Cấu hình thiết bị mạng CISCO (Cao đẳng Quản trị mạng máy tính) - Nguồn: BCTECH

Thông thường khi cấu hình các thiết bị Cisco ta sử dụng các cáp kết nối trực tiếp giữa máy tính và thiết bị Cisco, việc này gây ra một số bất tiện và ảnh hưởng đến bảo mật. Để thuận tiện[r]

(1)

ỦY BAN NHÂN DÂN TỈNH BR – VT TRƯỜNG CAO ĐẲNG NGHỀ

GIÁO TRÌNH

MƠ ĐUN CẤU HÌNH THIẾT BỊ MẠNG CISCO NGHỀ QUẢN TRỊ MẠNG

(2)

Ban hành kèm theo Quyết định số: 01/QĐ-CĐN, ngày 04 tháng 01 năm 2016 của Hiệu trưởng trường Cao đẳng nghề tỉnh Bà Rịa – Vũng Tàu

(3)

TUYÊN BỐ BẢN QUYỀN

Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo

(4)

LỜI GIỚI THIỆU

Giáo trình “Cấu hình thiết bị mạng Cisco” biên soạn dựa chương trình đào tạo chuyên viên mạng Cisco Đây chương trình học có tính thực tế cao Trong bối cảnh cơng nghệ phát triển liên tục giáo trình cập nhật công nghệ để bám sát thực tiễn

Giáo trình tương ứng với chương trình đào tạo CCNA Cisco gồm có 16 trình bày có hệ thống đọng Nội dung khảo sát thành phần cấu trúc hoạt động Router Switch Cisco đồng thời hướng dẫn người đọc cấu hình cho Router Switch Bên cạnh đó, giáo trình cịn giúp người đọc xử lý cố cho Router Switch

Giáo trình khơng hữu ích cho học viên mạng CCNA mà cịn tài liệu bổ ích cho bạn đọc muốn trở thành nhà quản trị mạng chuyên nghiệp

Mặc dù cố gắng sửa chữa, bổ sung cho sách hồn thiện song khơng tránh khỏi thiếu sót, hạn chế Nhóm biên soạn mong nhận cá ý kiến đóng góp quý báu bạn đọc

Bà Rịa – Vũng Tàu, ngày 02 tháng 01 năm 2016 Biên soạn

(5)

BÀI GIỚI THIỆU VỀ CÁC THIẾT BỊ CISCO

1 Kết nối với Router Switch

2 Các kết nối LAN

3 Các loại cáp Serial

4 Phương pháp sử dụng loại cáp Serial

BÀI SỬ DỤNG GIAO DIỆN COMMAND-LINE

1 Các câu lệnh tắt

2 Sử dụng phím Tab để hồn thành câu lệnh 10

3 Sử dụng phím ? để trợ giúp 10

4 Câu lệnh Enable 11

5 Câu lệnh Exit 11

6 Câu lệnh Disable 12

7 Câu lệnh Logout 12

8 Chế độ cấu hình Setup 12

9 Tổ hợp phím trợ giúp 13

10 Các câu lệnh thực thi 14

11 Các câu lệnh Show 14

BÀI CẤU HÌNH ROUTER 16

1 Các chế độ cấu hình Router 16

2 Chế Global Configuration 17

3 Cấu hình tên Router 17

4 Cấu hình mật 17

5 Mã hóa mật 18

6 Tên Interface Router 19

7 Di chuyển Interface 20

8 Cấu hình Interface Serial 21

9 Cấu hình Interface Fast Ethernet 21

10 Tạo Login Banner 22

(6)

12 Gán host name cho địa IP 22

13 Lệnh no ip domain-lookup 23

14 Lệnh logging synchronous 23

15 Lệnh exec-timeout 23

16 Lưu file cấu hình 23

17 Xóa file cấu hình 24

18 Sử dụng lệnh Show 24

19 Sử dụng lệnh 25

BÀI ĐỊNH TUYẾN TĨNH 27

1 Cấu hình định tuyến tĩnh 27

2 Cấu hình Default Route 28

3 Sử dụng lệnh Ping Traceroute 29

3.1 Sử dụng lệnh Ping 29

3.2 Sử dụng lệnh Ping mở rộng 30

3.3 Sử dụng lệnh Traceroute 32

4 Hiển thị bảng định tuyến 32

BÀI ĐỊNH TUYẾN RIP 34

1 Sử dụng lệnh ip classess 34

2 Sử dụng lệnh cấu hình bắt buộc 35

3 Sử dụng lệnh cấu hình tùy chọn 35

4 Xử lý lỗi RIP 37

BÀI ĐỊNH TUYẾN EIGRP 39

1 Cấu hình Enhanced Interior Gateway Routing Protocol (EIGRP) 39

2 Cấu hình EIGRP Auto-Summarization 41

3 Kiểm tra EIGRP 42

4 Xử lý lỗi EIGRP 42

BÀI ĐỊNH TUYẾN OSPF 44

1 Cấu hình OSPF 44

2 Sử dụng wildcard mask với OSPF area 45

(7)

4 Quảng bá Default Route 47

5 Kiểm tra cấu hình OSPF 47

6 Xử lý lỗi OSPF 48

BÀI CẤU HÌNH SWITCH 50

1 Lệnh trợ giúp 50

2 Các chế độ hoạt động lệnh 50

3 Các lệnh kiểm tra 51

4 Xóa tập tin cấu hình Switch 52

5 Cấu hình tên Switch 52

6 Cấu hình mật 52

7 Cấu hình địa IP default gateway 54

8 Cấu hình mơ tả cho Interface 54

9 Cấu hình Duplex 54

10 Cấu hình tốc độ 55

11 Quản lý bảng địa MAC 55

12 Cấu hình MAC address 56

13 Cấu hình Switch port security 56

14 Kiểm tra switch port security 57

BÀI CẤU HÌNH VLAN 60

1 Tạo VLAN 60

2 Gán port vào VLAN 61

3 Kiểm tra thông tin VLAN 61

4 Xóa cấu hình VLAN 62

BÀI 10 CẤU HÌNH VTP VÀ ĐỊNH TUYẾN GIỮA CÁC VLAN 64

1 Cấu hình Dynamic Trunking Protocol (DTP) 65

2 Cấu hình loại encapsulation 66

3 Cấu hình VLAN Trunking Protocol (VTP) 67

4 Kiểm tra VTP 69

5 Cấu hình Inter-vlan Routing sử dụng Router 70

(8)

BÀI 11 SAO LƯU VÀ PHỤC HỒI CISCO IOS VÀ CÁC TẬP TIN CẤU

HÌNH 74

1 Sử dụng lệnh Boot System 74

2 Sử dụng lệnh Cisco IOS File System (IFS) 75

3 Sao lưu tập tin cấu hình vào TFTP Server 76

4 Khơi phục file cấu hình từ TFTP Server 76

5 Sao lưu phần mềm Cisco IOS vào TFTP server 77

6 Phục hồi nâng cấp phần mềm Cisco IOS từ TFTP Server 78

7 Khôi phục phần mềm Cisco IOS sử dụng Xmodem 79

8 Khôi phục phần mềm Cisco IOS sử dụng lệnh tftpdnld 82

BÀI 12 KHÔI PHỤC MẬT KHẨU 84

1 Khôi phục mật cho Router 84

2 Khôi phục mật cho Switch 86

BÀI 13 CẤU HÌNH TELNET VÀ SSH 89

1 Sử dụng giao thức telnet 89

2 Cấu hình giao thức SSH 92

BÀI 14 CẤU HÌNH NAT 94

1 Cấu hình NAT động 94

2 Cấu hình PAT 97

3 Cấu hình NAT tĩnh 100

4 Kiểm tra cấu hình NAT PAT 101

5 Xử lý lỗi cấu hình NAT PAT 101

BÀI 15 CẤU HÌNH DHCP 103

1 Cấu hình DHCP 103

2 Kiểm tra xử lý lỗi cấu hình DHCP 104

3 Cấu hình DHCP Helper Address 105

BÀI 16 CẤU HÌNH ACCESS CONTROL LIST (ACL) 108

1 Access List numbers 108

2 Các từ khóa ACL 109

(9)

4 Gán ACL Standard cho Interface 110

5 Kiểm tra ACL 111

6 Xóa ACL 111

7 Tạo ACL Extended 111

8 Gán ACL extended cho Interface 113

9 Từ khóa established 113

10 Tạo ACL named 114

11 Sử dụng Sequence Number ACL named 115

12 Xóa lệnh ACL named sử dụng sequence number 116

13 Những ý sử dụng Sequence Number 116

14 Tích hợp comments cho tồn ACL 117

15 Sử dụng ACL để hạn chế truy cập Router thông qua telnet upload.123doc.net DANH MỤC TỪ VIẾT TẮT 121

(10)

MƠ ĐUN CẤU HÌNH THIẾT BỊ MẠNG CISCO Mã mô đun: MĐ 15

Vị trí, tính chất, ý nghĩa vai trị mơ đun:

Mơ đun có ý nghĩa cung cấp kiến thức thiết kế, xây dựng quản trị hệ thống mạng sử dụng thiết bị mạng Cisco Mơ đun bố trí sau học xong môn chung, mô đun Quản trị mạng

Mục tiêu mô đun:

- Trình bày khái niệm quản trị hệ thống, quản trị kết nối quản trị bảo mật

‐ Trình bày khác cơng dụng thiết bị mạng Cisco và thiết bị Non-Cisco.

‐ Thiết kế, xây dựng, quản trị bảo trì hệ thống mạng Cisco cho doanh nghiệp, tập đồn có nhiều chi nhánh

‐ Giải vấn đề thiết bị kết nối mạng Cisco với đầy đủ tính theo yêu cầu thực tế tổ chức

‐ Cẩn thận, an toàn cho người học thiết bị ‐ Nâng cao tinh thần làm việc nhóm

‐ Đảm bảo biện pháp an tồn cho máy tính, vệ sinh cơng nghiệp Nội dung mô đun:

T

T Tên mơ đun Thời gian

Hình thức giảng dạy

1 Các loại cáp loại kết nối Tích hợp

2 Sử dụng giao diện Command-Line 10 Tích hợp

3 Cấu hình Router 10 Tích hợp

Kiểm tra

4 Định tuyến tĩnh 10 Tích hợp

5 Định tuyến RIP 10 Tích hợp

6 Định tuyến EIGRP 10 Tích hợp

7 Định tuyến OSPF 10 Tích hợp

(11)

8 Cấu hình Switch 10 Tích hợp

9 Cấu hình VLAN 10 Tích hợp

10 Cấu hình VTP định tuyến VLAN 10 Tích hợp

Kiểm tra 8, 9, 10

11 Sao lưu phục hồi Cisco IOS tập tin cấu

hình 10 Tích hợp

12 Khơi phục mật Tích hợp

13 Cấu hình Telnet SSH 10 Tích hợp

14 Cấu hình NAT 15 Tích hợp

15 Cấu hình DHCP 10 Tích hợp

16 Cấu hình Access Control List (ACL) 15 Tích hợp

Kiểm tra 14, 15, 16

(12)

BÀI 1

GIỚI THIỆU VỀ CÁC THIẾT BỊ CISCO Giới thiệu:

Tập đoàn Hệ thống Cisco thành lập năm 1984 hai nhà khoa học máy tính bắt đầu trở nên tiếng năm 1990 Cisco System hãng chuyên sản xuất đưa giải pháp mạng LAN&WAN lớn giới Thị phần hãng chiếm 70% đến 80% thị trường thiết bị mạng toàn giới Các thiết bị giải pháp hãng đáp ứng nhu cầu loại hình doanh nghiệp từ doanh nghiệp vừa nhỏ đến doanh nghiệp có quy mơ lớn nhà cung cấp dịch vụ Internet (ISP) Các sản phẩm Cisco chủ yếu gồm: Router, Switch, Firewall, AccessPoint,…

Trong học này, tìm hiểu cách kết nối PC thiết bị Cisco Bên cạnh đó, học hướng dẫn cách lựa chọn loại cáp mạng cáp Serial cho kết nối phù hợp thiết bị

Mục tiêu:

- Trình bày phương pháp kết nối PC thiết bị Cisco, thiết bị Cisco với

- Kết nối Router Switch sử dụng cáp Rollover

- Xác định thông số cài đặt PC để thực kết nối Router Switch

- Xác định loại cáp Serial khác

- Xác định loại cáp sử dụng để kết nối Router Switch đến thiết bị khác

- Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an tồn cho người thiết bị

(13)

1 Kết nối với Router Switch

Hình 1.1: Phương pháp kết nối từ PC đến Switch Router thông qua cáp Rollover

Xác định thông số cài đặt PC để thực kết nối Router Switch

(14)

2 Các kết nối LAN

Bảng 1.1: Các loại port khác loại kết nối khác các thiết bị LAN

Port Kết

nối Loại Port Kết nối trực tiếp đến Cáp

Ethernet RJ-45 Ethernet Switch RJ-45

T1/E1 RJ-48C/CA81A Mạng T1 E1 Rollover

Console pin Computer COM Port Rollover

AUX pin Modem RJ-45

BRI S/T RJ-48C/CA81A Thiết bị NT1

PINX RJ-45

BRI U WAN RJ-49C/CA11A Mạng ISDN RJ-45

3 Các loại cáp Serial

(15)

Hình 1.4: Cáp Smart Serial (1700, 1800, 2600, 2800)

Hình 1.5: Cáp V35 DTE DCE

Hình 1.6: Đầu chuyển đổi từ USB sang Serial cho Labtop 4 Phương pháp sử dụng loại cáp Serial

Bảng 1.2: Cách để sử dụng loại cáp serial

Thiết bị A Thiết bị B Loại cáp sử dụng Cổng COM máy

tính

Cổng Console Router/switch

Rollover

Card NIC máy tính Switch Cáp thẳng

Card NIC máy tính Card NIC máy tính Cáp chéo Cổng switch Cổng Ethernet

Router

Cáp thẳng

Cổng switch Cổng switch Cáp chéo Cổng Ethernet

Router

Cổng Ethernet Router

(16)

Card NIC máy tính Cổng Ethernet Router

Cáp chéo

Cổng Serial Router Cổng Serial Router Cáp serial DCE/DTE Bảng 1.3: Danh sách vị trị PIN loại cáp: Thẳng, chéo, cáp

Rollover

Cáp thẳng Cáp chéo Cáp Rollover

Pin – Pin Pin – Pin Pin – Pin

(17)

Câu hỏi tập

1.1: Hãy cho biết loại cáp kết nối PC cổng Console Cisco Router Cisco Switch

1.2: Hãy cho biết loại cáp mạng để kết nối PC Switch, Switch Router Thực bấm loại cáp mạng sử dụng đầu nối RJ45

1.3: Thực kết nối PC Router, PC Switch đảm bảo đèn Switch Port Router Port chớp sáng

Yêu cầu đánh giá

- Trình bày phương pháp kết nối PC thiết bị Cisco, thiết bị Cisco với

(18)

BÀI 2

SỬ DỤNG GIAO DIỆN COMMAND-LINE Giới thiệu:

Việc sử dụng giao diện command-line để gõ lệnh giúp bạn thực nhiều hoạt động nhanh nhiều so với việc sử dụng thao tác chuột Điều tạo lợi việc sử dụng dòng lệnh so với giao diện có menu

