Nghiên cứu và áp dụng thành công mô hình mạng Campus vào hệ thống mạng các cơ quan tổ chức, doanh nghiệp dựa trên hệ thống cáp mạng và hệ thống máy chủ có sẵn. Từng bước khắc phục các thiếu sót về hệ thống cáp, hệ thống máy chủ, các phần mềm chuyên dụng và các thiết bị hỗ trợ.
5.7 Cấu hình thiết bị
Lớp Core: o cấu hình VTP o Tạo VLAN o Gán IP cho các VLAN o Chạy ACL-Access-list để hạn chế một số dịch vụ Lớp Distribution o Cấu hình VTPo Cấu hình đường Trunk với các kết nối với lớp Core
o Cho VLAN tương ứng chạy qua port kết nối với lớp Core
Lớp Access
o Cấu hình tất cả các cổng ở mode access
5.7.1 Cấu hình cơ bản chung cho một Switch
Reset tất cả cấu hình của Switch và reload lại. Switch#delete flash:vlan.dat
Switch#erase startup-config Switch#reload
5.7.2 Cấu hình về Security và management
Switch(config)#hostname tên switch Switch(config)#line console 0 Switch(config-line)#password mật khẩu Switch(config-line)#login Switch(config)#line vty 0 4 Switch(config-line)#pass mật khẩu Switch(config-line)#login
5.7.3 Thiết lập địa chỉ IP và default gateway cho Switch
Switch(config)#interface vlan1
Switch(config-int)#ip address địa chỉ subnetmask Switch(config)#ip default-gateway địa chỉ
5.7.4 Thiết lập tốc độ và duplex của cổng
Switch(config-int)#speed tốc độ Switch(config-int)#duplex full
5.7.5 Thiết lập dịch vụ HTTP và cổng
Switch(config)#ip http server Switch(config)#ip http port 80
5.7.6 Thiết lập, quản lý địa chỉ MAC
Switch(config)#mac-address-table static địa chỉ MAC interface fastethernet số vlan
Switch#show mac-address-table Switch#clear mac-address-table
5.7.7 Cấu hình bảo mật cho cổng
Switch(config-if)#switchport mode acess Switch(config-if)#switchport port-security
Cấu hình Static:
Switch(config-if)#switchport port-security mac-address địa chỉ Mac
Cấu hình Sticky:
Switch(config-if)#switchport port-security mac-address sticky (thông dụng nhất)
Switch(config-if)#switchport port-security maximum value Switch(config-if)#switchport port-security violation shutdown
5.7.8 Tạo Vlan
Cách 1.
Switch#vlan database Switch(vlan)#vlan number
Cách 2. Khi gán các cổng vào vlan, dù vlan chưa tồn tại nhưng Switch vẫn tự
tạo.
Switch(config)#interface fastethernet 0/0
Switch(config-int)#switchport access vlan vlan-id Muốn xoá vlan ta làm như sau:
Switch(config-if)#no switchport access vlan vlan-id Switch#clear vlan vlan_number (xoá toàn bộ vlan )
5.7.9 Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range
Đối với dãy cổng không liên tục.
Switch(config)#interface range cổng 1 , cổng 2 , cổng 3 Đối với một dãy liên tục.
Switch(config)#interface range cổng 1-n
Switch(config-range)#switchport access vlan vlan-id Ví dụ:
Switch(config)#interface range f0/0 , f0/2 , f0/4 Switch(config)#interface range f0/0-10
Switch(config-range)#switchport access vlan 10
5.7.10 Cấu hình Trunk
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchpor trunk encapsulation encapsulation-type Switch#show trunk
5.7.11 Cấu hình VTP
Switch#vlan database Switch(vlan)#vtp v2-mode
Switch(vlan)#vtp domain tên domain
Switch(vlan)#vtp {server/client/transperant}
Switch(vlan)#vtp password password (Tạo pass cho domain) Switch#show vtp status
5.7.12 Cấu hình Inter-Vlan trên Router
Router(config)#interface fastethernet 0/0.1 Router(config-subif)#encapsulation type
Router(config-subif)#ip address địa chỉ subnetmask
Hình 4.2 Toàn bộ hệ thống mạng của các cơ quan tổ chức, doanh nghiệp
5.7.13 Cấu hình VLAN- Cấu hình VTP
Để cấu hình VLAN cho từng tầng, ở đây ta sẽ cấu hình VTP trên hai Switch lớp Core, như thế việc đồng bộ và quản lý VLAN sẽ dễ dàng hơn. VLAN sẽ được cấu hình các interface tương ứng.
