Mcsa - Th-Atm - (Cuuduongthancong - Com)

Bài thực hành số 1: Công cụ Cain & Abel và
Kali Linux
I. Cain & Abel
1. Giới thiệu
Cain & Abel là một công cụ dùng để phục hồi password trong hệ thống
Windows. Công cụ này cho phép người quản trị, hacker, … Có thể lấy được
password thông qua việc sniffing hệ thống mạng, crack các password được mã
hóa (bằng cách sử dụng các thuật toán như dictionay, brute-force và phân tích
mã), ghi lại các cuộc hội thoại VoIP, …
2. Cấu hình
Click vào Menu Configure để thực hiện các bước cấu hình cơ bản của Cain.
2.1 Tab Sniffer
Dùng để thiết lập các thông số của của card mạng cho các chức năng sniffer
và APR (ARP Poison Routing) của Cain.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
• Start Sniffer on Startup: Cain sẽ chạy chức năng sniffer khi khởi động.
• Start ARP on startup: Cain sẽ chạy chức năng ARP khi khởi động.
• Don’t use Promiscucos mode: Cain sẽ Kích hoạt APR Poisoning trên
mạng không dây nhưng không thể sử dụng tính năng giả mạo MAC.
2.2 Tab APR
Đây là tab dùng để cấu hình APR (ARP Poison Routing). Khi chức năng này
được khởi động Cain sẽ tạo ra 1 thread mới và gửi các gói tin ARP Poison đển
nạn nhân mỗi 30 giây, người dùng có thể điều chỉnh lại thời gian gửi gói tin
(Nếu thời gian quá nhỏ sẽ tạo ra nhiều traffic ARP, nếu thời gian quá lớn có thể
tạo ra một số lỗi trong quá trình thực hiện hijacking traffic).
Phần cấu hình spoofing sẽ chỉ ra địa chỉ MAC và IP mà cain sẽ ghi vào
header Ethernet và ARP của gói tin ARP Poison, điều này cho phép chúng ta
thực hiện cuộc tấn công ARP Poison hoàn toàn vô danh. Nhưng khi cấu hình tùy
chọn này cần phải chú ý các vấn đề sau:
Spoofing Ethernet Address: Thực hiện được khi các máy nối tới một
hub hoặc một switch không chạy chức năng port security
IP address Spoofing: Phải sử dụng các IP address chưa sử dụng ở

trong subnet của mình.
MAC address Spoofing: Phải sử dụng địa chỉ MAC không có trong
subnet.
2.3 Tab Filters and Ports
Đây là nơi cho phép có thể enable/disbale sniffer filter trên một số port, chỉ
có những port nào enbale thì cain mới bắt thông tin. Cain chỉ bắt những thông
tin về việc auhentication chứ không bắt toàn bộ gón tin, nếu bạn muốn có được
thông tin của toàn bộ gói tin thì có thể sử dụng các chương trình khác như
wireshark.
3. Sử dụng Cain để thực hiện ARP Poison Routing.
3.1 Mô hình mạng
3.2 Yêu cầu
a. Đặt địa chỉ IP cho server và PC như mô hình.
b. Cài đặt dịch vụ HTTP trên Server (xác thực username, password trước khi
sử dụng).
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
3.3 Các bước triển khai
a. Đặt địa chỉ IP cho server và 2 PC
Máy server sử dụng Windows server hoặc Linux server, 2 PC sử dụng

Windows xp, 7,… (trong bài thực hành này, sử dụng Windows server 2003 làm
server, 2 PC sử dụng Windows xp).
+ Server:
+ Victim:
+ Attacker:
b. Cài đặt dịch vụ HTTP trên Server
+ HTTP:
++ Cài đặt dịch vụ HTTP và trang web đơn giản:
Vào start  setting  control panel  add or remove program 
Add/Remove windows components
Chọn Next để tiếp tục quá trình cài đặt, sau khi cài đặt xong chọn finish để
hoàn thành.
- Tạo trang web đơn giản chỉ bao gồm text.
- Vào my computer  c:\  inetpub  wwwroot, tạo file index.htm với nội
dung bất kỳ (Trong bài thực hành này tạo nội dung “Chao ban den voi
website!”).
Test: Truy cập vào website vừa tạo xong
++Cấu hình xác thực username, password khi truy cập dịch vụ HTTP
- Tạo username: u1, password: 123 được sử dụng để xác thực trước khi
truy cập vào website:
Vào start  run  cmd gõ lệnh: net user u1 123 /add để tạo username u1,
password 123.
- Vào start  programs  addministrative tools  Internet Information
Services (IIS) Manager
Nhấp chuột phải vào Default website chọn properties như hình bên dưới
Chọn tab Directory security, nhấn vào nút edit trong mục Authentication and
access control
Nhấn vào nút browse... trong mục use the following windows user account
for anonymous access: gõ u1 và nhấn nút check names, sau đó nhấn OK
Trở lại hộp thoại Authentication Methods, bỏ dấu tick ở mục Enable
anonymous access. Đồng thời đánh dấu tick vào mục Basic
authentication(password is sent in clear text), bỏ chọn các dấu tick còn lại và
nhấn ok như hình bên dưới.
- Test: Trên máy client, mở trình duyệt web (Internet explorer, google
chrome, firefox,…) truy cập vào website trên máy server. Lúc này sẽ yêu
cầu username, password trước khi xem được nội dung trang web.
Nhập vào username: u1, password: 123 để xem được nội dung trang web
trên máy server.
c. Sử dụng công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker, sniffer
username và password dịch vụ HTTP khi máy Victim sử dụng dịch vụ này
trên máy server.
- Cài đặt công cụ Cain&Abel phiên bản 4.9.56 trên máy attacker
- Sniffer username, password dịch vụ HTTP khi máy Victim sử dụng dịch vụ
này trên máy server.
B1: Chạy phần mềm Cain&Abel, trên thanh công cụ menu tab chọn tab
Configure, chọn vào card mạng sử dụng để sniffer (ở đây card mạng có địa chỉ
IP 10.0.0.2), sau đó nhấn OK.
Trở về giao diện phần mềm Cain, start sniffer bằng cách nhấn vào nút (hình
card mạng) trên thanh công cụ, như hình bên dưới.
B2: Quét địa chỉ mac trong hệ thống mạng vừa thiết lập
Chuyển qua tab sniffer trên thanh công cụ, sau đó nhấn vào nút hình chữ
thập màu xanh (như hình bên dưới).
Chọn vào nút range, sửa lại dãy địa chỉ IP muốn quét địa chỉ mac từ 10.0.0.1
đến 10.0.0.254, sau đó nhấn OK để tiến hành quét địa chỉ mac.
Kết quả: phần mềm Cain sẽ quét được 2 địa chỉ mac trong hệ thống mạng
vừa thiết lập, để xem hostname chọn vào từng địa chỉ mac hoặc chọn tất cả địa
chỉ mac, nhấn chuột phải chọn Resolve host name.
B3: Thực hiện quá trình APR
Chuyển qua tab APR ở phía dưới cùng của thanh công cụ, sau đó nhấn vào
nút hình chữ thập màu xanh(như hình bên dưới) để mở hộp thoại New ARP
Poison Routing
Hộp thoại New ARP Poison Routing xuất hiện, ở cửa sổ bên trái chọn máy
victim(địa chỉ IP 10.0.0.1), ở cửa sổ bên phải chọn máy server (địa chỉ IP
10.0.0.254) sau đó nhấn OK.
Để thực hiện quá trình APR, nhấn vào nút hình tròn màu vàng trên thanh
công cộng ở giao diện phần mềm Cain(xem hình bên dưới).
B4: Sniffer username, password dịch vụ HTTP khi máy victim truy cập vào
website trên máy server
Máy victim tiến hành truy cập vào website trên máy server, lúc này sẽ bắt
được username, password truy cập vào dịch vụ HTTP ở máy attacker.
Để xem username, password bắt được này. Trên giao diện phần mềm cain,
chuyển qua tab passwords trên thanh công cụ và chọn vào dịch vụ HTTP bên
phía trái (xem hình bên dưới).
4. Bài tập mở rộng
Cài đặt dịch vụ FTP, TELNET trên máy server và tiến hành sniffer username,
password trên máy attacker.
II. Kali Linux
1. Giới thiệu Kali Linux
Kali Linux là một bản phân phối của Linux dựa trên nền tảng Debian nhằm
nâng cao kiểm tra thâm nhập và an ninh kiểm toán. Kali chứa vài trăm công cụ
nhằm mục đích nhiệm vụ an ninh thông tin khác nhau, chẳng hạn như kiểm tra
thâm nhập, điều tra và dịch ngược. Kali linux được phát triển, tài trợ và duy trì
bởi Offensive Security, một công ty đào tạo bảo mật thông tin hàng đầu.
Kali Linux được phát hành vào ngày 13 tháng 3 năm 2013 như là một nền
tảng hoàn hảo, từ trên xuống dưới xây dựng lại của BackTrack Linux, tôn trọng
hoàn toàn các tiêu chuẩn phát triển của Debian.
2. Bài tập
2.1 CDP Flooding Attack
2.1.1 Giới thiệu CDP (Cisco Discovery Protocol)
CDP là một giao thức độc quyền lớp Data Link được phát triển bởi Cisco
Systems. CDP được sử dụng để chia sẻ thông tin về các thiết bị Cisco kết nối
trực tiếp khác, chẳng hạn như phiên bản hệ điều hành và các địa chỉ IP. CDP
cũng có thể được sử dụng cho On-Demand Routing, là một phương pháp bao
gồm thông tin định tuyến trong thông báo CDP để các giao thức định tuyến
động không cần phải sử dụng trong các mạng đơn giản.
Lợi dụng giao thức này, Attacker sẽ sử dụng chương trình làm giả các gói tin
CDP để làm Router/Switch tốn tài nguyên để xử lý. Một trong những công cụ
thực hiện được chức năng này là Yersinia, công cụ có sẵn trên Kali Linux.
2.1.2 Công cụ Yersinia
Yersinia là một chương trình khung để thực hiện các cuộc tấn công lớp 2.
Yersinia được thiết kế để tận dụng lợi thế một số yếu điểm trong các giao thức
mạng khác nhau. Yersinia giả vờ là một chương trình khung vững chắc cho việc
phân tích và thử nghiệm các mạng và hệ thống được triển khai. Các cuộc tấn
công vào các giao thức mạng như:
Spanning Tree Protocol (STP)
Cisco Discovery Protocol (CDP)
Dynamic Trunking Protocol (DTP)
Dynamic Host Configuration Protocol (DHCP)
Hot Standby Router Protocol (HSRP)
802.1q
802.1x
Inter-Switch Link Protocol (ISL)
VLAN Trunking Protocol (VTP)
2.1.3 Mô hình triển khai
Yêu cầu:
a. Dựng mô hình như hình vẽ.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ Yersinia
0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6 hoặc tương
đương.
d. Đưa ra biện pháp phòng chống tấn công cdp flooding.
2.1.4 Quá trình thực hiện
a. Dựng mô hình như hình vẽ
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router
Cisco c3640 phiên bản 12.4 hoặc tương đương, máy Kali Linux phiên bản 1.0.6
hoặc tương đương chạy trên phần mềm VMWARE.
b. Kích hoạt interface và CDP trên cổng f0/0 của router R1.
Trên Router R1, kích hoạt interface f0/0 đang ở chế độ disable, bằng cách
vào interface này, gõ lệnh no shutdown.
R1(config)#interface f0/0
R1(config-if)#no shutdown
Mặc định CDP đã được kích hoạt trên các interface của router cisco, nếu chưa
được kích hoạt gõ lệnh cdp enable để kích hoạt CDP.
R1(config-if)#cdp enable
kiểm tra CDP neighbor, traffic, CPU cho quá trình xử lý gói tin CDP.
c. Thực hiện tấn công cdp flooding vào router R1 sử dụng công cụ
Yersinia 0.7.3 có sẵn trên hệ điều hành Kali Linux phiên bản 1.0.6
hoặc tương đương.
Trên cửa sổ Terminal của Kali Linux truy cập vào chương trình Yersinia bằng
câu lệnh:
root@kali:~#yersinia –G
Ở Tab CDP, cho thấy router R1 đang chạy CDP.
Trên giao diện chương trình Yersinia có rất nhiều cách tấn công như: CDP,
DHCP, 802.1Q,… trong bài tập này sẽ thực hiện quá trình tấn công CDP
flooding.
Để thực hiện quá trình tấn công, trên thanh công cụ của chương trình
Yersinia nhấn vào nút Launch Attack, hộp thoại xuất hiện, chọn flooding CDP
table  OK.
Lúc này Yersinia sẽ tạo ra hàng nghìn gói tin CDP(xem hình bên dưới):
Trên Router R1, thực hiện thao tác rất chậm, gõ lệnh thì bị delay khá lâu.
Sử dụng các câu lệnh show trên router R1 để kiểm tra:
- Show cdp traffic: Sử dụng để kiểm tra traffic
- Show process cpu sorted | incude CPU|PID runtime| CDP Protocol: Sử

dụng để kiểm tra hiệu xuất CPU và các tiến trình.
- Show cdp neighbor: Hiển thị chi tiết thông tin về các thiết bị lân cận phát
hiện sử dụng CDP.
Để dừng quá trình flooding CDP, trên thanh công cụ của chương trình
Yersinia nhấn vào nút List attacks  Cancel all attacks.
d. Đưa ra biện pháp phòng chống tấn công cdp flooding.
Vô hiệu hóa CDP trên các interface f0/0 của router R1, bằng cách truy cập
vào interface f0/0 và gõ lệnh no cdp enable.
R1(config-if)#no cdp enable
2.2 DHCP Starvation Attack
2.2.1 Giới thiệu tấn công DHCP Starvation Attack
Tấn công DHCP starvation attack hoạt động bằng cách yêu cầu DHCP gửi các
gói tin broadcast với địa chỉ MAC giả mạo. Điều này có thể dễ dàng đạt được với
các công cụ tấn công như "Gobbler" (một công cụ được thiết kế để kiểm toán
các khía cạnh khác nhau của mạng DHCP, từ việc phát hiện nếu DHCP được
chạy trên một mạng để thực hiện tấn công từ chối dịch vụ). Nếu đủ yêu cầu
được gửi đi, những kẻ tấn công mạng có thể làm cạn kiệt không gian địa chỉ có
sẵn trên các máy chủ DHCP trong một khoảng thời gian. Đây là cuộc tấn công
làm thiếu tài nguyên đơn giản như tấn công flood SYN. Sau đó những kẻ tấn
công mạng thiết lập một máy chủ DHCP giả mạo trên hệ thống và đáp ứng các
yêu cầu DHCP từ client trên mạng.
Trong hệ thống mạng, khi Client xin địa chỉ IP từ DHCP Server sẽ trải qua 4
bước bằng cách lần lượt trao đổi 4 gói tin giữa DHCP client và Server gồm:
Discover, Offer, Request, Ack.
2.2.2 Mô hình triển khai
Yêu cầu:
b. Đặt địa chỉ IP tĩnh cho router R1 như hình vẽ, cấu hình DHCP Server trên
router R1 cấp mạng 192.169.10.0/24 cho các PC trong mạng và tiến hành
xin IP trên máy Client.
c. Xóa bỏ IP trên máy Client và thực hiện tấn công DHCP Starvation Attack
trên máy Kali Linux vào DHCP Server. Sau đó tiến hành xin lại IP trên
máy client, cho biết kết quả?
d. Đưa ra biện pháp phòng chống tấn công DHCP Starvation Attack.
2.2.3 Quá trình thực hiện
Triển khai mô hình trên phần mềm GNS3, router R1 sử dụng IOS router
Cisco c3640 phiên bản 12.4 hoặc tương đương, sử dụng phần mềm VMWARE giả
lập máy Kali Linux sử dụng phiên bản 1.0.6 và máy client sử dụng hệ điều hành
Windows client (xp,7,8,…).
b. Đặt địa chỉ IP và cấu hình DHCP server trên router R1.
- Cấu hình địa chỉ IP 192.169.10.1/24 trên interface f0/0
R1(config-if)#ip address 192.169.10.1 255.255.255.0
- Cấu hình DHCP Server cấp mạng 192.169.10.0/24 cho các PC trong hệ
thống, trừ ra địa chỉ IP 192.169.10.1 do đã cấp cho router R1 (sử dụng
lệnh ip dhcp excluded-address 192.169.10.1)
R1(config)#ip dhcp pool VLAN1

R1(dhcp-config)#network 192.169.10.1 /24
R1(dhcp-config)#exit
R1(config)#ip dhcp excluded-address 192.169.10.1
- Kiểm tra DHCP Server đã cấu hình:
Trên máy Client tiến hành xin IP, tại cửa sổ cmd, gõ lệnh ipconfig /renew
Trước khi có tấn công DHCP Starvation attack, quá trình xin IP từ DHCP
Server thành công.
c. Thực hiện tấn công DHCP Starvation Attack vào DHCP Server
Như đã giới thiệu ở bài trước, trên Kali Linux có sẵn công cụ Yersinia, có tính
năng thực hiện tấn công DHCP Starvation attack.
Trên máy Kali Linux, ở cửa sổ termial gõ yersinia -G để mở giao diện

