Professional Documents
Culture Documents
2019.08.24. Hướng Dẫn Thực Thành CCNA R&S
2019.08.24. Hướng Dẫn Thực Thành CCNA R&S
**
Nội dung tổng quan:
- Phần 1. Hướng dẫn sử dụng phần mềm Putty để kết nối vào giao diện cấu hình bằng dòng lệnh
CLI của Cisco Router.
- Phần 2. Hướng dẫn đặt IP trên máy tính sử dụng hệ điều hành Window bằng dòng lệnh thông
qua giao diện chương trình CMD.
- Phần 3. Hướng dẫn cấu hình cơ bản trên Cisco Router.
- Phần 4. Khảo sát giao thức CDP và cấu hình dịch vụ Telnet Service trên Cisco Router.
- Phần 5. Hướng dẫn cấu hình dịch vụ xác thực AAA trên Cisco Router.
- Phần 6. Hướng dẫn cấu hình dịch vụ SSH Service trên Cisco Router.
- Phần 7. Hướng dẫn lưu cấu hình và hệ điều hành IOS của Cisco Router lên TFTP Server.
- Phần 8. Hướng dẫn Crack mật khẩu Password trên Cisco Router.
- Phần 9. Khôi phục hệ điều hành cho Cisco Router ở chế độ ROMMON.
- Phần 10. Hướng dẫn cấu hình định tuyến tĩnh Static Route trên Cisco Router.
- Phần 11. Hiệu chỉnh Administrative Distance trong Static Route để dự phòng kết nối.
- Phần 12. Hướng dẫn cấu hình kỹ thuật gom Route Summary trên Cisco Router.
- Phần 13. Khảo sát cơ chế chuyển mạch Switch trên Cisco Switch và giao thức phân giải địa chỉ
ARP.
- Phần 14. Hướng dẫn cấu hình VLAN, Trunk, VTP trên Cisco Switch và định tuyến giữa các VLAN
trên Cisco Router.
- Phần 15. Hướng dẫn cấu hình dịch vụ DHCP Server & Relay trên Cisco Router.
- Phần 16. Hướng dẫn cấu hình giao thức tránh loop Spanning-Tree trên Cisco Switch.
- Phần 17. Hướng dẫn cấu hình công nghệ gom đường liên kết EtherChannel trên Cisco Switch.
- Phần 18. Hướng dẫn cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
- Phần 19. Hướng dẫn cấu hình tính năng bảo mật Layer 2 PortSecurity trên Cisco Switch.
- Phần 20. Hướng dẫn cấu hình Syslog, NTP trên Cisco Router và sử dụng chương trình Kiwi Syslog
Server 9.5.1.
- Phần 21. Hướng dẫn cấu hình SNMP và Netflow trên Cisco Router.
- Phần 22. Hướng dẫn cấu hình chính sách bảo mật ACL trên Cisco Router.
- Phần 23. Hướng dẫn cấu hình chính sách bảo mật ACL chặn truy cập Facebook.
- Phần 24. Hướng dẫn cấu hình NAT Overload trên Cisco Router.
- Phần 25. Hướng dẫn cấu hình Static NAT trên Cisco Router.
- Phần 26. Hướng dẫn cấu hình giao thức định tuyến động RIP trên Cisco Router.
- Phần 27. Hướng dẫn cấu hình giao thức định tuyến động OSPF trên Cisco Router.
- Phần 28. Hướng dẫn cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
- Phần 29. Hướng dẫn cấu hình giao thức PPP trên Cisco Router.
- Phần 30. Hướng dẫn cấu hình quay số PPPoE trên Cisco Router.
- Phần 30. Hướng dẫn cấu hình xác thực phiên kết nối PPPoE trên Cisco Router.
- Phần 31. Hướng dẫn cấu hình công nghệ IP SLA giám sát các Static Route trên Cisco Router.
- Phần 32. Hướng dẫn cấu hình công nghệ GRE VPN trên Cisco Router.
- Phần 33. Hướng dẫn cấu hình định tuyến Static Route và Dynamic Route trên hạ tầng IPv6 trên
Cisco Router.
- Phần 34. Hướng dẫn cấu hình dịch vụ DHCPv6 Server trên Cisco Router.
Nội dung chi tiết:
Phần 1. Hướng dẫn sử dụng phần mềm Putty để kết nối vào giao diện cấu hình bằng dòng lệnh CLI của
Cisco Router.
PC
Console
Trong cửa sổ “Computer Management”, chọn “Device Manager” ở ô bên trái và click chọn “Ports (COM
& LPT)”.
Tại đây, học viên xác định được cổng COM được sử dụng trên PC của mình. Ví dụ, trong bài lab này là
COM3.
Bước 4. Thiết lập các tham số trên phần mềm Putty để kết nối tới giao diện CLI của Cisco Router.
Mở chương trình PuTTY đã chép trên PC và thực hiện chọn mục “Serial” và các thiết lập tương ứng:
Sau khi thiết lập xong, thực hiện nhấn “Open”.
Tại cửa sổ này, học viên có thể bắt đầu thực hiện các thao tác nhập lệnh cấu hình cho router.
Phần 2. Hướng dẫn đặt IP trên máy tính sử dụng hệ điều hành Window bằng dòng lệnh thông qua giao
diện chương trình CMD.
Có nhiều cách để gán địa chỉ IP cho máy tính PC. Nếu muốn thiết lập IP cho PC1 bằng dòng lệnh thông
qua chương trình cmd, ta thực hiện như sau.
Gán IP 192.168.1.3/24 cho PC1 bằng câu lệnh. Kiểm tra tên của card mạng bằng cách vào giao diện
“Network Connections”. Thực hiện nhấn tổ hợp phím Window + R rồi gõ tiếp command line “ncpa.cpl”.
Tại giao diện “Network Connections”, quan sát tên của card mạng hiện tại là “Local Area Connection”.
Thiết lập IP 192.168.1.3/24 với default-gateway là 192.168.1.1 cho PC1 bằng giao diện dòng lệnh thông
qua chương trình cmd như sau. Phải đảm bảo kết nối cáp và tín hiệu đèn đã sáng mới tiến hành gõ lệnh.
C:\PC1> netsh interface ip set address name="Local Area Connection" static 192.168.1.3
255.255.255.0 192.168.1.1
Kiểm tra lại IP của PC1 bằng giao diện dòng lệnh.
C:\PC1> netsh interface ip show config
C:\PC1>
Cách 1: Thiết lập PC trở thành DHCP Client xin IP động từ DHCP Server.
C:\PC> netsh
netsh> interface ip
netsh interface ipv4> set address name= “Local Area Connection” source=dhcp
Cách 2: Thiết lập PC trở thành DHCP Client xin IP và DNS động từ DHCP Server.
C:\PC> netsh interface ip set address name="Local Area Connection" dhcp
C:\PC> netsh interface ip set dns name="Local Area Connection" dhcp
Các chế động dòng lệnh trên Router và Switch là như nhau.
- User Exec Mode
- Privilege Exec Mode
- Global Configuration Mode
Nếu thiết bị đề xuất cấu hình thiết bị theo sự hướng dẫn như bên dưới, ta gõ no để bỏ qua rồi nhấn
Enter.
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]: no <enter>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!By default, the following "voice service voip" !!
!!sub-command is enabled: !!
!! ip address trusted authenticate !!
!! !!
!!The command enables the ip address authentication !!
!!on incoming H.323 or SIP trunk calls for toll fraud !!
!!prevention supports. !!
!! !!
!!Please use "show ip address trusted list" command !!
!!to display a list of valid ip addresses for incoming !!
!!H.323 or SIP trunk calls. !!
!! !!
!!Additional valid ip addresses can be added via the !!
!!following command line: !!
!! voice service voip !!
!! ip address trusted list !!
!! ipv4 <ipv4-address> [<ipv4 network-mask>] !!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Tại chế độ User EXEC mode, ta thực hiện câu lệnh enable để đăng nhập vào chế độ đặc quyền Privilege
EXEC mode.
Router> enable
Router#
Ở chế độ User EXEC mode hoặc Privilege EXEC mode ta chỉ có thể kiểm tra cấu hình của thiết bị chứ vẫn
chưa thể cấu hình được, muốn biết các câu lệnh có thể thực hiện được ở từng chế độ, ta có thể thực
hiện gõ kí tự chấm hỏi (?) tương ứng với từng chế độ, tất cả các câu lệnh sẽ được liệt kê.
Ở phía cuối kết quả hiển thị có một từ khóa là --More--, tức là danh sách câu lệnh vẫn còn và vẫn chưa
hiển thị hết. Để hiển thị thêm một dòng nữa, ta nhấn phím Enter; để hiển thị thêm một trang màn hình
nữa, ta nhấn phím Space (phím dài nhất trên bàn phím).
Router# ?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
alps ALPS exec commands
archive manage archive files
audio-prompt load ivr prompt
auto Exec level Automation
beep Blocks Extensible Exchange Protocol commands
bfe For manual emergency modes setting
calendar Manage the hardware calendar
call Voice call
ccm-manager Call Manager Application exec commands
cd Change current directory
clear Reset functions
clock Manage the system clock
cns CNS agents
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
credential load the credential info from file system
crypto Encryption related commands.
--More--
Hoặc nếu muốn hiển thị tất cả các câu lệnh bắt đầu bằng kí tự s, ta có thể thực hiện như sau.
Router# s?
*s=show
sdlc send set setup
show slip spec-file ssh
start-chat systat
Router# s
Câu lệnh show có nhiều tùy chọn option phía sau, ta có thể gõ kí tự chấm hỏi (?) ở phía sau câu lệnh
show để biết thêm các tùy chọn.
Router# show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info
adjacency Adjacent nodes
aliases Display alias commands
alps Alps information
appfw Application Firewall information
archive Archive functions
arp ARP table
async Information on terminal lines used as router
interfaces
authentication Shows Auth Manager registrations or sessions
auto Show Automation Template
backhaul-session-manager Backhaul Session Manager information
backup Backup status
beep Show BEEP information
bfd BFD protocol info
bgp BGP information
bootvar Boot and related environment variable
bridge Bridge Forwarding/Filtering Database [verbose]
bsc BSC interface information
--More--
Muốn cấu hình thiết bị Router hoặc Switch, ta phải vào chế độ Global Config bằng cách thực hiện câu
lệnh configure terminal ở chế độ đặc quyền Privilege EXEC mode.
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Muốn vào chế độ cổng giao tiếp config-if, ta thực hiện câu lệnh interface f0/1 ở chế độ Global Config.
Router(config)# interface f0/0
Router(config-if)#
Muốn thóat khỏi chế độ bất kỳ, ta thực hiện câu lệnh exit; muốn thoát khỏi chế độ đặc quyền Privilege
EXEC mode, ta thực hiện câu lệnh disable hoặc exit.
Router(config-if)# exit
Router(config)# exit
Router# disable
Router> exit
Tiến hành khởi động lại thiết bị, nếu thiết bị hỏi có muốn lưu cấu hình vừa chỉnh sửa hay không, ta chọn
no rồi nhấn Enter, tiếp tục nhấn Enter để xác nhận khi thông báo [confirm] xuất hiện.
R2# reload
System configuration has been modified. Save? [yes/no]: no <enter>
Proceed with reload? [confirm] <enter>
Sau khi khởi động lại thiết bị xong, ta chọn no rồi nhấn Enter.
...
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
Would you like to enter the initial configuration dialog? [yes/no]: no <enter>
Bước 3. Thiết lập địa chỉ IP cho các Interface trên Cisco Router.
Đặt IP trên cổng f0/0 của Cisco Router địa chỉ IP là 192.168.1.1/24.
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
Đặt IP trên interface vlan 1 của Cisco Switch địa chỉ IP là 192.168.1.2/24. Ta sẽ gán IP 192.168.1.2 cho
Cisco Switch trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết nối tới Cisco Switch
đều có thể ping được tới IP 192.168.1.2 của Cisco Switch. Và tại Cisco Switch, cũng có thể ping được tới
các IP của PC hoặc Router đang kết nối tới Cisco Switch.
Sw1(config)# interface vlan 1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
Sw1(config-if)# end
Sw1#
Trên Cisco Switch, kiểm tra IP vừa thiết lập cho “interface vlan 1”. Hiện nay, cổng ảo “interface vlan 1”
đang ở trạng thái “administratively down”, lý do là ta chưa tiến thành thực hiện câu lệnh “no shutdow”
cho cổng này.
Sw1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.2 YES manual administratively down down
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/2 unassigned YES unset down down
FastEthernet0/3 unassigned YES unset down down
…
FastEthernet0/24 unassigned YES unset down down
GigabitEthernet0/1 unassigned YES unset down down
GigabitEthernet0/2 unassigned YES unset down down
Sw1#
Thực hiện câu lệnh “no shutdown” trên cổng ảo “interface vlan 1”.
Sw1(config)# interface vlan 1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
Sw1(config-if)# no shutdơwn
Sw1(config-if)# end
Sw1#
Nếu chỉ muốn liệt kê các cổng giao tiếp interface ở trạng thái “up” mà thôi thì ta có thể thực hiện câu
lệnh như sau.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw1#
Các câu lệnh vừa thực hiện sẽ lưu trữ trực tiếp tại bộ nhớ RAM của thiết bị Router hoặc Switch. Nếu
thiết bị mất điện đột ngột, các cấu hình này sẽ mất. Vì thế, ta cần lưu cấu hình từ bộ nhớ RAM sang bộ
nhớ NVRAM.
R1# copy running-config startup-config
Để xem file cấu hình lưu trữ tại bộ nhớ NVRAM, ta thực hiện câu lệnh sau.
R1# show startup-config
Phần 4. Khảo sát giao thức CDP và cấu hình dịch vụ Telnet Service trên Cisco Router.
Ta sẽ gán IP 192.168.1.2 cho Sw1 trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết
nối tới Sw1 đều có thể ping được tới IP 192.168.1.2 của Sw1. Sw1 cũng có thể ping được tới các IP của
PC hoặc Router đang kết nối tới Sw1.
Sw1(config)# interface vlan 1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
Sw1(config-if)# no shutdown
Sw1(config-if)# end
Sw1#
Bước 2. Khảo sát giao thức CDP trên Cisco Router và Switch.
Bước 2.1. Khảo sát giao thức CDP trên Cisco Switch.
Khảo sát thông tin hiển thị tại Router và Switch thông qua câu lệnh “show cdp neighbors”.
Sw1 đang đấu nối với cổng f0/0 của R1 thông qua cổng f0/5.
Sw1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Router được gắn thêm Module 16 Port Switch (phía bên tay trái).
Tại Sw1, ta có thể xác định được địa chỉ IP của f0/0 trên R1 là 192.168.1.1 và R1 đang sử dụng hệ điều
hành IOS là C2800NM-ADVENTERPRISEK9-M.
Sw1# show cdp neighbors detail
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.1.1
Platform: Cisco 2811, Capabilities: Router Switch IGMP
Interface: FastEthernet0/5, Port ID (outgoing port): FastEthernet0/0
Holdtime : 138 sec
Version :
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T5,
RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Wed 30-Apr-08 14:17 by prod_rel_team
advertisement version: 2
VTP Management Domain: ''
Duplex: full
Management address(es):
Sw1#
Câu lệnh “show cdp entry *” tương tự như câu lệnh “show cdp neighbors detail”.
Sw1# show cdp entry *
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.1.1
Platform: Cisco 2811, Capabilities: Router Switch IGMP
Interface: FastEthernet0/5, Port ID (outgoing port): FastEthernet0/0
Holdtime : 175 sec
Version :
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T5,
RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Wed 30-Apr-08 14:17 by prod_rel_team
advertisement version: 2
VTP Management Domain: ''
Duplex: full
Management address(es):
Sw1#
Câu lệnh “show cdp entry *” sẽ liệt kê thông tin của tất cả các thiết bị láng giềng đang đấu nối với Sw1
(hiện nay chỉ có mỗi R1 là đang đấu nối tới Sw1), các PC không gửi gói tin CDP nên Sw1 sẽ không hiển thị
thông tin của các PC hiện đang đấu nối với Sw1.
Version :
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T5,
RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Wed 30-Apr-08 14:17 by prod_rel_team
advertisement version: 2
VTP Management Domain: ''
Duplex: full
Management address(es):
Sw1#
Bước 2.2. Khảo sát giao thức CDP trên Cisco Router.
Khảo sát nội dung hiển thị câu lệnh “show cdp neighbors” tại R1.
- R1 đang đấu nối với f0/5 của Sw1 thông qua cổng cục bộ là f0/0.
R1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID
Sw1 Fas 0/0 136 S I WS-C3560- Fas 0/5
R1#
Để biết nhiều thông tin chi tiết hơn về Sw1, ta có thể thực hiện câu lệnh sau.
- Bên cạnh các thông tin khảo sát được thông qua câu lệnh “show cdp neighbors”, ta còn biết
được IP của Sw1 là 192.168.1.2 (IP của interface vlan 1 trên Sw1) và tên của hệ điều hành IOS
mà Sw1 đang sử dụng là C3560-IPSERVICESK9-M.
R1# show cdp entry Sw1
-------------------------
Device ID: Sw1
Entry address(es):
IP address: 192.168.1.2
Platform: cisco WS-C3560-24TS, Capabilities: Switch IGMP
Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/5
Holdtime : 140 sec
Version :
Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 15.0(1)SE, RELEASE
SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Wed 20-Jul-11 06:02 by prod_rel_team
advertisement version: 2
Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27,
value=00000000FFFFFFFF010221FF000000000000002699B70600FF0000
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
R1#
Bước 2.3. Tắt giao thức CDP trên thiết bị Cisco Switch.
Tắt CDP trên một Port của Sw1.
- Cổng f0/1 trên Sw1 đấu nối trực tiếp tới PC1, sau khi tắt giao thức CDP trên cổng f0/1, PC1 sẽ
không còn nhận được gói tin CDP nữa.
Sw1(config)# interface f0/1
Sw1(config-if)# no cdp enable
Sw1(config-if)# end
Sw1#
Ta nên tắt giao thức CDP trên các Port đấu nối xuống PC, để tắt giao thức CDP trên nhiều Port cùng lúc
(f0/1, f0/2, f0/3, f0/5), ta có thể cấu hình câu lệnh sau.
Sw1(config)# interface range f0/1 - 3 , f0/5
Sw1(config-if-range)# no cdp enable
Sw1(config-if-range)# exit
Sw1(config)#
Tắt giao thức CDP trên toàn thiết bị (trên tất cả các Port).
Sw1(config)# no cdp run
Bước 3. Cấu hình dịch vụ Telnet Service trên Cisco Router và Switch.
Bước 3.1. Cấu hình dịch vụ Telnet Service trên Cisco Router.
Cấu hình telnet cho phép 5 người có thể đồng thời telnet tới R1.
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)#
C:\PC1>
Bước 3.2. Kích hoạt dịch vụ Telnet Client trên máy tính sử dụng hệ điều hành Window.
Để bật dịch vụ Telnet Client Service, ta truy cập vào các mục sau Start > Control Panel > Program >
Program and Features, chọn “Turn Windows features on or off”.
Trong cửa sổ hiện ra, tìm mục “Telnet Client” và check vào ô này rồi nhấn “OK”.
Đợi trong giây lát để Window 7 kích hoạt dịch vụ Telnet Client.
Lúc này, tại PC1, ta có thể telnet được tới R1 thông qua chương trình “cmd”.
C:\PC1> telnet 192.168.1.1
Bước 3.3. Khảo sát quá trình Telnet từ máy tính tới Cisco Router.
Khai báo thông tin mật khẩu telnet rồi nhấn enter ta sẽ vào được chế độ user mode.
User Access Verification
Password:
R1>
Tại chế độ user mode, ta có thể thực hiện kiểm tra địa chỉ IP của R1 hoặc kiểm tra mức đặc quyền hiện
tại của chế độ user mode là level 1.
R1> show ip interface brief
Interface IP-Address OK? Method Status Prot
ocol
FastEthernet0/0 192.168.1.1 YES manual up up
Muốn vào chế độ đặc quyền (Privilege Access Mode), ta cần gõ lệnh enable tại chế độ user mode nhưng
lại gặp thông báo Password enable chưa được thiết lập.
R1> enable
% No password set
R1>
Lúc này, tại giao diện cấu hình console tại R1, ta sẽ bắt gặp thông điệp sau.
R1(config)#
%SYS-5-PRIV_AUTH_FAIL: Authentication to privilege level 15 failed by vty0
(192.168.1.3)
R1(config)#
Do đó, bên cạnh việc thiết lập mật khẩu telnet, ta cũng cần phải cấu hình thêm mật khẩu enable.
enable password bqk
line vty 0 4
privilege level 15
login
exit
Lúc này, tại PC1 khi gõ lệnh enable sẽ diễn ra như sau, user khai báo mật khẩu enable là “bqk” sẽ vào
được chế độ đặc quyền (Privilege Access Mode) tương ứng với level 15.
R1> enable
Password:
R1#
R1# show privilege
Current privilege level is 15
R1#
Bước 3.4. Khảo sát quá trình Telnet từ Switch tới Cisco Router.
Trên các thiết bị Cisco Router và Switch vừa hỗ trợ dịch vụ Telnet Server, vừa hỗ trợ dịch vụ Telnet Client
nên từ thiết bị Switch ta có thể telnet tới Router và ngược lại.
Tại Sw1, ta cũng có thể tiến hành ping rồi telnet tới R1.
Sw1# ping 192.168.1.1
Password:
R1>
R1> enable
Password:
R1#
Tại Sw1, muốn thoát khỏi phiên telnet thì có thể gõ lệnh exit.
R1# exit
Password:
R1>
R1> enable
Password:
R1#
Tại Sw1, nếu ta không muốn thoát phiên telnet (gõ lệnh exit), mà chỉ muốn tạm thời quay trở về Sw1 để
cấu hình nhưng lại không muốn ngắt phiên telnet tới R1 thì có thể nhấn tổ hợp phím <Ctrl + Shift + 6> rồi
nhấn tiếp phím “X”.
R1# <Ctrl + Shift + 6> X
Sw1#
Tại Sw1, muốn quay trở về phiên telnet trước đó, ta có thể thực hiện nhấn <enter> ở chế độ Privilege
Access Mode tại Sw1.
Sw1# <enter>
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
Tại Sw1, tiếp tục nhấn tổ hợp phím <Ctrl + Shift + 6> rồi nhấn tiếp phím X để quay trở về giao diện cấu
hình của Sw1.
R1# <Ctrl + Shift + 6> X
Sw1#
Thực hiện câu lệnh “show session” để kiểm tra các phiên telnet đã mở tại Sw1.
Sw1# show sessions
Conn Host Address Byte Idle Conn Name
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1#
Tại Sw1, để quay trở về phiên telnet đã mở, ta có thể thực hiện câu lệnh “resume”.
Sw1# show sessions
Conn Host Address Byte Idle Conn Name
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1# resume 1
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
Tại Sw1, tiếp tục nhấn tổ hợp phím <Ctrl + Shift + 6> rồi nhấn tiếp phím X để quay trở về giao diện cấu
hình của Sw1.
R1# <Ctrl + Shift + 6> X
Sw1#
Tại Sw1, để ngắt các phiên telnet đã mở, ta có thể thực hiện câu lệnh “disconnect”.
Sw1# show sessions
Conn Host Address Byte Idle Conn Name
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1# disconnect 1
Closing connection to 192.168.1.1 [confirm] <enter>
Sw1# show sessions
% No connections open
Sw1#
Password:
R1> enable
Password:
R1#
Bước 3.5. Kiểm tra kết nối Telnet trên Cisco Router.
Tại R1, để kiểm tra thông tin địa chỉ IP của Telnet Client đang tiến hành telnet tới R1 bằng câu lệnh
“show users”.
- Như thông tin hiển thị cho thấy, hiện nay có 2 thiết bị đang tiến hành telnet tới R1 là
o PC1 có IP là 192.168.1.3.
o Sw1 có IP là 192.168.1.2.
- Sw1 kết nối telnet tới R1 trước nên có định danh là “vty 0”, PC1 sau đó mới mở phiên telnet tới
R1 nên có định danh là “vty 1”.
R1# show users
Line User Host(s) Idle Location
0 con 0 idle 00:21:43
*514 vty 0 idle 00:00:00 192.168.1.2
515 vty 1 idle 00:00:14 192.168.1.3
Tại R1, muốn ngắt phiên telnet từ PC1, ta có thể thực hiện câu lệnh “clear line”.
R1# show users
Line User Host(s) Idle Location
0 con 0 idle 00:21:43
*514 vty 0 idle 00:00:00 192.168.1.2
515 vty 1 idle 00:00:14 192.168.1.3
R1#
Bước 3.6. Cấu hình dịch vụ Telnet Service trên Cisco Switch.
Cấu hình telnet trên Sw1 chỉ phép 1 người đồng thời telnet tới Sw1.
Sw1(config)# enable password bqk
Sw1(config)# line vty 0
Sw1(config-line)# password cisco
Sw1(config-line)# login
Sw1(config-line)# exit
Sw1(config)#
Tại R1, ta tiến hành ping kiểm tra rồi telnet tới Sw1.
R1# ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#
Password:
Sw1>
Sw1> enable
Password:
Sw1#
Tại Sw1, kiểm tra xem ai đang telnet vào Sw1 bằng câu lệnh “show user”.
Sw1# show users
Line User Host(s) Idle Location
0 con 0 idle 00:02:24
* 1 vty 0 idle 00:00:00 192.168.1.1
Ta mở thêm một phiên telnet nữa trên PC1 nhưng lúc này gặp phải thông báo lỗi như sau vì trên Sw1 chỉ
cho phép tại một thời điểm chỉ có một người được quyền telnet tới thiết bị.
C:\PC1> telnet 192.168.1.2
C:\PC1>
Từ PC1, ta thực hiện phiên telnet tới Sw1, ta sẽ bắt gặp thông báo như bên dưới.
C:\PC1> telnet 192.168.1.2
Tiến hành cấu hình telnet không password trên Sw1 cho phép telnet vào Sw1 mà không cần phải hỏi mật
khẩu.
Sw1(config)# line vty 0 4
Sw1(config-line)# privilege level 15
Sw1(config-line)# no login
Sw1(config-line)# exit
Sw1(config)#
Từ PC1, ta thực hiện phiên telnet tới Sw1, lập tức phiên telnet thiết lập thành công mà không hề hỏi mật
khẩu.
- Thực hiện câu lệnh “show privilege” ta sẽ thấy đang ở đặc quyền level 15 là đặc quyền cao nhất
trên thiết bị. Để tìm hiểu các level khác, có thể tham khảo giáo trình CCNA Security.
C:\PC1> telnet 192.168.1.2
Sw1#
Phần 5. Hướng dẫn cấu hình dịch vụ xác thực AAA trên Cisco Router.
Bước 2. Cấu hình dịch vụ xác thực AAA trên Cisco Router.
Bước 2.1. Cấu hình dịch vụ Telnet sử dụng cơ chế xác thực AAA trên Router R1.
Cấu hình telnet sử dụng cơ chế xác thực AAA trên R1.
- aaa new-model: Kích hoạt tính năng xác thực AAA cục bộ tại thiết bị và sử dụng local username
& password trên router nếu không khai báo các phương thức AAA statement khác. AAA được
viết tắt từ 3 từ khóa.
o Authentication: Xác thực, ai được quyền telnet tới thiết bị.
o Authorization: Phân quyền, user sau khi telnet thành công tới thiết bị chỉ được thực
hiện một số câu lệnh nhất định.
o Accounting: Kiểm toán, ghi chú lại thông tin user đã thực hiện những câu lệnh nào tại
thiết bị.
- aaa authentication login TELNET-LOGIN local enable:
o local: sử dụng local username để xác thực.
o enable: Sử dụng enable password để xác thực.
- username admin secret cisco: tạo tài khoản cho phép user kết nối telnet tới thiết bị, có thể tạo
nhiều username & password.
aaa new-model
aaa authentication login VTY local enable
line vty 0 4
login authentication VTY
exit
username admin privilege 15 secret cisco
username subadmin privilege 1 secret cisco
Tại PC1 telnet tới R1 với tài khoản admin hoặc subadmin nhưng subadmin gần như vẫn chưa thể cấu
hình được R1.
C:\PC1> telnet 192.168.1.1
R1> enable 2
Password: level2
R1#
R1(config-if)#
Bước 2.2. Cấu hình cơ chế xác thực AAA để xác thực phiên kết nối Console trên Router R1.
aaa authentication login CONSOLE local enable
aaa authentication login VTY local enable
line vty 0 4
login authentication VTY
exit
line con 0
login authentication CONSOLE
exit
Bước 2.3. Cấu hình phân quyền Local bằng cơ chế AAA trên Router R1.
Cấu hình phân quyền trên R1 chỉ cho phép quản trị subadmin tiến hành telnet, đặt IP trên các cổng,
được quyền “shutdown” & “no shutdown” các interface và kiểm tra được cấu hình “running-config”.
- aaa authorization exec VTY local: Kích hoạt chức năng phân quyền local authorization trên R1.
- aaa authorization command 2 VTY local: Kích hoạt phân quyền cho level 2 bằng phương thức
local authorization trên R1.
Router# privilege exec
Router(config)# privilege configure
Router(config-if)# privilege interface
Phụ tá quản trị subadmin có thể đăng nhập vào thiết bị với level 15 để toàn quyền cấu hình thiết bị.
R1# show privilege
Current privilege level is 2
R1# enable
Password: cisco
R1# show privilege
Current privilege level is 15
R1#
Có thể phân quyền cho telnet user bằng cách thiết lập nhiều enable secret với các level khác nhau hoặc
nhúng trực tiếp level ở chế độ “line vty”.
enable secret level 2 level2
enable secret level 3 level3
enable secret level 15 cisco
line vty 0 4
privilege level 2
exit
Bước 2.4. Cấu hình dịch vụ Accounting bằng tính năng Log Config trên Router R1.
Cấu hình kiểm toán Accounting bằng tính năng Config Log Archive trên Router.
Tính năng Config Log Archive cho phép ghi chép lại tất cả các câu lệnh command mà user hoặc admin
thực hiện trên thiết bị.
Bật tính năng Config Log Archive trên Router.
archive
log config
logging enable
exit
exit
Để khảo sát tính năng Config Log Archive, subadmin telnet tới R1 và thực hiện các lệnh sau.
PC1> telnet 192.168.1.1
Trying 192.168.1.1 ... Open
User Access Verification
Username: subadmin
Password:
R1> enable 2
Password:
R1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# interface loopback 1
R1(config-if)# ip address 10.0.0.1 255.255.255.255
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# exit
R1# clock set 14:00:00 Nov 2 2016
^
% Invalid input detected at '^' marker.
R1#
hoặc
interface loopback 1
ip address 10.0.0.1 255.255.255.255
no shutdown
exit
exit
clock set 14:00:00 Nov 2 2016
Tiến hành console vào R1 để kiểm tra lịch sử các command đã thực hiện.
R1# show archive log config all
idx sess user@line Logged command
1 1 console@console | logging enable
2 1 console@console | exit
3 1 console@console | exit
4 0 subadmin@vty0 |!exec: enable failed
5 2 subadmin@vty0 |interface loopback 1
6 2 subadmin@vty0 | ip address 10.0.0.1 255.255.255.255
7 2 subadmin@vty0 | no shutdown
8 2 subadmin@vty0 | exit
R1#
Phần 6. Hướng dẫn cấu hình dịch vụ SSH Service trên Cisco Router.
o Kiểm tra RSA Public Key. Private Key được lưu tại NVRAM và được thiết file permission
nên không ai có thể xem được trên Router.
