2019.08.24. Hướng Dẫn Thực Thành CCNA R&S

Hướng dẫn thực thành CCNA R&S
**
Nội dung tổng quan:
- Phần 1. Hướng dẫn sử dụng phần mềm Putty để kết nối vào giao diện cấu hình bằng dòng lệnh
CLI của Cisco Router.
- Phần 2. Hướng dẫn đặt IP trên máy tính sử dụng hệ điều hành Window bằng dòng lệnh thông
qua giao diện chương trình CMD.
- Phần 3. Hướng dẫn cấu hình cơ bản trên Cisco Router.
- Phần 4. Khảo sát giao thức CDP và cấu hình dịch vụ Telnet Service trên Cisco Router.
- Phần 5. Hướng dẫn cấu hình dịch vụ xác thực AAA trên Cisco Router.
- Phần 6. Hướng dẫn cấu hình dịch vụ SSH Service trên Cisco Router.
- Phần 7. Hướng dẫn lưu cấu hình và hệ điều hành IOS của Cisco Router lên TFTP Server.
- Phần 8. Hướng dẫn Crack mật khẩu Password trên Cisco Router.
- Phần 9. Khôi phục hệ điều hành cho Cisco Router ở chế độ ROMMON.
- Phần 10. Hướng dẫn cấu hình định tuyến tĩnh Static Route trên Cisco Router.
- Phần 11. Hiệu chỉnh Administrative Distance trong Static Route để dự phòng kết nối.
- Phần 12. Hướng dẫn cấu hình kỹ thuật gom Route Summary trên Cisco Router.
- Phần 13. Khảo sát cơ chế chuyển mạch Switch trên Cisco Switch và giao thức phân giải địa chỉ
ARP.
- Phần 14. Hướng dẫn cấu hình VLAN, Trunk, VTP trên Cisco Switch và định tuyến giữa các VLAN
trên Cisco Router.
- Phần 15. Hướng dẫn cấu hình dịch vụ DHCP Server & Relay trên Cisco Router.
- Phần 16. Hướng dẫn cấu hình giao thức tránh loop Spanning-Tree trên Cisco Switch.
- Phần 17. Hướng dẫn cấu hình công nghệ gom đường liên kết EtherChannel trên Cisco Switch.
- Phần 18. Hướng dẫn cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
- Phần 19. Hướng dẫn cấu hình tính năng bảo mật Layer 2 PortSecurity trên Cisco Switch.
- Phần 20. Hướng dẫn cấu hình Syslog, NTP trên Cisco Router và sử dụng chương trình Kiwi Syslog
Server 9.5.1.
- Phần 21. Hướng dẫn cấu hình SNMP và Netflow trên Cisco Router.
- Phần 22. Hướng dẫn cấu hình chính sách bảo mật ACL trên Cisco Router.
- Phần 23. Hướng dẫn cấu hình chính sách bảo mật ACL chặn truy cập Facebook.
- Phần 24. Hướng dẫn cấu hình NAT Overload trên Cisco Router.
- Phần 25. Hướng dẫn cấu hình Static NAT trên Cisco Router.
- Phần 26. Hướng dẫn cấu hình giao thức định tuyến động RIP trên Cisco Router.
- Phần 27. Hướng dẫn cấu hình giao thức định tuyến động OSPF trên Cisco Router.
- Phần 28. Hướng dẫn cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
- Phần 29. Hướng dẫn cấu hình giao thức PPP trên Cisco Router.
- Phần 30. Hướng dẫn cấu hình quay số PPPoE trên Cisco Router.
- Phần 30. Hướng dẫn cấu hình xác thực phiên kết nối PPPoE trên Cisco Router.
- Phần 31. Hướng dẫn cấu hình công nghệ IP SLA giám sát các Static Route trên Cisco Router.
- Phần 32. Hướng dẫn cấu hình công nghệ GRE VPN trên Cisco Router.
- Phần 33. Hướng dẫn cấu hình định tuyến Static Route và Dynamic Route trên hạ tầng IPv6 trên
Cisco Router.
- Phần 34. Hướng dẫn cấu hình dịch vụ DHCPv6 Server trên Cisco Router.
Nội dung chi tiết:
Phần 1. Hướng dẫn sử dụng phần mềm Putty để kết nối vào giao diện cấu hình bằng dòng lệnh CLI của
Cisco Router.
PC
Console
Tổng quan các bước thực hiện:

- Bước 1. Kết nối cáp console từ PC tới cổng console của Cisco Router.
- Bước 2. Tải và khởi động phần mềm Putty trên máy tính sử dụng hệ điều hành Window.
- Bước 3. Xác định cổng COM trên máy tính sử dụng hệ điều hành Window.
- Bước 4. Thiết lập các tham số trên phần mềm Putty để kết nối tới giao diện CLI của Cisco Router.
Chi tiết các bước thực hiện:

Bước 1. Kết nối cáp console từ PC tới cổng console của Cisco Router.
Bước 2. Tải và khởi động phần mềm Putty trên máy tính sử dụng hệ điều hành Window.
Phần mềm PuTTY có thể được tải miễn phí từ trang web http://www.putty.org/
PuTTY không cần cài đặt và có thể chạy trực tiếp từ máy tính.
Bước 3. Xác định cổng COM trên máy tính sử dụng hệ điều hành Window.
Click phải vào phần “Computer” trên menu Start chọn “Manage”.
Trong cửa sổ “Computer Management”, chọn “Device Manager” ở ô bên trái và click chọn “Ports (COM
& LPT)”.
Tại đây, học viên xác định được cổng COM được sử dụng trên PC của mình. Ví dụ, trong bài lab này là
COM3.
Bước 4. Thiết lập các tham số trên phần mềm Putty để kết nối tới giao diện CLI của Cisco Router.
Mở chương trình PuTTY đã chép trên PC và thực hiện chọn mục “Serial” và các thiết lập tương ứng:
Sau khi thiết lập xong, thực hiện nhấn “Open”.
Tại cửa sổ này, học viên có thể bắt đầu thực hiện các thao tác nhập lệnh cấu hình cho router.
Phần 2. Hướng dẫn đặt IP trên máy tính sử dụng hệ điều hành Window bằng dòng lệnh thông qua giao
diện chương trình CMD.
Có nhiều cách để gán địa chỉ IP cho máy tính PC. Nếu muốn thiết lập IP cho PC1 bằng dòng lệnh thông
qua chương trình cmd, ta thực hiện như sau.
Gán IP 192.168.1.3/24 cho PC1 bằng câu lệnh. Kiểm tra tên của card mạng bằng cách vào giao diện
“Network Connections”. Thực hiện nhấn tổ hợp phím Window + R rồi gõ tiếp command line “ncpa.cpl”.
Tại giao diện “Network Connections”, quan sát tên của card mạng hiện tại là “Local Area Connection”.
Thiết lập IP 192.168.1.3/24 với default-gateway là 192.168.1.1 cho PC1 bằng giao diện dòng lệnh thông
qua chương trình cmd như sau. Phải đảm bảo kết nối cáp và tín hiệu đèn đã sáng mới tiến hành gõ lệnh.
C:\PC1> netsh interface ip set address name="Local Area Connection" static 192.168.1.3
255.255.255.0 192.168.1.1
Kiểm tra lại IP của PC1 bằng giao diện dòng lệnh.
C:\PC1> netsh interface ip show config
Configuration for interface "Local Area Connection"

DHCP enabled: No
IP Address: 192.168.1.3
Subnet Prefix: 192.168.1.0/24 (mask 255.255.255.0)
Default Gateway: 192.168.1.1
Gateway Metric: 1
InterfaceMetric: 20
Statically Configured DNS Servers: None
Register with which suffix: Primary only
Statically Configured WINS Servers: None
C:\PC1>
Ping kiểm tra kết nối từ PC1 tới Router.

C:\PC1> ping 192.168.1.1
Thiết lập PC trở thành DHCP Client xin IP động bằng câu lệnh thông qua chương trình cmd. Phải đảm bảo
kết nối cáp và tín hiệu đèn đã sáng mới tiến hành gõ lệnh.
Cách 1: Thiết lập PC trở thành DHCP Client xin IP động từ DHCP Server.
C:\PC> netsh
netsh> interface ip
netsh interface ipv4> set address name= “Local Area Connection” source=dhcp
netsh interface ipv4> exit

C:\PC>
Cách 2: Thiết lập PC trở thành DHCP Client xin IP và DNS động từ DHCP Server.
C:\PC> netsh interface ip set address name="Local Area Connection" dhcp
C:\PC> netsh interface ip set dns name="Local Area Connection" dhcp
Phần 3. Hướng dẫn cấu hình cơ bản trên Cisco Router.

- Bước 1. Khảo sát các chế độ dòng lệnh CLI trên Cisco Router.
- Bước 2. Xóa cấu hình và khởi động lại Cisco Router.
- Bước 3. Thiết lập địa chỉ IP cho các Interface trên Cisco Router.
- Bước 4. Lưu cấu hình và khởi động lại Cisco Router.

Bước 1. Khảo sát các chế độ dòng lệnh CLI trên Cisco Router.
Các chế động dòng lệnh trên Router và Switch là như nhau.
- User Exec Mode
- Privilege Exec Mode
- Global Configuration Mode
Nếu thiết bị đề xuất cấu hình thiết bị theo sự hướng dẫn như bên dưới, ta gõ no để bỏ qua rồi nhấn
Enter.
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]: no <enter>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!By default, the following "voice service voip" !!
!!sub-command is enabled: !!
!! ip address trusted authenticate !!
!! !!
!!The command enables the ip address authentication !!
!!on incoming H.323 or SIP trunk calls for toll fraud !!
!!prevention supports. !!
!! !!
!!Please use "show ip address trusted list" command !!
!!to display a list of valid ip addresses for incoming !!
!!H.323 or SIP trunk calls. !!
!! !!
!!Additional valid ip addresses can be added via the !!
!!following command line: !!
!! voice service voip !!
!! ip address trusted list !!
!! ipv4 <ipv4-address> [<ipv4 network-mask>] !!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Press RETURN to get started!

Router>
Tại chế độ User EXEC mode, ta thực hiện câu lệnh enable để đăng nhập vào chế độ đặc quyền Privilege
EXEC mode.
Router> enable
Router#
Ở chế độ User EXEC mode hoặc Privilege EXEC mode ta chỉ có thể kiểm tra cấu hình của thiết bị chứ vẫn
chưa thể cấu hình được, muốn biết các câu lệnh có thể thực hiện được ở từng chế độ, ta có thể thực
hiện gõ kí tự chấm hỏi (?) tương ứng với từng chế độ, tất cả các câu lệnh sẽ được liệt kê.
Ở phía cuối kết quả hiển thị có một từ khóa là --More--, tức là danh sách câu lệnh vẫn còn và vẫn chưa
hiển thị hết. Để hiển thị thêm một dòng nữa, ta nhấn phím Enter; để hiển thị thêm một trang màn hình
nữa, ta nhấn phím Space (phím dài nhất trên bàn phím).
Router# ?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
alps ALPS exec commands
archive manage archive files
audio-prompt load ivr prompt
auto Exec level Automation
beep Blocks Extensible Exchange Protocol commands
bfe For manual emergency modes setting
calendar Manage the hardware calendar
call Voice call
ccm-manager Call Manager Application exec commands
cd Change current directory
clear Reset functions
clock Manage the system clock
cns CNS agents
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
credential load the credential info from file system
crypto Encryption related commands.
--More--
Hoặc nếu muốn hiển thị tất cả các câu lệnh bắt đầu bằng kí tự s, ta có thể thực hiện như sau.
Router# s?
*s=show
sdlc send set setup
show slip spec-file ssh
start-chat systat
Router# s
Câu lệnh show có nhiều tùy chọn option phía sau, ta có thể gõ kí tự chấm hỏi (?) ở phía sau câu lệnh
show để biết thêm các tùy chọn.
Router# show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info
adjacency Adjacent nodes
aliases Display alias commands
alps Alps information
appfw Application Firewall information
archive Archive functions
arp ARP table
async Information on terminal lines used as router
interfaces
authentication Shows Auth Manager registrations or sessions
auto Show Automation Template
backhaul-session-manager Backhaul Session Manager information
backup Backup status
beep Show BEEP information
bfd BFD protocol info
bgp BGP information
bootvar Boot and related environment variable
bridge Bridge Forwarding/Filtering Database [verbose]
bsc BSC interface information
--More--
Muốn cấu hình thiết bị Router hoặc Switch, ta phải vào chế độ Global Config bằng cách thực hiện câu
lệnh configure terminal ở chế độ đặc quyền Privilege EXEC mode.
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Muốn vào chế độ cổng giao tiếp config-if, ta thực hiện câu lệnh interface f0/1 ở chế độ Global Config.
Router(config)# interface f0/0
Router(config-if)#
Muốn thóat khỏi chế độ bất kỳ, ta thực hiện câu lệnh exit; muốn thoát khỏi chế độ đặc quyền Privilege
EXEC mode, ta thực hiện câu lệnh disable hoặc exit.
Router(config-if)# exit
Router(config)# exit
Router# disable
Router> exit
Router con0 is now available

Press RETURN to get started.
Bước 2. Xóa cấu hình và khởi động lại Cisco Router.
Xóa cấu hình trên Router hoặc Switch, gõ câu lệnh erase startup-config rồi nhấn Enter để xác nhận khi
thông thông báo [confirm] xuất hiện.
Router# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Router#
Tiến hành khởi động lại thiết bị, nếu thiết bị hỏi có muốn lưu cấu hình vừa chỉnh sửa hay không, ta chọn
no rồi nhấn Enter, tiếp tục nhấn Enter để xác nhận khi thông báo [confirm] xuất hiện.
R2# reload
System configuration has been modified. Save? [yes/no]: no <enter>
Proceed with reload? [confirm] <enter>
Sau khi khởi động lại thiết bị xong, ta chọn no rồi nhấn Enter.
...
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to

export@cisco.com.
Warning: the compile-time code checksum does not appear to be present.