Yersinia.
root@kali:~#yersinia –G
Hộp thoại chương trình Yersinia xuất hiện, chọn tab DHCP, để khởi động quá
trình tấn công DHCP Starvation, chọn vào nút Launch attack như hình bên dưới:
Hộp thoại hiện ra chọn tab DHCP và chọn sending DISCOVER packet 
OK
Lúc này, chương trình Yersinia tạo ra rất nhiều gói Discover giả mạo để tìm
kiếm và gửi đến DHCP server.
Trên Router R1 lúc này xử lý rất chậm, CPU dành cho việc xử lý gói tin
Discover chiếm hầu hết hiệu suất.
Kiểm tra các tiến trình và khả năng xử lý của CPU sử dụng lệnh show
process.
Trên máy Client, tiến hành xóa IP cũ (sử dụng lệnh ipconfig /release tại dấu
nhăc lệnh trong cửa sổ cmd) và xin cấp phát lại địa chỉ IP từ DHCP Server
nhưng không thành công. Xuất hiện thông báo không thể liên hệ với DHCP
server (xem hình bên dưới).
Để ngừng tấn công, nhấn vào nút List attacks  Cancel all attacks.
Trên router R1, gõ lệnh show ip dhcp binding sẽ có rất nhiều địa chỉ IP mà
DHCP đã Offer do quá trình tấn công DHCP Starvation đã gửi nhiều gói tin
Discover liên tục tới router R1.
Sử dụng lệnh show ip dhcp server statistics để xem DHCP Server đã
thống kê các gói tin DHCP nhận được và gửi đi.
Từ các lệnh kiểm tra trên cho thấy rằng, khi máy Kali Linux thực hiện tấn
công DHCP Starvation chỉ gửi gói tin DHCP Discover, khi Server gửi lại gói DHCP
Offer thì quá trình tấn công không gửi lại gói DHCP Request, nên Sever vẫn để
dành những địa chỉ đã Offer đó (đã thấy ở lệnh show ip dhcp binding ở trên),
sau một khoảng thời gian không nhận được gói DHCP Request thì DHCP Server
mới xóa những entry này trong database.
d. Biện pháp phòng chống
Để ngăn chặn kiểu tấn công này, trên thiết bị Switch(SW) bạn phải cấu hình
những tính năng sau:
- Port security
Giới hạn MAC học trên mỗi cổng bằng cách sử dụng câu lệnh switchport
port-security maximum.
Trong bài tập này, cấu hình port-security trên interface e0/0 và e0/2 của
switch SW, giới hạn địa chỉ MAC học được là 2.
SW(config)#interface range e0/0,e0/2

SW(config-if)#switchport port-security
SW(config-if)#switchport port-security maximum 2
- DHCP Snooping
Cấu hình tính năng này để chống giả mạo DHCP Server, sau khi cấu hình
tính năng này interface nối với DHCP server sẽ trở thành interface tin cậy
(trust), các interface còn lại nối với Client sẽ trở thành interface không tin
cậy(untrust). Các interface untrust chỉ nhận gói tin DHCP DISCOVER, DHCP
REQUEST hay DHCP RELEASE. Các interface trust sẽ cho phép nhận gói tin
DHCP OFFER. Nếu một DHCP server giả gắn vào switch được cấu hình tính năng
snooping và gửi DHCP OFFER thì switch sẽ loại bỏ gói tin này.
Trong bài tập này, cấu hình tính năng DHCP snooping trên interface e0/1 của
switch SW (cổng nối với DHCP Server).
SW(config)# ip dhcp snooping

SW(config)# ip dhcp snooping vlan 1
SW(config-if)# interface e0/1
SW(config-if)# ip dhcp snooping trust
SW(config-if)# exit
SW(config)#no ip dhcp snooping information option
- Monitor DHCP Server
Sử dụng các lệnh show để monitor các pool, các tiến trình và quá trình xử lý
của DHCP Server:
R1#show process: Để xem các tiến trình và hiệu suất xử lý của CPU.
R1#show ip dhcp pool: Để xem các pool tạo trên DHCP Server, tổng số địa
chỉ IP cấp, địa chỉ IP hiện tại đang cấp và số lượng địa chỉ IP đã cấp.
Lưu ý: Để cấu hình được tính năng này trên switch sử dụng phần
mềm gns3, yêu cầu thiết bị switch phải sử dụng Cisco IOU Switch để giả
lập.
Bài thực hành số 2: AAA, RADIUS

I. Giới thiệu AAA và RADIUS
- AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho

một khuôn khổ, sử dụng cho việc kiểm soát thông minh truy cập vào tài
nguyên máy tính, chính sách thực thi, kiểm toán sử dụng và cung cấp các
thông tin cần thiết cho các dịch vụ. Các quá trình kết hợp này được coi là
quan trọng cho việc quản lý mạng hiệu quả và an toàn.
- RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ

quay số xác thực người dùng từ xa, giao thức được sử dụng trong giao
tiếp giữa NAS và máy chủ AAA. Hỗ trợ xác thực, ủy quyền và kiểm toán,
được định nghĩa trong RFC 2865.
II. Bài tập thực hành
Mô hình triển khai
Trong bài thực hành này, xây dựng một mạng lưới nhiều router và cấu hình
các router và host. Sử dụng các lệnh CLI khác nhau để cấu hình các router với
xác thực cục bộ cơ bản và xác thực cục bộ sử dụng AAA. Cài đặt phần mềm
RADIUS trên một máy tính bên ngoài và sử dụng AAA để xác thực người dùng
với RADIUS server.
Bảng địa chỉ IP
Yêu cầu
Phần 1: Cấu hình thiết bị mạng cơ bản
-Cấu hình các thiết lập cơ bản như host name, địa chi IP cho cổng và mật
khẩu truy cập.
-Cấu hình định tuyến tĩnh.
Phần 2: Cấu hình xác thực cục bộ trên R1 và R3
-Cấu hình một cơ sở dữ liệu người dùng cục bộ và truy cập cục bộ cho các
đường console và vty.
-Kiểm tra cấu hình.
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3
-Cấu hình cơ sở dữ liệu người dùng cục bộ.
-Cấu hình AAA xác thực cục bộ.
-Kiểm tra cấu hình.
Phần 4: Cấu hình xác thực tập trung sử dụng AAA và RADIUS trên R1
-Cài đặt một RADIUS server trên PC-A.
-Cấu hình các người dùng trên RADIUS server.
-Cấu hình dịch vụ AAA trên R1 để truy cập đến RADIUS server để xác
thực.
-Kiểm tra cấu hình AAA RADIUS.
Thiết bị và phần mềm hỗ trợ
-Phần mềm GNS3
-Phần mềm VMWARE
-3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
-PC-A: Windows XP, Vista, hoặc Windows Server với phần mềm RADIUS
server có sẵn
-PC-C: Windows XP hoặc Vista
Hướng dẫn cấu hình
- Cấu hình cơ bản địa chỉ IP cho các Router và PC:
Router R1
R1#configure terminal
R1(config)# interface f0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config)# exit
R1(config)# interface s0/0
Router R2
R2(config)# exit
Router R3
R3(config)# exit
PC-A
PC-C
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3:
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
- Kiểm tra kết nối giữa các PC và router:
Ping thành công từ R1 đến R3
Ping thành công từ PC-A đến PC-C
- Cấu hình và mã hóa mật khẩu trên R1 và R3
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối
thiểu 10 ký tự:
Router(config)# security passwords min-length 10
Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password

console, vty:
Router(config)#service password-encryption
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Router(config)# enable secret cisco12345
Bước 3: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5
phút không hoạt động và lệnh logging synchronous ngăn chặn các
message console làm gián đoạn lệnh nhập vào:
Router(config)# line console 0

Router(config-line)# password ciscoconpass
Router(config-line)# exec-timeout 5 0
Router(config-line)# login
Router(config-line)# logging synchronous
- Password trên line vty cho router dùng để telnet:
Router(config)# line vty 0 4

Router(config-line)# password ciscovtypass
- Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến
một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các
dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Phần 2: Cấu hình xác thực cục bộ (thực hiện trên R1 và R3):
Các thủ tục dưới đây thực hiện trên R1
- Cấu hình cơ sở dữ liệu người dùng cục bộ:
Tạo một tài khoản cục bộ với hàm băm MD5 để mã hóa mật khẩu.
Router(config)#username user01 secret user01pass
- Cấu hình xác thực cục bộ cho đường console và đăng nhập:
Thiết lập đường console để sử dụng tên người dùng đăng nhập và mật khẩu
xác định tại cục bộ.
Router(config)#line console 0
Router(config-line)#login local
Thoát ra màn hình ban đầu của router (sử dụng lệnh exit) hiển thị: R1 con0
is now available, Press RETURN to get started.
Đăng nhập bằng cách sử dụng tài khoản user01 và mật khẩu được định
nghĩa trước đó, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập
password secret là cisco12345.
Thiết lập các đường vty để sử dụng các tài khoản được xác định cục bộ.
Router(config)#line vty 0 4
Từ PC-A telnet đến R1, đăng nhập với tài khoản user01 và mật khẩu là
user01pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh
enable, sử dụng mật khẩu secret là cisco12345.
Lưu cấu hình
Sử dụng lệnh copy run start ở chế độ privileged EXEC
Router# copy run start
Thực hiện tương tự trên R3
Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3:
- Cấu hình cơ sở dữ liệu người dùng cục bộ:
Cấu hình một tài khoản người dùng cục bộ với hàm băm MD5 để mã hóa mật
khẩu.
R3(config)#username Admin01 privilege 15 secret Admin01pass
- Cấu hình AAA xác thực cục bộ:
Kích hoạt dịch vụ AAA:
R3(config)#aaa new-model
Triển khai dịch vụ AAA cho việc truy cập console sử dụng cơ sở dữ liệu cục
bộ:
Tạo một danh sách xác thực đăng nhập mặc định bằng cách ban hành lệnh
aaa authentication login default method1[method2][method3] với một danh
sách phương pháp sử dụng local và none keywords.
R3(config)#aaa authentication login default local none
Thoát ra màn hình router ban đầu (sử dụng lệnh exit) hiển thị: R3 con0 is
now available, Press RETURN to get started.
Đăng nhập vào console với tài khoản người dùng Admin01 và mật khẩu
Admin01pass.
Thoát ra màn hình ban đầu hiển thị: R3 con0 is now available, Press RETURN
to get started.
Cố gắng đăng nhập đến console với người dùng bất kỳ (ở đây là baduser).
Nếu người dùng không tìm thấy trong cơ sở dữ liệu cục bộ, tùy chọn none
trên lệnh aaa authentication login default local none yêu cầu không xác thực,
cho nên vẫn có thể đăng nhập với người dùng bất kỳ đến cổng console.
- Tạo một hồ sơ chứng thực AAA cho Telnet sử dụng cơ sở dữ liệu

cục bộ:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến router. Chỉ
định tên một danh sách TELNET_LINES và áp dụng nó đến các đường vty.
R3(config)#aaa authentication login TELNET_LINES local

R3(config)#line vty 0 4
R3(config-line)#login authentication TELNET_LINES
Xác minh rằng hồ sơ chứng thực này được sử dụng bằng cách mở một phiên
Telnet từ PC-C đến R3, đăng nhập với tài khoản Admin01, mật khẩu
Admin01pass.
Thoát phiên Telnet với lệnh exit, và telnet đến R1 một lần nữa. Cố gắng để
đăng nhập với người dùng và mật khẩu bất kỳ (ở đây sử dụng người dùng
baduser, mật khẩu 123).
Nếu người dùng không được tìm thấy trong cơ sở dữ liệu cục bộ, không có
phương pháp dự phòng quy định trong danh sách chứng thực cho các đường vty
cho nên không thể thiết lập phiên telnet.
- Quan sát Chứng thực AAA sử dụng lệnh Debug:
Kiểm tra thời gian hệ thống:
Sử dụng lệnh show clock để xác định thời gian hiện tại cho router. Để Thiết
lập thời gian từ chế độ privilged EXEC với lệnh clock set HH:MM:SS DD Month
YYYY.
R3# clock set 14:15:00 1 nov 2015
Sử dụng lệnh debug để kiểm tra người dùng truy cập:
Kích hoạt debug cho chứng thực AAA.
R3#debug aaa authentication

AAA Authentication debugging is on
Bắt đầu một phiên Telnet từ PC-C đến R3. Đăng nhập với người dùng
Admin01 và mật khẩu Admin01pass. Quan sát sự kiện chứng thực AAA trong
cửa sổ phiên console. Thông điệp debug tương tự như sau sẽ được hiển thị.
R3#
Dec 26 14:36:42.323: AAA/BIND(000000A5): Bind i/f
Dec 26 14:36:42.323: AAA/AUTHEN/LOGIN (000000A5): Pick method list
'default'
Từ cửa sổ Telnet, vào chế độ privileged EXEC. Sử dụng mật khẩu enable
secret là cisco12345. Các thông điệp debug tương tự như sau sẽ được hiển thị.
Trong thành phần thứ 3, lưu ý tên người dùng (Admin01), số cổng ảo (tty194),
và địa chỉ client telnet ở xa (192.168.3.3). Cũng lưu ý rằng thành phần trạng
thái cuối cùng là "PASS."
R3#
Dec 26 14:40:54.431: AAA: parse name=tty194 idb type=-1 tty=-1
Dec 26 14:40:54.431: AAA: name=tty194 flags=0x11 type=5 shelf=0 slot=0
adapter=0 port=194 channel=0
Dec 26 14:40:54.431: AAA/MEMORY: create_user (0x64BB5510)
user='Admin01' ruser=' NULL' ds0=0 port='tty194'
rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE priv=15
initial_task_id='0', vrf= (id=0)
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): port='tty194'
list='' action=LOGIN service=ENABLE
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): non-console enable
– default to enable password
Dec 26 14:40:54.431: AAA/AUTHEN/START (2467624222): Method=ENABLE
R3#
Dec 26 14:40:54.435: AAA/AUTHEN(2467624222): Status=GETPASS
R3#
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): continue_login
(user='(undef)')
Dec 26 14:40:59.275: AAA/AUTHEN/CONT (2467624222): Method=ENABLE
Dec 26 14:40:59.287: AAA/AUTHEN(2467624222): Status=PASS
Dec 26 14:40:59.287: AAA/MEMORY: free_user (0x64BB5510) user='NULL'
ruser='NULL' port='tty194' rem_addr='192.168.3.3' authen_type=ASCII
service=ENABLE priv=15 v
rf= (id=0)
Từ cửa sổ Telnet, thoát khỏi chế độ privileged EXEC sử dụng lệnh disable. Cố
gắng để vào chế độ privileged EXEC một lần nữa, nhưng sử dụng một mật khẩu
sai cho lần này. Quan sát lệnh đầu ra debug trên R3, lưu ý rằng trạng thái là
"FAIL" cho lần này.