Sw1# show crypto key mypubkey rsa
% Key pair was generated at: 12:13:13 UTC Dec 2 2016
Key name: Sw1.cisco
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B2935D
86237675 9FBE357F 4659D187 28461F44 09AB55E4 A3ADD8B5 F8752A25 60FBEAF3
4AECDE46 43D4385D 4BA1C457 51F9AE77 9A6D9701 C29A828D 269D310E CC37C13D
6D474164 2FACC519 BD1CC190 48A1398A 271B996D 689657D7 44305012 6A02131E
16700532 85CD5DAD A5C7F097 31B3F291 7237B31A 0E26CD04 8EE8A8A7 D5020301 0001
% Key pair was generated at: 12:13:14 UTC Dec 2 2016
Key name: Sw1.cisco.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D97545 09C30F2D
4BE658E3 F52A01D0 CE77D889 4FE91B03 7AB036FB D497C488 103F4219 0ACAC21D
8F423870 1A53BBB4 7A46E9CA 6E92052B E415C8A9 FA19A2A2 F9EE9A78 83631340
54CF852E A9E335D3 0E527E0E D3E5A920 21F376E4 F7A127FF C7020301 0001
Sw1#
- ip ssh version 2: Thiết lập cho Sw1 sử dụng SSH version 2, SSHv2 sử dụng thuật toán mã hóa AES
mạnh hơn thuật toán mã hóa 3DES mà SSHv1 sử dụng. Kiểm tra SSH Version mà Sw1 đang hỗ
trợ.
o version 1.99: Thiết bị hỗ trợ cả SSHv1 và SSHv2, SSHv2 không có khả năng tương thích
ngược với SSHv1 vì chúng sử dụng thuật toán mã hóa khác nhau. Một thiết bị sử dụng
SSHv1 không thể SSH tới thiết bị chạy SSHv2 và ngược lại.
o version 2.0: Thiết bị chỉ hỗ trợ SSHv2.
o version 1.5: Thiết bị chỉ hỗ trợ SSHv1.
Sw1# show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
…
Sw1#
- username cisco password cisco: Thiết lập username và password được quyền SSH tới Sw1, có
thể khai báo nhiều cặp username & password.
- enable password cisco: Cho phép SSH User đăng nhập vào chế độ đặc quyền Privilege Exec
Mode bằng password là cisco.
- line vty 0 4: Cho phép tối đa 5 người đồng thời được phép telnet/SSH tới Sw1.
- transport input ssh: Kích hoạt SSH trên Sw1.
- login local: Cho phép Sw1 sử dụng local username & password khai báo tại Sw1 để xác thực
người dùng SSH tới thiết bị.
Sw1(config)# ip domain-name cisco
Sw1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: Sw1.cisco
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sw1(config)# ip ssh version 2
Sw1(config)# username cisco password cisco
Sw1(config)# enable password cisco
Sw1(config)# line vty 0 4
Sw1(config-line)# transport input ssh
Sw1(config-line)# login local
hoặc
ip domain-name cisco
crypto key generate rsa modulus 1024
ip ssh version 2
username cisco password cisco
enable password cisco
line vty 0 4
transport input ssh
login local
exit
Bước 2.2.3. Sử dụng chương trình SecureCRT để kết nối SSH tới Switch Sw1.
Tại PC sử dụng chương trình SecureCRT tiến hành SSH tới Sw1.
Khởi động chương trình SecureCRT bằng cách click vào icon của chương trình.
Khai báo địa chỉ IP của Sw1 và thông tin xác thực username là cisco rồi click vào nút Connect.
Bước 2.2.4. Kiểm tra phiên kết nối SSH tới Switch Sw1.
Kiểm tra thông tin địa chỉ IP của thiết bị SSH Client (PC1) đang tiến hành SSH tới Sw1.
- 192.168.1.3: Là IP của SSH Client (PC1).
- cisco: Là username hiện đang SSH tới Sw1.
- vty 0: PC1 là SSH Client đầu tiên SSH tới Sw1 nên phiên kết nối này được định danh là “vty 0”.
- con 0: Sw1 cũng đang được cấu hình thông qua giao tiếp console tương ứng với phiên “con 0”.
Sw1# show users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
1 vty 0 cisco idle 00:03:07 192.168.1.3
Interface User Mode Idle Peer Address
Sw1#
Tại Sw1, ngắt phiên SSH của PC1.
Sw1# clear line vty 0
[confirm] <enter>
[OK]
Sw1#
Kiểm tra thông tin cấu hình SSH hiện tại trên Sw1.
Sw1# show running-config | begin line vty
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
Sw1#
Tại R1, kiểm tra thông tin địa chỉ IP của thiết bị đang SSH tới.
R1# show users
Bước 2.3.2. Thay đổi Service Port của SSH trên R1.
Thay đổi Port dịch vụ SSH.
Để tăng mức độ bảo mật cho phiên SSH tới R1, ta có thể thay đổi đổi port dịch vụ của SSH. Sau khi cấu
hình SSH Server, R1 sẽ mở Port dịch vụ SSH là 22. Ta có thể thay đổi từ Port 22 thành Port 2009 tương
ứng với dịch vụ SSH Server để bảo mật hơn để chỉ những người biết được Port dịch vụ SSH là Port 2009
thì mới có thể SSH được tới R1.
Từ PC tiến hành SSH tới R1 thông qua Port mặc định là 22.
Trên R1, thay đổi Port SSH Service từ 22 thành Port 2009.
R1(config)# ip ssh port 2009 rotary 1
R1(config)# line vty 0 4
R1(config-line)# rotary 1
Lúc này tại PC, ta có thể SSH tới R1 thông qua Port 22 hoặc 2009. Để cấm các thiết bị SSH tới R1 thông
qua Port 22, ta cần triển khai thêm ACL.
line vty 0 4
access-class 100 in
exit
access-list 100 deny tcp any any eq 22
access-list 100 permit tcp any any eq 2009
Phần 7. Hướng dẫn lưu cấu hình và hệ điều hành IOS của Cisco Router lên TFTP Server.
Bước 2. Lưu cấu hình của Cisco Router lên TFTP Server.
Bước 2.1. Thiết lập TFTP Server trên máy tính sử dụng hệ điều hành Window.
Trên PC thực hiện cài đặt phần mềm tftpd32.exe để giả lập PC cài đặt hệ điều hành Window (XP hoặc
Win7) thành một TFTP Server. Phần mềm này có thể được download miễn phí từ link
http://tftpd32.jounin.net/. Hoặc có thể search google với từ khóa tftpd32 download.
Trên máy tính cài đặt hệ điều hành Window (XP hoặc Win7), mở chương trình tftpd32.exe (các máy tính
tại VnPro có sẵn chương trình này tại giao diện Desktop). Có thể tải phần mềm
Thiết lập IP cho PC (TFTP Server) trước khi mở chương trình tftpd32.exe.
Thiết lập các tham số cho chương trình tftpd32.exe như sau.
- Để khảo sát, ta nên chỉnh thư mục lưu trữ các file ra màn hình Desktop.
- Chương trình tftpd32.exe sử dụng chung IP với IP của PC nên chỉ việc lựa chọn IP phù hợp từ
danh sách đổ xuống.
Bước 2.2. Lưu cấu hình của Cisco Router vào bộ nhớ NVRAM.
Mọi câu lệnh mà người quản trị Administrator cấu hình trên thiết bị sẽ được lưu trực tiếp tại bộ nhớ
RAM của Router, nếu thiết bị mất điện đột ngột thì các cấu hình này sẽ mất, vì thế ta cần thực thao tác
lưu dự phòng file cấu hình từ bộ nhớ RAM sang bộ nhớ NVRAM của Router.
R1# copy running-config startup-config
Destination filename [startup-config]? <enter>
Building configuration...
[OK]
R1#
Nếu muốn kiểm tra thông tin cấu hình cụ thể trong file cấu hình, ta có thể thực hiện như sau.
R1# show startup-config | include hostname
hostname R1
R1#
R1#
Bước 2.3. Lưu cấu hình của Cisco Router vào bộ nhớ Flash.
Tiến hành lưu dự phòng cấu hình configuration file của R1 vào bộ nhớ Flash.
R1# copy running-config flash:
Destination filename [running-config]? R1(copy1).cfg <enter>
Tiến hành copy file cấu hình R1(copy1).cfg từ bộ nhớ Flash về bộ nhớ RAM của Router để áp dụng cấu
hình này. Ta sẽ thấy hostname của Router chuyển đổi từ Router thành R1.
Router# copy flash: running-config
Source filename []? R1(copy1).cfg
Destination filename [running-config]? <enter>
1548 bytes copied in 0.284 secs (5451 bytes/sec)
R1#
Ta cũng có thể lưu cấu hình startup-config vào bộ nhớ Flash như sau.
R1# copy startup-config flash:
Destination filename [startup-config]? R1(copy2).cfg <enter>
1548 bytes copied in 0.576 secs (2688 bytes/sec)
R1#
Muốn xóa một file bất kỳ trong bộ nhớ Flash, ta thực hiện như sau.
Bước 2.4. Lưu cấu hình của Cisco Router lên TFTP Server.
Tiến hành lưu dự phòng cấu hình configuration file của R1 lên TFTP Server.
Khởi động và thiết lập các tham số cho TFTP Server như sau.
Bước 2.5. Kiểm tra File cấu hình của Cisco Router trên TFTP Server.
Kiểm tra file cấu hình R1(copy1).cfg trên TFTP Server.
Ta có thể sử dụng chương trình WordPad để xem nội dung file cấu hình R1(copy1).cfg.
Nội dung file cấu hình R1(copy1).cfg mở bằng chương trình WordPad.
Bước 2.6. Lấy File cấu hình từ TFTP Server về Cisco Router.
Thay đổi hostname của thiết bị từ R1 thành Router.
R1(config)# hostname Router
Router(config)#
Để copy file cấu hình R1(copy1).cfg từ TFTP Server sang bộ nhớ RAM của thiết bị, ta thực hiện như sau,
ta thấy hostname của thiết bị thay đổi từ Router thành R1.
Router# copy tftp: running-config
Address or name of remote host []? 192.168.1.2 <enter>
Source filename []? R1(copy1).cfg <enter>
Destination filename [running-config]? <enter>
Accessing tftp://192.168.1.2/R1(copy1).cfg...
Loading R1(copy1).cfg from 192.168.1.2 (via FastEthernet0/0): !
[OK - 1548 bytes]
R1#
*Jun 29 02:23:33.791: %SYS-5-CONFIG_I: Configured from
tftp://192.168.1.2/R1(copy1).cfg by console
R1#
Bước 2.7. Lưu File cấu hình từ bộ nhớ NVRAM của Cisco Router lên TFTP Server.
Ta cũng có thể tiến hành lưu dự phòng file cấu hình startup-config tại bộ nhớ NVRAM lên TFTP Server.
R1# copy startup-config tftp:
Address or name of remote host []? 192.168.1.2 <enter>
Destination filename [r1-confg]? R1(copy2).cfg <enter>
!!
1548 bytes copied in 0.068 secs (22765 bytes/sec)
R1#
Bước 3. Lưu hệ điều hành IOS của Cisco Router lên TFTP Server.
Bước 3.1. Lưu IOS của Cisco Router lên TFTP Server.
Tiến hành lưu dự phòng hệ điều hành IOS của R1 lên TFTP Server.
Kiểm tra IOS hiện tại mà Router đang sử dụng.
R1# show version
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9_IVS-M), Version
15.1(4)M10, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Tue 24-Mar-15 08:59 by prod_rel_team
R1 uptime is 34 minutes
System returned to ROM by power-on
System image file is "flash:c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin"
Last reload type: Normal Reload
Kiểm tra hệ điều hành IOS của Router lưu tại bộ nhớ Flash.
R1# show flash: | include bin
1 68411544 Sep 17 2015 09:00:58 +00:00 c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin
R1#
Lưu dự phòng hệ điều hành IOS của Router lên TFTP Server.
R1# copy flash: tftp:
Source filename []? c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin <enter>
Address or name of remote host []? 192.168.1.2 <enter>
Destination filename [c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin]? <enter>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
68411544 bytes copied in 262.136 secs (260977 bytes/sec)
R1#
Đầu tiên cần làm là phải xác định file IOS trên TFTP Server bằng cách truy cập vào đường dẫn lưu file thể
hiện trên chương trình tftpd32.exe rồi copy tên của hệ điều hành IOS cần copy.
Để copy hệ điều hành IOS c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin trên TFTP Server về bộ nhớ
Flash của Router, ta thực hiện như sau.
R1# copy tftp: flash:
Address or name of remote host []? 192.168.1.2 <enter>
Source filename []? c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin <enter>
Destination filename [c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin]? <enter>
%Warning:There is a file already existing with this name
Do you want to over write? [confirm] <enter>
Accessing tftp://192.168.1.2/c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin...
Loading c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin from 192.168.1.2 (via
FastEthernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 68411544 bytes]
Quan sát tiến trình copy file IOS trên TFTP Server.
Phần 8. Hướng dẫn Crack mật khẩu Password trên Cisco Router.
Cấu hình enable password, console password ngẫu nhiên trên Router.
R1(config)# enable password oweur2w8er9q2oijdpsfjz
R1(config)# line console 0
R1(config-line)# password powieurqw;ldkjfasod
R1(config-line)# login
R1(config-line)# end
R1#
Tiến hành lưu cấu hình running-config tại bộ nhớ RAM sang bộ nhớ NVRAM.
R1# write memory
Building configuration...
[OK]
R1#
<enter>
User Access Verification
Password:
Password:
Password:
% Bad passwords
Lúc này, ta sẽ tiến hành crack mật khẩu bằng cách chỉnh giá trị thanh ghi config-register của Router từ
giá trị mặc định từ 0x2102 thành giá trị 0x2142. Giá trị 0x2142 sẽ khiến cho Router lờ đi file cấu hình
startup-config trong bộ nhớ NVRAM và khởi động với cấu hình trắng.
Để chỉnh giá trị thanh ghi config-register, ta cần truy cập vào chế độ rommon> bằng cách tắt nguồn
Router, chờ khỏang 15 giây rồi bật lại nguồn cho Router (không tắt bật nguồn thiết bị quá đột ngột để
tránh các sự cố về tụ điện và nguồn điện trên thiết bị).
Sau khi bật nguồn của Router lên, ta nhấn tổ hợp phím Ctrl + Break trong khoảng 30 giây đầu tiên kể từ
lúc bật nguồn thiết bị để vào được chế độ rommon>.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
rommon 1 >
Sau khi vào được chế độ rommon>, ta tiến hành đổi giá trị thanh ghi config-register của Router từ giá trị
mặc định 0x2102 thành 0x2142.
rommon 1 > confreg 0x2142
You must reset or power cycle for new config to take effect
rommon 2 >
Tiến hành khởi động lại Router bằng câu lệnh reset.
rommon 2 > reset
c2811 platform with 786432 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
Bước 2.2. Thay đổi các loại mật khẩu trên Cisco Router và khôi phục lại File cấu hình cũ.
Đăng nhập vào chế độ đặc quyền Privilege EXEC mode rồi kiểm tra cấu hình startup-config.
Router> enable
Router# show startup-config
Using 1624 out of 245752 bytes
!
! Last configuration change at 03:18:04 UTC Wed Jun 29 2016
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
! card type command needed for slot/vwic-slot 0/2
enable password oweur2w8er9q2oijdpsfjz
!
no aaa new-model
!
memory-size iomem 5
!
dot11 syslog
ip source-route
--More--
Kiểm tra enable password, console password trong file cấu hình startup-config của thiết bị.
Router# show startup-config | include enable password
enable password oweur2w8er9q2oijdpsfjz
Router#
Router#
Để hiệu chỉnh lại các loại password trên thiết bị, ta tiến hành copy file cấu hình startup-config sang bộ
nhớ RAM rồi tiến hành thiết lập các password enable, password console mới để đè chồng lên các
password cũ.
Router# copy startup-config running-config
Destination filename [running-config]? <enter>
1624 bytes copied in 0.356 secs (4562 bytes/sec)
R1#
Kiểm tra enable password, console password trong file cấu hình running-config của thiết bị.
R1#
Thiết lập các password enable, password console mới đè chồng lên các password cũ.
R1(config)# enable password cisco
Kiểm tra lại enable password, console password trong file cấu hình running-config của thiết bị.
R1# show running-config | include enable password
enable password cisco
R1#
R1#
Lưu lại cấu hình vừa thay đổi running-config vào bộ nhớ NVRAM.
R1# write memory
Building configuration...
[OK]
R1#
Kiểm tra lại enable password, console password trong file cấu hình startup-config của thiết bị.
R1# show startup-config | include enable password
enable password cisco
R1#
R1#
Bước 2.3. Hiệu chỉnh giá trị thanh ghi Config-Register trở về giá trị mặc định ban đầu.
Kiểm tra giá trị thanh ghi config-register hiện tại của thiết bị.
R1# show version | include register
Configuration register is 0x2142
R1#
Hiệu chỉnh giá trị thanh ghi config-register trở về giá trị mặc định 0x2102, lưu cấu hình rồi khởi động lại
Router để áp dụng giá trị thanh ghi config-register mới.
R1(config)# config-register 0x2102
R1(config)# end
R1#
[OK]
R1#
R1# reload
Phần 9. Khôi phục hệ điều hành cho Cisco Router ở chế độ ROMMON.
Hệ điều hành IOS của Router có thể bị xóa bằng cách sau.
R1# delete flash:c2800nm-advipservicesk9-mz.124-15.T1.bin
Delete filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]? <enter>
Delete flash:/c2800nm-advipservicesk9-mz.124-15.T1.bin? [confirm] <enter>
R1#
Hệ điều hành IOS trong bộ nhớ Flash đã bị xóa, thực hiện show flash: để xác nhận.
R1# show flash:
System flash directory:
File Length Name/status
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[255819 bytes used, 63760565 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)
R1#
Tiến hành khởi động lại, Router không tìm thấy hệ điều hành IOS trong bộ nhớ Flash: sẽ tự động tải Mini
IOS trong bộ nhớ ROM để sử dụng nên ta sẽ rơi vào chế độ rommon>.
R1# reload
Proceed with reload? [confirm] <enter>
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
Initializing memory for ECC
..
c2811 processor with 524288 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
Bước 2.2. Khôi phục hệ điều hành IOS của Cisco Router tại chế độ ROMMON.
Tại chế độ rommon> ta tiến hành khôi phục IOS cho Router bằng cách xây dựng một TFTP Server. Để giả
lập TFTP Server trên Cisco Packet Tracer, ta kéo icon tương ứng với Server ra giao diện làm việc
Workspace.
Click doub vào Server, chuyển sang Tab Services, chọn TFTP rồi click vào tùy chọn On để bật dịch vụ
TFTP Server.
Hiện nay, TFTP Server giả lập hiện có sẵn các file IOS như bên dưới.
Sử dụng cáp chéo Cross-Over để kết nối cổng đầu tiên của Router với TFTP Server, nếu Router có 2 cổng
f0/0 và f0/1 thì cổng đầu tiên là cổng f0/0, sau đó ta đặt IP cho Server địa chỉ IP 192.168.1.2/24.
Trên Router, thực hiện các lệnh sau để thiết lập các biến variance trên Router sử dụng ở chế độ
rommon>.
- Đối với dòng Router 2800, ta cần lấy chính xác hệ điều hành tương ứng với dòng Router 2800
như một trong số các hệ điều hành IOS bên dưới
o c2800nm-advipservicek9-mz.124-15.T1.bin
o c2800nm-advipservicek9-mz.151-4.M4.bin
o c2800nm-ipbase-mz.123-14.T7.bin
o c2800nm-ipbasek9-mz.124-8.bin
- Câu lệnh sync dùng để lưu các biến variance vừa cấu hình vào bộ nhớ NVRAM. Tuy nhiên, trên
Cisco Packet Trace không hỗ trợ câu lệnh sync nên không cần phải gõ câu lệnh này.
rommon 3 > IP_ADDRESS=192.168.1.1 <- Địa chỉ IP sử dụng cho router
rommon 4 > IP_SUBNET_MASK=255.255.255.0 <- Subnet mask của IP router
rommon 5 > DEFAULT_GATEWAY=192.168.1.2 <- Sử dụng địa chỉ của TFTP Server
rommon 6 > TFTP_SERVER=192.168.1.2 <- Địa chỉ của TFTP server
rommon 7 > TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin <- Tên file IOS
rommon 8 > sync
Ta có thể biên soạn trước các biến variance như bên dưới bằng chương trình Notepad hoặc WordPad
rồi sau đó dán vào giao diện cấu hình.
IP_ADDRESS=192.168.1.1
IP_SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY=192.168.1.2
TFTP_SERVER=192.168.1.2
TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin
sync
Nếu TFTP Server không kết nối vào cổng đầu tiên trên Router là cổng f0/0 mà kết nối vào cổng f0/1 của
Router thì chúng ta phải khai báo thêm biến FE_PORT như bên dưới.
rommon > FE_PORT=1
Thực hiện câu lệnh set để kiểm tra các biến cấu hình đã chính xác hay chưa.
rommon 9 > set
DEFAULT_GATEWAY=192.168.1.2
IP_ADDRESS=192.168.1.1
IP_SUBNET_MASK=255.255.255.0
PS1=rommon ! >
TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin
TFTP_SERVER=192.168.1.2
rommon 10 >
Nếu một biến nào đó thiết lập sai, ta có thể xóa biến rồi thiết lập lại giá trị của biến đó.
rommon 11 > unset DEFAULT_GATEWAY
Sau khi khai báo xong, thực hiện lệnh tftpdnld để bắt đầu tiến trình load IOS:
rommon 13 > tftpdnld
IP_ADDRESS: 192.168.1.1
IP_SUBNET_MASK: 255.255.255.0
DEFAULT_GATEWAY: 192.168.1.2
TFTP_SERVER: 192.168.1.2
TFTP_FILE: c2800nm-advipservicesk9-mz.124-15.T1.bin
TFTP_VERBOSE: Progress
TFTP_RETRY_COUNT: 18
TFTP_TIMEOUT: 7200
TFTP_CHECKSUM: Yes
TFTP_MACADDR: 00:1f:6c:6e:90:d0
FE_PORT: Fast Ethernet 0
FE_SPEED_MODE: Auto
rommon 14 >
Kiểm tra lại file IOS vừa tải về trong bộ nhớ Flash.
rommon 15 > dir flash:
File size Checksum File name
50938004 bytes (0x3094094) 0x439d c2800nm-advipservicesk9-mz.124-15.T1.bin
rommon 16 >
Sau khi load xong IOS, thực hiện khởi động lại Router để hoàn tất quá trình khôi phục IOS.
rommon 17 > reset
c2811 platform with 524288 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
Readonly ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0x310cb04
Self decompressing the image :
###############################################################################
######################################################################################
############################# [OK]
(…)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 06:21 by pt_rel_team
Phần 10. Hướng dẫn cấu hình định tuyến tĩnh Static Route trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Router R2.
o Bước 1.3. Cấu hình cơ bản trên Router R3.
- Bước 2. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến tĩnh Static Route đảm bảo các PC có thể giao tiếp được
với nhau.
o Bước 2.2. Cấu hình định tuyến tĩnh Static Route đảm bảo các Router có thể giao tiếp
được với nhau.
o Bước 2.3. Khảo sát cơ chế Proxy-ARP trên Cisco Router.
Chi tiết các bước thực hiện:
Bước 1. Cấu hình cơ bản trên các thiết bị.
Bước 1.1. Cấu hình cơ bản trên Router R1.
Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình telnet không password, cấu
hình cơ chế chống trôi dònh lệnh “logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no
ip domain-lookup”).
Cấu hình cơ bản trên R1.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
Bước 2.1. Cấu hình định tuyến tĩnh Static Route đảm bảo các PC có thể giao tiếp được với nhau.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo PC1 có thể ping được tới PC2.
Tại PC1 ping tới PC2 sẽ có IP Source là 192.168.1.2 và IP Destination là 192.168.3.2. Tiến trình ping phải
diễn ra thông qua 2 chiều:
- Gói tin ping khởi phát di chuyển từ PC1 tới PC2: PC1 > R1 > R2 > R3 > PC2
- Gói tin ping hồi đáp gửi từ PC2 về PC1: PC2 > R3 > R2 > R1 > PC1
Cấu hình định tuyến trên R1 & R2 như sau để gói tin ping khởi phát di chuyển từ PC1 tới PC2.
R1(config)# ip route 192.168.3.0 255.255.255.0 192.168.12.2
Cấu hình định tuyến trên R3 & R2 như sau để gói tin ping hồi đáp gửi từ PC2 tới PC1.
R3(config)# ip route 192.168.1.0 255.255.255.0 192.168.23.2
Trên R1, kiểm tra các route dạng static bằng câu lệnh sau. Chữ “S” được viết tắt từ “Static” cho biết
route này xuất hiện trong bảng định tuyến nhờ vào phương thức cấu hình “static route”.
R1# show ip route static
S 192.168.3.0/24 [1/0] via 192.168.12.2
R1#
Trên R2, kiểm tra các route dạng static bằng câu lệnh sau. Chữ “S” được viết tắt từ “Static” cho biết
route này xuất hiện trong bảng định tuyến nhờ vào phương thức cấu hình “static route”.
R2# show ip route static
S 192.168.3.0/24 [1/0] via 192.168.23.3
S 192.168.1.0/24 [1/0] via 192.168.12.1
R2#
Trên R3, kiểm tra các route dạng static bằng câu lệnh sau. Chữ “S” được viết tắt từ “Static” cho biết
route này xuất hiện trong bảng định tuyến nhờ vào phương thức cấu hình “static route”.
Đứng tại R3, để kiểm tra 2 lớp mạng 192.168.1.0/24 và 192.168.3.0/24 đã thông suốt hay chưa, ta có
thể ping với tham số source. Gói tin ping sẽ có IP Source là 192.168.3.1 và IP Destination là 192.168.1.2.
R3# ping 192.168.1.2 source 192.168.3.1
Từ PC1 tracert tới PC2 và ngược lại để biết được những chặng Router mà gói tin phải đi qua trước khi tới
được đích.
C:\PC1> tracert 192.168.3.2
Bước 2.2. Cấu hình định tuyến tĩnh Static Route đảm bảo các Router có thể giao tiếp được với nhau.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo R1 có thể ping được tới 192.168.23.3
của R3.
Từ R1 mà tiến hành ping tới 192.168.23.3 của R3 thì gói tin sẽ có IP Source là 192.168.12.1 và IP
Destination là 192.168.23.3. Tiến trình ping phải diễn ra thông qua 2 chiều:
- Gói tin ping khởi phát di chuyển từ R1 tới 192.168.23.3
- Gói tin ping hồi đáp gửi từ 192.168.23.3 về 192.168.12.1
Cấu hình định tuyến trên R1 như sau để gói tin ping khởi phát di chuyển từ PC1 tới 192.168.23.3.
R1(config)# ip route 192.168.23.0 255.255.255.0 192.168.12.2
Trên R1, kiểm tra các route dạng static bằng câu lệnh sau.
R1# show ip route static
S 192.168.3.0/24 [1/0] via 192.168.12.2
S 192.168.23.0/24 [1/0] via 192.168.12.2
R1#
Cấu hình định tuyến trên R3 như sau để gói tin ping hồi đáp gửi từ 192.168.23.3 về 192.168.12.1.
R3(config)# ip route 192.168.12.0 255.255.255.0 192.168.23.2
Trên R3, kiểm tra các route dạng static bằng câu lệnh sau.
Đứng tại R1, để kiểm tra 2 lớp mạng 192.168.12.0/24 và 192.168.23.0/24 đã thông suốt hay chưa, ta có
thể ping như sau. Gói tin ping sẽ có IP Source là 192.168.12.1 và IP Destination là 192.168.23.3.
R1# ping 192.168.23.3
Đứng tại R2, để kiểm tra 2 lớp mạng 192.168.12.0/24 và 192.168.23.0/24 đã thông suốt hay chưa, ta có
thể ping như sau. Gói tin ping sẽ có IP Source là 192.168.23.3 và IP Destination là 192.168.12.1.
R1# ping 192.168.12.1
Mọi gói tin gửi đến mạng 192.168.3.0/24 đều sẽ được gửi tới địa chỉ MAC của IP 192.168.12.2. Đứng tại
R1 ta có thể kiểm tra địa chỉ MAC tương ứng với 192.168.12.2 bằng câu lệnh sau.
R1# show arp
Tại R1, tiến hành hiệu chỉnh static route tới mạng 192.168.3.0/24 sử dụng “outbound interface” bằng
cấu hình sau.
R1(config)# no ip route 192.168.3.0 255.255.255.0 192.168.12.2
R1(config)# ip route 192.168.3.0 255.255.255.0 f0/1
Với cấu hình trên, mọi gói tin gửi tới mạng đích 192.168.3.0/24 thì R1 sẽ gửi đi qua cổng f0/1. Thông
thường, trước khi R1 gửi gói tin đi, nó sẽ phải bổ xung thêm thông tin địa chỉ Source MAC và Destination
MAC. Để khảo sát, từ R1 tiến hành ping tới địa chỉ 192.168.3.1 và 192.168.3.2. Để bổ xung thông tin địa
chỉ Destination MAC tương ứng với IP Destination 192.168.3.1 và 192.168.3.2, R1 sẽ tiến hành gửi gói tin
ARP Request dưới dạng broadcast hỏi thăm thông tin địa chỉ MAC tương ứng với IP Destination
192.168.3.1 và 192.168.3.2 là gì. R2 nhận được gói tin ARP Request từ R1 hỏi thăm thông tin địa chỉ MAC
của 192.168.3.1 và 192.168.3.2 sẽ hồi đáp về địa chỉ MAC tương ứng với 192.168.3.1 và 192.168.3.2 là
MAC cổng f0/0 của R2. Đây chính là cơ chế hoạt động Proxy ARP trên cổng f0/0 của R2 bởi vì
192.168.3.1 và 192.168.3.2 mặc dù không phải là địa chỉ IP của R2 nhưng R2 vẫn hồi đáp cho R1 thông
tin MAC cổng f0/0 của R2 tương ứng với IP 192.168.3.1 và 192.168.3.2.
R1# ping 192.168.3.1
R1# ping 192.168.3.2
Kiểm tra thông tin địa chỉ MAC của cổng f0/0 của R2, quan sát trường thông tin phía sau từ khóa “bia”
đó chính là địa chỉ MAC của f0/0 trên R2.
R2# show interface f0/0
Tại R1, kiểm tra bảng cache lưu trữ tạm thời thông tin ARP Table. Ta sẽ thấy MAC tương ứng với IP
Destination 192.168.3.1 và 192.168.3.2 là MAC của cổng f0/0 trên R2.
R1# show arp
Mặc định, cơ chế Proxy ARP được kích hoạt sẵn trên f0/0 của R2. Để tắt cơ chế Proxy ARP trên cổng f0/0
trên R2, ta cấu hình như sau.
R2(config)# interface f0/0
R2(config-if)# no ip proxy-arp
Lúc này, trên R1, với cấu hình định tuyến static route sử dụng outbound interface như bên dưới cũng
không thể khiến R1 và PC1 có thể ping được tới các IP thuộc lớp mạng 192.168.3.0/24.
R1(config)# ip route 192.168.3.0 255.255.255.0 f0/1
Để xóa thông tin bảng cache lưu trữ tạm thời thông tin arp trên R1, ta tiến hành shutdown cổng f0/1
trên R1.
R1(config)# interface f0/1
R1(config-if)# shutdown
R1(config-if)# no shutdown
Từ R1 ping thử tới 192.168.3.1 và 192.168.3.2 sẽ không còn được nữa vì cơ chế Proxy ARP trên f0/0 của
R2 đã tắt.
R1# ping 192.168.3.1
R1# ping 192.168.3.2
Phần 11. Hiệu chỉnh Administrative Distance trong Static Route để dự phòng kết nối.
192.168.12.0/24
F0/0 F0/0
Loopback 0 .1 .2 Loopback 0
192.168.1.1/24 R1 R2 192.168.2.1/24
F0/1 F0/1
192.168.21.0/24
interface Loopback0
ip address 192.168.1.1 255.255.255.0
exit
interface FastEthernet0/0
no shutdown
ip address 192.168.12.1 255.255.255.0
exit
interface FastEthernet0/1
no shutdown
ip address 192.168.21.1 255.255.255.0
exit
interface Loopback0
ip address 192.168.2.1 255.255.255.0
exit
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
exit
interface FastEthernet0/1
ip address 192.168.21.2 255.255.255.0
exit
Bước 2. Hiệu chỉnh AD trong Static Route trên Cisco Router để dự phòng kết nối.
Bước 2.1. Hiệu chỉnh AD cho các Static Route trên Router R1.
Từ R1 gửi dữ liệu tới mạng LAN của R2 đi qua hướng trên 192.168.12.0/24 là hướng chính, hướng dước
192.168.21.0/24 là hướng dự phòng.