Linux Unix (Intel-x86) processor with 128906K bytes of memory.
Processor board ID 67108865
4 Ethernet interfaces
1024K bytes of NVRAM.
Would you like to enter the initial configuration dialog? [yes/no]: no <enter>
Bước 3. Thiết lập địa chỉ IP cho các Interface trên Cisco Router.
Đặt IP trên cổng f0/0 của Cisco Router địa chỉ IP là 192.168.1.1/24.
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
Đặt IP trên interface vlan 1 của Cisco Switch địa chỉ IP là 192.168.1.2/24. Ta sẽ gán IP 192.168.1.2 cho
Cisco Switch trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết nối tới Cisco Switch
đều có thể ping được tới IP 192.168.1.2 của Cisco Switch. Và tại Cisco Switch, cũng có thể ping được tới
các IP của PC hoặc Router đang kết nối tới Cisco Switch.
Sw1(config)# interface vlan 1
Sw1(config-if)# ip address 192.168.1.2 255.255.255.0
Sw1(config-if)# end
Sw1#
Trên Cisco Switch, kiểm tra IP vừa thiết lập cho “interface vlan 1”. Hiện nay, cổng ảo “interface vlan 1”
đang ở trạng thái “administratively down”, lý do là ta chưa tiến thành thực hiện câu lệnh “no shutdow”
cho cổng này.
Sw1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
Vlan1 192.168.1.2 YES manual administratively down down
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/2 unassigned YES unset down down
…
GigabitEthernet0/1 unassigned YES unset down down
Sw1#
Thực hiện câu lệnh “no shutdown” trên cổng ảo “interface vlan 1”.
Sw1(config-if)# no shutdơwn
Sw1(config-if)# end
Sw1#
Nếu chỉ muốn liệt kê các cổng giao tiếp interface ở trạng thái “up” mà thôi thì ta có thể thực hiện câu
lệnh như sau.
Sw1# show ip interface brief | include up
Vlan1 192.168.1.2 YES manual up up
Sw1#
Bước 4. Lưu cấu hình và khởi động lại Cisco Router.
Các câu lệnh vừa thực hiện sẽ lưu trữ trực tiếp tại bộ nhớ RAM của thiết bị Router hoặc Switch. Nếu
thiết bị mất điện đột ngột, các cấu hình này sẽ mất. Vì thế, ta cần lưu cấu hình từ bộ nhớ RAM sang bộ
nhớ NVRAM.
R1# copy running-config startup-config
Để xem file cấu hình lưu trữ tại bộ nhớ NVRAM, ta thực hiện câu lệnh sau.
R1# show startup-config
Khởi động lại thiết bị.

R1# reload
Phần 4. Khảo sát giao thức CDP và cấu hình dịch vụ Telnet Service trên Cisco Router.

- Bước 1. Cấu hình cơ bản trên các thiết bị.
o Bước 1.1. Cấu hình cơ bản trên Switch.
o Bước 1.2. Cấu hình cơ bản trên Router.
- Bước 2. Khảo sát giao thức CDP trên Cisco Router và Switch.
o Bước 2.1. Khảo sát giao thức CDP trên Cisco Switch.
o Bước 2.2. Khảo sát giao thức CDP trên Cisco Router.
o Bước 2.3. Tắt giao thức CDP trên thiết bị Cisco Switch.
- Bước 3. Cấu hình dịch vụ Telnet Service trên Cisco Router và Switch.
o Bước 3.1. Cấu hình dịch vụ Telnet Service trên Cisco Router.
o Bước 3.2. Kích hoạt dịch vụ Telnet Client trên máy tính sử dụng hệ điều hành Window.
o Bước 3.3. Khảo sát quá trình Telnet từ máy tính tới Cisco Router.
o Bước 3.4. Khảo sát quá trình Telnet từ Switch tới Cisco Router.
o Bước 3.5. Kiểm tra kết nối Telnet trên Cisco Router.
o Bước 3.6. Cấu hình dịch vụ Telnet Service trên Cisco Switch.
o Bước 3.7. Gỡ bỏ dịch vụ Telnet Service trên Cisco Switch.

Bước 1. Cấu hình cơ bản trên các thiết bị.
Bước 1.1. Cấu hình cơ bản trên Switch.
Cấu hình cơ bản trên Switch Sw1.

hostname Sw1
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Ta sẽ gán IP 192.168.1.2 cho Sw1 trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết
nối tới Sw1 đều có thể ping được tới IP 192.168.1.2 của Sw1. Sw1 cũng có thể ping được tới các IP của
PC hoặc Router đang kết nối tới Sw1.
Sw1(config-if)# no shutdown
Sw1(config-if)# end
Sw1#
Kiểm tra IP vừa thiết lập cho “interface vlan 1”.

Sw1# show ip interface brief
…
Sw1#
Bước 1.2. Cấu hình cơ bản trên Router.

Cấu hình cơ bản trên R1.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Khảo sát giao thức CDP trên Cisco Router và Switch.
Bước 2.1. Khảo sát giao thức CDP trên Cisco Switch.
Khảo sát thông tin hiển thị tại Router và Switch thông qua câu lệnh “show cdp neighbors”.
Sw1 đang đấu nối với cổng f0/0 của R1 thông qua cổng f0/5.
Sw1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID

R1 Fas 0/5 161 R S I 2811 Fas 0/0
Sw1#
R1 thuộc dòng thiết bị 2811 có thể thực hiện chức năng của cả Router và Switch. Router 2811 thuộc
dòng thiết bị tích hợp, có thể gắn thêm 16 Port của Switch nên cũng có thể đóng vai trò là Switch.
Router 2811 cũng có khả năng hỗ trợ công nghệ Multicast sử dụng giao thức IGMP.
Router được gắn thêm Module 16 Port Switch (phía bên tay trái).
Sw1# show cdp neighbors

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay

R1 Fas 0/5 161 R S I 2811 Fas 0/0
Sw1#
Tại Sw1, ta có thể xác định được địa chỉ IP của f0/0 trên R1 là 192.168.1.1 và R1 đang sử dụng hệ điều
hành IOS là C2800NM-ADVENTERPRISEK9-M.
Sw1# show cdp neighbors detail
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.1.1
Platform: Cisco 2811, Capabilities: Router Switch IGMP
Interface: FastEthernet0/5, Port ID (outgoing port): FastEthernet0/0
Holdtime : 138 sec
Version :
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T5,
RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Wed 30-Apr-08 14:17 by prod_rel_team
advertisement version: 2
VTP Management Domain: ''
Duplex: full
Management address(es):
Sw1#
Câu lệnh “show cdp entry *” tương tự như câu lệnh “show cdp neighbors detail”.
Sw1# show cdp entry *
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.1.1
Holdtime : 175 sec
Version :
Duplex: full
Sw1#
Câu lệnh “show cdp entry *” sẽ liệt kê thông tin của tất cả các thiết bị láng giềng đang đấu nối với Sw1
(hiện nay chỉ có mỗi R1 là đang đấu nối tới Sw1), các PC không gửi gói tin CDP nên Sw1 sẽ không hiển thị
thông tin của các PC hiện đang đấu nối với Sw1.
Hiển thị chính xác thông tin của R1.

- R1 là hostname của thiết bị láng giềng của Sw1.
Sw1# show cdp entry R1
-------------------------
Device ID: R1
Entry address(es):
IP address: 192.168.1.1
Holdtime : 162 sec
Version :
Duplex: full
Sw1#
Bước 2.2. Khảo sát giao thức CDP trên Cisco Router.
Khảo sát nội dung hiển thị câu lệnh “show cdp neighbors” tại R1.
- R1 đang đấu nối với f0/5 của Sw1 thông qua cổng cục bộ là f0/0.
R1# show cdp neighbors
S - Switch, H - Host, I - IGMP, r - Repeater
Sw1 Fas 0/0 136 S I WS-C3560- Fas 0/5
R1#
Để biết nhiều thông tin chi tiết hơn về Sw1, ta có thể thực hiện câu lệnh sau.
- Bên cạnh các thông tin khảo sát được thông qua câu lệnh “show cdp neighbors”, ta còn biết
được IP của Sw1 là 192.168.1.2 (IP của interface vlan 1 trên Sw1) và tên của hệ điều hành IOS
mà Sw1 đang sử dụng là C3560-IPSERVICESK9-M.
R1# show cdp entry Sw1
-------------------------
Device ID: Sw1
Entry address(es):
IP address: 192.168.1.2
Platform: cisco WS-C3560-24TS, Capabilities: Switch IGMP
Holdtime : 140 sec
Version :
Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 15.0(1)SE, RELEASE
SOFTWARE (fc1)
Compiled Wed 20-Jul-11 06:02 by prod_rel_team
Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27,
value=00000000FFFFFFFF010221FF000000000000002699B70600FF0000
Native VLAN: 1
Duplex: full
R1#
Bước 2.3. Tắt giao thức CDP trên thiết bị Cisco Switch.
Tắt CDP trên một Port của Sw1.
- Cổng f0/1 trên Sw1 đấu nối trực tiếp tới PC1, sau khi tắt giao thức CDP trên cổng f0/1, PC1 sẽ
không còn nhận được gói tin CDP nữa.
Sw1(config)# interface f0/1
Sw1(config-if)# no cdp enable
Sw1(config-if)# end
Sw1#
Ta nên tắt giao thức CDP trên các Port đấu nối xuống PC, để tắt giao thức CDP trên nhiều Port cùng lúc
(f0/1, f0/2, f0/3, f0/5), ta có thể cấu hình câu lệnh sau.
Sw1(config)# interface range f0/1 - 3 , f0/5
Sw1(config-if-range)# no cdp enable
Sw1(config-if-range)# exit
Sw1(config)#
Tắt giao thức CDP trên toàn thiết bị (trên tất cả các Port).
Sw1(config)# no cdp run
Bước 3. Cấu hình dịch vụ Telnet Service trên Cisco Router và Switch.
Bước 3.1. Cấu hình dịch vụ Telnet Service trên Cisco Router.
Cấu hình telnet cho phép 5 người có thể đồng thời telnet tới R1.
R1(config)# line vty 0 4
R1(config-line)# password cisco
R1(config-line)# login
R1(config-line)# exit
R1(config)#
Tại PC1 tiến hành telnet tới R1.

- Mặc định, dịch vụ Telnet Client Service trên Window 7 bị vô hiệu hóa nên không thể thực hiện
câu lệnh telnet được. Ta có thể sử dụng phần mềm Putty.exe hoặc SecureCRT để thực hiện
telnet hoặc có thể bật Telnet Client Service trên Window 7.
C:\PC1> telnet 192.168.1.1
'telnet' is not recognized as an internal or external command, operable program or
batch file.
C:\PC1>
Bước 3.2. Kích hoạt dịch vụ Telnet Client trên máy tính sử dụng hệ điều hành Window.
Để bật dịch vụ Telnet Client Service, ta truy cập vào các mục sau Start > Control Panel > Program >
Program and Features, chọn “Turn Windows features on or off”.
Trong cửa sổ hiện ra, tìm mục “Telnet Client” và check vào ô này rồi nhấn “OK”.
Đợi trong giây lát để Window 7 kích hoạt dịch vụ Telnet Client.
Lúc này, tại PC1, ta có thể telnet được tới R1 thông qua chương trình “cmd”.
C:\PC1> telnet 192.168.1.1
Bước 3.3. Khảo sát quá trình Telnet từ máy tính tới Cisco Router.
Khai báo thông tin mật khẩu telnet rồi nhấn enter ta sẽ vào được chế độ user mode.
User Access Verification
Password:
R1>
Tại chế độ user mode, ta có thể thực hiện kiểm tra địa chỉ IP của R1 hoặc kiểm tra mức đặc quyền hiện
tại của chế độ user mode là level 1.
R1> show ip interface brief
Interface IP-Address OK? Method Status Prot
ocol
FastEthernet0/0 192.168.1.1 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
R1> show privilege

Current privilege level is 1
R1>
Muốn vào chế độ đặc quyền (Privilege Access Mode), ta cần gõ lệnh enable tại chế độ user mode nhưng
lại gặp thông báo Password enable chưa được thiết lập.
R1> enable
% No password set
R1>
Lúc này, tại giao diện cấu hình console tại R1, ta sẽ bắt gặp thông điệp sau.
R1(config)#
%SYS-5-PRIV_AUTH_FAIL: Authentication to privilege level 15 failed by vty0
(192.168.1.3)
R1(config)#
Do đó, bên cạnh việc thiết lập mật khẩu telnet, ta cũng cần phải cấu hình thêm mật khẩu enable.
enable password bqk
line vty 0 4
privilege level 15
login
exit
Lúc này, tại PC1 khi gõ lệnh enable sẽ diễn ra như sau, user khai báo mật khẩu enable là “bqk” sẽ vào
được chế độ đặc quyền (Privilege Access Mode) tương ứng với level 15.
R1> enable
Password:
R1#
R1# show privilege
R1#
Bước 3.4. Khảo sát quá trình Telnet từ Switch tới Cisco Router.
Trên các thiết bị Cisco Router và Switch vừa hỗ trợ dịch vụ Telnet Server, vừa hỗ trợ dịch vụ Telnet Client
nên từ thiết bị Switch ta có thể telnet tới Router và ngược lại.
Tại Sw1, ta cũng có thể tiến hành ping rồi telnet tới R1.
Sw1# ping 192.168.1.1
Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms
Sw1#
Sw1# telnet 192.168.1.1

Trying 192.168.1.1 ... Open
Password:
R1>
R1> enable
Password:
R1#
Tại Sw1, muốn thoát khỏi phiên telnet thì có thể gõ lệnh exit.
R1# exit
[Connection to 192.168.1.1 closed by foreign host]

Sw1#
Tại Sw1, mở phiên telnet tới R1.