Cisco tận dụng lợi việc sử dụng Linux Kernel để làm tảng phát triển hệ điều hành riêng cho họ Do đó, giao diện command-line Cisco đặc biệt hiệu việc cấu hình cho thiết bị Cisco Bài học giúp biết cách sử dụng giao diện command-line, đồng thời sử dụng lệnh phím tắt để cấu hình thiết bị Cisco

Mục tiêu:

- Sử dụng lệnh tắt lệnh show - Sử dụng phím Tab để hồn thành câu lệnh - Sử dụng phím trợ giúp

Nội dung:

1 Các câu lệnh tắt

Để sử dụng câu lệnh có hiệu hơn, phần mềm Cisco IOS có số câu lệnh phép nhập tắt Mặc dù phương pháp lại sử dụng nhiều thực tế làm việc với phần mềm Cisco IOS, bạn tiến hành thi Cisco, chắn bạn cần phải câu lệnh đầy đủ

Bảng 2.1: Các lệnh tắt bản Router> enable

Hoặc Router> enab Hoặc Router> en

(19)

được Nhưng bạn cần phải lưu ý điều câu lệnh tắt phải nhập vào

Router# configure terminal

Hoặc Router# config t

2 Sử dụng phím Tab để hoàn thành câu lệnh

Khi bạn nhập vào câu lệnh, bạn sử dụng phím Tab bàn phím để hồn thành câu lệnh Nhập vào vài ký tự câu lệnh nhấn phím Tab Nếu ký tự bạn nhập vào câu lệnh thì, ký tự lại câu lệnh hiển thị hình

Bảng 2.2: Sử dụng phím Tab để hoàn thành câu lệnh Router# sh -> nhấn phím

Tab =

Router# show

Nhấn phím Tab để hiển thị câu lệnh đầy đủ

3 Sử dụng phím ? để trợ giúp

Những ví dụ bảng hướng dẫn phương pháp sử dụng phím ? để trợ giúp bạn hiển thị tham số lại câu lệnh

Bảng 2.3: Hướng dẫn phương pháp sử dụng phím ? để trợ giúp

Router# ? Hiển thị tất câu lệnh có khả thực thi chế độ thời (chế độ Privileged)

Router# c? Hiển thị tất câu lệnh ký tự c

Router# cl? Hiển thị tất câu lệnh ký tự cl

Router# clock

% Imcomplete command

Nhắc nhở bạn nhiều tham số khác câu lệnh mà cần phải nhập vào

(20)

Set này, Set, dùng để đặt tham số ngày tháng, thời gian)

Router# clock set 19:50:00 14 July 2007 ?

Nhấn phím Enter để xác nhận lại thời gian ngày tháng cấu hình

Router# Khơng có thơng báo lỗi đưa có nghĩa câu lệnh nhập vào thành công

4 Câu lệnh Enable

Bảng 2.4: Sử dụng lệnh enable Router> enabl

Router#

Chuyển người dùng từ chế độ cấu hình User vào chế độ cấu hình Privileged

5 Câu lệnh Exit

Bảng 2.5: Sử dụng lệnh exit Router# exit

Hoặc Router> exit

Thoát khỏi chế độ cấu hình Router

Router(config-if)# exit Router(config)#

Chuyển người dùng thoát khỏi cấp độ cấu hình

Router(config)# exit Router#

(21)

6 Câu lệnh Disable

Bảng 2.6: Sử dụng lệnh disable Router# disable

Router>

Chuyển người dùng từ chế độ cấu hình Privileged ngồi chế độ cấu hình User

7 Câu lệnh Logout

Bảng 2.7: Sử dụng lệnh logout

Router# logout Thực thi chức giống câu lệnh exit

8 Chế độ cấu hình Setup

Chế độ cấu hình Setup chế độ cấu hình khởi động tự động q trình khởi động router khơng tìm thấy file startup-config

Bảng 2.8: Sử dụng lệnh setup

Router# setup Vào chế độ cấu hình Setup từ giao diện Command Line

* ý: Bạn sử dụng chế độ cấu hình Setup để cấu hình tồn bộ tham số router Ở chế độ bạn cấu hình cho router Cho ví dụ, bạn cấu hình RIPv1 IGRP, khơng thể cấu hình giao thức định tuyến OSPF EIGRP Bạn tạo ACL enable NAT hoạt động Bạn gán địa IP cho Interface, gán cho subinterface Tóm lại, chế độ cấu hình Setup tính cấu hình router có giới hạn Cisco khơng khuyến khích bạn cấu hình tham số router chế độ Setup Thay vào đó, bạn sử dụng giao diện Command-Line (CLI), bạn cấu hình đầy đủ tính router từ giao diện này:

(22)

* Chú ý: câu lệnh history size cung cấp chức tương tự câu lệnh: terminal history size

9 Tổ hợp phím trợ giúp

Các tổ hợp phím bảng trợ giúp bạn trình chỉnh sửa câu lệnh Cisco IOS Bởi bạn cần thực thi lại câu lệnh nhiệm vụ làm vào thời điểm trước, phần mềm Cisco IOS cung cấp cho bạn tổ hợp phím để bạn xử lý câu lệnh cách hiệu

Bảng 2.9: Các tổ hợp phím trợ giúp trình chỉnh sửa câu lệnh Router#config t

^

% Invalid input detected a ‘^’ marker

Router#config t Router(config)#

Hiển thị nơi mà bạn nhập câu lệnh bị sai

Ctrl – A Di chuyển trỏ đầu dòng

Esc – B Di chuyển trỏ trước từ

Ctrl – B Di chuyển trỏ trước ký tự

Ctrl – E Di chuyển trỏ cuối dòng

Ctrl – F Di chuyển trỏ sau ký tự

Esc – F Di chuyển trỏ sau từ

Ctrl – Z Di chuyển trỏ từ chế độ cấu

hình trở chế độ cấu hình Privileged Router# terminal no editing Tắt khả sử dụng phím tắt Router# terminal editing Bật lại khả sử dụng phím tắt

và sử dụng tổ hợp phím trình sử dụng câu lệnh

10 Các câu lệnh thực thi

(23)

Ctrl – P Để gọi lại câu lệnh nằm đệm history, câu lệnh thực thi gần

Ctrl – N Trở câu lệnh vừa thực thi

bộ đệm history sau gọi lại câu lệnh với tổ hợp phím Ctrl – P Terminal history size_number Cấu hình dòng lệnh phép

lưu vào đệm history phép bạn gọi lại câu lệnh (lớn 256 câu lệnh) Router# terminal history

size 25

Router lưu tối đa 25 câu lệnh thực thi vào đệm history

Router# no terminal history size 25

Cấu hình router trở mặc định lưu

* Chú ý: câu lệnh history size cung cấp chức tương tự câu lệnh: terminal history size

11 Các câu lệnh Show

Bảng 2.11: Sử dụng lệnh show

Router# show version Hiển thị thông tin phần mềm Cisco IOS thời

Router# show flash Hiển thị thông tin nhớ Flash Router# show history Hiển thị tất câu lệnh

lưu trữ đệm history Câu hỏi tập

2.1: Hãy cấu hình cho Router lưu tối đa 30 câu lệnh thực thi vào đệm history

(24)

- Trình bày chức sử dụng thành thạo lệnh tắt, lệnh show, lệnh tab tập lệnh như: Enable, Exit, Disable, Logout

(25)

BÀI 3

CẤU HÌNH ROUTER Giới thiệu:

Khác với việc cấu hình Router thơng thường sử dụng giao diện đồ hoạ thân thiện trình duyệt web, việc cấu hình Router Cisco có nhiều khác biệt sử dụng giao diện command-line Bài giúp cho người học làm quen với chế độ dòng lệnh đăng nhập vào Router Đồng thời, sử dụng các dịng lệnh để cấu hình cho Router Cisco

Mục tiêu:

- Phân biệt chế độ cấu hình Router - Cấu hình tham số Router - Sử dụng lệnh show

Nội dung:

1 Các chế độ cấu hình Router

Bảng 3.1: Các chế độ cấu hình Router

Router> Chế độ User

Router# Chế độ Privileged (cũng gọi chế độ EXEC)

Router(config)# Chế độ Global Configuration Router(config-if)# Chế độ Interface Configuration Router(config-subif)# Chế độ Subinterface Configuration Router(config-line)# Chế độ cấu hình Line

(26)

2 Chế đô Global Configuration

Bảng 3.2: Các chế độ cấu hình Global

Router> Giới hạn câu lệnh mà người dùng thực thi Đối với chế độ cấu hình người dùng có khả hiển thị thơng số cấu hình router Khơng thể cấu hình để thay đổi thơng số cấu hình hoạt động router

Router# Bạn nhìn thấy file cấu hình thay đổi tham số cấu hình file cấu hình Router# configure

terminal

Router(config)#

Chuyển người dùng vào chế độ Global Configuration Với chế độ bạn bắt đầu cấu hình thay đổi cho router 3 Cấu hình tên Router

Câu lệnh thực thi thiết bị Router Switch cisco Bảng 3.3: Cấu hình tên cho Router

Router(config)# hostname Cisco

Cisco(config)#

Cấu hình tên cho router mà bạn muốn chọn

4 Cấu hình mật khẩu

Những câu lệnh sau phép thực thi thiết bị Router Switch Cisco

Bảng 3.4: Cấu hình mật khẩu Router(config)# enable

password cisco

Cấu hình enable password Router(config)# enable

secret class

Cấu hình password mã hóa chế độ enable

Router(config)# line console

(27)

Router(config-line)# password console

Router(config-line)# login

Cấu hình password cho line console Cho phép kiểm tra password login vào router port console Router(config)# line vty Vào chế độ line vty phép

telnet Router(config-line)#

password telnet

Cấu hình password phép telnet

Router(config-line)# login Cho phép kiểm tra password người dùng telnet vào router

Router(config)# line aux Vào chế độ line auxiliary Router(config-line)#

password backdoor

Cấu hình password cho line aux Router(config-line)# login Cho phép router kiểm tra

password người dùng login vào router thông qua port AUX * Chú ý: enable secret password loại password mã hóa theo mặc định

Enable password khơng mã hóa Với lý đó, Cisco khuyến khích bạn khơng nên sử dụng password enable để cấu hình Sử dụng câu lệnh enable secret password router switch để cấu hình

5 Mã hóa mật khẩu

Bảng 3.5: Cấu hình mã hố mật khẩu Router(config)# service

password encryption

Khi câu lệnh thực thi router switch tất loại password router switch mã hóa (Trừ enable secret password)

Router(config)# enable password cisco

(28)

Router(config)# line console

Router(config-line)# password console

Router(config-line)# login

Cấu hình password cho line console console

Router(config)# no service password-encryption

Tắt tính mã hóa password Router Switch

6 Tên Interface Router

Một vấn đề lớn quản trị mạng phân biệt tên Interface dòng Router khác Với tất thiết bị Cisco khác hệ thống mạng ngày nay, số quản trị mạng lúng túng việc phân biệt tên Interface router

Với bảng bên bạn nhìn thấy số loại interface dòng router khác Trên router bạn sử dụng câu lệnh sau để xác định interface hoạt động router

Router# show ip interface brief

Bảng 3.6: Tên Interface Router Router

Model

Port Location/Slot

Number

Slot/Port Type Slot Numbering

Range

Example

2501 On board Ethernet Interface-

type number

Ethernet0 (e0)

On board Serial Interface-

type number

Serial0 (S0) S1

2514 On board Ethernet Interface-

type number

E0 E1

On board Serial Interface-

type number

S0 S1

(29)

type number (fa0)

Slot WAC (WIN

Interface Card) (Serial)

Interface- type number

S0 S1

7 Di chuyển Interface

Bảng 3.7: Di chuyển Interface Rouer(config)#

interface s0/0/0

Chuyển vào chế độ Serial Interface Configuration Router(config) # interface s0/0/0 Chuyển vào chế độ Serial Interface Configuration

Router(config-if)# exit

Trở lại chế độ Global configuration Router(config-if)# interface fa0/0 Chuyển trực tiếp sang chế độ cấu hình Interface Fast Ethernet 0/0 từ chế độ cấu hình Interface khác

Router(config)# interface fa0/0

Chuyển vào chế độ cấu hình Interface Fast Ethertnet

Router(config-if)#

Đang chế độ cấu hình Interface Fast Ethernet 8 Cấu hình Interface Serial

Bảng 3.8: Cấu hình Interface Serial Router(config)# interface

s0/0/0

Chuyển vào chế độ cấu hình Interface S0/0/0

(30)

description Link to ISP (đây tùy chọn) Router(config-if)# ip

address 192.168.10.1 255.255.255.0

Gán địa ip subnet mask cho interface Serial

Router(config-if)# clock rate 56000

Cấu hình giá trị Clock rate cho Interface (Chỉ cấu hình câu lệnh Khi interface DCE)

Router(config-if)# no shutdown

Bật Interface

9 Cấu hình Interface Fast Ethernet

Bảng 3.9: Cấu hình Interface Fast Ethernet Router(config)# interface

Fastethernet 0/0

Chuyển vào chế độ cấu hình Interface Fast Ethernet 0/0

Router(config-if)# description Accounting LAN

Cấu hình lời mơ tả cho Interface (đây tùy chọn) Router(config-if)# ip address

192.168.20.1 255.255.255.0

Gán địa ip subnet mask cho Interface

Router(config-if)# no shutdown Bật Interface 10 Tạo Login Banner

Bảng 3.10: Tạo thông điệp đăng nhập Router Router(config)# banner

login $ This is banner login $

Định nghĩa đoạn thông điệp đưa người dùng login vào router Đoạn thơng điệp đặt cặp ký tự đặc biệt

11 Cấu hình Clock time Zone

Bảng 3.11: Cấu hình vùng thời gian Router(config)# clock

timezone EST -5

(31)

12 Gán host name cho địa IP

Bảng 3.12: Gán Host name cho địa IP Router(config)# ip host

lodon 172.16.1.3

Gán host name cho địa IP Sau câu lệnh thực thi, bạn sử dụng host name thay sử dụng địa IP bạn thực telnet ping đến địa IP

Router# ping lodon =

Router# ping 172.16.1.3

Cả hai câu lệnh thực thi chức nhau, sau bạn gán địa IP với host name

* Chú ý: Theo mặc định số port câu lệnh ip host 23, hoặc Telnet Nếu bạn muốn Telnet đến thiết bị, bạn thực theo số cách sau:

(32)

13 Lệnh no ip domain-lookup

Bảng 3.13: Câu lệnh no ip domain-lookup Router(config)# no ip

domain-lookup Router(config)#

Tắt tính tự động phân dải câu lệnh nhập vào không sang host name

14 Lệnh logging synchronous

Bảng 3.14: Câu lệnh logging synchronous Router(config)# line

console

Chuyển cấu hình vào chế độ line Router(config-line)#

logging synchronous

Bật tính synchronous logging Những thơng tin hiển thị hình console không ngắt câu lệnh mà bạn gõ

15 Lệnh exec-timeout

Bảng 3.15: Câu lệnh exec-timeout Router(config)# line

console

Chuyển cấu hình vào chế độ line Router(config-line)#

exec-timeout 0

Cấu hình thời gian để giới hạn hình console tự động log off Cấu hình tham số 0 (phút giây) đồng nghĩa với việc console khơng bị log off