Trên R1:
R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.12.2 5
R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.21.2 10
Bước 2.2. Hiệu chỉnh AD cho các Static Route trên Router R2.
Từ R2 gửi dữ liệu tới mạng LAN của R1 đi qua hướng trên 192.168.12.0/24 là hướng chính, hướng dước
192.168.21.0/24 là hướng dự phòng.
Trên R2:
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1 10
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.21.1 5
Bước 2.3. Khảo sát cơ chế dự phòng kết nối trên Router R1.
Kiểm tra bảng định tuyến của R1, lúc này bảng định tuyến chỉ hiển thị Route nào có AD thấp hơn mà
thôi.
R1#show ip route static
S 192.168.2.0/24 [5/0] via 192.168.12.2
Hiện tại, R1 đang thực hiện chọn đường đi đến subnet loopback 0 của R2 theo next – hop 192.168.12.2
(đường nối giữa hai cổng F0/0).
Shutdown cổng F0/0 của R1 để giả lập tình huống đứt đường chính.
R1(config)# interface f0/0
R1(config-if)# shutdown
R1(config-if)#
*Mar 1 00:06:48.623: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively
down
*Mar 1 00:06:49.623: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to down
Kiểm tra lại bảng định tuyến của R1 để xác nhận rằng lúc này R1 đã tự chuyển sang đi theo đường dự
phòng.
R1#show ip route static
S 192.168.2.0/24 [10/0] via 192.168.21.2
Thực hiện lệnh “no shutdown” trên cổng F0/0 của R1 để khôi phục lại đường chính.
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#
*Mar 1 00:09:50.395: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 1 00:09:51.395: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to up
Kiểm tra bảng định tuyến của R1 để xác nhận rằng R1 đã đi theo đường chính trở lại:
R1#show ip route static
S 192.168.2.0/24 [5/0] via 192.168.12.2
Thực hiện kiểm tra tương tự cho router R2 với static route đi đến subnet 192.168.1.0/24 của R1.
Phần 12. Hướng dẫn cấu hình kỹ thuật gom Route Summary trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Router R2.
o Bước 1.3. Cấu hình cơ bản trên Router R3.
- Bước 2. Cấu hình định tuyến sử dụng kỹ thuật Summary trên Cisco Router.
o Bước 2.1. Cấu hình kỹ thuật Summary trên Router R1.
o Bước 2.2. Cấu hình kỹ thuật Summary trên Router R2.
o Bước 2.3. Cấu hình kỹ thuật Summary trên Router R3.
Bước 2. Cấu hình định tuyến sử dụng kỹ thuật Summary trên Cisco Router.
Bước 2.1. Cấu hình kỹ thuật Summary trên Router R1.
Cấu hình định tuyến tại R1 trỏ tới mạng summary các cổng giao tiếp interface loopback của R2 và R3.
Các mạng từ 10.27.16.0/24 tới 10.27.23.0/24 trên R2 có thể summary thành mạng 10.27.16.0/21 nên tại
R1 có thể cấu hình “static route” sau.
R1#
ip route 10.27.16.0 255.255.248.0 172.16.1.2
Tại R1, kiểm tra kết quả quá trình định tuyến từ R1 tới các cổng loopback tại R2. R1 sẽ ping thành công
tới các IP trên interface loopback tại R2.
R1# ping 10.27.16.2
R1# ping 10.27.17.2
R1# ping 10.27.18.2
R1# ping 10.27.19.2
R1# ping 10.27.20.2
R1# ping 10.27.21.2
R1# ping 10.27.22.2
R1# ping 10.27.23.2
Các mạng loopback trên R3 10.27.128.0/21 … 10.27.184.0/21 có thể summary thành mạng
10.27.128.0/18 nên tại R1 có thể cấu hình “static route” sau.
R1#
ip route 10.27.128.0 255.255.192.0 172.16.1.3
Tại R1, kiểm tra kết quả quá trình định tuyến từ R1 tới các cổng loopback tại R3. R1 sẽ ping thành công
tới các IP trên interface loopback tại R3.
R1# ping 10.27.128.3
R1# ping 10.27.136.3
R1# ping 10.27.144.3
R1# ping 10.27.152.3
R1# ping 10.27.160.3
R1# ping 10.27.168.3
R1# ping 10.27.178.3
R1# ping 10.27.184.3
Tại R2, kiểm tra kết quả quá trình định tuyến từ R2 tới các cổng loopback tại R1. R2 sẽ ping thành công
tới các IP trên interface loopback tại R1.
R2# ping 10.27.0.1
R2# ping 10.27.1.1
R2# ping 10.27.2.1
R2# ping 10.27.3.1
Tại R2 khi ping tới các interface loopback của R1 sẽ có Source IP là 172.16.1.2, ta có thể thay thế Source
IP này thành IP tương ứng với các interface loopback trên R2.
R2# ping 10.27.0.1 source 10.27.16.2
R2# ping 10.27.1.1 source 10.27.17.2
R2# ping 10.27.2.1 source 10.27.18.2
R2# ping 10.27.3.1 source 10.27.19.2
Các mạng loopback trên R3 10.27.128.0/21 … 10.27.184.0/21 có thể summary thành mạng
10.27.128.0/18 nên tại R2 có thể cấu hình “static route” sau.
R2#
ip route 10.27.128.0 255.255.192.0 172.16.1.3
Tại R2, kiểm tra kết quả quá trình định tuyến từ R2 tới các cổng loopback tại R3. R2 sẽ ping thành công
tới các IP trên interface loopback tại R3.
R1# ping 10.27.128.3
R1# ping 10.27.136.3
R1# ping 10.27.144.3
R1# ping 10.27.152.3
R1# ping 10.27.160.3
R1# ping 10.27.168.3
R1# ping 10.27.178.3
R1# ping 10.27.184.3
Tại R3, kiểm tra kết quả quá trình định tuyến từ R3 tới các cổng loopback tại R1. R3 sẽ ping thành công
tới các IP trên interface loopback tại R1.
R3# ping 10.27.0.1
R3# ping 10.27.1.1
R3# ping 10.27.2.1
R3# ping 10.27.3.1
Tại R3 khi ping tới các interface loopback của R1 sẽ có Source IP là 172.16.1.3, ta có thể thay thế Source
IP này thành IP tương ứng với các interface loopback trên R3.
R3# ping 10.27.0.1 source 10.27.128.3
R3# ping 10.27.1.1 source 10.27.136.3
R3# ping 10.27.2.1 source 10.27.144.3
R3# ping 10.27.3.1 source 10.27.152.3
Các mạng từ 10.27.16.0/24 tới 10.27.23.0/24 trên R2 có thể summary thành mạng 10.27.16.0/21 nên tại
R3 có thể cấu hình “static route” sau.
R3#
ip route 10.27.16.0 255.255.248.0 172.16.1.2
Tại R3, kiểm tra kết quả quá trình định tuyến từ R3 tới các cổng loopback tại R2. R3 sẽ ping thành công
tới các IP trên interface loopback tại R2.
R3# ping 10.27.16.2
R3# ping 10.27.17.2
R3# ping 10.27.18.2
R3# ping 10.27.19.2
R3# ping 10.27.20.2
R3# ping 10.27.21.2
R3# ping 10.27.22.2
R3# ping 10.27.23.2
Tại R3 khi ping tới các interface loopback của R2 sẽ có Source IP là 172.16.1.3, ta có thể thay thế Source
IP này thành IP tương ứng với các interface loopback trên R3.
R3# ping 10.27.16.2 source 10.27.128.3
R3# ping 10.27.17.2 source 10.27.136.3
R3# ping 10.27.18.2 source 10.27.144.3
R3# ping 10.27.19.2 source 10.27.152.3
R3# ping 10.27.20.2 source 10.27.160.3
R3# ping 10.27.21.2 source 10.27.168.3
R3# ping 10.27.22.2 source 10.27.176.3
R3# ping 10.27.23.2 source 10.27.184.3
Phần 13. Khảo sát cơ chế chuyển mạch Switch trên Cisco Switch và giao thức phân giải địa chỉ ARP.
Ý nghĩa của câu lệnh “exec-timeout 0 0”: Khi đang cấu hình tại giao diện console (Hyperterminal, Putty
hoặc SecureCRT), nếu sau một khoảng thời gian nhất định mà người quản trị không gõ lệnh nào cũng
như không thực hiện bất kỳ thao tác nào thì phiên truy cập console sẽ tự động bị “logout”, người quản
trị sẽ phải đăng nhập lại để tiến hành cấu hình. Câu lệnh “exec-timeout 0 0” dùng để tắt cơ chế tự động
“logout”.
Mặc định các Cisco Switch sử dụng giao thức STP (PVST+), để tăng thời gian hội tụ của hệ thống mạng, ta
có thể chỉnh giao thức RSTP (PVRST+) trên các Switch bằng câu lệnh “spanning-tree mode rapid-pvst”.
RSTP sẽ được tìm hiểu trong những bài học sau.
Trong bài LAB này, ta nên tiến hành cấu hình tính năng “spanning-tree portfast” cho các Port từ f0/1 tới
f0/24 của Sw1.
Câu lệnh “spanning-tree portfast” dùng để tăng thời gian hội tụ của hệ thống lên. Thông thường, khi PC
kết nối vào một port của Switch, đèn tín hiệu trên port lập tức chuyển thành màu cam. Port sẽ ở trạng
thái màu cam trong vòng khoảng 30 giây để tính toán chống “loop” bằng giao thức STP trước khi chuyển
sang màu xanh lá. Trong suốt khoảng thời gian 30 giây ở trạng thái màu cam, port không thể gửi hoặc
nhận dữ liệu được nên người dùng PC cần phải đợi ít nhất là 30 giây thì mới bắt đầu truy cập vào hệ
thống mạng được. Câu lệnh “spanning-tree portfast” sau khi được cấu hình trên cổng sẽ bỏ qua 30 giây
ở trạng thái màu cam và lập tức chuyển sang màu xanh lá nên người dùng mạng user có thể gửi nhận dữ
liệu liền mà không cần phải chờ đợi. Tính năng “spanning-tree portfast” chỉ nên cấu hình trên các port
đấu nối xuống PC, không nên cấu hình tính năng “spanning-tree portfast” trên các port đóng vai trò là
đường trunk. Công nghệ Trunk, STP sẽ được tìm hiểu trong những bài học sau.
Sw1(config)# interface range f0/1 - 24
Sw1(config-if-range)# switchport mode access
Sw1(config-if-range)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
Thông thường, muốn telnet vào Switch, ta cần phải đặt IP cho Switch trước khi các PC có thể telnet tới,
nên ta cần tiến hành đặt IP cho Sw1. Tuy nhiên, ta không thể cấu hình IP trên các cổng của Switch được.
Câu lệnh “ip address” không thể thực hiện được ở chế độ cổng f0/1.
Sw1(config)# interface f0/1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
^
% Invalid input detected at '^' marker.
Sw1(config-if)#
Ta sẽ gán IP 192.168.1.2 cho Sw1 trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết
nối tới Sw1 đều có thể ping được tới IP 192.168.1.2 của Sw1. Và tại Sw1, cũng có thể ping được tới các
IP của PC hoặc Router đang kết nối tới Sw1.
Sw1(config)# interface vlan 1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
Sw1(config-if)# end
Sw1#
Nếu chỉ muốn liệt kê các cổng giao tiếp interface ở trạng thái “up” mà thôi thì ta có thể thực hiện câu
lệnh như sau.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw1#
Ta cũng có thể kiểm tra trạng thái các cổng giao tiếp f0/1 và f0/2 thông qua câu lệnh “show interfaces
status”. Cột “Status” báo “connected” cho thấy các thiết bị đã đấu nối thành công và chính xác theo sơ
đồ. Ở cột “Duplex” ta thấy trạng thái là “a-full” tức là port đang hoạt động ở trạng thái full duplex”, chữ
“a” viết tắt từ “auto” tức là switch thương lượng với các thiết bị khác hoạt động ở chế độ duplex.
Sw1# show interfaces status
Tại Sw1, kiểm tra bảng địa chỉ MAC Address. Các địa chỉ MAC học được thông qua Ports là CPU là các địa
chỉ MAC sử dụng cho các giao thức quản lý mạng như CDP, VTP, STP, UDLD, DTP, … mà Switch hiện đang
hỗ trợ. Hiện nay, ta không cần quan tâm đến các loại địa chỉ MAC này.
Sw1# show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0180.c200.0000 STATIC CPU
All 0180.c200.0001 STATIC CPU
All 0180.c200.0002 STATIC CPU
All 0180.c200.0003 STATIC CPU
All 0180.c200.0004 STATIC CPU
All 0180.c200.0005 STATIC CPU
All 0180.c200.0006 STATIC CPU
All 0180.c200.0007 STATIC CPU
All 0180.c200.0008 STATIC CPU
All 0180.c200.0009 STATIC CPU
All 0180.c200.000a STATIC CPU
All 0180.c200.000b STATIC CPU
All 0180.c200.000c STATIC CPU
All 0180.c200.000d STATIC CPU
All 0180.c200.000e STATIC CPU
All 0180.c200.000f STATIC CPU
All 0180.c200.0010 STATIC CPU
All ffff.ffff.ffff STATIC CPU
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0022.90af.c868 DYNAMIC Fa0/1
Total Mac Addresses for this criterion: 22
Sw1#
Để kiểm tra các địa chỉ MAC mà Switch học được từ PC1 và R1 một cách ngắn gọn, ta có thể thực hiện
câu lệnh sau.
Sw1# show mac address-table | include DYNAMIC
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0022.90af.c868 DYNAMIC Fa0/1
Sw1#
PC1 đang đấu nối trực tiếp tới cổng f0/2 của Sw1, nên Sw1 sẽ học được địa chỉ MAC 0000.aaaa.0001
tương ứng với f0/2 là MAC của PC1.
Sw1# show mac address-table | include DYNAMIC
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0022.90af.c868 DYNAMIC Fa0/1
Sw1#
Tại PC1, xác định địa chỉ MAC của PC bằng câu lệnh sau.
C:\PC1> ipconfig /all
C:\PC1>
Cổng giao tiếp f0/0 của R1 đang đấu nối trực tiếp tới f0/1 của Sw1, nên Sw1 sẽ học được địa chỉ MAC
0022.90af.c868 tương ứng với f0/1 là MAC của f0/0 trên R1.
Sw1# show mac address-table | include DYNAMIC
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0022.90af.c868 DYNAMIC Fa0/1
Sw1#
Tại R1, xác định địa chỉ MAC của f0/0 bằng câu lệnh sau.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0022.90af.c868 (bia 0022.90af.c868)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
357 packets input, 53556 bytes
Received 127 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
247 packets output, 21766 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
2 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
R1#
Ta có thể tinh chỉnh địa chỉ MAC trên cổng f0/0 của R1 bằng câu lệnh sau.
R1#
R1(config)# interface f0/0
R1(config-if)# mac-address 0000.aaaa.1111
Tại R1, xác định địa chỉ MAC của f0/0 bằng câu lệnh sau. Ta thấy địa chỉ MAC được tinh chỉnh thành
0000.aaaa.1111 nhưng thông tin địa chỉ MAC nguyên thủy (BIA – Burn In Address) vẫn là
0022.90af.c868. Nhưng khi R1 gửi dữ liệu đi, nó sẽ sử dụng địa chỉ MAC là 0000.aaaa.1111. Ta có thể xác
nhận thông tin này thông qua phần khảo sát cơ chế hoạt động của ARP theo hướng dẫn bên dưới.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0000.aaaa.1111 (bia 0022.90af.c868)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
580 packets input, 70653 bytes
Received 135 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
410 packets output, 34866 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
3 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
R1#
Kiểm tra lại bảng địa chỉ MAC Table trên Sw1. Cổng f0/0 trên R1 định kỳ gửi gói tin CDP 60 giây một lần
với địa chỉ Source MAC là MAC của cổng f0/0 trên R1 nên Sw1 sẽ nhanh chóng cập nhật được MAC
tương ứng với f0/1 của Sw1 là 0000.aaaa.1111. CDP sẽ được tìm hiểu trong những bài học sau của
chương trình CCNA Routing & Switching.
Sw1# show mac address-table | include DYNAMIC
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0000.aaaa.1111 DYNAMIC Fa0/1
Sw1#
Bước 2.2. Cấu hình thủ công các dòng Entry trong bảng chuyển mạch MAC Address-Table trên Cisco
Switch.
Để xây dựng một số dòng entry trong bảng MAC Table một cách thủ công, ta có thể thực hiện câu lệnh
sau.
Sw1(config)# mac-address-table static 0000.aaaa.1111 vlan 1 interface f0/1
Kiểm tra lại bảng địa chỉ MAC Table trên Sw1.
Sw1# show mac address-table | exclude CPU
Mac Address Table
-------------------------------------------
Dòng entry thuộc Type STATIC sẽ được lưu vĩnh viễn trong bảng MAC Table, nhưng các dòng entry thuộc
loại Type DYNAMIC chỉ được lưu trữ trong bảng MAC Table trong khoảng thời gian (aging-time) giới hạn,
trên Cisco Switch có “aging-time” mặc định là 5 phút (300 giây).
Sw1# show mac-address-table aging-time
Global Aging Time: 300
Vlan Aging Time
---- ----------
Sw1#
Bước 2.3. Hiệu chỉnh khoản thời gian Aging-Time lưu thông tin địa chỉ MAC trong bảng MAC Address-
Table trên Cisco Switch.
Để hiệu chỉnh “aging-time” còn 10 giây, ta có thể thực hiện câu lệnh sau.
Sw1(config)# mac address-table aging-time ?
<0-0> Enter 0 to disable aging
<10-1000000> Aging time in seconds
Hiệu chỉnh “aging-time” cho VLAN 1 còn 20 giây. Công nghệ VLAN sẽ được tìm hiểu trong những bài học
sau.
Sw1(config)# mac address-table aging-time 20 vlan 1
Bước 2.4. Xóa các dòng Entry trong bảng chuyển mạch MAC Address-Table trên Cisco Switch.
Nếu muốn xóa các dòng entry thuộc loại Type DYNAMIC ngay lập tức, ta có thể thực hiện câu lệnh sau.
Sw1# show mac address-table | exclude CPU
Mac Address Table
-------------------------------------------
Bước 3. Khảo sát bảng ARP Cache trên các thiết bị.
Bước 3.1. Khảo sát bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.
Trên Sw1, thực hiện “shutdown” cổng giao tiếp f0/2, cổng f0/2 trên Sw1 hiện đang kết nối xuống PC1.
Sw1(config)# interface f0/2
Sw1(config-if)# shutdown
Sw1(config-if)# exit
Sw1(config)#
C:\PC1>
Trên Sw1, thực hiện “no shutdown” cổng giao tiếp f0/2, cổng f0/2 trên Sw1 hiện đang kết nối xuống
PC1.
Sw1(config)# interface f0/2
Sw1(config-if)# no shutdown
Sw1(config-if)# exit
Sw1(config)#
Tại PC1 ta thực hiện câu lệnh ping tới địa chỉ IP 192.168.1.1 của R1.
C:\PC1> ping 192.168.1.1
C:\PC1>
Để kiểm tra địa chỉ IP và MAC của cổng f0/0 trên R1, ta thực hiện câu lệnh sau.
R1# show interface f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0000.aaaa.1111 (bia 0022.90af.c868)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 2 packets/sec
5 minute output rate 2000 bits/sec, 2 packets/sec
1187 packets input, 129880 bytes
Received 329 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
773 packets output, 71361 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
3 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
R1#
Tại PC1, ta tiếp tục ping tới địa chỉ IP của Sw1 (interface vlan 1). Ta thấy gói tin “ping” đầu tiên bị mất là
do PC1 đang thực hiện tiến trình phân giải ARP địa chỉ IP 192.168.1.2 thành địa chỉ MAC tương ứng. Sau
khi phân giải ARP, PC đã cache (lưu trữ lại) thông tin vào bộ nhớ RAM để lần sau không còn phải thực
hiện phân giải ARP nữa.
C:\PC1> ping 192.168.1.2
Kiểm tra lại bảng ARP Cache trên PC1. Ta thấy, địa chỉ IP 192.168.1.2 đã được phân giải thành địa chỉ
MAC 00-21-a0-67-3e-c0.
C:\PC1> arp –a
C:\PC1>
Bước 3.2. Khảo sát bảng ARP Cache trên Cisco Switch.
Để kiểm tra địa chỉ IP và MAC của cổng ảo “interface vlan 1” trên Sw1, ta thực hiện câu lệnh sau.
Sw1# show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0021.a067.3ec0 (bia 0021.a067.3ec0)
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive not supported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:02:40, output 00:03:14, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
550 packets input, 60476 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
269 packets output, 36806 bytes, 0 underruns
0 output errors, 1 interface resets
0 output buffer failures, 0 output buffers swapped out
Sw1#
Tại R1, khảo sát bảng ARP cache bằng câu lệnh sau.
R1# show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - 0000.aaaa.1111 ARPA FastEthernet0/0
Internet 192.168.1.2 12 0021.a067.3ec0 ARPA FastEthernet0/0
Internet 192.168.1.3 4 0000.aaaa.0001 ARPA FastEthernet0/0
R1#
Bước 3.3. Xóa bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.
Để xóa bảng ARP Cache trên PC1, ta có thể thực hiện câu lệnh sau (phải chạy chương trình “cmd” với
đặc quyền Administrator thì mới thực hiện được câu lệnh).
C:\PC1> arp –a
C:\PC1> arp -a
No ARP Entries Found.
C:\PC1>
Hoặc cũng có thể xóa bảng ARP Cache trên PC1 bằng câu lệnh “arp –d *”.
C:\PC1> arp –a
C:\PC1> arp -d *
C:\PC1> arp -a
No ARP Entries Found.
C:\PC1>
Tại PC1, thực hiện ping tới địa chỉ IP 192.168.1.1 của R1 rồi kiểm tra lại bảng ARP cache.
C:\PC1> ping 192.168.1.1
C:\PC1> arp -a
C:\PC1>
Ta có thể chủ động xóa một dòng entry cụ thể trong bảng ARP cache bằng câu lệnh “arp –d”.
C:\PC1> arp -a
C:\PC1>
Các dòng entry trong bảng ARP Cache chỉ được lưu trữ trong khoảng thời gian từ 2-20 phút tùy thuộc
vào hệ thống.
- Windows 2003 Server = 10 minutes
- Windows 2000 professional/Server = 10 minutes
- Windows XP = 2 minutes
- Solaris = 5 minutes
Ta cũng có thể thiết lập các dòng entry tĩnh trong bảng ARP cache trên PC sử dụng hệ điều hành
Window XP như sau. Tuy nhiên, việc thiết lập các dòng entry trong bảng ARP cache một cách thủ công
(static cache) có mặt hạn chế là khi địa chỉ IP của các thiết bị trong mạng thay đổi hoặc PC thay đổi Card
mạng dẫn đến địa chỉ MAC thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache. Hơn nữa nếu PC tắt
nguồn hoặc rút ra khỏi hệ thống thì việc lưu trữ các “static cache” sẽ tiêu tốn tài nguyên trên thiết bị nên
thông thường các dòng entry trong bảng ARP Table được lưu giữ trong một khoảng thời gian giới hạn
vẫn là tốt nhất.
C:\PC1> arp –s 192.168.1.1 00-00-aa-aa-11-11
C:\PC1> arp –a
No ARP Entries Found.
C:\PC1> netsh
netsh> set neighbors 192.168.1.1 00-00-aa-aa-11-11
Phần 14. Hướng dẫn cấu hình VLAN, Trunk, VTP trên Cisco Switch và định tuyến giữa các VLAN trên
Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Switch Client.
o Bước 1.3. Cấu hình cơ bản trên Switch Server.
o Bước 1.4. Cấu hình cơ bản trên Switch Transparent.
- Bước 2. Cấu hình công nghệ Trunk trên Cisco Switch.
o Bước 2.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
o Bước 2.2. Cấu hình công nghệ Trunk trên các Switch.
o Bước 2.3. Kiểm tra kết nối Trunk trên các Switch.
o Bước 2.4. Khắc phục sự cố liên quan đến kết nối Trunk trên Cisco Switch.
- Bước 3. Cấu hình công nghệ VTP cho phép lan truyền thông tin VLAN giữa các Cisco Switch.
o Bước 3.1. Cấu hình VTP trên Switch Client.
o Bước 3.2. Cấu hình VTP trên Switch Server.
o Bước 3.3. Cấu hình VTP trên Switch Transparent.
- Bước 4. Khởi tạo các VLAN trên Cisco Switch.
o Bước 4.1. Tạo các VLAN trên Switch Server.
o Bước 4.2. Khảo sát quá trình lan truyền VLAN bằng giao thức VTP trên Switch Client.
o Bước 4.2. Tạo các VLAN trên Switch Transparent.
- Bước 5. Cấu hình định tuyến giữa các VLAN trên Cisco Router.
o Bước 5.1. Khởi tạo các Sub-Interface trên Router R1.
o Bước 5.2. Kiểm tra kết nối giữa các VLAN.
Thiết lập kết nối trunking sử dụng kiểu đóng gói dot1q giữa các Switch.
Cấu hình trunk giữa Switch Layer 2 và Switch Layer 3 có sự khác biệt, trước khi cấu hình đường trunk, ta
cần xác định đây là Switch Layer 2 hay là Switch Layer 3 bằng câu lệnh “show version”.
Để phân biệt Switch Layer 2 và Switch Layer 3, ta dựa vào dòng sản phẩm. Một số dòng Switch Layer 2
bao gồm 2950, 2960, …; còn một số dòng Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
Cấu hình trunk trên Switch Layer 2. Mặc định, Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta
không cần khai báo kiểu đóng gói trunk.
interface f0/1
switchport mode trunk
exit
Cấu hình trunk trên Switch Layer 3. Trên Switch Layer hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần
phải khai báo kiểu đóng gói đường trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
Bước 2.2. Cấu hình công nghệ Trunk trên các Switch.
Bước 2.3. Kiểm tra kết nối Trunk trên các Switch.
Bước 2.4. Khắc phục sự cố liên quan đến kết nối Trunk trên Cisco Switch.
Nếu “show interface trunk” mà không thấy hiển thị gì thì ta sẽ thử kiểm tra trạng thái vật lý của cổng đã
up hay chưa.
Client# show interfaces trunk
Client#
Nếu trạng thái f0/1 là connected thì xem như trạng thái vật lý của cổng giao tiếp đã đảm bảo.
Client# show interface f0/1 status
Nếu trạng thái f0/1 là disabled thì cổng giao tiếp đang ở trạng thái “shutdown”, ta cần vào vào cổng và
thực hiện câu lệnh “no shutdown”.
Client# show interface f0/1 status
Nếu trạng thái f0/1 là notconnect thì cổng giao tiếp chưa được cắm cáp hoặc bị lỏng cáp, ta cần kiểm tra
lại việc đấu nối cáp giữa các thiết bị rồi sau đó kiểm tra lại kết nối trunk.
Client# show interface f0/1 status
Bước 3. Cấu hình công nghệ VTP cho phép lan truyền thông tin VLAN giữa các Cisco Switch.
Bước 3.1. Cấu hình VTP trên Switch Client.
Thiết lập VTP domain trên các Switch là cisco.com sử dụng VTP version 1, VTP password cisco, thiết lập
các Switch với VTP mode như sau
- Switch Client hoạt động ở VTP mode Client.
- Switch Server hoạt động ở VTP mode Server.
- Switch Transparent hoạt động ở VTP mode Transparent.
Cấu hình VTP trên Switch Client.
vtp domain cisco.com
vtp password cisco
vtp version 1
vtp mode client
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
Configuration Revision : 0
MD5 digest : 0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
Client# show vtp password
VTP Password: cisco
Client#
Feature VLAN:
--------------
VTP Operating Mode :
Server
Maximum VLANs supported locally 1005 :
Number of existing VLANs 8 :
Configuration Revision 0 :
MD5 digest :
0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
*** MD5 digest checksum mismatch on trunk: Fa0/3 ***
Server# show vtp password
VTP Password: cisco
Server#
Feature VLAN:
--------------
VTP Operating Mode : Transparent
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
Configuration Revision : 0
MD5 digest : 0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
Transparent# show vtp password
VTP Password: cisco
Transparent#
VTP version 2 hỗ trợ công nghệ token ring và token bus, nên hệ thống nào không sử dụng tới 2 công
nghệ này thì chỉ cần sử dụng vtp version 1 là đủ. Tuy nhiên, vtp version 2 lại không có khả năng tương
thích ngược với vtp version 1 nên ta cần đảm bảo vtp version phải đồng nhất giữa các Switch.
Trên Switch Server, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat” rồi gán các Port vào VLAN tương ứng như sơ đồ.
Kiểm tra một port cụ thể đang thuộc thành viên của VLAN nào.
- Inactive: Port f0/3 đang thuộc thành viên của VLAN 10 nhưng port vẫn chưa thể gửi và nhận
được dữ liệu từ người dùng.
Client# show interface f0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (Inactive)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
…
Client#
Trên Switch Server, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat”.
Server(config)# vlan 10
Server(config-vlan)# name PhongKinhDoanh
Server(config-vlan)# exit
Server(config)# vlan 20
Server(config-vlan)# name PhongKyThuat
Server(config-vlan)# exit
Server(config)#
Trên Switch Server, kiểm tra thông tin các VLAN hiện có.
Server# show vlan brief
Feature VLAN:
--------------
VTP Operating Mode :
Server
Maximum VLANs supported locally 1005 :
Number of existing VLANs 10 :
Configuration Revision 2 :
MD5 digest :
0x08 0xEF 0xC1 0x17 0x44 0x5B 0xAE 0xCD
0x01 0xD4 0x73 0x1E 0xD0 0x80 0xAE 0x6A
*** MD5 digest checksum mismatch on trunk: Fa0/3 ***
Server#
Trên Switch Client, kiểm tra Switch đã học được thông tin VLAN 10 và VLAN 20 hay chưa.
Client# show vlan brief
Trên Switch Client, kiểm tra thông tin Revision Number xem đã đồng bộ hóa với Switch Server hay chưa.
- Configuration Revision: Số Revision Number hiện tại trên Switch Client là 2, giống với số
Revision Number trên Switch Server; vậy thông tin VLAN trên Switch Client coi như đã đồng
bộ hóa với Switch Server.
Client# show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : cisco.com
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b35.7900
Configuration last modified by 192.168.1.2 at 3-1-93 01:48:26
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 1005
Number of existing VLANs : 10
Configuration Revision : 2
MD5 digest : 0x08 0xEF 0xC1 0x17 0x44 0x5B 0xAE 0xCD
0x01 0xD4 0x73 0x1E 0xD0 0x80 0xAE 0x6A
Client#
Trên Switch Transparent, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat”, gán các Port vào VLAN tương ứng như sơ đồ.
Transparent(config)# vlan 10
Transparent(config-vlan)# name PhongKinhDoanh
Transparent(config-vlan)# exit
Transparent(config)# vlan 20
Transparent(config-vlan)# name PhongKyThuat
Transparent(config-vlan)# end
Transparent#
Trên Switch Transparent, gán các port f0/2 và f0/3 vào VLAN 10, gán các port từ f0/5 tới f0/12 vào VLAN
20.
interface range f0/2 , f0/3
switchport mode access
switchport access vlan 10
spanning-tree portfast
exit
Lúc này, các PC thuộc VLAN 10 (PC1 và PC2) đã có thể ping được thấy nhau.
Bước 5. Cấu hình định tuyến giữa các VLAN trên Cisco Router.
Bước 5.1. Khởi tạo các Sub-Interface trên Router R1.
Tạo các sub-interface trên R1 và liên kết các sub-interface này vào VLAN tương ứng sao cho các PC có
thể giao tiếp được với nhau. Các sub-interface sẽ được liên kết với các VLAN tương ứng như sau:
- Sub-interface f0/0.1 liên kết với VLAN 1
- Sub-interface f0/0.10 liên kết với VLAN 10
- Sub-interface f0/0.20 liên kết với VLAN 20
hostname R1
interface f0/0
no shutdown
exit
interface f0/0.1
encapsulation dot1q 1 native
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface f0/0.20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit
Lúc này từ R1 có thể ping thành công tới Switch và các PC.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Các PC thuộc VLAN 20 cũng có thể ping được tới các PC thuộc VLAN. Tại PC3 thuộc VLAN 20, ta có thể
ping thành công tới PC1 và PC2 thuộc VLAN 10.