Sw1# telnet 192.168.1.1
Trying 192.168.1.1 ... Open
Password:
R1>
R1> enable
Password:
R1#
Tại Sw1, nếu ta không muốn thoát phiên telnet (gõ lệnh exit), mà chỉ muốn tạm thời quay trở về Sw1 để
cấu hình nhưng lại không muốn ngắt phiên telnet tới R1 thì có thể nhấn tổ hợp phím <Ctrl + Shift + 6> rồi
nhấn tiếp phím “X”.
R1# <Ctrl + Shift + 6> X
Sw1#
Tại Sw1, muốn quay trở về phiên telnet trước đó, ta có thể thực hiện nhấn <enter> ở chế độ Privilege
Access Mode tại Sw1.
Sw1# <enter>
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
Tại Sw1, tiếp tục nhấn tổ hợp phím <Ctrl + Shift + 6> rồi nhấn tiếp phím X để quay trở về giao diện cấu
hình của Sw1.
Sw1#
Thực hiện câu lệnh “show session” để kiểm tra các phiên telnet đã mở tại Sw1.
Sw1# show sessions
Conn Host Address Byte Idle Conn Name
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1#
Tại Sw1, để quay trở về phiên telnet đã mở, ta có thể thực hiện câu lệnh “resume”.
Sw1# show sessions
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1# resume 1
[Resuming connection 1 to 192.168.1.1 ... ]
R1#
Tại Sw1, tiếp tục nhấn tổ hợp phím <Ctrl + Shift + 6> rồi nhấn tiếp phím X để quay trở về giao diện cấu
hình của Sw1.
Sw1#
Tại Sw1, để ngắt các phiên telnet đã mở, ta có thể thực hiện câu lệnh “disconnect”.
Sw1# show sessions
* 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1
Sw1# disconnect 1
Closing connection to 192.168.1.1 [confirm] <enter>
Sw1# show sessions
% No connections open
Sw1#
Tại Sw1, thực hiện lại phiên telnet tới R1.

Sw1# telnet 192.168.1.1
Trying 192.168.1.1 ... Open
Password:
R1> enable
Password:
R1#
Bước 3.5. Kiểm tra kết nối Telnet trên Cisco Router.
Tại R1, để kiểm tra thông tin địa chỉ IP của Telnet Client đang tiến hành telnet tới R1 bằng câu lệnh
“show users”.
- Như thông tin hiển thị cho thấy, hiện nay có 2 thiết bị đang tiến hành telnet tới R1 là
o PC1 có IP là 192.168.1.3.
o Sw1 có IP là 192.168.1.2.
- Sw1 kết nối telnet tới R1 trước nên có định danh là “vty 0”, PC1 sau đó mới mở phiên telnet tới
R1 nên có định danh là “vty 1”.
R1# show users
Line User Host(s) Idle Location
0 con 0 idle 00:21:43
*514 vty 0 idle 00:00:00 192.168.1.2
515 vty 1 idle 00:00:14 192.168.1.3
Interface User Mode Idle Peer Address

R1#
Tại R1, muốn ngắt phiên telnet từ PC1, ta có thể thực hiện câu lệnh “clear line”.
R1# show users
0 con 0 idle 00:21:43
*514 vty 0 idle 00:00:00 192.168.1.2
515 vty 1 idle 00:00:14 192.168.1.3
R1#
R1# clear line 515

[confirm] <enter>
[OK]
R1#
Bước 3.6. Cấu hình dịch vụ Telnet Service trên Cisco Switch.
Cấu hình telnet trên Sw1 chỉ phép 1 người đồng thời telnet tới Sw1.
Sw1(config)# enable password bqk
Sw1(config)# line vty 0
Sw1(config-line)# password cisco
Sw1(config-line)# login
Sw1(config-line)# exit
Sw1(config)#
Tại R1, ta tiến hành ping kiểm tra rồi telnet tới Sw1.
R1# ping 192.168.1.2
!!!!!
R1#
R1# telnet 192.168.1.2

Trying 192.168.1.2 ... Open
Password:
Sw1>
Sw1> enable
Password:
Sw1#
Tại Sw1, kiểm tra xem ai đang telnet vào Sw1 bằng câu lệnh “show user”.
Sw1# show users
0 con 0 idle 00:02:24
* 1 vty 0 idle 00:00:00 192.168.1.1

Sw1#
Ta mở thêm một phiên telnet nữa trên PC1 nhưng lúc này gặp phải thông báo lỗi như sau vì trên Sw1 chỉ
cho phép tại một thời điểm chỉ có một người được quyền telnet tới thiết bị.
C:\PC1> telnet 192.168.1.2
Password required, but none set
Connection to host lost.
C:\PC1>
Bước 3.7. Gỡ bỏ dịch vụ Telnet Service trên Cisco Switch.

Gỡ bỏ cấu hình telnet trên Sw1.
Sw1(config)# no enable password bqk
Sw1(config)# line vty 0
Sw1(config-line)# no password
Sw1(config-line)# login
Sw1(config)#
Từ PC1, ta thực hiện phiên telnet tới Sw1, ta sẽ bắt gặp thông báo như bên dưới.
C:\PC1> telnet 192.168.1.2
Password required, but none set
Connection to host lost.

C:\PC1>
Tiến hành cấu hình telnet không password trên Sw1 cho phép telnet vào Sw1 mà không cần phải hỏi mật
khẩu.
Sw1(config)# line vty 0 4
Sw1(config-line)# privilege level 15
Sw1(config-line)# no login
Sw1(config)#
Từ PC1, ta thực hiện phiên telnet tới Sw1, lập tức phiên telnet thiết lập thành công mà không hề hỏi mật
khẩu.
- Thực hiện câu lệnh “show privilege” ta sẽ thấy đang ở đặc quyền level 15 là đặc quyền cao nhất
trên thiết bị. Để tìm hiểu các level khác, có thể tham khảo giáo trình CCNA Security.
C:\PC1> telnet 192.168.1.2
Sw1#
Sw1# show privilege

Sw1#
Phần 5. Hướng dẫn cấu hình dịch vụ xác thực AAA trên Cisco Router.

- Bước 2. Cấu hình dịch vụ xác thực AAA trên Cisco Router.
o Bước 2.1. Cấu hình dịch vụ Telnet sử dụng cơ chế xác thực AAA trên Router R1.
o Bước 2.2. Cấu hình cơ chế xác thực AAA để xác thực phiên kết nối Console trên Router
R1.
o Bước 2.3. Cấu hình phân quyền Local bằng cơ chế AAA trên Router R1.
o Bước 2.4. Cấu hình dịch vụ Accounting bằng tính năng Log Config trên Router R1.

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line con 0
logging synchronous
exec-timeout 0 0
exit
Bước 2. Cấu hình dịch vụ xác thực AAA trên Cisco Router.
Bước 2.1. Cấu hình dịch vụ Telnet sử dụng cơ chế xác thực AAA trên Router R1.
Cấu hình telnet sử dụng cơ chế xác thực AAA trên R1.
- aaa new-model: Kích hoạt tính năng xác thực AAA cục bộ tại thiết bị và sử dụng local username
& password trên router nếu không khai báo các phương thức AAA statement khác. AAA được
viết tắt từ 3 từ khóa.
o Authentication: Xác thực, ai được quyền telnet tới thiết bị.
o Authorization: Phân quyền, user sau khi telnet thành công tới thiết bị chỉ được thực
hiện một số câu lệnh nhất định.
o Accounting: Kiểm toán, ghi chú lại thông tin user đã thực hiện những câu lệnh nào tại
thiết bị.
- aaa authentication login TELNET-LOGIN local enable:
o local: sử dụng local username để xác thực.
o enable: Sử dụng enable password để xác thực.
- username admin secret cisco: tạo tài khoản cho phép user kết nối telnet tới thiết bị, có thể tạo
nhiều username & password.
aaa new-model
aaa authentication login VTY local enable
line vty 0 4
login authentication VTY
exit
username admin privilege 15 secret cisco
username subadmin privilege 1 secret cisco
enable secret level 2 level2

enable secret level 15 cisco
Tại PC1 telnet tới R1 với tài khoản admin hoặc subadmin nhưng subadmin gần như vẫn chưa thể cấu
hình được R1.
C:\PC1> telnet 192.168.1.1

Username: subadmin
Password: cisco
R1>
R1> enable 2
Password: level2
R1#
R1# show privilege

R1#
R1# show ip interface brief

R1#
R1# show arp

Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - c202.b65f.0000 ARPA FastEthernet0/0
Internet 192.168.1.2 145 c201.b794.0000 ARPA FastEthernet0/0
R1#
R1# configure terminal

R1(config)# interface f0/1
R1(config-if)# ip add 172.16.2.1 255.255.255.0
R1(config-if)# shutdown
^
% Invalid input detected at '^' marker.
R1(config-if)# no shutdown
^
R1(config-if)#

R1(config-if)# ?
Interface configuration commands:
default Set a command to its defaults
exit Exit from interface configuration mode
help Description of the interactive help system
ip Interface Internet Protocol config commands
no Negate a command or set its defaults
R1(config-if)#
R1# show running-config

^
R1#
Bước 2.2. Cấu hình cơ chế xác thực AAA để xác thực phiên kết nối Console trên Router R1.
aaa authentication login CONSOLE local enable
aaa authentication login VTY local enable
line vty 0 4
login authentication VTY
exit
line con 0
login authentication CONSOLE
exit
Bước 2.3. Cấu hình phân quyền Local bằng cơ chế AAA trên Router R1.
Cấu hình phân quyền trên R1 chỉ cho phép quản trị subadmin tiến hành telnet, đặt IP trên các cổng,
được quyền “shutdown” & “no shutdown” các interface và kiểm tra được cấu hình “running-config”.
- aaa authorization exec VTY local: Kích hoạt chức năng phân quyền local authorization trên R1.
- aaa authorization command 2 VTY local: Kích hoạt phân quyền cho level 2 bằng phương thức
local authorization trên R1.
Router# privilege exec
Router(config)# privilege configure
Router(config-if)# privilege interface
privilege exec level 2 show running-config

privilege exec level 2 configure terminal
privilege configure level 2 interface
privilege interface level 2 ip address
privilege interface level 2 shutdown
privilege interface level 2 no shutdown
aaa authorization exec VTY local

aaa authorization command 2 VTY local
PC1> telnet 192.168.1.1

Trying 192.168.1.1 ... Open
Username: subadmin
Password:
R1> enable 2
Password:
R1# show privilege
R1# show running-config
Building configuration...
Current configuration : 198 bytes

!
boot-start-marker
boot-end-marker
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
!
ip address 172.16.2.1 255.255.255.0
shutdown
!
end
Phụ tá quản trị subadmin có thể đăng nhập vào thiết bị với level 15 để toàn quyền cấu hình thiết bị.
R1# show privilege
R1# enable
Password: cisco
R1# show privilege
R1#
Có thể phân quyền cho telnet user bằng cách thiết lập nhiều enable secret với các level khác nhau hoặc
nhúng trực tiếp level ở chế độ “line vty”.
enable secret level 15 cisco
line vty 0 4
privilege level 2
exit
Bước 2.4. Cấu hình dịch vụ Accounting bằng tính năng Log Config trên Router R1.
Cấu hình kiểm toán Accounting bằng tính năng Config Log Archive trên Router.
Tính năng Config Log Archive cho phép ghi chép lại tất cả các câu lệnh command mà user hoặc admin
thực hiện trên thiết bị.
Bật tính năng Config Log Archive trên Router.
archive
log config
logging enable
exit
exit
Để khảo sát tính năng Config Log Archive, subadmin telnet tới R1 và thực hiện các lệnh sau.
PC1> telnet 192.168.1.1
Trying 192.168.1.1 ... Open
Username: subadmin
Password:
R1> enable 2
Password:
R1(config)# interface loopback 1
R1(config-if)# ip address 10.0.0.1 255.255.255.255
R1(config-if)# exit
R1(config)# exit
R1# clock set 14:00:00 Nov 2 2016
^
R1#
hoặc
interface loopback 1
ip address 10.0.0.1 255.255.255.255
no shutdown
exit
exit
clock set 14:00:00 Nov 2 2016
Tiến hành console vào R1 để kiểm tra lịch sử các command đã thực hiện.
R1# show archive log config all
idx sess user@line Logged command
1 1 console@console | logging enable
2 1 console@console | exit
3 1 console@console | exit
4 0 subadmin@vty0 |!exec: enable failed
5 2 subadmin@vty0 |interface loopback 1
6 2 subadmin@vty0 | ip address 10.0.0.1 255.255.255.255
7 2 subadmin@vty0 | no shutdown
8 2 subadmin@vty0 | exit
R1#
Xóa thông tin lịch sử các command đã thực hiện.