16 Lưu file cấu hình

Bảng 3.16: Câu lệnh lưu file cấu hình Router# copy running-config

startup config

Lưu file cấu hình chạy RAM (file running config) vào NVRAM

Router# copy running-config tftp

(33)

RAM vào server TFTP 17 Xóa file cấu hình

Bảng 3.17: Xố file cấu hình Router# erase

startup-config

Xóa file cấu hình lưu NVRAM

18 Sử dụng lệnh Show

Bảng 3.18: Sử dụng lệnh show

Router#show ? Hiển thị tất câu lệnh show có khả thực thi

Router#show interfaces Hiển thị trạng thái cho tất Interface

Router#show interface serial 0/0/0

Hiển thị trạng thái cho interface

Router#show ip interface brief

Hiển thị thông tin tổng quát cho tất interface, bao gồm trạng thái địa IP gán

Router#show controllers serial 0/0/0

Hiển thị thông tin phần cứng interface

Router#show clock Hiển thị thời gian cấu hình router

Router#show hosts Hiển thị bảng host (Bảng có chứa danh mục ánh xạ địa ip với host name)

Router#show users Hiển thị user kết nối trực tiếp vào thiết bị

(34)

Router#show protocols Hiển thị trạng thái giao thức layer cấu hình router

Router#show startup-config

Hiển thị file cấu hình Startup lưu NVRAM

Router#show running-config

Hiển thị cấu hình chạy RAM 19 Sử dụng lệnh do

Bảng 3.19: Câu lệnh do Router(config)# show

running-config Router(config)#

Câu lệnh show running-config thực chế độ privileged, đưa từ khóa vào trước câu lệnh bạn thực thi câu lệnh chế độ Global configuration

(35)

3.1: Cho sơ đồ mạng bên dưới, cấu hình tham số router sử dụng câu lệnh phạm vi học

Yêu cầu đánh giá - Trình bày chức Router

(36)

BÀI 4

ĐỊNH TUYẾN TĨNH Giới thiệu:

Như biết, Router thực việc định tuyến dựa vào công cụ gọi bảng định tuyến (routing table) Nguyên tắc gói tin IP đến Router tra bảng định tuyến, đích đến gói tin thuộc entry có bảng định tuyến gói tin chuyển tiếp, khơng, gói tin bị loại bỏ Bảng định tuyến router thể router biết có subnet tồn mạng mà tham gia muốn đến subnet phải theo đường Trong này, tìm hiểu cách cấu hình định tuyến tuyến tĩnh, hình thức định tuyến mà người quản trị phải cấu hình đường cho Router để biết đường đến mạng khác

Mục tiêu:

- Trình bày ý nghĩa, ưu điểm nhược điểm định tuyến tĩnh - Cấu hình định tuyến tĩnh Router

- Cấu hình Default Route Router

- Sử dụng lệnh Ping lệnh Traceroute để kiểm tra kết nối định tuyến

- Hiển thị bảng định tuyến

Nội dung:

1 Cấu hình định tuyến tĩnh

- Khi sử dụng câu lệnh ip route, bạn xác định nơi mà gói tin định tuyến theo hai cách sau:

+ Địa ip router (next-hop) + Interface Router bạn cấu hình

(37)

Bảng 4.1: Cấu hình định tuyến tĩnh Router(config)# ip route

172.16.20.0 255.255.255.0 172.16.10.2

Trong :

172.16.20.0 = mạng đích

255.255.255.0 = subnet mask mạng đích

Các bạn hiểu câu lệnh sau: Để đến mạng đích 172.16.20.0, với subnet

mask mạng

255.255.255.0, gửi tất liệu 172.16.10.2

Router(config)# ip route 172.16.20.0 255.255.255.0 serial 0/0/0

Trong đó:

172.16.20.0 = mạng đích

255.255.255.0 = subnet mask mạng đích

Các bạn hiểu câu lệnh sau:

Để đến mạng đích 172.16.20.0, với subnet mask mạng 255.255.255.0, gửi tất liệu ngồi interface s0/0/0 2 Cấu hình Default Route

Bảng 4.2: Cấu hình Default Route Router(config)# ip route

0.0.0.0 0.0.0.0 172.16.10.2

Khi router nhận gói liệu mà đích gói liệu khơng có bảng định tuyến gửi gói liệu 172.16.10.2

(38)

0.0.0.0 0.0.0.0 Serial 0/0/0

mà đích gói liệu khơng có bảng định tuyến gửi gói liệu interface s0/0/0

3 Sử dụng lệnh Ping Traceroute 3.1 Sử dụng lệnh Ping bản

Bảng 4.3: Hướng dẫn sử dụng lệnh Ping

Router#ping w.x.y.z Kiểm tra kết nối Layer với thiết bị có địa IP w.x.y.z

Router#ping Vào chế độ ping mở rộng, bạn cung cấp tùy chọn

Bảng 4.4: Bảng mô tả khả mà câu lệnh ping hiển thị

Ký tự Mô tả

! Nhận thành cơng gói tin trả

Thiết bị báo timed out trờ

nhận kết trả

U Đích khơng có khả kết nối đến

và thông điệp lỗi PDU nhận

Q Đích q bận khơng thể trả lời

gói tin yêu cầu trả lời từ câu lệnh ping

M Gói tin khơng thể phân mảnh

? Khơng xác định loại gói tin

(39)

3.2 Sử dụng lệnh Ping mở rộng

Bảng 4.4: Hướng dẫn sử dụng lệnh Ping mở rộng

Router#ping 172.168.20.1 Tiến hành kiểm tra thông tin kết nối Layer cho thiết bị đích địa IP

Router#ping paris Chức giống câu lệnh thông qua IP host name

Router#ping Chuyển chế độ cấu hình vào chế độ ping mở rộng: bạn thay đổi tham số cho câu lệnh ping kiểm tra Protocol [ip]: nhấn Enter Thực nhấn Enter cho việc sử

dụng ping IP Target IP address:

172.16.20.1

Nhập địa IP đích mà bạn muốn kiểm tra

Repeat count [5]: 100 Nhập số gói tin yêu cầu mà bạn muốn gửi Mặc định gói

Datagram size [100]: nhấn Enter

Nhấn Enter để sử dụng kích thước gói tin mặc định 100

Timeout in Seconds [2]: nhấn Enter

Nhấn Enter để sử dụng thời gian timeoute delay gửi echo requests mặc định

Extended commands [n]: yes Nhấn yes phép bạn cấu hình câu lệnh mở rộng

Source address or interface: 10.0.10.1

Nhập vào địa IP nguồn mà bạn muốn ping

Type of Service [0] Cho phép bạn cấu hình trường TOS IP header

Set DF bit in IP header [no]

Cho phép bạn cấu hình bit DF IP header

(40)

kiểm tra liệu

Data Pattern [0xABCD] Cho phép bạn thay đổi data pattern trường data gói tin ICMP echo request

Loose, Strict, Record, Timestamp,

Verbose[none]: ｮ

Sweep range of sizes [no]: ｮ

Type escape sequence to abort

Sending 100, 100-byte ICMP Echos to

172.16.20.1, timeout is seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!! !!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!! Success rate is 100 percent (100/100) roundtrip

min/avg/max = 1/1/4 ms 3.3 Sử dụng lệnh Traceroute

Bảng 4.5: Hướng dẫn sử dụng lệnh Traceroute Router# traceroute

172.168.20.1

Xác định đường gói tin di chuyển đến đích có địa IP 172.168.20.1

(41)

như câu lệnh thay dùng IP bạn sử dụng IP host name

Router# trace 172.16.20.1 Trace = traceroute 4 Hiển thị bảng định tuyến

Bảng 4.6: Sử dụng lệnh hiển thị bảng định tuyến

Router# show ip route Hiển thị toàn bảng định tuyến Router# show ip route

protocol

Hiển thị bảng định tuyến giao thức (Ví dụ như: RIP IGRP)

Router# show ip route w.x.y.z

Hiển thị thông tin đường w.x.y.z Router# show ip route

connected

Hiển thị bảng đường kết nối trực tiếp đến thiết bị

Router# show ip route static

Hiển thị bảng định tuyến giao thức Static

Router# show ip route summary

(42)

4.1: Cho sơ đồ mạng hình sau, cấu hình Static route Router

- Nêu định nghĩa định tuyến tĩnh, qua rút ưu điểm nhược điểm giao thức định tuyến tĩnh

- Cấu hình định tuyến tĩnh Default Route Router

(43)

BÀI 5

ĐỊNH TUYẾN RIP Giới thiệu:

RIP (Routing Infomation Protocol) giao thức distance – vector điển hình Mỗi router gửi tồn bảng định tuyến cho Router láng giềng theo định kỳ 30s/lần Thông tin lại tiếp tục Router láng giềng lan truyền tiếp cho Router láng giềng khác lan truyền Router tồn mạng Kiểu trao đổi thơng tin gọi “lan truyền theo tin đồn” Ở đây, ta hiểu Router láng giềng Router kết nối trực tiếp với Router xét Bài hướng dẫn cấu hình định tuyến RIP Router Cisco

Mục tiêu:

- Trình bày ý nghĩa, ưu điểm nhược điểm định tuyến RIP - Sử dụng lệnh ip classes để chuyển hướng đến default router - Sử dụng lệnh cấu hình bắt buộc định tuyến RIP - Sử dụng lệnh cấu hình tuỳ chọn định tuyến RIP - Xử lý lỗi RIP

Nội dung:

1 Sử dụng lệnh ip classess

Bảng 5.1: Hướng dẫn sử dụng lên ip classess

Router(config)# ip classess Router nhận gói liệu mà đích gói liệu khơng có bảng định tuyến gói liệu định tuyến đến default route Router(config)# no ip

classess

(44)

2 Sử dụng lệnh cấu hình bắt buộc

Bảng 5.2: Hướng dẫn sử dụng lệnh cấu hình bắt buộc

Router(config)# router rip Cho phép router sử dụng giao thức định tuyến RIP

Router(config-router)# network w.x.y.z

Trong w.x.y.z mạng kết nối trực tiếp vào router bạn mà bạn muốn quảng bá

* Chú ý: Bạn cần quảng bá mạng đầy đủ (classful), không phải subnet:

Router(config-router)# network 172.16.0.0 Không phải quảng bá:

Router(config-router)# network 172.16.10.0

- Nếu bạn quảng bá subnet, bạn khơng nhận thơng điệp báo lỗi, Router tự động chuyển subnet địa mạng classfull 3 Sử dụng lệnh cấu hình tùy chọn

Bảng 5.3: Hướng dẫn sử dụng lệnh cấu hình tuỳ chọn Router(config)# no router

rip

Tắt giao thức định tuyến hoạt động router

Router(config-router)# no network w.x.y.z

Xóa bỏ mạng w.x.y.z khỏi trình định tuyến RIP

Router(config-router)# version

Giao thức định tuyến sử dụng để nhận gửi gói tin Ripv2

Router(config-router)# version

Giao thức định tuyến sử dụng để nhận gửi gói tin Ripv1

Router(config-if)# ip rip send version

Router gửi gói tin Ripv1 qua interface

(45)

send version tin Ripv2 qua interface Router(config-if)# ip rip

send version

Router gửi gói tin Ripv1 Ripv2 qua interface Router(config-if)# ip rip

receive version

Router nhận gói tin Ripv1 qua interface

Router(config-if)# ip rip receive version

Router nhận gói tin Ripv2 qua interface

Router(config-if)# ip rip receive version

Router nhận gói tin Ripv1 Ripv2 qua interface

Router(config-router)# no auto- summary

Tắt tính tự động tổng hợp địa mạng classful (chỉ có tác dụng với Ripv2)

Router(config-router)# passive- interface s0/0/0

Router không gửi thông tin định tuyến rip interface

Router(config-router)# neighbor

a.b.c.d

Chỉ neighbor để trao đổi thông tin định tuyến

Router(config-router)# no ip split- horizon

Tắt tính split horizon router Router(config-router)# ip

split-horizon

Enable tính split horizon router

Router(config-router)# timers basic 30 90 180 270 360

Thay đổi tham số thời gian với RIP:

(46)

Router(config-router)# maximum-paths x

Giới hạn số đường cho cân tải x (4 mặc định, tối đa)

Router(config-router)# default-information orginate

Cấu hình default route rip

4 Xử lý lỗi RIP

Bảng 5.4: Lệnh xử lý lỗi RIP

Router# debug ip rip Hiển thị tất thông tin rip xử lý router

Router# show ip rip database

(47)

5.1: Cho sơ đồ mạng hình bên dưới, cấu hình giao thức định tuyến RIPv2, thơng số cấu hình RIPv2 sử dụng câu lệnh phạm vi học

- Nêu định nghĩa định tuyến RIP ưu điểm, nhược điểm giao thức - Cấu hình định tuyến RIP Router

(48)

BÀI 6

ĐỊNH TUYẾN EIGRP Giới thiệu:

EIGRP (Enhance Interio Gateway Routing Protocol) giao thức định tuyến Cisco phát triển, chạy sản phẩm Cisco Đây điểm khác biệt EIGRP so với giao thức định tuyến khác Một đặc điểm bật việc cải tiến hoạt động EIGRP không gửi cập nhật theo định kỳ mà gửi toàn bảng định tuyến cho láng giềng cho lần thiết lập quan hệ láng giềng, sau gửi cập nhật có thay đổi Điều tiết kiệm nhiều tài nguyên mạng Bài hướng dẫn cấu hình định tuyến EIGRP Router Cisco

Mục tiêu:

- Trình bày ý nghĩa, ưu điểm nhược điểm định tuyến EIGRP - Cấu hình định tuyến EIGRP

- Cấu hình EIGRP Auto-Summarization - Kiểm tra cấu hình EIGRP

- Xử lý lỗi EIGRP

- Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an toàn cho người thiết bị

Nội dung:

1 Cấu hình Enhanced Interior Gateway Routing Protocol (EIGRP) Bảng 6.1: Các lệnh cấu hình EIGRP

Router(config)# router eigrp 100

(49)

Chỉ mạng quảng bá giao thức định tuyến EIGRP

Router(config-if)# bandwidth x

Cấu hình giá trị băng thông cho Interface x kbps phép EIGRP tính tốn metric đường

Câu lệnh bandwidth sử dụng cho việc tính tốn metric Nó khơng ảnh hưởng đến hiệu xuất hoạt động interface

Router(config-router)# no network 10.0.0.0

Xóa bỏ mạng từ tiến trình xử lý EIGRP

Router(config)# no router eigrp 100

Disable tiến trình định tuyến EIGRP

0.255.255.255

Xác định interface mạng quảng bá EIGRP Những interface phải cấu hình địa IP nằm dải mà câu lệnh network quảng bá

Router(config-router)# metric weights tos k1 k2 k3 k4 k5

Thay đổi giá trị K mặc định sử dụng thuật toán DUAL để tính tốn metric

Các giá trị mặc định: tos = 0; k1 = 1; k2 = 0; k3 = 1; k4 = 0; k5 =

* Chú ý: Để Router thiết lập mối quan hệ neighbor các giá trị K phải cấu hình giống Router Nếu bạn không thực hiểu hệ thống mạng bạn, bạn khơng nên thay đổi giá trị K 2 Cấu hình EIGRP Auto-Summarization

