bài lý thuyết "Tìm hiểu về DHCP" ch ng ta đ tìm hiểu được khái niệm và cách hoạt động của DHCP server.
Trong phần này ch ng ta s làm Lab cấu hình DHCP trên Router cisco để thực hành các lý thuyết đ đọc trong phần lý thuyết.
Tuy nhiên, trong thực tế người từ thường sử dụng DHCP trên Server để quản lý việc cấp phát và thu hồi IP chặt ch , dễ dàng hơn.
* Mô hình Lab cấu hình DHCP trên Router Cisco
- Đây là mô hình bài lab cấu hình DHCP trên Router để cấp IP cho các PC
60
* Chu n bị
Đấu nối dây theo sơ đồ, d ng các cáp thẳng để đấu nối các thiêt bị theo sơ đồ Triển khai cấu hình DHCP trên Router Cisco
* Cấu hình Router cấp IP động
- Trên Router- Cấu hình cơ bản cho Router : đặt IP
Code: Router(config)#interface f0/0 Router(config-if)#ip address 10.0.0.1 255.255.255.0 Router(config-if)#no shutdown - Bật dịch vụ DHCP Code: Router(config)#service dhcp - Tạo 1 pool để cấp IP cho client
Router(config)#ip dhcp pool Network_10 <-- đ t tên cho pool cấp IP
Router(dhcp-config)#network 10.0.0.0 255.255.255.0
Router(dhcp-config)#default-router 10.0.0.1
Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4
- Tạo 1 d i IP để loại trừ. Ip này s không được cấp cho client, n d ng cho các
61
Router(config)#ip dhcp excluded-address 10.0.0.1 10.0.0.10 // dải IP này s không được cấp cho các client
- Để xem lại cấu hình DHCP
Router(config)#show ip dhcp binding
- Trên PC 1
D ng lệnh để x a Ip và xin cấp DHCP
C:\Documents and Settings\pc1> ipconfig /release C:\Documents and Settings\pc1> ipconfig /renew
62
* Cấu hình Router cấp IP cố định cho c ient
- Trên Client: lấy Mac của pc 2 : 00-50-56-3D-7A-3C
- Trên Router:
ta chuyển Mac client lại để ph hợp với cấu hình của các thiết bị Cisco yếu cầu Mac dạng AAAA.BBBB.CCCC.DDDD
để chuyển ta thêm 01 vào đầu Mac client
00-50-56-3D-7A-3C --> 0100.5056.3D7A.3C Code: Router(config)#ip dhcp pool PC2 Router(dhcp-config)#host 10.0.0.100 255.255.255.0 Router(dhcp-config)#client-identifier 0100.5056.3D7A.3C Router(dhcp-config)#default-router 10.0.0.1 Router(dhcp-config)#dns-server 10.0.0.1 - Xem lại cấu hình DHCP trên Router
2.5 Cấu hình PPP
Hai giao thức liên kết dữ liệu (data link) WAN sử dụng trong mạng WAN kết nối Serial Point-to-Point được d ng phổ biến là HDLC và PPP.
63
PPP là một giao thức thường được chọn để triển khai trên một kết nối WAN nối tiếp. PPP c h trợ quá trình xác thực PAP và CHAP
Quá trình chứng thực trong PPP
PPP tổ chức gồm 2 giao thức sau:
Link Control Protocol (LCP): sử dụng cho việc thiết lập, cấu hình và kiểm tra kết nối ở tầng liên kết dữ liệu.
Network Control Protocol (NCP): sử dụng cho việc thiết lập và cấu
hình các giao thức tầng mạng khác nhau
Quá trình thiết ập ết nối PPP
Quá trình thiết lập kết nối PPP qua 4 bước: Thiết lập kết nối và thương lượng cấu hình; quyết định chất lượng kết nối; thương lượng cấu hình giao thức tầng mạng và kết th c kết nối.