C:\PC3> ping 192.168.10.2
C:\PC3> ping 192.168.10.3
Phần 15. Hướng dẫn cấu hình dịch vụ DHCP Server & Relay trên Cisco Router.
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên các thiết bị Cisco Router.
Cấu hình định tuyến và kiểm tra bảng định tuyến trên R1.
ip route 192.168.1.0 255.255.255.0 192.168.12.2
Cấu hình định tuyến và kiểm tra bảng định tuyến trên R2.
ip route 172.16.1.0 255.255.255.192 192.168.12.1
Kiểm tra các mạng 192.168.1.0/24 và 172.16.1.0/26 đã thông suốt với nhau hay chưa.
R1# ping 192.168.1.1 source 172.16.1.1
Bước 3.2. Kiểm tra kết quả xin địa chỉ IP từ DHCP Server trên máy tính sử dụng hệ điều hành Window.
Kiểm tra quá trình xin địa chỉ IP trên PC1 (hoặc PC2) thông qua chương trình “cmd”. Để mở chương trình
“cmd”, nhấn tổ hợp phím Window + R rồi gõ tiếp command line “cmd” rồi click “OK”.
Kích hoạt quá trình xin địa chỉ IP trên PC1 (hoặc PC2).
- PC sẽ gửi gói tin xin IP là DHCP Discovery > DHCP Request.
C:\PC1>
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác.
C:\PC1> ping 192.168.1.1
C:\PC1> ping 192.168.1.2
C:\PC1> ping 172.16.1.1
C:\PC1>
C:\PC1>
Trên PC có nhiều Card mạng, ta có thể thực hiện câu lệnh “ipconfig /release” và “ipconfig /renew” và
thêm vào tên của Card mạng muốn thực thi tác vụ.
Bước 3.3. Kiểm tra danh sách các địa chỉ IP đã cấp phát cho các thiết bị đầu cuối trên DHCP Server tại
Router R2.
Kiểm tra các địa chỉ IP đã cấp phát trên R2 (DHCP Server).
R2# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.1.3 0100.00aa.aa00.03 Mar 18 2016 02:11 AM Automatic
R2#
Bước 3.4. Cấu hình dịch vụ DHCP Static IP Allocation trên Router R2.
Cấu hình DHCP Server trên R2 cấp IP cố định xuống cho Server A luôn luôn là IP 192.168.1.99/24 tương
ứng với địa chỉ MAC của Server A.
Bật lại chức năng DHCP Server trên R2.
R2(config)# service dhcp
C:\ServerA>
C:\ServerA>
C:\ServerA>
Cấu hình DHCP Server trên R2 cấp IP cố định xuống cho Server A luôn luôn là IP 192.168.1.99/24 tương
ứng với địa chỉ MAC của Server A.
- Chỉ số “01”: dùng định danh cho môi trường Ethernet LAN chứ không phải là môi trường Token
Ring hay Token Bus. Cơ chế hoạt động của giao thức DHCP trên môi trường Token Ring và Token
Bus có nhiều khác biệt so với môi trường Ethernet LAN.
ip dhcp pool Host1
host 192.168.1.99 255.255.255.0
client-identifier 0100.00AA.AA00.01
default-router 192.168.1.1
dns-server 8.8.8.8
exit
C:\ServerA>
C:\ServerA>
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác.
C:\ServerA> ping 192.168.1.1
C:\ServerA> ping 192.168.1.2
C:\ServerA> ping 172.16.1.1
Kiểm tra các địa chỉ IP đã cấp phát tại R2 (DHCP Server).
- Địa chỉ IP 192.168.1.99 được cấp cho ServerA có MAC là 0000.AAAA.0001 vĩnh viễn không thu
hồi lại.
R2# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.1.3 0100.00aa.aa00.03 Mar 19 2016 03:21 AM Automatic
192.168.1.99 0100.00aa.aa00.01 Infinite Manual
R2#
Cấu hình DHCP Server trên R2 cấp IP xuống cho các PC và thiết bị thuộc mạng LAN 2 dải IP thuộc lớp
mạng 172.16.1.0/26, tại R1 cấu hình “ip helper-address” trỏ tới R2.
Cấu hình DHCP Server trên R2 cấp IP xuống cho các PC và thiết bị thuộc mạng LAN 2 dải IP thuộc lớp
mạng 172.16.1.0/26.
ip dhcp excluded-address 172.16.1.1
ip dhcp pool LAN2
network 172.16.1.0 255.255.255.192
default-router 172.16.1.1
dns-server 8.8.8.8
exit
Bước 4.2. Cấu hình DHCP Relay trên Router R1 trỏ tới địa chỉ IP của Router R2.
C:\PCX>
C:\PCX>
Để kiểm tra các địa chỉ IP đã cấp phát tại R2 (DHCP Server).
R2# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
172.16.1.2 0100.00aa.aa00.07 Mar 19 2016 03:33 AM Automatic
192.168.1.99 0100.00aa.aa00.01 Infinite Manual
R2#
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác.
C:\PCX> ping 172.16.1.1
C:\PCX> ping 192.168.1.1
Phần 16. Hướng dẫn cấu hình giao thức tránh loop Spanning-Tree trên Cisco Switch.
Cấu hình kết nối trunk giữa các Switch sử dụng kiểu đóng gói dot1q.
C2960 là dòng Switch Layer 2.
- Một số dòng Switch Layer 2 bao gồm 2950, 2960, …
Switch# show version | include IOS
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE10, RELEASE
SOFTWARE (fc2)
Switch#
Bước 3.3. Kiểm tra kết nối Trunk trên các Switch.
Kiểm tra các cổng giao tiếp trên Sw1 đã “up” chưa.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.1 YES manual up up
FastEthernet0/2 unassigned YES unset up up
FastEthernet0/3 unassigned YES unset up up
Sw1#
Kiểm tra các cổng giao tiếp trên Sw2 đã “up” chưa.
Sw2# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
Vlan2 192.168.2.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/3 unassigned YES unset up up
Sw2#
Kiểm tra giá trị Priority trên Sw2, giá trị priority mặc định trên trên là 32768.
Sw2# show spanning-tree vlan 2 | include priority
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Sw2#
Kiểm tra giá trị Priority trên Sw3, giá trị priority mặc định trên trên là 32768.
Sw3# show spanning-tree vlan 2 | include priority
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Sw3#
Để Sw2 làm Primary Root Bridge, Sw3 làm Secondary Root Bridge, trong số 3 Switch (Sw1, Sw2, Sw3) ta
sẽ thiết bị giá trị Priority của Sw2 thấp nhất, rồi đến Sw3. Nếu Sw2 bị sự cố, Sw3 sẽ thay thế Sw2 đóng
vai trò Root Bridge nên Sw3 được gọi là Secondary Root Bridge. Giá trị Priority của Sw1 sẽ lớn nhất trong
tình huống này.
Ta sẽ tiến hành chỉnh giá trị Priority trên các Switch như sau:
- Sw1: 32768
- Sw2: 8192
- Sw3: 20480
Hiệu chỉnh giá trị Priority cho VLAN 2 trên Sw1.
Sw1(config)# spanning-tree vlan 2 priority 32768
VLAN0002
Spanning tree enabled protocol ieee
Root ID Priority 8194
Address 001e.7944.9580
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 8194 (priority 8192 sys-id-ext 2)
Address 001e.7944.9580
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Sw2#
Kiểm tra f0/3 trên Sw1 rơi vào trạng thái “BLK”.
Sw1# show spanning-tree vlan 2
VLAN0002
Spanning tree enabled protocol ieee
Root ID Priority 8194
Address 001e.7944.9580
Cost 19
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
PC2 khi ping tới IP 192.168.2.2 sẽ đi qua hướng f0/2 của Sw1 để tới được Sw2, lưu lượng lúc trả về cũng
đi theo hướng tương tự.
C:\PC2>
Kiểm tra bảng MAC Table trên Sw2, ta thấy Sw2 học được MAC của PC2 thông qua cổng f0/1. Từ đó, ta
có thể suy luận lưu lượng từ Sw2 hồi đáp về cho PC2 sẽ được gửi qua cổng f0/1.
Sw2# show mac address-table | include DYNAMIC
1 001e.bdb9.9302 DYNAMIC Fa0/3
1 0024.51d2.9502 DYNAMIC Fa0/1
1 0024.51d2.9540 DYNAMIC Fa0/1
2 0000.aaaa.0002 DYNAMIC Fa0/1
Sw2#
Kiểm tra giá trị Priority trên Sw2, giá trị priority mặc định trên Switch là 32768.
Sw2# show spanning-tree vlan 3 | include priority
Bridge ID Priority 32771 (priority 32768 sys-id-ext 3)
Sw2#
Kiểm tra giá trị Priority trên Sw3, giá trị priority mặc định trên Switch là 32768.
Sw3# show spanning-tree vlan 3 | include priority
Bridge ID Priority 32771 (priority 32768 sys-id-ext 3)
Sw3#
Để Sw3 làm Primary Root Bridge, Sw2 làm Secondary Root Bridge, trong số 3 Switch (Sw1, Sw2, Sw3) ta
sẽ thiết bị giá trị Priority của Sw3 thấp nhất, rồi đến Sw2. Nếu Sw3 bị sự cố, Sw2 sẽ thay thế Sw3 đóng
vai trò Root Bridge nên Sw2 được gọi là Secondary Root Bridge. Giá trị Priority của Sw1 sẽ lớn nhất trong
tình huống này.
Ta sẽ tiến hành chỉnh giá trị Priority trên các Switch như sau:
- Sw1: 32768
- Sw2: 20480
- Sw3: 8192
Hiệu chỉnh giá trị Priority cho VLAN 3 trên Sw1.
Sw1(config)# spanning-tree vlan 3 priority 32768
Hiệu chỉnh giá trị Priority cho VLAN 2 trên Sw2.
Sw2(config)# spanning-tree vlan 3 priority 20480
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw3#
Kiểm tra f0/2 trên Sw1 rơi vào trạng thái “BLK”.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
PC3 khi ping tới IP 192.168.3.3 sẽ đi qua hướng f0/3 của Sw1 để tới được Sw3, lưu lượng lúc trả về cũng
đi theo hướng tương tự.
Xác định địa chỉ MAC của PC3.
C:\PC3> ipconfig /all
Ethernet adapter Local Area Connection:
Kiểm tra bảng MAC Table trên Sw3, ta thấy Sw3 học được MAC của PC3 thông qua cổng f0/1. Từ đó, ta
có thể suy luận lưu lượng từ Sw3 hồi đáp về cho PC3 sẽ được gửi qua cổng f0/1.
Sw1# show mac address-table | include DYNAMIC
1 001e.7944.9583 DYNAMIC Fa0/2
1 001e.7944.95c0 DYNAMIC Fa0/2
1 0024.51d2.9503 DYNAMIC Fa0/1
1 0024.51d2.9540 DYNAMIC Fa0/2
2 0000.aaaa.0002 DYNAMIC Fa0/2
2 001e.7944.9583 DYNAMIC Fa0/2
3 0000.aaaa.0003 DYNAMIC Fa0/1
Sw3#
Bước 4.3. Khảo sát bộ định thời Timer tương ứng với giao thức STP.
Khảo sát thời gian hội tụ của STP và RSTP.
Khảo sát thời gian hội tụ của STP (PVST), tại PC3 ta tiến hành ping liên tục với địa chỉ IP 192.168.3.3 của
Sw3.
C:\PC3> ping 192.168.3.3 -t
Kiểm tra trạng thái port bị BLK trên Sw1 trước khi “shutdown” f0/3 trên Sw1.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Tại Sw1, tiến hành “shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của Sw3
di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một
vài giây.
Sw1(config)# interface f0/3
Sw1(config-if)# shutdown
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “shutdown” f0/3 trên Sw1.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 bị gián đoạn trong vài giây.
C:\PC3> ping 192.168.3.3 –t
C:\Windows\system32>ping 192.168.3.3 -t
Tại Sw1, tiến hành “no shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của
Sw3 sẽ không di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3 nữa mà sẽ di chuyển theo
hướng PC3 > f0/3 của Sw1 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một vài giây.
Sw1(config)# interface f0/3
Sw1(config-if)# no shutdown
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “no shutdown” f0/3 trên Sw1.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 bị gián đoạn trong vài giây.
C:\PC3> ping 192.168.3.3 –t
Bước 4.4. Khảo sát bộ định thời Timer tương ứng với giao thức RSTP.
Cấu hình chuyển đổi từ giao thức STP (PVST+) thành RSTP (PVRST+) trên các switch.
Kiểm tra giao thức “spanning-tree” đang chạy trên Sw1, Sw1 hiện tại đang sử dụng giao thức PVST+
tương ứng với từ khóa “ieee” hiển thị trong câu lệnh “show spanning-tree vlan 3”.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol ieee
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Cấu hình chuyển đổi từ giao thức PVST+ thành PVRST+ trên Sw1.
Sw1(config)# spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
VLAN0003
Spanning tree enabled protocol rstp
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Cấu hình chuyển đổi từ giao thức PVST+ thành PVRST+ trên Sw2.
Sw2(config)# spanning-tree mode rapid-pvst
Cấu hình chuyển đổi từ giao thức PVST+ thành PVRST+ trên Sw3.
Sw3(config)# spanning-tree mode rapid-pvst
Khảo sát thời gian hội tụ của RSTP (PVSRT+), tại PC3 ta tiến hành ping liên tục với địa chỉ IP 192.168.3.3
của Sw3.
Kiểm tra trạng thái port bị BLK trên Sw1 trước khi “shutdown” f0/3 trên Sw1.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol rstp
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Tại Sw1, tiến hành “shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của Sw3
di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một
vài giây.
Sw1(config)# interface f0/3
Sw1(config-if)# shutdown
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “shutdown” f0/3 trên Sw1.
Sw1# show spanning-tree vlan 3
VLAN0003
Spanning tree enabled protocol rstp
Root ID Priority 8195
Address 001e.bdb9.9300
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 không hề bị gián đoạn trong suốt quá
trình tính toán lại cây “spanning-tree” trên Sw3. Ta có thể thấy, thời gian hội tụ và tính toán của RSTP
(PVRST+) nhanh hơn rất nhiều so với STP (PVST+).
C:\PC3> ping 192.168.3.3 –t
Phần 17. Hướng dẫn cấu hình công nghệ gom đường liên kết EtherChannel trên Cisco Switch.
interface f0/3
switchport mode access
spanning-tree portfast
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
interface f0/5
switchport mode access
spanning-tree portfast
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Cấu hình kết nối trunk giữa các Switch sử dụng kiểu đóng gói dot1q.
Trước khi cấu hình đường trunk, ta cần xác định đây là Switch Layer 2 hay là Switch Layer 3 bằng câu
lệnh “show version”.
Để phân biệt Switch Layer 2 và Switch Layer 3, ta dựa vào dòng sản phẩm. Một số dòng Switch Layer 2
bao gồm 2950, 2960, …; còn một số dòng Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
C2960 là dòng Switch Layer 2.
Switch# show version | include IOS
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE10, RELEASE
SOFTWARE (fc2)
Switch#
Bước 2.3. Kiểm tra kết nối Trunk trên các Switch.
Kiểm tra trạng thái kết nối vật lý các cổng giao tiếp trên Sw1.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.1 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/2 unassigned YES unset up up
FastEthernet0/3 unassigned YES unset up up
Sw1#
Kiểm tra trạng thái kết nối vật lý các cổng giao tiếp trên Sw2.
Sw2# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/2 unassigned YES unset up up
FastEthernet0/3 unassigned YES unset up up
FastEthernet0/4 unassigned YES unset up up
Sw2#
Kiểm tra trạng thái kết nối vật lý các cổng giao tiếp trên Sw3.
Sw3# show ip interface brief | include up
Vlan1 192.168.1.3 YES manual up up
FastEthernet0/3 unassigned YES unset up up
FastEthernet0/4 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw3#
Sw1#
Sw2#
Sw2#
Sw3#
Bước 3.3. Khảo sát tính chất dự phòng của đường kết nối EtherChannel.
Để khảo sát tính dự phòng của EtherChannel, từ PC1 ping liên tục tới IP 192.168.1.5 của PC2 với tham số
-t.
- Tiếp theo, ta sẽ tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/1 trên Sw2, ta sẽ thấy tiến
trình ping vẫn diễn ra thành công.
- Tiếp tục, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/3 trên Sw2, ta sẽ thấy tiến trình
ping vẫn diễn ra thành công.
C:\PC1> ping 192.168.1.5 -t
Tiếp theo, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/1 trên Sw2, ta sẽ thấy tiến trình ping vẫn
diễn ra thành công.
Sw2(config)# interface f0/1
Sw2(config-if)# shutdown
Kiểm tra trạng thái EtherChannel nối tới Sw1 tại Sw2.
Sw2# show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
Sw2#
Tiếp tục, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/3 trên Sw2, ta sẽ thấy tiến trình ping vẫn
diễn ra thành công.
Sw2(config)# interface f0/3
Sw2(config-if)# shutdown
Kiểm tra trạng thái EtherChannel nối tới Sw1 tại Sw2.
Sw2# show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
Sw2#
Phần 18. Hướng dẫn cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
vlan 2
name LAN2
exit
interface range f0/13 - 24
switchport mode access
switchport access vlan 2
exit
Bước 3. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
Bước 3.1. Cấu hình Static Route trên Router R1.
Cấu hình định tuyến tại R1 sao cho nếu cổng f0/0 tại R1 bị “down” thì lưu lượng gửi tới mạng
172.16.1.0/24 sẽ đi qua Next-hop 192.168.1.2 tại R2.
ip route 172.16.1.0 255.255.255.0 192.168.1.2
Kiểm tra bảng định tuyến tại R1 trước khi “shutdown” cổng f0/0.
R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Thực hiện “no shutdown” cổng giao tiếp f0/0 trên R1 để khôi phục lại trạng thái cổng.
interface f0/0
no shutdown
exit
Cấu hình định tuyến tại R1 sao cho nếu cổng f0/1 tại R1 bị “down” thì lưu lượng gửi tới mạng
192.168.1.0/24 sẽ đi qua Next-hop 172.16.1.2 tại R2.
ip route 192.168.1.0 255.255.255.0 172.16.1.2
Kiểm tra bảng định tuyến tại R1 trước khi “shutdown” cổng f0/1.
R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Kiểm tra bảng định tuyến tại R1 sau khi “shutdown” cổng f0/1. Nếu cổng f0/1 bị down, lưu lượng gửi tới
mạng 192.168.1.0/24 sẽ được gửi qua Next-hop 172.16.1.2 như thể hiện trong bảng định tuyến tại R1.
R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Thực hiện “no shutdown” cổng giao tiếp f0/1 trên R1 để khôi phục lại trạng thái cổng.
interface f0/1
no shutdown
exit
Cấu hình định tuyến tại R2 sao cho nếu cổng f0/0 tại R2 bị “down” thì lưu lượng gửi tới mạng
172.16.1.0/24 sẽ đi qua Next-hop 192.168.1.1 tại R1.
ip route 172.16.1.0 255.255.255.0 192.168.1.1
Kiểm tra bảng định tuyến tại R2 trước khi “shutdown” cổng f0/0.
Thực hiện “no shutdown” cổng giao tiếp f0/0 trên R2 để khôi phục lại trạng thái cổng.
interface f0/0
no shutdown
exit
Cấu hình định tuyến tại R2 sao cho nếu cổng f0/1 tại R2 bị “down” thì lưu lượng gửi tới mạng
192.168.1.0/24 sẽ đi qua Next-hop 172.16.1.1 tại R1.
ip route 192.168.1.0 255.255.255.0 172.16.1.1
Kiểm tra bảng định tuyến tại R2 trước khi “shutdown” cổng f0/1.
R2# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Kiểm tra bảng định tuyến tại R2 sau khi “shutdown” cổng f0/1. Nếu cổng f0/1 bị down, lưu lượng gửi tới
mạng 192.168.1.0/24 sẽ được gửi qua Next-hop 172.16.1.1 như thể hiện trong bảng định tuyến tại R2.
R2# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Thực hiện “no shutdown” cổng giao tiếp f0/1 trên R2 để khôi phục lại trạng thái cổng.
interface f0/1
no shutdown
exit
Bước 4. Cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
Bước 4.1. Cấu hình HSRP trên các Router.
Cấu hình HSRP trên f0/0 của R1 và R2 sử dụng VIP (Virtual IP) là 172.16.1.254 sao cho lưu lượng từ PC1
tới PC2 sẽ không bao giờ bị gián đoạn nếu R1 hoặc R2 gặp sự cố. Thiết lập HSRP sao cho R1 làm Active
Router, R2 làm Standby Router.
Cấu hình HSRP trên R1.
interface f0/0
ip address 172.16.1.1 255.255.255.0
standby 1 ip 172.16.1.254
standby 1 priority 105
standby 1 preempt
exit
Bước 4.2. Hiệu chỉnh vai trò Active vs Standby trong HSRP.
Cấu hình HSRP trên f0/1 của R1 và R2 sử dụng VIP (Virtual IP) là 192.168.1.254 sao cho lưu lượng từ PC2
tới PC1 sẽ không bao giờ bị gián đoạn nếu R1 hoặc R2 gặp sự cố. Thiết lập HSRP sao cho R2 làm Active
Router, R1 làm Standby Router.
Cấu hình HSRP trên R1.
interface f0/1
ip address 192.168.1.1 255.255.255.0
standby 2 ip 192.168.1.254
standby 2 priority 100
standby 2 preempt
exit
Tại PC2 ta tiến hành ping tới địa chỉ IP của PC1, lưu lượng sẽ di chuyển theo hướng f0/1 của R2 > PC1,
lưu lượng lúc trả về từ PC1 tới PC2 sẽ di chuyển theo hướng f0/0 của R1 > PC1.
Tại PC2 ta có thể tiến hành tracert tới IP đích 172.16.1.3 để biết hướng di chuyển của lưu lượng.
C:\PC2> tracert 172.16.1.3
Trace complete.
C:\PC2>
Tại PC1 ta có thể tiến hành tracert tới IP đích 192.168.1.3 để biết hướng di chuyển của lưu lượng.
C:\PC1> tracert 192.168.1.3
Trace complete.
C:\PC1>
Tại PC2 ta có thể tiến hành ping liên tục tới IP đích 172.16.1.3 (ping với tham số -t) rồi tiến hành
“shutdown” cổng f0/1 trên R1.
C:\PC2> ping 172.16.1.3 -t
Kiểm tra vai trò HSRP trên R1 trước khi “shutdown” cổng f0/1 trên R2.
R1# show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
Fa0/1 2 100 P Standby 192.168.1.2 local 192.168.1.254
R1#
Trên R2, tiến hành “shutdown” cổng f0/1, ta sẽ thấy tiến trình ping liên tục từ PC2 tới PC1 không hề bị
gián đoạn.
interface f0/1
shutdown
exit
Kiểm tra vai trò HSRP trên R1 sau khi “shutdown” cổng f0/1 trên R2.
R1# show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
Fa0/1 2 100 P Active local unknown 192.168.1.254
R1#
Kiểm tra vai trò HSRP trên R2 sau khi “shutdown” cổng f0/1 trên R2.
R2# show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 100 P Standby 172.16.1.1 local 172.16.1.254
Fa0/1 2 105 P Init unknown unknown 192.168.1.254
R2#
Khôi phục lại cổng f0/1 trên R2 bằng câu lệnh “no shutdown” cổng f0/1, ta sẽ thấy tiến trình ping liên
tục từ PC2 tới PC1 không hề bị gián đoạn.
interface f0/1
no shutdown
exit
Bước 4.4. Xác định địa chỉ Virtual MAC trong HSRP.
Trên PC2, khảo sát bảng arp cache, ta có thể quan sát thấy địa chỉ MAC tương ứng với VIP 192.168.1.254
là “00-00-0c-07-ac-02”.
C:\PC2> arp -a
C:\PC2>
Tại R1 và R2 ta cũng có thể kiểm tra địa chỉ MAC ảo tương ứng với VIP 192.168.1.254 là
“0000.0c07.ac02”.
R1# show standby f0/1
FastEthernet0/1 - Group 2
State is Standby
10 state changes, last state change 00:35:07
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac02
Local virtual MAC address is 0000.0c07.ac02 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.872 secs
Preemption enabled
Active router is 192.168.1.2, priority 105 (expires in 8.468 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/1-2" (default)
R1#
Tại R1 và R2, kiểm tra địa chỉ MAC ảo tương ứng với VIP 172.16.1.254.
R1# show standby f0/0
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 01:04:32
Virtual IP address is 172.16.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.748 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 8.240 sec)
Priority 105 (configured 105)
Group name is "hsrp-Fa0/0-1" (default)
R1#
Phần 19. Hướng dẫn cấu hình tính năng bảo mật Layer 2 PortSecurity trên Cisco Switch.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Switch Sw1.
- Bước 2. Cấu hình PortSecurity trên Cisco Switch.
o Bước 2.1. Cấu hình PortSecurity với Violation là Shutdown.
Bước 2.1.1. Xác định địa chỉ MAC của máy tính sử dụng hệ điều hành Window.
Bước 2.1.2. Xác định trạng thái Port kết nối tới thiết bị đầu cuối.
Bước 2.1.3. Cấu hình PortSecurity trên Interface f0/1 của Switch Sw1.
Bước 2.1.4. Thay đổi địa chỉ MAC của máy tính bằng phần mềm TMAC.
Bước 2.1.5. Thay đổi địa chỉ MAC của máy tính thông qua Network Address
Property của Card mạng.
Bước 2.1.6. Khảo sát quá trình vi phạm chính sách Violation Shutdown.
Bước 2.1.7. Khôi phục Port trở về trạng thái ban đầu khi vi phạm chính sách
Violation Shutdown.
Bước 2.1.8. Xóa cấu hình PortSecurity trên một Interface của Cisco Switch.
o Bước 2.2. Cấu hình PortSecurity với Violation là Restrict.
Bước 2.2.1. Xác định địa chỉ MAC của thiết bị đầu cuối trước khi cấu hình tính
năng PortSecurity.
Bước 2.2.2. Cấu hình PortSecurity trên Interface f0/3 của Switch Sw1 tiến hành
học MAC tự động bằng phương thức Sticky.
Bước 2.2.3. Thay đổi địa chỉ MAC của máy tính để khảo sát chính sách Violation
Restrict.
o Bước 2.3. Cấu hình PortSecurit với Violation là Protect.
Bước 2.3.1. Xác định địa chỉ MAC tương ứng với các cổng giao tiếp trên Router
R1.
Bước 2.3.2. Cấu hình PortSecurity trên Interface f0/5 của Switch Sw1 với chính
sách Violation Protect.
Bước 2.3.3. Thay đổi địa chỉ MAC trên Router để khảo sát chính sách Violation
Protect.
Chi tiết các bước thực hiện:
Bước 1. Cấu hình cơ bản trên các thiết bị.
Bước 1.1. Cấu hình cơ bản trên Router R1.
- logging synchronous: cấu hình cơ chế chống trôi dònh lệnh.
- no ip domain-lookup: cấu hình bỏ qua cơ chế phân giải tên miền.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2.1.1. Xác định địa chỉ MAC của máy tính sử dụng hệ điều hành Window.
Trước khi cấu hình tính năng PortSecurity trên f0/1 của Sw1, ta cần xác định địa chỉ MAC của PC1 thông
qua chương trình “cmd”. Để khởi động chương trình “cmd”, ta có thể nhấn tổ hợp phím Window + R, rồi
gõ từ khóa “cmd” và click “OK”.
Để xác định được địa chỉ MAC của PC, tại PC1 ta thực hiện câu lệnh “ipconfig /all”. Địa chỉ MAC của PC1
hiện tại là 00-00-AA-AA-00-01.
C:\PC1> ipconfig /all
Ethernet adapter Local Area Connection:
C:\PC1>
Bước 2.1.2. Xác định trạng thái Port kết nối tới thiết bị đầu cuối.
Kiểm tra trạng thái “status” của các cổng đang ở trạng thái “up” hay “down”.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw1#
Kiểm tra một cổng cụ thể đang ở trạng thái “up” hay “down”.
Sw1# show interfaces f0/1 status
Bước 2.1.3. Cấu hình PortSecurity trên Interface f0/1 của Switch Sw1.
Cấu hình PortSecurity trên cổng f0/1, chỉ cho phép một địa chỉ MAC của PC1 truy nhập, phương thức xử
lý vi phạm violation là shutdown.
- Khi thực hiện tới câu lệnh “switchport port-security mac-address 0000.aaaa.0001”, thông báo
“Found duplicate mac-address 0000.aaaa.0001.” lập tức xuất hiện.
- Nguyên nhân là do cấu hình PortSecurity hiện tại trên f0/1 chỉ cho phép học tối đa 1 địa chỉ MAC
(tác dụng của câu lệnh “switchport port-security maximum 1”).
- Hiện nay, khi “show mac address-table” trên Sw1 ta thấy Fa0/1 đã học được địa chỉ MAC là
0000.aaaa.0001 rồi nên khi cấu hình thêm một địa chỉ MAC nữa tương ứng với f0/1 (thông qua
câu lệnh “switchport port-security mac-address 0000.aaaa.0001”) thì Sw1 lập tức báo lỗi.
- Do đó, để tránh tình huống báo lỗi này, ta nên “shutdown” Port f0/1 trước khi cấu hình tính
năng PortSecurity, sau khi cấu hình xong, ta có thể “no shutdown” Port trở lại bình thường.
Sw1(config)# interface f0/1
Sw1(config-if)# switchport mode access
Sw1(config-if)# switchport port-security
Sw1(config-if)# switchport port-security maximum 1
Sw1(config-if)# switchport port-security violation shutdown
Sw1(config-if)# switchport port-security mac-address 0000.aaaa.0001
Found duplicate mac-address 0000.aaaa.0001.
Sw1(config-if)#
Tiến hành “shutdown” Port trước khi cấu hình tính năng PortSecurity.
Sw1(config)# interface f0/1
Sw1(config-if)# shutdown
Sw1(config-if)# switchport mode access
Sw1(config-if)# switchport port-security
Sw1(config-if)# switchport port-security maximum 1
Sw1(config-if)# switchport port-security violation shutdown
Sw1(config-if)# switchport port-security mac-address 0000.aaaa.0001
Sw1(config-if)# no shutdown
Sw1(config-if)# end
Sw1#
Kiểm tra cấu hình PortSecurity trên f0/1 vừa cấu hình.
Sw1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.aaaa.0001:1
Security Violation Count : 0
Sw1#
Cũng có thể kiểm tra cấu hình PortSecurity trên f0/1 bằng cách sau.
- 2 thông tin cấu hình “switchport port-security maximum 1” và “switchport port-security
violation shutdown” không xuất hiện trong file cấu hình running-config vì đây là 2 tham số mặc
định khi ta bật tính năng PortSecurity thông qua câu lệnh “switchport port-security”.
- Các tham số mặc định thông thường sẽ không xuất hiện trong file cấu hình.
Sw1# show running-config interface f0/1
Building configuration...
Sw1#
Bước 2.1.4. Thay đổi địa chỉ MAC của máy tính bằng phần mềm TMAC.
Lúc này, trên f0/1 của Sw1 chỉ cho phép PC có địa chỉ MAC là 0000.aaaa.0001 được quyền gửi dữ liệu
vào Port này. Nếu bất kỳ PC nào không phải địa chỉ MAC là 0000.aaaa.0001, chẳng hạn như PC có địa chỉ
MAC là 0000.aaaa.0099 cố tình gửi dữ liệu vào f0/1, Port sẽ bị “shutdown” và rơi vào trạng thái err-
disabled do vi phạm PortSecurity.
- Để giả lập tình huống vi phạm PortSecurity trên f0/1 của Sw1, ta có thể lấy một PC bất kỳ cắm
vào f0/1 rồi từ PC này khởi phát lưu lượng bằng các ping tới IP của Sw1 hoặc R1.
- Hoặc cũng có thể tìm cách thay đổi địa chỉ MAC của PC1 bằng phần mềm “SMAC 2.0” hoặc phần
mềm “TMAC (Technitium MAC Address Changer)”.