Bảng 6.2: Các lệnh Cấu hình EIGRP Auto-Summarization

(50)

auto-summary EIGRP hoạt động với tính auto-summary

Chú ý: Theo mặc định tính auto-summary enable bị disable tùy theo phiên Cisco IOS

Router(config-router)# no auto-summary

Disable tính auto-summarization

Chú ý: Câu lệnh auto-summary bị disable theo mặc định, phiên Cisco IOS 12.2(8)T

Router(config)# interface fastEthernet 0/0

Vào chế độ cấu hình interface Fa0/0 Router(config)# ip

summary-address eigrp 100 10.10.0.0 255.255.0.0 75

Enable chức tổng hợp địa tay cho EIGRP AS 100 interface Giá trị AD (Administrative distance) 75 gán cho route summary

* Chú ý:

- Giao thức định tuyến EIGRP tự động tổng hợp địa mạng thành địa Classful Nếu mạng thiết không tốt với subnet khơng liền kề dẫn đến số vấn đề kết nối tính auto-summary hoạt động Cho ví dụ, bạn có router quảng bá mạng 172.16.0.0/16, thực router muốn quảng bá hai mạng khác là: 172.16.10.0/24 172.16.20.0/24

(51)

3 Kiểm tra EIGRP

Bảng 6.3: Các lệnh kiểm tra EIGRP Router# show ip eigrp

neighbors

Hiển thị bảng neighbor Router# show ip eigrp

neighbors detail

Hiển thị chi tiết bảng neighbor Router# show ip eigrp

interface serial 0/0

Hiển thị thông tin interface chạy giao thức định tuyến EIGRP với AS 100

Router# show ip eigrp topology

Hiển thị bảng topology Router# show ip eigrp

traffi

Hiển thị số lượng gói tin loại gói tin nhận gửi Router# show ip route eigrp Hiển thị bảng định tuyến vói

route xử lý EIGRP 4 Xử lý lỗi EIGRP

Bảng 6.4: Các lệnh xử lý lỗi EIRGP

Router# debug eigrp fsm Hiển thị kiện hoạt động có liên quan đến EIGRP feasible successor metrics (FSM)

Router# debug eigrp packet Hiển thị kiện hoạt động có liên quan đến gói tin EIGRP

Router# debug eigrp neighbor

Hiển thị kiện hoạt động có liên quan đến EIGRP neighbors

Router# debug ip eigrp notifications

Hiển thị kiện cảnh báo EIGRP

(52)

6.1: Cho sơ đồ mạng hình bên dưới, cấu hình định tuyến EIGRP Router

- Nêu định nghĩa giao thức định tuyến EIGRP Phân tích ưu điểm nhược điểm giao thức

(53)

BÀI 7

ĐỊNH TUYẾN OSPF Giới thiệu:

OSPF (Open Shortest Path First) giao thức định tuyến link – state điển hình Đây giao thức định tuyến sử dụng rộng rãi mạng doanh nghiệp có kích thước lớn Mỗi Router chạy giao thức gửi trạng thái đường link cho tất Router vùng (area) Sau thời gian trao đổi, Router đồng bảng sở liệu trạng thái đường link (Link State Database – LSDB) với nhau, Router có “bản đồ mạng” vùng Từ Router chạy giải thuật Dijkstra tính tốn đường ngắn (Shortest Path Tree) dựa vào để xây dựng nên bảng định tuyến Bài hướng dẫn cấu hình định tuyến OSPF Router Cisco

Mục tiêu:

- Trình bày ý nghĩa, ưu điểm nhược điểm định tuyến OSPF - Cấu hình chế độ định tuyến OSPF

- Cấu hình Loopback Interface quảng bá Default Route - Kiểm tra cấu hình OSPF

- Xử lý lỗi OSPF

Nội dung:

1 Cấu hình OSPF

Bảng 7.1: Các lệnh cấu hình OSPF Router(config)# router

ospf 123

(54)

Router(config-router)# network 172.16.10.0 0.0.255 are

OSPF quảng bá interface, quảng bá mạng Sử dụng wildcard mask để xác định interface quảng bá

* Chú ý: Proccess ID router không cần thiết phải giống với process ID router khác

Router(config-router)# log-adjacency-changes detail

Cấu hình để router gửi thơng điệp log có thay đổi trạng thái OSPF neighbor 2 Sử dụng wildcard mask với OSPF area

- Khi dùng để so sánh địa IP, wildcard mask xác định địa tương ứng cho area:

+ Giá trị wildcard mask dùng để kiểm tra bit địa IP phải tương ứng

+ Giá trị wildcard mask dùng để bỏ qua bit địa IP

Ví dụ 1: 172.16.0.0 0.0.255.255

172.16.0.0 = 10101100.00010000.00000000.00000000 0.0.255.255 = 00000000.00000000.11111111.11111111 result = 10101100.00010000.xxxxxxxx.xxxxxxxx

172.16.x.x (mọi địa IP nằm khoảng từ 172.16.0.0 172.16.255.255 tương ứng với ví dụ này)

Ví dụ 2: 172.16.8.0 0.0.7.255

172.168.8.0 = 10101100.00010000.00001000.00000000 0.0.0.7.255 = 00000000.00000000.00000111.11111111 result = 10101100.00010000.00001xxx.xxxxxxxx 00001xxx = 00001000 to 00001111 = 8–15

(55)

Mọi địa IP nằm khoảng từ 172.16.8.0 đến 172.16.15.255 tương ứng với ví dụ

Bảng 7.2: Sử dụng wildcard mask với OSPF area Router(config-router)#

network 172.16.10.1 0.0.0.0 are

Câu lênh hiểu sau: Mọi interface có địa IP xác 172.16.10.1 hoạt động area

Router(config-router)# network 172.16.10.0 0.0.255.255 are

Câu lênh hiểu sau: Mọi interface có địa IP nằm dải từ 172.16.0.0 đến 172.16.255.255 quảng bá area

255.255.255.255 are

Câu lênh hiểu sau: Mọi địa IP Interface quảng bá area

3 Cấu hình Loopback Interface

Bảng 7.3: Các lệnh cấu hình Loopback Interface Router(config)# interface

loopback

Tạo interface ảo tên loopback 0, sau chuyển vào chế độ cấu hình interface

Router(config-if)# ip address 192.168.100.1 255.255.255.255

Gán địa IP cho interface * Chú ý: Loopback interface up không down trừ bạn shutdown Địa IP interface loopback lớn chọn làm OSPF router ID

4 Quảng bá Default Route

(56)

0.0.0.0 0.0.0.0 s0/0

Router(config)# router ospf

Khởi động giao thức định tuyến OSPF với process id

Router(config-router)# default-information originate

Thực quảng bá default route cho tất router chạy OSPF Router(config-router)#

default-information originate always

Từ khóa always tùy chọn dùng để quảng bá default “quad-zero” route default route khơng cấu hình router

* Chú ý: Câu lệnh default-information originate default-information originate always sử dụng router gateway, router kết nối đến mạng outside – Thơng thường router gọi là: Autonomous System Boundary Router (ASBR)

5 Kiểm tra cấu hình OSPF

Bảng 7.5: Các lệnh kiểm tra cấu hình OSPF

Router#show ip protocol Hiển thị tham số giao thức chạy router

Router#show ip route Hiển thị bảng định tuyến

Router#show ip ospf Hiển thị thơng tin tiến trình xử lý giao thức định tuyến OSPF

Router#show ip ospf interface

(57)

Router#show ip ospf

interface fastethernet 0/0

Hiển thị thông tin OSPF liên quan đến interface fa0/0

Router#show ip ospf border-routers

Hiển thị thông tin router border boundary

Router#show ip ospf neighbor

Hiển thị danh sách OSPF neighbor trạng thái Router#show ip ospf

neighbor detail

Hiển thị chi tiết danh sách neighbor

Router#show ip ospf database

Hiển thị bảng OSPF database

6 Xử lý lỗi OSPF

Bảng 7.6: Các lệnh xử lý lỗi OSPF

Router# clear ip route * Xóa thơng tin bảng định tuyến, để router thực xây dựng lại bảng định tuyến

Router# clear ip route a.b.c.d

Xóa route bảng định tuyến

Router# clear ip ospf process

Khởi tạo lại tồn tiến trình xử lý OSPF router, giao thức định tuyến OSPF thực xây dựng lại bảng neighbor, bảng database bảng định tuyến

Router# debug ip ospf events

Hiển thị kiện OSPF Router# debug ip ospf

adjacency

Hiển thị trạng thái khác OSPF bầu chọn DR/BDR router neighbor

Router# debug ip ospf packets

Hiển thị gói tin mà OSPF thực trao đổi router

(58)

7.1: Cho sơ đồ mạng hình bên dưới, cấu hình định tuyến OSPF Router

- Nêu định nghĩa giao thức định tuyến OSPF Phân tích ưu điểm nhược điểm giao thức

- Cấu hình định tuyến OSPF Router

(59)

BÀI 8

CẤU HÌNH SWITCH Giới thiệu:

Các Switch thơng thường hoạt động chuyển mạch thông thường layer mà khơng cần phải cấu hình, việc sử dụng Switch Cisco có nhiều chức bật, đặc biệt Switch layer Bài giúp cho người học làm quen với chế độ dòng lệnh đăng nhập vào Switch Đồng thời, sử dụng các dịng lệnh để cấu hình cho Switch Cisco

Mục tiêu:

- Trình bày chức Switch

- Cấu hình Switch sử dụng lệnh - Sử dụng câu lệnh kiểm tra Switch

- Điều chỉnh tốc độ truyền tải liệu Interface Switch - Quản lý bảng địa MAC ghi lại Switch

- Cấu hình kiểm tra Switch port security - Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an toàn cho người thiết bị

Nội dung:

1 Lệnh trợ giúp

Bảng 8.1: Hướng dẫn sử dụng lệnh trợ giúp

Switch> ? Phím ? dùng làm phím trợ giúp giống router

2 Các chế độ hoạt động lệnh

Bảng 8.2: Hướng dẫn chế độ hoạt động lệnh

Switch> enable Là chế độ User, giống router Switch# Là chế độ Privileged

(60)

3 Các lệnh kiểm tra

Bảng 8.3: Hướng dẫn sử dụng câu lệnh kiểm tra

Switch# show running-config Hiển thị file cấu hình chạy RAM

Switch# show startup-config

Hiển thị file cấu hình chạy NVRAM

Switch# show post Hiển thị trình POST

Switch# show vlan Hiển thị thơng tin cấu hình VLAN Switch# show interfaces Hiển thị thơng tin cấu hình

interface có switch trạng thái interface

* Chú ý: Câu lệnh không hỗ trợ số phiên Cisco IOS 12.2(25)FX

Switch# show interface vlan

Hiển thị thông số cấu hình Interface VLAN 1, Vlan vlan mặc định tất switch cisco

* Chú ý: Câu lệnh không hỗ trợ số phiên Cisco IOS 12.2(25)FX

Switch# show version Hiển thị thông tin phần cứng phần mềm switch

Switch# show flash: Hiển thị thông tin nhớ flash Switch# show

mac-address-table

Hiển thị bảng địa MAC switch

Switch# show controllers ethernet- controller

(61)

4 Xóa tập tin cấu hình Switch

Bảng 8.4: Hướng dẫn sử dụng lệnh xố tập tin cấu hình Switch Switch# delete

flash:vlan.dat

Xóa VLAN database từ nhớ flash: Delete filename [vlan.dat]? Nhấn phím Enter

Delete flash:vlan.dat? [confirm]

Nhấn phím Enter

Switch# erase starup-config Xóa file cấu hình lưu NVRAM Switch# reload Khởi động lại switch

5 Cấu hình tên Switch

Bảng 8.5: Huớng dẫn cấu hình tên Switch

Switch# configure terminal Chuyển cấu hình vào chế độ Global Configuration

Switch(config)# hostname 2960Switch

Đặt tên cho switch 2960Switch Câu lệnh đặt tên thực thi giống router

2960Switch(config)# 6 Cấu hình mật khẩu

Cấu hình password cho dòng switch 2960 tương tự thực router

Bảng 8.6: Hướng dẫn cấu hình mật khẩu 2960Switch(config)# enable

password cisco

Cấu hình Password enable cho switch Cisco

2960Switch(config)#enable secret class

Cấu hình Password enable mã hóa class

2960Switch(config)#line console

Vào chế độ cấu hình line console

2960Switch(config-line)#login

(62)

2960Switch(config-line)#password cisco

Cấu hình password cho console Cisco

2960Switch(config-line)#exit

Thốt khỏi chế độ cấu hình line console

2960Switch(config-line)#line aux

Vào chế độ cấu hình line aux

Cho phép switch kiểm tra password người dùng login vào switch thông qua cổng aux

Cấu hình password cho cổng aux Cisco

Thoát khỏi chế độ cấu hình line aux

2960Switch(config-line)#line vty

Vào chế độ cấu hình line vty

Cho phép switch kiểm tra password người dùng login vào switch thông qua telnet

Cấu hình password cho phép telnet Cisco

Thoát khỏi chế độ cấu hình line vty

2960Switch(config)#

7 Cấu hình địa IP default gateway

Bảng 8.7: Hướng dẫn cấu hình địa IP default gateway 2960Switch(config)#

Interface vlan

Vào chế độ cấu hình interface vlan

2960Switch(config-if)# ip address 172.16.10.2

255.255.255.0

(63)

2960Switch(config)#ip default- gateway

172.16.10.1

Cấu hình địa default gateway cho switch

8 Cấu hình mơ tả cho Interface

Bảng 8.8: Hướng dẫn cấu hình mơ tả Interface 2960Switch(config)#

Vào chế độ cấu hình interface fa0/1

2960Switch(config-if)# description Finace VLAN

Thêm đoạn mô tả cho interface

* Chú ý: Đối với dịng switch 2960 có 12 24 Fast Ethernet port thì tên port bắt đầu từ: fa0/1, fa0/2… Fa0/24 Khơng có port Fa0/0 9 Cấu hình Duplex

Bảng 8.9: Hướng dẫn cấu hình Duplex 2960Switch(config)#

Chuyển cấu hình vào chế độ interface fa0/1

2960Switch(config-if)# duplex full

Cấu hình cho interface fa0/1 hoạt động chế độ full duplex

2960Switch(config-if)# duplex auto

Cấu hình cho interface fa0/1 hoạt động chế độ auto duplex

2960Switch(config-if)# duplex half

Cấu hình cho interface fa0/1 hoạt động ởchế độ half duplex

10 Cấu hình tốc độ

Bảng 8.10: Hướng dẫn cấu hình tốc độ 2960Switch(config)#

Chuyển cấu hình vào chế độ fa0/1 2960Switch(config-if)#

speed 10

Cấu hình tốc độ cho interface fa0/1 10Mbps

2960Switch(config-if)# speed 100

(64)