Thiết ập ết nối và cấu hình
M i thiết bị PPP gửi g i tin LCP để cấu hình và thiết lập kết nối ở tầng liên kết dữ liệu. G i tin LCP chứa các trường: “MTU”, “compression”, và giao thức chứng thực kết nối. LCP đầu tiên mở kết nối và thương lượng các tham số cấu hình. Giai đoạn này hoàn tất khi các g i tin thống nhất cấu hình (ACK) được gửi và nhận.
Quyết định chất ượng ết nối
Liên kết được kiểm tra xem c tốt không để chuyển các giao thức lên tầng mạng hay không. Sau đ Client c thể được chứng thực. Việc chứng thực diễn ra trước giai đoạn cấu hình giao thức tầng mạng. PPP h trợ hai giao thức chứng thực là PAP và CHAP.
Thư ng ượng cấu hình tầng m ng
Các thiết bị PPP gửi g i tin NCP để chọn và cấu hình một hoặc nhiều giao thức tầng mạng (ví dụ như IP). Khi giao thức tầng mạng được cấu hình, các g i tin từ giao thức tầng mạng c thể được gửi qua liên kết. Nếu LCP kết th c kết
64
nối, n cung cấp các giao thức tầng mạng để c thể c những hành động ph hợp
Kết thúc ết nối
LCP c thể kết th c kêt nối bất cứ l c nào. Điều này luôn được thực hiện ở yêu cầu của người d ng. Kết th c kết nối c ng c thể xảy ra do sự cố vật lý, như là dứt kết nối hay vượt quá thời gian qui định (timeout).
Giao thức chứng thực PAP và CHAP Chứng thực PPP bằng PAP
PAP sử dụng cơ chế bắt tay 2 bước. Đầu tiên Client s gửi username và password cho Server để xác thực. Server s tiến hành kiểm tra, nếu thành công thì s thiết lập kết nối; ngược lại s không thiết lập kết nối với Client.
Password được gửi dưới dạng không được m h a (clear – text) và username/password được gửi đi kiểm tra một lần trước khi thiết lập kết nối.
Chứng thực PPP bằng CHAP
Sử dụng lỹ thuật 3 bước bắt tay (three-way handshake). CHAP được thực hiện ở l c bắt đầu thiết lập kết nối và luôn được lặp lại trong suốt quá trình kết nối được duy trì.
Client muốn thiết lập kết nối với Server, Server gửi một thông điệp “challenge” yêu cầu Client gửi giá trị để Server chứng thực. Thông điệp gửi từ Server c chứa số ng u nhiên d ng làm đầu vào cho thuật toán “hash”.
Client nhận được thông điệp yêu cầu Server. N s sử đụng thuật toán “hash” với đầu vào là hostname, password và ng u nhiên vừa nhận được và tính toán ra một giá trị nào đ và gửi giá trị này qua cho Server.
Server s kiểm tra danh sách “username” (nếu cấu hình nhiều username) để tìm ra “username” nào giống với hostname của Client. Sau khi tìm được “username” đ , n d ng thuật toán “hash” để m h a password tương ứng và ng u nhiên trong thông điệp “challenge” ban đầu mà n gửi cho Client để tính ra một giá trị nào đ . Và giá trị này s so sánh với giá trị do Client gửi qua, nếu
65
giống nhau thì xác thực thành công; nếu không thành công thì kết nối s bị x a
ngay.
Một cách đơn giản, ta cần nắm ý tướng sau khi cấu hình CHAP: m i đầu kết nối phải c khai báo username và password. Username bên R1 phải là hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau.