Dec 26 15:46:54.027: AAA/AUTHEN/CONT (2175919868): Method=ENABLE
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): password incorrect
Dec 26 15:46:54.039: AAA/AUTHEN(2175919868): Status=FAIL
Dec 26 15:46:54.039: AAA/MEMORY: free_user (0x6615BFE4) user='NULL'
ruser='NULL'
port='tty194' rem_addr='192.168.3.3' authen_type=ASCII service=ENABLE
priv=15 v
rf= (id=0)
Phần 4: Cấu hình chứng thực tập trung sử dụng AAA và RADIUS trên R1:
Khôi phục R1 với cấu hình cơ bản:
- Xóa và reload router:
Trên gns3 xóa file cấu hình của R1 chứa trong thư mục configs của bài thực
hành (R1.cfg). Sau đó, tắt và chạy lại các router của bài thực hành để khôi phục
cấu hình mặc định của R1.
- Khôi phục cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 như trong phần 1
và phần 2 của bài thực hành này.
- Tải và cài đặt một máy chủ RADIUS trên PC-A:
Tải phần mềm WinRadius:
Tải phiên bản mới nhất từ đường dẫn http://downloads.fyxm.net/WinRadius-

103252.html.
Cấu hình cơ sở dữ liệu cho máy chủ WinRadius:
Khởi động ứng dụng WinRadius.exe. WinRadius sử dụng cơ sở dữ liệu cục bộ,
trong đó nó lưu thông tin người dùng. khi ứng dụng được khởi động cho lần đầu
tiên, thông điệp sau đây được hiển thị.
Please go to “Settings/Database and create the ODBC for your RADIUS

database.
Launch ODBC service failed.
Chọn Settings  Database từ menu chính và màn hình sau đây được hiển
thị. Chọn nút Configure ODBC automatically và sau đó nhấn OK. Bạn sẽ thấy
rằng một thông báo ODBC được tạo thành công. Thoát WinRadius và khởi động
lại ứng dụng để thay đổi có hiệu lực.
Thiết lập ODBC trên WinRadius
Khi WinRadius khởi động lại. Bạn sẽ nhìn thấy thông báo tương tự sau đây.
Giao diện chính WinRadius

- Cấu hình người dùng và mật khẩu trên máy chủ WinRadius:
Từ menu chính, chọn Operation  Add User. Nhập tên người sử dụng
RadUser, mật khẩu RadUserpass.
Thêm người dùng trong WinRadius
Nhấn OK. Bạn sẽ thấy một thông báo trên màn hình thông báo log rằng
người dùng đã được tạo thành công.
- Kiểm tra người dùng mới được bổ sung sử dụng tiện ích test trên
WinRadius:
Khởi động ứng dụng RadiusTest, và nhập vào địa chỉ IP máy chủ RADIUS
(192.168.1.3), tên người dùng RadUser, mật khẩu RadUserpass như hình dưới.
Không thay đổi số cổng RADIUS mặc định là 1813 và mật khẩu RADIUS là
WinRadius.
Chọn Send và bạn sẽ thấy một thông báo Send Access_Request cho biết
máy chủ là 192.168.1.3, số cổng 1813, nhận được 44 ký tự thập lục phân. Hiển
thị trên màn hình log của WinRadius, Bạn cũng sẽ thấy một thông điệp chỉ ra
rằng người dùng RadUser được chứng thực thành công.
Kiểm tra người dùng trong RadiusTest

- Cấu hình dịch vụ AAA trên R1 và truy cập máy chủ RADIUS:
Kích hoạt AAA trên R1:
Sử dụng lệnh aaa new-model trong chế độ global config để kích hoạt AAA.
R1(config)#aaa new-model
Cấu hình danh sách chứng thực đăng nhập mặc định:
Cấu hình danh sách để đầu tiên sử dụng RADIUS cho dịch vụ chứng thực, và
sau đó là none. Nếu không có máy chủ RADIUS có thể đạt được và chứng thực
không thể được thực hiện, R1 cho phép truy cập mà không cần xác thực. Đây là
một biện pháp tự vệ trong trường hợp R1 khởi động mà không thể kết nối đến
một máy chủ RADIUS hoạt động.
R1(config)#aaa authentication login default group radius none
Xác định một máy chủ RADIUS:
Sử dụng lệnh radius-server host hostname key key để trỏ đến máy chủ
RADIUS. Tham số hostname chấp nhận hoặc là một tên máy chủ hoặc là một
địa chỉ IP. Sử dụng địa chỉ máy chủ RADIUS, PC-A (192.168.1.3). Key là một
mật khẩu secret được chia sẽ bí mật giữa máy chủ RADIUS và máy khách
RADIUS (R1 trong trường hợp này) và được sử dụng để chứng thực kết nối giữa
router và máy chủ trước khi quá trình xác thực người dùng diễn ra. Máy khách
RADIUS có thể là một máy chủ truy cập mạng (NAS), nhưng router R1 đóng vai
trò trong bài thực hành này.
R1(config)#radius-server host 192.168.1.3 key WinRadius
- Kiểm tra cấu hình AAA RADIUS:
Nếu khởi động lại máy chủ WinRadius, phải tạo lại người dùng RadUser với
một mật khẩu là RadUserpass bằng cách chọn Operation  Add User.
Xóa các log trên máy chủ WinRadius bằng cách chọn Log  Clear từ menu
chính.
Trên R1, thoát đến màn hình ban đầu hiển thị: R1 con0 is now available,
Press RETURN to get started.
Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập đến console trên R1 sử
dụng tên người dùng RadUser và mật khẩu RadUserpass. Có một sự chậm trễ
đáng kể.
Thoát đến màn hình ban đầu hiển thị: R1 con0 is now available, Press
RETURN to get started.
Kiểm tra cấu hình AAA RADIUS một lần nữa bằng cách đăng nhập vào cổng
console trên R1 sử dụng tên người dùng không tồn tại Userxxx và mật khẩu
Userxxxpass. Mặc dù một tên người dùng và mật khẩu không hợp lệ được cung
cấp, tham số none trên danh sách đăng nhập mặc định cho phép bất kỳ tên
người dùng truy cập.
Khi máy chủ RADIUS không có sẵn, các thông điệp tương tự sau thường được
hiển thị sau khi cố gắng đăng nhập.
*Mar 1 00:20:25.739: %RADIUS-4-RADIUS_DEAD: RADIUS server

192.168.1.3:1645,1646 is not responding.
*Mar 1 00:20:25.743: %RADIUS-4-RADIUS_ALIVE: RADIUS server
192.168.1.3:1645,1646 is being marked alive.
- Khắc phục sự cố giao tiếp giữa R1 và máy chủ RADIUS:
Kiểm tra số cổng mặc định RADIUS UDP được sử dụng trên R1 với lệnh
radius-server host.
R1(config)#radius-server host 192.168.1.3 ?

acct-port UDP port for RADIUS accounting server (default is 1646)
alias 1-8 aliases for this server (max. 8)
auth-port UDP port for RADIUS authentication server (default is
1645)
< Output omitted >
Mặc định R1 có số cổng UDP mặc định cho máy chủ RADIUS là 1645 và
1646.
Từ menu chính của WinRadius chọn Settings  System.
Thông số hệ thống trên WinRadius

Mặc định Số cổng WinRadius UDP là 1812 và 1813.
- Thay đổi số cổng RADIUS trên R1 để phù hợp với máy chủ WinRadius:
Hủy bỏ Cấu hình trước đó sử dụng lệnh sau đây.
R1(config)#no radius-server host 192.168.1.3 auth-port 1645 acct-port

1646
Ban hành lệnh radius-server host một lần nữa và lần này xác định số cổng
1812 và 1813, cùng với địa chỉ IP và khóa bí mật cho máy chủ RADIUS.
R1(config)#radius-server host 192.168.1.3 auth-port 1812 acct-port

1813 key WinRadius
- Kiểm tra cấu hình AAA RADIUS bằng cách đăng nhập vào trong cổng
console trên R1:
Đăng nhập một lần nữa với tên người dùng RadUser và mật khẩu là
RadUserpass. Có sự chậm trễ không đáng kể, R1 đã có thể truy cập máy chủ
RADIUS để xác nhận tên người dùng và mật khẩu.
Các thông báo sau sẽ hiển thị trên RADIUS server log.
User (RadUser) authenticate OK.
Đăng nhập một lần nữa sử dụng tên người dùng không xác định Userxxx và
mật khẩu Userxxxpass. R1 không thể truy cập máy chủ RADIUS và xác nhận
thất bại.
Các thông điệp sau đây sẽ hiển thị trên RADIUS server log.
Reason: Unknown username

User (Userxxx) authenticate failed
Thông báo log chứng thực người dùng thất bại
- Tạo một danh sách phương thức xác thực cho Telnet và thử nghiệm:
Tạo một danh sách xác thực duy nhất cho Telnet truy cập đến R1. Đặt tên
danh sách phương thức xác thực là TELNET_LINES.
R1(config)#aaa authentication login TELNET_LINES group radius
Áp dụng danh sách đến các đường vty trên R1 sử dụng lệnh login
authentication.
R1(config)#line vty 0 4
R1(config-line)#login authentication TELNET_LINES
Telnet từ PC-A đến R1 và đăng nhập bằng tên người dùng RadUser và mật
khẩu RadUserpass. R1 liên lạc máy chủ Radius để xác thực người dùng và mật
khẩu thành công.
Thoát khỏi phiên Telnet và telnet từ PC-A đến R1 lần nữa. Đăng nhập với tên
người dùng Userxxx và mật khẩu Userxxxpass. R1 liên lạc với máy chủ RADIUS
cho xác thực người dùng và sự kết hợp tên người dùng/mật khẩu không được
định nghĩa trong cơ sở dữ liệu RADIUS, do đó truy cập bị từ chối.
Phần 5: Bài tập mở rộng
a. Cài đặt một TACACS Server trên PC-A, sử dụng phần mềm Cisco-ACS
phiên bản 4.2.
b. Cấu hình TACACS client trên router R1.
c. Tạo username: user1, password: 123 trên TACACS SERVER.
d. Kiểm tra cấu hình TACACS: Trên PC-C mở phiên Telnet đến router R1,
sử dụng tài khoản vừa tạo trên TACACS Server để xác thực.
Bài thực hành số 3: ACL
I. Giới thiệu ACL (Access Control List)
ACL là danh sách các điều kiện được áp dụng thông qua cổng của router,
firewall,... Các danh sách cho router, firewall biết loại gói tin được cho phép
hoặc từ chối. khả năng cho phép và từ chối dựa trên các điều kiện quy định.
ACL cho phép quản lý lưu lượng và truy cập an toàn đến và đi từ một mạng.
Phân loại ACL: ACL được chia thành các loại sau:
Standard ACL
Extended ACL
Reflexive ACL
Dynamic ACL
Time-Based ACL
Context-based Access Control (CBAC) ACL
Yêu cầu
- Cấu hình cơ bản địa chỉ IP cho các Router và PC.
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console, vty) trên
tất cả router.
- Cấu hình định tuyến tĩnh trên 2 router.
- Kiểm tra kết nối giữa các PC và router.
Phần 2: Cấu hình ACL
-Lọc các gói tin sử dụng standard ACL:
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong mạng
172.16.1.0/24.
Chỉ cho phép PC-A telnet vào R2.
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
-Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu lượng từ
PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C đến PC-B.
-Phần mềm GNS3
-3 PC: PC-A, PC-B sử dụng Windows XP hoặc Windows 7, PC-C sử dụng

Windows server hoặc Linux Server.
Router R1
R1(config)# exit
R1(config-if)# clock rate 64000
Router R2
R2(config)# exit
PC-A
PC-B
PC-C
- Cấu hình telnet và mã hóa tất cả các mật khẩu (enable, console,
vty) trên tất cả router:
Cấu hình telnet
Sử dụng lệnh password để đặt mật khẩu cho các đường truy cập ảo dùng để
telnet.

Cấu hình mật khẩu enable secret sử dụng lệnh enable secret <password>.
Cấu hình cơ bản cổng console sử dụng lệnh password để đặt mặt khẩu cho
cổng console.

Sử dụng lệnh Service password-encryption để mã hóa mật khẩu console,

vty:
Kiểm tra telnet từ PC-A đến R2 thành công, mật khẩu sử dụng là
ciscovtypass.
- Cấu hình định tuyến tĩnh trên 2 router:
R1(config)# ip route 172.16.1.0 255.255.255.0 203.162.1.2

R2(config)# ip route 192.168.1.0 255.255.255.0 203.162.1.1
Ping thành công từ PC-C đến PC-B
Phần 2: Cấu hình ACL
- Lọc các gói tin sử dụng standard ACL:
Thực hiện cấm tất cả các lưu lượng từ PC-B đến các PC trong
mạng 172.16.1.0/24
Bước 1: Tạo ACL 1 trên R2 cấm tất cả lưu lượng từ PC-B và cho phép các lưu
lượng còn lại đến các PC trong mạng 172.16.1.0/24:
Sử dụng lệnh access-list để tạo một ACL có số hiệu là 1.
R2(config)#access-list 1 deny host 192.168.1.3

R2(config)#access-list 1 permit any
Bước 2: Áp dụng ACL 1 vào cổng f0/0 theo chiều out:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều ra lưu
lượng trên cổng f0/0.
R2(config-if)# ip access-group 1 out
Bước 3: xác nhận lưu lượng từ PC-B vào các PC trong mạng 172.16.1.0/24 đã bị
loại bỏ và cho phép các lưu lượng còn lại:
Ping không thành công từ PC-B vào PC-C
Ping thành công từ PC-A vào PC-C
Chỉ cho phép PC-A telnet vào R2
Bước 1: Tạo ACL 2 trên R2 chỉ cho phép PC-A truy cập từ xa (sử dụng telnet)
đến R2:
R2(config)#access-list 2 permit host 192.168.1.2
Bước 2: Áp dụng ACL 2 vào các đường vty theo chiều in:
Sử dụng lệnh access-class để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên các đường vty.
R2(config)# line vty 0 4

R2(config)# access-class 2 in
Bước 3: Kiểm tra:
Telnet không thành công từ PC-C vào R2
Telnet thành công từ PC-A vào R2
Chỉ cho phép PC-B truy cập vào R2 qua giao diện web.
Bước 1: Tạo ACL 3 trên R2 chỉ cho phép PC-B truy cập vào R2 qua giao diện
web:
R2(config)#access-list 3 permit host 192.168.1.3
Bước 2: Áp dụng ACL 3 vào http server để hạn chế truy cập vào giao diện
web trên R2:
Sử dụng lệnh ip http server để kích hoạt http trên R2 và ip http access-class
để áp dụng danh sách truy cập vào giao diện web trên R2 .
R2(config)# ip http server

R2(config)# ip http access-class 3
PC-A không thể truy cập vào giao diện web của R2
Truy cập http bị chặn

PC-B truy cập thành công vào giao diện web của R2, username là rỗng,
password là cisco12345.
Truy cập http thành công
-Lọc các gói tin sử dụng extended ACL. R1 cho phép tất cả các lưu
lượng từ PC-C đến PC-A và từ chối tất cả các lưu lượng từ PC-C
đến PC-B.
Bước 1: Hủy bỏ ACL 1 từ cổng f0/0 của R2
Hủy bỏ ACL 1. Nếu không, tất cả lưu lượng từ PC-B sẽ bị từ chối cho phần sau.
Sử dụng lệnh no ip access-group để hủy bỏ danh sách truy cập từ cổng f0/0
R2(config-if)#no ip access-group 1 out
Bước 2: Tạo ACL 100 trên R1 cho phép tất cả các lưu lượng từ PC-C đến PC-A và
từ chối tất cả các lưu lượng từ PC-C đến PC-B:
R1(config)#access-list 100 permit ip host 172.16.1.2 host 192.168.1.2

R1(config)#access-list 100 deny ip host 172.16.1.2 host 192.168.1.3
Bước 3: : Áp dụng ACL 100 vào cổng s0/0 theo chiều in:
Sử dụng lệnh ip access-group để áp dụng danh sách truy cập theo chiều vào lưu
lượng trên cổng s0/0.

