3 thì xem được (1), (2), (3), còn Packet Tracert chỉ xem được (1), (2)
R3#show cdp interface
Trang 10Chú ý: Khi sử dụng lệnh tắt/bậc giao thức CDP thì các thông tin show lên sẽ bị
thay đổi
Trang 11II Giao thức Telnet
- Telnet là giao thức thuộc layer 7 trong mô hình OSI
- Telnet chạy TCP port 23
- Telnet là giao thức đầu cuối ảo (Virtual Terminal).
- Telnet cho phép tạo kết nối tới thiết bị từ xa
- Telnet trao đôi thông tin ở dạng clear text Không mã hóa password và các dữ liệu
trong quá trình trao đổi
- Đường kết nối VTY cho phép truy cập vào Router thông qua các phiên kết nối Telnet Đường kết nối VTY không nối trực tiếp vào các cổng (như kết nối TTY nối vào asynchronous interfaceII) mà là các kết nối “ảo” vào Router thông qua địa chỉ
Trang 12 Mô hình mạng
- Đặt IP như mô hình, cấu hình định tuyến, đảm bảo mạng hội tụ
- Mở phiên Telnet trên các Router R0, R1, R2 (cấu hình cơ bản).
- Các lệnh sử dụng để quản lý phiên Telnet:
Telnet tới một thiết bị
R1#telnet 192.168.23.2 {192.168.23.2 là địa chỉ của thiết bị muốn Telnet tới - ở đây là R2}
C:\>#telnet 192.168.23.2 {kết nối telnet từ PC, vô cmd đánh lệnh này}
Xem user, ở địa chỉ, sử dụng kết nối VTY thứ mấy…đang Telnet tới (từ 0 tới 4 (maximum))
R2#show users
Đóng phiên kết nối Telnet bằng lệnh “exit” hoặc “disconnect”
Muốn tới phiên Telnet bất kỳ bằng lệnh “resume số hiệu kết nối”
Kiểm tra các kết nối Telnet bằng lệnh “show sessions”
Trang 13 Thiết bị đang được Telnet tới có thề ngắt kết nối bằng lệnh “clear line
line-index” { line-index là số thứ tự của line}
Muốn giữa phiên kết nối Telnet mà quay lại Router của mình dùng tổ hợp phiếm “ctrl+shift+6, +X”
Muốn quay lại Telnet dùng lệnh “resume”
- Chú ý:
Nếu chưa đặt password cho đường VTY trên Router
(Router(config-line)#password ngocdai) thì không thề thực hiện Telnet tới Router đó được Trong
trường hợp chưa đặt password cho đường VTY trên Router mà thực hiện Telnet tới Router này, thì Router vẫn hiểu ngầm định là muốn Telnet vào nhưng không cho
phép thực hiện
password đặt cho đường VTY là password đề vô được user mode Vì vậy, nếu
không đặt password enable trên Router thì không thề vào privileged mode khi thực hiện Telnet tới Router đó được.
Khi Telnet tới Switch thì thực hiện công việc tương tự nhưng Telnet tới địa chỉ
cổng ảo trên Switch là Vlan1.
- Nếu muốn mở phiên Telnet mà không cần đặt password:
Trang 14III Giao thức SSH
- SSH là giao thức thuộc layer 7 trong mô hình OSI
- SSH chạy TCP port 22
- SSH cho phép tạo kết nối tới thiết bị từ xa thông qua cổng ảo (giống như Telnet)
- Dữ liệu truyền thông trong 1 phiên kết nối SSH được mã hóa bằng nhiều thuật toán khác nhau (DES,3DES, RSA )
- SSH bảo mật tốt hơn Telnet
- Có 2 version SSH: SSH-1 và SSH-2
- Các dòng Cisco Devices hỗ trợ SSH là dòng thiết bị chạy IOS từ 12.1 trở lên
- 1 phiên kết nối SSH diễn ra giữa SSH Server và SSH Client
- 1 số phần mềm SSH Client phổ biến: Putty, OpenSSH
Cấu hình cơ bản đề mở phiên kết nối SSH trên Router
Trang 15 Mở phiên SSH trên R1
Bước 1: R1(config)#username ngocdai password ha {Tạo username là “ngocdai”
và password là “ha” cho user đăng nhập vào Router}
Bước 2: R1(config)#ip domain-name ngocdai.com {Cấu hình thông số ip
domain-name}
Trên các thiết bị Cisco, mặc định sử dụng thuật toán RSA để mã hóa dữ liệu
Thuật toán RSA đòi hỏi phải có 2 thông tin : hostname, ip domain-name.