R1# clear archive log config force
Phần 6. Hướng dẫn cấu hình dịch vụ SSH Service trên Cisco Router.

o Bước 1.1. Cấu hình cơ bản trên Router R1.
o Bước 1.2. Cấu hình cơ bản trên Switch Sw1.
- Bước 2. Cấu hình dịch vụ SSH trên Cisco Switch và Router.
o Bước 2.1. Kiểm tra thiết bị có hỗ trợ cấu hình dịch vụ SSH hay không.
o Bước 2.2. Cấu hình SSH trên Cisco Switch.
 Bước 2.2.1. Cấu hình SSH trên Switch Sw1.
 Bước 2.2.2. Kiểm tra dịch vụ SSH trên Switch Sw1.
 Bước 2.2.3. Sử dụng chương trình SecureCRT để kết nối SSH tới Switch Sw1.
 Bước 2.2.4. Kiểm tra phiên kết nối SSH tới Switch Sw1.
 Bước 2.2.5. Gỡ bỏ cấu hình SSH trên Switch Sw1.
o Bước 2.3. Cấu hình SSH trên Cisco Router.
 Bước 2.3.1. Cấu hình SSH trên Router R1.
 Bước 2.3.2. Thay đổi Service Port của SSH trên R1.

Bước 1.1. Cấu hình cơ bản trên Router R1.
- logging synchronous: cấu hình cơ chế chống trôi dònh lệnh.
- no ip domain-lookup: cấu hình bỏ qua cơ chế phân giải tên miền.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
no service timestamps debug
no service timestamps log
Bước 1.2. Cấu hình cơ bản trên Switch Sw1.

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình dịch vụ SSH trên Cisco Switch và Router.

Bước 2.1. Kiểm tra thiết bị có hỗ trợ cấu hình dịch vụ SSH hay không.
Kiểm tra thiết bị có hỗ trợ SSH hay không.
- Nếu IOS của thiết bị có ký tự “k9” thì thiết bị đó đang sử dụng crypto image và có khả năng hỗ
trợ cấu hình SSH và các thuật toán mã hóa.
Sw1# show version | begin Image
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 26 WS-C3560V2-24TS 15.0(1)SE C3560-IPSERVICESK9-M
Configuration register is 0xF
Sw1#
Bước 2.2. Cấu hình SSH trên Cisco Switch.

Bước 2.2.1. Cấu hình SSH trên Switch Sw1.
Cấu hình SSH version 2 trên Sw1.
Các bước cấu hình SSHv2 trên Sw1.
- Bước 1. Kiểm tra thiết bị có hỗ trợ SSH hay không.
- Bước 2. Cấu hình SSHv2 trên Sw1.
- Bước 3. Kiểm tra dịch vụ SSH trên Sw1 bằng cách tại Sw1 tiến hành SSH tới chính nó.
- Bước 4. Tại PC sử dụng chương trình SecureCRT tiến hành SSH tới Sw1.
- Bước 5. Gỡ bỏ cấu hình SSH trên Sw1.
Cấu hình SSHv2 trên Sw1.

- ip domain-name cisco: Thông tin domain-name dùng để định danh cặp khóa public key &
private key. Cặp khóa Publish Key & Private Key phục vụ cho quá trình thỏa thuận password giữa
SSH Client và SSH Server, password này sẽ được sử dụng mã hóa dữ liệu SSH session.
- crypto key generate rsa modulus 1024: Để hỗ trợ SSHv2, ta cần phát sinh cặp khóa Public Key
và Private Key có chiều dài tối thiểu bằng hoặc lớn hơn 768 bit. Khi hai hệ thống bắt đầu một
phiên làm việc SSH, SSH Server sẽ gửi Public Key của nó cho SSH Client. SSH Client sinh ra một
“khoá phiên ngẫu nhiên” và mã hoá khoá này bằng Public Key của SSH Server, sau đó gửi lại cho
SSH Server. SSH Server sẽ giải mã “khoá phiên ngẫu nhiên” bằng Private Key của mình và nhận
được “khoá phiên ngẫu nhiên”. Khoá phiên ngẫu nhiên này sử dụng để mã hóa dữ liệu trao đổi
giữa hai thiết bị. Sau khi hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khoá), quá trình
trao đổi dữ liệu diễn ra thông qua một bước trung gian đó là mã hoá/giải mã. Việc lựa chọn cơ
chế mã hoá thường do SSH Client quyết định.
o 1024: Phát sinh cặp khóa Public Key & Private Key có kích thước 1024 bit, chiều dài khóa
có thể dao động từ 360 bit cho tới 2048 hoặc 4096 bit tùy theo dòng thiết bị.
o Nếu muốn thay đổi chiều dài Public Key & Private Key, ta có thể thu hồi cặp khóa cũ
bằng lệnh “crypto key zeroize rsa” rồi phát sinh lại cặp khóa mới.
Sw1(config)# crypto key zeroize rsa
% All keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
Sw1(config)#
%SSH-5-DISABLED: SSH 2.0 has been disabled
Sw1(config)#
Sw1(config)# crypto key generate rsa modulus 1024

The name for the keys will be: Sw1.cisco
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sw1(config)#
%SSH-5-ENABLED: SSH 2.0 has been enabled
Sw1(config)#
o Kiểm tra RSA Public Key. Private Key được lưu tại NVRAM và được thiết file permission
nên không ai có thể xem được trên Router.
Sw1# show crypto key mypubkey rsa
% Key pair was generated at: 12:13:13 UTC Dec 2 2016
Key name: Sw1.cisco
Key type: RSA KEYS
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00B2935D
86237675 9FBE357F 4659D187 28461F44 09AB55E4 A3ADD8B5 F8752A25 60FBEAF3
4AECDE46 43D4385D 4BA1C457 51F9AE77 9A6D9701 C29A828D 269D310E CC37C13D
6D474164 2FACC519 BD1CC190 48A1398A 271B996D 689657D7 44305012 6A02131E
16700532 85CD5DAD A5C7F097 31B3F291 7237B31A 0E26CD04 8EE8A8A7 D5020301 0001
% Key pair was generated at: 12:13:14 UTC Dec 2 2016
Key name: Sw1.cisco.server
Key type: RSA KEYS
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00D97545 09C30F2D
4BE658E3 F52A01D0 CE77D889 4FE91B03 7AB036FB D497C488 103F4219 0ACAC21D
8F423870 1A53BBB4 7A46E9CA 6E92052B E415C8A9 FA19A2A2 F9EE9A78 83631340
54CF852E A9E335D3 0E527E0E D3E5A920 21F376E4 F7A127FF C7020301 0001
Sw1#
- ip ssh version 2: Thiết lập cho Sw1 sử dụng SSH version 2, SSHv2 sử dụng thuật toán mã hóa AES
mạnh hơn thuật toán mã hóa 3DES mà SSHv1 sử dụng. Kiểm tra SSH Version mà Sw1 đang hỗ
trợ.
o version 1.99: Thiết bị hỗ trợ cả SSHv1 và SSHv2, SSHv2 không có khả năng tương thích
ngược với SSHv1 vì chúng sử dụng thuật toán mã hóa khác nhau. Một thiết bị sử dụng
SSHv1 không thể SSH tới thiết bị chạy SSHv2 và ngược lại.
o version 2.0: Thiết bị chỉ hỗ trợ SSHv2.
o version 1.5: Thiết bị chỉ hỗ trợ SSHv1.
Sw1# show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
…
Sw1#
- username cisco password cisco: Thiết lập username và password được quyền SSH tới Sw1, có
thể khai báo nhiều cặp username & password.
- enable password cisco: Cho phép SSH User đăng nhập vào chế độ đặc quyền Privilege Exec
Mode bằng password là cisco.
- line vty 0 4: Cho phép tối đa 5 người đồng thời được phép telnet/SSH tới Sw1.
- transport input ssh: Kích hoạt SSH trên Sw1.
- login local: Cho phép Sw1 sử dụng local username & password khai báo tại Sw1 để xác thực
người dùng SSH tới thiết bị.
Sw1(config)# ip domain-name cisco
Sw1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: Sw1.cisco
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sw1(config)# ip ssh version 2
Sw1(config)# username cisco password cisco
Sw1(config)# enable password cisco
Sw1(config)# line vty 0 4
Sw1(config-line)# transport input ssh
Sw1(config-line)# login local
hoặc
ip domain-name cisco
crypto key generate rsa modulus 1024
ip ssh version 2
username cisco password cisco
enable password cisco
line vty 0 4
transport input ssh
login local
exit
Bước 2.2.2. Kiểm tra dịch vụ SSH trên Switch Sw1.

Kiểm tra dịch vụ SSH trên Sw1 bằng cách tại Sw1 tiến hành SSH tới chính nó.
- -v 2: sử dụng SSHv2.
- -l cisco: đăng nhập login với username là cisco.
- 192.168.1.2: là IP của thiết bị cần SSH tới.
- -p 22: Sử dụng Port 22.
Sw1# ssh -v 2 -l cisco –p 22 192.168.1.2
Password:
Sw1> enable
Password:
Sw1#
Kiểm tra username nào đang SSH tới Sw1.

Sw1# show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes128-cbc hmac-sha1 Session started cisco
0 2.0 OUT aes128-cbc hmac-sha1 Session started cisco
%No SSHv1 server connections running.
Sw1#
Kiểm tra IP của SSH Client.

Sw1# show users
0 con 0 192.168.1.2 00:00:00
* 2 vty 0 cisco idle 00:00:00 192.168.1.2
Sw1#
Bước 2.2.3. Sử dụng chương trình SecureCRT để kết nối SSH tới Switch Sw1.
Tại PC sử dụng chương trình SecureCRT tiến hành SSH tới Sw1.
Khởi động chương trình SecureCRT bằng cách click vào icon của chương trình.
Click vào nút Quick Connect.
Khai báo địa chỉ IP của Sw1 và thông tin xác thực username là cisco rồi click vào nút Connect.
Click vào nút Accept Once.

Khai báo thêm thông tin password rồi click nút OK.
Từ PC1 SSH thành công tới Sw1.
Bước 2.2.4. Kiểm tra phiên kết nối SSH tới Switch Sw1.
Kiểm tra thông tin địa chỉ IP của thiết bị SSH Client (PC1) đang tiến hành SSH tới Sw1.
- 192.168.1.3: Là IP của SSH Client (PC1).
- cisco: Là username hiện đang SSH tới Sw1.
- vty 0: PC1 là SSH Client đầu tiên SSH tới Sw1 nên phiên kết nối này được định danh là “vty 0”.
- con 0: Sw1 cũng đang được cấu hình thông qua giao tiếp console tương ứng với phiên “con 0”.
Sw1# show users
* 0 con 0 idle 00:00:00
1 vty 0 cisco idle 00:03:07 192.168.1.3
Sw1#
Tại Sw1, ngắt phiên SSH của PC1.
Sw1# clear line vty 0
[confirm] <enter>
[OK]
Sw1#
Bước 2.2.5. Gỡ bỏ cấu hình SSH trên Switch Sw1.

Gỡ bỏ cấu hình SSH trên Sw1.
line vty 0 4
transport input none
login
Sw1# show ssh

Sw1#
Kiểm tra thông tin cấu hình SSH hiện tại trên Sw1.
Sw1# show running-config | begin line vty
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
Sw1#
Bước 2.3. Cấu hình SSH trên Cisco Router.

Bước 2.3.1. Cấu hình SSH trên Router R1.
Cấu hình SSH version 2 trên R1.
Cấu hình SSHv2 trên R1 theo cách thức tương tự như trên Sw1.
ip domain-name cisco
crypto key generate rsa modulus 1024
ip ssh version 2
line vty 0 4
transport input ssh
login local
exit
Từ PC hoặc Sw1 tiến hành SSH tới R1.