Tải phần mềm thay đổi địa chỉ MAC trên PC là TMAC:
http://blogchiasekienthuc.com/thu-thuat-may-tinh/thay-doi-dia-chi-mac-may-tinh.html
Bước 2.1.5. Thay đổi địa chỉ MAC của máy tính thông qua Network Address Property của Card mạng.
Để thuận tiện, hướng dẫn sau đây sẽ giúp các bạn thay đổi địa chỉ MAC của PC1 từ 0000.aaaa.0001
thành 0000.aaaa.0099 ngay trên chính hệ điều hành Window.
Đầu tiên, truy cập vào giao diện “Device Manager” trên PC. Cách mở Device Manager nhanh nhất là mở
Start\Run (hoặc Windows + R), gõ hdwwiz.cpl, nhấn enter.
Hoặc cách thông thường là chuột phải vào My Computer, chọn Manage > Device Manager.
Vào được giao diện “Device Manager”, click chuột phải vào card mạng cần chỉnh địa chỉ MAC rồi chọn
Properties.
Chuyển sang Tab Advanced và tìm đến dòng Network Address. Tại mục Value bạn gõ địa chỉ MAC mà
bạn muốn đổi vào và nhấn OK để hoàn tất. Một số PC sẽ không chỉnh được địa chỉ MAC (không có
trường Network Address tại tab Advanced, nên ta có thể khai báo tính năng PortSecurity trên f0/1 với
địa chỉ MAC bất kỳ là đóng vai trò là MAC hợp lệ, lúc này MAC của PC1 trở thành địa chỉ MAC không hợp
lệ, lúc này nếu lưu lượng PC1 gửi vào port f0/1, port sẽ bị “shutdown” và đưa vào trạng thái “err-
disabled”.
Kiểm tra lại địa chỉ MAC của PC1 tại giao diện cmd.
C:\PC1> ipconfig /all
Ethernet adapter Local Area Connection:
C:\PC1>
Bước 2.1.6. Khảo sát quá trình vi phạm chính sách Violation Shutdown.
Lúc này, trên f0/1 của Sw1 chỉ cho phép PC có địa chỉ MAC là 0000.aaaa.0001 được quyền gửi dữ liệu
vào Port này. Nếu bất kỳ PC nào không phải địa chỉ MAC là 0000.aaaa.0001, chẳng hạn như PC có địa chỉ
MAC là 0000.aaaa.0099 cố tình gửi dữ liệu vào f0/1, Port sẽ bị “shutdown” và rơi vào trạng thái err-
disabled do vi phạm PortSecurity.
Để giả lập tình huống vi phạm PortSecurity trên f0/1 của Sw1, tại PC1 vừa thay đổi địa chỉ MAC tiến hành
ping lần lượt tới IP của Sw1 và R1 để phát sinh lưu lượng có địa chỉ MAC không hợp lệ gửi vào f0/1 của
Sw1.
Lúc này, tại giao diện cấu hình console của Sw1 ta sẽ thấy thông báo vi phạm PortSecurity trên f0/1 với
thông tin địa chỉ MAC không hợp lệ là 0000.aaaa.0099 và Port này được đưa vào trạng thái err-disabled.
Sw1#
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-
disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address
0000.aaaa.0099 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Sw1#
Lúc này, tại PC1 ta không thể ping được tới Sw1 và R1 được nữa vì Port f0/1 trên Sw1 đã bị shutdown.
C:\PC1> ping 192.168.1.2
C:\PC1> ping 192.168.1.1
Kiểm tra số lần vi phạm PortSecurity trên f0/1. Hiện nay, số lần vi phạm PortSecurity trên f0/1 là 1 lần.
Sw1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.aaaa.0099:1
Security Violation Count : 1
Sw1#
Để kiểm tra một Port nào đó có đang ở trạng thái err-disabled hay không, ta có thể thực hiện câu lệnh
sau.
Sw1# show interfaces f0/1 status
Bước 2.1.7. Khôi phục Port trở về trạng thái ban đầu khi vi phạm chính sách Violation Shutdown.
Khôi phục trạng thái hợp lệ của f0/1 bằng cách đổi lại địa chỉ MAC của PC1 từ 0000.aaaa.0099 thành
0000.aaaa.0001.
Kiểm tra lại thông tin địa chỉ MAC trên PC1.
C:\PC1> ipconfig /all
Ethernet adapter Local Area Connection:
C:\PC1>
Mặc dù đã thay đổi địa chỉ MAC của PC1 thành địa chỉ MAC hợp lệ được phép gửi dữ liệu vào Port f0/1
nhưng Port f0/1 vẫn ở trạng thái “shutdown”.
Kiểm tra trạng thái cổng giao tiếp f0/1 trên Sw1.
Kiểm tra f0/1 đang ở trạng thái “err-disabled” ta cũng có thể thực hiện câu lệnh sau.
Sw1# show interface f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Để khôi phục một Port đang ở trạng thái “err-disabled”, ta thực hiện các bước sau.
Sw1(config)# interface f0/1
Sw1(config-if)# shutdown
Sw1(config-if)# no shutdown
Sw1(config-if)# exit
Sw1(config)#
Để khôi phục các Port đang ở trạng thái “err-disabled” do vi phạm PortSecurity một cách tự động cữ mỗi
30 giây, ta có thể cấu hình như sau.
Sw1(config)# errdisable detect cause all
Sw1(config)# errdisable recovery cause psecure-violation
Sw1(config)# errdisable recovery interval ?
<30-86400> timer-interval(sec)
Kiểm tra tất cả các nguyên nhân có thể khiến Port rơi vào trạng thái “err-disabled”.
Sw1# show errdisable detect
ErrDisable Reason Detection status
----------------- ----------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
unicast-flood Enabled
vmps Enabled
loopback Enabled
unicast-flood Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
sfp-config-mismat Enabled
gbic-invalid Enabled
dhcp-rate-limit Enabled
storm-control Enabled
arp-inspection Enabled
community-limit Enabled
invalid-policy Enabled
Sw1#
Kiểm tra khả năng “recovery cause” trên Sw1. Sw1 có thể khôi phục Port ở trạng thái “err-disabled” do
nhiều nguyên nhân khác nhau. Tuy nhiên, với thiết lập ở trên, Sw1 chỉ khôi phục các Port ở trạng thái
“err-disable” do vi phạm PortSecurity (tương ứng với câu lệnh “errdisable recovery cause psecure-
violation”).
Sw1# show errdisable ?
detect Error disable detection
flap-values Flap values for error disable detection
recovery Error disable recovery
Sw1# show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Disabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
psecure-violation Enabled
sfp-config-mismat Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
Sw1#
Kiểm tra trạng thái cổng giao tiếp f0/1 trên Sw1.
Sw1# show interfaces f0/1 status
Trên Sw1, chỉ liệt kê các cổng đang ở trạng thái “up”. Lúc này f0/1 đã ở trạng thái “up”.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw1#
Tại PC1, tiến hành ping tới IP của Sw1 và R1, tiến trình ping sẽ diễn ra thành công.
C:\PC1> ping 192.168.1.2
C:\PC1> ping 192.168.1.1
Để kiểm tra các địa chỉ MAC nào đã khai báo tính năng PortSecurity, ta có thể thực hiện câu lệnh sau.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Bước 2.1.8. Xóa cấu hình PortSecurity trên một Interface của Cisco Switch.
Để xóa cầu hình PortSecurity trên một Port, ta có thể cấu hình câu lệnh sau.
Sw1(config)# default interface f0/1
Hoặc cũng có thể xóa cấu hình tính năng PortSecurity một cách chi tiết hơn.
Sw1(config)# interface f0/1
Sw1(config-if)# no switchport port-security
Sw1(config-if)# no switchport port-security maximum 1
Sw1(config-if)# no switchport port-security violation shutdown
Sw1(config-if)# no switchport port-security mac-address 0000.aaaa.0001
Sw1(config-if)# end
Sw1#
C:\PC2>
Bước 2.2.2. Cấu hình PortSecurity trên Interface f0/3 của Switch Sw1 tiến hành học MAC tự động bằng
phương thức Sticky.
Trên Sw1, cấu hình PortSecurity trên cổng f0/3, cho phép chỉ một địa chỉ MAC đầu tiên truy nhập, địa chỉ
MAC này được Switch học tự động thông qua phức sticky, phương thức xử lý vi phạm violation là
restrict.
- Với tùy chọn “switchport port-security violation restrict”, lưu lượng không hợp lệ gửi tới f0/3
của Sw1 sẽ bị drop bỏ, Sw1 sẽ liên tục thông báo vi phạm PortSecurity để người quản trị hệ
thống mạng biết được có PC không hợp lệ đang cắm vào hệ thống.
Sw1(config)# interface f0/3
Sw1(config-if)# shutdown
Sw1(config-if)# switchport mode access
Sw1(config-if)# switchport port-security
Sw1(config-if)# switchport port-security maximum 1
Sw1(config-if)# switchport port-security mac-address sticky
Sw1(config-if)# switchport port-security violation restrict
Sw1(config-if)# no shutdown
Sw1(config-if)# exit
Sw1(config)#
Kiểm tra trạng thái cổng giao tiếp f0/3 trên Sw1 đã “up” hay chưa.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
FastEthernet0/3 unassigned YES unset up up
FastEthernet0/5 unassigned YES unset up up
Sw1#
Đứng tại Sw1, kiểm tra xem f0/3 đã học được địa chỉ MAC của PC2 hay chưa bằng cách “show mac
address-table”.
Sw1# show mac address-table
Mac Address Table
-------------------------------------------
Từ PC2, tiến hành ping tới Sw1 và R1, kết quả ping sẽ không thành công.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Kiểm tra thông tin địa chỉ MAC của f0/3 đã được cập nhật tương ứng với tính năng PortSecurity hay
chưa.
Sw1# show port-security interface f0/3
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0000.aaaa.0002:1
Security Violation Count : 0
Sw1#
Liệt kê các địa chỉ MAC đã cấu hình tính năng PortSecurity.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
1 0000.aaaa.0002 SecureSticky Fa0/3 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Ta cần thực hiện câu lệnh “write memory” hoặc “copy running-config startup-config” để các địa chỉ
MAC học được thông qua phương thức “sticky” trên cổng f0/3 được lưu vào file “startup-config” và Port
f0/3 sẽ không học địa chỉ MAC mới sau khi Switch tiến hành khởi động lại.
Sw1# copy running-config startup-config
Để xóa thông tin các địa chỉ MAC cũ đã học được thông qua phương thức “sticky” để cập nhật lại các địa
chỉ MAC hợp lệ khác, ta có thể thực hiện câu lệnh sau.
Sw1# clear port-security sticky interface f0/3
Thông địa chỉ MAC 0000.aaaa.0002 mà f0/3 trên Sw1 học được tương ứng với tính năng “sticky”
PortSecurity đã biến mất.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Từ PC2, tiến hành ping tới Sw1 và R1 để f0/3 trên Sw1 học lại MAC của PC2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Xác nhận lại Sw1 đã cập nhật lại MAC của PC2 tương ứng với f0/3 là 0000.aaaa.0002 như thiết lập
“sticky” PortSecurity trên f0/3.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
1 0000.aaaa.0002 SecureSticky Fa0/3 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Bước 2.2.3. Thay đổi địa chỉ MAC của máy tính để khảo sát chính sách Violation Restrict.
Tiến hành thay đổi địa chỉ MAC của PC2 từ 0000.aaaa.0002 thành 0000.aaaa.0099.
C:\PC2>
Tại PC2, ta tiến hành ping tới IP của Sw1 và R1. Với tùy chọn “switchport port-security violation restrict”,
lưu lượng không hợp lệ gửi tới f0/3 của Sw1 vẫn được phép gửi đi bình thường, Sw1 sẽ liên tục thông
báo vi phạm PortSecurity để người quản trị hệ thống mạng biết được có PC không hợp lệ đang cắm vào
hệ thống. Lúc này, PC2 ping thành công tới 192.168.1.1 nhưng lại không ping được tới 192.168.1.2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Lúc này, tạo giao diện cấu hình console tại Sw1, ta sẽ thấy thông báo vi phạm PortSecurity. Vì trên hệ
điều hành Window của Microsoft liên tục gửi các lưu lượng thăm dò mạng nên Sw1 sẽ liên tục báo địa
chỉ MAC của PC2 đang vi phạm PortSecurity.
Sw1#
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address
0000.aaaa.0099 on port FastEthernet0/3.
Sw1#
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address
0000.aaaa.0099 on port FastEthernet0/3.
Sw1#
Sw1#
Kiểm tra thông tin các địa chỉ MAC khai báo tính năng PortSecurity.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
1 0000.aaaa.0002 SecureSticky Fa0/3 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Thiết lập lại địa chỉ MAC của PC2 từ 0000.aaaa.0099 thành địa chỉ MAC hợp lệ ban đầu là
0000.aaaa.0002.
Kiểm tra lại địa chỉ MAC của PC2.
C:\PC1> ipconfig /all
Ethernet adapter Local Area Connection:
C:\PC1>
Lúc này, thông báo vi phạm PortSecurity trên f0/3 của Sw1 thông qua giao diện console không còn xuất
hiện nữa.
Sw1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up
Sw1#
Tại PC2, ta tiến hành ping tới IP của Sw1 và R1. Lúc này, PC2 ping thành công tới 192.168.1.1 và
192.168.1.2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Ta có thể chỉnh lại địa chỉ MAC cổng f0/0 trên R1 thành 0000.aaaa.0003 bằng câu lệnh sau.
R1(config)# interface f0/0
R1(config-if)# mac-address 0000.aaaa.0003
Kiểm tra lại địa chỉ MAC cổng f0/0 của R1. Địa chỉ MAC f0/0 của R1 đã thay đổi thành 0000.aaaa.0003
nhưng địa chỉ MAC nguyên thủy vẫn là 0023.5e46.f4e8. Khi R1 gửi dữ liệu đi thông qua cổng f0/0, nó sẽ
sử dụng địa chỉ MAC là 0000.aaaa.0003.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0000.aaaa.0003 (bia 0023.5e46.f4e8)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
…
R1#
Từ R1 tiến hành ping tới địa chỉ IP của Sw1 và PC. Tiến trình ping sẽ diễn ra thành công.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Tại Sw1, ta sẽ tiến hành kiểm tra f0/5 trên Sw1 đấu nối tới f0/0 của R1 học được địa chỉ MAC nào. Lúc
này, f0/5 trên Sw1 đã học được địa chỉ MAC là 0000.aaaa.0003 tương ứng với f0/0 của R1.
Sw1# show mac address-table
Mac Address Table
-------------------------------------------
Bước 2.3.2. Cấu hình PortSecurity trên Interface f0/5 của Switch Sw1 với chính sách Violation Protect.
Sau khi xác định được địa chỉ MAC của f0/0 trên R1, ta sẽ tiến hành cấu hình tính năng PortSecurity trên
f0/5 của Sw1. Trên Sw1, cấu hình PortSecurity trên cổng f0/5, chỉ cho phép một địa chỉ MAC của f0/0
trên R1 truy nhập, phương thức xử lý vi phạm violation là protect.
- Tùy chọn “violation protect” sẽ tiến hành drop bỏ mọi lưu lượng không hợp lệ, nhưng không hề
xuất bất kỳ thông báo nào ra giao diện console của Sw1 về việc vi phạm PortSecurity.
Sw1(config)# interface f0/5
Sw1(config-if)# shutdown
Sw1(config-if)# switchport mode access
Sw1(config-if)# switchport port-security
Sw1(config-if)# switchport port-security maximum 1
Sw1(config-if)# switchport port-security mac-address 0000.aaaa.0003
Sw1(config-if)# switchport port-security violation protect
Sw1(config-if)# no shutdown
Sw1(config-if)# exit
Sw1(config)#
Kiểm tra thông tin các địa chỉ MAC được khai báo tính năng PortSecurity.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
1 0000.aaaa.0002 SecureSticky Fa0/3 -
1 0000.aaaa.0003 SecureConfigured Fa0/5 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Bước 2.3.3. Thay đổi địa chỉ MAC trên Router để khảo sát chính sách Violation Protect.
Tiến hành thay đổi địa chỉ MAC của f0/0 trên R1 từ 0000.aaaa.0003 thành 0000.aaaa.0099 rồi tiến hành
ping tới địa chỉ Sw1 và các PC.
R1(config)# interface f0/0
R1(config-if)# mac-address 0000.aaaa.0099
Kiểm tra lại địa chỉ MAC cổng f0/0 trên R1 đã được thay đổi chưa.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0000.aaaa.0099 (bia 0023.5e46.f4e8)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
…
R1#
Từ R1 tiến hành ping tới địa chỉ IP của Sw1 và các PC, lúc này tiến trình ping sẽ không thành công vì tùy
chọn “switchport port-security violation protect” trên f0/5 của Sw1 đấu nối với f0/0 của R1 sẽ tiến hành
drop bỏ mọi lưu lượng không hợp lệ, nhưng Sw1 không hề xuất bất kỳ thông báo nào ra giao diện
console thông báo vi phạm PortSecurity.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Mặc dù Port f0/5 trên Sw1 đang vi phạm PortSecurity nhưng f0/5 sẽ không bị đưa vào trạng thái “err-
disabled” như với tùy chọn “violation shutdown”.
Sw1# show interfaces f0/5 status
Kiểm tra danh sách các Port đang ở trạng thái “err-disabled” cũng không thấy sự xuất hiện của f0/5.
Sw1# show interfaces status err-disabled
Sw1#
Kiểm tra bảng địa chỉ “mac address-table” trên Sw1. Sw1 cũng không thèm học vào địa chỉ MAC không
hợp lệ vừa chỉnh trên f0/0 của R1 là 0000.aaaa.0099 mà vẫn cập nhật là f0/5 trên Sw1 vẫn tương ứng
với địa chỉ MAC là 0000.aaaa.0003.
Sw1# show mac address-table
Mac Address Table
-------------------------------------------
Trên R1, thay đổi địa chỉ MAC trở về địa chỉ hợp lệ 0000.aaaa.0003.
R1(config)# interface f0/0
R1(config-if)# mac-address 0000.aaaa.0003
R1(config-if)# end
Kiểm tra thông tin địa chỉ MAC cổng f0/0 của R1.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0000.aaaa.0003 (bia 0023.5e46.f4e8)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
…
R1#
Từ R1, tiến hành ping tới địa chỉ IP của Sw1 và các PC, lúc này tiến trình ping sẽ diễn ra thành công vì
MAC cổng f0/0 trên R1 đã thiết lập trở về MAC hợp lệ là 0000.aaaa.0003.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Phần 20. Hướng dẫn cấu hình Syslog, NTP trên Cisco Router và sử dụng chương trình Kiwi Syslog Server
9.5.1.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 1.2. Cấu hình cơ bản trên Router R1.
- Bước 2. Cấu hình dịch vụ DHCP Service trên Cisco Router.
o Bước 2.1. Cấu hình DHCP Server trên Router R1.
o Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
- Bước 3. Cấu hình NAT Overload trên Router R1.
- Bước 4. Hướng dẫn sử dụng Kiwi Syslog Server 9.5.1.
o Bước 4.1. Cài đặt phần mềm Kiwi Syslog Server 9.5.1 trên máy tính sử dụng hệ điều
hành Window.
o Bước 4.2. Cấu hình Syslog trên Switch Sw1.
o Bước 4.3. Kiểm tra Service Port Syslog trên máy tính sử dụng hệ điều hành Window.
o Bước 4.4. Thay đổi Service Port Syslog từ UDP 514 thành TCP 1468.
o Bước 4.5. Sử dụng phần mềm TFTP Server với vai trò là Syslog Server.
- Bước 5. Cấu hình NTP trên Switch Sw1.
Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
Cấu hình DHCP Client trên cổng f0/1 xin IP từ Router tại VnPro.
Cấu hình DHCP Client trên cổng f0/1.
- show ip interface brief: Kiểm tra IP được cấp từ DHCP Server trên interface f0/1.
- release dhcp f0/1: Gửi bản tin release tới DHCP Server để từ chối không sử dụng IP đã được cấp
phát IP trước đó.
- renew dhcp f0/1: Kích hoạt tiến trình xin địa chỉ IP trên interface f0/1. Nếu quá trình xin IP trên
R1 không tự động diễn ra, ta có thể thực hiện câu lệnh trên.
- show dhcp lease: Kiểm tra các thông tin xin được từ DHCP Server.
- show dhcp server: Kiểm tra các thông tin xin được từ DHCP Server.
- show ip route static: Để Router có thể ping được Internet, bảng định tuyến tại Router cần phải
có default route 0.0.0.0/0 trỏ tới default-gateway vừa được cấp xuống là 10.215.14.1.
o Thông thường sau khi f0/1 trên Router xin được IP và thông tin default-gateway, nó sẽ
tự động hình thành default route 0.0.0.0/0 trỏ tới IP của default-gateway vừa mới xin
được.
- ip route 0.0.0.0 0.0.0.0 dhcp: Thiết lập default route 0.0.0.0/0 trên Router trỏ tới IP của default-
gate xin được từ DHCP Server.
interface f0/1
ip address dhcp
no shutdown
exit
R1#
%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP address 10.215.14.99,
mask 255.255.255.0, hostname R1
R1#
Click “I Agree”.
Chọn “option” phù hợp.
Click “Finish”.
Phiên bản “Free” chỉ cho phép lấy “syslog” từ 5 source thiết bị, giao diện chương trình “Kiwi Syslog
Server”.
Bước 4.3. Kiểm tra Service Port Syslog trên máy tính sử dụng hệ điều hành Window.
Khắc phục sự cố Syslog Server.
Kiểm tra Port 514 trên Syslog Server nếu “Kiwi Syslog Sever” không nhận được thông điệp “syslog”.
- telnet 192.168.1.3 514: Kiểm tra xem port 514 trên “Kiwi Syslog Server” đã mở hay chưa.
o Nếu xuất hiện nội dung như bên dưới tức là port 514 trên “Kiwi Syslog Server” vẫn chưa
được mở.
- netstat –aon: Theo nguyên tắc hoạt động, Kiwi Syslog có port dịch vụ là 514, và chỉ có thể có
một tiến trình (single process) chiếm dụng port này. Để kiểm tra tiến trình process nào đang
chiếm dụng port 514, ta thực hiện câu lệnh sau tại cửa sổ cmd.
C:\Syslog+Server> telnet 192.168.1.3 514
Connecting To 192.168.1.3...Could not open connection to the host, on port 514:
Connect failed
C:\Syslog+Server>
Như quan sát ở trên, tiến trình PID 560 đang chiếm dụng port 514, ta tiến hành mở “Task Manager” rồi
kết thúc tiến trình PID 560.
Bước 4.4. Thay đổi Service Port Syslog từ UDP 514 thành TCP 1468.
Cấu hình Syslog trên các thiết bị mạng sử dụng TCP.
Tinh chỉnh “syslog” sử dụng TCP port 1468.
- Giao thức Syslog hoạt động trên nền giao thức UDP mặc dù có thời gian đáp ứng nhanh nhưng
có thể dẫn đến tình huống mất thông điệp “syslog” nếu hệ thống mạng:
o Đang bị nghẽn
o Quá tải
o Môi trường truyền dẫn không tin cậy
- Nếu Syslog sử dụng TCP, thiết bị mạng sẽ gửi thông điệp “syslog” tới “Server Syslog” cho tới khi
nào nhận được hồi đáp ACK từ “Kiwi Syslog Server”.
Sw1(config)# logging host 192.168.1.3 transport tcp port 1468
Hiệu chỉnh “Kiwi Syslog Server” lắng nghe trên port 1468.
Tạo “interface vlan 3” để tiến hành khởi tạo sự kiện syslog.
Sw1(config)# interface vlan 3
Sw1(config-if)#
*Mar 1 00:43:08.397: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed
state to down
Sw1(config-if)#
Bước 4.5. Sử dụng phần mềm TFTP Server với vai trò là Syslog Server.
Bên cạnh chương trình “Kiwi Syslog Server”, ta có thể sử dụng một số phần mềm khác làm “Server
Syslog” chẳng hạn như chương trình “tftpd32.exe”.
Tạo “interface vlan 4” để tiến hành khởi tạo sự kiện syslog.
Sw1(config)# interface vlan 4
Sw1(config-if)#
*Mar 1 01:57:22.571: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan4, changed
state to down
*Mar 1 01:57:28.586: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.3 Port
1468 stopped - disconnection
Sw1(config-if)#
Ta quan sát được trên chương trình “tftpd32.exe” các thông điệp “syslog” giống như các thông điệp vừa
xuất hiện trên giao diện “console” của Sw1.
Tắt nhãn thời gian trong các thông điệp “syslog”.
- Các thông điệp “syslog” thường có đính nhãn thời gian (timestamp) ở phía trước.
Sw1(config)# no service timestamps log datetime localtime show-timezone msec
Tạo “interface vlan 5” để tiến hành khởi tạo sự kiện syslog, lúc này các thông điệp “syslog” xuất hiện mà
không có kèm nhãn “timestamp” nào cả.
Sw1(config)# interface vlan 5
Sw1(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan5, changed state to down
Sw1(config-if)#
Phần 21. Hướng dẫn cấu hình SNMP và Netflow trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 1.2. Cấu hình cơ bản trên Router R1.
- Bước 2. Cấu hình dịch vụ DHCP Service trên Cisco Router.
o Bước 2.1. Cấu hình DHCP Server trên Router R1.
o Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
- Bước 3. Cấu hình NAT Overload trên Router R1.
- Bước 4. Cấu hình SNMP trên Cisco Router.
o Bước 4.1. Cấu hình SNMP trên Router R1.
o Bước 4.2. Cài đặt phần mềm PRTG Traffic Grapher trên máy tính sử dụng hệ điều hành
Window.
o Bước 4.3. Thiết lập phần mềm PRTG Traffic Grapher để giám sát băng thông trên các
cổng giao tiếp của Router R1.
- Bước 5. Cấu hình tính năng thống kê lưu lượng Netflow trên Cisco Router.
o Bước 5.1. Cấu hình tính năng Netflow trên Router R1.
o Bước 5.2. Cài đặt phần mềm Netflow Analyzer Server trên máy tính sử dụng hệ điều
hành Window.
Bước 5.2.1. Tải phần mềm Netflow Analyzer về máy tính.
Bước 5.2.2. Cài đặt phần mềm Netflow Analyzer trên máy tính.
o Bước 5.3. Thiết lập phần mềm Netflow Analyzer để lấy dữ liệu thống kê từ Router R1.
Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
Cấu hình DHCP Client trên cổng f0/1 xin IP từ Router tại VnPro.
Cấu hình DHCP Client trên cổng f0/1.
- show ip interface brief: Kiểm tra IP được cấp từ DHCP Server trên interface f0/1.
- release dhcp f0/1: Gửi bản tin release tới DHCP Server để từ chối không sử dụng IP đã được cấp
phát IP trước đó.
- renew dhcp f0/1: Kích hoạt tiến trình xin địa chỉ IP trên interface f0/1. Nếu quá trình xin IP trên
R1 không tự động diễn ra, ta có thể thực hiện câu lệnh trên.
- show dhcp lease: Kiểm tra các thông tin xin được từ DHCP Server.
- show dhcp server: Kiểm tra các thông tin xin được từ DHCP Server.
- show ip route static: Để Router có thể ping được Internet, bảng định tuyến tại Router cần phải
có default route 0.0.0.0/0 trỏ tới default-gateway vừa được cấp xuống là 10.215.14.1.
o Thông thường sau khi f0/1 trên Router xin được IP và thông tin default-gateway, nó sẽ
tự động hình thành default route 0.0.0.0/0 trỏ tới IP của default-gateway vừa mới xin
được.
- ip route 0.0.0.0 0.0.0.0 dhcp: Thiết lập default route 0.0.0.0/0 trên Router trỏ tới IP của default-
gate xin được từ DHCP Server.
interface f0/1
ip address dhcp
no shutdown
exit
R1#
%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP address 10.215.14.99,
mask 255.255.255.0, hostname R1
R1#
Cấu hình NAT Overload trên R1 đảm bảo các PC có thể truy cập Internet.
Cấu hình NAT Overload trên R1.
- access-list 1 permit 192.168.1.0 0.0.0.255: Cho phép mạng 192.168.1.0/24 truy cập Internet.
- ping 8.8.8.8 source 192.168.1.1: Kiểm tra cấu hình NAT Overload thành công.
- show ip nat translations: Kiểm tra bảng NAT Table.
o :6 là định danh Port mà Router NAT tự chèn vào để phân biệt luồng lưu lượng ICMP.
- debug ip nat: Khảo sát tiến trình NAT Overload.
- undebug ip nat: Tắt cơ chế “debug ip nat”.
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface f0/1 overload
interface f0/1
ip nat outside
exit
interface f0/0
ip nat inside
exit
Bước 4.2. Cài đặt phần mềm PRTG Traffic Grapher trên máy tính sử dụng hệ điều hành Window.
Cài đặt SNMP Server.
Cài đặt PRTG Traffic Grapher để theo dõi lưu lượng trên interface của các thiết bị hoặc thống kê lưu
lượng trên Cardng mạng NIC của SNMP Server.
Bước 4.3. Thiết lập phần mềm PRTG Traffic Grapher để giám sát băng thông trên các cổng giao tiếp của
Router R1.
Thiết lập SNMP Server giám sát các thiết bị.
Double click vào giao diện Live Graph.
Mỗi hàng tương ứng với 1 file tải về, một traffic flow.
Tổng số Mbyte gửi ra interface Fa0/0 là 4,792 Mbyte.
Tổng số Mbyte đã gửi ra interface Fa0/0 trong ngày 12/22/2016 là 5,191 Mbyte.
Bước 5. Cấu hình tính năng thống kê lưu lượng Netflow trên Cisco Router.
Bước 5.1. Cấu hình tính năng Netflow trên Router R1.
Cấu hình Netflow trên Router.
Cấu hình Netflow trên R1 giám sát lưu lượng đi vào interface f0/0.
R1(config)#
ip flow-export destination 192.168.1.3 5000
ip flow-export version 5
interface f0/0
ip flow ingress
exit
snmp-server community bqk123
Bước 5.2. Cài đặt phần mềm Netflow Analyzer Server trên máy tính sử dụng hệ điều hành Window.
Bước 5.2.1. Tải phần mềm Netflow Analyzer về máy tính.
Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình telnet không password, cấu
hình cơ chế chống trôi dònh lệnh “logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no
ip domain-lookup”).
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Router trên các Router.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo PC1 có thể ping được tới PC2, R1 có thể
ping được tới 192.168.23.3 của R3.
Cấu hình định tuyến trên R1.
ip route 192.168.3.0 255.255.255.0 192.168.12.2
ip route 192.168.23.0 255.255.255.0 192.168.12.2
Bước 3. Cấu hình chính sách bảo mật ACL trên Cisco Router.
Bước 3.1. Cấu hình ACL giới hạn traffic Telnet trên Router R1.
Cấu hình dịch vụ telnet server trên R1, cấu hình ACL trên R1 sao cho chỉ có các thiết bị thuộc dải IP từ
192.168.1.1 tới 192.168.1.63 và dải IP từ 192.168.3.64 tới 192.168.3.127 mới có thể telnet được tới R1.
Cấu hình dịch vụ telnet server trên R1, để thuận tiện cho việc thực hành LAB, ta có thể cấu hình telnet
không password trên R1.
line vty 0 4
privilege level 15
no login
exit
Cấu hình ACL trên R1 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.1 tới 192.168.1.63 và dải IP từ
192.168.3.64 tới 192.168.3.127 mới có thể telnet được tới R1. Đối với lưu lượng telnet, ta nên cấu hình
ACL rồi áp trên “line vty 0 4”.
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access”.
R1# show ip access-list
Nếu PC1 có IP nằm trong dải 192.168.1.1 tới 192.168.1.63 thì sẽ telnet được tới R1. PC1 hiện nay có IP là
192.168.1.2 nên sẽ telnet thành công tới R1.
C:\PC1> telnet 192.168.1.1
Thiết lập lại IP của PC1 thành 192.168.1.64/24 với default-gateway là 192.168.1.1. Nếu PC1 có IP nằm
ngoài dải 192.168.1.1 tới 192.168.1.63 thì sẽ không telnet được tới R1. PC1 hiện nay có IP là
192.168.1.64 nên sẽ không telnet thành công tới R1.
