Thiết lập các thơng số như hình. Sau khi thiết lập xong các bước trên, ta đã có một TFTP Server sẵn sàng cho việc backup IOS từ Router ra ngoài.
BƯỚC 3: COPY IOS TỪ FLASH CỦA ROUTER RA TFPT SERVER
Ta kiểm tra IOS đang có trên Flash của Router bằng lệnh “show flash:” ở mode Privilege: Router#show flash: 1 39868440 May 4 2010 22:33:02 +00:00 c2800nm-adventerprisek9-mz.124- 23a.bin 2 2900 May 4 2010 22:33:58 +00:00 cpconfig-2811.cfg Router#
Từ kết quả show, ta thấy IOS được sử dụng và đang được lưu trong bộ nhớ Flash là “c2800nm-adventerprisek9-mz.124-23a.bin”. Ta sẽ thực hiện copy IOS này ra TFTP Server cho mục đích dự phịng:
Router#copy flash: tftp:
Source filename []? c2800nm-adventerprisek9-mz.124-23a.bin <-Tên file được copy
Address or name of remote host []? 192.168.2.2 <-Địa chỉ IP của TFTP Server Destination filename [c2800nm-adventerprisek9-mz.124-23a.bin]? <-Tên của file tại đích đến, nếu khơng muốn sửa tên file, ta chỉ cần gõ Enter tại đây
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!
39868440 bytes copied in 144.280 secs (276327 bytes/sec) Router#
Trong quá trình sao chép, màn hình giao diện của TFTPd32 cũng hiển thị các thông số của kết nối TFTP
Sau khi thực hiện copy xong file IOS từ Flash của Router ra TFTP Server bên ngồi, ta có thể kiểm tra lại bằng cách vào thư mục đường dẫn đã chỉ ra (trong bài lab này là “D:\IOS”) để thấy rằng file đã được sao chép lên server. Đến đây, chúng ta đã hoàn tất thao tác backup dự phòng IOS của router ra một server lưu trữ bên ngoài.
NÂNG CẤP HỆ ĐIỀU HÀNH (UPGRADE IOS)
Có nhiều cách để chúng ta có thể thay thế IOS cũ đang sử dụng trên thiết bị bằng một IOS mới. Trong bài lab này, ta sẽ xem xét cách thức thông dụng là sử dụng giao thức truyền file TFTP.
Để tiến hành cài IOS mới lên thiết bị, ta đặt IOS đó lên TFTP server rồi thực hiện copy từ TFTP server vào flash của router. Về bản chất, thao tác này là thao tác ngược lại với thao tác backup đã thực hiện ở trên.
Lúc này, nếu bộ nhớ Flash trên router không đủ dung lượng, IOS hiện hành trên router sẽ yêu cầu ta xóa file IOS cũ trong flash để có chỗ cho IOS mới. Ngược lại, nếu bộ nhớ flash trên router đủ dung lượng, ta sẽ có cả hai file IOS cũ và mới trên router. Để chọn file IOS mới sử dụng cho lần khởi động kế tiếp, ta có thể sử dụng lệnh “boot system” trên mode config chỉ đến IOS mong muốn; hoặc đơn giản ta chỉ cần xóa file IOS cũ để lần khởi động tiếp theo, router sẽ load IOS mới để sử dụng.
Thực hiện bằng lệnh “copy tftp: flash:” trên mode Privilege của Router:
Router#copy tftp flash:
Address or name of remote host []? 192.168.2.2 <-Địa chỉ TFTP Server
Source filename []? c2800nm-adventerprisek9-mz.124-23a.bin <-Tên file muốn copy
Destination filename [c2800nm-adventerprisek9-mz.124-23a.bin]? <-Tên file tại đích đến (là Flash). Nếu khơng muốn đổi tên, ta chỉ cần gõ Enter tại đây
%Warning:There is a file already existing with this name <-Cảnh báo có file trùng tên đang tồn tại trên Flash
Do you want to over write? [confirm] <-Xác nhận có ghi đè bằng cách gõ Enter Accessing tftp://192.168.2.2/c2800nm-adventerprisek9-mz.124-23a.bin...
Loading c2800nm-adventerprisek9-mz.124-23a.bin from 192.168.2.2 (via FastEthernet0/0):
[OK - 39868440 bytes]
39868440 bytes copied in 167.704 secs (237731 bytes/sec) Router#
Để đơn giản, tác giả đã không đổi IOS mới mà chỉ chép ngược IOS đã copy ra ngoài ở các bước trên vào trở lại router nên một cảnh báo được phát ra là có file trùng tên đang tồn tại trên flash và hỏi rằng ta có ghi đè lên file cũ khơng và ta chọn ghi đè bằng cách gõ “Enter”.
Giao diện TFTPd32 cũng hiển thị thông tin cho quá trình sao chép từ Server xuống Router.