Bước 3: R1(config)#crypto key generate rsa {Tạo ra cặp khóa "Public/ Private"
để mã hóa dữ liệu bằng RSA}
Mặc định mã hóa với 512 bit, tối đa 2048 bit (nhập vào khi cấu hình)
Hoặc dùng luôn câu lênh sau:
R1(config)#crypto key generate rsa general-keys modulus 1024 Bước 4: R1(config)#ip ssh version 2 {Bậc tính năng SSH, dùng SSH version 2} Bước 5: R1(config)#ip ssh authentication-retries 3 {Cấu hình tùy chọn – số lần nhập
username và password sai, ở đây là 3 lần}
R1(config)#ip ssh time-out 100 {Cấu hình tùy chọn – thời gian chờ để nhập
username và password, ở đây là 100 giây}
Nếu thời gian cấu hình là 120 giây thì dùng lệnh show running-config sẽ không hiển thị lên
Bước 6: R1(config)#line vty 0 4
Trang 16R1(config-line)#transport input ssh {áp SSH vào VTY}
R1(config-line)# login local
- Cấu hình cơ bản (hostname, password…)
- Đặt IP như mô hình, cấu hình định tuyến đảm bảo mạng hội tụ
- Cấu hình SSH trên Router R1 và R2
- Capture lại thông tin
Cấu hình SSH trên R1
R1#configure terminal
R1(config)# username ngocdai password ngocdai
R1(config)#ip domain name abc.com
R1(config)#crypto key generate rsa general-keys modulus 1024
Trang 17R1(config)# ip ssh version 2 R1(config)# ip ssh authentication-retries 3 R1(config)# ip ssh time-out 100
R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local
R1(config-line)# exit Cấu hình SSH trên R2 (Cấu hình tương tự R1)
R2#configure terminal R2(config)# username ngocdai123 password ngocdai123 R2(config)#ip domain name bcd.com
R2(config)#crypto key generate rsa general-keys modulus 1024 R2(config)# ip ssh version 2
R2(config)# ip ssh authentication-retries 3 R2(config)# ip ssh time-out 100
R2(config)# line vty 0 4 R2(config-line)# transport input ssh R2(config-line)# login local
R2(config-line)# exit
Từ PC dùng putty để kết nối đến R1
Nhập IP của R1 và click Open
Trang 19R1#ssh -l ngocdai123 –v 2 12.0.0.2
IV Switch cơ bản và port security
- Các lệnh cấu hình cơ bản trên Switch tương tự như trên Router
Switch(config)#banner motd #Cau hinh co ban#
Switch#show ip interface brief
Switch(config)# enable password ngocdai
Switch(config)#enable secret ngocdai2
Switch#copy running-config startup-config
Trang 20- Do Switch không đặt được địa chỉ IP, do đó nếu muốn Telnet đến để quản lý
Switch thì phải sử dụng cổng ảo default trên Switch – Vlan1 Đặt IP cho cổng này
- Switch HỌC địa chỉ MAC dựa vào Source MAC, FORWARD gói tin dựa vào
destination MAC Xem bảng MAC address trên Switch như sau:
Switch#show mac-address-table
- Xem trạng thái port security
Switch#show port-security
Cấu hình port security trên Switch
- Tính năng port security được cấu hình trên một cồng của Switch nhằm giới hạn số lượng địa chỉ MAC được đi vào cồng này Switch chỉ chấp nhận các Ethernet Frame xuất phát từ những địa chỉ MAC được cấu hình.