Tại R1, kiểm tra user nào đang SSH tới R1.
R1# show ssh
Tại R1, kiểm tra thông tin địa chỉ IP của thiết bị đang SSH tới.
R1# show users
Bước 2.3.2. Thay đổi Service Port của SSH trên R1.
Thay đổi Port dịch vụ SSH.
Để tăng mức độ bảo mật cho phiên SSH tới R1, ta có thể thay đổi đổi port dịch vụ của SSH. Sau khi cấu
hình SSH Server, R1 sẽ mở Port dịch vụ SSH là 22. Ta có thể thay đổi từ Port 22 thành Port 2009 tương
ứng với dịch vụ SSH Server để bảo mật hơn để chỉ những người biết được Port dịch vụ SSH là Port 2009
thì mới có thể SSH được tới R1.
Từ PC tiến hành SSH tới R1 thông qua Port mặc định là 22.
Trên R1, thay đổi Port SSH Service từ 22 thành Port 2009.
R1(config)# ip ssh port 2009 rotary 1
R1(config)# line vty 0 4
R1(config-line)# rotary 1
Lúc này tại PC, ta có thể SSH tới R1 thông qua Port 22 hoặc 2009. Để cấm các thiết bị SSH tới R1 thông
qua Port 22, ta cần triển khai thêm ACL.
line vty 0 4
access-class 100 in
exit
access-list 100 deny tcp any any eq 22
access-list 100 permit tcp any any eq 2009
Phần 7. Hướng dẫn lưu cấu hình và hệ điều hành IOS của Cisco Router lên TFTP Server.

- Bước 2. Lưu cấu hình của Cisco Router lên TFTP Server.
o Bước 2.1. Thiết lập TFTP Server trên máy tính sử dụng hệ điều hành Window.
o Bước 2.2. Lưu cấu hình của Cisco Router vào bộ nhớ NVRAM.
o Bước 2.3. Lưu cấu hình của Cisco Router vào bộ nhớ Flash.
o Bước 2.4. Lưu cấu hình của Cisco Router lên TFTP Server.
o Bước 2.5. Kiểm tra File cấu hình của Cisco Router trên TFTP Server.
o Bước 2.6. Lấy File cấu hình từ TFTP Server về Cisco Router.
o Bước 2.7. Lưu File cấu hình từ bộ nhớ NVRAM của Cisco Router lên TFTP Server.
- Bước 3. Lưu hệ điều hành IOS của Cisco Router lên TFTP Server.
o Bước 3.1. Lưu IOS của Cisco Router lên TFTP Server.
o Bước 3.2. Nâng cấp hệ điều hành IOS của Cisco Router thông qua TFTP Server.

- Khi thực hiện câu lệnh exec-timeout 1 30, sau khi mở giao diện HyperTerminal cấu hình Router,
đăng nhập vào thiết bị bằng mật khẩu console, mật khẩu enable, nếu sau 1 phút 30 giây mà ta
không thực hiện bất kỳ câu lệnh nào thì phiên kết nối HyperTerminal sẽ tự động logout và ta sẽ
phải đăng nhập lại. Thực hiện câu lệnh exec-timeout 0 0 để tắt cơ chế tự động logout.
- Thực hiện câu lệnh logging synchronous để bật cơ chế chống trôi dòng lệnh.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
exec-timeout 0 0
logging synchronous
exit
Bước 2. Lưu cấu hình của Cisco Router lên TFTP Server.
Bước 2.1. Thiết lập TFTP Server trên máy tính sử dụng hệ điều hành Window.
Trên PC thực hiện cài đặt phần mềm tftpd32.exe để giả lập PC cài đặt hệ điều hành Window (XP hoặc
Win7) thành một TFTP Server. Phần mềm này có thể được download miễn phí từ link
http://tftpd32.jounin.net/. Hoặc có thể search google với từ khóa tftpd32 download.
Trên máy tính cài đặt hệ điều hành Window (XP hoặc Win7), mở chương trình tftpd32.exe (các máy tính
tại VnPro có sẵn chương trình này tại giao diện Desktop). Có thể tải phần mềm
Thiết lập IP cho PC (TFTP Server) trước khi mở chương trình tftpd32.exe.
Thiết lập các tham số cho chương trình tftpd32.exe như sau.
- Để khảo sát, ta nên chỉnh thư mục lưu trữ các file ra màn hình Desktop.
- Chương trình tftpd32.exe sử dụng chung IP với IP của PC nên chỉ việc lựa chọn IP phù hợp từ
danh sách đổ xuống.
Bước 2.2. Lưu cấu hình của Cisco Router vào bộ nhớ NVRAM.
Mọi câu lệnh mà người quản trị Administrator cấu hình trên thiết bị sẽ được lưu trực tiếp tại bộ nhớ
RAM của Router, nếu thiết bị mất điện đột ngột thì các cấu hình này sẽ mất, vì thế ta cần thực thao tác
lưu dự phòng file cấu hình từ bộ nhớ RAM sang bộ nhớ NVRAM của Router.
R1# copy running-config startup-config
Destination filename [startup-config]? <enter>
[OK]
R1#
Kiểm tra file cấu hình lưu tại bộ nhớ NVRAM.

R1# show startup-config
Using 1548 out of 245752 bytes
!
! Last configuration change at 01:32:53 UTC Wed Jun 29 2016
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
! card type command needed for slot/vwic-slot 0/2
!
no aaa new-model
!
memory-size iomem 5
!
dot11 syslog
ip source-route
!
--More--
Nếu muốn kiểm tra thông tin cấu hình cụ thể trong file cấu hình, ta có thể thực hiện như sau.
R1# show startup-config | include hostname
hostname R1
R1#
R1# show startup-config | begin interface

ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
--More--
R1# show startup-config | begin line vty

line vty 0 4
login
transport input all
!
end
R1#
Thực hiện tương tự cho file cấu hình running-config.

R1# show running-config | include hostname
R1# show running-config | begin interface
R1# show running-config | begin line vty
Bước 2.3. Lưu cấu hình của Cisco Router vào bộ nhớ Flash.
Tiến hành lưu dự phòng cấu hình configuration file của R1 vào bộ nhớ Flash.
R1# copy running-config flash:
Destination filename [running-config]? R1(copy1).cfg <enter>
1548 bytes copied in 1.340 secs (1155 bytes/sec)

R1#
Kiểm tra file cấu hình trong bộ nhớ Flash:

R1# show flash: | include cfg
154 1548 Jun 29 2016 01:49:22 +00:00 R1(copy1).cfg
R1#
Thay đổi hostname của R1 thành Router.

R1(config)# hostname Router
Router(config)#
Tiến hành copy file cấu hình R1(copy1).cfg từ bộ nhớ Flash về bộ nhớ RAM của Router để áp dụng cấu
hình này. Ta sẽ thấy hostname của Router chuyển đổi từ Router thành R1.
Router# copy flash: running-config
Source filename []? R1(copy1).cfg
Destination filename [running-config]? <enter>
R1#
Ta cũng có thể lưu cấu hình startup-config vào bộ nhớ Flash như sau.
R1# copy startup-config flash:
Destination filename [startup-config]? R1(copy2).cfg <enter>
R1#
Kiểm tra bộ nội dung bộ nhớ Flash.

154 1548 Jun 29 2016 01:49:22 +00:00 R1(copy1).cfg
155 1548 Jun 29 2016 02:01:10 +00:00 R1(copy2).cfg
R1#
Muốn xóa một file bất kỳ trong bộ nhớ Flash, ta thực hiện như sau.
R1# delete flash:R1(copy2).cfg

Delete filename [R1(copy2).cfg]? <enter>
Delete flash:/R1(copy2).cfg? [confirm] <enter>
R1#
Kiểm tra các file cấu hình còn lại trong bộ nhớ Flash, ta sẽ thấy file cấu hình R1(copy2).cfg đã bị xóa và
không còn trong bộ nhớ Flash nữa.
154 1548 Jun 29 2016 01:49:22 +00:00 R1(copy1).cfg
R1#
Bước 2.4. Lưu cấu hình của Cisco Router lên TFTP Server.
Tiến hành lưu dự phòng cấu hình configuration file của R1 lên TFTP Server.
Khởi động và thiết lập các tham số cho TFTP Server như sau.
Copy file cấu hình running-config lên TFTP Server.

R1# copy running-config tftp:
Address or name of remote host []? 192.168.1.2 <enter>
Destination filename [r1-confg]? R1(copy1).cfg <enter>
!!
R1#
Bước 2.5. Kiểm tra File cấu hình của Cisco Router trên TFTP Server.
Kiểm tra file cấu hình R1(copy1).cfg trên TFTP Server.
Ta có thể sử dụng chương trình WordPad để xem nội dung file cấu hình R1(copy1).cfg.
Nội dung file cấu hình R1(copy1).cfg mở bằng chương trình WordPad.
Bước 2.6. Lấy File cấu hình từ TFTP Server về Cisco Router.
Thay đổi hostname của thiết bị từ R1 thành Router.
R1(config)# hostname Router
Router(config)#
Để copy file cấu hình R1(copy1).cfg từ TFTP Server sang bộ nhớ RAM của thiết bị, ta thực hiện như sau,
ta thấy hostname của thiết bị thay đổi từ Router thành R1.
Router# copy tftp: running-config
Source filename []? R1(copy1).cfg <enter>
Accessing tftp://192.168.1.2/R1(copy1).cfg...
Loading R1(copy1).cfg from 192.168.1.2 (via FastEthernet0/0): !
[OK - 1548 bytes]
R1#
*Jun 29 02:23:33.791: %SYS-5-CONFIG_I: Configured from
tftp://192.168.1.2/R1(copy1).cfg by console
R1#
Bước 2.7. Lưu File cấu hình từ bộ nhớ NVRAM của Cisco Router lên TFTP Server.
Ta cũng có thể tiến hành lưu dự phòng file cấu hình startup-config tại bộ nhớ NVRAM lên TFTP Server.
R1# copy startup-config tftp:
Destination filename [r1-confg]? R1(copy2).cfg <enter>
!!
R1#
Kiểm ra các file cấu hình trên TFTP Server.
Bước 3. Lưu hệ điều hành IOS của Cisco Router lên TFTP Server.
Bước 3.1. Lưu IOS của Cisco Router lên TFTP Server.
Tiến hành lưu dự phòng hệ điều hành IOS của R1 lên TFTP Server.
Kiểm tra IOS hiện tại mà Router đang sử dụng.
R1# show version
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9_IVS-M), Version
15.1(4)M10, RELEASE SOFTWARE (fc2)
Compiled Tue 24-Mar-15 08:59 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1)
R1 uptime is 34 minutes
System returned to ROM by power-on
System image file is "flash:c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin"
Last reload type: Normal Reload

--More--
Kiểm tra hệ điều hành IOS của Router lưu tại bộ nhớ Flash.
R1# show flash: | include bin
1 68411544 Sep 17 2015 09:00:58 +00:00 c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin
R1#
Lưu dự phòng hệ điều hành IOS của Router lên TFTP Server.
R1# copy flash: tftp:
Source filename []? c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin <enter>
Destination filename [c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin]? <enter>
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
R1#
Quan sát tiến trình copy IOS trên TFTP Server.
Kiểm tra file IOS trên TFTP Server.

Bước 3.2. Nâng cấp hệ điều hành IOS của Cisco Router thông qua TFTP Server.
Tương tự, ta cũng có thể copy hệ điều hành IOS từ TFTP Server về bộ nhớ Flash, bằng cách này ta có thể
nâng cấp hệ điều hành IOS cho thiết bị một cách dễ dàng.
Đầu tiên cần làm là phải xác định file IOS trên TFTP Server bằng cách truy cập vào đường dẫn lưu file thể
hiện trên chương trình tftpd32.exe rồi copy tên của hệ điều hành IOS cần copy.
Để copy hệ điều hành IOS c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin trên TFTP Server về bộ nhớ
Flash của Router, ta thực hiện như sau.
R1# copy tftp: flash:
Source filename []? c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin <enter>
Destination filename [c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin]? <enter>
%Warning:There is a file already existing with this name
Do you want to over write? [confirm] <enter>
Accessing tftp://192.168.1.2/c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin...
Loading c2800nm-adventerprisek9_ivs-mz.151-4.M10.bin from 192.168.1.2 (via
FastEthernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 68411544 bytes]

R1#
Quan sát tiến trình copy file IOS trên TFTP Server.
Phần 8. Hướng dẫn Crack mật khẩu Password trên Cisco Router.

- Bước 1. Cấu hình cơ bản trên Cisco Router.
- Bước 2. Các bước Crack mật khẩu trên Cisco Router.
o Bước 2.1. Truy cập vào chế độ ROMMON của Cisco Router để hiệu chỉnh giá trị thanh
ghi Config-Register.
o Bước 2.2. Thay đổi các loại mật khẩu trên Cisco Router và khôi phục lại File cấu hình cũ.
o Bước 2.3. Hiệu chỉnh giá trị thanh ghi Config-Register trở về giá trị mặc định ban đầu.

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
exec-timeout 0 0
logging synchronous
exit
Cấu hình enable password, console password ngẫu nhiên trên Router.
R1(config)# enable password oweur2w8er9q2oijdpsfjz
R1(config)# line console 0
R1(config-line)# password powieurqw;ldkjfasod
R1(config-line)# end
R1#
Tiến hành lưu cấu hình running-config tại bộ nhớ RAM sang bộ nhớ NVRAM.
R1# write memory
[OK]
R1#
Kiểm tra password trong file cấu hình startup-config.