R1(config-if)# ip access-group 100 in
Ping thành công từ PC-C đến PC-A
Ping không thành công từ PC-C đến PC-B
-Mô hình triển khai:
-Yêu cầu:
a. Đặt địa chỉ IP như mô hình và cấu hình định tuyến EIGRP as 1 trên 2
router.
b. Cài đặt các dịch vụ HTTP, FTP, DNS trên máy server.
c. Cấu hình Extended ACL, Reflexive ACL, Dynamic ACL và Time-
Based ACL trên các router với các yêu cầu sau:
Cấu hình Extended ACL trên router R2 sao cho, chỉ cho phép địa chỉ IP
lẻ và cấm địa chỉ IP chẵn thuộc lớp mạng 192.168.1.0/24 truy cập các
dịch vụ trên máy Server.
Cấu hình Reflexive ACL trên router R2, cho phép các gói tin ICMP và
TCP xuất phát từ mạng 192.168.2.0/24 (LAN) được phép truy cập ra bên
ngoài (router R1, máy client). Tất cả mọi loại dữ liệu từ bên ngoài đi vào
mạng LAN đều bị cấm, ngoại trừ các gói tin trả về cho các gói tin ICMP và
TCP đã đi ra trước đó.
Cấu hình Dynamic ACL trên router R1, thực hiện cấp quyền truy cập
dịch vụ HTTP trên máy Server cho máy client. Máy client muốn sử dụng
dịch vụ HTTP này, bắt buộc phải thực hiện telnet đến router R1, sử dụng
tài khoản username và password tạo trên router R1 (trong bài tập này,
tạo username là u1 và password là 123). Nếu đăng nhập thành công,
máy client được phép truy cập dịch vụ HTTP.
Cấu hình Time-based ACL trên router R1, chỉ cho phép các máy tính
thuộc mạng 192.168.1.0/24 được truy cập dịch vụ FTP ngoài giờ làm việc.
Giờ làm việc của công ty là từ 08g00 đến 12g00 và 13g30 đến 17g00 các
ngày trong tuần (từ thứ 2 đến thứ 6).
-Lưu ý:
Các câu lệnh cấu hình ACL(Extended ACL, Reflexive ACL, Dynamic
ACL và Time-Based ACL) không ảnh hưởng đến hoạt động định
tuyến EIGRP của router R1 và R2.
Khi cấu hình tới loại ACL nào, phải bỏ các cấu hình của loại ACL
trước đó. Ví dụ: Khi cấu hình Reflexive ACL, phải bỏ các câu lệnh
cấu hình Extended ACL trước đó.
-Gợi ý:
Extended ACL: Các dịch vụ trên máy Server gồm HTTP (sử dụng
giao thức: tcp, port:80); FTP(sử dụng giao thức: tcp, port:20,21);
DNS(sử dụng giao thức: tcp và udp, port: 53). Áp dụng extended
acl đã tạo tới cổng S0/0 của router R2 theo chiều in.
Reflexive ACL:
 Tạo ra 2 ACL OUTBOUND (kiểm soát các dòng dữ liệu đi ra

mạng Lan) và INBOUND(kiểm soát các dòng dữ liệu đi vào
mạng Lan). Đối với ACL OUTBOUND thêm tùy chọn "reflect",
đối với ACL INBOUND thêm tùy chọn "evaluate". Sau đó áp
dụng ACL INBOUND và ACL OUTBOUND đến cổng S0/0 của
router R2 theo chiều in (ACL INBOUND) và out (ACL
OUTBOUND).
 Để tạo ra gói tin ICMP xuất phát từ mạng LAN ra bên ngoài,
thực hiện lệnh ping từ máy server tới máy client, quá trình
ping thành công. Nhưng từ máy client không thể ping tới máy
server.
 Để tạo ra gói tin TCP xuất phát từ mạng LAN ra bên ngoài,
trên router R1 cấu hình telnet. Sau đó máy server thực hiện
telnet tới router R1 thành công. Nhưng máy Client(bên ngoài)
không thể truy cập dịch HTTP trên máy server.
Dynamic ACL:
 Để cấu hình Dynamic ACL, chỉ cần thêm thông số "dynamic

tên_hiệu" vào câu lệnh Extended ACL, với "tên_hiệu" là 1
chuỗi ký tự bất kỳ, mang tính gợi nhớ.
 Nguyên tắc hoạt động của dòng Dynamic ALC: Trong điều
kiện bình thường, dòng acl này không phát huy tác dụng và
được bỏ qua. Chỉ khi một user truy cập vào router (sử dụng
telnet) thông qua cổng VTY và thực hiện lệnh "access-
anable", lúc này dòng Dynamic ACL mới được kích hoạt.
 Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều
in.
 Sau khi cấu hình Dynamic ACL trên router R1, để máy client
có thể truy cập dịch vụ HTTP trên máy server, phải thực hiện
telnet tới router R1 trước khi truy cập dịch vụ này.
Time-based ACL:
 Áp dụng khoảng thời gian được active(thời gian được truy cập
dịch vụ FTP ngoài giờ làm việc) lên ACL sử dụng time-range.
Kiểu time-range sử dụng là: periodic (định nghĩa khoảng thời
gian được lặp đi lặp lại mà một entry của ACL được active).
 Áp dụng ACL vừa tạo lên cổng f0/0 của router R1 theo chiều
in.
Bài thực hành số 4: Hệ thống phát hiện và
ngăn chặn xâm nhập IPS
I. Giới thiệu IPS (Intrusion Protection System)
IPS Là hệ thống ngăn chặn xâm nhập, có chức năng tự động theo dõi và
ngăn chặn các sự kiện xảy ra trong và ngoài hệ thống mạng, phân tích và
ngăn ngừa các vấn đề liên quan tới bảo mật và an ninh. Hệ thống ngăn chặn
xâm nhập giám sát các gói tin đi qua và đưa ra quyết định liệu đây có phải là
một cuộc tấn công hay một sự truy cập hợp pháp – sau đó thực hiện hành
động thích hợp để bảo vệ hệ thống mạng.
Mô hình minh họa hệ thống gồm mạng nội bộ và thiết bị Cisco IOS IPS, Cisco
IOS IPS ngoài chức năng Firewall nó còn có chức năng tìm kiếm, so sánh những
lưu lượng có dấu hiệu tấn công vào hệ thống, khi phát hiện có dấu hiệu tấn công
nó gửi cảnh báo đến hệ thống cảnh báo hoặc loại bỏ những gói tin mà nó so
sánh trùng với các dấu hiệu tấn công hoặc reset lại kết nối.
Yêu cầu
-Cấu hình cơ bản địa chỉ IP cho các Router và PC.
-Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
-Cài đặt web server trên PC-1.
-Kiểm tra kết nối giữa các PC và router.
Phần 2: Cấu hình Cisco IPS
-Cài đặt SDM trên PC-2.
-Phát hiện và ngăn chặn tấn công ping of death, scan port, denial of
service (dos) vào web server từ PC-3 (attacker).
-Phần mềm GNS3
-PC-1: Windows Server với web server
-PC-2: Windows XP, windows 7 với SDM
-PC-2: Windows XP, windows 7 với công cụ superscan, doshttp
Router R1
R1# configure terminal

R1config-if)# exit
Router R2

R2(config-if)# exit
R2(config-if)# clock rate 64000
Router R3

R3(config-if)# exit
PC-1
PC-2
PC-3
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 192.168.12.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
R2(config)# ip route 192.168.2.0 255.255.255.0 192.168.23.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.23.2
- Cài đặt web server trên PC-1:
Thực hiện trên windows server 2003:
Vào start  control panel  add or remove programs  add/remove windows

components.
Trong cửa sổ windows components wizard, chọn vào dòng application server 
next.
Cài đặt dịch vụ web server

Xuất hiện hộp thoại files needed, chỉ đường dẫn tới thư mục i386 chứa file cài
web server  finish.
Tạo trang web cho web server, vào my compurter  ổ đĩa c  inetpub 
wwwroot. Tạo file index.htm, với nội dung tùy ý.
Ping thành công từ PC-1 đến PC-3
Truy cập web server thành công từ bên ngoài internet (PC-3) hoặc bên trong
mạng nội bộ.
Truy cập web server

Phần 2: Cấu hình Cisco IPS
Tạo một tài khoản người dùng và kích hoạt HTTP server trên R2 trước khi truy
cập SDM:
R2(config)#username sdm privilege 15 password 0 cisco

R2(config)#ip http server
R2(config)#ip http authentication local
- Cài đặt SDM trên PC-2:
Yêu cầu PC-2 đã cài đặt java-jre phiên bản 6 trở lên.
Tải phần mềm Cisco SDM:
Tải SDM phiên bản 2.5 từ đường dẫn

https://drive.google.com/file/d/0B4rIOTvEwpnAMjFIOVk3T2xsWmM/edit
Cài đặt SDM:
Giải nén thư mục SDM v2.5 vừa tải về, chọn file “setup.exe” để bắt đầu cài
đặt, hộp thoại Ciso SDM xuất hiện chọn “next”, chấp nhận các điều khoản bản
quyền của SDM, chọn “i accept….”, trong hộp thoại “install option” chọn “this
computer” và nhấn “install” để cài đặt.
Chạy phần mềm Cisco SDM vừa cài đặt, nhập vào IP của R2 (192.168.12.2)
trong trường “Device IP Address or Hostname  lauch”.
Chương trình khởi động SDM

Tắt chức năng “Block popup Window” ở trình duyệt Web. Đăng nhập với
người dùng “sdm” và mật khẩu “cisco”.
Giao diện chính của SDM

Cấu hình rule cho IPS:
- Menu Configure  chọn Intrusion Prevention (bên trái) chọn “Launch IPS
Rule Wizard” để bắt đầu cài đặt các rule IPS lên R2.
- SDEE là một công nghệ để báo cáo những sự kiện bảo mật khi kích hoạt IPS
trong router, Cisco SDM yêu cầu thông báo sự kiện IPS qua SDEE để cấu
hình tính năng Cisco IOS IPS, theo mặc định, thông báo SDEE không được
kích hoạt. Cisco SDM sẽ nhắc nhở người dùng để cho phép thông báo sự kiện
IPS qua SDEE chọn ok.
Trong hộp thoại “IPS policies wizard” chọn “next”. Chọn cổng s0/0 theo chiều
inbound và nhấn “next” khi kết thúc việc lựa chọn.
Chọn vào “Use Built-In Signatures ( as backup)” sử dụng các signatures đã được
xây dựng trên Cisco IOS và chọn “next”  “finish”. Hộp thoại “command
delivery status” xuất hiện chọn ok để nạp các signature lên R2.
Card mạng IPS đang theo dõi

Chọn configure  intrusion prevention  edit IPS  signatures, để kiểm tra các
signature mặc định được nạp lên R2.
Các signature trên R2
Chọn edit IPS  import  from pc để import thêm signature mới từ file cài đặt
sdm.
Nạp file SDF cho IOS IPS (R2)

Chỉ đường dẫn tới file cài đặt SDM  256.sdf  open. Chọn “merge” để tiến
hành import các signature vào R2 và chọn “apply changes” để tiến hành import
các signature.
Các signature được import
- Phát hiện và ngăn chặn tấn công ping of death từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 thực hiện tấn công ping of death vào PC-1(web server) với số kích
thước gói tin là 10000
R2 xuất hiện các log thông báo có tấn công ping of death từ PC-3 vào PC-1 với
sig id: 2151, name: Large ICMP
Ngăn chặn:
Chọn vào sig id: 2151  chọn “action” và lựa chọn hành động
Định nghĩa hành động cho dấu hiệu
Chọn vào hành động “alarm và denyAttackerInline” và nhấn ok. Để áp dụng
những thay đổi về hành động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể ping of death vào PC-1, do rule chặn tấn công ping of
death trên R2 đã chặn hành động này.
Tấn công ping of death bị chặn

- Phát hiện và ngăn chặn tấn công scan port từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 chạy công cụ superscan. Trong tab IPs tiến hành thêm ip của PC-1
(192.168.1.254) vào mục hostname/IP và nhấn vào hình mũi tên tam giác để
tiến hành quét port trên PC-1.
Các port đang mở trên PC-1
Thông báo log trên R2 phá hiện quá trình scan port từ PC-3
Log thông báo quá trình scan port

Ngăn chặn:Quá trình scan port sử dụng công cụ superscan sẽ gửi gói icmp req
tới PC-1, nên để ngăn chặn quá trình scan port sử dụng công cụ này, chỉ cần áp
dụng chính sách ngăn chặn đối với rule này. Chọn vào sig id: 2004  chọn
“action” và lựa chọn hành động “alarm và denyAttackerInline” và nhấn ok. Để
áp dụng những thay đổi về hành động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể scan port vào PC-1.
Quá trình scan port đã bị chặn
- Phát hiện và ngăn chặn tấn công denial of service (dos) vào web
server từ PC-3 (Attacker):
Phát hiện:
Trên PC-3 chạy công cụ doshttp phiên bản 2.5.1. Trong mục target URL, nhập
vào đường dẫn truy cập web server(http://192.168.1.254), với số socket là:
500, request: 25000. Sau đó nhấn start flood để tiến hành tấn công.
Tấn công dos vào web server

R2 xuất hiện các log thông báo có tấn công từ chối dịch vụ vào web server từ
PC-3 vào PC-1 với sig id: 3051, name: TCP connection window size DOS.
Log thông báo tấn công từ chối dịch vụ vào web server
Ngăn chặn:
Chọn vào sig id: 3051, có subsigID là 1  chọn “action” và lựa chọn hành động
“alarm và denyAttackerInline” và nhấn ok. Để áp dụng những thay đổi về hành
động lên R2 chọn “apply changes”.
Lúc này PC-3 không thể tấn công từ chối dịch vụ vào web server, do rule chặn
tấn công từ chối dịch vụ vào web server trên R2 đã chặn hành động này.
Tấn công dos vào web server đã bị từ chối
Bài thực hành số 5: SSH, NTP, SYSLOG,
AUTOSECURE
I. Giới thiệu SSH, NTP, SYSLOG, AUTOSECURE
- SSH(Secure Shell): Là một giao thức mạng dùng để thiết lập kết nối mạng
một cách an toàn. SSH cung cấp cho người dùng cách thức để thiết lập kết
nối mạng được mã hóa để tạo một kênh kết nối riêng.
- NTP(Network Time Protocol): Là giao thức đồng bộ thời gian của các hệ
thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi.
- SYSLOG: Là một cách cho các thiết bị mạng gửi thông báo sự kiện đến một
máy chủ logging - thường được biết đến như một máy chủ Syslog. Giao thức
Syslog được hỗ trợ bởi một loạt các thiết bị và có thể được sử dụng để log
các loại sự kiện khác nhau.
- AUTOSECURE: Là một tính năng an toàn cho router bằng cách sử dụng một
lệnh CLI duy nhất để vô hiệu hóa các dịch vụ IP phổ biến có thể được khai
thác để tấn công mạng, cho phép các dịch vụ IP và các tính năng có thể trợ
giúp trong việc bảo vệ mạng khi bị tấn công và đơn giản hóa, làm vững chắc
cấu hình an toàn của router.
các router và host. Sử dụng các công cụ CLI và SDM khác nhau để đảm bảo tiếp
cận cục bộ và từ xa đến router, phân tích các lỗ hổng tiềm năng và thực hiện
các bước để giảm thiểu chúng. Cũng cho phép các báo cáo quản lý để giám sát
router thay đổi cấu hình.
Yêu cầu
- Cấu hình cơ bản địa chỉ IP cho các Router và PC.
- Cấu hình định tuyến tĩnh trên R2, default route trên R1, R3.
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và R3)
- Cấu hình và mã hóa tất cả các mật khẩu.

- Cấu hình một biểu ngữ cảnh báo đăng nhập.
- Cấu hình nâng cao bảo mật username, password.
- Cấu hình nâng cao bảo mật các kết nối ảo.
- Cấu hình SSH Server.
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và PC-C).
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
- Tạo các view admin1, admin2, tech và phân quyền như sau:
View admin1 có thể sử dụng lệnh show, config và debug.
View admin2 chỉ có thể sử dụng lệnh show.
View tech chỉ được sử dụng lệnh show version, show interfaces, show
ip interface brief và show parser view.
Phần 4: Cấu hình NTP và Syslog
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng NTP.
- Cấu hình hỗ trợ syslog trên R1 và PC-A.
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình.
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các
dịch vụ của R1.
- Phần mềm GNS3

- Phần mềm VMWARE
- 3 router (Cisco IOS C3725 , phiên bản 12.4(20)T hoặc tương đương)
- PC-A: Windows XP, 7, hoặc Windows Server với Putty SSH client và Kiwi
syslog
- PC-C: Windows XP hoặc 7 với Putty SSH Client
Router R1
R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
PC-A
PC-C
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router R2
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.1
Router R3
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.2
Phần 2: Kiểm soát truy cập quản trị cho các router (thực hiện trên R1 và
R3)
- Cấu hình và mã hóa mật khẩu:
Bước 1: Sử dụng lệnh security passwords để thiết lập chiều dài mật khẩu tối
thiểu 10 ký tự:
Router(config)# security passwords min-length 10
Bước 2: Sử dụng lệnh Service password-encryption để mã hóa password

console, vty:
Bước 3: Cấu hình password secret sử dụng lệnh enable secret password:
Bước 4: Cấu hình cơ bản cổng console và các đường truy cập ảo (telnet)
- Password console. Trong đó, lệnh exec-timeout gây ra các dòng log sau 5
phút không hoạt động và lệnh logging synchronous ngăn chặn các
message console làm gián đoạn lệnh nhập vào:

Router(config-line)# logging synchronous
- Password trên line vty cho router dùng để telnet:

Kiểm tra telnet từ R2 đến R1 thành công, password sử dụng là ciscovtypass.

Để vào chế độ privileged EXEC sử dụng password secret là cisco12345.
- Cấu hình một biểu ngữ cảnh báo đăng nhập:
Sử dụng lệnh banner motd để cấu hình. Khi một người sử dụng kết nối đến
một trong những router, banner motd xuất hiện trước dấu nhắc đăng nhập, các
dấu đô la ($) được sử dụng để bắt đầu và kết thúc thông điệp.
Router(config)# banner motd $Truy cap trai phep deu bi nghiem cam$
Để kiểm tra biểu ngữ có hoạt động hay không, thoát khỏi chế độ privileged
EXEC sử dụng lệnh exit và nhấn enter để bắt đầu. Một biểu ngữ xuất hiện trông
giống như những gì đã tạo.
- Cấu hình nâng cao bảo mật username, password:
Tạo tài khoản user01, chỉ định password không mã hóa:
Router(config)# username user01 password 0 user01pass
Do lệnh service password-encryption có hiệu lực nên không thể đọc

password của user01.
Tạo tài khoản user02, sử dụng password secret:
Router(config)#username user02 secret user02pass
Kiểm tra tài khoản mới bằng việc đăng nhập đến cổng console, thiết lập line
console để sử dụng các tài khoản đăng nhập được xác định tại local.
Router(config-line)#end
Router#exit
Đăng nhập bằng cách sử dụng tài khoản user01 và password được định
nghĩa trước, để vào chế độ privileged EXEC sử dụng lệnh enable và nhập
password secret là cisco12345.
Kiểm tra tài khoản người dùng mới bằng cách đăng nhập từ một phiên telnet.
Thiết lập các đường vty để sử dụng tài khoản đăng nhập xác định tại local.
Router(config)# login local
Từ PC-A telnet đến R1, đăng nhập với tài khoản user02 và password là
user02pass. Trong khi telnet đến R1, truy vào chế độ privileged EXEC với lệnh
enable, sử dụng password secret là cisco12345.
- Cấu hình nâng cao bảo mật các kết nối ảo:
Bước 1: Cấu hình router để xem các cuộc tấn công đăng nhập:
Sử dụng lệnh login block-for để cấu hình tắt đăng nhập sau 60 giây nếu hai
nỗ lực đăng nhập thất bại được thiết lập thực hiện trong vòng 30 giây.
Router(config)# login block-for 60 attempts 2 within 30
Sử dụng lệnh show login để xem các thiết lập tấn công đăng nhập trên
router.
R1# show login

A default login delay of 1 second is applied.
No Quiet-Mode access list has been configured.
Router enabled to watch for login Attacks.