C:\PC1> telnet 192.168.1.1
Nếu PC2 có IP nằm ngoài dải 192.168.3.64 tới 192.168.3.127 thì sẽ không telnet được tới R1. Nếu thiết
lập IP cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R1.
C:\PC2> telnet 192.168.1.1
Nếu PC2 có IP nằm trong dải 192.168.3.64 tới 192.168.3.127 thì sẽ telnet được tới R1. Nếu thiết lập IP
cho PC2 là 192.168.3.64/24 thì PC2 sẽ telnet được tới R1.
C:\PC2> telnet 192.168.1.1
Bước 3.2. Cấu hình ACL giới hạn traffic Telnet trên Router R2.
Cấu hình dịch vụ telnet server trên R2, cấu hình ACL trên R2 sao cho chỉ có các thiết bị thuộc dải IP từ
192.168.1.64 tới 192.168.1.127 và dải IP từ 192.168.3.128 tới 192.168.3.191 mới có thể telnet được tới
R2.
Cấu hình dịch vụ telnet server trên R2, để thuận tiện cho việc thực hành LAB, ta có thể cấu hình telnet
không password trên R2.
line vty 0 4
privilege level 15
no login
exit
Cấu hình ACL trên R2 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.64 tới 192.168.1.127 và dải IP
từ 192.168.3.128 tới 192.168.3.191 mới có thể telnet được tới R2. Đối với lưu lượng telnet, ta nên cấu
hình ACL rồi áp trên “line vty 0 4”.
access-list 1 permit 192.168.1.64 0.0.0.63
access-list 1 permit 192.168.3.128 0.0.0.63
line vty 0 4
access-class 1 in
exit
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access”.
R1# show ip access-list
Nếu PC1 có IP nằm trong dải 192.168.1.64 tới 192.168.1.127 thì sẽ telnet được tới R1. PC1 hiện nay có IP
là 192.168.1.2 nên sẽ không telnet thành công tới R2.
C:\PC1> telnet 192.168.12.2
Thiết lập lại IP của PC1 thành 192.168.1.64/24 với default-gateway là 192.168.1.1. Nếu PC1 có IP nằm
trong dải 192.168.1.64 tới 192.168.1.127 thì sẽ telnet được tới R2. PC1 hiện nay có IP là 192.168.1.64
nên sẽ telnet thành công tới R2.
C:\PC1> telnet 192.168.12.2
Nếu PC2 có IP nằm trong dải 192.168.3.128 tới 192.168.3.191 thì sẽ telnet được tới R2. Nếu thiết lập IP
cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R2.
C:\PC2> telnet 192.168.12.2
Nếu PC2 có IP nằm trong dải 192.168.3.128 tới 192.168.3.191 thì sẽ telnet được tới R2. Nếu thiết lập IP
cho PC2 là 192.168.3.64/24 thì PC2 sẽ telnet được tới R2.
C:\PC2> telnet 192.168.12.2
Bước 3.3. Cấu hình ACL giới hạn traffic Telnet trên Router R3.
Cấu hình dịch vụ telnet server trên R3, cấu hình ACL trên R3 sao cho chỉ có các thiết bị thuộc dải IP từ
192.168.1.128 tới 192.168.1.191 và dải IP từ 192.168.3.192 tới 192.168.3.254 mới có thể telnet được tới
R3.
Cấu hình dịch vụ telnet server trên R3, để thuận tiện cho việc thực hành LAB, ta có thể cấu hình telnet
không password trên R3.
line vty 0 4
privilege level 15
no login
exit
Cấu hình ACL trên R3 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.128 tới 192.168.1.191 và dải IP
từ 192.168.3.192 tới 192.168.3.254 mới có thể telnet được tới R3. Đối với lưu lượng telnet, ta nên cấu
hình ACL rồi áp trên “line vty 0 4”.
access-list 1 permit 192.168.1.128 0.0.0.63
access-list 1 permit 192.168.3.192 0.0.0.63
line vty 0 4
access-class 1 in
exit
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access”.
R1# show ip access-list
Nếu PC1 có IP nằm trong dải 192.168.1.128 tới 192.168.1.191 thì sẽ telnet được tới R3. PC1 hiện nay có
IP là 192.168.1.2 nên sẽ không telnet thành công tới R3.
C:\PC1> telnet 192.168.12.2
Nếu PC1 có IP nằm trong dải 192.168.1.128 tới 192.168.1.191 thì sẽ telnet được tới R3. PC1 hiện nay có
IP là 192.168.1.128 nên sẽ telnet thành công tới R3.
C:\PC1> telnet 192.168.12.2
Nếu PC2 có IP nằm trong dải 192.168.3.192 tới 192.168.3.254 thì sẽ telnet được tới R3. Nếu thiết lập IP
cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R3.
C:\PC2> telnet 192.168.12.2
Nếu PC2 có IP nằm trong dải 192.168.3.192 tới 192.168.3.254 thì sẽ telnet được tới R3. Nếu thiết lập IP
cho PC2 là 192.168.3.192/24 thì PC2 sẽ telnet được tới R3.
C:\PC2> telnet 192.168.12.2
Bước 3.4. Cấu hình ACL giới hạn traffic ICMP trên Router R1.
Cấu hình ACL trên R1 sao cho các PC thuộc lớp mạng 192.168.1.0/24 chỉ có thể ping được tới các thiết bị
thuộc lớp mạng 192.168.3.0/24, các PC thuộc lớp mạng 192.168.1.0/24 không thể ping được tới địa chỉ
IP của các router.
Có nhiều cách cấu hình ACL để đạt đựợc yêu cầu đặt ra, cấu hình bên dưới chỉ là một trong nhiều cách,
bạn có thể cấu hình ACL theo cách khác.
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny icmp 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
interface f0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
exit
Lúc này, PC1 vẫn có thể ping được tới IP 192.168.3.1 của R3 nên ta cần cấu hình bổ xung “access-list
100” như sau.
access-list 100 deny icmp 192.168.1.0 0.0.0.255 192.168.3.1 0.0.0.0
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny icmp 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
interface f0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
exit
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access-list”.
R1# show ip access-list
Từ PC1 sẽ ping được tới các IP thuộc lớp mạng 192.168.3.0/24 ngoại trừ 192.168.1.1 và 192.168.3.1.
PC1 có thể ping được tới IP của PC2 là 192.168.3.2.
C:\PC1> ping 192.168.3.2
Từ PC1 sẽ không thể ping được tới các IP thuộc lớp mạng 192.168.12.0/24 và 192.168.23.0/24.
C:\PC1> ping 192.168.12.1
C:\PC1> ping 192.168.12.2
C:\PC1> ping 192.168.23.2
C:\PC1> ping 192.168.23.3
Bước 3.5. Cấu hình ACL giới hạn traffic ICMP trên Router R3.
Cấu hình ACL trên R3 sao cho các PC thuộc lớp mạng 192.168.3.0/24 chỉ có thể ping được tới các thiết bị
thuộc lớp mạng 192.168.1.0/24, các PC thuộc lớp mạng 192.168.3.0/24 không thể ping được tới địa chỉ
IP của các router.
access-list 100 permit icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny icmp 192.168.3.0 0.0.0.255 any
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
interface f0/1
ip address 192.168.3.1 255.255.255.0
ip access-group 100 in
exit
Lúc này, PC2 vẫn có thể ping được tới IP 192.168.1.1 của R1 nên ta cần bổ xung “access-list 100” như
sau.
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access”.
R1# show ip access-list
Từ PC2 sẽ ping được tới các IP thuộc lớp mạng 192.168.1.0/24 ngoại trừ 192.168.1.1 và 192.168.3.1.
PC2 có thể ping được tới IP của PC1 là 192.168.1.2.
C:\PC2> ping 192.168.1.2
Từ PC2 sẽ không thể ping được tới các IP thuộc lớp mạng 192.168.12.0/24 và 192.168.23.0/24.
C:\PC2> ping 192.168.12.1
C:\PC2> ping 192.168.12.2
C:\PC2> ping 192.168.23.2
C:\PC2> ping 192.168.23.3
Phần 23. Hướng dẫn cấu hình chính sách bảo mật ACL chặn truy cập Facebook.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 1.2. Cấu hình cơ bản trên Router R1.
- Bước 2. Khởi tạo VLAN trên Switch Sw1.
- Bước 3. Cấu hình Trunk trên Cisco Switch.
o Bước 3.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
o Bước 3.2. Cấu hình Trunk trên Switch Sw1.
- Bước 4. Cấu hình InterVLAN trên Router R1.
- Bước 5. Cấu hình dịch vụ DHCP Service trên Cisco Router.
o Bước 5.1. Cấu hình DHCP Server cấp IP cho VLAN2 trên Router R1.
o Bước 5.2. Cấu hình DHCP Server cấp IP cho VLAN3 trên Router R2.
o Bước 5.3. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
- Bước 6. Cấu hình NAT Overload trên Router R1.
- Bước 7. Cấu hình dịch vụ DHCP Server trên Router R1.
- Bước 8. Cấu hình dịch vụ DNS Server trên Router R1.
- Bước 9. Cấu hình chính sách bảo mật ACL chặn truy cập Facebook trên Router R1.
Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình cơ chế chống trôi dònh lệnh
“logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no ip domain-lookup”).
Ý nghĩa của câu lệnh “exec-timeout 0 0”: Khi đang cấu hình tại giao diện console (Hyperterminal, Putty
hoặc SecureCRT), nếu sau một khoảng thời gian nhất định mà người quản trị không gõ lệnh nào cũng
như không thực hiện bất kỳ thao tác nào thì phiên truy cập console sẽ tự động bị “logout”, người quản
trị sẽ phải đăng nhập lại để tiến hành cấu hình. Câu lệnh “exec-timeout 0 0” dùng để tắt cơ chế tự động
“logout”.
Mặc định các Cisco Switch sử dụng giao thức STP (PVST+), để tăng thời gian hội tụ của hệ thống mạng, ta
có thể chỉnh giao thức RSTP (PVRST+) trên các Switch bằng câu lệnh “spanning-tree mode rapid-pvst”.
RSTP sẽ được tìm hiểu trong những bài học sau.
Trong bài LAB này, ta nên tiến hành cấu hình tính năng “spanning-tree portfast” cho các Port từ f0/1 tới
f0/6 của Sw1.
Câu lệnh “spanning-tree portfast” dùng để tăng thời gian hội tụ của hệ thống lên. Thông thường, khi PC
kết nối vào một port của Switch, đèn tín hiệu trên port lập tức chuyển thành màu cam. Port sẽ ở trạng
thái màu cam trong vòng khoảng 30 giây để tính toán chống “loop” bằng giao thức STP trước khi chuyển
sang màu xanh lá. Trong suốt khoảng thời gian 30 giây ở trạng thái màu cam, port không thể gửi hoặc
nhận dữ liệu được nên người dùng PC cần phải đợi ít nhất là 30 giây thì mới bắt đầu truy cập vào hệ
thống mạng được. Câu lệnh “spanning-tree portfast” sau khi được cấu hình trên cổng sẽ bỏ qua 30 giây
ở trạng thái màu cam và lập tức chuyển sang màu xanh lá nên người dùng mạng user có thể gửi nhận dữ
liệu liền mà không cần phải chờ đợi. Tính năng “spanning-tree portfast” chỉ nên cấu hình trên các port
đấu nối xuống PC, không nên cấu hình tính năng “spanning-tree portfast” trên các port đóng vai trò là
đường trunk. Công nghệ Trunk, STP sẽ được tìm hiểu trong những bài học sau.
Sw1(config)# interface range f0/1 - 4
Sw1(config-if-range)# switchport mode access
Sw1(config-if-range)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
spanning-tree mode rapid-pvst
interface range f0/1 - 4
switchport mode access
spanning-tree portfast
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Tạo VLAN 3 trên Sw1, đặt trên cho VLAN 3 là PhongKeToan, gom các port f0/3 tới f0/4 vào VLAN 3.
Tạo VLAN 3 rồi gom các port từ f0/4 tới f0/4 vào VLAN 3.
vlan 3
name PhongKeToan
exit
interface range f0/3 , f0/4
switchport mode access
switchport access vlan 3
spanning-tree portfast
exit
Kiểm tra thông tin VLAN.
Sw1# show vlan brief
Cấu hình trunk trên Switch Layer 2. Mặc định, Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta
không cần khai báo kiểu đóng gói trunk.
interface f0/5
switchport mode trunk
exit
Cấu hình trunk trên Switch Layer 3. Trên Switch Layer hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần
phải khai báo kiểu đóng gói đường trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/5
switchport trunk encapsulation dot1q
switchport mode trunk
exit
Kiểm tra quá trình xin địa chỉ IP trên PC1 thông qua chương trình “cmd”.
C:\PC1> ipconfig /release
C:\PC1> ipconfig /renew
C:\PC1>
Để kiểm tra xem, PC1 được cấp phát địa chỉ IP là bao nhiêu, ta có thể thực hiện câu lệnh bên dưới.
C:\PC1>
Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
R1# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.2.2 0100.00aa.aa00.01 Mar 19 2016 10:00 AM Automatic
R1#
Sau khi có địa chỉ IP, PC1 có thể giao tiếp được với các thiết bị khác, ta có thể thực hiện câu lệnh ping để
kiểm tra.
C:\PC1> ping 192.168.2.1
C:\PC1> ping 192.168.3.1
C:\PC1> ping 192.168.1.1
C:\PC1> ping 192.168.1.2
Bước 5.2. Cấu hình DHCP Server cấp IP cho VLAN3 trên Router R2.
Cấu hình DHCP Server trên R1 cấp IP xuống cho các PC và thiết bị thuộc mạng VLAN 3 dải IP thuộc lớp
mạng 192.168.3.0/24.
Cấu hình DHCP cấp IP cho các PC thuộc VLAN 3.
ip dhcp excluded-address 192.168.3.1
ip dhcp pool LAN2
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 8.8.8.8
exit
Kiểm tra quá trình xin địa chỉ IP trên PC2 thông qua chương trình “cmd”.
C:\PC2> ipconfig /release
C:\PC2> ipconfig /renew
C:\PC2>
Để kiểm tra xem, PC được cấp phát địa chỉ IP là bao nhiêu, ta có thể thực hiện câu lệnh bên dưới.
C:\PC2> ipconfig /all
C:\PC2>
Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
R1# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.3.3 0100.00aa.aa00.02 Mar 19 2016 10:04 AM Automatic
R1#
Để xem thống kê các địa chỉ IP đã cấp phát, ta thực hiện câu lệnh sau. Hiện nay, “Pool LAN2” chỉ mới cấp
phát 1 IP duy nhất trong tổng số 254 IP có thể cấp phát.
R1# show ip dhcp ?
binding DHCP address bindings
conflict DHCP address conflicts
database DHCP database agents
import Show Imported Parameters
pool DHCP pools information
relay Miscellaneous DHCP relay information
server Miscellaneous DHCP server information
Pool LAN2 :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.3.1 192.168.3.1 - 192.168.3.254 1
R1#
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác, ta có thể thực hiện câu lệnh ping để
kiểm tra.
C:\PC2> ping 192.168.3.1
C:\PC2> ping 192.168.2.1
C:\PC2> ping 192.168.1.1
C:\PC2> ping 192.168.1.2
Bước 5.3. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
Cấu hình DHCP Client trên cổng f0/1 xin IP từ Router tại VnPro.
Cấu hình DHCP Client trên cổng f0/1.
R1(config)# interface f0/1
R1(config-if)# ip address dhcp
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
interface f0/1
ip address dhcp
no shutdown
exit
Khi f0/1 trên R1 xin được IP, ta sẽ quan sát được trên giao diện hiển thị console thông điệp tương tự
như sau. Hiện nay, cổng f0/1 trên R1 được cấp IP là 10.215.11.72 với thông tin Subnet Mask là
255.255.255.0.
R1(config)#
*Mar 18 10:10:43.451: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP
address 10.215.11.72, mask 255.255.255.0, hostname R1
Để kiểm tra xem cổng f0/1 được cấp IP là bao nhiêu, ta có thể thực hiện câu lệnh sau.
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset up up
FastEthernet0/0.1 192.168.1.1 YES manual up up
FastEthernet0/0.2 192.168.2.1 YES manual up up
FastEthernet0/0.3 192.168.3.1 YES manual up up
FastEthernet0/1 10.215.11.72 YES DHCP up up
R1#
Nếu quá trình xin IP trên R1 không tự động diễn ra, ta có thể thực hiện câu lệnh sau.
R1# release dhcp f0/1
R1# renew dhcp f0/1
Để kiểm tra các thông tin xin được từ DHCP Server, tại R1 ta có thể thực hiện câu lệnh sau.
R1# show dhcp lease
Temp IP addr: 10.215.11.72 for peer on Interface: FastEthernet0/1
Temp sub net mask: 255.255.255.0
DHCP Lease server: 10.215.11.1, state: 5 Bound
DHCP transaction id: 1D78
Lease: 10800 secs, Renewal: 5400 secs, Rebind: 9450 secs
Temp default-gateway addr: 10.215.11.1
Next timer fires after: 01:26:45
Retry count: 0 Client-ID: cisco-b414.89cb.44a9-Fa0/1
Client-ID hex dump: 636973636F2D623431342E383963622E
343461392D4661302F31
Hostname: R1
R1#
R1#
R1#
Để R1 có thể ping được Internet, bảng định tuyến tại R1 cần phải có default route 0.0.0.0/0 trỏ tới
default-gateway vừa được cấp xuống là 10.215.11.1. Tùy theo dòng thiết bị, thông thường sau khi f0/1
trên R1 xin được IP và thông tin default-gateway, nó sẽ tự động hình thành default route 0.0.0.0/0 trỏ
tới IP của default-gateway vừa mới xin được. Một số dòng thiết bị khác thì không bổ xung default route
0.0.0.0/0 vào bảng định tuyến một cách tự động sau khi xin được IP và default-gateway mà chúng ta
phải bổ xung vào bảng định tuyến một cách thủ công.
R1# show ip route static
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Thiết lập default route 0.0.0.0/0 trên R1 bằng phương thức thủ công nếu route này không tự động xuất
hiện trong bảng định tuyến của R1.
R1(config)# ip route 0.0.0.0 0.0.0.0 dhcp
Kiểm tra cấu hình NAT Overload đã họat động hay chưa, nếu tiến trình diễn ra thành công là xem như
cấu hình NAT đã diễn ra thành công.
R1# ping 8.8.8.8 source 192.168.1.1
R1# ping 8.8.8.8 source 192.168.2.1
R1# ping 8.8.8.8 source 192.168.3.1
Lúc này, các PC thuộc VLAN 2 và VLAN 3 đã có thể truy cập Internet.
C:\PC2> ping 8.8.8.8
C:\PC2>
C:\PC2>
Để biết cách cài đặt SDM, tham khảo liên kết: http://www.firewall.cx/cisco-technical-
knowledgebase/cisco-routers/255-cisco-router-sdm.html
Kiểm tra kết nối từ PC1 tới R1.
C:\PC1> ping 192.168.2.1
Lúc này, tại PC1 ta có thể thử truy cập vào R1 bằng HTTP, khai báo thông tin username đăng nhập là
cisco, password là cisco.
Giao diện Web Cisco Router 2811 trên R1 sau khi đăng nhập thành công.
Lúc này, ta cần cấu hình lại DHCP để cấp lại thông tin DNS cho các PC thuộc VLAN 2 và VLAN 3 từ 8.8.8.8
thành 192.168.2.1 hoặc 192.168.3.1.
ip dhcp excluded-address 192.168.2.1
ip dhcp pool LAN1
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
no dns-server 8.8.8.8
dns-server 192.168.2.1
exit
Tại PC1, kiểm tra lại thông tin DNS, ta thấy thông tin DNS Server vẫn là 8.8.8.8.
C:\PC1> ipconfig /all
C:\PC1>
Tại PC1, ta cần phải thực hiện câu lệnh “ipconfig /release” rồi thực hiện tiếp cau lệnh “ipconfig /renew”
để cập nhật lại thông tin DNS Server nếu không muốn đợi cho đến khi PC xin gia hạn IP và cập nhật lại
thông tin DNS Server mới.
C:\PC1> ipconfig /release
C:\PC1>
C:\PC1>
C:\PC1>
Xóa bộ nhớ cache DNS trên PC, thông thường khi PC phân giải một tên miền chẳng hạn như google.com
thành địa chỉ IP, nó sẽ lưu trữ tạm thời trong bộ nhớ RAM để lần sau không cần phải phân giải lại nữa.
C:\PC1> ipconfig /flushdns
Windows IP Configuration
C:\PC1>
Tại PC1, khi phân giải tên miền www.facebook.com hoặc facebook.com, ta sẽ thấy 2 tên miền trên được
phân giải thành 192.168.2.1.
C:\PC1> nslookup
Default Server: www.facebook.com
Address: 192.168.2.1
> www.facebook.com
Server: www.facebook.com
Address: 192.168.2.1
Non-authoritative answer:
Name: www.facebook.com
Address: 192.168.2.1
> facebook.com
Server: www.facebook.com
Address: 192.168.2.1
Non-authoritative answer:
Name: facebook.com
Address: 192.168.2.1
> exit
C:\PC1>
Từ PC1, ping kiểm tra tới tên miền www.facebook.com. Đầu tiên, PC1 sẽ tiến hành liên hệ với DNS
Server 192.168.2.1 để phân giải www.facebook.com thành IP 192.168.2.1 rồi mới tiến hành ping tới địa
chỉ IP này.
C:\PC1> ping www.facebook.com
C:\PC1>
Từ PC1, ping kiểm tra tới tên miền facebook.com. Đầu tiên, PC1 sẽ tiến hành liên hệ với DNS Server
192.168.2.1 để phân giải facebook.com thành IP 192.168.2.1 rồi mới tiến hành ping tới địa chỉ IP này.
C:\PC1> ping facebook.com
C:\PC1>
Tại PC1, sử dụng Windows Internet Explorer truy cập website của R1 bằng IP.
Tại PC1, sử dụng Windows Internet Explorer truy cập www.facebook.com, kết quả hiển thị sau khi đăng
nhập là website của R1. Lúc này, tại PC1 khi truy cập www.facebook.com hoặc facebook.com, nó tự
động chuyển hướng sang website của R1.
Tuy nhiên, khi PC1 khi truy cập www.google.com và các trang web khác thì lại không được vì DNS Server
192.168.2.1 không có thông tin database liên quan tới www.google.com tương ứng với địa chỉ IP là bao
nhiêu.
C:\PC1> nslookup
> www.google.com
Server: www.facebook.com
Address: 192.168.2.1
C:\PC1>
Do vậy, tại R1 ta cần bật tính năng DNS Forwarding lên bằng câu lệnh “ip name-server 8.8.8.8”. Tức là
lúc này R1 sẽ tiến hành móc nối với DNS Server 8.8.8.8 để phân giải www.google.com thành địa chỉ IP rồi
hồi đáp lại cho các PC ở phía bên dưới.
ip dns server
ip host www.facebook.com 192.168.2.1
ip host facebook.com 192.168.2.1
ip domain lookup
ip name-server 8.8.8.8
Tại PC1, tiến hành phân giải lại tên miền www.google.com sau khi bật tính năng Forward DNS trên R1,
www.google.com được phân giải thành rất nhiều IP khác nhau vì Google có rất nhiều Web Server.
C:\PC1> nslookup
> www.google.com
Server: www.facebook.com
Address: 192.168.2.1
Non-authoritative answer:
DNS request timed out.
timeout was 2 seconds.
Name: www.google.com
Addresses: 113.171.243.153
113.171.243.177
113.171.243.168
113.171.243.183
113.171.243.158
113.171.243.167
113.171.243.187
113.171.243.173
113.171.243.162
113.171.243.163
113.171.243.178
113.171.243.172
113.171.243.182
113.171.243.152
113.171.243.157
113.171.243.148
> exit
C:\PC1>
Lúc này, PC1 có thể truy cập Website của Google thành công.
Tại PC1, ta có thể kiểm tra bộ nhớ cache DNS bằng câu lệnh sau.
C:\PC1> nslookup
C:\Windows\system32>ipconfig /displaydns
Windows IP Configuration
www.google.com
----------------------------------------
Record Name . . . . . : www.google.com
Record Type . . . . . : 1
Time To Live . . . . : 273
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 113.171.243.216
clients1.google.com
----------------------------------------
Record Name . . . . . : clients1.google.com
Record Type . . . . . : 5
Time To Live . . . . : 218
Data Length . . . . . : 4
Section . . . . . . . : Answer
CNAME Record . . . . : clients.l.google.com
teredo.ipv6.microsoft.com
----------------------------------------
Name does not exist.
ssl.gstatic.com
----------------------------------------
Record Name . . . . . : ssl.gstatic.com
Record Type . . . . . : 1
Time To Live . . . . : 285
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 216.58.216.67
C:\PC1>
Thông qua ví dụ trên, ta biết được cách chuyển hướng lưu lượng từ website này (www.facebook.com)
thành website (website R1 192.168.2.1) khác bằng cách can thiệp vào database của DNS Server. Nếu
triển khai thực tế, ta nên xây dựng một DNS Server trên nền hệ điều hành Window hoặc Linux thì tốc độ
truy cập mạng Internet của các PC sẽ nhanh hơn. Không nên lấy Router làm DNS Server hoặc DNS
Forwarding.
Bước 9. Cấu hình chính sách bảo mật ACL chặn truy cập Facebook trên Router R1.
Cấu hình ACL trên R1 cấm các PC thuộc VLAN 2 truy cập www.facebook.com, VLAN 3 vẫn có thể truy cập
www.facebook.com bình thường.
Để cấm các PC thuộc VLAN 2 truy cập www.facebook.com, VLAN 3 vẫn có thể truy cập
www.facebook.com bình thường ta chỉ cần thay đổi thông tin DNS Server trên các PC thuộc VLAN 3 bằng
cách tinh chỉnh lại DHCP Pool trên R1 như sau.
ip dhcp excluded-address 192.168.3.1
ip dhcp pool LAN2
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
no dns-server 192.168.3.1
dns-server 8.8.8.8
exit
Tại PC2 tiến hành cập nhật lại thông tin DNS Server vừa hiệu chỉnh.
C:\PC2> ipconfig /release
C:\PC2> ipconfig /renew
Tại PC2 kiểm tra lại địa chỉ DNS Server được cấp phát.
C:\PC2> ipconfig /renew
C:\PC2>
Tại PC1 thuộc VLAN 2 (LAN 1) khi truy cập www.facebook.com sẽ hiển thị giao diện website của R1.
Tại PC2 thuộc VLAN 3 (LAN 2) khi truy cập www.facebook.com sẽ hiển thị giao diện website của
www.facebook.com.
Tuy nhiên, các PC thuộc VLAN 2 (LAN 1) vẫn có thể truy cập www.facebook.com bằng cách hiệu chỉnh
DNS Server một cách thủ công sử dụng DNS 8.8.8.8 chứ không phải 192.168.2.1. Cụ thể, tại PC1, ta sẽ
tiến hành chỉnh DNS Server thành 8.8.8.8.
Kiểm tra lại thông tin DNS Server trên PC1.
C:\PC1> ipconfig /all
C:\PC1>
Để cấm triệt để các PC thuộc VLAN 2 (LAN 1) không được truy cập tới www.facebook.com, ta cần phải
viết ACL tại R1 cấm các PC thuộc VLAN 2 (lớp mạng là 192.168.2.0/24) truy cập tới dịch vụ DNS Server ở
ngoài Internet, chỉ cho phép truy cập tới dịch vụ DNS Server 192.168.2.1.
access-list 100 permit udp 192.168.2.0 0.0.0.255 host 192.168.2.1 eq 53
access-list 100 deny udp 192.168.2.0 0.0.0.255 any eq 53
access-list 100 permit ip any any
interface f0/0.2
ip access-group 100 in
exit
Windows IP Configuration
C:\PC1>
Lúc này PC1 không còn truy cập được www.facebook.com nữa vì lưu lượng phân giải tên miền tới DNS
Server 8.8.8.8 đã bị chặn bởi ACL 100 vừa cấu hình.
PC1 hiệu chỉnh lại DNS Server sử dụng xin thông tin DNS Server động.
Tại PC1, kiểm tra lại thông tin DNS Server xin được từ DHCP Server.
C:\PC1> ipconfig /all
C:\PC1>
Lúc này khi PC1 truy cập www.facebook.com sẽ tự động chuyển hướng sang website của R1.
Nếu công ty không có website nội bộ, ta có thể xây dựng database DNS phân giải tên miền
www.facebook.com thành một IP không tồn tại trên hệ thống thì cuối cùng các PC thuộc VLAN 2 (LAN 1)
cũng sẽ không thể truy cập được www.facebook.com.
ip dns server
no ip host www.facebook.com 192.168.2.1
no ip host facebook.com 192.168.2.1
ip host www.facebook.com 172.16.1.1
ip host facebook.com 172.16.1.1
ip domain lookup
ip name-server 8.8.8.8
Phần 24. Hướng dẫn cấu hình NAT Overload trên Cisco Router.
Tổng quan các bước thực hiệns:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 1.2. Cấu hình cơ bản trên Router R1.
- Bước 2. Cấu hình dịch vụ DHCP Service trên Cisco Router.
o Bước 2.1. Cấu hình DHCP Server trên Router R1.
o Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
- Bước 3. Cấu hình NAT Overload trên Cisco Router.
o Bước 3.1. Cấu hình NAT Overload trên Router R1.
o Bước 3.2. Hiệu chỉnh NAT Translation Timeout trên Router R1.
o Bước 3.3. Tấn công đánh tràn bảng MAC bằng phần mềm HyenaeFE.
Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
R1# show ip dhcp binding
Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
Cấu hình DHCP Client trên cổng f0/1 xin IP từ Router tại VnPro.
Cấu hình DHCP Client trên cổng f0/1.
R1(config)# interface f0/1
R1(config-if)# ip address dhcp
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)#
interface f0/1
ip address dhcp
no shutdown
exit
Thực hiện câu lệnh sau nếu quá trình xin IP trên R1 không tự động diễn ra.
R1# release dhcp f0/1
R1# renew dhcp f0/1
Để khảo sát tiến trình NAT Overload, ta có thể tiến hành “debug ip nat”.
- Dòng “NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]” có ý nghĩa 192.168.1.1 là Source IP
được R1 hoán đổi thành IP mặt ngoài 10.215.14.99 trước khi gửi gới IP Destination 8.8.8.8.
- Dòng “NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]” có ý nghĩa là khi Server 8.8.8.8 gửi dữ
liệu về cho 10.215.14.99 tại R1, R1 sẽ hoán đổi IP 10.215.14.99 thành 192.168.1.1 rồi gửi gói tin
về cho thiết bị có IP là 192.168.1.1.
R1# debug ip nat
R1# ping 8.8.8.8 source 192.168.1.1
R1#
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [26]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [27]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [28]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [29]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
R1#
Bước 3.2. Hiệu chỉnh NAT Translation Timeout trên Router R1.
Hiệu chỉnh “NAT translation timeout” trên R1.
- Mỗi dòng entry trong bảng NAT Table chỉ được lưu trữ trong một khỏang thời gian giới hạn mặc
định là 86400 giây (24 giờ) nếu thiết bị không phát sinh thêm bất kỳ lưu lượng nào.
- Static NAT thì không có thời gian “time out” như Dynamic NAT.
- Khi sử dụng “dynamic NAT” ta nên giảm giá trị “timeout value” xuống nếu các host trên hệ
thống chỉ có nhu cầu giao tiếp với nhau trong thời gian ngắn để các “NAT entries” nhanh chóng
được tái sử dụng bởi các phiên làm việc khác.
- Giá trị “NAT translation timeout” mặc định là 86400 giây và có thể hiệu chỉnh như sau.
R1(config)# ip nat translation timeout 86400
Mỗi loại lưu lượng sẽ có giá trị “NAT translation timeout” linh hoạt khác nhau chứ không phải lúc nào
cũng là mặc định 86400 giây cho tất cả các loại lưu lượng.