R1# show startup-config | include password
enable password oweur2w8er9q2oijdpsfjz
password powieurqw;ldkjfasod
R1#
Bước 2. Các bước Crack mật khẩu trên Cisco Router.

Bước 2.1. Truy cập vào chế độ ROMMON của Cisco Router để hiệu chỉnh giá trị thanh ghi Config-
Register.
Thoát khỏi các chế độ đặc quyền Privilege EXEC Mode và chế độ User EXEC Mode rồi đăng nhập lại thiết
bị, lúc này ta không còn đăng nhập vào thiết bị nữa vì không biết (không nhớ) các password console
cũng như password enable.
R1# disable
R1> exit
R1 con0 is now available

Press RETURN to get started.
<enter>
Password:
Password:
Password:
% Bad passwords
Lúc này, ta sẽ tiến hành crack mật khẩu bằng cách chỉnh giá trị thanh ghi config-register của Router từ
giá trị mặc định từ 0x2102 thành giá trị 0x2142. Giá trị 0x2142 sẽ khiến cho Router lờ đi file cấu hình
startup-config trong bộ nhớ NVRAM và khởi động với cấu hình trắng.
Để chỉnh giá trị thanh ghi config-register, ta cần truy cập vào chế độ rommon> bằng cách tắt nguồn
Router, chờ khỏang 15 giây rồi bật lại nguồn cho Router (không tắt bật nguồn thiết bị quá đột ngột để
tránh các sự cố về tụ điện và nguồn điện trên thiết bị).
Sau khi bật nguồn của Router lên, ta nhấn tổ hợp phím Ctrl + Break trong khoảng 30 giây đầu tiên kể từ
lúc bật nguồn thiết bị để vào được chế độ rommon>.
System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Copyright (c) 2006 by cisco Systems, Inc.
Initializing memory for ECC

..
c2811 platform with 524288 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
< Nhấn “Ctrl + Break” tại đây >
Readonly ROMMON initialized
rommon 1 >
Sau khi vào được chế độ rommon>, ta tiến hành đổi giá trị thanh ghi config-register của Router từ giá trị
mặc định 0x2102 thành 0x2142.
rommon 1 > confreg 0x2142
You must reset or power cycle for new config to take effect
rommon 2 >
Tiến hành khởi động lại Router bằng câu lệnh reset.
rommon 2 > reset

program load complete, entry point: 0x8000f000, size: 0xcb80
program load complete, entry point: 0x8000f000, size: 0x413ded0

Self decompressing the image :
##############################################################################
##############################################################################
##############################################################################
############################################################
Lúc này, thiết bị sẽ khởi động với cấu hình trắng mặc dù bộ nhớ NVRAM vẫn chứa file cấu hình startup-
config tại thời điểm này.
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9_IVS-M), Version
15.1(4)M10, RELEASE SOFTWARE (fc2)
Compiled Tue 24-Mar-15 08:59 by prod_rel_team

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to

export@cisco.com.
Installed image archive

Cisco 2811 (revision 1.0) with 747520K/38912K bytes of memory.
Processor board ID FHK1434F1N0
2 FastEthernet interfaces
4 Serial(sync/async) interfaces
1 terminal line
2 Channelized (E1 or T1)/PRI ports
1 Virtual Private Network (VPN) Module
1 cisco service engine(s)
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
1000440K bytes of ATA CompactFlash (Read/Write)
Would you like to enter the initial configuration dialog? [yes/no]: no
Bước 2.2. Thay đổi các loại mật khẩu trên Cisco Router và khôi phục lại File cấu hình cũ.
Đăng nhập vào chế độ đặc quyền Privilege EXEC mode rồi kiểm tra cấu hình startup-config.
Router> enable
Router# show startup-config
Using 1624 out of 245752 bytes
!
! Last configuration change at 03:18:04 UTC Wed Jun 29 2016
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
! card type command needed for slot/vwic-slot 0/2
!
no aaa new-model
!
memory-size iomem 5
!
dot11 syslog
ip source-route
--More--
Kiểm tra enable password, console password trong file cấu hình startup-config của thiết bị.
Router# show startup-config | include enable password
Router#
Router# show startup-config | begin line con

line con 0
exec-timeout 0 0
logging synchronous
login
line aux 0
line 258
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
line vty 0 4
login
transport input all
!
end
Router#
Để hiệu chỉnh lại các loại password trên thiết bị, ta tiến hành copy file cấu hình startup-config sang bộ
nhớ RAM rồi tiến hành thiết lập các password enable, password console mới để đè chồng lên các
password cũ.
Router# copy startup-config running-config
R1#
Kiểm tra enable password, console password trong file cấu hình running-config của thiết bị.
R1# show running-config | include enable password

R1#
R1# show running-config | begin line con

line con 0
exec-timeout 0 0
logging synchronous
login
line aux 0
line 258
no exec
transport input all
line vty 0 4
login
transport input all
!
end
R1#
Thiết lập các password enable, password console mới đè chồng lên các password cũ.
R1(config)# enable password cisco
R1(config)# line console 0

R1(config-line)# password 123
R1(config-line)# end
R1#
Kiểm tra lại enable password, console password trong file cấu hình running-config của thiết bị.
R1# show running-config | include enable password
R1#
R1# show running-config | begin line con

line con 0
exec-timeout 0 0
password 123
logging synchronous
login
line aux 0
line 258
no exec
transport input all
line vty 0 4
login
transport input all
!
end
R1#
Lưu lại cấu hình vừa thay đổi running-config vào bộ nhớ NVRAM.
R1# write memory
[OK]
R1#
Kiểm tra lại enable password, console password trong file cấu hình startup-config của thiết bị.
R1# show startup-config | include enable password
R1#
R1# show startup-config | begin line con

line con 0
exec-timeout 0 0
password 123
logging synchronous
login
line aux 0
line 258
no exec
transport input all
line vty 0 4
login
transport input all
!
end
R1#
Bước 2.3. Hiệu chỉnh giá trị thanh ghi Config-Register trở về giá trị mặc định ban đầu.
Kiểm tra giá trị thanh ghi config-register hiện tại của thiết bị.
R1# show version | include register
Configuration register is 0x2142
R1#
Hiệu chỉnh giá trị thanh ghi config-register trở về giá trị mặc định 0x2102, lưu cấu hình rồi khởi động lại
Router để áp dụng giá trị thanh ghi config-register mới.
R1(config)# config-register 0x2102
R1(config)# end
R1#
R1# write memory

[OK]
R1#
R1# reload
Phần 9. Khôi phục hệ điều hành cho Cisco Router ở chế độ ROMMON.

- Bước 1. Cấu hình cơ bản trên Cisco Router.
- Bước 2. Khôi phục hệ điều hành IOS trên Cisco Router.
o Bước 2.1. Tiến hành xóa hệ điều hành IOS trong bộ nhớ Flash của Cisco Router.
o Bước 2.2. Khôi phục hệ điều hành IOS của Cisco Router tại chế độ ROMMON.

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
exec-timeout 0 0
logging synchronous
exit
Bước 2. Khôi phục hệ điều hành IOS trên Cisco Router.

Bước 2.1. Tiến hành xóa hệ điều hành IOS trong bộ nhớ Flash của Cisco Router.
Tiến hành khôi phục hệ điều hành IOS cho R1 nếu bộ nhớ Flash trên R1 bị mất hệ điều hành.
Thực hành yêu cầu này trên chương trình giả lập Router là Cisco Packet Tracer vì một số bộ nhớ trên bộ
nhớ Flash trên Router thật bị lỗi nên không thể thực hành trên thiết bị thật.
Để tránh tình huống hệ điều hành của Router lưu tại bộ nhớ Flash có thể bị xóa, ta nên lưu dự phòng hệ
điều hành IOS của Router ra ngoài TFTP Server.
R1# show flash:
System flash directory:
File Length Name/status
3 50938004 c2800nm-advipservicesk9-mz.124-15.T1.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[51193823 bytes used, 12822561 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)
R1#
R1# copy flash: tftp:
Hệ điều hành IOS của Router có thể bị xóa bằng cách sau.
R1# delete flash:c2800nm-advipservicesk9-mz.124-15.T1.bin
Delete filename [c2800nm-advipservicesk9-mz.124-15.T1.bin]? <enter>
Delete flash:/c2800nm-advipservicesk9-mz.124-15.T1.bin? [confirm] <enter>
R1#
Hệ điều hành IOS trong bộ nhớ Flash đã bị xóa, thực hiện show flash: để xác nhận.
R1# show flash:
System flash directory:
File Length Name/status
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[255819 bytes used, 63760565 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)
R1#
Tiến hành khởi động lại, Router không tìm thấy hệ điều hành IOS trong bộ nhớ Flash: sẽ tự động tải Mini
IOS trong bộ nhớ ROM để sử dụng nên ta sẽ rơi vào chế độ rommon>.
R1# reload
Proceed with reload? [confirm] <enter>
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
Initializing memory for ECC
..
c2811 processor with 524288 Kbytes of main memory
Boot process failed...
The system is unable to boot automatically. The BOOT

environment variable needs to be set to a bootable
image.
rommon 1 >
Bước 2.2. Khôi phục hệ điều hành IOS của Cisco Router tại chế độ ROMMON.
Tại chế độ rommon> ta tiến hành khôi phục IOS cho Router bằng cách xây dựng một TFTP Server. Để giả
lập TFTP Server trên Cisco Packet Tracer, ta kéo icon tương ứng với Server ra giao diện làm việc
Workspace.
Click doub vào Server, chuyển sang Tab Services, chọn TFTP rồi click vào tùy chọn On để bật dịch vụ
TFTP Server.
Hiện nay, TFTP Server giả lập hiện có sẵn các file IOS như bên dưới.
Sử dụng cáp chéo Cross-Over để kết nối cổng đầu tiên của Router với TFTP Server, nếu Router có 2 cổng
f0/0 và f0/1 thì cổng đầu tiên là cổng f0/0, sau đó ta đặt IP cho Server địa chỉ IP 192.168.1.2/24.
Trên Router, thực hiện các lệnh sau để thiết lập các biến variance trên Router sử dụng ở chế độ
rommon>.
- Đối với dòng Router 2800, ta cần lấy chính xác hệ điều hành tương ứng với dòng Router 2800
như một trong số các hệ điều hành IOS bên dưới
o c2800nm-advipservicek9-mz.124-15.T1.bin
o c2800nm-advipservicek9-mz.151-4.M4.bin
o c2800nm-ipbase-mz.123-14.T7.bin
o c2800nm-ipbasek9-mz.124-8.bin
- Câu lệnh sync dùng để lưu các biến variance vừa cấu hình vào bộ nhớ NVRAM. Tuy nhiên, trên
Cisco Packet Trace không hỗ trợ câu lệnh sync nên không cần phải gõ câu lệnh này.
rommon 3 > IP_ADDRESS=192.168.1.1 <- Địa chỉ IP sử dụng cho router
rommon 4 > IP_SUBNET_MASK=255.255.255.0 <- Subnet mask của IP router
rommon 5 > DEFAULT_GATEWAY=192.168.1.2 <- Sử dụng địa chỉ của TFTP Server
rommon 6 > TFTP_SERVER=192.168.1.2 <- Địa chỉ của TFTP server
rommon 7 > TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin <- Tên file IOS
rommon 8 > sync
Ta có thể biên soạn trước các biến variance như bên dưới bằng chương trình Notepad hoặc WordPad
rồi sau đó dán vào giao diện cấu hình.
IP_ADDRESS=192.168.1.1
IP_SUBNET_MASK=255.255.255.0
DEFAULT_GATEWAY=192.168.1.2
TFTP_SERVER=192.168.1.2
TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin
sync
Nếu TFTP Server không kết nối vào cổng đầu tiên trên Router là cổng f0/0 mà kết nối vào cổng f0/1 của
Router thì chúng ta phải khai báo thêm biến FE_PORT như bên dưới.
rommon > FE_PORT=1
Thực hiện câu lệnh set để kiểm tra các biến cấu hình đã chính xác hay chưa.
rommon 9 > set
DEFAULT_GATEWAY=192.168.1.2
IP_ADDRESS=192.168.1.1
IP_SUBNET_MASK=255.255.255.0
PS1=rommon ! >
TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin
TFTP_SERVER=192.168.1.2
rommon 10 >
Nếu một biến nào đó thiết lập sai, ta có thể xóa biến rồi thiết lập lại giá trị của biến đó.
rommon 11 > unset DEFAULT_GATEWAY
rommon 12 > DEFAULT_GATEWAY=192.168.1.2
Sau khi khai báo xong, thực hiện lệnh tftpdnld để bắt đầu tiến trình load IOS:
rommon 13 > tftpdnld
IP_ADDRESS: 192.168.1.1
IP_SUBNET_MASK: 255.255.255.0
DEFAULT_GATEWAY: 192.168.1.2
TFTP_SERVER: 192.168.1.2
TFTP_FILE: c2800nm-advipservicesk9-mz.124-15.T1.bin
TFTP_VERBOSE: Progress
TFTP_RETRY_COUNT: 18
TFTP_TIMEOUT: 7200
TFTP_CHECKSUM: Yes
TFTP_MACADDR: 00:1f:6c:6e:90:d0
FE_PORT: Fast Ethernet 0
FE_SPEED_MODE: Auto
Invoke this command for disaster recovery only.