Hình 68: Giao diện TFTPd32 khi copy từ Server vào Router
Ta có thể thực hiện các thao tác này một cách tương tự trên các thiết bị cơ bản khác của Cisco để sao lưu và nâng cấp IOS.
3.7 | BÀI TẬP CHƯƠNG 3
1. Thực hiện cấu hình cơ bản cho router:
Đặt mật khẩu truy cập (enable pasword, console pasword, telnet password).
Đặt banner cho router.
Cấu hình các cổng giao tiếp router.
Mô tả cổng giao tiếp (description).
Câu lệnh tránh cho hiện tượng trơi dịng lệnh (line coonsole 0; logging synchronous).
Ngăn khơng cho router truy tìm DNS và phân giải tên miền của từ khóa
khi ta gõ vào. (no ip domain-lookup).
Lưu cấu hình
2. Cho sơ đồ mạng, cấu hình telnet và SSH
3. Khôi phục mật khẩu cho router và switch
4. Nạp IOS cho router và switch
5. Lab - Kiểm tra Telnet và SSH trong Wireshark
Sơ đồ mạng:
Bảng địa chỉ:
Device Interface IP Address Subnet Mask
Default Gateway
R1 G0/1 192.168.1.1 255.255.255.0 N/A
Trong bài lab này, bạn sẽ định cấu hình router chấp nhận kết nối telnet, SSH và sử dụng Wireshark để bắt gói và xem các phiên Telnet và SSH. Điều này sẽ chứng minh tầm quan trọng của việc mã hóa bằng SSH.
Phần 1: Cấu hình router R1 truy cập telnet và SSH.
R1(config)# ip domain-name ccna-lab.com
R1(config)# crypto key generate rsa modulus 1024
R1(config)# username admin privilege 15 secret adminpass R1(config)# line vty 0 4
R1(config-line)# transport input telnet ssh R1(config-line)# login local
R1(config-line)# end
Phần 2: Kiểm tra phiên Telnet với Wireshark.
Trong Phần 2, bạn sẽ sử dụng Wireshark để bắt gói và xem dữ liệu được truyền của phiên Telnet trên router. Sử dụng Tera Term để telnet đến R1.
Bước 1: Bắt gói dữ liệu
Start Wireshark.
Bắt gói trên LAN interface.
Bước 2: Bắt đầu phiên Telnet đến router
Username: nhập admin và Password:, nhập adminpass.
R1# show run
R1# exit
Bước 3: Dừng bắt gói Wireshark
Bước 4: Áp dụng bộ lọc Telnet trên dữ liệu bắt gói
Bước 5: Sử dụng tính năng theo dõi luồng TCP trong Wireshark để xem phiên Telnet.
Nhấp chuột phải vào một trong các dòng Telnet trong phần danh sách gói của Wireshark, chọn Follow TCP Stream.
Cửa sổ Follow TCP Stream hiển thị dữ liệu cho phiên Telnet với router. Toàn bộ phiên được hiển thị dạng clear text, bao gồm cả mật khẩu.
Phần 3: Kiểm tra phiên SSH với Wireshark.
Bước 1: Mở Wireshark và bắt đầu bắt gói trên LAN interface Bước 2: Bắt đầu phiên SSH đến router
Lần đầu tiên bạn thiết lập phiên SSH cho một thiết bị, một cảnh báo bảo mật được tạo ra để cho bạn biết rằng bạn chưa kết nối với thiết bị này trước đây. Thông báo này là một phần của quá trình xác thực. Đọc cảnh báo bảo mật và nhấp vào Tiếp tục.
Trong cửa sổ xác thực SSH, nhập username: admin và passphrase: adminpass. Nhấp OK.
Bạn đã thiết lập phiên SSH trên router. Phần mềm Tera Term trông rất giống với cửa sổ lệnh.
Tại dấu nhắc lệnh:
R1#show run
Bước 3: Dừng bắt gói Wireshark
Bước 4: Áp dụng bộ lọc SSH trên dữ liệu bắt gói
Bước 5: Sử dụng tính năng theo dõi luồng TCP trong Wireshark để xem phiên SSH.
Nhấp chuột phải vào một trong các dòng SSHv2 trong phần danh sách gói của Wireshark, chọn Follow TCP Stream
Kiểm tra cửa sổ Follow TCP Stream của phiên SSH. Dữ liệu đã được mã hóa và khơng đọc được. So sánh dữ liệu trong phiên SSH với dữ liệu của phiên Telnet.
Sau khi kiểm tra phiên SSH, nhấp vào Close. Đóng Wireshark
4. CHƯƠNG 4: ĐỊNH TUYẾN TĨNH
Định tuyến đơn giản chỉ là tìm đường đi từ mạng này đến mạng khác. Thơng tin về những đường đi có thể được cập nhật tự động từ các router khác hoặc do người quản trị mạng chỉ định cho router
Sau khi học xong chương này, sinh viên có khả năng:
Giải thích khái niệm định tuyến, định tuyến tĩnh.