- Hiệu chỉnh “NAT translation timeout” cụ thể cho từng loại lưu lượng.
o Non-DNS UDP translations time out là 5 phút;
o DNS time out là 1 phút.
o TCP translations time out là 24 giờ, trừ phi cờ tín hiệu báo RST (reset phiên session) hoặc
FIN để kết thúc phiên session tương ứng với luồng lưu lượng (stream) thì sẽ có “NAT
translation timeout” là 1 phút.
ip nat translation udp-timeout <seconds>
ip nat translation dns-timeout <seconds>
ip nat translation tcp-timeout <seconds>
ip nat translation finrst-timeout <seconds>
Bước 3.3. Tấn công đánh tràn bảng MAC bằng phần mềm HyenaeFE.
Tấn công đánh tràn bảng NAT Table trên R1.
Để khảo sát, hiệu chỉnh “NAT translation timeout” thành “never” để các dòng “entry” trong bảng NAT
Table sẽ không bao giờ bị hết hạn.
R1(config)# ip nat translation timeout never
Truy cập liên kết sau để tải chương trình Hyenae: https://sourceforge.net/projects/hyenae/ hoặc
“search” google với từ khóa “hyenae packet generator download” để tải chương trình.
Tại PC1, trước khi sử dụng chương trình tấn công Hyenae, ta cần xác định địa chỉ MAC của Default
Gateway.
C:\PC1> ping 192.168.1.1
C:\PC1> arp –a
C:\PC1>
Tại PC1, ta sẽ tiến hành cài đặt chương trình Hyenae để mở liên tục hàng ngàn các session đi internet
nhằm mục đích chiếm dụng hết tất cả các socket (IP:Port) trên Router NAT.
- Ý nghĩa tùy chọn Source Pattern (%-192.168.1.%@80): Hyenae liên tục mở các phiên session với
Source MAC ngẫu nhiên, Source IP sẽ dao động từ 192.168.1.1 tới 192.168.1.254 sử dụng
Source Port là 80. Ta có thể thay thế 80 bằng ký tự “%” để Hyenae mở các phiên session với
Source Port ngẫu nhiên.
- Ý nghĩa tùy chọn Destination Pattern (00:1f:ca:0f:61:d8-%@80): Hyenae liên tục mở các phiên
session tới Destination MAC là địa chỉ MAC của Gateway 192.168.1.1 với MAC là
00:1f:ca:0f:61:d8, Destination IP thì thay đổi ngẫu nhiên vì ta đang phát sinh lưu lượng đi
Internet tới Destination Port là 80 (tương ứng với dịch vụ HTTP).
- Ý nghĩa tùy chọn Fixed send delay (ms): 1000: Hyenae gửi gói tin định kỳ cứ mỗi 1000 ms tương
ứng với 1 giây. Nếu muốn, ta có thể thiết lập tham số này nhỏ hơn, cứ mỗi giây mở 10 phiên
session thì có chỉnh Fixed send delay là 100.
Kiểm tra thông tin thống kê NAT.
- 291 dynamic tức là hiện nay đang có 291 dòng NAT entry trong bảng NAT Table.
- Peak translations: 292 là số lượng dòng NAT entry đỉnh điểm lên tới 292 dòng.
- Hits: 1617 tức là đã có 1617 phiên session chạy qua router NAT.
- Expired translations: 286 tức là đã có 286 dòng NAT entry hết hạn timeout và bị xóa khỏi bảng
NAT Table.
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R1#
Phần 25. Hướng dẫn cấu hình Static NAT trên Cisco Router.
hostname R1
interface f0/0
ip address 27.3.20.17 255.255.255.240
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
hostname R2
interface f0/0
no shutdown
exit
interface f0/1
ip address 192.168.12.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
hostname ISP
interface f0/0
ip address 27.3.20.29 255.255.255.240
no shutdown
exit
interface f0/1
ip address 27.3.20.33 255.255.255.240
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
ISP cấp cho R1 khách hàng thêm một IP tĩnh Public khác là 27.3.3.3 bằng cách “static route” IP 27.3.3.3
tới IP next-hop của khách hàng R1 là 27.3.20.17.
ip route 27.3.3.3 255.255.255.255 27.3.20.17
Lưu ý: Router ISP không định tuyến về mạng của khách hàng R1 nên từ router ISP sẽ không thể ping tới
IP 192.168.2.2 của Server A.
Bước 5. Cấu hình định tuyến giữa các VLAN trên Router R2.
Cấu hình định tuyến liên VLAN trên R2.
Trên R2, tạo các sub-interface rồi liên kết các sub-interface tương ứng với các VLAN theo sơ đồ đảm bảo
các PC có thể giao tiếp được với nhau.
- encapsulation dot1q 1 native: Trên cổng trunk f0/7 của Sw1 với VLAN 1 là Native VLAN, nên
phía bên f0/0.1 cần phải khai báo thêm từ khóa “native” để đồng nhất với Switch để tránh tình
huống Native VLAN mismatch.
interface f0/0
no shutdown
exit
interface f0/0.1
encapsulation dot1q 1 native
ip ađdress 192.168.1.1 255.255.255.0
exit
interface f0/0.2
encapsulation dot1q 2
ip ađdress 192.168.2.1 255.255.255.0
exit
interface f0/0.3
encapsulation dot1q 3
ip ađdress 192.168.3.1 255.255.255.0
exit
Bước 6. Cấu hình định tuyến tĩnh Static Router trên Cisco Router.
Cấu hình định tuyến trên các Router đảm bảo mạng hội tụ
Cấu hình định tuyến “static route” trên R1 và R2 đảm bảo các thiết bị bên trong “Hệ thống mạng LAN nội
bộ” có thể giao tiếp được với nhau.
- Để các thiết bị PC bên trong hệ thống mạng nội bộ có thể truy cập được Internet, ta cần cấu
hình default-route 0.0.0.0/0 trên R1 & R2.
R1(config)#
ip route 192.168.1.0 255.255.255.0 192.168.12.2
ip route 192.168.2.0 255.255.255.0 192.168.12.2
ip route 192.168.3.0 255.255.255.0 192.168.12.2
ip route 0.0.0.0 0.0.0.0 f0/0
R2(config)#
ip route 0.0.0.0 0.0.0.0 192.168.12.1
Tại R2 tiến hành ping đi Internet tới IP 27.3.20.46 với IP source là 192.168.3.1.
R2# ping 27.3.20.46 source 192.168.3.1
Bước 7.2.2. Cấu hình Static NAT trên Router R1 tiến hành Public dịch vụ TFTP Server.
Trong tình huống, chúng ta muốn Public dịch vụ “TFTP Server” trên “Server A” cho các thiết bị ở ngoài
môi trường Internet có thể truy cập tới thì trên R1, ta sẽ tiến hành sử dụng địa chỉ IP Public 27.3.3.3 để
cấu hình “static nat” tới địa chỉ IP 192.168.2.2 của TFTP Server.
R1(config)#
ip nat inside source static 192.168.2.2 27.3.3.3
Router ISP ta có thể ping được tới IP 27.3.3.3, khi R1 nhận được gói tin gửi tới IP này, nó sẽ chuyển đổi
thành IP 192.168.2.2 rồi gửi cho Server A.
ISP# ping 27.3.3.3
Copy file cấu hình running-config của router ISP lên TFTP Server thông qua IP 27.3.3.3.
- Lên TFTP Server để kiểm tra file cấu hình đã được copy hay chưa.
ISP# copy running-config tftp:
Address or name of remote host []? 27.3.3.3
Destination filename [isp-confg]? <enter>
!!
1203 bytes copied in 0.944 secs (1274 bytes/sec)
ISP#
Bước 7.2.3. Mở File cấu hình của các thiết bị bằng phần mềm WordPad.
Tại TFTP Server, ta có thể mở file cấu hình bằng chương trình WordPad.
Phần 26. Hướng dẫn cấu hình giao thức định tuyến động RIP trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Router R2.
o Bước 1.3. Cấu hình cơ bản trên Router R3.
- Bước 2. Cấu hình định tuyến động RIP trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến RIPv1 trên các Router.
o Bước 2.2. Kiểm tra các Route học được từ giao thức RIPv1 trên các Router.
o Bước 2.3. Debug quá trình quảng bác các Route bằng giao thức RIPv1 trên Router R3.
o Bước 2.4. Cấu hình định tuyến RIPv2 trên các Router.
o Bước 2.5. Kiểm tra các Route học được từ giao thức RIPv2 trên các Router.
o Bước 2.6. Debug quá trình quảng bác các Route bằng giao thức RIPv2 trên Router R3.
o Bước 2.7. Tắt cơ chế Auto Summary trên các Router chạy giao thức RIPv2.
Bước 2. Cấu hình định tuyến động RIP trên Cisco Router.
Bước 2.1. Cấu hình định tuyến RIPv1 trên các Router.
Cấu hình định tuyến RIPv1 trên các thiết bị đảm bảo mạng hội tụ. Khảo sát cơ chế hoạt động của RIPv1.
Cấu hình RIPv1 trên R1.
router rip
version 1
network 172.16.0.0
network 192.168.1.0
exit
Bước 2.2. Kiểm tra các Route học được từ giao thức RIPv1 trên các Router.
Kiểm tra bảng định tuyến trên các Router.
- show ip route | include R:
o Liệt kê các “route” học được thông qua giao thức RIP.
o Các “route” học được thông qua giao thức RIP sẽ có ký tự “R” ở phía trước.
- show ip route rip: Liệt kê các route học được từ giao thức RIP
- R3 gom các mạng từ 10.3.0.0/24 tới 10.3.3.0/24 thành Major Network 10.0.0.0 rồi quảng bá đi
nên R1 & R2 chỉ học được mạng 10.0.0.0/8.
- R1 summary mạng 192.168.1.0/26 thành Major Network là 192.168.1.0 rồi quảng bá đi nên R3
sẽ học được mạng 192.168.1.0/24.
- R2 summary mạng 192.168.1.64/26 thành Major Network là 192.168.1.0 rồi quảng bá đi nên R3
sẽ học được mạng 192.168.1.0/24.
R1# show ip route | include R
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
R 10.0.0.0/8 [120/1] via 172.16.1.3, 00:00:24, FastEthernet0/0
R1#
Bước 2.3. Debug quá trình quảng bác các Route bằng giao thức RIPv1 trên Router R3.
Khảo sát cơ chế hoạt động của RIPv1 trên R3.
- debug ip rip: bật cơ chế debug gửi nhận bản tin Update giao thức RIP.
- undebug ip rip: tắt cơ chế debug gửi nhận bản tin Update giao thức RIP.
R3# debug ip rip
Bước 2.4. Cấu hình định tuyến RIPv2 trên các Router.
Cấu hình định tuyến RIPv2 trên các thiết bị đảm bảo mạng hội tụ. Khảo sát cơ chế hoạt động của RIPv2..
Cấu hình RIPv2 trên R1.
router rip
version 2
network 172.16.0.0
network 192.168.1.0
exit
Bước 2.5. Kiểm tra các Route học được từ giao thức RIPv2 trên các Router.
Kiểm tra bảng định tuyến trên các Router.
- R3 gom các mạng từ 10.3.0.0/24 tới 10.3.3.0/24 thành Major Network 10.0.0.0/8 (cơ chế auto-
summary) rồi quảng bá đi nên R1 & R2 học được mạng 10.0.0.0/8.
- R2 thực hiện auto-summary mạng 192.168.1.64/26 thành Major Network 192.168.1.0/24 rồi
quảng bá đi nên R1 & R3 học được mạng 192.168.1.0/24.
- R1 thực hiện auto-summary mạng 192.168.1.0/26 thành Major Network 192.168.1.0/24 rồi
quảng bá đi nên R2 & R3 học được mạng 192.168.1.0/24.
R1# show ip route | include R
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
R 10.0.0.0/8 [120/1] via 172.16.1.3, 00:00:27, FastEthernet0/0
R 192.168.1.0/24 [120/1] via 172.16.1.2, 00:00:15, FastEthernet0/0
R1#
Bước 2.6. Debug quá trình quảng bác các Route bằng giao thức RIPv2 trên Router R3.
Khảo sát cơ chế hoạt động của RIPv2 trên R3.
R3# debug ip rip
RIP: ignored v2 packet from 10.3.2.1 (sourced from one of our addresses)
RIP: ignored v2 packet from 10.3.3.1 (sourced from one of our addresses)
Bước 2.7. Tắt cơ chế Auto Summary trên các Router chạy giao thức RIPv2.
Tắt cơ chế tự động summary trên các router chạy RIPv2.
- Để R3 học được các mạng chính xác từ R1 và R2, ta cần tắt cơ chế auto-summary trên R1 & R2.
- R3 vẫn còn lưu các mạng cũ 192.168.1.0/24 học được từ R1 và R2 trong vòng khoảng 240 giây,
sau khoảng thời gian này, các mạng 192.168.1.0/24 sẽ tự động xóa khỏi bảng định tuyến của R3.
R3# show ip route rip
…
R 192.168.1.0/24 [120/1] via 172.16.1.2, 00:00:21, FastEthernet0/0
[120/1] via 172.16.1.1, 00:00:11, FastEthernet0/0
R3#
R1#
router rip
version 2
network 172.16.0.0
network 192.168.1.0
no auto-summary
exit
R2#
router rip
version 2
network 172.16.0.0
network 192.168.1.0
no auto-summary
exit
R3# show ip route rip
…
R 192.168.1.0/24 [120/1] via 172.16.1.2, 00:01:10, FastEthernet0/0
[120/1] via 172.16.1.1, 00:01:12, FastEthernet0/0
R 192.168.1.0/26 [120/1] via 172.16.1.1, 00:00:17, FastEthernet0/0
R 192.168.1.64/26 [120/1] via 172.16.1.2, 00:00:11, FastEthernet0/0
R3#
R3#
router rip
version 2
network 172.16.0.0
network 10.0.0.0
no auto-summary
exit
R1#
Lúc này, các mạng loopback giữa các router đã thông suốt, ta có thể tiến hành ping để kiểm tra.
R3# ping 192.168.1.1 source 10.3.0.1
R3# ping 192.168.1.65 source 10.3.0.1
Phần 27. Hướng dẫn cấu hình giao thức định tuyến động OSPF trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Router R2.
o Bước 1.3. Xác định định danh các cổng Serial trên Cisco Router.
o Bước 1.4. Cấu hình cơ bản trên Router R3.
o Bước 1.5. Cấu hình cơ bản trên Router R4.
- Bước 2. Cấu hình giao thức định tuyến động OSPF trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến OSPF trên các Router.
o Bước 2.2. Khảo sát bảng OSPF Neighbor trên các Router.
o Bước 2.3. Kiểm tra các OSPF Route học được trên các Router.
o Bước 2.4. Hiệu chỉnh Router-ID trên các Router.
o Bước 2.5. Xác định Router-ID của các Router láng giềng trong bảng OSPF Neighbor.
o Bước 2.6. Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
o Bước 2.7. Hiệu chỉnh Metric trong giao thức OSPF.
Bước 2.7.1. Hiệu chỉnh Metric trên Router R3.
Bước 2.7.2. Hiệu chỉnh Metric trên Router R4.
Bước 1.3. Xác định định danh các cổng Serial trên Cisco Router.
Bước 1.4. Cấu hình cơ bản trên Router R3.
hostname R3
interface f0/0
ip address 172.16.1.3 255.255.255.0
no shutdown
exit
interface f0/1
ip address 172.16.4.3 255.255.255.248
no shutdown
exit
interface s0/2/0
ip address 172.16.3.3 255.255.255.248
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Cấu hình định tuyến OSPF trên các router đảm bảo hệ thống mạng hội tụ.
- ip ospf network point-to-point:
o Các interface loopback được OSPF Router xem như là các mạng cụt “stub host” và sẽ
được quảng bá đi với prefix-length /32 tương ứng với địa chỉ IP của Interface loopback
chứa không phải toàn bộ lớp mạng của interface loopback. Chẳng hạn thay vì R2 quảng
bá mạng 192.168.1.64/24 thì R2 lại quảng bá mạng 192.168.1.65/32.
o Ta cần hiệu chỉnh Network Type trên các Interface loopback từ Stub Host thành Point-
to-point để Router quảng bá toàn bộ lớp mạng của interface loopback chứ không phải IP
cụ thể của interface loopback.
Bước 2.2. Khảo sát bảng OSPF Neighbor trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên router R1.
R1# show ip ospf neighbor
Kiểm tra bảng danh sách láng giềng “neighbor table” trên router R2.
R2# show ip ospf neighbor
Kiểm tra bảng danh sách láng giềng “neighbor table” trên router R3.
R3# show ip ospf neighbor
Kiểm tra bảng danh sách láng giềng “neighbor table” trên router R4.
R4# show ip ospf neighbor
Bước 2.3. Kiểm tra các OSPF Route học được trên các Router.
Kiểm tra bảng định tuyến trên các Router.
- “O”: Các “route” học được thông qua giao thức OSPF sẽ có ký tự “O” ở phía trước.
- “IA’: Các “route” có thêm ký tự “IA” ám chỉ “route” học được từ các “area” khác, chẳng hạn như
R1 thuộc “area 0” học được các “route” từ “area 1”.
Kiểm tra kết nối giữa các interface loopback đã thông suốt hay chưa.
R4# ping 192.168.1.1 source 10.4.0.1
R4# ping 192.168.1.65 source 10.4.0.1
Kiểm tra và hiệu chỉnh giá trị Router-ID trên các Router.
Hiệu chỉnh Router-ID trên R1.
R1(config)# router ospf 1
R1(config-router)# router-id 0.0.0.1
% OSPF: Reload or use "clear ip ospf process" command, for this to take effect
R1(config-router)# end
R1# clear ip ospf process
Reset ALL OSPF processes? [no]: y
R1#
Bước 2.5. Xác định Router-ID của các Router láng giềng trong bảng OSPF Neighbor.
Khảo sát lại bảng “neighbor table” trên các router.
R1# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
0.0.0.2 1 FULL/DR 00:00:39 172.16.1.2 FastEthernet0/0
0.0.0.3 1 FULL/BDR 00:00:39 172.16.1.3 FastEthernet0/0
R1#
Bước 2.6. Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
Trên phân đoạn mạng 172.16.1.0/24, R1 làm DR và R2 làm BDR.
Trên phân đoạn mạng 172.16.4.0/29, R3 làm DR và R4 làm BDR.
Hiệu chỉnh vai trò DR và BDR trên phân đọan mạng 172.16.1.0/24 với R1 làm DR và R2 làm BDR.
Để hiệu chỉnh R1 làm DR, R2 làm BDR và R3 sẽ làm DROther, ta sẽ thiết lập giá trị Priority cho các router
lần lượt như sau:
- Giá trị Priority trên f0/0 của R1: 250
- Giá trị Priority trên f0/0 của R2: 200
- Giá trị Priority trên f0/0 của R3: 0
o Router có giá trị Priority là 0 luôn đóng vai trò là DROther vì sẽ không bao giờ tham gia
vào quá trình bầu chọn DR và BDR.
Tại một router bất kỳ (R1, R2, R3) ta có thể xác định vai trò của DR và BDR.
- DR chính là R1 có Router-ID 0.0.0.1
- BDR là R2 có Router-ID là 0.0.0.2.
R3# show ip ospf interface f0/0
FastEthernet0/0 is up, line protocol is up
Internet Address 172.16.1.3/24, Area 0
Process ID 1, Router ID 0.0.0.3, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DROTHER, Priority 0
Designated Router (ID) 0.0.0.1, Interface address 172.16.1.1
Backup Designated router (ID) 0.0.0.2, Interface address 172.16.1.2
…
R3#
Ta cũng có thể xác định vai trò của DR và BDR bằng cách thực hiện câu lệnh “show ip ospf neighbor” trên
các router.
R1# show ip ospf neighbor
Hiệu chỉnh vai trò DR và BDR trên phân đọan mạng 172.16.4.0/24 với R3 làm DR và R4 làm BDR.
Để hiệu chỉnh R3 làm DR, R4 làm BDR, ta sẽ thiết lập giá trị Priority cho các router lần lượt như sau:
- Giá trị Priority trên f0/1 của R3: 100
- Giá trị Priority trên f0/1 của R4: 1 (default)
Hiệu chỉnh giá trị Priority trên R3.
R3(config)# interface f0/1
R3(config-if)# ip ospf priority 100
R3(config-if)# end
R3# clear ip ospf process
Reset ALL OSPF processes? [no]: y
R3#
Tại một router bất kỳ (R3, R4) ta có thể xác định vai trò của DR và BDR.
- DR chính là R3 có Router-ID 0.0.0.3.
- BDR là R4 có Router-ID là 0.0.0.4.
R3# show ip ospf interface f0/1
FastEthernet0/1 is up, line protocol is up
Internet Address 172.16.4.3/29, Area 1
Process ID 1, Router ID 0.0.0.3, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State DR, Priority 100
Designated Router (ID) 0.0.0.3, Interface address 172.16.4.3
Backup Designated router (ID) 0.0.0.4, Interface address 172.16.4.4
…
R3#
Ta cũng có thể xác định vai trò của DR và BDR bằng cách thực hiện câu lệnh “show ip ospf neighbor” trên
các router.
R3# show ip ospf neighbor
Kiểm tra giá trị Cost hiện tại trên cổng f0/1 của R3.
R3# show ip ospf interface f0/1
FastEthernet0/1 is up, line protocol is up
Internet Address 172.16.4.3/29, Area 1
Process ID 1, Router ID 0.0.0.3, Network Type BROADCAST, Cost: 1
…
R3#
Chỉnh cost trên interface s0/2/0 bằng cost trên cổng f0/1.
R3(config)# interface s0/2/0
R3(config-if)# ip ospf cost 1
Kiểm tra giá trị Cost hiện tại trên cổng f0/1 của R4.
R4# show ip ospf interface f0/1
FastEthernet0/1 is up, line protocol is up
Internet Address 172.16.4.4/29, Area 1
Process ID 1, Router ID 0.0.0.4, Network Type BROADCAST, Cost: 1
…
R4#
Chỉnh Cost trên cổng s0/2/0 của R4 bằng cost cổng f0/1.
R4(config)# interface s0/2/0
R4(config-if)# ip ospf cost 1
Phần 28. Hướng dẫn cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
Bước 2. Cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
Bước 2.1. Cấu hình định tuyến EIGRP trên các Router.
Cấu hình định tuyến EIGRP trên các router đảm bảo hệ thống mạng hội tụ.
Cấu hình định tuyến EIGRP trên các Router.
Cấu hình định tuyến EIGRP trên R1.
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.63
exit
Bước 2.2. Kiểm trang bảng EIGRP Neighbor trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên các Router.
R1# show ip eigrp neighbors
IP-EIGRP neighbors for process 1234
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 172.16.1.3 Fa0/0 13 00:01:09 4 300 0 16
0 172.16.1.2 Fa0/0 12 00:01:21 817 5000 0 8
R1#
Bước 2.3. Kiểm tra các EIGRP Route trên các Router.
Kiểm tra bảng định tuyến trên các Router.
- D: Các “route” học được thông qua giao thức EIGRP sẽ có ký tự “D” ở phía trước.
- R1 không học được đường đi đến mạng 192.168.1.64/26 của R2 vì R2 tự động auto-summary
mạng 192.168.1.64/26 thành Major Network 192.168.1.0/24 rồi mới quảng bá qua cho R1, R1
cũng có đường đi đến mạng 192.168.1.0/24 (tương ứng với mạng 192.168.1.0/26 tại R1) là
mạng kết nối trực tiếp với R1 nên R1 sẽ không học vào mạng 192.168.1.0/24 từ R2 quảng bá tới
(mạng kết nối trực tiếp có AD = 0 ưu tiên hơn so với mạng học được từ giao thức EIGRP có AD =
90).
- R1 không học được các mạng loopback cụ thể của R4 (10.4.0.0/24, 10.4.1.0/24, 10.4.2.0/24,
10.4.3.0/24) mà lại học được mạng tổng 10.0.0.0/8 vì R4 sử dụng cơ chế auto-summary các
loopback của mình lại thành Major Network 10.0.0.0/8 rồi mới quảng bá đi.
- Bảng định tuyến của R1 xuất hiện các mạng summary chẳng hạn như 172.16.0.0/16 và
192.168.1.0/24 trỏ tới interface Null0 để mục đích là tránh loop, cơ chế này sẽ được tìm hiểu
trong khóa ROUTE của chương trình CCNP Routing & Switching.
- R3 học được 2 đường đi đến mạng 192.168.1.0/24 với lý do là R1 trước khi quảng bá mạng
192.168.1.0/26 thì đã tiến hành auto-summary thành Major Network 192.168.1.0/24 rồi mới
quảng bá đi, R2 cũng tương tự tiến hành auto-summary mạng 192.168.1.64/26 thành Major
Network 192.168.1.0/24.
R1# show ip route eigrp
172.16.0.0/16 is variably subnetted, 4 subnets, 3 masks
D 172.16.4.0/29 [90/30720] via 172.16.1.3, 00:03:31, FastEthernet0/0
D 172.16.0.0/16 is a summary, 00:03:56, Null0
D 172.16.3.0/29 [90/2172416] via 172.16.1.3, 00:03:31, FastEthernet0/0
D 10.0.0.0/8 [90/158720] via 172.16.1.3, 00:02:40, FastEthernet0/0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
D 192.168.1.0/24 is a summary, 00:03:41, Null0
R1#
R2#
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.64 0.0.0.63
no auto-summary
exit
R3#
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
no auto-summary
exit
R4#
router eigrp 1234
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
network 10.4.0.0 0.0.0.255
network 10.4.1.0 0.0.0.255
network 10.4.2.0 0.0.0.255
network 10.4.3.0 0.0.0.255
no auto-summary
exit
Bước 2.5. Kiểm tra bảng định tuyến trên các Router sau khi tắt cơ chế Auto-Summary.
Kiểm tra lại bảng định tuyến trên các Router.
- R1 đã học được các mạng loopback cụ thể của R2 và R4.
- R2 đã học được các mạng loopback cụ thể của R1 và R4.
- R3 đã học được các mạng loopback cụ thể của R1, R2 và R4.
- R4 đã học được các mạng loopback cụ thể của R1, R2.
Tại R3, thực hiện “shutdown” cổng f0/1, hướng đi tới các mạng loopback của R4 sẽ di chuyển theo
hướng s0/2/0.
R3(config)# interface f0/1
R3(config-if)# shutdown
R3(config-if)# end
R3# show ip route eigrp
10.0.0.0/24 is subnetted, 4 subnets
D 10.4.2.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.3.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.0.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.1.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
…
R3#
Tại R3, khôi phục lại cổng f0/1 bằng câu lệnh “no shutdown”, ta sẽ thấy hướng đi đến các mạng
loopback của R4 sẽ chuyển hướng lại sang f0/1.
R3(config)# interface f0/1
R3(config-if)# no shutdown
R3(config-if)# end
Để hiệu chỉnh tại R3 có 2 đường đi đến các mạng loopback của R4.
- Hiệu chỉnh Metric trên 2 hướng f0/1 và s0/2/0 tại R3 bằng nhau.
- Tại R3, chỉnh Bandwidth và Delay trên 2 cổng f0/1 và s0/2/0 bằng nhau sẽ khiến cho R3 cân bằng
tải qua 2 đường tới các mạng loopback của R4.
Tại R3, kiểm tra Bandwidth và Delay trên cổng f0/1 & s0/2/0.
R3# show interfaces f0/1
FastEthernet0/1 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 001f.6ce0.3c69 (bia 001f.6ce0.3c69)
Internet address is 172.16.4.3/29
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
…
R3#
Tại R3, hiệu chỉnh Bandwidth và Delay trên cổng s0/2/0 bằng với f0/1.
R3(config)# interface s0/2/0
R3(config-if)# bandwidth ?
<1-10000000> Bandwidth in kilobits
inherit Specify that bandwidth is inherited
receive Specify receive-side bandwidth
R3(config-if)# delay 10
Tại R3, kiểm tra lại Bandwidth và Delay trên cổng s0/2/0 sau khi hiệu chỉnh. Lúc này, Bandwidth và Delay
trên cổng s0/2/0 đã bằng với f0/1.
R3# show interfaces s0/2/0
Serial0/2/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.3.3/29
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
…
R3#
Tại R3 xuất hiện 2 đường đi đến các mạng loopback của R4.
R3# show ip route eigrp
10.0.0.0/24 is subnetted, 4 subnets
D 10.4.2.0 [90/156160] via 172.16.4.4, 00:02:28, FastEthernet0/1
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
D 10.4.3.0 [90/156160] via 172.16.4.4, 00:02:28, FastEthernet0/1
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
D 10.4.0.0 [90/156160] via 172.16.4.4, 00:02:28, FastEthernet0/1
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
D 10.4.1.0 [90/156160] via 172.16.4.4, 00:02:28, FastEthernet0/1
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
…
R3#
Ta có thể kiểm tra cơ chế cân bằng tải bằng câu lệnh “traceroute”.
R3# traceroute 10.4.0.1
R3# traceroute 10.4.1.1
R3# traceroute 10.4.2.1
R3# traceroute 10.4.3.1
Hiện nay, R4 chỉ có một đường đi tới các mạng loopback của R1 192.168.1.0/26 và 192.168.1.64/26 tại
R2.
R4# show ip route eigrp
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
D 172.16.1.0/24 [90/30720] via 172.16.4.3, 00:15:00, FastEthernet0/1
192.168.1.0/26 is subnetted, 2 subnets
D 192.168.1.64 [90/158720] via 172.16.4.3, 00:15:00, FastEthernet0/1
D 192.168.1.0 [90/158720] via 172.16.4.3, 00:15:00, FastEthernet0/1
R4#
Kiểm tra topology trên R4, ta thấy có đến 2 đường đi đến các mạng loopback của R1 và R2.
- Hướng đi qua cổng f0/1 là Successor (đường chính tốt nhất) vì FD qua hướng cổng này là
158720.
- FD qua hướng cổng s0/2/0 có gía trị lớn hơn là 2300416. Hướng đi qua cổng s0/2/0 đang đóng
vai trò là Feasible Successor (đường dự phòng) vì AD của đường này là 156160 nhỏ hơn FD min là
158720.
R4# show ip eigrp topology
…
P 192.168.1.64/26, 1 successors, FD is 158720
via 172.16.4.3 (158720/156160), FastEthernet0/1
via 172.16.3.3 (2300416/156160), Serial0/2/0
P 192.168.1.0/26, 1 successors, FD is 158720
via 172.16.4.3 (158720/156160), FastEthernet0/1
via 172.16.3.3 (2300416/156160), Serial0/2/0
R4#
Nhưng khi “show” bảng định tuyến tại R4, ta chỉ thấy một đường đi đến các mạng loopback của R1 và R2
vì bảng định tuyến chỉ chứa những route gọi là tốt nhất.
R4# show ip route eigrp
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
D 172.16.1.0/24 [90/30720] via 172.16.4.3, 00:26:13, FastEthernet0/1
192.168.1.0/26 is subnetted, 2 subnets
D 192.168.1.64 [90/158720] via 172.16.4.3, 00:26:13, FastEthernet0/1
D 192.168.1.0 [90/158720] via 172.16.4.3, 00:26:13, FastEthernet0/1
R4#
Tiến hành hiệu chỉnh tham số “variance” trên R4 để cân bằng tải tới các mạng loopback của R1 và R2
trên 2 đường có Metric không bằng nhau.
- Giá trị “variance” sẽ được nhân cho FDmin, các đường dự phòng Feasible Success chỉ được cân
bằng tải khi FD của Feasbile Success nhỏ hơn giá trị “variance” nhân với FD min.
- Để xác định chỉ số “variance” cần hiệu chỉnh, ta có thể lấy FD của Feasible Successor chia cho FD
của Successor (2300416/158720=14.5 làm tròn giá trị variance thành 15).
Kiểm tra lại bảng định tuyến trên R4, cân bằng tải đã được thực hiện.
R4# show ip route eigrp
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
D 172.16.1.0/24 [90/30720] via 172.16.4.3, 00:00:31, FastEthernet0/1
192.168.1.0/26 is subnetted, 2 subnets
D 192.168.1.64 [90/158720] via 172.16.4.3, 00:00:31, FastEthernet0/1
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
D 192.168.1.0 [90/158720] via 172.16.4.3, 00:00:31, FastEthernet0/1
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
R4#
R4 đã xuất hiện 2 đường đi tới các mạng loopback của R1 và R2 nhưng với Metric lệnh nhau.