WARNING: all existing data in all partitions on flash: will be lost!
Do you wish to continue? y/n: [n]: y <- Chọn y rồi nhấn enter
.
Receiving c2800nm-advipservicesk9-mz.124-15.T1.bin from
192.168.1.2 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!
(…)
File reception completed.
Validating checksum.
Copying file c2800nm-advipservicesk9-mz.124-15.T1.bin to flash:.
Format: All system sectors written. OK...

Format: Operation completed successfully.
Format of flash: complete

rommon 14 >
Kiểm tra lại file IOS vừa tải về trong bộ nhớ Flash.
rommon 15 > dir flash:
File size Checksum File name
50938004 bytes (0x3094094) 0x439d c2800nm-advipservicesk9-mz.124-15.T1.bin
rommon 16 >
Sau khi load xong IOS, thực hiện khởi động lại Router để hoàn tất quá trình khôi phục IOS.
rommon 17 > reset
program load complete, entry point: 0x8000f000, size: 0x310cb04
Self decompressing the image :
###############################################################################
######################################################################################
############################# [OK]
(…)
Compiled Wed 18-Jul-07 06:21 by pt_rel_team
Continue with configuration dialog? [yes/no]: no

Press RETURN to get started!
Router>
Phần 10. Hướng dẫn cấu hình định tuyến tĩnh Static Route trên Cisco Router.
- Bước 2. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến tĩnh Static Route đảm bảo các PC có thể giao tiếp được
với nhau.
o Bước 2.2. Cấu hình định tuyến tĩnh Static Route đảm bảo các Router có thể giao tiếp
được với nhau.
o Bước 2.3. Khảo sát cơ chế Proxy-ARP trên Cisco Router.
Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình telnet không password, cấu
hình cơ chế chống trôi dònh lệnh “logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no
ip domain-lookup”).
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 192.168.12.2 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.23.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup

hostname R3
interface f0/0
ip address 192.168.23.3 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
Bước 2.1. Cấu hình định tuyến tĩnh Static Route đảm bảo các PC có thể giao tiếp được với nhau.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo PC1 có thể ping được tới PC2.
Tại PC1 ping tới PC2 sẽ có IP Source là 192.168.1.2 và IP Destination là 192.168.3.2. Tiến trình ping phải
diễn ra thông qua 2 chiều:
- Gói tin ping khởi phát di chuyển từ PC1 tới PC2: PC1 > R1 > R2 > R3 > PC2
- Gói tin ping hồi đáp gửi từ PC2 về PC1: PC2 > R3 > R2 > R1 > PC1
Cấu hình định tuyến trên R1 & R2 như sau để gói tin ping khởi phát di chuyển từ PC1 tới PC2.
R1(config)# ip route 192.168.3.0 255.255.255.0 192.168.12.2
R2(config)# ip route 192.168.3.0 255.255.255.0 192.168.23.3
Cấu hình định tuyến trên R3 & R2 như sau để gói tin ping hồi đáp gửi từ PC2 tới PC1.
R3(config)# ip route 192.168.1.0 255.255.255.0 192.168.23.2
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
Trên R1, kiểm tra các route dạng static bằng câu lệnh sau. Chữ “S” được viết tắt từ “Static” cho biết
route này xuất hiện trong bảng định tuyến nhờ vào phương thức cấu hình “static route”.
R1# show ip route static
S 192.168.3.0/24 [1/0] via 192.168.12.2
R1#
S 192.168.3.0/24 [1/0] via 192.168.23.3
S 192.168.1.0/24 [1/0] via 192.168.12.1
R2#

S 192.168.1.0/24 [1/0] via 192.168.23.2
R3#
Đứng tại R1, để kiểm tra 2 lớp mạng 192.168.1.0/24 và 192.168.3.0/24 đã thông suốt hay chưa, ta có
thể ping với tham số source. Gói tin ping sẽ có IP Source là 192.168.1.1 và IP Destination là 192.168.3.2.
R1# ping 192.168.3.2 source 192.168.1.1
thể ping với tham số source. Gói tin ping sẽ có IP Source là 192.168.3.1 và IP Destination là 192.168.1.2.
R3# ping 192.168.1.2 source 192.168.3.1
Từ PC1 ping tới PC2 và ngược lại.

C:\PC1> ping 192.168.3.2
C:\PC2> ping 192.168.1.2
Từ PC1 tracert tới PC2 và ngược lại để biết được những chặng Router mà gói tin phải đi qua trước khi tới
được đích.
C:\PC1> tracert 192.168.3.2
C:\PC2> tracert 192.168.1.2
Bước 2.2. Cấu hình định tuyến tĩnh Static Route đảm bảo các Router có thể giao tiếp được với nhau.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo R1 có thể ping được tới 192.168.23.3
của R3.
Từ R1 mà tiến hành ping tới 192.168.23.3 của R3 thì gói tin sẽ có IP Source là 192.168.12.1 và IP
Destination là 192.168.23.3. Tiến trình ping phải diễn ra thông qua 2 chiều:
- Gói tin ping khởi phát di chuyển từ R1 tới 192.168.23.3
- Gói tin ping hồi đáp gửi từ 192.168.23.3 về 192.168.12.1
Cấu hình định tuyến trên R1 như sau để gói tin ping khởi phát di chuyển từ PC1 tới 192.168.23.3.
R1(config)# ip route 192.168.23.0 255.255.255.0 192.168.12.2
Trên R1, kiểm tra các route dạng static bằng câu lệnh sau.
S 192.168.3.0/24 [1/0] via 192.168.12.2
S 192.168.23.0/24 [1/0] via 192.168.12.2
R1#
Cấu hình định tuyến trên R3 như sau để gói tin ping hồi đáp gửi từ 192.168.23.3 về 192.168.12.1.
R3(config)# ip route 192.168.12.0 255.255.255.0 192.168.23.2
Trên R3, kiểm tra các route dạng static bằng câu lệnh sau.

S 192.168.1.0/24 [1/0] via 192.168.23.2
S 192.168.12.0/24 [1/0] via 192.168.23.2
R3#
thể ping như sau. Gói tin ping sẽ có IP Source là 192.168.12.1 và IP Destination là 192.168.23.3.
R1# ping 192.168.23.3
thể ping như sau. Gói tin ping sẽ có IP Source là 192.168.23.3 và IP Destination là 192.168.12.1.
R1# ping 192.168.12.1
Bước 2.3. Khảo sát cơ chế Proxy-ARP trên Cisco Router.

Khảo sát cơ chế Proxy ARP trên cổng f0/0 của R2.
Để tìm hiểu về cơ chế hoạt động động Proxy ARP trên cổng f0/0 của R2 ta sẽ tập trung phân tích static
route sau trên R1.
R1(config)# ip route 192.168.3.0 255.255.255.0 192.168.12.2
Mọi gói tin gửi đến mạng 192.168.3.0/24 đều sẽ được gửi tới địa chỉ MAC của IP 192.168.12.2. Đứng tại
R1 ta có thể kiểm tra địa chỉ MAC tương ứng với 192.168.12.2 bằng câu lệnh sau.
R1# show arp
Tại R1, tiến hành hiệu chỉnh static route tới mạng 192.168.3.0/24 sử dụng “outbound interface” bằng
cấu hình sau.
R1(config)# no ip route 192.168.3.0 255.255.255.0 192.168.12.2
R1(config)# ip route 192.168.3.0 255.255.255.0 f0/1
Với cấu hình trên, mọi gói tin gửi tới mạng đích 192.168.3.0/24 thì R1 sẽ gửi đi qua cổng f0/1. Thông
thường, trước khi R1 gửi gói tin đi, nó sẽ phải bổ xung thêm thông tin địa chỉ Source MAC và Destination
MAC. Để khảo sát, từ R1 tiến hành ping tới địa chỉ 192.168.3.1 và 192.168.3.2. Để bổ xung thông tin địa
chỉ Destination MAC tương ứng với IP Destination 192.168.3.1 và 192.168.3.2, R1 sẽ tiến hành gửi gói tin
ARP Request dưới dạng broadcast hỏi thăm thông tin địa chỉ MAC tương ứng với IP Destination
192.168.3.1 và 192.168.3.2 là gì. R2 nhận được gói tin ARP Request từ R1 hỏi thăm thông tin địa chỉ MAC
của 192.168.3.1 và 192.168.3.2 sẽ hồi đáp về địa chỉ MAC tương ứng với 192.168.3.1 và 192.168.3.2 là
MAC cổng f0/0 của R2. Đây chính là cơ chế hoạt động Proxy ARP trên cổng f0/0 của R2 bởi vì
192.168.3.1 và 192.168.3.2 mặc dù không phải là địa chỉ IP của R2 nhưng R2 vẫn hồi đáp cho R1 thông
tin MAC cổng f0/0 của R2 tương ứng với IP 192.168.3.1 và 192.168.3.2.
R1# ping 192.168.3.1
R1# ping 192.168.3.2
Kiểm tra thông tin địa chỉ MAC của cổng f0/0 của R2, quan sát trường thông tin phía sau từ khóa “bia”
đó chính là địa chỉ MAC của f0/0 trên R2.
R2# show interface f0/0
Tại R1, kiểm tra bảng cache lưu trữ tạm thời thông tin ARP Table. Ta sẽ thấy MAC tương ứng với IP
Destination 192.168.3.1 và 192.168.3.2 là MAC của cổng f0/0 trên R2.
R1# show arp
Mặc định, cơ chế Proxy ARP được kích hoạt sẵn trên f0/0 của R2. Để tắt cơ chế Proxy ARP trên cổng f0/0
trên R2, ta cấu hình như sau.
R2(config-if)# no ip proxy-arp
Lúc này, trên R1, với cấu hình định tuyến static route sử dụng outbound interface như bên dưới cũng
không thể khiến R1 và PC1 có thể ping được tới các IP thuộc lớp mạng 192.168.3.0/24.
R1(config)# ip route 192.168.3.0 255.255.255.0 f0/1
Để xóa thông tin bảng cache lưu trữ tạm thời thông tin arp trên R1, ta tiến hành shutdown cổng f0/1
trên R1.
Từ R1 ping thử tới 192.168.3.1 và 192.168.3.2 sẽ không còn được nữa vì cơ chế Proxy ARP trên f0/0 của
R2 đã tắt.
R1# ping 192.168.3.1
R1# ping 192.168.3.2
Phần 11. Hiệu chỉnh Administrative Distance trong Static Route để dự phòng kết nối.
192.168.12.0/24
F0/0 F0/0
Loopback 0 .1 .2 Loopback 0
192.168.1.1/24 R1 R2 192.168.2.1/24
F0/1 F0/1
192.168.21.0/24

- Bước 2. Hiệu chỉnh AD trong Static Route trên Cisco Router để dự phòng kết nối.
o Bước 2.1. Hiệu chỉnh AD cho các Static Route trên Router R1.
o Bước 2.2. Hiệu chỉnh AD cho các Static Route trên Router R2.
o Bước 2.3. Khảo sát cơ chế dự phòng kết nối trên Router R1.

hostname R1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
exit
no shutdown
ip address 192.168.12.1 255.255.255.0
exit
no shutdown
ip address 192.168.21.1 255.255.255.0
exit

hostname R2
interface Loopback0
ip address 192.168.2.1 255.255.255.0
exit
ip address 192.168.12.2 255.255.255.0
exit
ip address 192.168.21.2 255.255.255.0
exit
Bước 2. Hiệu chỉnh AD trong Static Route trên Cisco Router để dự phòng kết nối.
Bước 2.1. Hiệu chỉnh AD cho các Static Route trên Router R1.
Từ R1 gửi dữ liệu tới mạng LAN của R2 đi qua hướng trên 192.168.12.0/24 là hướng chính, hướng dước
192.168.21.0/24 là hướng dự phòng.
Trên R1:
R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.12.2 5
R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.21.2 10
Bước 2.2. Hiệu chỉnh AD cho các Static Route trên Router R2.
Từ R2 gửi dữ liệu tới mạng LAN của R1 đi qua hướng trên 192.168.12.0/24 là hướng chính, hướng dước
192.168.21.0/24 là hướng dự phòng.
Trên R2:
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1 10
R2(config)# ip route 192.168.1.0 255.255.255.0 192.168.21.1 5
Bước 2.3. Khảo sát cơ chế dự phòng kết nối trên Router R1.
Kiểm tra bảng định tuyến của R1, lúc này bảng định tuyến chỉ hiển thị Route nào có AD thấp hơn mà
thôi.
R1#show ip route static
S 192.168.2.0/24 [5/0] via 192.168.12.2
Hiện tại, R1 đang thực hiện chọn đường đi đến subnet loopback 0 của R2 theo next – hop 192.168.12.2
(đường nối giữa hai cổng F0/0).
Shutdown cổng F0/0 của R1 để giả lập tình huống đứt đường chính.
R1(config-if)#
*Mar 1 00:06:48.623: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively
down
*Mar 1 00:06:49.623: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to down
Kiểm tra lại bảng định tuyến của R1 để xác nhận rằng lúc này R1 đã tự chuyển sang đi theo đường dự
phòng.
S 192.168.2.0/24 [10/0] via 192.168.21.2
Thực hiện lệnh “no shutdown” trên cổng F0/0 của R1 để khôi phục lại đường chính.
R1(config)#interface f0/0
R1(config-if)#no shutdown
R1(config-if)#
*Mar 1 00:09:50.395: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 1 00:09:51.395: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed
state to up
Kiểm tra bảng định tuyến của R1 để xác nhận rằng R1 đã đi theo đường chính trở lại:
S 192.168.2.0/24 [5/0] via 192.168.12.2
Thực hiện kiểm tra tương tự cho router R2 với static route đi đến subnet 192.168.1.0/24 của R1.
Phần 12. Hướng dẫn cấu hình kỹ thuật gom Route Summary trên Cisco Router.
- Bước 2. Cấu hình định tuyến sử dụng kỹ thuật Summary trên Cisco Router.
o Bước 2.1. Cấu hình kỹ thuật Summary trên Router R1.