Cấu hình, xử lý sự cố định tuyến tĩnh trên IPv4 và IPv6.
4.1 | GIỚI THIỆU VỀ ĐỊNH TUYẾN
Định tuyến là quá trình mà router thực hiện để chuyển gói dữ liệu tới mạng đích. Tất cả các router dọc theo đường đi đều dựa vào địa chỉ IP đích của gói dữ liệu để chuyển gói theo đúng hướng đến đích cuối cùng. Để thực hiện được điều này, router phải học thông tin về đường đi tới các mạng khác. Nếu router chạy định tuyến động thì router tự động học những thơng tin này từ các router khác. Cịn nếu router chạy định tuyến tĩnh thì người quản trị mạng phải cấu hình các thơng tin đến các mạng khác cho router. Đối với định tuyến tĩnh, các thông tin về đường đi phải do người quản trị mạng nhập cho router. Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người quản trị mạng phải xóa hoặc thêm các dịng thơng tin về đường đi cho router. Những loại đường đi như vậy gọi là đường đi cố định. Đối với hệ thống mạng lớn thì cơng việc bảo trì bảng định tuyến cho router như trên tốn rất nhiều thời gian. Còn đối với hệ thống mạng nhỏ, ít có thay đổi thì cơng việc này đỡ mất cơng hơn. Chính vì định tuyến tĩnh đòi hỏi người quản trị mạng phải cấu hình mọi thơng tin về đường đi cho router nên nó khơng có được tính linh hoạt như định tuyến động. Trong những hệ thống mạng lớn, định tuyến tĩnh thường được sử dụng kết hợp với giao thức định tuyến động cho một số mụch đích đặc biệt.
Lợi ích của việc sử dụng định tuyến tĩnh là bảo mật và hiệu quả tài nguyên của router. Định tuyến tĩnh sử dụng băng thơng ít hơn các giao thức định tuyến động và khơng địi hỏi quá cao năng lực của CPU để tính tốn các tuyến đường tối ưu.
Bất lợi chính khi sử dụng định tuyến tĩnh là khơng thể tự động cấu hình lại nếu có thay đổi về cấu trúc liên kết mạng. Và bất lợi thứ hai là không tồn tại một thuật toán nào để chống loop cho định tuyến tĩnh.
Hình 69: Định tuyến tĩnh
4.2 | CẤU HÌNH ĐỊNH TUYẾN TĨNH
Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau:
Đầu tiên, người quản trị mạng cấu hình các đường cố định cho router.
Router cài đặt các đường đi này vào bảng định tuyến.
Gói dữ liệu được định tuyến theo các đường cố định này.
4.2.1 | CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV4
Người quản trị mạng cấu hình đường cố định cho router bằng lệnh ip route. Cú pháp của lệnh ip route như sau:
Router(config)#ip route network-address subnet-mask
Định tuyến tĩnh IPv4 có 3 loại sau:
Hình 70: Sơ đồ mạng
Next-hop route: chỉ ra trực tiếp địa chỉ của next hop.
R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.2 R1(config)#ip route 192.168.1.0 255.255.255.0 172.16.2.2 R1(config)#ip route 192.168.2.0 255.255.255.0 172.16.2.2
Directly connected static route: duy nhất interface được chỉ định là đầu ra của
đích đến.
R1(config)#ip route 172.16.1.0 255.255.255.0 s0/0/0 R1(config)#ip route 192.168.1.0 255.255.255.0 s0/0/0 R1(config)#ip route 192.168.2.0 255.255.255.0 s0/0/0
Fully specified static route: loại này chỉ ra cả interface đầu ra và địa chỉ của
next hop
R1(config)#ip route 172.16.1.0 255.255.255.0 s0/0/0 172.16.2.2 R1(config)#ip route 192.168.1.0 255.255.255.0 s0/0/0 172.16.2.2 R1(config)#ip route 192.168.2.0 255.255.255.0 s0/0/0 172.16.2.2
Hai kiểu cấu hình Next-hop route và Directly connected static route có tác dụng như nhau, điểm khác biệt là route static được khai báo theo kiểu exit – interface sẽ có chỉ số tin cậy là 0 còn route static được khai báo theo kiểu IP next – hop sẽ có chỉ số tin cậy là 1. Nếu chỉ định chỉ số tin cậy thay vì sử dụng giá trị mặc định thì thêm thơng số này vào sau thông số về cổng ra/địa chỉ IP trạm kế tiếp của câu lệnh. Giá trị này nằm trong khoảng từ 0 đến 255.