If more than 2 login failures occur in 30 seconds or less,
logins will be disabled for 60 seconds.
Router presently in Normal-Mode.

Current Watch Window
Time remaining: 29 seconds.
Login failures for current window: 0.
Total login failures: 0.
Bước 2: Cấu hình router cảnh báo các log cho hoạt động đăng nhập:
Các lệnh sau đây cảnh báo log mỗi đăng nhập thành công và các nỗ lực đăng
nhập thất bại sau mỗi lần đăng nhập thất bại thứ 2.
Router(config)#login on-success log

Router(config)#login on-failure log every 2
Router(config)#exit
Kiểm tra cấu hình nâng cao bảo mật các kết nối ảo
Từ PC-A, thiết lập một phiên kết nối tới R1. Đăng nhập với user ID hoặc
password sai trong 2 lần. Thông điệp Connection to host lost hiển thị trên PC-A
sau hai lần nổ lực thất bại.
Thông điệp hiển thị trên console router R1 sau khi nổ lực đăng nhập thất bại
lần thứ 2
*Dec 14 22:45:22.851: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user:

x] [Source:
192.168.1.3] [localport: 23] [Reason: Login Authentication Failed -
BadUser] at
22:45:22 UTC Sun Dec 14 2008
Từ PC-A, cố gắng thiết lập một phiên telnet khác đến R1 trong vòng 60 giây.
Thông điệp hiển thị trên PC-A sau khi cố gắng kết nối telnet
Connecting To 10.1.1.1...Could not open connection to the host, on

port 23: Connect failed
Thông điệp hiển thị trên router R1 sau khi cố gắng kết nối telnet
*Dec 14 22:24:48.171: %SEC-6-IPACCESSLOGP: list sl_def_acl denied tcp

192.168.1.3 (1068) -> 0.0.0.0(23), 1 packet
- Cấu hình SSH Server:
Bước 1: Cấu hình một domain name:
Router#config t
Router(config)# ip domain-name ccnasecurity.com
Bước 2: Cấu hình một user với mức đặc quyền cao nhất và password secret
cho đăng nhập từ SSH client:
Router(config)# username admin privilege 15 secret cisco12345
Bước 3: Cấu hình các line vty đầu vào:
Router(config-line)#privilege level 15
Router(config-line)#transport input ssh
Router(config-line)#exit
Bước 4: Tạo cặp key mã hóa RSA cho router:
Cấu hình các key RSA với 1024 cho số bit modulus.
Router(config)# crypto key generate rsa general-key modulus 1024
Bước 5: Cấu hình thời gian SSH timeout và các tham số xác thực:
Router(config)# ip ssh time-out 90

Router(config)# ip ssh authentication-retries 2
- Cài đặt một SSH client và kiểm tra kết nối (thực hiện trên PC-A và
PC-C):
Bước 1: Cài đặt một SSH client trên PC-A và PC-C:
Ở đây sử dụng phần mềm PuTTY
Bước 2: Kiểm tra kết nối SSH đến R1 từ PC-A:
Nhập địa chỉ IP cổng f0/0 của R1 là: 192.168.1.1 trong mục Host Name (or
IP address) và kiểm tra radi button SSH được lựa chọn.
Kết nối SSH

Nhập username admin và password cisco12345 trong cửa sổ PuTTY.
Bước 3: Lưu cấu hình
Phần 3: Cấu hình quản trị các roles (thực hiện trên R1 và R3)
Bước 1: Kích hoạt tính năng AAA trên router
Router#config t
Router(config)#aaa new-model
Router(config)#exit
Bước 2: Kích hoạt tính năng view root
Router#enable view
password: cisco12345
*Dec 16 22:41:17.483: %PARSER-6-VIEW_SWITCH: successfully set to view
'root'.
Bước 3: Tạo các view admin1, admin2, tech
- Tạo view admin1 có thể sử dụng lệnh show, config và debug:
Sử dụng lệnh parser view <tên view> để tạo view admin1.
Router(config)# parser view admin1

Router(config-view)#
*Dec 16 22:45:27.587: %PARSER-6-VIEW_CREATED: view 'admin1’
successfully created.
Kết hợp view admin1 với một password được mã hóa.
Router(config-view)#secret admin1pass
Thêm tất cả các lệnh config, show, debug đến view admin1 và sau đó thoát
ra khỏi chế độ configuration.
Router(config-view)# commands exec include all show

Router(config-view)# command exec include all config terminal
Router(config-view)# command exec include all debug
Router(config-view)# end
Kiểm tra view admin1.
Router#enable view admin1
password: admin1pass
'admin1'
Router#show parser view
Router#Current view is 'admin1'
Kiểm tra các lệnh có sẵn trong view admin1.
Router#?
Exec commands:
configure Enter configuration mode
debug Debugging functions (see also 'undebug')
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
Kiểm tra các lệnh show sẵn có trong view admin1.
Router# show ?
aaa Show AAA values
accounting Accounting data for active sessions
adjacency Adjacent nodes
alignment Show alignment information
appfw Application Firewall information
archive Archive of the running configuration information
arp ARP table
<output omitted>
- Tạo View admin2 chỉ có thể sử dụng lệnh show:
Sủ dụng lệnh enable view để kích hoạt view root và nhập vào password
secret là cisco12345.
Router#enable view
password:cisco12345
Sử dụng các lệnh sau đây để tạo view admin2:
Router(config)#parser view admin2
*Dec 16 23:02:27.587: %PARSER-6-VIEW_CREATED: view 'admin2’
successfully created.
Kết hợp view admin2 với một password
Router(config-view)# secret admin2pass
Thêm tất cả các lệnh show đến view và sau đó thoát khỏi chế độ
configuration
Router(config-view)# commands exec include all show

Router(config-view)#end
Kiểm tra view admin2
Router(config-view)#end
Router#enable view admin2
password:admin2pass
'admin2'
Router#Curent view is 'admin2'
Kiểm tra các lệnh sẵn có trong view admin2
Router#?
Exec commands:
Tạo View tech chỉ được sử dụng lệnh show version, show interfaces, show ip
interface brief và show parser view:
Sử dụng lệnh enable view để kích hoạt view root và nhập vào password
secret là cisco12345
Router#enable view
password:cisco12345
Sử dụng các lệnh sau đây để tạo view tech
Router(config)# parser view tech

*Dec 16 23:10:27.587: %PARSER-6-VIEW_CREATED: view 'tech’ successfully
created.
Kết hợp view tech với một password
Router(config-view)#secret techpasswd
Thêm các lệnh show sau đây đến view và sau đó thoát khỏi chế độ
configuration của view
Router(config-view)# commands exec include show version

Router(config-view)# commands exec include show interfaces
Router(config-view)# commands exec include show ip interface brief
Router(config-view)# commands exec include show parser view
Router(config-view)# end
Kiểm tra view tech
Router#enable view tech

Password: techpasswd
'tech'
Router#Current view is 'tech'
Kiểm tra các lệnh sẵn có trên view tech
Router#?
Exec commands:
Kiểm tra các lệnh show sẵn có trên view tech
Router#show ?
flash: display information about flash: file system
interfaces Interface status and configuration
ip IP information
parser Show parser commands
version System hardware and software status
Bước 4: Lưu cấu hình
Phần 4: Cấu hình NTP và Syslog
- Cấu hình R2 như một nguồn đồng bộ thời gian cho R1 và R3 sử dụng
NTP:
Bước 1: Thiết lập NTP master
Hiển thị thời gian hiện tại trên router sử dụng lệnh show clock.
R2#show clock
*01:19:02.331 UTC Mon Dec 15 2008
Để thiết lập thời gian trên router, sử dụng lệnh clock set time.
R2#clock set 20:12:00 Dec 17 2008

R2#
*Dec 17 20:12:18.000: %SYS-6-CLOCKUPDATE: System clock has been
updated from 01:20:26 UTC Mon Dec 15 2008 to 20:12:00 UTC Wed Dec 17
2008, configured from console by admin on console.
Cấu hình R2 như là NTP master sử dụng lệnh ntp master stratum-number
trong chế độ global configuration. Số stratum number chỉ ra khoảng cách từ
nguồn gốc. Đối với bài thực hành này, sử dụng số stratum number là 3 trên R2.
Khi một thiết bị học thời gian từ nguồn NTP, số stratum number của thiết bị trở
thành một số lớn hơn số number stratum nguồn của thiết bị này.
R2(config)#ntp master 3
Bước 2: Cấu hình R1 và R3 như là NTP client
R1 và R3 sẽ trở thành NTP client của R2. Để cấu hình R1, sử dụng lệnh ntp
server hostname ở mode global configuration. Hostname cũng có thể là một địa
chỉ IP.
R1(config)#ntp server 10.1.1.2
Kiểm tra rằng R1 đã có một hiệp ước với R2 sử dụng lệnh show ntp
associations.
R1#show ntp associations

address ref clock st when poll reach delay offset
disp
~10.1.1.2 127.127.1.1 3 14 64 3 0.000 -280073
3939.7
*sys.peer, #selected, +candidate, -outlyer, x falseticker, ~
configured
Kiểm tra thời gian trên R1 sau khi đã đồng bộ thời gian với R2.
R1#show clock
*20:12:24.859 UTC Wed Dec 17 2008
- Cấu hình hỗ trợ syslog trên R1 và PC-A:
Bước 1: Cài đặt syslog server:
Trong bài thực hành này sử dụng Kiwi syslog server, tải phiên bản mới nhất
của kiwi từ đường dẫn http://www.kiwisyslog.com
Bước 2: Cấu hình R1 để thông báo log đến syslog server:
R1(config)#logging 192.168.1.3
Bước 3: Cấu hình mức độ thông báo log:
Sử dụng lệnh logging trap để thiết lập mức độ thông báo log cho R1, ở đây
sử dụng mức độ warnings.
R1(config)#logging trap warnings
Bước 3: Start Kiwi syslog Server trên PC-A
Mở ứng dụng kiwi Syslog Daemon trên Desktop của bạn hoặc chọn nút Start
và chọn Programs  Kiwi Enterprises  Kiwi Syslog Daemon.
Giao diện chính của kiwi syslog

Bước 4: Xác minh rằng quá trình gửi log đến syslog server đang xảy ra
Gửi một thông điệp log kiểm tra đến kiwi syslog server bằng cách chọn File 
Send test mesage to local host.
a. Tạo một thông điệp log bằng cách tắt interface s0/0 trên R1 hoặc R2 và
sau đó bật lại nó.
R1(config)#interface S0/0
R1(config-if)#shutdown
Màn hình kiwi syslog server trong giống như hình dưới đây.
Log thông báo trạng thái up/down của cổng
Từ mode global configuration của R1, kích hoạt logging là userinfo và thiết
lập lại mức độ trap là information.
R1(config)#logging userinfo
R1(config)#logging trap informational
Trên Kiwi Syslog Daemon, chọn View  Clear Display để xóa log hiển thị.
Thoát khỏi màn hình đăng nhập và kích hoạt view admin1 đã tạo trong phần
3 của bài thực hành. Nhập vào password là admin1pass.
R1# enable view admin1

Password: admin1pass
Thoát khỏa màn hình đăng nhập một lần nữa và kích hoạt view admin1. Lần
này nhập vào password không chính xác.
R1# enable view admin1

Password: 123
Thông điệp hiển thị trên syslog server
Log thông báo trạng thái chứng thực người dùng thất bại
Phần 5: Cấu hình tính năng tự động bảo mật
- Khóa các dịch vụ của R3 sử dụng AutoSecure và kiểm tra cấu hình:
Bước 1: Khôi phục R3 với cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R3 như trong phần 1
của bài thực hành này.
Bước 2: Sử dụng tính năng AutoSecure để đảm bảo an toàn trên R3:
Tính năng AutoSecure cho phép bạn vô hiệu hóa các dịch vụ IP phổ biến mà
có thể được khai thác cho các tấn công mạng và kích hoạt các dịch vụ IP và các
tính năng mà có thể trợ giúp trong bảo vệ một mạng khi bị tấn công.
AutoSecure đơn giản hóa cấu hình bảo mật của router và đông cứng lại cấu hình
router.
- Vào chế độ privileged EXEC sử dụng lệnh enable.

- Nhập lệnh auto secure trên R3 để khóa các dịch vụ trên router. Router R2
đại diện một router ISP, do đó giả định rằng R3 s0/0 được kết nối trực
tiếp đến internet khi được nhắc bởi những câu hỏi của lệnh AutoSecure.
Trả lời với các câu hỏi của lệnh này như thể hiện dưới đây. Các câu hỏi trả
lời được in đậm.
R3#auto secure
--- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of the router, but

it will not make it absolutely resistant to all security attacks ***
AutoSecure will modify the configuration of your device. All

configuration changes will be shown. For a detailed explanation of how
the configuration changes enhance security and any possible side
effects, please refer to Cisco.com for
Autosecure documentation.
At any prompt you may enter '?' for help.
Use ctrl-c to abort this session at any prompt.
Gathering information about the router for AutoSecure
Is this router connected to internet? [no]: yes

Enter the number of interfaces facing the internet [1]: Nhấn enter để
chấp nhận mặc định là 1 trong dấu ngoặc vuông
Interface IP-Address OK? Method Status

Protocol
FastEthernet0/0 192.168.3.1 YES NVRAM up
up
FastEthernet0/1 unassigned YES NVRAM administratively down down
Serial0/0 10.2.2.1 YES NVRAM up
up
Serial0/1 unassigned YES NVRAM administratively down down
Enter the interface name that is facing the internet: serial0/0

{interface kết nối tới R2}
Securing Management plane services...
Disabling service finger

Disabling service pad
Disabling udp & tcp small servers
Enabling service password encryption
Enabling service tcp-keepalives-in
Enabling service tcp-keepalives-out
Disabling the cdp protocol
Disabling the bootp server

Disabling the http server
Disabling the finger service
Disabling source routing
Disabling gratuitous arp
Here is a sample Security Banner to be shown

at every access to device. Modify it to suit your
enterprise requirements.
Authorized Access only

This system is the property of So-&-So-Enterprise.
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED.
You must have explicit permission to access this
device. All activities performed on this device
are logged. Any violations of access policy will result
in disciplinary action.
Enter the security banner {Put the banner between

k and k, where k is any character}:
# Unauthorized Access Prohibited # {tạo một biểu ngữ}
Enable secret is either not configured or

is the same as enable password
Enter the new enable secret: cisco12345
Confirm the enable secret : cisco12345
Enter the new enable password: cisco67890
Confirm the enable password: cisco67890
Configuration of local user database

Enter the username: admin
Enter the password: cisco12345
Confirm the password: cisco12345
Configuring AAA local authentication
Configuring Console, Aux and VTY lines for
local authentication, exec-timeout, and transport
Securing device against Login Attacks
Configure the following parameters
Blocking Period when Login Attack detected: 60 {chu kỳ block khi phát
hiện tấn công đăng nhập}
Maximum Login failures with the device: 2 {tối đa số lần đăng nhập
thất bại trên thiết bị}
Maximum time period for crossing the failed login attempts: 30 {chu kỳ
thời gian tối đa cho để xuyên qua các lần nổ lực đăng nhập thất bại}
Configure SSH server? [yes]: Nhấn enter để chấp nhận mặc định là yes
Enter the domain-name: ccnasecurity.com
Configuring interface specific AutoSecure services

Disabling the following ip services on all interfaces:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip directed-broadcast
no ip mask-reply
Disabling mop on Ethernet interfaces
Securing Forwarding plane services...
Enabling CEF (This might impact the memory requirements for your
platform)
Enabling unicast rpf on all interfaces connected
to internet
Configure CBAC Firewall feature? [yes/no]: no