2960Switch(config-if)# speed auto

Cho phép interface fa0/1 tự động điều chỉnh tốc độ phù hợp

11 Quản lý bảng địa MAC

Bảng 8.11: Hướng dẫn quản lý bảng địa MAC Switch# show mac

address-table

Hiển thị nội dung bảng địa mac thời switch

Switch# clear mac address-table

Xóa tồn danh mục bảng địa mac

Switch# clear mac address-table dynamic

Xóa tồn danh mục xây dựng tự động bảng địa mac switch

12 Cấu hình MAC address

Bảng 8.12: Hướng dẫn cấu hình Switch port security 2960Switch(config)#mac

address table static aaaa.aaaa.aaaa vlan interface fastethernet 0/1

Gán địa MAC cố định vào port fa0/1 nằm Vlan

2960Switch(config)#no mac address-table static

aaaa.aaaa.aaaa vlan interface fastethernet 0/1

Xóa bỏ địa mac gán cố định vào port fa0/1 nằm VLAN

13 Cấu hình Switch port security

Bảng 8.13: Hướng dẫn cấu hình Switch port security Switch(config)# interface

fastEthernet 0/1

Switch(config-if)#

switchport port- security

Enable tính port security interface

Switch(config-if)# switch port-security maximum

(65)

Switch(config-if)#switchport port- Security mac-address 1234.5678.90ab

Gán cố định địa MAC 1234.5678.90ab vào port fa0/1 Nếu bạn muốn gán thêm địa MAC vào port bạn phải cấu hình thêm giá trị cho phép địa MAC học vào port câu lệnh

Switch(config-if)#switchport

port-security violation shutdown

Cấu hình port security trở trạng thái shutdown vi phạm luật đặt

* Chú ý: chế độ shutdown, thì port trạng thái errdisabled, danh mục log tạo ra, bạn muốn khôi phục lại trạng thái hoạt động bình thường port bạn phải Enable lại interface

Switch(config-if)#switchport port-

security violation restrict

Nếu vi phạm vào tính bảo mật port security trở trạng thái restrict (là trạng thái mà port hủy liệu nhận đồng thời tạo danh muc log, interface hoạt động bình thường)

Switch(config-if)#switchport

port-security violation protect

Nếu vi phạm vào tính bảo mật đặt cho mức độ port port trở trạng thái Protect

(66)

Port hoạt động bình thường 14 Kiểm tra switch port security

Bảng 8.14: Lệnh kiểm tra Switch port security

Switch# show port-security Hiển thị thông tin bảo mật cho interface

Swtich# show port-security interface fastethernet 0/5

Hiển thị thông tin bảo mật cho interface fa0/5

Switch# show port-security address

Hiển thị thông tin bảo mật bảng địa MAC

Switch# show mac address-table

Hiển thị bảng địa MAC Switch# clear mac

address-table dynamic

Xóa tồn địa MAC học thông qua phương pháp dynamic

Switch# clear mac address-table dynamic address aaaa.bbbb.cccc

Xóa địa MAC cụ thể chi

Switch# clear mac address-table dynamic interface fastethernet 0/5

Xóa tất địa MAC học tự động interface fa0/5 Switch# clear mac

address-table dynamic vlan 10

Xóa tồn địa MAC học tự động VLAN 10

(67)

8.1: Cho sơ đồ mạng bên dưới, sử dụng lệnh cấu hình phạm vi học để cấu hình cho Switch 2960

Yêu cầu đánh giá - Trình bày chức Switch

- Sử dụng lệnh cấu hình để cấu hình Switch - Quản lý bảng ghi địa MAC Switch

- Cấu hình kiểm tra Switch port security

(68)

BÀI 9

CẤU HÌNH VLAN Giới thiệu:

Như biết, LAN mạng cục (viết tắt Local Area Network), định nghĩa tất máy tính miền quảng bá (broadcast domain) Cần nhớ Router (bộ định tuyến) chặn tin quảng bá, Switch (bộ chuyển mạch) chuyển tiếp chúng

VLAN mạng LAN ảo Về mặt kỹ thuật, VLAN miền quảng bá tạo Switch Layer Thơng thường Router đóng vai trị tạo miền quảng bá Đối với VLAN, switch tạo miền quảng bá Bài học hướng dẫn cách tạo quản lý VLAN Switch Layer Cisco

Mục tiêu:

- Trình bày chức VLAN - Cấu hình VLAN Switch Layer

- Sử dụng câu lệnh kiểm tra thông tin VLAN - Lưu xố cấu hình VLAN

Nội dung: 1 Tạo VLAN

Static VLAN sử dụng port switch gán tay người quản trị mạng vào VLAN Mỗi port gán vào VLAN Theo mặc định, tất port switch gán vào VLAN Ta tạo VLAN theo bảng lệnh đây:

Bảng 9.1: Hướng dẫn tạo VLAN

(69)

Engineering vlan từ đến 32 ký tự

Switch(config-vlan)# exit Những thay đổi vlan thực thi, giá trị revision number tăng thêm 1, trở chế độ global configuration

Switch(config)# 2 Gán port vào VLAN

Bảng 9.2: Hướng dẫn gán port vào VLAN Switch(config)# interface

fastethernet 0/1

Switch(config-if)# switchport mode access

Cấu hình port fa0/1 hoạt động chế độ access

Switch(config-if)#

switchport access vlan 10

Gán port Fa0/1 vào vlan 10 3 Kiểm tra thông tin VLAN

Bảng 9.3: Hướng dẫn kiểm tra thông tin VLAN Switch# show vlan Hiển thị thông tin vlan

Switch# show vlan brief Hiển thị thông tin vlan dạng tổng quát

Switch# show vlan id Hiển thị thông tin vlan Switch# show vlan name

marketing

Hiển thị thông tin vlan có tên marketing

Switch# show interfaces vlan x

Hiển thị thông tin vlan câu lệnh

4 Xóa cấu hình VLAN

Bảng 9.4: Hướng dẫn xố cấu hình VLAN Switch# delete

flash:vlan.dat

Xóa tồn thơng tin vlan database từ flash

(70)

fastethernet 0/5 interface fa0/5

Switch(config-if)# exit Trở chế độ cấu hình Global configuration

Switch(config)# no vlan Xóa VLAN từ vlan database Hoặc

Switch# vlan database Chuyển cấu hình vào chế độ VLAN database

Switch(vlan)# no vlan Xóa vlan từ vlan database

Switch(vlan)# exit Thực thi thay đổi, tăng giá trị srevision number nên 1, thoát khỏi chế độ VLAN databse

(71)

9.1: Hãy sử dụng lệnh cấu hình VLAN phạm vi học để cấu hình VLAN theo yêu cầu sơ đồ bên

Yêu cầu đánh giá - Trình bày chức VLAN

(72)

BÀI 10

CẤU HÌNH VTP VÀ ĐỊNH TUYẾN GIỮA CÁC VLAN Giới thiệu:

VTP (VLAN Trunking Protocol) giao thức Cisco hoạt động layer VTP giúp cho việc cấu hình VLAN nhiều Switch ln đồng thêm, xố, sửa thơng tin VLAN hệ thống mạng Tức là, ta cần cấu hình VLAN Switch nhất, Switch quảng bá VLAN cho Switch khác Khi ta xoá, sửa tạo VLAN Switch tăng revision lên đơn vị để Switch khác nhận thay đổi tự động cập nhật Việc cập nhật phải có chung domain trùng khớp mật (nếu có) Bên cạnh đó, ta biết trước, máy tính VLAN nằm Switch thấy khác VLAN không thấy Như vậy, máy tính khác VLAN hay máy tính có VLAN khác Switch khơng nhìn thấy Trong thực tế, cơng ty có nhiều phòng ban thuộc VLAN khác nhau, để chia sẻ liệu phòng ban này? Giải pháp định tuyến VLAN sử dụng Inter-VLAN Routing Router

Mục tiêu:

- Trình bày chức VLAN Trunking Protocol (VTP) Inter-VLAN Routing

- Cấu hình loại encapsulation

- Cấu hình VTP định tuyến VLAN - Kiểm tra cấu hình VTP

(73)

1 Cấu hình Dynamic Trunking Protocol (DTP)

Bảng 10.1: Hướng dẫn Cấu hình Dynamic Trunking Protocol (DTP) Switch(config)# interface

fastethernet 0/1

Switch(config-if)#

switchport mode dynamic desirable

Cho phép interface hoạt động cố gắng thực chuyển đổi sang trạng thái đường trunk

* Chú ý: với câu lệnh switchport mode dynamic desirable cấu hình interface, interface trở thành port trunk interface hàng xóm cấu hình là: trunk, desirable, auto

Switch(config-if)#

switchport mode dynamic Auto

Cho phép interface hoạt động cố gắng thực chuyển đổi sang trạng thái đường trunk

* Chú ý: với câu lệnh switchport mode dynamic auto cấu hình interface, interface trở thành port trunk interface hàng xóm cấu hình là: trunk, desirable

Switch(config-if)#switchport nonegotiate

Khơng cho phép interface chuyển gói tin DTP

(74)

tay interface hàng xóm để thiết lập đường trunk

Switch(config-if)#switchport mode trunk

Cấu hình interface cố định hoạt động trạng thái trunk tự động thương lượng với interface hàng xóm để chuyển đổi liên kết thành * Chú ý:

- Theo mặc định, phụ thuộc vào dịng sản phẩm switch Ví dụ dịng Switch 2960, chế độ mặc định dynamic auto

- Trên dòng switch 2960, theo mặc định tất port hoạt động chế độ access Tuy nhiên, với chế độ mặc định DTP dynamic auto, access port chuyển đổi thành port trunk port nhận thơng tin DTP từ port switch khác port switch cấu hình Trunk desirable Vì bạn nên cấu hình cố định tất port hoạt động chế độ access với câu lệnh: switchport mode access Với cách này, thơng tin DTP thay đổi port hoạt động trạng thái access port thành port trunk Tất port dùng câu lệnh switchport mode access bỏ qua tất yêu cầu chuyển đổi trạng thái đường liên kết 2 Cấu hình loại encapsulation

- Phụ thuộc vào dịng switch mà bạn sử dụng, bạn phải chọn loại VLAN encapsulation mà bạn muốn sử dụng: Giao thức độc quyền cisco Inter-Switch Link (ISL) IEEE 802.1q (dot1q) Với dịng switch 2960 hỗ trợ dot1q trunking

Bảng 10.2: Hướng dẫn Cấu hình loại encapsulation 3560Switch(config)#

interface fa0/1

Chuyển vào chế độ cấu hình interface fa0/1

3560Switch(config-if)#switchport mode trunk

(75)

trạng thái đường liên kết thành trạng thái Trunk

3560Switch(config-if)#switchport trunk encapsulation isl

Cho phép liệu truyền đường trunk đóng gói theo chuẩn giao thức ISL

3560Switch(config-if)#switchport trunk encapsulation dot1q

Cho phép liệu truyền đường trunk đóng gói theo chuẩn giao thức 802.1q

3560Switch(config-if)#switchport trunk encapsulation negotiate

Cho phép interface tự động thương lượng với interface hàng xóm để sử dụng chuẩn ISL 802.1q, phụ thuộc vào dòng sản phẩm cấu hình interface hàng xóm

* Chú ý:

- Khi câu lệnh switchport trunk encapsulation negotiate sử dụng interface, phương pháp trunking ưu tiên ISL

- Với dòng sản phẩm switch 2960 hỗ trợ giao thức dot1q trunking

3 Cấu hình VLAN Trunking Protocol (VTP)

VTP giao thức độc quyền Cisco, giao thức cho phép cấu hình VLAN (thêm, xóa, sửa thơng tin VLAN) trì tập trung thông qua tên miền

Bảng 10.3: Hướng dẫn cấu hình VLAN Trunking Protocol (VTP) Switch(config)# vtp mode

client

Thay đổi chế độ hoạt động switch thành chế độ VTP client

Switch(config)# vtp mode server

Thay đổi hoạt động switch thành chế độ VTP server

(76)

transparent VTP transparent

* Chú ý: Theo mặc định, tất Catalyst switch hoạt động chế độ VTP server

Switch(config)# no vtp mode Cho phép switch trở chế độ hoạt động mặc định VTP server

Switch(config)# vtp domain domain- name

Cấu hình tên cho VTP domain Tên dài từ đến 32 ký tự * Chú ý: tất switch hoạt động chế độ VTP server VTP client phải tên domain

Switch(config)# vtp password password

Cấu hình VTP password Trong phiên Cisco IOS 12.3 phiên sau này, password dạng mã ASCII có độ dài từ đến 32 ký tự Nếu bạn sử dụng phiên Cisco IOS cũ hơn, chiều dài password từ đến 64 ký tự * Chú ý: để trao đổi thông tin vlan với switch khác, tất switch phải cấu hình VTP password

Switch(config)# vtp v2-mode Cấu hình VTP domain hoạt động version Câu lệnh sử dụng cho phiên Cisco IOS 12.3 trở lên Nếu bạn sử dụng phiên Cisco IOS cũ câu lệnh : vtp version

(77)

khơng có khả tương thích với Tất switch phải sử dụng version Sự khác lớn version version version hỗ trợ cho Token Ring VLAN

Switch(config)# vtp pruing Enable tính VTP pruning switch

* Chú ý: Theo mặc định, VTP pruning bị disable Bạn cần phải enable VTP pruning switch hoạt động chế độ VTP server

4 Kiểm tra VTP

Bảng 10.4: Hướng dẫn kiểm tra VTP

Switch# show vtp status Hiển thị thơng tin cấu hình VTP

Switch# show vtp counters Hiển thị đếm VTP switch * Chú ý: Nếu trunking thiết lập trước VTP cấu hình, thì thơng tin VTP quảng bá thông qua đường trunk Tuy nhiên, thơng tin VTP quảng bá theo chu kỳ 30 giây (5 phút), trừ thay đổi thông tin VLAN thay đổi sẽi quảng bá, cần phải thời gian khoảng phút thông tin VTP quảng bá

5 Cấu hình Inter-vlan Routing sử dụng Router

Bảng 10.5: Hướng dẫn Cấu hình Inter-vlan Routing sử dụng Router Router(config)#interface

fastethernet 0/0

(78)

Router(config-if)#duplex full

Cấu hình interface hoạt động chế độ full duplex

Router(config-if)#no shutdown

Enable interface Router(config-if)#interface

fastethernet 0/0.1

Tạo subinterface fa0/0.1 đồng thời chuyển vào chế độ cấu hình subinterface

Router(config-subif)#description management VLAN

Đặt lời mô tả cho subinterface

Router(config-subif)# encapsulation

dot1q native

Gán VLAN cho subinterface VLAN native vlan Subinterface sử dụng giao thức 802.1q Trunking

Router(config-subif)#ip address

192.168.1.1 255.255.255.0

Gán địa IP subnet mask cho subinterface

Router(config-subif)#interface fastethernet 0/0.10

Tạo subinterface fa0/0.1 đồng thời chuyển vào chế độ cấu hình subinterface

Router(config-subif)#description accounting VLAN 10

Đặt lời mô tả cho subinterface

Router(config-subif)#encapsulation dot1q 10

Gán VLAN 10 cho subinterface Subinterface sử dụng giao thức 802.1q Trunking

Router(config-subif)#ip address 192.168.10.1 255.255.255.0

Gán địa IP subnet mask cho subinterface

(79)

Router(config-if)#exit Thốt khỏi chế độ cấu hình Global configuration

Router(config)# * Chú ý :