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2 100
Chỉ số tin cậy (AD: Administrative Distance) là một thông số đo lường độ tin cậy của một đường đi. Chỉ số này càng thấp thì độ tin cậy càng cao. Do đó, nếu cần đến cùng một đích thì con đường nào có chỉ số tin cậy thấp hơn thì đường đó được đặt vào bảng định tuyến của router trước.
Fully specified static route được sử dụng cho các trường hợp sau:
Các IOS cũ (12.4 trở về trước)
Các router không hỗ trợ công nghệ chuyển mạch nhanh (CEF).
Khi exit interface là multi-access interface
Đôi khi chúng ta sử dụng đường cố định làm đường dự phòng cho đường định tuyến động. Router sẽ sử dụng đường cố định khi đường định tuyến động bị đứt. Để thực hiện điều này chỉ cần đặt giá trị chỉ số tin cậy của đường cố định cao hơn chỉ số tin cậy của giao thức định tuyến động đang sử dụng là được.
Ngồi lệnh ping và traceroute, chúng ta có thể dùng các lệnh sau để kiểm tra static
route:
Show ip route
Show ip route static
Show ip route network
4.2.2 | CẤU HÌNH ĐỊNH TUYẾN TĨNH TRÊN IPV6
Định tuyến tĩnh trên IPv6 không khác biệt nhiều so với định tuyến tĩnh trên IPv4. Định tuyến tĩnh được cấu hình bằng tay và xác định một đường đi rõ ràng giữa hai node mạng. Không giống như các giao thức định tuyến động, định tuyến tĩnh không được tự động cập nhật và phải được người quản trị cấu hình lại nếu hình trạng mạng có sự thay đổi.
Trên các thiết bị Cisco, dùng câu lệnh ipv6 route trong mode config để cấu hình static route. Cú pháp:
Router(config)#ipv6 route ipv6-prefix/prefix-length
{ipv6-address | exit-intf}
Parameter Description
ipv6-prefix Địa chỉ mạng đích
prefix-length Prefix length của mạng đích
ipv6-address Địa chỉ ip của trạm kế tiếp trên đường đi (next-hop router’s IP
address)
exit-intf Cổng ra trên router
Định tuyến tĩnh IPv6 có 3 loại sau:
Fully specified static IPv6 route: loại này chỉ ra cả interface đầu ra và địa chỉ
của next hop
Directly connected static IPv6 route: duy nhất interface được chỉ định là đầu
Lưu ý: Câu lệnh ipv6 unicast-routing phải được cấu hình để cho phép router chuyển
tiếp các gói tin ipv6.
R1(config)#ipv6 unicast-routing
Ngồi lệnh ping và traceroute, chúng ta có thể dùng các lệnh sau để kiểm tra static
route:
Show ipv6 route
Show ipv6 route static
Show ipv6 route network
4.3 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH CHO ROUTER
Đường mặc định là đường mà router sẽ sử dụng trong trường hợp router khơng tìm thấy đường đi nào phù hợp trong bảng đinh tuyến để tới đích của gói dữ liệu. chúng ta thường cấu hình đường mặc định cho đường ra Internet của router vì router khơng cần phải lưu thông tin định tuyến tới từ mạng trên Internet. Lệnh cấu hình đường mặc định thực chất là lệnh cấu hình đường cố định
4.3.1 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH TRÊN IPV4
Cú pháp:
Router (config)#ip route 0.0.0.0 0.0.0.0 { ip-address | exit – intf }
Subnet 0.0.0.0 khi thực hiện phép toán AND logic với bất kỳ địa chỉ IP đích nào cũng có kết quả là mạng 0.0.0.0. Do đó, nếu gói dữ liệu có địa chỉ đích mà router khơng tìm được đường nào phù hợp thì gói dữ liệu đó sẽ được định tuyến tới mạng 0.0.0.0. Sau đây là cấu hình đường mặc định:
Hình 71: Sơ đồ mạng
R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2 Kiểm tra default static route:
Hình 72: Kiểm tra default static route
4.3.2 | CẤU HÌNH ĐƯỜNG MẶC ĐỊNH TRÊN IPV6
Cú pháp:
Router (config)#ipv6 route ::/0 { ip-address | exit – intf }
Hình 73: Cấu hình đường mặc định trên IPv6
Kiểm tra default staic route:
R1#show ipv6 route static
Hình 74: Kiểm tra default static route
4.4 | XỬ LÝ SỰ CỐ STATIC ROUTE VÀ DEFAULT ROUTE
quản trị viên mạng phải quen với các công cụ để giúp cô lập các vấn đề định tuyến một cách nhanh chóng. Các lệnh xử lý sự cố phổ biến bao gồm: Ping Traceroute Show ip route
Show ip interface brief
Show cdp neighbors detail
Tìm kiếm một tuyến đường bị mất (hoặc cấu hình sai) là một quá trình tương đối đơn