R4# show ip route eigrp
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
D 172.16.1.0/24 [90/30720] via 172.16.4.3, 00:00:31, FastEthernet0/1
192.168.1.0/26 is subnetted, 2 subnets
D 192.168.1.64 [90/158720] via 172.16.4.3, 00:00:31, FastEthernet0/1
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
D 192.168.1.0 [90/158720] via 172.16.4.3, 00:00:31, FastEthernet0/1
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
R4#
Bước 2.6.3. Xác định tỉ lệ cân bằng tải Load Balance trên Router R4.
Để kiểm tra tỉ lệ cân bằng tải.
- Router dựa vào Metric để tính toán tỉ lệ cân bằng tải, 240/17 = 14, Metric 2300416/158720 = 14.
Phần 29. Hướng dẫn cấu hình giao thức PPP trên Cisco Router.
hostname HCM
interface s0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 512000
no shutdown
exit
interface loopback 1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.4. Kiểm tra trạng thái cổng giao tiếp Serial trên các Router.
HCM# show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 unassigned YES unset administratively down down
Serial0/0/0 172.16.0.1 YES manual up up
Loopback1 192.168.1.1 YES manual up up
HCM#
Tiến hành ping kiểm tra kết nối giữa 2 cổng Serial.
HCM# ping 172.16.0.2
Bước 2. Cấu hình giao thức PPP trên cổng giao tiếp Serial trên các Cisco Router.
Bước 2.1. Kiểm tra giao thức chạy mặc định trên các cổng Serial trên các Router.
HCM# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.1/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:11:09
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
181 packets input, 10716 bytes, 0 no buffer
Received 98 broadcasts, 0 runts, 0 giants, 0 throttles
6 input errors, 0 CRC, 0 frame, 3 overrun, 0 ignored, 3 abort
169 packets output, 11296 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
1 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
4 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=down
HCM#
BD#
Bước 2.2. Kích hoạt giao thức PPP trên các cổng giao tiếp Serial trên các Router.
HCM(config)# interface s0/0/0
HCM(config-if)# encapsulation ?
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
sdlc SDLC
sdlc-primary SDLC (primary)
sdlc-secondary SDLC (secondary)
smds Switched Megabit Data Service (SMDS)
stun Serial tunneling (STUN)
x25 X.25
Kiểm tra giao thức đang chạy trên các cổng Serial.
HCM# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.1/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:04:16
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 1 packets/sec
101 packets input, 4839 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
95 packets output, 4807 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
16 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
8 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=down
HCM#
BD#
Bước 2.3. Triển khai cơ chế xác thực PAP Authentication trên nền giao thức PPP.
Cấu hình xác thực PAP trên các Router sử dụng username là cisco, password là cisco.
Cấu hình xác thực PAP trên Router HCM.
username cisco password cisco
interface s0/0/0
ppp authentication pap
ppp pap sent-username cisco password cisco
exit
Nếu xác thực không thành công, ta sẽ thấy cổng giao tiếp Serial rơi vào trạng thái “line protocol is
down”.
BD# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is down
Hardware is GT96K Serial
Internet address is 172.16.0.2/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Listen, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:10:42
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 2000 bits/sec, 13 packets/sec
5 minute output rate 2000 bits/sec, 13 packets/sec
1799 packets input, 37622 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1746 packets output, 32189 bytes, 0 underruns
0 output errors, 0 collisions, 48 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
118 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
BD#
Nếu xác thực thành công, ta sẽ thấy cổng giao tiếp Serial rơi vào trạng thái “line protocol is up”.
HCM# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.1/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:26:34
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
11370 packets input, 181662 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
11425 packets output, 186314 bytes, 0 underruns
0 output errors, 0 collisions, 422 interface resets
16 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
752 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=down
HCM#
BD#
Sử dụng câu lệnh “debug ppp authentication” để quan sát tiến trình xác thực.
BD# debug ppp authentication
PPP authentication debugging is on
BD# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
BD(config)# interface s0/0/0
BD(config-if)# shutdown
BD(config-if)#
*Apr 27 04:56:13.743: %LINK-5-CHANGED: Interface Serial0/0/0, changed state to
administratively down
*Apr 27 04:56:14.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0,
changed state to down
BD(config-if)# no shutdown
BD(config-if)#
BD(config-if)#
Để gỡ bỏ cấu hình xác thực PAP trên Router HCM, ta thực hiện câu lệnh sau.
no username cisco password cisco
interface s0/0/0
no ppp authentication pap
no ppp pap sent-username cisco password cisco
exit
Để gỡ bỏ cấu hình xác thực PAP trên Router BD, ta thực hiện câu lệnh sau.
no username cisco password cisco
interface s0/0/0
no ppp authentication pap
no ppp pap sent-username cisco password cisco
exit
Bước 2.4. Triển khai cơ chế xác thực CHAP Authentication trên nền giao thức PPP.
Cấu hình xác thực CHAP trên các Router sử dụng password chung là cisco.
Cấu hình xác thực CHAP trên Router HCM.
username BD password cisco
interface s0/0/0
ppp authentication chap
exit
Để quan sát tiến trình xác thực, ta thực hiện câu lệnh “debug ppp authentication”.
BD# debug ppp authentication
PPP authentication debugging is on
BD# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
BD(config)# interface s0/0/0
BD(config-if)# shutdown
BD(config-if)# no shutdown
*Apr 27 05:12:28.243: %LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
*Apr 27 05:12:28.243: Se0/0/0 PPP: Using default call direction
*Apr 27 05:12:28.243: Se0/0/0 PPP: Treating connection as a dedicated line
*Apr 27 05:12:28.243: Se0/0/0 PPP: Session handle[78000187] Session id[383]
*Apr 27 05:12:28.243: Se0/0/0 PPP: Authorization required
*Apr 27 05:12:28.247: Se0/0/0 CHAP: O CHALLENGE id 1 len 23 from "BD"
*Apr 27 05:12:28.247: Se0/0/0 CHAP: I CHALLENGE id 1 len 24 from "HCM"
*Apr 27 05:12:28.251: Se0/0/0 CHAP: Using hostname from unknown source
*Apr 27 05:12:28.251: Se0/0/0 CHAP: Using password from AAA
*Apr 27 05:12:28.251: Se0/0/0 CHAP: O RESPONSE id 1 len 23 from "BD"
*Apr 27 05:12:28.251: Se0/0/0 CHAP: I RESPONSE id 1 len 24 from "HCM"
*Apr 27 05:12:28.251: Se0/0/0 PPP: Sent CHAP LOGIN Request
*Apr 27 05:12:28.255: Se0/0/0 PPP: Received LOGIN Response PASS
*Apr 27 05:12:28.255: Se0/0/0 PPP: Sent LCP AUTHOR Request
*Apr 27 05:12:28.255: Se0/0/0 PPP: Sent IPCP AUTHOR Request
*Apr 27 05:12:28.255: Se0/0/0 CHAP: I SUCCESS id 1 len 4
*Apr 27 05:12:28.259: Se0/0/0 LCP: Received AAA AUTHOR Response PASS
*Apr 27 05:12:28.259: Se0/0/0 IPCP: Received AAA AUTHOR Response PASS
*Apr 27 05:12:28.259: Se0/0/0 CHAP: O SUCCESS id 1 len 4
*Apr 27 05:12:28.259: Se0/0/0 PPP: Sent CDPCP AUTHOR Request
*Apr 27 05:12:28.263: Se0/0/0 PPP: Sent IPCP AUTHOR Request
*Apr 27 05:12:28.263: Se0/0/0 CDPCP: Received AAA AUTHOR Response PASS
BD(config-if)#
Nếu xác thực thành công, cổng giao tiếp Serial sẽ ở trạng thái “line-protocol is up”.
HCM# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.1/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 00:51:54
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 2 packets/sec
5 minute output rate 1000 bits/sec, 2 packets/sec
11935 packets input, 206142 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
12190 packets output, 224456 bytes, 0 underruns
0 output errors, 0 collisions, 423 interface resets
16 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
756 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=down
HCM#
BD# show interfaces s0/0/0
Serial0/0/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 172.16.0.2/30
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, loopback not set
Keepalive set (10 sec)
CRC checking enabled
Last input 00:00:02, output 00:00:02, output hang never
Last clearing of "show interface" counters 00:51:34
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 1 packets/sec
12193 packets input, 225523 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
11941 packets output, 206347 bytes, 0 underruns
0 output errors, 0 collisions, 411 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
704 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
BD#
Để tắt cơ chế “debug ppp authentication”, ta thực hiện câu lệnh sau.
BD# undebug ppp authentication
PPP authentication debugging is off
BD#
Bước 3. Cấu hình định tuyến tĩnh Static Route trên các Router.
Cấu hình định tuyến giữa các Router đảm bảo các mạng Loopback có thể giao tiếp được với nhau.
Để các “interface loopback” trên các Router có thể giao tiếp được với nhau, ta có thể sử dụng nhiều
phương thức định tuyến như Static Route, Dynamic Route (RIP, OSPF, EIGRP).
Cấu hình định tuyến tĩnh Static Route trên Router HCM.
ip route 192.168.2.0 255.255.255.0 172.16.0.2
Cấu hình định tuyến tĩnh Static Route trên Router BD.
ip route 192.168.1.0 255.255.255.0 172.16.0.1
Kiểm tra các mạng trên các “interface loopback” đã thông suốt với nhau hay chưa, ta thực hiện câu lệnh
sau.
HCM# ping 192.168.2.1 source 192.168.1.1
interface virtual-template 1
ip add 114.79.40.1 255.255.255.0
peer default ip address pool MyPool
ppp authentication chap callin
ip nat inside
exit
ip local pool MyPool 114.79.40.2 114.79.40.253
interface e0/0
pppoe enable group MyGroup
exit
interface e0/1
ip address dhcp
ip nat outside
exit
interface dialer1
dialer pool 1
encapsulation ppp
ip address negotiated
mtu 1492
ppp chap hostname zonelan1
ppp chap password 1357
exit
interface e0/0
pppoe-client dial-pool-number 1
exit
Bước 3. Cấu hình NAT Overload trên Interface Dialer của PPPoE Client.
Cấu hình PAT (NAT Overload) đảm bảo hệ thống mạng nội bộ có thể truy cập được Internet.
Cấu hình DHCP Server và PAT trên Router CPE1.
interface dialer1
ip nat outside
exit
interface f0/1
ip address 172.16.1.1 255.255.255.0
ip nat inside
exit
ip nat inside source list 1 interface dialer1 overload
access-list 1 permit 172.16.1.0 0.0.0.255
Phần 30. Hướng dẫn cấu hình xác thực phiên kết nối PPPoE trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Giả lập PPPoE Server trên Cisco Router.
- Bước 2. Cấu hình PPPoE Client sử dụng cơ chế xác thực CHAP Authentication trên Cisco Router.
o Bước 2.1. Cấu hình PPPoE Client trên Router CPE1.
o Bước 2.2. Cấu hình PPPoE Client trên Router CPE2.
- Bước 3. Cấu hình dịch vụ DHCP Server trên các Router.
- Bước 4. Cấu hình NAT Overload trên các Router.
hostname ISP
interface virtual-template 1
ip add 114.79.40.1 255.255.255.0
peer default ip address pool MyPool
ppp authentication chap callin
ip nat inside
exit
interface e0/0
no keepalive
no ip address
pppoe enable group MyGroup
no shutdown
exit
interface e0/1
ip address dhcp
ip nat outside
no shutdown
exit
line vty 0 4
privilege level 15
password admin
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run
Bước 2. Cấu hình PPPoE Client sử dụng cơ chế xác thực CHAP Authentication trên Cisco Router.
Bước 2.1. Cấu hình PPPoE Client trên Router CPE1.
Cấu hình PPPoE Client.
Cấu hình PPPoE, xác thực CHAP trên CPE1 với username là zonelan1 và password là 1357.
enable
configure terminal
hostname CPE1
interface dialer1
dialer pool 1
encapsulation ppp
ip address negotiated
mtu 1492
ppp chap hostname zonelan1
ppp chap password 1357
exit
interface e0/0
pppoe-client dial-pool-number 1
no shutdown
exit
hostname CPE1
line vty 0 4
privilege level 15
no login
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run
hostname CPE2
interface dialer1
dialer pool 1
encapsulation ppp
ip address negotiated
mtu 1492
ppp chap hostname zonelan2
ppp chap password 2468
exit
interface e0/0
pppoe-client dial-pool-number 1
no shutdown
exit
hostname CPE2
line vty 0 4
privilege level 15
no login
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run
interface e0/1
ip address 172.16.1.1 255.255.255.0
ip nat inside
no keepalive
no shutdown
exit
interface e0/1
ip address 172.16.2.1 255.255.255.0
ip nat inside
no keepalive
no shutdown
exit
Phần 31. Hướng dẫn cấu hình công nghệ IP SLA giám sát các Static Route trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 1.2. Cấu hình cơ bản trên Router R1.
o Bước 1.3. Cấu hình cơ bản trên Router R2.
o Bước 1.4. Cấu hình cơ bản trên Router R3.
- Bước 2. Cấu hình định tuyến tĩnh Static Route trên các Router.
- Bước 3. Cấu hình NAT Overload trên các Router.
- Bước 4. Cấu hình công nghệ IP SLA để giám sát trạng thái các Static Route trên Cisco Router.
o Bước 4.1. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop
172.16.123.1 trên Router R3.
o Bước 4.2. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop
172.16.123.2 trên Router R3.
o Bước 4.3. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop
172.16.123.1 trên Router R3 thông qua IP Public.
o Bước 4.4. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop
172.16.123.2 trên Router R3 thông qua IP Public.
Chi tiết các bước thực hiện:
Bước 1. Cấu hình cơ bản trên các thiết bị.
Bước 1.1. Cấu hình cơ bản trên Switch Sw1.
hostname Sw1
interface vlan 1
ip address 172.16.123.4 255.255.255.0
no shutdown
exit
ip default-gateway 172.16.123.3
no ip routing
spanning-tree mode rapid-pvst
interface range e0/0 - 3
switchport mode access
spanning-tree portfast
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên các Router.
Cấu hình định tuyến tĩnh Static Route trên các thiết bị đảm bảo mạng hội tụ.
Cấu hình định tuyến trên R1.
ip route 192.168.1.0 255.255.255.0 172.16.123.3
Bước 4. Cấu hình công nghệ IP SLA để giám sát trạng thái các Static Route trên Cisco Router.
Bước 4.1. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop 172.16.123.1 trên
Router R3.
Cấu hình IP SLA tại R3 tiến hành track default route trỏ tới ip next-hop 172.16.123.1, track bằng cách
ping định kỳ tới địa chỉ 172.16.123.1.
Tại R3 cấu hình 2 default route đi Internet, một qua R1 và một qua R2; lưu lượng đi Internet sẽ cân bằng
tải qua 2 đường. Tuy nhiên, nếu R1 bị down hoặc cổng e0/1 trên R1 bị down thì 50% lưu lượng di
chuyển qua hướng R1 sẽ bị mất kết nối. Tương tự, nếu R2 bị down hoặc cổng e0/1 trên R1 bị down thì
50% lưu lượng di chuyển qua hướng R2 cũng sẽ bị mất kết nối. Vì thế ta cần cấu hình IP SLA tại R3 tiến
hành track các default route trỏ tới ip next-hop của R1 và R2.
ip route 0.0.0.0 0.0.0.0 172.16.123.1
ip route 0.0.0.0 0.0.0.0 172.16.123.2
Để khảo sát tiến trình track, ta tiến hành shutdown cổng e0/1 trên R1. Lúc này, quá trình ping từ R3 tới
địa chỉ IP 172.16.123.1 của R1 sẽ thất bại khiến cho tiến trình track thất bại sau 4 giây. Thông tin default
route trong bảng định tuyến của R3 lập tức bị xóa.
R1(config)# interface e0/1
R1(config-if)# shutdown
R1(config-if)# exit
Nếu trạng thái cổng e0/1 trên R1 khôi phục trở lại, quá trình ping từ R3 tới IP 172.16.123.1 của R1 diễn
ra thành công dẫn đến tiến trình track tại R3 cũng thành công khiến cho thông tin default route sẽ xuất
hiện trở lại trong bảng định tuyến của R3.
R1(config)# interface e0/1
R1(config-if)# no shutdown
R1(config-if)# exit
Sau khi bật trạng thái cổng e0/1 trên R1, thông điệp sau xuất hiện tại R3.
*Jul 19 01:45:43.055: %TRACKING-5-STATE: 1 ip sla 3 reachability Down->Up
Kiểm tra trạng thái track và thông tin default route tại R3.
R3# show track
Track 1
IP SLA 3 reachability
Reachability is Up
3 changes, last change 00:02:19
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
R3#
Bước 4.2. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop 172.16.123.2 trên
Router R3.
Cấu hình IP SLA tại R3 tiến hành track default route trỏ tới ip next-hop 172.16.123.2, track bằng cách
ping định kỳ tới địa chỉ 172.16.123.2.
ip sla 2
icmp-echo 172.16.123.2
threshold 2
timeout 2000
frequency 3
exit
ip sla schedule 2 life forever start-time now
track 2 ip sla 2 reachability
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 2
Bước 4.3. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop 172.16.123.1 trên
Router R3 thông qua IP Public.
Cấu hình IP SLA tại R3 tiến hành track default route trỏ tới ip next-hop 172.16.123.1, track bằng cách
ping định kỳ tới website www.vnexpress.net.
Xác định địa chỉ IP của website www.vnexpress.net trước khi cấu hình track.
R3(config)# ip domain-lookup
R3(config)# ip name-server 8.8.8.8
R3(config)# end
R3# ping www.vnexpress.net
Translating "www.vnexpress.net"...domain server (8.8.8.8) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 111.65.248.132, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/2 ms
R3#
Vì tiến trình track default route trỏ tới ip next-hop 172.16.123.1 nên ta cần cấu hình định tuyến tại
R3 chuyển hướng lưu lượng tới www.vnexpress.net thông qua hướng R1 như sau.
ip route 111.65.248.132 255.255.255.255 172.16.123.1
ip sla 1
icmp-echo www.vnexpress.net
threshold 2
timeout 2000
frequency 3
exit
ip sla schedule 1 life forever start-time now
track 3 ip sla 1 reachability
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 3
Kiểm tra thông tin định tuyến trong file cấu hình. Ta phát hiện câu lệnh “ip route 0.0.0.0 0.0.0.0
172.16.123.1 track 3” đã đè chồng lên câu lệnh “ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 1”.
R3# show running-config | include ip route
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 2
ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 3
ip route 111.65.248.132 255.255.255.255 172.16.123.1
R3#
Kiểm tra trạng thái track và bảng định tuyến trên R3.
R3# show track
Track 1
IP SLA 3 reachability
Reachability is Up
3 changes, last change 00:30:09
Latest operation return code: OK
Latest RTT (millisecs) 1
Track 2
IP SLA 2 reachability
Reachability is Up
2 changes, last change 00:03:04
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
Track 3
IP SLA 1 reachability
Reachability is Up
2 changes, last change 00:05:09
Latest operation return code: OK
Latest RTT (millisecs) 2
Tracked by:
STATIC-IP-ROUTING 0
R3#
Bước 4.4. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop 172.16.123.2 trên
Router R3 thông qua IP Public.
Cấu hình IP SLA tại R3 tiến hành track default route trỏ tới ip next-hop 172.16.123.2, track bằng cách
ping định kỳ tới website www.fptshop.com.vn.
Xác định địa chỉ IP của website www.fptshop.com.vn trước khi cấu hình track.
R3# ping www.fptshop.com.vn
Translating "www.fptshop.com.vn"...domain server (8.8.8.8) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 103.56.156.78, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 25/25/26 ms
R3#
Vì tiến trình track default route trỏ tới ip next-hop 172.16.123.1 nên ta cần cấu hình định tuyến tại
R3 chuyển hướng lưu lượng tới www.fptshop.com.vn thông qua hướng R2 như sau.
ip route 103.56.156.78 255.255.255.255 172.16.123.2
ip sla 4
icmp-echo www.fptshop.com.vn
threshold 2
timeout 2000
frequency 3
exit
ip sla schedule 4 life forever start-time now
track 4 ip sla 4 reachability
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 4
Phần 32. Hướng dẫn cấu hình công nghệ GRE VPN trên Cisco Router.
Cấu hình DHCP Server trên Router BD cấp IP xuống cho các PC thuộc phân đoạn mạng 192.168.2.0/24.
ip dhcp excluded-address 192.168.2.1
ip dhcp pool Lan.192.168.2.0
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
exit
Yêu cầu 5.a: Cấu hình PAT trên Router HCM đảm bảo các PC thuộc lớp mạng 192.168.1.0/24 có thể ping
được tới các IP của Router ISP.
interface e0/0
ip nat inside
exit
interface e0/1
ip nat outside
exit
ip nat inside source list 1 interface e0/1 overload
access-list 1 permit 192.168.1.0 0.0.0.255
Kiểm tra kết nối GRE VPN đã thiết lập thành công hay chưa.
HCM# show interface tunnel 12
Để hệ thống mạng LAN 192.168.1.0/24 có thể giao tiếp với các thiết bị thuộc hệ thống mạng LAN
192.168.2.0/24 ta cần cấu hình định tuyến trên các Router HCM và BD như sau.
HCM(config)# ip route 192.168.2.0 255.255.255.0 192.168.12.2
Hoặc cũng có thể cấu hình giao thức định tuyến động EIGRP trên đường GRE VPN bằng cách sau.
hostname HCM
no ip route 192.168.2.0 255.255.255.0 192.168.12.2
router eigrp 12
network 192.168.1.1 0.0.0.0
network 192.168.12.1 0.0.0.0
exit
hostname BD
no ip route 192.168.1.0 255.255.255.0 192.168.12.1
router eigrp 12
network 192.168.2.1 0.0.0.0
network 192.168.12.2 0.0.0.0
exit
Phần 33. Hướng dẫn cấu hình định tuyến Static Route và Dynamic Route trên hạ tầng IPv6 trên Cisco
Router.
Bước 1.4. Kiểm tra trạng thái cổng giao tiếp trên các Router.
R1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::F225:72FF:FE0F:E648
2001:1::1
FastEthernet0/1 [up/up]
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
Tại R2, ping kiểm tra tới các router láng giềng (R1 và R3).
R2# ping 2001:12::1
R2# ping 2001:23::3
Tại R2, telnet tới các router láng giềng (R1 và R3).
R2# telnet 2001:12::1
R2# telnet 2001:23::3
Bước 2.1.2. Kiểm tra các IPv6 Static Route trên các Router.
Kiểm tra bảng định tuyến trên các Router.
R1# show ipv6 route static
…
S 2001:3::/64 [1/0]
via 2001:12::2
S 2001:23::/64 [1/0]
via 2001:12::2
R1#
Bước 2.2. Cấu hình định tuyến động RIPng trên hạ tầng mạng IPv6.
Bước 2.2.1. Cấu hình định tuyến RIPng trên các Router.
Cấu hình định tuyến “RIPng” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao tiếp
được với nhau.
Cấu hình “RIPng” trên các Router.
Cấu hình “RIPng” trên R1.
ipv6 router rip tag1
exit
interface f0/0
ipv6 rip tag1 enable
exit
interface f0/1
ipv6 rip tag1 enable
exit
Bước 2.2.2. Kiểm tra các IPv6 RIPng Route trên các Router.
Kiểm tra bảng định tuyến trên các Router.
FE80::21F:CAFF:FE0F:61D8 là địa chỉ Link-local trên cổng f0/0 của R2.
R1# show ipv6 route rip
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
…
R 2001:3::/64 [120/3]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
R 2001:23::/64 [120/2]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
R1#
Bước 2.2.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng bá RIPng Route trên các
Router.
Kiểm tra địa chỉ Link-local trên cổng f0/0 của R2. Địa chỉ Link-local được tự động phát sinh trên Router
khi bật IPv6 trên cổng tương ứng với câu lệnh “ipv6 enable” cấu hình ở chế độ cổng giao tiếp.
R2# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::21F:CAFF:FE0F:61D8
2001:12::2
FastEthernet0/1 [up/up]
FE80::21F:CAFF:FE0F:61D9
2001:23::2
R2#
FE80::F225:72FF:FE0F:E649 là địa chỉ Link-local trên cổng f0/1 của R1. IP FE80::B614:89FF:FECB:44A8 là
địa chỉ Link-local trên cổng f0/0 của R3.
R2# show ipv6 route rip
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
…
R 2001:1::/64 [120/2]
via FE80::F225:72FF:FE0F:E649, FastEthernet0/0
R 2001:3::/64 [120/2]
via FE80::B614:89FF:FECB:44A8, FastEthernet0/1
R2#
Xác định địa chỉ Link-local trên cổng f0/1 của R1.
R1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::F225:72FF:FE0F:E648
2001:1::1
FastEthernet0/1 [up/up]
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
Xác định địa chỉ Link-local trên cổng f0/0 của R3.
R1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::F225:72FF:FE0F:E648
2001:1::1
FastEthernet0/1 [up/up]
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
Xác định địa chỉ Link-local trên cổng f0/1 của R2.
R2# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::21F:CAFF:FE0F:61D8
2001:12::2
FastEthernet0/1 [up/up]
FE80::21F:CAFF:FE0F:61D9
2001:23::2
R2#
Bước 2.3. Cấu hình định tuyến động OSPFv3 trên hạ tầng mạng IPv6.
Bước 2.3.1. Cấu hình định tuyến OSPFv3 trên các Router.
Cấu hình định tuyến “OSPFv3” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao
tiếp được với nhau.
Cấu hình “OSPFv3” trên các Router.
Cấu hình “OSPFv3” trên R1.
ipv6 router ospf 1
router-id 0.0.0.1
exit
interface f0/0
ipv6 ospf 1 area 0
exit
interface f0/1
ipv6 ospf 1 area 0
exit
Bước 2.3.2. Kiểm tra bảng OSPFv3 Neighbor trên các Router.
Kiểm tra bảng “neighbor table” trên các Router.
R1# show ipv6 ospf neighbor
Bước 2.3.3. Kiểm tra các IPv6 OSPFv3 Route trên các Router.
Kiểm tra bảng định tuyến trên các Router.
R1# show ipv6 route ospf
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
…
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
O 2001:3::/64 [110/3]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
O 2001:23::/64 [110/2]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
R1#
Bước 2.4. Cấu hình định tuyến động EIGRP trên hạ tầng mạng IPv6.
Bước 2.4.1. Cấu hình định tuyến IPv6 EIGRP trên các Router.
Cấu hình định tuyến “EIGRP” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao tiếp
được với nhau.
Cấu hình “EIGRP” trên các Router.
Cấu hình “EIGRP” sử dụng AS 1 trên R1.
ipv6 router eigrp 1
eigrp router-id 0.0.0.1
no shutdown
exit
interface f0/0
ipv6 eigrp 1
exit
interface f0/1
ipv6 eigrp 1
exit
Bước 2.4.2. Kiểm tra bảng IPv6 EIGRP Neighbor trên các Router.
Kiểm tra bảng “neighbor table” trên các Router.
FE80::21F:CAFF:FE0F:61D8 là địa chỉ Link-local trên cổng f0/0 của R2.
R1# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Fa0/1 13 00:00:19 5 200 0 7
FE80::21F:CAFF:FE0F:61D8
R1#
Bước 2.4.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng bá IPv6 EIGRP Route
trên các Router.
Xác định địa chỉ Link-local trên cổng f0/0 của R2.
R2# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::21F:CAFF:FE0F:61D8
2001:12::2
FastEthernet0/1 [up/up]
FE80::21F:CAFF:FE0F:61D9
2001:23::2
R2#
FE80::F225:72FF:FE0F:E649 là địa chỉ Link-local trên cổng f0/1 của R1. IP FE80::B614:89FF:FECB:44A8 là
địa chir Link-local trên cổng f0/0 của R3.
R2# show ipv6 eigrp neighbor
EIGRP-IPv6 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 Link-local address: Fa0/0 13 00:03:20 6 200 0 3
FE80::F225:72FF:FE0F:E649
0 Link-local address: Fa0/1 11 00:03:38 4 200 0 4
FE80::B614:89FF:FECB:44A8
R2#
Xác định địa chỉ Link-local trên cổng f0/1 của R1.
R1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::F225:72FF:FE0F:E648
2001:1::1
FastEthernet0/1 [up/up]
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
Xác định địa chỉ Link-local trên cổng f0/0 của R3.
R3# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::B614:89FF:FECB:44A8
2001:23::3
FastEthernet0/1 [up/up]
FE80::B614:89FF:FECB:44A9
2001:3::1
R3#
Bước 2.4.4. Kiểm tra các IPv6 EIGRP Route trên các Router.
Kiểm tra bảng định tuyến trên các Router.
R1# show ipv6 route eigrp
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
…
D - EIGRP, EX - EIGRP external, NM - NEMO, ND - Neighbor Discovery
…
D 2001:3::/64 [90/33280]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
D 2001:23::/64 [90/30720]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
R1#
Phần 34. Hướng dẫn cấu hình dịch vụ DHCPv6 Server trên Cisco Router.
Tổng quan các bước thực hiện:
- Bước 1. Tìm hiểu tổng quan về giải pháp cấp địa chỉ IP tự động DHCPv6 Server trên hạ tầng IPv6.
- Bước 2. Cấu hình cơ bản trên các thiết bị.
o Bước 2.1. Cấu hình cơ bản trên Switch Sw1.
o Bước 2.2. Cấu hình cơ bản trên Router R1.
- Bước 3. Cấu hình dịch vụ DHCPv6 Service trên hạ tầng IPv6.
o Bước 3.1. Cấu hình dịch vụ Stateless DHCPv6 trên Router R1.
o Bước 3.2. Cấu hình dịch vụ Statefull DHCPv6 trên Router R1.
Tại VPC1, kích hoạt quá trình tự động phát sinh địa chỉ IP.
VPCS> ip auto
GLOBAL SCOPE : 2001:1::2050:79ff:fe66:6803/64
ROUTER LINK-LAYER : aa:bb:cc:00:01:10
VPCS>
NAME : VPCS[1]
LINK-LOCAL SCOPE : fe80::250:79ff:fe66:6803/64
GLOBAL SCOPE : 2001:1::2050:79ff:fe66:6803/64
DNS :
ROUTER LINK-LAYER : aa:bb:cc:00:01:10
MAC : 00:50:79:66:68:03
LPORT : 20000
RHOST:PORT : 127.0.0.1:30000
MTU: : 1500
VPCS>
Tại VPC2, kích hoạt quá trình tự động phát sinh địa chỉ IP.
VPCS> ip auto
GLOBAL SCOPE : 2001:1::2050:79ff:fe66:6804/64
ROUTER LINK-LAYER : aa:bb:cc:00:01:10
VPCS>
NAME : VPCS[1]
LINK-LOCAL SCOPE : fe80::250:79ff:fe66:6804/64
GLOBAL SCOPE : 2001:1::2050:79ff:fe66:6804/64
DNS :
ROUTER LINK-LAYER : aa:bb:cc:00:01:10
MAC : 00:50:79:66:68:04
LPORT : 20000
RHOST:PORT : 127.0.0.1:30000
MTU: : 1500
VPCS>
VPCS>
VPCS>
Cơ chế Stateless DHCP hoạt động bằng cách R1 định kỳ gửi gói tin Router Advertisement (RA) 200 giây
một lần. Trong bản tin RA chứa thông tin Routing Prefix với Prefix Length là 64 bit. Để cơ chế Stateless
DHCP hoạt động thì cổng e0/1 của R1 bắt buộc phải sử dụng lớp mạng /64.
R1# show ipv6 interface e0/1
Ethernet0/1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::A8BB:CCFF:FE00:110
No Virtual link-local address(es):
Global unicast address(es):
2001:1::1, subnet is 2001:1::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:1
FF02::1:FF00:110
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
R1#
Ta có thể hiệu chỉnh Interval Timer của bản tin RA bằng câu lệnh sau.
R1(config)# interface e0/1
R1(config-if)# ipv6 nd ra interval ?
<4-1800> RA Interval (sec)
msec Interval in milliseconds
Bước 3.2. Cấu hình dịch vụ Statefull DHCPv6 trên Router R1.
Cấu hình Statefull DHCP trên R1 cấp IPv6 xuống cho các PC1 và PC2, các PC có thể ping được lẫn nhau và
có thể ping được tới Server.