- Các subnet VLAN kết nối trực tiếp đến router Định tuyến subnet không cần giao thức định tuyến động Trong nhiều mơ hình phức tạp, route cần quảng bá giao thức định tuyến động quảng bá vào giao thức định tuyến động

- Các route subnet tương ứng với vlan xuất bảng định tuyến mạng kết nối trực tiếp

6 Các Lưu ý cấu hình Inter-vlan routing

- Mặc dù hầu hết router có khả hỗ trợ hai giao thức ISL dot1q, số dịng switch có khả hỗ trợ dot1q (ví dụ: Switch 2950 Switch 2960)

- Nếu bạn cần sử dụng ISL giao thức hoạt động đường trunk, sử dụng câu lệnh encapsulation isl x, x số VLAN gán cho Subinterface

- Trong trình thực hành bạn nên sử dụng số vlan với số subinterface Việc dễ dàng cho q trình sửa lỗi có liên quan đến VLAN ví dụ VLAN 10 gán vào subinterface fa0/0.10 thay fa0/0.2

- Native VLAN (thường VLAN 1) khơng thể cấu hình subinterface phiên Cisco IOS 12.1 (3)T trở trước Địa IP Native VLAN cần phải cấu hình cần phải cấu hình interface vật lý Cịn lưu lượng nằm VLAN khác cấu hình subinterface

Router(config)#interface fastethernet 0/0

Router(config-if)#encapsulation dot1q native

(80)

(81)

10.1: Cho sơ đồ mạng hình bên dưới, cấu hình Inter-VLAN Routing router sử dụng câu lệnh nằm phạm vị học trước

- Trình bày chức VLAN Trunking protocol (VTP) Inter-VLAN Routing

- Cấu hình loại encapsulation

(82)

BÀI 11

SAO LƯU VÀ PHỤC HỒI CISCO IOS VÀ CÁC TẬP TIN CẤU HÌNH Giới thiệu:

Sao lưu phục hồi IOS tập tin cấu hình hoạt động cần thiết quan trọng bậc thiết bị Cisco Sao lưu phục hồi liệu giúp người quản trị tránh khỏi mát liệu cấu hình quan trọng Bài học hướng dẫn cách lưu phục hồi IOS tập tin cấu hình Router Switch Cisco

Mục tiêu:

- Trình bày bước lưu phục hồi Cisco IOS tập tin cấu hình

- Sử dụng lệnh Cisco IOS File System - Sao lưu phục hồi Cisco IOS

- Sao lưu phục hồi tập tin cấu hình - Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an tồn cho người thiết bị

Nội dung:

1 Sử dụng lệnh Boot System

Bảng 11.1: Hướng dẫn sử dụng lệnh Boot System Router(config)#boot system

flash imagename

Khởi động với phần mềm Cisco IOS image-name từ Flash

Router(config)#boot system tftp image-name

172.16.10.3

Khởi động với phần mềm Cisco IOS image-name từ TFTP server

Router(config)#boot system rom

Khởi động với phần mềm Cisco IOS từ ROM

Router(config)#exit Thốt khỏi chế độ cấu hình Global Configuration

Router#copy running-config startup-config

(83)

2 Sử dụng lệnh Cisco IOS File System (IFS)

* Chú ý: Cisco IOS File System (IFS) cung cấp giao diện đơn giản để tất file hệ thống có khả thực thi thiết bị định tuyến, bao gồm: file hệ thống nhớ Flash; nework file system TFTP, Remote Copy Protocol (RCP), File Transfer Protocol (FTP); file khác đọc ghi liệu đó, NVRAM running configuration

- Cisco IFS tối ưu yêu cầu cần thiết cho số câu lệnh Thay phải nhập vào câu lệnh copy chế độ EXEC sau hệ thống nhắc bạn phải nhập nhiều tham số khác, bạn cần nhập vào câu lệnh đơn giản dòng với thông tin cần thiết

Bảng 11.2: Hướng dẫn sử dụng lệnh Cisco IOS File System (IFS) Các câu lệnh Cisco IOS

Software

Các câu lệnh IFS

copy tftp running-config copy tftp: system:running-config

copy tftp startup-config copy tftp: nvram:startup-config

show startup-config more nvram:startup-config erase startup-config erase nvram:

copy running-config startupconfig

copy system:running-config nvram:startup-config

copy running-config tftp copy system:running-config tftp:

(84)

3 Sao lưu tập tin cấu hình vào TFTP Server

Bảng 11.3: Hướng dẫn lưu tập tin cấu hình vào TFTP Server Denver#copy running-config

startup-config

Lưu file cấu hình chạy DRAM vào NVRAM

Denver#copy running-config tftp

Sao lưu file cấu hình chạy DRAM TFTP server Address or name of remote

host[ ]? 192.168.119.20

Nhập địa ip TFTP server Destination Filename

[Denver confg]?

Tên sử dụng để lưu TFTP server

!!!!!!!!!!!!!!! Mỗi dấu chấm ! tương đương với gói tin truyền

624 bytes copied in 7.05 secs

Denver# File cấu hình truyền thành cơng TFTP server

4 Khơi phục file cấu hình từ TFTP Server

Bảng 11.4: Hướng dẫn khôi phục file cấu hình từ TFTP Server Denver#copy tftp

running-config

Sao lưu file cấu hình từ TFTP server đến DRAM đồng thời thực thi

Address or name of remote host[ ]?

192.168.119.20

Nhập địa IP TFTP server

Source filename [ ]?Denver-confg

Nhập tên file mà bạn muốn lưu

Destination filename [running-config]? Accessing

tf t p /: / 92 86 1 0/ D e nv e

(85)

r

c o n f g…

Loading Denver-confg from 192.168.119.02

(via Fast Ethernet 0/0): !!!!!!!!!!!!!!

[OK-624 bytes]

Denver#

5 Sao lưu phần mềm Cisco IOS vào TFTP server

Bảng 11.5: Các lệnh lưu phần mềm Cisco IOS vào TFTP server Denver#copy flash tftp

Source filename [ ]? c2600-js-l_121-3.bin

Nhập tên phần mềm Cisco IOS Address or name of remote

host [ ]? 192.168.119.20

Nhập địa IP TFTP server Destination filename

[c2600-js-l_121-3.bin]?

Nhập tên file mà bạn lưu TFTP server

!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!! !!!

8906589 bytes copied in 263.68 seconds

Denver#

6 Phục hồi nâng cấp phần mềm Cisco IOS từ TFTP Server

Bảng 11.6: Phục hồi nâng cấp phần mềm Cisco IOS từ TFTP Server Denver# copy tftp flash

(86)

host [ ]? 192.168.119.20 Source filename [ ]? c2600-js-l_121-3.bin

Destination filename [c2600-js-l_121-3.bin]?

Accessing

tf t p: / / 91 / c 0 -jsl_121-3.bin

Erase flash: before copying? [confirm]

Nếu nhớ flash bị đầy, cần phải xóa trước thực việc copy

Erasing the flash file system will remove

all files

Continue? [confirm] Nhấn Ctrl- C bạn muốn hủy trình

Erasing device

eeeeeeeeeeeeeeeeee…erased

Mỗi ký tự e tương đương với gói liệu bị xóa

Loading c2600-js-l_121-3.bin from 192.168.119.20

(via) FastEthernet 0/0):

!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!

Mỗi dấu ! tương đương với gói liệu lưu

Verifying Check sum ……… OK [OK – 8906589 Bytes]

(87)

7 Khôi phục phần mềm Cisco IOS sử dụng Xmodem

- Những bước làm phù hợp với dòng Cisco Router 1720 Một số tùy chọn khác bạn làm dòng Cisco Router khác, phụ thuộc vào loại sản phẩm

Bảng 11.7: Lệnh khôi phục phần mềm Cisco IOS sử dụng Xmode

rommon >confreg Hiển thị cấu hình cách tổng quát Bạn làm bước thông qua câu hỏi, bạn trả lời mặc định bạn thay đổi giá trị console baud rate Bạn lựa chọn thay đổi thành giá trị 115200; Với giá trị trình truyền liệu nhanh Configuration Summary

enabled are:

load rom after netboot fails console

baud: 9600

boot: image specified by the boot system commands or default to: cisco2-c1700 you wish to change the configuration? y/n [n]: y enable “diagnostic mode”? y/n [n]: n

enable “use net in IP bcast address”? y/n [n]: n

Dấu nhắc bắt đầu hỏi chuỗi câu hỏi cho phép bạn lựa chọn để thay đổi giá trị configuration register Câu trả lời n cho tất câu hỏi trừ câu hỏi yêu cầu bạn có muốn thay đổi giá trị disable “load rom after

netboot

(88)

fails”? y/n [n]: n enable “use all zero broadcast”? y/n [n]: n enable “break/abort has effect”? y/n [n]: n

enable “ignore system config info”? y/n [n]: n change console baud rate? y/n [n]: y

enter rate: 0=9600, 1=4800, 2=1200, 3=2400

4=19200, 5=38400, 6=57600, 7=115200 [0]:

change the boot

characteristics? y/n [n]: n

truyền 115200

Configuration Summary enabled are:

load rom after netboot fails

console baud: 115200

boot: image specified by the boot system commands or default to: cisco2-c1700 you wish to change the configuration?

y/n [n]: n rommon2>

Sau hình cấu hình tổng quát hiển thị lại lần nữa, bạn chọn n để khơng thay đổi cấu hình tiếp tục với dấu nhắc là: rommon>

(89)

cấu hình HyperTerminal 115200 để tương ứng với giá trị thay đổi console router

Rommon 1>xmodem c1700-js-l_121-3.bin

Nhập vào câu lệnh phép truyền image sử dụng Xmodem

…<output cut>…

Do you wish to continue? y/n [n ]:y

Bạn chọn Y để tiếp tục

Trên HyperTerminal, bạn vào mục Transfer, sau nhấn vào Send File Xác định vị trí phần mềm Cisco IOS máy tính bạn nhấn chọn Send

Router will reload when transfer is completed Reset baud rate on router Router(config)#line Router(config-line)#speed 9600

Router(config-line)#exit Hyperterminal dừng lại Bạn cần phải kết nối lại với router sử dụng 9600 baud, 8-N-1

8 Khôi phục phần mềm Cisco IOS sử dụng lệnh tftpdnld Bảng 11.8: Khôi phục phần mềm Cisco IOS sử dụng lệnh tftpdnld

rommon 1>

IP_ADDRESS=192.168.100.1

Gán địa IP cho router rommon 2>

IP_SUBNET_MASK=255.255.255.0

Gán subnet mask cho router rommon 3>

DEFAULT_GATEWAY=192.168.100.1

Gán địa default gateway cho router

(90)

TFTP_SERVER=192.168.100.2 server rommon 5> TFTP_FILE=

c2600-js-l_121-3.bin

Chỉ tên file mà bạn muốn copy từ TFTP server

rommon 6> tftpdnld Khởi tạo tiến trình copy …<output cut>…

Do you wish to continue? y/n: [n]:y

…<output cut>…

(91)

11.1: Thực lưu nâng cấp IOS phiên Cisco Switch 2960

11.1: Thực lưu nâng cấp IOS phiên Cisco Router 3700

- Trình bày bước lưu phục hồi Cisco IOS tập tin cấu hình - Sao lưu phục hồi Cisco IOS

(92)

BÀI 12

KHÔI PHỤC MẬT KHẨU Giới thiệu:

Như ta biết, để thực bảo mật cho thiết bị, người quản trị thường cài đặt password enable password, console password để ngăn chặn việc truy nhập không hợp lệ vào thiết bị Tuy nhiên, số lý đó, người quản trị quên password cấu hình sai vài ký tự thiết lập password dẫn đến khơng thể đăng nhập vào thiết bị Chúng ta điểm qua cách thức khôi phục lại mật Router Switch giúp người quản trị truy nhập lại thiết bị gặp cố Mục tiêu:

- Trình bày bước khôi phục mật cho Router Switch - Khôi phục mật cho Router

- Khôi phục mật cho Switch

- Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an toàn cho người thiết bị

Nội dung:

1 Khôi phục mật cho Router

Bảng 12.1: Hướng dẫn khôi phục mật cho Router Các bước thực

hiện

Các câu lệnh Router 2500

Các câu lệnh trên Router 1700/2600/ISR Bước 1: Khởi động Nhấn Ctrl – Break Nhấn Ctrl – Break

router ngắt chuỗi trình khởi động dùng tổ hợp phím

> Rommon >

Bước 2: Thay đổi giá trị configuration register để bỏ qua nội dung

(93)

NVRAM

> Rommon 2>

Bước 3: Khởi động lại router

> i Rommon > Reset Bước 4: Chuyển

cấu hình vào chế độ Privileged (Khơng vào chế độ setup)

Router> enable Router> enable

Router# Router#

Bước 5: Copy file Startup

configuration vào file running configuration Router# copy startup-config running-config Router# copy startup-config running-config

…<output cut>… …<output cut>…

Denver# Denver#

Bước 6: Thay đổi mật Denver# configure terminal Denver# configure terminal Denver(config)# enable secret new

Denver(config)# enable secret new Denver(config)# Denver(config)#

Bước 7: Khởi tạo lại giá trị

Configuration Register giá trị mặc định Denver(config)#conf igregister 0x2102 Denver(config)#conf igregister 0x2102 Denver(config)# Denver(config)# Bước 8: Lưu file

cấu hình lại

(94)

runningconfig startup-config

Denver# Denver#

Bước 9: Kiểm tra giá trị

Configuration Register

Denver#show version Denver#show version

…<output cut>… …<output cut>… Configuration

register is 0x2142 (will be 0x2102 at next reload)

Configuration

register is 0x2142 (will be 0x2102 at next reload)

Denver# Denver#

Bước 10: Khởi động lại router

Denver#reload Denver#reload

2 Khôi phục mật cho Switch

Bảng 12.2: Hướng dẫn khôi phục mật cho Switch Rút nguồn khỏi switch (thao tác

này để khởi động lại switch)

Nhấn giữ nút Mode phía trước switch

Cắm nguồn trở lại switch

Nhả nút Mode switch đèn SYST LED màu vàng sau chuyển sang màu xanh Khi bạn nhả nút Mode switch đèn SYST LED trạng thái màu xanh Tiếp tục bạn sử dụng câu lệnh đây:

(95)

switch: dir flash: Hiển thị nội dung nhớ flash switch: rename flash:config.text

flash:config.old

Thực đổi tên file cấu hình Vì file cấu hình config.text có chứa mật

switch: boot Khởi động lại switch

Khi có dấu nhắc xuất hỏi bạn có muốn vào chế độ setup không, bạn nhấn n để khỏi dấu nhắc

Bạn chuyển vào chế độ user

switch>enable Chuyển cấu hình vào chế độ user switch#rename

flash:config.old flash:config.text

Đổi lại tên file cấu hình trở tên mặc định

Destination filename [config.text] Nhấn Enter switch#copy

flash:config.text system:running-config

Copy file cấu hình nhớ flash

768 bytes copied in 0.624 seconds

2960Switch# File cấu hình thực thị 2960Switch#configure

terminal

Chuyển cấu hình vào chế độ privileged

2960Switch(config)#

Bạn thực thay đổi mật cần thiết

2900Switch(config)#exit 2900Switch#copy running-config startuprunning-config

Lưu file cấu hình chạy vào NVRAM với mật cấu hình

12.1: Hãy thực phục hồi mật cho Cisco Switch 2960 12.2: Hãy thực phục hồi mật cho Cisco Router 3700