Tcp intercept feature is used prevent tcp syn attack
on the servers in the network. Create autosec_tcp_intercept_list
to form the list of servers to which the tcp traffic is to
be observed
Enable tcp intercept feature? [yes/no]: yes {kích hoạt tính năng tcp
intercept }
This is the configuration generated:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
service password-encryption
service tcp-keepalives-in
service tcp-keepalives-out
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
banner motd ^C Unauthorized Access Prohibited ^C
security passwords min-length 6
security authentication failure rate 10 log
enable secret 5 $1$FmV1$.xZUegmNYFJwJv/oFwwvG1
enable password 7 045802150C2E181B5F
username admin password 7 01100F175804575D72
aaa new-model
aaa authentication login local_auth local
line con 0
login authentication local_auth
exec-timeout 5 0
transport output telnet
line aux 0
exec-timeout 10 0
transport output telnet
line vty 0 4
transport input telnet
line tty 1
exec-timeout 15 0
login block-for 60 attempts 2 within 30
ip domain-name ccnasecurity.com
crypto key generate rsa general-keys modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh telnet
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging facility local2
logging trap debugging
service sequence-numbers
logging console critical
logging buffered
interface FastEthernet0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface FastEthernet0/1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
interface Serial0/0/0
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
interface Vlan1
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
no mop enabled
ip cef
access-list 100 permit udp any any eq bootpc
ip verify unicast source reachable-via rx allow-default 100
ip tcp intercept list autosec_tcp_intercept_list
ip tcp intercept drop-mode random
ip tcp intercept watch-timeout 15
ip tcp intercept connection-timeout 3600
ip tcp intercept max-incomplete low 450
ip tcp intercept max-incomplete high 550
!
end
Apply this configuration to running-config? [yes]: <ENTER>
Applying the config generated to running-config

The name for the keys will be: R3.ccnasecurity.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R3#
000037: *Dec 19 21:18:52.495 UTC: %AUTOSEC-1-MODIFIED: AutoSecure
configuration has been Modified on this device
Bước 3: Thiết lập một kết nối SSH từ PC-C đến R3.
Chạy chương trình client PuTTy và đăng nhập với tài khoản admin và
password là cisco12345 được tạo khi AutoSecure chạy. Nhập vào địa chỉ IP của
cổng f0/0 R3 là 192.168.3.1.
Bước 4: kiểm tra các dịch vụ vô hiệu hóa trên R3
Các dịch vụ vô hiệu hóa bao gồm:
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no cdp run
no ip bootp server
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip identd
Đối với mỗi interface, các dịch vụ sau bị vô hiệu hóa:
no ip redirects
no ip proxy-arp
no ip unreachables
no ip mask-reply
- Sử dụng công cụ SDM Security Audit để xác định các lỗ hổng và khóa các
dịch vụ của R1:
Bước 1: Khôi phục R3 với cấu hình cơ bản:
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 mà được tạo và
lưu trong phần 1 của bài thực hành.
Bước 2: Sử dụng công cụ SDM Security Audit trên R1 để xác định rủi ro an
ninh
Để sử dụng công cụ SDM Security Audit ta cần cài đặt SDM trên PC-A. Ở đây
sử dụng SDM phiên bản 2.5, trước hết ta cần cài đặt java-jre phiên bản 6 trở
lên lên PC-A, sau đó tiến hành cài đặt SDM-v2.5.
- Tạo một SDM user và kích hoạt HTTP, HTTPS trên R1:
Tạo một username với privilege-level 15 và password trên R1.
R1(config)#username admin privilege 15 secret 0 cisco12345
Kích hoạt HTTP và HTTPS trên R1.

R1(config)#ip http secure-server
Kích hoạt xác thực HTTP local trên R1.
R1(config)#ip http authentication local

R1(config)#end
Lưu cấu hình running-config lên startup-config.
R1# copy run start
- Chạy phần mềm SDM đã cài đặt trên PC-A, Đăng nhập với username và
password đã được cấu hình trước đó:
username: admin
password: cisco12345
- Tại các thông điệp cảnh báo an ninh, nhấn Yes.

- Tại các thông điệp Password Needed-Networking, nhập vào username và
pasword một lần nữa.
- Chọn Configure  Security Audit.
Giao diện configure SDM

- Nhấn button Perform Security Audit để bắt đầu Security Audit wizard.
- Sau khi bạn đã quen thuộc với các hướng dẫn wizard, nhấn Next.
Giao diện cài đặt Security Audit
- Trên cửa sổ Security Audit Interface Configuration, chỉ ra các interface mà
được hiển thị bên trong (trusted) và được đặt bên ngoài (untrusted). Đối
với interface f0/0, chọn Inside (trusted). Cho interface s0/0, chọn Outside
(untrusted).
- Chọn Next để kiểm tra cấu hình bảo mật. Bạn có thể xem quá trình kiểm
tra an ninh.
- Sau khi xem báo cáo Security Audit, nhấn Save Report. Lưu nó đến
desktop sử dụng tên SDMSecurityAuditReportCard.html.
Các dịch vụ trên Security Audit

- Trong cửa sổ Security Audit, chọn Close.
- Chọn Fix All và chọn Next để sửa chữa tất cả các vấn đề an ninh.
- Khi được nhắc, nhập vào một enable password secret là cisco12345 và
nhập lại password này để xác nhận.
- Nhập văn bản cho biểu ngữ đăng nhập là: Unauthorized Access
Prohibited. Nhấn Next.
- Thêm địa chỉ IP logging là: 192.168.1.3, và chấp nhận logging defaults.
Nhấn Next.
- Chấp nhận thiết lập an ninh mặc định cho cổng inside và outside và nhấn
Next.
- Bỏ lựa chọn URL Filter Server, và nhấn Next.
- Đối với mức độ bảo mật, chọn Low Security và nhấn Next.
- Tại Firewall Configuration Summary, xem lại cấu hình và nhấn Finish.
- Di chuyển thông qua màn hình Summary. Màn hình này cho thấy những
gì Security Audit sẽ cấu hình cho router.
- Nhấn Finish để xem lệnh thực tế mà được chuyển giao đến router. Di
chuyển để xem trước các lệnh.
- Hãy chắc rằng Save running config to router's startup config được lựa chọn, và
nhấn Deliver.
- Nhấn OK trong cửa sổ Commands Delivery Status để thoát công cụ
Security Audit.
Bước 3: Kiểm tra kết nối
- Ping thành công từ router R1 đến router R3 cổng s0/0 (10.2.2.1). Vì

AutoSecure không thiết lập một tường lửa trên R3.
- Ping thành công từ PC-A trên LAN R1 đến PC-C trên LAN router R3. Vì
tường lửa trên R1 cho phép lưu lượng mà bắt đầu từ host trên LAN R1 để
trả về.
- Ping thành công từ router R3 đến router R2 cổng s0/0 (10.1.1.2). Vì
Không có tường lửa hoặc bảo mật khóa ping trên R2.
- Ping không thành công từ router R3 đến router R1 cổng s0/0 (10.1.1.1).
Vì SDM Security Audit cấu hình không cho phép R1 s0/0 trả lời.
- Ping Không thành công từ PC-C trên LAN R3 đến PC-A trên LAN R1. Vì
SDM Security Audit cấu hình không cho phép trên LAN R1 để trả lời yêu
cầu từ bên ngoài tường lửa.
Bài thực hành số 6: SITE-TO-SITE VPN
I. Giới thiệu
Site-to-site VPN cho phép các văn phòng ở nhiều địa điểm cố định thiết lập
các kết nối an toàn qua một mạng công cộng như Internet. Site-to-site VPN mở
rộng mạng lưới của công ty, làm cho các tài nguyên máy tính từ một địa điểm
có sẵn cho nhân viên tại các địa điểm khác sử dụng . GRE, IPSec và MPLS VPN
là các giao thức thường được sử dụng trong kết nối site-to-site VPN.
các router và host. Sử dụng Cisco IOS và SDM để cấu hình một VPN site-to-site.
Đường hầm IPsec VPN từ router R1 đến router R3 qua R2.
Yêu cầu
Phần 1: Cấu hình thiết bị (router và host) cơ bản
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật
khẩu truy cập và giao thức định tuyến động EIGRP.
- Cấu hình IP cho host (PC-A và PC-C).
Phần 2: Cấu hình site-to-site IPsec VPN sử dụng Cisco IOS
-Cấu hình IPsec VPN thiết lập trên R1 và R3.
-Kiểm tra cấu hình site-to-site IPsec VPN.
-Kiểm tra hoạt động IPsec VPN.
Phần 3: Cấu hình site-to-site Ipsec VPN sử dụng SDM
-Cấu hình IPsec VPN thiết lập trên R1.
-Tạo một cấu hình mirror cho R3.
-Áp dụng cấu hình mirror đến R3 và kiểm tra cấu hình.
-Kiểm tra cấu hình VPN sử dụng SDM.
-Phần mềm GNS3
-2 PC (Windows XP hoặc 7)
Cấu hình cơ bản cho 3 router:
Cấu hình host name và địa chỉ IP:
Router R1
Router# configure terminal

Router(config# hostname R1
R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng
s0/1 R2) và vô hiệu hóa tra cứu DNS:
Router R1
R1(config-if)#clock rate 64000
R1(config)#no ip domain-lookup
Router R2
Router R3
Cấu hình giao thức định tuyến EIGRP:
Router R1
R1(config)#router eigrp 101

R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#no auto-summary
Router R2

Router R3

Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security
passwords để thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service
password-encryption:
Router(config)#security passwords min-length 10

Cấu hình các đường console và vty cơ bản:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout
gây ra các dòng log sau 5 phút không hoạt động và lệnh logging
synchronous ngăn chặn thông điệp console làm gián đoạn nhập lệnh.
Router(config-line)#password ciscoconpass
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config-line)#logging synchronous
- Cấu hình mật khẩu trên đường vty
Router(config-line)#password ciscovtypass
Lưu cấu hình running config lên startup config
Router#copy running-config startup-config
Cấu hình thiết lập IP cho host (PC-A và PC-C)
PC-A
PC-C
Kiểm tra kết nối giữa các PC và router
R1#ping 10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/44/112
ms
Phần 2: Cấu hình site-to-site VPN sử dụng Cisco IOS
Cấu hình IPsec VPN thiết lập trên R1 và R3
Bước 1: Kích hoạt chính sách IKE:
a. Xác minh rằng IKE được hỗ trợ và kích hoạt
Sử dụng lệnh crypto isakmp enable để xác minh rằng router IOS hỗ trợ IKE
và nó được kích hoạt.
R1(config)#crypto isakmp enable
R3(config)#crypto isakmp enable
b. Thiết lập chính sách Internet Security Association and Key Management
Protocol (ISAKMP):
Sử dụng lệnh cấu hình crypto isakmp policy number trên R1 và R3 cho policy
10.
R1(config)#crypto isakmp policy 10
R3(config)#crypto isakmp policy 10
Bước 2: Cấu hình các thông số chính sách ISAKMP:
Cấu hình một loại chứng thực khóa chia sẻ. Sử dụng mã hóa AES 256, SHA
như thuật toán băm, trao đổi khóa Diffie-Hellman nhóm 5 và thời gian sống
3600 giây cho chính sách IKE này.
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption aes 256
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#end
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption aes 256
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#end
Bước 3: Cấu hình pre-shared key:
Cấu hình pre-shared key là cisco123 trên R1 và R3 sử dụng lệnh crypto

isakmp key key-string address address được sử dụng để nhập một pre-shared
key. Lệnh cho R1 trỏ đến địa chỉ IP s0/0 R3, còn lệnh cho R3 trỏ đến địa chỉ IP
s0/0 R1
R1(config)#crypto isakmp key cisco123 address 10.2.2.1
R3(config)#crypto isakmp key cisco123 address 10.1.1.1
Bước 4: Cấu hình IPsec transform set và life times:
a. Cấu hình IPsec transform set
Trên R1 và R3, Tạo một transform set với tag 50 và sử dụng giao thức
Encapsulating Security Protocol (ESP) với một thuật toán mã hóa AES 256 và
hàm băm SHA.
R1(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R1(cfg-crypto-trans)#exit
R3(config)#crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

R3(cfg-crypto-trans)#exit
b. Cấu hình life times
Trên R1 và R3, thiết lập thời gian sống IPsec security association đến 30
phút hoặc 1800 giây.
R1(config)#crypto ipsec security-association lifetime seconds 1800
R3(config)#crypto ipsec security-association lifetime seconds 1800
Bước 5: Xác định lưu lượng quan tâm:
a. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R1.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
b. Cấu hình ACL quan tâm lưu lượng IPsec VPN trên R3.
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0

0.0.0.255
Bước 7: Tạo và áp dụng một crypto map:
a. Tạo crypto map trên R1 và R3, tên CMAP và sử dụng số thứ tự là 10.
R1(config)#crypto map CMAP 10 ipsec-isakmp
R3(config)#crypto map CMAP 10 ipsec-isakmp
b. Sử dụng lệnh match address access-list để xác định danh sách truy cập
định nghĩa lưu lượng mã hóa.
R1(config-crypto-map)#match address 101
R3(config-crypto-map)#match address 101
c. Thiết lập một peer IP, để đặt nó đến R3/R1 cổng đầu cuối VPN ở xa sử
dụng lệnh set peer address.
R1(config-crypto-map)#set peer 10.2.2.1
R3(config-crypto-map)#set peer 10.1.1.1
d. Code cứng transform set để được sử dụng với peer này, sử dụng lệnh set
transform-set tag. Thiết lập các loại chuyển tiếp bí mật hoàn hảo sử dụng lệnh
set pfs type và cũng thay đổi mặc định thời gian sống IPsec security association
với lệnh set security-association lifetime seconds seconds.
R1(config-crypto-map)#set pfs group5

R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#exit
R3(config-crypto-map)#set pfs group5
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#exit
e. Áp dụng các crypto map đến cổng thích hợp trên R1 và R3.
R1(config-if)#crypto map CMAP
R1(config)#end
R3(config-if)#crypto map CMAP
R3(config)#end
Kiểm tra cấu hình site-to-site VPN:
Bước 1: Kiểm tra cấu hình IPsec trên R1 và R3:
a. Sử dụng lệnh show crypto ipsec transform-set hiển thị các chính sách cấu
hình IPsec trong hình thức của các transform set.
R1#show crypto ipsec transform-set

Transform set 50: { esp-256-aes esp-sha-hmac }
will negotiate = { Tunnel, },

Transform set 50: { esp-256-aes esp-sha-hmac }
a. Sử dụng lệnh crypto map để hiển thị các crypto map mà sẽ được áp dụng
đến router.
R1#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.2.2.1
Extended IP access list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
Current peer: 10.2.2.1
Security association lifetime: 4608000 kilobytes/900 seconds
PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/0
R3#show crypto map

Crypto Map "CMAP" 10 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list 101
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255

PFS (Y/N): Y
DH group: group5
Transform sets={
50: { esp-256-aes esp-sha-hmac } ,
}
Interfaces using crypto map MYMAP: Serial0/0/1
Kiểm tra hoạt động IPsec VPN:
Bước 1: Hiển thị các isakmp security associations.
Lệnh show crypto isakmp sa cho thấy rằng không có IKE SA tồn tại. Khi lưu
lượng quan tâm được gửi đi, đầu ra của lệnh này sẽ thay đổi.
R1#show crypto isakmp sa
dst src state conn-id slot status
Bước 2: Hiển thị các IPsec security associations.
a. Lệnh show crypto ipsec sa cho thấy SA không được sử dụng giữa R1 và
R3.
R1#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: CMAP, local addr 10.1.1.1
protected vrf: (none)

local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
current_peer 10.2.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.1.1.1, remote crypto endpt.: 10.2.2.1

path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x0(0)
inbound esp sas:

inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Bước 3: Tạo một vài lưu lượng kiểm tra và quan sát kết quả.
a. Sử dụng ping mở rộng từ R1 đến R3 cổng f0/0 địa chỉ IP 192.168.3.1.
R1#ping
Protocol [ip]:
Target IP address: 192.168.3.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Packet sent with a source address of 192.168.1.1

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 92/92/92
ms
b. Sử dụng lệnh show crypto isakmp sa một lần nữa:
IKE SA được tạo giữa R1 và R3 trong thời gian này. Các đầu cuối của đường
hầm IPsec VPN, nguồn: 10.1.1.1 (cổng S0/0 R1), đích: 10.2.2.1 (cổng S0/0
R3).