VTP sẽ được cấu hình trên 2 con switch lớp Core. Khi cấu hình xong ta kiểm tra các thông số như domain, password, version.. Hình 4.3 hiển thị các thông số về VTP
Hình 4.3 Biểu diễn VTP cấu hình trên switch lớp Core
VLAN được chia thành 14 VLAN và đặt dải IP cho từng VLAN bắt đầu từ 10.0.2.0/24 đến 10.0.14.0/24. Trong đó có một VLAN để quản lý.Khi cấu hình các VLAN xong ta kiểm tra xem các VLAN đã được tạo ra chưa. Hình 4.4 cho ta thấy các VLAN đã được tạo
Hình 4.4 Hiển thị thông tin VLAN trên Switch
Ta sẽ cấu hình VTP trên tất cả các con Switch ở các lớp. như thế việc đồng bộ giữa các VLAN trở lên dễ dàng hơn.
Sau khi đã tạo VTP và VLAN xong ta tiến hành gán IP cho các VLAN tại
Switch lớp Core. Việc gán IP vào từng VLAN sẽ giúp quản lý tốt hơn VLAN đó.
Hình 4.5 là hình ảnh các VLAN đã được gán IP
Hình 4.5 Các VLAN đã được gán IP
Cấu hình mode access trên các cổng của lớp access. Hình 4.6 cho ta biết trạng thái của các cổng đang ở mode access và cho chỉ cho phép 1 VLAN chạy qua nó.
Hình 4.6 Cấu hình mode access cho các cổng
5.7.14 Cấu hình bảo mật
Để việc bảo mật và chống lan tràn Virus tốt hơn, ta sẽ cấu hình ACL trên hai Switch lớp Core nhằm mục đích không cho các VLAN thông được với nhau nhưng vẫn có thể truy cập vào máy chủ hoặc ra ngoài mạng Internet.
Ta tiến hành cấu hình chặn các cổng, chặn theo dải địa chỉ IP từ các VLAN với nhau. Hình 4.6 miêu tả trạng thái 1 VLAN sẽ bị chặn tới 1 VLAN khác như thế nào
Hình 4.7 Nêu lên các thông số khi ta chặn ACL của từng VLAN
5.7.15 Định tuyến EIGRP 10
Chạy EIGRP trên hai con Switch lớp 3 để định tuyến giữa các VLAN với nhau. Khi ta show bảng định tuyến lên sẽ thấy được các thông số như hình 4.8
Hình 4.8 Thông số các cổng hoạt động
5.8 Chạy thử chương trình
5.8.1 Kiểm tra VTP- VLAN
Tiến hành kiểm tra VTP tại các Switch lớp Distribution xem đã cấu hình đúng domain, pass, mode và version chưa
Ta tiến hành kiểm tra VLAN trên các switch lớp Distribution xem đã đường đồng bộ từ lớp Core xuống hay chưa. Hình 4.9 cho ta thấy các VLAN đã đường đồng bộ từ lớp Core xuống lớp Distribution
Hình 4.9 Thông số cho biết lớp Core và lớp Distribution đã kết nối với nhau
5.8.2 Ping các PC thuộc các VLAN khác nhau với nhau
Sau khi định tuyến xong, cấu hình VLAN xong, gán các cổng vào
từng VLAN, ta tiến hành lệnh ping đến các VLAN, ping đến máy chủ
Khi ping đến máy chủ: Khi ping đến các máy chủ, ta sẽ nhận được thông tin Reply từ máy chủ trả về. Hình 4.10
Hình 4.10
Khi ping đến VLAN: Các user trong cùng 1 VLAN thì thấy được nhau, nhưng các user khác VLAN thì không thấy được nhau. Hình 4.11
Hình 4.11
Mô hình đã chạy thử và đạt kết quả tốt, các VLAN đã kết nối đến vùng DMZ nhưng các user trong các VLAN riêng biệt không thể thấy nhau. Điều đó chứng tỏ đã cấu hình thành công việc bảo mật trên từng Switch lớp Core. Đồ án còn có thể phát triển thêm nhiều tính năng bảo mật mới, cân bằng tải và điều chỉnh băng thông ở từng thời điểm. Nhưng do thời gian không cho phép, những vấn đề đó sẽ được tác giả phát triển trong tương lai.