(96)

- Trình bày bước khôi phục mật cho Router Switch - Khôi phục mật cho Router

(97)

BÀI 13

CẤU HÌNH TELNET VÀ SSH Giới thiệu:

Thơng thường cấu hình thiết bị Cisco ta sử dụng cáp kết nối trực tiếp máy tính thiết bị Cisco, việc gây số bất tiện ảnh hưởng đến bảo mật Để thuận tiện cho việc cấu hình, ta truy cập từ xa thông qua hai giao thức telnet SSH Bài học hướng dẫn cách thức cấu hình giao thức telnet SSH Đây giao thức dùng để truy cập thiết bị từ xa SSH giao thức có độ bảo mật cao telnet liệu mã hóa q trình trao đổi liệu

Mục tiêu:

- Trình bày chức giao thức kết nối từ xa telnet SSH - Sử dụng giao thức telnet để kết nối từ xa đến thiết bị khác - Cấu hình giao thức kết tối từ xa SSH

Nội dung:

1 Sử dụng giao thức telnet

- câu lệnh biểu diễn bảng bên đưa kết quả: thực thi việc kết nối từ xa đến router tên Paris có địa IP là: 172.16.20.1

Bảng 13.1: Hướng dẫn kết nối từ xa sử dụng giao thức telnet

Denver>telnet paris Được phép dùng câu lệnh câu lệnh ip host sử dụng để tạo liên kết ánh xạ địa IP từ khóa paris

Denver>telnet 172.16.20.1

(98)

mặc định # Denver>connect paris

Denver>172.16.20.1

- Những câu lệnh bảng sau có liên quan đến q trình thực hiện truy cập từ xa giao thức telnet:

Bảng 13.2: Các lệnh liên quan truy cập từ xa giao thức telnet Paris>

Paris>exit Kết thúc phiên telnet trở dấu nhắc router Denver

Denver>

Paris>logout Kết thúc phiên telnet trở dấu nhắc router Denver

Denver>

Paris> Nhấn Ctrl + Shift + 6, sau nhả phím ra, nhấn tiếp x

Ngắt phiên telnet tạm thời khơng kết thúc phiên telnet đó, bạn trở dấu nhắc router Denver

Denver>

Denver> Nhấn Enter Paris>

Denver>resume Phục hồi lại kết nối đến router Paris Paris>

Denver>disconnect paris Kết thúc phiên telnet đến router Paris Denver>

Denver#show sessions Hiển thị kết nối mà bạn mở đến router khác

Denver#show users Hiển thị người kết nối từ xa đến router bạn

(99)

0 Denver(config-line)#

session-limit x

Giới hạn số lượng kết nối đồng thời line vty vào router bạn Denver(config)#line vty Chuyển cấu hình vào chế độ line vty

0 Denver(config-line)#no

password

Các người dùng truy cập từ xa yêu cầu nhập mật thực telnet đến thiết bị Denver(config-line)#no

login

Người dùng truy cập từ xa chuyển thẳng vào chế độ user * Chú ý: Một thiết bị phải có hai mật cho người dùng truy cập từ xa để thực việc thay đổi cấu hình thiết bị truy cập đó:

- Mật line vty

- Mật enable enable secret

(100)

2 Cấu hình giao thức SSH * Chú ý:

- SSH version triển khai có độ bảo mật khơng cao Vì bạn nên sử dụng SSH version bạn định sử dụng giao thức SSH cho việc truy cập từ xa đến thiết bị

- Để làm việc được, SSH cần local username database, local IP domain, RSA key cần tạo

- Để triển khai giao thức SSH thiết bị cisco phần mềm Cisco IOS phải có khả hỗ trợ Rivest-Shamir-Adleman (RSA) để xác thực Data Encryption Stadard (DES) để mã hóa liệu

Bảng 13.3: Các lệnh cấu hình kết nối từ xa sử dụng giao thức ssh Router(config)#username

Roland password tower

Tạo username password local Những thông tin cần phải nhập vào kết nối từ xa đến thiết bị giao thức SSH Router(config)#ip

domain-name test.lab

Tạo host domain cho router Router(config)#crypto key

generate rsa

(101)

13.1: Cho sơ đồ mạng hình bên dưới, thực cấu hình cho: - PC A telnet đến Switch

- PC B kết nối ssh đến Router

- Trình bày chức giao thức kết nối từ xa telnet SSH Phân tích ưu điểm nhược điểm hai giao thức

- Sử dụng telnet để kết nối từ xa từ PC đến thiết bị Cisco hai thiết bị Cisco với

(102)

BÀI 14 CẤU HÌNH NAT Giới thiệu:

Như bạn biết IPv4, ta có IP public IP private, máy tính mạng LAN đặt IP private không sử dụng để kết nối ngồi Internet có vơ số IP private giống nhau, máy tính ngồi Internet địa chị IP public địa IP public Do đó, ta càn phải có kỹ thuật để chuyển đổi IP private sang IP public để ngồi Internet ngược lại, kỹ thuật NAT PAT Bài học hướng dẫn cách cấu hình NAT PAT Router Cisco

Mục tiêu:

- Phân biệt IP private IP public - Phân biệt NAT tĩnh NAT động - Phân biệt NAT PAT

- Cấu hình NAT động NAT tĩnh - Cấu hình PAT

- Kiểm tra xử lý lỗi cấu hình NAT PAT - Có tư duy, sáng tạo, độc lập làm việc nhóm

- Đảm bảo an tồn cho người thiết bị Nội dung:

1 Cấu hình NAT động

Là cấu hình cho địa IP Private chuyển đổi sang địa IP Public

* Chú ý: Để hồn thành việc cấu hình NAT/PAT với trợ giúp sơ đồ bên dưới, bạn nhìn vào ví dụ đơn giản cuối chương

Bảng 14.1: Hướng dẫn cấu hình NAT động Bước 1: Định

nghĩa static route

ISP(config)#ip route 64.64.64.64

255.255.255.128 s0/0/0

(103)

router remote, địa IP Public bạn định tuyến

tin với địa đích

64.64.64.64 255.255.255.128 Bước 2: Định

nghĩa dải

địa IP

Public sử dụng router bạn để thực thi NAT

Corp(config)#ip nat pool scott 64.64.64.70 64.64.64.126 netmask 255.255.255.128

Địa IP Private nhận địa IP Public dải bạn định nghĩa để chuyển đổi

Định nghĩa tên cho dải địa IP Public scott

Địa IP dải là: 64.64.64.70

Địa IP cuối dải là: 64.64.64.126 Subnet mask dải là: 255.255.255.128 Bước 3: Tạo

một ACL dùng phép địa IP Private phép chuyển đổi

Corp(config)#access-list permit

172.16.10.0 0.0.0.255

(104)

quan hệ ACL với dải địa IP Public tạo bước

inside source list pool scott

Bước 5: Định

nghĩa

interface đóng

vai trị

interface inside (sẽ interface kết nối vào mạng LAN)

Router(config)#interfac e fastethernet 0/0

Chuyển cấu hình chế độ Interface fa0/0 Router(config-if)#ip

nat inside

Bạn có nhiều interface inside router Những địa interface inside sau chuyển đổi thành địa IP Public Router(config-if)#exit Trở chế độ cấu

hình Global Configuration Bước 6: Định

nghĩa interface với vai trò

Router(config)#interfac e serial 0/0/0

interface outside (interface dùng để để kết nối mạng Interface WAN)

Router(config-if)#ip nat outside

2 Cấu hình PAT

(105)

- Tất địa IP Private sử dụng địa IP Public số port dùng cho trình chuyển đổi

Bảng 14.2: Hướng dẫn cấu hình PAT Bước 1: Định

nghĩa static route router remote, địa IP Public bạn định tuyến

ISP(config)#ip route 64.64.64.64

255.255.255.128 s0/0/0

Thông báo cho router ISP, nơi mà bạn gửi gói tin với địa đích

64.64.64.64 255.255.255.128 Bước 2: Định

nghĩa dải

địa IP

Public sử dụng router bạn để thực thi NAT

Sử dụng bước bạn có nhiều địa IP Private để chuyển đổi Một địa IP Public điều khiển hàng ngàn địa IP Private Không sử dụng dải địa chỉ, bạn chuyển đổi tất địa IP Private thành địa IP tồn interface dùng để kết nối đến ISP

Corp(config)#ip nat pool scott 64.64.64.70 64.64.64.70 netmask

(106)

255.255.255.128 Địa IP dải là: 64.64.64.70

Địa IP cuối dải là: 64.64.64.70

Subnet mask

dải là:

255.255.255.128 Bước 3: Tạo một

ACL dùng phép địa IP Private phép chuyển đổi

Corp(config)#access-list permit

172.16.10.0 0.0.0.255

Bước 4: Tạo mối quan hệ ACL với dải địa IP

Corp(config)#ip nat inside

Public tạo bước

source list pool scott

Bước 5: Định

nghĩa

interface đóng vai trị interface inside (sẽ interface kết nối vào mạng LAN)

Router(config)#interfac e fastethernet 0/0

Chuyển cấu hình vào chế độ Interface fa0/0

(107)

nat inside interface inside router Những địa interface inside sau chuyển đổi thành địa IP Public

Router(config-if)#exit Trở chế độ cấu

hình Global

Configuration Bước 6: Định

nghĩa interface với vai trò interface outside (interface dùng để để kết nối

ra

mạng interface WAN)

Router(config)#interfac e serial 0/0/0

Router(config-if)#ip nat outside

* Chú ý: bạn có dải IP NAT nhiều địa IP, cần thiết Câu lệnh bên ví dụ:

Corp(config)#ip nat pool scott 64.64.64.70 74.64.64.128 netmask 255.255.255.128

- Với dải địa IP bạn có tất 63 địa IP sử dụng để chuyển đổi

3 Cấu hình NAT tĩnh

(108)

Bảng 14.3: Hướng dẫn cấu hình NAT tĩnh Bước 1: Định nghĩa

một staticroute router remote, địa IP Public bạn định tuyến

ISP(config)#ip route

64.64.64.64 255.255.255.128 s0/0/0

Thông báo cho router ISP, nơi mà bạn gửi gói tin với địa đích là: 64.64.64.64 255.255.255.128

Bước 2: Tạo Static mapping router bạn sử dụng để thực thi NAT Corp(config)#ip nat inside source static 172.16.10.5 64.64.64.65

Thực chuyển đổi cố định địa IP bên 172.16.10.5 thành địa IP Public 64.64.64.65

Bạn phải sử dụng câu lệnh cho địa IP Private mà bạn muốn ánh xạ tĩnh với địa IP Public

Bước 3: Định nghĩa interface có vai trị interface inside

Corp(config)#int erface

fastethernet 0/0

Corp(config-if)#ip nat inside

Bạn có nhiều interface inside router

Bước 4: Định nghĩa interface với vai trò interface outside

Corp(config-if)# interface serial 0/0/0

Chuyển cấu hình vào chế độ interface s0/0/0

Corp(config-if)#ip nat outside

Định nghĩa interface s0/0/0 interface có vai trị outside

4 Kiểm tra cấu hình NAT PAT

(109)

Router#show ip nat translations

Hiển thị bảng chuyển đổi Router#show ip nat

statistics

Hiển thị thông tin NAT Router#clear ip nat

translations inside a.b.c.d outside e.f.g.h

Xóa thơng tin chuyển đổi bảng NAT trước thơng tin bị times out

Router#clear ip nat translations*

Xóa tồn bảng chuyển đổi trước thơng tin bị time oute

5 Xử lý lỗi cấu hình NAT PAT

Bảng 14.5: Xử lý lỗi cấu hình NAT PAT

Router#debug ip nat Hiển thị thơng tin gói tin chuyển đổi

Router#debug ip nat detailed

(110)

14.1: Hãy cấu hình PAT theo yêu cầu sơ đồ mạng bên

Yêu cầu đánh giá - Phân biệt IP private IP public

- Phân biệt NAT tĩnh NAT động, NAT PAT - Cấu hình NAT PAT Router

(111)

BÀI 15

CẤU HÌNH DHCP Giới thiệu:

DHCP (Dynamic Host Configuration Protocol) giao thức cấu hình IP cách tự động Địa IP hệ thống mạng cấp cách tự động, giảm việc can thiệp vào hệ thống mạng DHCP cung cấp sở liệu chứa tất IP để theo dõi tất máy tính hệ thống mạng Mục đích quan trọng tránh trường hợp hai máy tính khác lại có địa IP Nếu khơng có DHCP, máy cấu hình IP thủ cơng Ngồi việc cung cấp địa IP, DHCP cịn cung cấp thơng tin cấu hình khác, cụ thể DNS Bài học hướng dẫn cách cấu hình DHCP Router Cisco

Mục tiêu:

- Trình bày chức DHCP

- Cấu hình DHCP để cấp địa IP động - Cấu hình DHCP helper

- Kiểm tra xử lý lỗi cấu hình DHCP - Có tư duy, sáng tạo, độc lập làm việc nhóm - Đảm bảo an tồn cho người thiết bị

Nội dung:

1 Cấu hình DHCP

Bảng 15.1: Hướng dẫn cấu hình DHCP Router(config)#ip dhcp pool

Internal

Tạo DHCP pool tên internal Router(dhcp-config)#network

172.16.10.0 255.255.255.0

Chỉ dải địa IP dùng để cấp cho DHCP Client

Router(dhcp-config)# defaultrouter 172.16.10.1

Chỉ địa IP default gateway cho DHCP client

Router(dhcp-config)#dns-server 172.16.10.10

(112)

các DHCP Client Router(dhcp-config)#

netbiosname- server 172.16.10.10

Chỉ địa IP NetBIOS server cho DHCP Client

Router(dhcp-config)#domain-name fakedomainRouter(dhcp-config)#domain-name.ca

Định nghĩa tên miền cho client

Router(dhcp-config)# lease 14 12 23

Định nghĩa thời gian để cấp địa IP cho DHCP Client là: 14 ngày, 12 giờ, 23 phút

Router(dhcp-config)#lease Infinite

Thời gian cấp địa IP cho DHCP client khơng có thời hạn Router(dhcp-config)#exit Trở chế độ cấu hình Global