Cấu hình PPP
Router (config) # interface <interface> Router (config-if) # encapsulation ppp
Cấu hình chứng thực PPP PAP
Bước 1: Tạo username và password tren Server
Router (config) # username <username> password <password>
Bước 2: Enable PPP
Router (config-if) # encapsulation ppp
Bước 3: Cấu hình xác thực
Router (config-if) # ppp authentication {pap|chap|pap-chap|chap-pap}
Bước 4: PAP phải được enable trên interface b ng lệnh
Router (config-if) # ppp pap sent-username <username> password <password>
Cấu hình PPP chứng thực b ng PAP
66
Router R2 s chứng thực cho Router R1 b ng giao thức PAP
Hướng dẫn cấu hình: Cấu hình cơ bản R1(config) # int s0/0/0 R1(config-if) # ip address 192.168.1.1 255.255.255.0 R1(config-if) # exit R1(config) # int s0/0/1 R1(config-if) # ip address 192.168.1.2 255.255.255.0 R1(config-if) # exit Các cấu hình c bản Cấu hình cơ bản R1(config) # int s0/0/0 R1(config-if) # ip address 192.168.1.1 255.255.255.0 R1(config-if) # exit R1(config) # int s0/0/1 R1(config-if) # ip address 192.168.1.2 255.255.255.0 R1(config-if) # exit Cấu hình chứng thực CHAP
R1(config) # username R2 password totolink R1(config) # int s0/0/0
R1(config-if) # encapsulation ppp
R2(config) # username R1 password totolink R2(config) # interface serial 0/0/1
R2(config-if) # encapsulation ppp R2(config-if) # ppp authentication chap
67
Kiểm tra ệnh cấu hình
Sử dụng các lệnh sau:
Router # Ping
Router # Debug ppp authentication
Trường hợp 2: Các router gửi username & password bất kỳ
Mô tả:
Router R2 chứng thực cho router R1 b ng giao thức CHAP. Trường hợp gửi hostname và password được ch ra
Các cấu hình c bản Cấu hình cơ bản R1(config) # int s0/0/0 R1(config-if) # ip address 192.168.1.1 255.255.255.0 R1(config-if) # exit R1(config) # int s0/0/1 R1(config-if) # ip address 192.168.1.2 255.255.255.0 R1(config-if) # exit Cấu hình chứng thực CHAP R1(config) # int s0/0/0 R1(config-if) # encapsulation ppp
R1(config-if) # ppp chap hostname totolink R1(config-if) # ppp chap password totolink
R2(config) # username totolink password totolink R2(config) # interface serial 0/0/1
68
R2(config-if) # encapsulation ppp R2(config-if) # ppp authentication chap
Cấu hình định tuyến: t y chọn giao thức
Kiểm tra ệnh cấu hình
Sử dụng các lệnh sau:
Router # Ping
Router # Debug ppp authentication
T m lại, hai giao thức d ng để chứng thực trên PPP trong môi trường WAN là PAP và CHAP. PAP c độ bảo mật k m hơn vì n gửi username/password dưới dạng không m h a và việc chứng thực ch diễn ra một lần. Đối với CHAP, tham số chứng thực được gửi đi dưới dạng m h a và việc chứng thực được lặp lại trong suốt quá trình kết nối.
2.7 Cấu hình PAP
Cấu hình chứng thực PAP
R1(config) # int s0/0/0
R1(config-if) # encapsulation ppp
R1(config-if) # ppp pap sent-username totolink password totolink R2(config-if) # username totolink password totolink
R2(config) # int s0/0/1
R2(config-if) # encapsulation ppp R2(config-if) # ppp authentication pap
Cấu hình định tuyến: T y chọn giao thức
Kiểm tra ệnh cấu hình
Sử dụng các lệnh sau:
Router # Ping
Router # Debug ppp authentication
69
Trường hợp 1: Các router d ng hostname để chứng thực
Mô tả:
Router R2 chứng thực cho router R1 b ng giao thức CHAP. Trường hợp mặc định, router gửi hostname để chứng thực.
2.8 Cấu hình Redistribute * Định nghĩa:
Redistribute là một phương pháp phân phối lại một Route được học từ giao thức định tuyến này vào một giao thức định tuyến khác. Redistribute thường được thực hiện trên Router giao tiếp giữa hai giao thức định tuyến khác nhau hay còn gọi là Router biên dịch ASBR (Boundary Router).
* Ho t động:
Để thực hiện redistribute, router phải chạy cả 2 giao thức định tuyến c ng
lúc, m i giao thức lại đưa những tuyến n học được vào bảng định tuyến của router.Sau đ , m i giao thức c thể lấy một số hoặc tất cả tuyến học từ giao thức khác và quảng bá ra ngoài.