KẾT LUẬN
TÀI LIỆU THAM KHẢO
TÀI LIỆU THAM KHẢO
Các tài liệu Tiếng Việt
[1]. Mạng căn bản- Giáo trình hệ thống mạng máy tính CCNA semester 1, version 4, chủ biên Nguyễn Thị Điệp, Hiệu đính Nguyễn Hồng Sơn NXB Lao Động- Xã Hội 2009.
[2]. Mạng máy tính và các hệ thống mở, GS-TS Nguyễn Thúc Hải NXB Giáo dục 1999.
[3]. Mạng máy Tính, lược dịch và biên soạn Hồ Anh Phong NXB Thống kê 2000.
Các tài liệu Tiếng Anh
[4]. David Hucaby, CCNP BCMSN Exam Certigication Guide, CCIE No.2592.
[5]. Kenedy Clark, Kevin Hamilton. Cisco LAN Switching, (Kenedy Clark CCIE
#2175, CCSI, Kevin Hamilton CCSI)
Các tài liệu từ Internet
[6]. Website Meta : http://www.quantrimang.com.vn [7]. Website Cisco :http://cisco.netacad.net
PHỤ LỤC
Access Truy cập
ASIC-Application Specific Integrated Circuit
Ứng dụng từng vi mạch
ATM Kỹ thuật truyền ATM
Available Có hiệu lưc
Backbone Xương sống
BPDU Đơn vị dữ liệu giao thức Bridge
Bridge Cầu
Broadcast Quảng bá
Broadcast storm Bão quảng bá
Broadcast loop Vòng lặp quảng bá
Building Tòa nhà
Byte header Hợp bit đâu
Byte trailer Bản ghi bit cuối
Catalyst Switch Dòng switch
Cell Ô ,ngăn
Client mode Chế độ khách
Collapsed Core Lõi rút gọn
Collision Đụng độ
Core Lõi
CPU Bộ xử lý trung tâm
CRC Kiểm tra độ dự phòng
DA-Destination Địa chỉ đích
Data Dữ liệu
Down Xuống
DTP-Dynamic Trunking Protocol Giao thức Trunk động
Dual-homing Về kép
End-to-End Đầu cuối
ERP-Enterprise Resource Planning Quy hoạch tài nguyên doanh nghiệp
Ethernet Chuẩn Ethernet
Feedback loop Vòng lặp hồi tiếp
Firewall Tường lửa
Flat network Mặt bằng mạng
Format Định dạng
Frame Check Sequence-FCS Chuỗi kiểm tra khung
Framrelay Công nghệ chuyển tiếp
Free-Loop Vòng lặp tự do
Gate way VoIP Cổng kết nối VoIP
Header Đầu
Hub Thiết bị kết nối
IEEE 802.1Q Chuẩn IEEE 802.1Q
Internet Mạng Internet
ISDN Mạng số tích hợp đa dịch vụ
ISL Ngôn ngữ đặc tả giao thức
LAN Mạng địa phương
Length-Type Kiểu độ dài
Local Vùng
Local VLAN Vùng LAN
Loop-Free Sự điều khiển truy cập bắt buộc
MAC Sự điều khiển truy cập bắt buộc
Multicast Truyền đa hướng
NVRAM Bộ nhớ truy cập bất thường
Packet Gói tin
PC Máy tính cá nhân
Point-to-point Điểm – điểm
Port Cổng
Port ID Chỉ số cổng
Priority Độ ưu tiên
PSTN-Public Switch Telephone Network Mạng điện thoại chuyển mạch công cộng