IPv4 Crypto ISAKMP SA
10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE
c. Sử dụng lệnh show crypto ipsec sa. Để xem số gói tin được chuyển đổi
giữa R1 và R3
interface: Serial0/0
Crypto map tag: CMAP, local addr 10.1.1.1


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
current outbound spi: 0x0(0)
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Phần 3: Cấu hình site-to-site IPsec VPN với SDM
Khôi phục R1 và R3 với cấu hình cơ bản
Trên gns3 xóa file cấu hình của R1 và R3 chứa trong thư mục configs của bài
thực hành (R1.cfg, R3.cfg). Sau đó, tắt và chạy lại project của bài thực hành để
khôi phục cấu hình mặc định của R1 và R3.
Khi khởi động lại router, khôi phục cấu hình cơ bản cho R1 và R3 như trong
phần 1 của bài thực hành này.
Cấu hình IPsec VPN cài đặt trên R1 sử dụng SDM
Bước 1: Cấu hình mật khẩu enable secret và HTTP trước khi bắt đầu SDM.
R1(config)#enable secret cisco12345

Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-A và bắt đầu SDM bằng cách nhập địa chỉ IP
R1 192.168.1.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, trường Username để trống và
nhập vào cisco12345 trong trường Password. Nhấn Yes.
d. Chọn Edit  Preferences để cấu hình SDM cho phép xem trước các lệnh
trước khi gửi chúng đến router. Trong cửa sổ User Preferences, chọn Preview
commands before delivering to router và nhấn OK.
Bước 3: Bắt đầu SDM VPN wizard để cấu hình R1.
a. Chọn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn nút
VPN. Chọn Site-to-Site VPN từ danh sách của các tùy chọn. Tùy chọn mặc định
là Create Site-to-Site VPN.
Giao diện Create Site-to-Site VPN
b. Chọn nút Launch the selected task để bắt đầu SDM Site-to-Site VPN
wizard.
c. Từ cửa sổ Site-to-Site VPN wizard ban đầu, Chọn Step by Step wizard, và
sau đó chọn Next.
Bước 4: Cấu hình các thiết lập thông tin kết nối VPN cơ bản.
a. Từ cửa sổ VPN Connection Information, chọn cổng cho kết nối, nên là R1
serial0/0.
b. Trong phần Peer Identity, Chọn Peer with static address và nhập địa chỉ
IP của peer R3 ở xa cổng s0/0 (10.2.2.1).
c. Trong phần Authentication, Chọn Pre-shared keys và nhập vào khóa pre-
shared VPN là cisco12345. Nhập lại khóa để xác nhận và nhấn Next.
Giao diện VPN Connection Information
Bước 5: Cấu hình các thông số chính sách IKE.
a. Cửa sổ IKE Proposals, một đề xuất chính sách mặc định được hiển thị.
Chọn nút Add để tạo một chính sách IKE mới.
b. Thiết lập chính sách an ninh như trong hộp thoại Add IKE Policy bên dưới.
Khi hoàn tất, nhấn OK để thêm chính sách. Sau đó nhấn Next.
Hộp thoại Add IKE Policy

Bước 6: Cấu hình một transform set.
a. Một SDM transform set mặc định được hiển thị. Chọn nút Add để tạo mới
một transform set.
b. Thiết lập transform set như hộp thoại Transform Set dưới đây. Khi hoàn
tất, nhấn OK để thêm transform set. Sau đó nhấn Next.
Hộp thoại Add Transform Set
Bước 7: Xác định lưu lượng quan tâm.
Trong cửa sổ Traffic to protect, nhập thông tin như bên dưới. Khi hoàn tất,
nhấn Next.
Giao diện Traffic to protect

Bước 8: Xem lại cấu hình tóm tắt và cung cấp các lệnh đến router.
a. Cửa sổ xem lại cấu hình tóm tắt Summary of the Configuration. Không
chọn vào mục Test VPN connectivity after configuring. Sau đó, chọn finish.
Giao diện Summary of the Configuration
b. Trong cửa sổ Deliver Configuration to router window, chọn Save running
config to router’s startup config và nhấn nút Deliver. Sau khi các lệnh được giao
đến router, nhấn OK.
Tạo một Mirror Configuration cho R3
Bước 1: Sử dụng SDM trên R1 để tạo ra một cấu hình mirror cho R3.
a. Trên R1, Chọn VPN  Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Chọn chính sách VPN vừa cấu hình trên R1 và nhấn nút Generate Mirror
phía dưới bên phải của cửa sổ. Cửa sổ Generate Mirror hiển thị các lệnh cần
thiết để cấu hình R3 như một VPN peer.
Giao diện Generate Mirror

Bước 2: Lưu các lệnh cấu hình cho R3.
a. Chọn nút Save để tạo một file text.
b. Lưu các lệnh ra desktop hoặc vị trí khác và đặt tên nó là VPN-Mirror-Cfg-
for-R3.txt.
c. Chỉnh sửa tập tin để loại bỏ các text giải thích ở đầu và các mục sau mô
tả lệnh crypto map SDM_CMAP_1.
Áp dụng Mirror Configuration đến R3 và kiểm tra cấu hình
Bước 1: Truy cập CLI R3 và sao chép các lệnh mirror.
a. Trên R3, vào chế độ privileged EXEC và chế độ global config sau đó.
b. Sao chép các lệnh từ tập tin text vào CLI R3.
Bước 2: Áp dụng crypto map đến cổng s0/0 R3.
R3(config)#interface s0/0
R3(config-if)#crypto map SDM_CMAP_1
Bước 3: Kiểm tra cấu hình VPN trên R3 sử dụng Cisco IOS.
a. Trên R3, sử dụng lệnh show crypto isakmp policy để hiển thị cấu hình các
chính sách ISAKMP.
R3#show crypto isakmp policy
Global IKE policy

Protection suite of priority 1
encryption algorithm: Three key triple DES
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
Protection suite of priority 10

encryption algorithm: AES - Advanced Encryption Standard
(256 bit keys
).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #5 (1536 bit)
lifetime: 28800 seconds, no volume limit
b. Sử dụng lệnh show crypto ipsec transform-set để hiển thị các chính sách
IPsec cấu hình trong form của các transform set.

Transform set Lab-Transform: { esp-256-aes esp-sha-hmac }
c. Sử dụng lệnh show crypto map để hiển thị các crypto map sẽ được áp
dụng đến R3.
R3#show crypto map

Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp
Peer = 10.1.1.1
Extended IP access list SDM_1
access-list SDM_1 permit ip 192.168.3.0 0.0.0.255
192.168.1.0 0.0.0.255
PFS (Y/N): N
Transform sets={
Lab-Transform,
}
Interfaces using crypto map SDM_CMAP_1:
Serial0/0
Kiểm tra cấu hình VPN sử dụng SDM trên R1.
a. Trên R1, sử dụng SDM để kiểm tra đường hầm IPsec VPN giữa hai router.
Chọn VPN > Site-to-Site VPN và chọn tab Edit Site-to-Site VPN.
b. Từ tab Edit Site to Site VPN, chọn VPN và kích chọn Test Tunnel.
c. Khi cửa sổ VPN Troubleshooting hiển thị, nhấn nút Start để SDM bắt đầu
Troubleshooting tunnel.
d. Khi cửa sổ SDM Warning hiển thị chỉ ra rằng SDM sẽ cho phép router
debug và tạo ra một số lưu lượng đường hầm, chọn Yes để tiếp tục.
e. Trong cửa sổ VPN Troubleshooting tiếp theo, địa chỉ IP của R1 cổng fa0/0
trong source network được hiển thị bởi mặc định (192.168.1.1). Nhập địa chỉ IP
của R3 cổng fa0/1 trong trường destination network (192.168.3.1) và nhấn
Continue để bắt đầu quá trình debug.
Giao diện VPN Troubleshooting

f. Nếu debug là thành công và đường hầm up, bạn sẽ thấy màn hình dưới
đây. Nếu kiểm tra thất bại, SDM hiển thị lý do thất bại và những đề nghị. Nhấn
OK để loại bỏ cửa sổ.
Giao diện VPN Troubleshooting thành công

g. Có thể lưu báo cáo nếu muốn; nếu không, nhấn Close.
h. Ban hành lệnh show crypto isakmp sa trên R3 để xem security association
được tạo ra.

IPv4 Crypto ISAKMP SA
10.2.2.1 10.1.1.1 QM_IDLE 1001 0 ACTIVE
i. Sử dụng lệnh show crypto ipsec sa trên R3, để xem số gói tin được
chuyển đổi giữa R1 và R3.
interface: Serial0/0/1
Crypto map tag: SDM_CMAP_1, local addr 10.2.2.1


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/1
current outbound spi: 0x207AAD8A(544910730)
inbound esp sas:

spi: 0xAF102CAE(2937072814)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2007, flow_id: FPGA:7, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:

spi: 0x207AAD8A(544910730)
transform: esp-256-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2008, flow_id: FPGA:8, crypto map: SDM_CMAP_1
sa timing: remaining key lifetime (k/sec): (4558294/3037)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Bắt và phân tích gói tin ISAKMP và ESP trên wireshark, trả lời các câu hỏi
sau:
+ Gói tin ISAKMP:
1. Có bao nhiêu loại exchange type trong các gói tin ISAKMP?
2. ISAKMP sử dụng dịch vụ UDP hay TCP ? Số hiệu cổng bao nhiêu?
3. Trong các loại Exchange Type, loại Exchange Type nào có chứa
Security Association (SA)?
4. Thuật toán mã hóa gì được sử dụng?
5. Phương pháp xác thực được sử dụng là gì?
+ Gói tin ESP:
6. Người gửi và người nhận có địa chỉ IP gì? Giá trị SPI tương ứng? Giá trị
này dùng để làm gì?
7. Gói tin ESP sử dụng số protocol number bao nhiêu?
Bài thực hành số 7: Remote-Access VPN
III. Giới thiệu
Remote-access VPN cho phép người dùng cá nhân truy cập an toàn vào các
nguồn tài nguyên của công ty bằng cách thiết lập một đường hầm được mã hóa
trên mạng Internet. Một số giao thức thường thường được sử dụng trong
remote-access VPN như: PPTP, L2TP, L2F, và IPSEC.
IV. Bài tập thực hành
các router và host. Cấu hình một remote access IPsec VPN giữa một máy client
(PC-A) và một mạng công ty mô phỏng (R3). Bắt đầu bằng cách sử dụng SDM
để cấu hình một zoned-based firewall (ZBF) để ngăn chặn các kết nối từ bên
ngoài mạng công ty. Cũng có thể sử dụng SDM để cấu hình Cisco Easy VPN
Server trên router R3. Tiếp theo, Cấu hình Cisco VPN Client trên PC-A và kết nối
đến R3 thông qua một router giả lập ISP (R2).
Yêu cầu
- Cấu hình cơ bản cho 3 router: host name, địa chỉ ip cho các cổng, mật
khẩu truy cập và định tuyến tĩnh.
- Cấu hình IP cho host (PC-A và PC-C).
- Kiểm tra kết nối giữa PC-A và R3.
Phần 2: Cấu hình Remote Access VPN
-Cấu hình zone-based firewall (ZBF) trên R3 sử dụng SDM.
-Cấu hình Router R3 để hỗ trợ Cisco Easy VPN Server sử dụng SDM.
-Cấu hình Cisco VPN Client trên PC-A và kết nối đến R3.
-Kiểm tra hoạt động VPN.
-Phần mềm GNS3
-PC-A: Windows XP hoặc 7 (với Cisco VPN Client)
-PC-C: Windows XP hoặc 7
Cấu hình cơ bản cho 3 router:
Cấu hình host name và địa chỉ IP:
Router R1
Router# configure terminal

R1(config)# exit
Router R2
R2(config)# exit
Router R3
R3(config)# exit
Cấu hình một xung nhịp cho cổng serial của router (cổng s0/0 R1 và cổng
s0/1 R2) và vô hiệu hóa tra cứu DNS:
Router R1
Router R2
Router R3
Cấu hình định tuyến tĩnh:
- Cấu hình một static default route từ R1 đến R2 và từ R3 đến R2
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.2.2
- Cấu hình một static route từ R2 đến LAN R1 và từ R2 đến LAN R3
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1

R2(config)#ip route 192.168.3.0 255.255.255.0 10.2.2.1
Cấu hình độ dài mật khẩu tối thiểu là 10 ký tự, sử dụng lệnh security
passwords để thiết lập và mã hóa mật khẩu console, vty; sử dụng lệnh service
password-encryption:
Router(config)#security passwords min-length 10

Cấu hình các đường console và vty cơ bản:
- Cấu hình mật khẩu console. Để thêm an toàn, sử dụng lệnh exec-timeout
gây ra các dòng log sau 5 phút không hoạt động và lệnh logging
synchronous ngăn chặn thông điệp console làm gián đoạn nhập lệnh
Router(config-line)#password ciscoconpass
Router(config-line)#logging synchronous
- Cấu hình mật khẩu trên đường vty
Router(config-line)#password ciscovtypass
Cấu hình một biểu ngữ cảnh báo đăng nhập trên router R1 và R3
R1(config)#banner motd $Truy cap trai phep deu bi nghiem cam$
R3(config)#banner motd $Truy cap trai phep deu bi nghiem cam$
Lưu cấu hình running config lên startup config
Router#copy running-config startup-config
Cấu hình thiết lập IP cho host (PC-A và PC-C)
PC-A
PC-C
Kiểm tra kết nối giữa PC-A và R3
Từ PC-A, ping thành công R3 cổng s0/0 tại địa chỉ 10.2.2.1
Phần 2: Cấu hình Remote Access VPN
Chuẩn bị R3 cho SDM truy cập
Bước 1: Cấu hình HTTP truy cập router và một người dùng trước khi bắt đầu
SDM.
a. Kích hoạt HTTP server trên R3.
b. Tạo một tài khoản admin01 trên R3 với mức quyền 15 và một mật khẩu
admin01pass.
R3(config)#username admin01 privilege 15 password 0 admin01pass
Bước 2: Truy cập SDM và thiết lập tùy chọn gửi lệnh.
a. Chạy ứng dụng SDM trên PC-C. Bắt đầu SDM bằng cách nhập địa chỉ IP
của R3 cổng fa0/0 192.168.3.1 trong trường địa chỉ.
b. Đăng nhập với không người dùng và kích hoạt mật khẩu enable secret là
cisco12345.
c. Trong hộp thoại Authentication Required, nhập cisco12345 trong trường
Password và nhấn OK.
d. Nếu hộp thoại IOS IPS Login xuất hiện, nhập mật khẩu enable secret là
cisco12345.
e. Chọn Edit  Preferences để cho phép xem trước các lệnh trước khi gửi
chúng đến router. Trong cửa sổ User Preferences, chọn Preview commands
before delivering to router và nhấn OK.
Cấu hình một ZBF Firewall trên R3
Bước 1: Sử dụng SDM Firewall wizard để cấu hình một zone-based firewall
(ZBF) trên R3.
a. Nhấn nút Configure ở trên cùng của màn hình SDM và sau đó nhấn vào
Firewall and ACL.
Giao diện Firewall and ACL

b. Chọn Basic Firewall và nhấp vào nút Launch the selected task. Trên màn
hình Basic Firewall Configuration wizard, nhấn Next.
c. Chọn vào Inside (trusted) cho FastEthernet0/0 và Outside (untrusted) cho
Serial0/0. Nhấn Next. Nhấn OK khi SDM launch warning for Serial0/0 được hiển
thị.
Giao diện Basic Firewall Configuration wizard
d. Trong cửa sổ tiếp theo, Chọn Low Security cho mức bảo mật và nhấn
Next.
e. Trong cửa sổ Summary, chọn Finish.
f. Chọn Deliver để gửi các lệnh đến router. Nhấn OK trong cửa sổ
Commands Delivery Status. Nhấn OK trên cửa sổ Information. Bạn quay trở lại
tab Edit Firewall Policy như hình dưới đây.
Giao diện Edit Firewall Policy

Bước 2: Kiểm tra chức năng tường lửa.
a. Từ PC-C, ping thành công R2 cổng s0/1 tại địa chỉ IP 10.2.2.2.
C:\Documents and Settings\Administrator>ping 10.2.2.2
Pinging 10.2.2.2 with 32 bytes of data:
Reply from 10.2.2.2: bytes=32 time=101ms TTL=254

Ping statistics for 10.2.2.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 49ms, Maximum = 101ms, Average = 68ms
b. Từ router R2 bên ngoài, Ping không thành công PC-C tại địa chỉ IP
192.168.3.3
R2#ping 192.168.3.3