70
Redistribute c l s khá quen thuộc trong OSPF đặc biệt là Multi-Area
OSPF hay trong trường hợp ta muốn phân phối Default Route để các Router nội bộ đi ra ngoài Internet. Tuy nhiên không phải l c nào Redistribute c ng hoạt động hiệu quả như mong muốn, trong vài trường hợp Redistribute c thể d n tới định tuyến sai Route, định tuyến Route không tối ưu và thậm chí là gây Loop
mạng.
* Khi nào cần sử dụng Redistribute:
Nếu một hệ thống mạng chạy nhiều hơn một giao thức định tuyến, người quản trị cần một vài phương thức để gửi các route của một giao thức này vào một giao thức khác. Quá trình này được gọi là redistribution. Các trường hợp d n tới tồn tại nhiều giao thức định tuyến trong c ng một công ty:
Công ty đang trong quá trình chuyển từ một giao thức định tuyến này sang một giao thức định tuyến khác.
Do yếu tố lịch sử, tổ chức c rất nhiều mạng con. Các mạng con d ng các giao thức định tuyến khác nhau.
Sau khi 2 công ty được hợp nhất.
Các nhà quản trị mạng khác nhau c các tư tưởng khác nhau.
Trong một môi trường rất lớn, những v ng khác nhau c những yêu cầu khác nhau, do đ một giải pháp đơn lẻ là không hiệu quả.
Redistribution thường ch được sử dụng trong mạng như một giải pháp tạm thời vì các giao thức định tuyến khác nhau c cách tính metric và phương thức hoạt động khác nhau. Do đ , s kh c thể c được sự ổn định giữa các hệ thống khi sử dụng redistribute.
* Các vấn đề trong Redistribution:
Đặc trưng của các giao thức định tuyến sự khác nhau về cách tính metric, tính chất classful hay classless. Các đặc trưng này là nguyên nhân chính gây ra
các vấn đề trong redistribution như: không học được các route trao đổi, loop.
Metric và classful hay classless
M i giao thức định tuyến c cách tính metric khác nhau. Ví dụ như RIP
tính metric route theo hop-count (metric lớn nhất trong RIP là 15), OSPF tính
metric route theo băng thông, EIGRP tính metric theo bộ 5 giá trị k. Do đ , trong redistribution mà không quan tâm đến cách tính metric c thể d n đến không trao đổi được các route
71
Như hình trên, ta thấy
R1 và R2 thuộc OSPF.
R2, R3 và R4 thuộc RIP.
R4 và R5 thuộc EIGRP.
Kỹ thuật redistribution c thể gi p đem các route của OSPF vào RIP và EIGRP. Để đạt được thì người quản trị ch cần thực hiện các lệnh trong redistribution. Tuy nhiên nếu ch đánh lệnh mà không quan tâm đến metric thì
có thể d n đến các route không được trao đổi thành công
Ví dụ : Redistribute RIP, đưa OSPF vào RIP, nếu k c metric thì RIP s không hiểu được OSPF vì ch số metric của RIP tối đa ch tới 15.
2.9 Cấu hình NAT
Bài viết sau s giới thiệu đến bạn đọc một số lệnh cơ bản thông dụng, thường hay d ng khi cấu hình NAT trên thiết bị Router Cisco.