- Cấu hình port security nhằm bảo vệ mạng nội bộ khi có các máy tính lạ cắm vào
hệ thống mạng nội bộ
- Khi cấu hình port security thì:
1 port chứa được nhiều địa chỉ MAC
1 MAC chỉ tồn tai trên 1 port
- Các câu lệnh cấu hình cơ bản:
Trang 21Switch(config)#interface fastEthernet 0/1 {0/1 là cổng muốn cấu hình port
security}
Switch(config-if)#shutdown {Phải tắt cổng này rồi mới tiến hành cấu hình
port security}
Switch(config-if)#switchport mode access {Đưa cổng vảo chế độ access}
Switch(config-if)#switchport port-security {Bậc tính năng port security}
Nếu cổng chưa ở chế độ access, thì Switch sẽ thông báo lỗi từ chối bậc tính
năng port security.
Switch(config-if)#switchport port-security maximum 2 {Quy định số địa
chỉ MAC tối đa được phép đi vào interface 0/1 - ở đây là 2 địa chỉ MAC}
Số lượng địa chỉ MAC này có thể khác nhau tùy dòng Switch (thông thường có giá trị từ 1 đến 132)
default nếu không cấu hình câu lệnh này thì chỉ duy nhất một địa chỉ MAC
được đi qua interface này.
Switch(config-if)#switchport port-security mac-address ffff.ffff.ffff {Chỉ rõ
địa chỉ nào được phép đi qua interface – ffff.ffff.ffff là địa chỉ MAC đánh vào}
Ở trên cấu hình có 2 địa chỉ MAC được đi qua interface 0/1, do đó thêm một
địa chỉ MAC bằng cách thực hiện câu lệnh trên một lần nữa.
Câu lệnh cấu hình trên cho phép Switch HỌC địa chỉ MAC static
Có thể cấu hình cho phép Switch HỌC địa chỉ MAC dynamic bằng lệnh
“sticky”: Switch(config-if)#switchport port-security mac-address sticky
Nếu cấu hình HỌC địa chỉ MAC dynamic thì cũng phải cho tự động học đủ số lượng địa chỉ đã cấu hình
Switch(config-if)#switchport port-security violation shutdown
Hoặc Switch(config-if)#switchport port-security violation restrict
Hoặc Switch(config-if)#switchport port-security violation protect
Trang 22 Các câu lệnh trên nhằm quy định hình thức phản ứng trên interface 0/1 khi có một máy tính lạ cắm vào
shutdown: khi có máy tính lạ cắm vào thì interface 0/1 sẽ vào trạng thái
err-disable (trạng thái mà interface 0/1 bị shutdown – chưa shutdown thật sự, kết nối bị
ngắt) Muốn đưa cổng vào hoặt động trở lại, phải khắc phục nguyên nhân gây lỗi và cắm
đúng máy có địa chỉ MAC đã cấu hình, sau đó vào interface 0/1 shutdown rồi no
shutdown interface trở lại
Có thể cấu hình cho cổng tự động thoát khỏi trạng thái err-disable trong vòng
từ 30 giây tới 86400 giây khi đã khắc phục được nguyên nhân gây lỗi bằng câu lệnh sau:
Switch(config)#errdisable recovery cause psecurity-violation Switch(config)#errdisable recovery interval 30
restrict: interface 0/1 không vào trạng thái err-disable nhưng các Etherner
Frame lạ sẽ bị loại bỏ đồng thời xuất hiện thông báo về sự xâm nhập phát ra trên màn
hình cấu hình
protect: interface 0/1 không vào trạng thái err-disable nhưng các Etherner
Frame lạ sẽ bị loại bỏ nhưng không xuất hiện thông báo về sự xâm nhập phát ra trên màn
hình cấu hình
default nếu không cấu hình lệnh này thì hình thức phản ứng là shutdown
Chú ý: Trong quá trình cấu hình port security trên interface nào đó thì đã tắt interface này nên khi cấu hình xong thì cẩn phản bậc interface này lên lại