.....
Success rate is 0 percent (0/5)
Sử dụng SDM VPN Wizard để cấu hình Easy VPN Server
Bước 1: Khởi động Easy VPN Server wizard và cấu hình dịch vụ AAA.
a. Nhấn nút Configure ở phía trên cùng của màn hình chính SDM. Nhấn nút
VPN để xem trang cấu hình VPN.
b. Chọn Easy VPN Server từ cửa sổ VPN chính, và sau đó nhấn Launch Easy
VPN Server Wizard.
Giao diện Easy VPN Server
c. Easy VPN Server wizard kiểm tra cấu hình router để xem nếu AAA được
kích hoạt. Nếu AAA không được kích hoạt, cửa sổ Enable AAA hiển thị. AAA phải
được kích hoạt trên router trước khi bắt đầu cấu hình Easy VPN Server. Nhấn
Yes để tiếp tục với cấu hình.
d. Khi được nhắc để gửi cấu hình đến router, nhấn Deliver.
e. Trong cửa sổ Command Delivery Status, nhấn OK. Khi một thông điệp
“AAA has been successfully enabled on the router” hiển thị, nhấn OK.
f. Khi quay lại cửa sổ Easy VPN Server wizard, nhấn Next.
g. Bây giờ AAA đã được kích hoạt, có thể bắt đầu Easy VPN Server wizard
bằng cách nhấn nút Launch Easy VPN Server Wizard. Sau đó nhấn Next.
Giao diện Easy VPN Server Wizard
Bước 2: Cấu hình cổng đường hầm ảo và xác thực.
a. Chọn cổng mà client kết nối. Nhấn vào nút Unnumbered to và chọn cổng
Serial0/0 từ menu thả xuống.
b. Chọn Pre-shared Keys cho loại xác thực và nhấn Next để tiếp tục.
Giao diện Interface and authentication

Bước 3: Chọn một IKE proposal.
a. Trong cửa sổ IKE Proposals, IKE Proposals mặc định được sử dụng cho
R3.
Giao diện IKE Proposals
b. Nhấn Next để chấp nhận chính sách IKE mặc định.
Bước 4: Chọn transform set.
a. Trong cửa sổ transform set, SDM transform set mặc định được sử dụng.
Giao diện Transform Set

b. Nhấn Next để chấp nhận transform set mặc định.
Bước 5: Xác định group authorization và group policy lookup.
a. Trong cửa sổ Group Authorization and Group Policy Lookup, chọn tùy
chọn Local.
Giao diện Group Authorization and Group Policy Lookup
b. Nhấn Next để tạo một danh sách phương pháp AAA mới cho group policy
lookup mà sử dụng cơ sở dữ liệu router cục bộ.
Bước 6: Cấu hình user authentication (XAuth).
a. Trong cửa sổ User Authentication (Xauth). Chọn Enable User

Authentication và chấp nhận mặc định Local Only.
Giao diện User Authentication (Xauth)

b. Chọn nút Add User Credentials. Trong cửa sổ User Accounts, có thể xem
các người dùng hiện tại đã được xác định hoặc thêm các người dùng mới.
c. Cửa sổ User Accounts, nhấn nút Add để thêm người dùng khác. Nhập tên
người dùng VPNuser1 với một mật khẩu VPNuser1pass. Chọn encrypting the
password using the MD5 hash algorithm. Chọn 1 trong mục privilege level.
Hộp thoại Add an Account

d. Nhấn OK để chấp nhận VPNuser01, và sau đó nhấn OK để đóng cửa sổ
User Accounts.
Hộp thoại User Accounts

e. Trong cửa sổ User Authentication (XAuth), nhấn Next để tiếp tục.
Bước 7: Xác định group authorization and user group policies.
a. Trong cửa sổ Group Authorization and User Group Policies, phải tạo ít
nhất một group policy cho VPN server.
Giao diện group authorization and user group policies
b. Nhấn Add để tạo một group policy.
c. Trong cửa sổ Add Group Policy, nhập VPN-Access như tên của group này.
Nhập một pre-shared key mới là cisco12345 và sau đó nhập lại nó.
d. Chọn vào Pool Information và nhập địa chỉ bắt đầu 192.168.3.100 và địa
chỉ kết thúc 192.168.3.150 và subnet mask 255.255.255.0.
e. Nhập 50 cho dòng Maximum Connections Allowed.
f. Nhấn OK để chấp nhận các thành phần.
Hộp thoại Add Group Policy
g. Một thông điệp SDM warning xuất hiện chỉ ra rằng địa chỉ IP trong pool và
địa chỉ IP của cổng FastEthernet0/0 trong cùng một subnet. Nhấn Yes để tiếp
tục.
h. Khi quay lại cửa sổ Group Authorization, chọn Configure Idle Timer và
nhập vào 1 giờ. Điều này sẽ ngắt kết nối idle user nếu không có hoạt động
trong một giờ và cho phép những người khác kết nối. Nhấn Next để tiếp tục.
Giao diện group authorization and user group policies sau khi tạo group
i. Khi cửa sổ Cisco Tunneling Control Protocol (cTCP) xuất hiện, không cho
phép cTCP. Nhấn Next để tiếp tục.
j. Khi cửa sổ Easy VPN Server Passthrough Configuration xuất hiện, hãy
chắc rằng Action Modify đã được chọn. Nhấn OK để tiếp tục.
Giao diện Modify Firewall
Bước 8: Xem lại tóm tắt cấu hình và cung cấp các lệnh.
a. Di chuyển qua các lệnh mà SDM sẽ gửi đến router. Không chọn mục test
VPN. Nhấn Finish.
b. Khi được nhắc để cung cấp cấu hình cho router, nhấn Deliver.
Giao diện Summary of the Configuration

c. Trong cửa sổ Command Delivery Status, nhấn OK.
Bước 9: Kiểm tra VPN Server.
a. Quay trở lại cửa sổ chính của VPN với tab Edit Easy VPN Server được
chọn. Nhấn nút Test VPN Server ở phía dưới bên phải của màn hình.
b. Trong cửa sổ VPN Troubleshooting, nhấn nút Start. Màn hình sẽ trông
giống như hình dưới đây. Nhấn OK để đóng cửa sổ information. Nhấn Close để
thoát cửa sổ VPN Troubleshooting.
Giao diện VPN Troubleshooting
Sử dụng Cisco VPN Client để Test Remote Access VPN
Bước 1: Cài đặt Cisco VPN client trên PC-A.
Trong bài thực hành này sử dụng Cisco VPN Client 4.8.02.0010 cho Windows
XP. Giải nén tập tin .exe hoặc .zip và bắt đầu cài đặt. Chấp nhận giá trị mặc
định khi được nhắc. Nhấn Finish khi VPN Client được cài đặt thành công. Nhấn
Yes để khởi động lại máy tính để những thay đổi cấu hình có hiệu lực.
Giao diện cài đặt Cisco VPN client

Bước 2: Cấu hình PC-A như một VPN client để truy cập VPN server.
a. Bắt đầu Cisco VPN Client và chọn Connection Entries  New hoặc nhấn
New icon với dấu cộng màu đỏ (+).
Giao diện chính VPN Client
b. Nhập thông tin sau đây để xác định các mục kết nối mới. Nhấn Save khi
hoàn thành.
- Connection Entry: VPN-R3
- Description: Kết nối đến mạng nội bộ R3
- Host: 10.2.2.1 (địa chỉ IP của R3 cổng s0/0)
- Group Authentication Name: VPN-Access
- Password: cisco12345
- Confirm Password: cisco12345
Giao diện Create New VPN Connection Entry

Bước 3: Kiểm tra truy cập từ PC-A mà không có một kết nối VPN.
Từ PC-A, ping không thành công PC-C địa chỉ IP 192.168.3.3. Vì PC-A vẫn
được cấu hình địa chỉ IP (192.168.1.3) và bị chặn bởi tường lửa.
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Bước 4: Thiết lập một kết nối VPN và đăng nhập.
a. Chọn kết nối VPN-R3 đã được tạo mới và nhấn biểu tượng Connect.
Giao diện kết nối VPN-R3

b. Nhập tên người dùng VPNuser1 tạo ra trước đó trong hộp thoại VPN Client
User Authentication và nhập mật khẩu VPNuser1pass. Nhấn OK để tiếp tục.
Hộp thoại User Authentication for “VPN-R3”

Kiểm tra đường hầm VPN giữa client, server và mạng nội bộ
Bước 1: Kiểm tra các số liệu thống kê đường hầm.
a. Chọn Status  Statistics. Chọn tab Tunnel Details.
Hộp thoại Statistics
Bước 4: Kiểm tra truy cập PC-A client sử dụng kết nối VPN.
a. Với kết nối VPN từ PC-A đến router R3 được kích hoạt, PC-A ping thành
công PC-C địa chỉ IP 192.168.3.3. PC-A có một địa chỉ IP (192.168.3.100 trong
trường hợp này) mà được gán bởi VPN server. PC-A có thể truy cập PC-C nội bộ
trên mạng 192.168.3.0/24 vì cả hai host cùng một subnet.


Approximate round trip times in milli-seconds:
Minimum = 87ms, Maximum = 175ms, Average = 112ms
Bước 5: Kiểm tra thông điệp Cisco IOS trên R3 khi đường hầm được tạo.
Mở console R3 và vị trí thông điệp hiển thị chỉ ra rằng cổng ảo Virtual-
Access2 đã đưa ra khi VPN Client kết nối được thực hiện.
R3#
*Feb 20 12:09:08.907: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access2, changed state to up
Bước 6: Kiểm tra thông tin kết nối VPN cho PC-A.
Từ dấu nhắc lệnh PC-A, sử dụng lệnh ipconfig/all để xem các kết nối mạng.
C:\Documents and Settings\Administrator>ipconfig/all
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : VMware Accelerated AMD
PCNet Adapter
Physical Address. . . . . . . . . : 00-0C-29-93-29-F5

Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
Ethernet adapter Local Area Connection 3:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Cisco Systems VPN Adapter
Physical Address. . . . . . . . . : 00-05-9A-3C-78-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.3.100
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.3.1
Bài thực hành số 8: TỔNG HỢP
Sơ đồ mạng
Yêu cầu:
-Đặt địa chỉ IP như mô hình.
-Trên switch SW: Tạo vlan 10,20; gán interface vào vlan; cấu hình
trunking. Trên router R3: Định tuyến interVLAN routing đảm bảo các
PC (C3 và C4) thuộc 2 vlan thấy nhau.
-Cấu hình định tuyến RIP version 2 trên 3 router.
-Cấu hình dịch vụ HTTP, DNS trên máy C3.
-Cấu hình ACL trên router R3, sao cho:
+ Cấm máy C1 thực hiện lệnh ping nhưng cho phép truy cập web vào
máy C3 bằng địa chỉ IP (cấm truy cập web bằng tên miền).
+ Cho phép mạng 30.0.0.0/8 truy cập web trên máy C3 bằng tên
miền.
+ Cho phép các gói tin ICMP xuất phát từ VLAN10 được phép truy cập
ra bên ngoài (router R1, R2, máy C1 và C2). Tất cả mọi loại dữ liệu từ
bên ngoài đi vào VLAN10 đều bị cấm, ngoại trừ gói tin trả về cho gói tin
ICMP đã đi ra trước đó.
-Cấu hình Radius:
+ Cấu hình Radius Server trên máy C4 (sử dụng phần mềm Cisco-ACS
phiên bản 4.2 để cài đặt và cấu hình).
+ Cấu hình router R2 làm Radius Client.
+ Tạo username: Radius, password: 123 trên Radius Server.
+ Mở phiên kết nối telnet từ máy C1 vào router R2 sử dụng tài khoản
tạo trên Radius Server để xác thực và truy cập.
HƯỚNG DẪN CẤU HÌNH
- Đặt địa chỉ IP:
R1
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.36 255.0.0.0
R1(config-if)#no shut
R1(config)#int f0/1
R1(config-if)#ip add 30.0.0.36 255.0.0.0
R1(config-if)#exit
R1(config)#int s1/0
R1(config-if)#ip add 192.168.1.30 255.255.255.0
R2
R2#conf t
R2(config)#int s1/0
R2(config-if)#ip add 192.168.1.36 255.255.255.0
R2(config-if)#exit
R2(config)#int s1/1
R2(config-if)#ip add 192.168.2.30 255.255.255.0
R3
R3#conf t
R3(config)#int s1/0
R3(config-if)#ip add 192.168.2.36 255.255.255.0
R3(config)#no shut
C1:
C2:
C3:
C4:
- Tạo Vlan, gán vlan vào interface, cấu hình trunking trên switch sw
và định tuyến interVLAN routing trên router R3:
+ Tạo Vlan 10,20 trên switch sw:
sw#vlan database
sw(vlan)#vlan 10
sw(vlan)#vlan 20
+ Gán vlan 10 vào interface f0/1, vlan 20 vào interface f0/2 trên switch sw:
Sw#config t
Sw(config)#interface f0/1
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 10
Sw(config)#interface f0/2
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan 20
+ Cấu hình trunking trên cổng f0/0 của switch sw:
sw#config t
sw(config)# interface f0/0
sw(config-if)# switchport mode trunk
+ Cấu hình định tuyến interVLAN routing trên router R3, đảm bảo 2 máy tính
thuộc vlan 10 và 20 kết nối thành công.
R3#conf t
R3(config)#interface f0/0.10
R3(config-if)# encapsulation dot1Q 10
R3(config-if)#ip add 20.10.0.30 255.255.0.0
R3(config)#interface f0/0.20
R3(config-if)# encapsulation dot1Q 20
R3(config-if)#ip add 20.20.0.30 255.255.0.0
- Cấu hình định tuyến RIP version 2 trên R1, R2, R3:
R1
R1#conf t
R1(config)#router rip
R1(config)#version 2
R1(config-router)#network 192.168.1.0
R2
R2#conf t
R3
R3#conf t
+ Kiểm tra định tuyến: Thực hiện lệnh Ping từ máy C1 đến máy C2, C3 và C4
- Cấu hình HTTP, DNS trên máy C3:
Giao diện cấu hình HTTP
Giao diện cấu hình DNS
+ Kết quả truy cập vào dịch vụ web bằng tên miền từ máy C1,C2,C4 vào máy
C3:
Truy cập HTTP

- Cấu hình ACL, RADIUS: sinh viên tự thực hiện (tham khảo các bài thực
hành trước).

Mcsa - Th-Atm - (Cuuduongthancong - Com)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mcsa - Th-Atm - (Cuuduongthancong - Com)

Uploaded by

Copyright:

Available Formats

Bài thực hành số 1: Công cụ Cain & Abel và

2.1 Tab Sniffer

2.2 Tab APR

IP address Spoofing: Phải sử dụng các IP address chưa sử dụng ở

2.3 Tab Filters and Ports

3.1 Mô hình mạng

3.2 Yêu cầu

a. Đặt địa chỉ IP cho server và PC như mô hình.

3.3 Các bước triển khai

a. Đặt địa chỉ IP cho server và 2 PC

Máy server sử dụng Windows server hoặc Linux server, 2 PC sử dụng

b. Cài đặt dịch vụ HTTP trên Server

++ Cài đặt dịch vụ HTTP và trang web đơn giản:

- Tạo trang web đơn giản chỉ bao gồm text.

Test: Truy cập vào website vừa tạo xong

II. Kali Linux

1. Giới thiệu Kali Linux

2.1 CDP Flooding Attack

2.1.1 Giới thiệu CDP (Cisco Discovery Protocol)

2.1.2 Công cụ Yersinia

Spanning Tree Protocol (STP)

Cisco Discovery Protocol (CDP)

Dynamic Trunking Protocol (DTP)

Dynamic Host Configuration Protocol (DHCP)

Hot Standby Router Protocol (HSRP)

Inter-Switch Link Protocol (ISL)

VLAN Trunking Protocol (VTP)

2.1.3 Mô hình triển khai

a. Dựng mô hình như hình vẽ.

d. Đưa ra biện pháp phòng chống tấn công cdp flooding.

2.1.4 Quá trình thực hiện

a. Dựng mô hình như hình vẽ

Ở Tab CDP, cho thấy router R1 đang chạy CDP.

Sử dụng các câu lệnh show trên router R1 để kiểm tra:

- Show process cpu sorted | incude CPU|PID runtime| CDP Protocol: Sử

2.2 DHCP Starvation Attack

2.2.1 Giới thiệu tấn công DHCP Starvation Attack

2.2.2 Mô hình triển khai

a. Dựng mô hình như hình vẽ.

a. Dựng mô hình như hình vẽ.

- Cấu hình địa chỉ IP 192.169.10.1/24 trên interface f0/0

R1(config)#ip dhcp pool VLAN1

- Kiểm tra DHCP Server đã cấu hình:

Trên máy Kali Linux, ở cửa sổ termial gõ yersinia -G để mở giao diện

d. Biện pháp phòng chống

SW(config)#interface range e0/0,e0/2

SW(config)# ip dhcp snooping

- Monitor DHCP Server

Bài thực hành số 2: AAA, RADIUS

- AAA (Authentication, Authorization, Accounting): Là thuật ngữ cho

- RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ

Mô hình triển khai

Bảng địa chỉ IP

-Cấu hình định tuyến tĩnh.

Phần 2: Cấu hình xác thực cục bộ trên R1 và R3

-Kiểm tra cấu hình.

Phần 3: Cấu hình xác thực cục bộ sử dụng AAA trên R3

-Cấu hình cơ sở dữ liệu người dùng cục bộ.

-Cấu hình AAA xác thực cục bộ.

-Kiểm tra cấu hình.

-Cài đặt một RADIUS server trên PC-A.

-Cấu hình các người dùng trên RADIUS server.

-Kiểm tra cấu hình AAA RADIUS.