2.9.1 Cấu hình Static NAT
Router(config) # ip nat inside source static [inside_local_address] [inside_global_address]
72
Router(config) # ip nat inside source static [protocol] [inside_local_address port] [inside_global_address port]
Ví dụ:
Router(config) # ip nat inside source static 10.0.0.1 202.103.2.1 (Địa ch 10.10.0.1 s được chuyển thành 202.103.2.1 khi đi ra kh i Router)
Router(config) # ip nat inside source static tcp 10.0.0.1 8080 202.103.2.1 80 (Địa ch 10.10.0.1:8080 s được chuyển thành 202.103.2.1:80 khi đi ra kh i
Router)
- Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out
Router(config) # interface ethernet 0 Router(config-if) # ip nat inside Router(config) # interface serial 0 Router(config-if) # ip nat outside
2.9.2 Cấu hình Dynamic NAT
Router(config) # ip nat pool [tên pool] [start_IP end_IP] netmask [subnet mask]
Router(config) # ip nat inside source list [#ACL] pool [tên pool] Router(config) # access-list [#ACL] permit [IP] [wildcard mask]
Ví dụ:
Router(config) # ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
Router(config) # ip nat inside source list 1 pool nat-pool1 Router(config) # access-list 1 permit 10.1.0.0 0.0.0.255
+Sau đ áp vào cổng In và Out như Static NAT
Router(config) # interface ethernet 0 Router(config-if) # ip nat inside Router(config) # interface serial 0 Router(config-if) # ip nat outside
73
Note:Giải địa ch inside local address và inside global address phải n m trong giải cho ph p của ACL
2.9.3 Cấu hình NAT over oad
- Cấu hình overload với 1 địa ch IP cụ thể
Router(config) # ip nat pool [tên_pool] [ip_global_inside] [subnet mask] Router(config) # ip nat inside source list [# ACL] pool [tên_pool] overload Router(config) # access-list [#ACL] permit [IP] [wildcard mask]
Ví dụ:
Router(config) # ip nat pool nat-pool2 179.9.8.20 255.255.255.240 Router(config) # ip nat inside source list 2 pool nat-pool2 overload Router(config) # access-list 2 permit 10.0.0.0 0.0.0.255
- Cấu hình overload d ng địa ch của cổng ra (Thường xuyên được d ng hơn là trường hợp trên)
Router(config # ip nat insi e source list [#ACL] interface [cổng_ra] overloa Router(config) # access-list [#ACL] permit [IP] [wildcard mask]
Ví dụ:
Router(config) # ip nat inside source list 3 interface serial 0 overload Router(config) # access-list 3 permit 10.0.0.0 0.0.0.255
2.9.4 Các ệnh C ear NAT/PAT
Router # clear ip nat translation {* | [inside global-ip local-ip] [outside local-ip global-ip]}
Router # clear ip nat translation protocol {[inside global-ip global-port local-ip local-port] | [outside local-ip global-ip]}
- Lệnh x a tất cả dynamic nat trên toàn bộ các interface.
Router # clear ip nat translation *
- Lệnh x a các single nat trên từng interface
Router # clear ip nat translation [inside/outside] [global ip - local ip]
- Lệnh x a các extended nat trên từng interface
Router # clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]
74
2.9.5 Kiểm tra và Debug các NAT và PAT
Router # show ip nat translation Router # show ip nat statistics Router # debug ip nat
2.10 Cấu hình ACL
C thể hiểu Access-list là một danh sách các câu lệnh được áp dụng vào các cổng interface của router hay switch cisco. Danh sách này gi p ch cho ch ng ta thấy router hay switch s biết được loại packet nào được chấp nhận hay loại b . Việc chấp nhân hay loại b c thể dựa vào các yếu tố như: địa ch nguồn, địa ch đích hoặc ch số cổng (port).
Phân loại Access-list và cách cấu hình ch ng
2.10.1. Standard IP Access-list (Standard ACLs)
Đây là dòng access list ch lọc dữ liệu dựa vào địa ch IP nguồn, giá trị range của dòng này từ 1-99. Nên được áp dụng với cổng đích gần nhất, c 2 bước để cấu hình và tạo ACLs Standard:
Bước 1: Đầu tiên cần phải định nghĩa i danh sách các ACLs để tiền hành đặt vào interface
(config)#access-list [#number] [permit | deny] [wildcard mask] [log]
Hoặc là :
(config)#access-list [#number] [permit | deny] [host | any]
Bước 2: Tiến hành đặt danh sách ACLs vào interface trên Router-Switch
mà mục đích ta muốn chặn gói tin ngay t i điểm đó