Configuration Router(config)#ip dhcp

excludedaddress 172.16.10.1 172.16.10.9

Cấu hình dải địa IP không phép cấp động cho DHCP Client Router(config)#service dhcp Bật dịch vụ DHCP tính relay

trên Cisco IOS router Router(config)#no service

dhcp

Tắt dịch vụ DHCP Cisco Router Dịch vụ DHCP bật mặc định Cisco IOS Software

2 Kiểm tra xử lý lỗi cấu hình DHCP

Bảng 15.2: Hướng dẫn kiểm tra xử lý lỗi cấu hình DHCP

Router#show ip dhcp binding Hiển thị danh sách tất địa IP cấp cho DHCP client

Router#show ip dhcp binding w.x.y.z

Hiển thị thông tin địa IP w.x.y.z cấp cho DHCP Client

Router#clear ip dhcp binding a.b.c.d

(113)

client từ DHCP database Router#clear ip dhcp

binding *

Xóa tồn danh sách thơng tin địa IP cấp cho DHCP client DHCP database

Router#show ip dhcp conflict

Hiển thị danh sách tất địa IP bị trùng

Router#clear ip dhcp conflict a.b.c.d

Xóa địa IP bị trùng từ sở liệu

Router#clear ip dhcp conflict *

Xóa tất địa IP bị trùng từ sở liệu

Router#show ip dhcp database

Hiển thị sở liệu DHCP hoạt động gần

Router#show ip dhcp server Statistics

Hiển thị danh sách thông điệp gửi nhận DHCP server

Router#clear ip dhcp server Statistics

Khởi tạo lại đếm DHCP server trở

Router#debug ip dhcp server {events | packets | linkage | class}

Hiển thị tiến trình xử lý địa IP trả lại cấp

3 Cấu hình DHCP Helper Address

Bảng 15.3: Hướng dẫn cấu hình DHCP Helper Address Router(config)#interface

fastethernet 0/0

Chuyển cấu hình vào chế độ interface Router(config-if)#ip

helperaddress 172.16.20.2

Các gói tin DHCP broadcast phép chuyển tiếp gói tin unicast đến địa IP định, thay phải hủy gói tin

* Chú ý: Câu lệnh ip helper-address chuyển tiếp gói tin broadcast gói tin unicast port UDP khác theo mặc định:

(114)

- Time service (port 37)

- NetBIOS name server (port 137) - NetBIOS datagram server (port 138)

- Boot Protocol (BOOTP) client server datagrams (port 67 va 68) - TACACS service (port 49)

- Nếu bạn muốn đóng số port trên, bạn sử dụng câu lệnh no ip forward-protocol udp x chế độ global configuration, x số port mà bạn muốn đóng Câu lệnh sau sử dụng để tạm dừng tính chuyển tiếp gói tin broadcast port 49 :

Router(config)#no ip forward-protocol udp 49

- Nếu bạn muốn mở port UDP khác, bạn sử dụng câu lệnh ip forward-helper udp x, x số port mà bạn muốn mở:

(115)

15.1: Cho sơ đồ mạng hình bên dưới, cấu hình dịch vụ DHCP với lệnh nằm phạm vi học

- Trình bày chức DHCP Nêu ưu điểm nhược điểm DHCP - Cấu hình DHCP DHCP helper Router

(116)

BÀI 16

CẤU HÌNH ACCESS CONTROL LIST (ACL) Giới thiệu:

Bảo mật mạng công việc vô quan trọng hệ thống mạng Các nhà thiết kế mạng sử dụng tường lửa (firewall) để bảo vệ mạng từ người dùng khơng xác thực Tường lửa giải pháp phần cứng giải pháp phần mền để thi hành sách bảo mật Trên thiết bị Router Cisco, cấu hình tường lửa đơn giản cung cấp lọc gói tin sử dụng ACL ACL (Access Control List) hay gọi access list, danh sách câu lệnh hay gọi ACE (Access Control Entrie), áp dụng Interface đó, đệm vào ra, điều khiểu Router từ chối chuyển tiếp gói tin dựa vào thơng tin IP header TCP/UDP header Bài học trình bày kiến thức cấu hình ACL

Mục tiêu:

- Trình bày chức bảo mật ACL - Tạo ACL Standard Extended

- Gán ACL Standart Extended cho Interface

- Hạn chế truy cập Router thông qua telnet sử dụng ACL - Có tư duy, sáng tạo, độc lập làm việc nhóm

- Đảm bảo an tồn cho người thiết bị Nội dung:

1 Access List numbers

Bảng 16.1: Các Access List number

1–99 or 1300–1999 Standard IP

100–199 or 2000–2699 Extended IP

600–699 AppleTalk

800–899 IPX

900–999 Extended IPX

1000–1099 IPX Service Advertising Protocol

2 Các từ khóa ACL

(117)

Any Được sử dụng để thay cho 0.0.0.0 255.255.255.255, trường hợp tương ứng với tất địa mà ACL thực so sánh

Host Được sử dụng để thay cho

0.0.0.0, trường hợp tương ứng với địa IP 3 Tạo ACL Standard

Bảng 16.3: Hướng dẫn tạo ACL Standard Router(config)#access-list

10 permit 172.16.0.0 0.0.255.255

Tất gói tin có địa IP nguồn 172.16.x.x phép truyền tiếp

access-list Câu lệnh ACL

10 Chỉ số nằm khoảng từ đến

99, 1300 đến 1999, sử dụng cho ACL standard

Permit Các gói tin tương ứng với câu

lệnh cho phép

172.16.0.0 Địa IP nguồn so sánh

0.0.255.255 Wildcard mask

Router(config)#access-list 10 deny host 172.17.0.1

Tất gói tin có địa IP nguồn 172.17.0.1 phép truyền tiếp

Deny Các gói tin tương ứng với câu lệnh

sẽ bị chặn lại

(118)

172.17.0.1 Chỉ địa host Router(config)#access-list

10 permit any

Tất gói tin tất mạng phép truyền tiếp

Permit Các gói tin tương ứng với câu

lệnh cho phép

any Từ khóa tương ứng với tất

địa IP 4 Gán ACL Standard cho Interface

Bảng 16.4: Gán ACL Standard cho Interface Router(config)#interface

fastethernet 0/0

Router(config-if)#ip access-group 10 in

Câu lệnh sử dụng để gán ACL 10 vào interface fa0/0 Những gói tin vào router thông qua interface fa0/0 kiểm tra

* Chú ý:

- Access list gán vào interface theo hai hướng: hướng vào (dùng từ khóa in) hướng (dùng từ khóa out)

- Gán ACL standard vào vị trí gần mạng đích thiết bị đích 5 Kiểm tra ACL

Bảng 16.5: Các câu lệnh kiểm tra ACL

Router#show ip interface Hiển thị tất ACL gán vào interface

(119)

trên router Router#show access-list

access-list-number

Hiển thị nội dung ACL có số câu lệnh

Router#show access-list name

Hiển thị nội dung ACL có tên câu lệnh

Router#show run Hiển thị file cấu hình chạy RAM

6 Xóa ACL

Bảng 16.6: Câu lệnh xố ACL Router(config)#no

access-list 10

Xóa bỏ ACL có số 10

7 Tạo ACL Extended

Bảng 16.7: Hướng dẫn tạo ACL Extended Router(config)#access-list

110 permit tcp 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 80

Các gói tin HTTP có địa IP nguồn 172.16.0.x cho phép truyền đến mạng đích 192.168.100.x

110 Chỉ số nằm khoảng từ 100

đến 199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP

Permit Những gói tin tương ứng với câu

lệnh cho phép

Tcp Giao thức sử dụng phải TCP

172.16.0.0 Địa IP nguồn sử dụng để

so sánh

0.0.0.255 Wildcard mask địa IP nguồn

192.168.100.0 Địa IP đích dùng để so

(120)

0.0.0.255 Wildcard mask địa IP đích

Eq Tốn tử

80 Port 80, dùng cho lưu lượng

HTTP Router(config)#access-list

110 deny tcp any

192.168.100.7 0.0.0.0 eq 23

Các gói tin Telnet có địa IP nguồn bị chặn lại chúng truy cập đến đích 192.168.100.7

110 Chỉ số nằm khoảng từ 100 đến

199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP

Deny Những gói tin tương ứng với câu lệnh

sẽ bị từ chối

Tcp Giao thức sử dụng TCP

Any Từ khóa tương ứng với tất

địa mạng

192.168.100.7 Là địa IP đích

0.0.0.0 Wildcard mask đích

Eq Tốn từ

23 Port 23, port ứng dụng telnet

8 Gán ACL extended cho Interface

Bảng 16.8: Lệnh gán ACL extended cho Interface Router(config)# interface

fastethernet 0/0

Router(config)# ip access-group 110 out

Đồng thời gán ACL 110 vào interface theo chiều out Những gói tin khỏi interface fa0/0 kiểm tra * Chú ý:

(121)

- Duy access list gán cho interface, theo hướng

- Gán ACL extended vị trí gần mạng nguồn thiết bị nguồn

9 Từ khóa established

Bảng 16.9: Hướng dẫn sử dụng từ khoá established Router(config)#access-list

110 permit tcp 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 80 established

Cho biết kết nối thiết lập

* Chú ý:

- Câu lệnh kiểm tra tương ứng TCP datagram có bit ACK RST gán

- Từ khóa established làm việc cho TCP, UDP khơng 10 Tạo ACL named

Bảng 16.10: Hướng dẫn tạo ACL named Router(config)# ip

access-list extended Serveraccess

Tạo ACL extended tên seraccess chuyển cấu hình vào chế độ ACL configuration

Router(config-ext-nacl)# permit tcp any host 131.108.101.99 eq smtp

Cho phép gói tin mail từ tất địa nguồn đến host có địa 131.108.101.99

Router(config-ext-nacl)# permit udp any host 131.108.101.99 eq domain

Cho phép gói tin Domain Name System (DNS) từ tất địa nguồn đến địa đích 131.108.101.99

Router(config-ext-nacl)# deny ip any any log

(122)

mạng đích Nếu gói tin bị chặn lại phép đưa log Router(config-ext-nacl)#

exit

Trở chế độ cấu hình Global Configuration Router(config)# interface fastethernet 0/0 Router(config-if)# ip access-group serveraccess out

Gán ACL serveaccess vào interface fa0/0 theo chiều

11 Sử dụng Sequence Number ACL named

Bảng 16.11: Hướng dẫn sử dụng Sequence Number ACL named Router(config)#ip

access-list extended serveraccess2

Tạo ACL extended tên serveraccess2

Router(config-ext-nacl)#10 permit tcp any host

131.108.101.99 eq smtp

Sử dụng giá trị sequence number 10 cho dòng lệnh Router(config-ext-nacl)#20

permit udp any host 131.108.101.99 eq domain

Sử dụng giá trị sequence number 20 cho dòng lệnh Router(config-ext-nacl)#30

deny ip any

Sử dụng giá trị sequence number

any log 30 cho dòng lệnh

Router(config-ext-nacl)#exit

Trở chế độ cấu hình Global Configuration

Router(config)#interface fastethernet 0/0

Router(config-if)#ip

access-group serveraccess2 out

Gán ACL tên serveraccess2 vào interface fa0/0 theo chiều

(123)

Router(config)#ip access-list extended serveraccess2

Chuyển cấu hình vào ACL tên serveraccess2

Router(config-ext-nacl)#25 permit tcp any host

131.108.101.99 eq ftp

Sử dụng giá trị sequence number 25 cho dòng lệnh

Router(config-ext-nacl)#exit

* Chú ý:

- Sử dụng Sequence Number cho phép bạn dễ dàng sửa câu lệnh ACL named

- Tham số sequence-number phép cấu hình phiên phần mềm Cisco IOS 12.2 trở lên

12 Xóa lệnh ACL named sử dụng sequence number

Bảng 16.12: Xóa lệnh ACL named sử dụng sequence number Router(config)#ip

access-list extended serveraccess2

Chuyển cấu hình vào chế độ ACL nserveraccess2

Router(config-ext-nacl)# no 20

Xóa câu lệnh có giá trị Sequence number 20

Router(config-ext-nacl)# exit

13 Những ý sử dụng Sequence Number

- Sequence Number khởi tạo từ giá trị 10 tăng nên 10 cho dòng lệnh ACL named

- Nếu bạn quên không gán giá trị Sequence Number trước câu lệnh, câu lệnh gán tự động vào cuối ACL

(124)

- Sequence Number khơng thể nhìn thấy bạn sử dụng câu lệnh Router# show running-config Router# show startup-config Để nhìn thấy giá trị Sequence Number, bạn sử dụng câu lệnh sau:

Router#show access-lists

Router#show access-lists list name Router#show ip access-list

Router#show ip access-list list name 14 Tích hợp comments cho tồn ACL

Bảng 16.14: Tích hợp comments cho tồn ACL Router(config)#access-list

10 remark only Jones has access

Với từ khóa remark cho phép bạn tích hợp thêm ghi (giới hạn 100 ký tự)

Router(config)#access-list 10 permit 172.16.100.119

Host có địa IP 172.16.100.119 cho phép truyền liệu đến mạng khác Router(config)# ip

access-list extended Telnetaccess

Tạo ACL extended tên telnetaccess

Router(config-ext-nacl)# remark not let Smith have telnet

Với từ khóa remark cho phép bạn tích hợp thêm ghi (giới hạn 100 ký tự)

Router(config-ext-nacl)# deny tcp host

172.16.100.153 any eq telnet

Host có địa IP 172.16.100.153 bị từ chối thực telnet đến mạng khác

* Chú ý:

(125)

- Bạn sử dụng từ khóa remark trước sau câu lệnh permit deny

15 Sử dụng ACL để hạn chế truy cập Router thông qua telnet Bảng 16.14: Sử dụng ACL để hạn chế truy cập telnet Router(config)#access-list

2 permit host 172.16.10.2

Cho phép host có địa IP 172.16.10.2 telnet vào router

Router(config)#access-list permit 172.16.20.0

0.0.0.255

Cho phép host nằm mạng 172.16.20.x telnet vào router

Mặc định có câu lệnh deny all cuối ACL tạo

Router(config)#line vty Chuyển cấu hình vào chế độ line vty

Router(config-line)#access-class in

Gán ACL vào chế độ line vty theo chiều vào router Khi gói tin telnet đến router kiểm tra

(126)

Câu hỏi tập 16.1: Cho sơ đồ mạng hình dưới:

1 Viết ACL để chặn không cho phép mạng 10.0 truy cập đến mạng 40.0 cho phép ngược lại

2 Viết ACL không cho phép host 10.5 truy cập đến host 50.7 ngược lại cho phép

3 Viết ACL phép host 10.5 Telnet đến router Red Deer Các host khác

(127)

5 Viết ACL để host từ 50.1 đến 50.63 không truy cập web đến host 80.16 Những host từ 50.64 đến 50.254 cho phép

Yêu cầu đánh giá - Trình bày chức ACL

- Tạo ACL Standard Extended

- Gán ACL Standard Extended cho Interface

(128)

DANH MỤC TỪ VIẾT TẮT Chữ viết tắt Cụm từ đầy đủ

PC IP ICMP CCNA IOS VLAN VTP RIP EIGRP OSPF NAT PAT ACL DHCP SSH DTP TFTP IFS

Personal Computer Internet Protocol

Internet Control Message Protocol Cisco Certified Network Associate

originally Internetwork Operating System Virtual Local Area Network

VLAN Trunking Protocol Routing Infomation Protocol

Enhanced Interior Gateway Routing Protocol Open Shortest Path First

Network Address Translation Port Address Translation Access Control List

Dynamic Host Configuration Protocol Secure Shell

(129)

TÀI LIỆU THAM KHẢO

[1] Dương Văn Toán, CCNA Lab Guide Version 4, VnExperts, 2008.

[2] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide, 7th ed., 2011

[3] Michael Valentine & Andrew Whitaker, CCNA: Exam 640-802, 3rd ed., USA: Que Publishing, 2008

[4] Wendell Odom, CCNA INTRO Exam Certification Guide: CCNA Self-study, USA: Cisco Press, 2004