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
exit
ip address 10.27.0.1 255.255.255.0
exit
ip address 10.27.1.1 255.255.255.0
exit
ip address 10.27.2.1 255.255.255.0
exit
ip address 10.27.3.1 255.255.255.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 172.16.1.2 255.255.255.0
no shutdown
exit
ip address 10.27.16.2 255.255.255.0
exit
ip address 10.27.17.2 255.255.255.0
exit
ip address 10.27.18.2 255.255.255.0
exit
ip address 10.27.19.2 255.255.255.0
exit
ip address 10.27.20.2 255.255.255.0
exit
ip address 10.27.21.2 255.255.255.0
exit
ip address 10.27.22.2 255.255.255.0
exit
ip address 10.27.23.2 255.255.255.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R3
interface f0/0
ip address 172.16.1.3 255.255.255.0
no shutdown
exit
ip address 10.27.128.3 255.255.248.0
exit
ip address 10.27.136.3 255.255.248.0
exit
ip address 10.27.144.3 255.255.248.0
exit
ip address 10.27.152.3 255.255.248.0
exit
ip address 10.27.160.3 255.255.248.0
exit
ip address 10.27.168.3 255.255.248.0
exit
ip address 10.27.176.3 255.255.248.0
exit
ip address 10.27.184.3 255.255.248.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến sử dụng kỹ thuật Summary trên Cisco Router.
Bước 2.1. Cấu hình kỹ thuật Summary trên Router R1.
Cấu hình định tuyến tại R1 trỏ tới mạng summary các cổng giao tiếp interface loopback của R2 và R3.
Các mạng từ 10.27.16.0/24 tới 10.27.23.0/24 trên R2 có thể summary thành mạng 10.27.16.0/21 nên tại
R1 có thể cấu hình “static route” sau.
R1#
ip route 10.27.16.0 255.255.248.0 172.16.1.2
Tại R1, kiểm tra kết quả quá trình định tuyến từ R1 tới các cổng loopback tại R2. R1 sẽ ping thành công
tới các IP trên interface loopback tại R2.
R1# ping 10.27.16.2
R1# ping 10.27.17.2
R1# ping 10.27.18.2
R1# ping 10.27.19.2
R1# ping 10.27.20.2
R1# ping 10.27.21.2
R1# ping 10.27.22.2
R1# ping 10.27.23.2
Các mạng loopback trên R3 10.27.128.0/21 … 10.27.184.0/21 có thể summary thành mạng
10.27.128.0/18 nên tại R1 có thể cấu hình “static route” sau.
R1#
ip route 10.27.128.0 255.255.192.0 172.16.1.3
R1# ping 10.27.128.3
R1# ping 10.27.136.3
R1# ping 10.27.144.3
R1# ping 10.27.152.3
R1# ping 10.27.160.3
R1# ping 10.27.168.3
R1# ping 10.27.178.3
R1# ping 10.27.184.3
Kiểm tra bảng định tuyến tại R1.

R1# show ip route | include S
…
S 10.27.16.0/21 [1/0] via 172.16.1.2
S 10.27.128.0/18 [1/0] via 172.16.1.3
R1#

Các mạng từ 10.27.0.0/24 tới 10.27.3.0/24 trên R1 có thể summary thành mạng 10.27.0.0/22 nên tại R2
có thể cấu hình “static route” sau.
R2#
ip route 10.27.0.0 255.255.252.0 172.16.1.1
R2# ping 10.27.0.1
R2# ping 10.27.1.1
R2# ping 10.27.2.1
R2# ping 10.27.3.1
Tại R2 khi ping tới các interface loopback của R1 sẽ có Source IP là 172.16.1.2, ta có thể thay thế Source
IP này thành IP tương ứng với các interface loopback trên R2.
R2# ping 10.27.0.1 source 10.27.16.2
R2# ping 10.27.1.1 source 10.27.17.2
R2# ping 10.27.2.1 source 10.27.18.2
R2# ping 10.27.3.1 source 10.27.19.2
Các mạng loopback trên R3 10.27.128.0/21 … 10.27.184.0/21 có thể summary thành mạng
10.27.128.0/18 nên tại R2 có thể cấu hình “static route” sau.
R2#
ip route 10.27.128.0 255.255.192.0 172.16.1.3
R1# ping 10.27.128.3
R1# ping 10.27.136.3
R1# ping 10.27.144.3
R1# ping 10.27.152.3
R1# ping 10.27.160.3
R1# ping 10.27.168.3
R1# ping 10.27.178.3
R1# ping 10.27.184.3

…
S 10.27.0.0/22 [1/0] via 172.16.1.1
S 10.27.128.0/18 [1/0] via 172.16.1.3
R2#

Các mạng từ 10.27.0.0/24 tới 10.27.3.0/24 trên R1 có thể summary thành mạng 10.27.0.0/22 nên tại R3
có thể cấu hình “static route” sau.
R3#
ip route 10.27.0.0 255.255.252.0 172.16.1.1
R3# ping 10.27.0.1
R3# ping 10.27.1.1
R3# ping 10.27.2.1
R3# ping 10.27.3.1
R3# ping 10.27.0.1 source 10.27.128.3
R3# ping 10.27.1.1 source 10.27.136.3
R3# ping 10.27.2.1 source 10.27.144.3
R3# ping 10.27.3.1 source 10.27.152.3
Các mạng từ 10.27.16.0/24 tới 10.27.23.0/24 trên R2 có thể summary thành mạng 10.27.16.0/21 nên tại
R3 có thể cấu hình “static route” sau.
R3#
ip route 10.27.16.0 255.255.248.0 172.16.1.2
R3# ping 10.27.16.2
R3# ping 10.27.17.2
R3# ping 10.27.18.2
R3# ping 10.27.19.2
R3# ping 10.27.20.2
R3# ping 10.27.21.2
R3# ping 10.27.22.2
R3# ping 10.27.23.2
R3# ping 10.27.16.2 source 10.27.128.3
R3# ping 10.27.17.2 source 10.27.136.3
R3# ping 10.27.18.2 source 10.27.144.3
R3# ping 10.27.19.2 source 10.27.152.3
R3# ping 10.27.20.2 source 10.27.160.3
R3# ping 10.27.21.2 source 10.27.168.3
R3# ping 10.27.22.2 source 10.27.176.3
R3# ping 10.27.23.2 source 10.27.184.3

…
S 10.27.0.0/22 [1/0] via 172.16.1.1
S 10.27.16.0/21 [1/0] via 172.16.1.2
R3#
Phần 13. Khảo sát cơ chế chuyển mạch Switch trên Cisco Switch và giao thức phân giải địa chỉ ARP.

- Bước 2. Khảo sát cơ chế chuyển mạch Switching trên Cisco Switch.
o Bước 2.1. Khảo sát bảng chuyển mạch MAC Address-Table trên Cisco Switch.
o Bước 2.2. Cấu hình thủ công các dòng Entry trong bảng chuyển mạch MAC Address-
Table trên Cisco Switch.
o Bước 2.3. Hiệu chỉnh khoản thời gian Aging-Time lưu thông tin địa chỉ MAC trong bảng
MAC Address-Table trên Cisco Switch.
o Bước 2.4. Xóa các dòng Entry trong bảng chuyển mạch MAC Address-Table trên Cisco
Switch.
- Bước 3. Khảo sát bảng ARP Cache trên các thiết bị.
o Bước 3.1. Khảo sát bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.
o Bước 3.2. Khảo sát bảng ARP Cache trên Cisco Switch.
o Bước 3.3. Xóa bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.

Đặt IP trên các cổng giao tiếp, cấu hình cơ chế chống trôi dònh lệnh “logging synchronous”, cấu hình bỏ
qua cơ chế phân giải tên miền “no ip domain-lookup”.
Ý nghĩa của câu lệnh “exec-timeout 0 0”: Khi đang cấu hình tại giao diện console (Hyperterminal, Putty
hoặc SecureCRT), nếu sau một khoảng thời gian nhất định mà người quản trị không gõ lệnh nào cũng
như không thực hiện bất kỳ thao tác nào thì phiên truy cập console sẽ tự động bị “logout”, người quản
trị sẽ phải đăng nhập lại để tiến hành cấu hình. Câu lệnh “exec-timeout 0 0” dùng để tắt cơ chế tự động
“logout”.
Mặc định các Cisco Switch sử dụng giao thức STP (PVST+), để tăng thời gian hội tụ của hệ thống mạng, ta
có thể chỉnh giao thức RSTP (PVRST+) trên các Switch bằng câu lệnh “spanning-tree mode rapid-pvst”.
RSTP sẽ được tìm hiểu trong những bài học sau.
Trong bài LAB này, ta nên tiến hành cấu hình tính năng “spanning-tree portfast” cho các Port từ f0/1 tới
f0/24 của Sw1.
Câu lệnh “spanning-tree portfast” dùng để tăng thời gian hội tụ của hệ thống lên. Thông thường, khi PC
kết nối vào một port của Switch, đèn tín hiệu trên port lập tức chuyển thành màu cam. Port sẽ ở trạng
thái màu cam trong vòng khoảng 30 giây để tính toán chống “loop” bằng giao thức STP trước khi chuyển
sang màu xanh lá. Trong suốt khoảng thời gian 30 giây ở trạng thái màu cam, port không thể gửi hoặc
nhận dữ liệu được nên người dùng PC cần phải đợi ít nhất là 30 giây thì mới bắt đầu truy cập vào hệ
thống mạng được. Câu lệnh “spanning-tree portfast” sau khi được cấu hình trên cổng sẽ bỏ qua 30 giây
ở trạng thái màu cam và lập tức chuyển sang màu xanh lá nên người dùng mạng user có thể gửi nhận dữ
liệu liền mà không cần phải chờ đợi. Tính năng “spanning-tree portfast” chỉ nên cấu hình trên các port
đấu nối xuống PC, không nên cấu hình tính năng “spanning-tree portfast” trên các port đóng vai trò là
đường trunk. Công nghệ Trunk, STP sẽ được tìm hiểu trong những bài học sau.
Sw1(config)# interface range f0/1 - 24
Sw1(config-if-range)# switchport mode access
Sw1(config-if-range)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast will be configured in 24 interfaces due to the range command

but will only have effect when the interfaces are in a non-trunking mode.
Sw1(config)#

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
spanning-tree mode rapid-pvst
interface range f0/1 - 24
switchport mode access
spanning-tree portfast
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
line vty 0 4
privilege level 15
no login
exit
no ip domain-lookup
Thông thường, muốn telnet vào Switch, ta cần phải đặt IP cho Switch trước khi các PC có thể telnet tới,
nên ta cần tiến hành đặt IP cho Sw1. Tuy nhiên, ta không thể cấu hình IP trên các cổng của Switch được.
Câu lệnh “ip address” không thể thực hiện được ở chế độ cổng f0/1.
^
Sw1(config-if)#
Ta sẽ gán IP 192.168.1.2 cho Sw1 trên cổng ảo “interface vlan 1”, tất cả các thiết bị (PC và Router) kết
nối tới Sw1 đều có thể ping được tới IP 192.168.1.2 của Sw1. Và tại Sw1, cũng có thể ping được tới các
IP của PC hoặc Router đang kết nối tới Sw1.
Sw1(config-if)# end
Sw1#
Nếu chỉ muốn liệt kê các cổng giao tiếp interface ở trạng thái “up” mà thôi thì ta có thể thực hiện câu
lệnh như sau.
Sw1#

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
line vty 0 4
privilege level 15
no login
exit
no ip domain-lookup
Bước 2. Khảo sát cơ chế chuyển mạch Switching trên Cisco Switch.
Bước 2.1. Khảo sát bảng chuyển mạch MAC Address-Table trên Cisco Switch.
Khảo sát cơ chế hoạt động của Switch.
Tại Sw1, kiểm tra xem trạng thái cổng giao tiếp f0/1 và f0/2 đã “up” hay chưa.
Sw1#
Ta cũng có thể kiểm tra trạng thái các cổng giao tiếp f0/1 và f0/2 thông qua câu lệnh “show interfaces
status”. Cột “Status” báo “connected” cho thấy các thiết bị đã đấu nối thành công và chính xác theo sơ
đồ. Ở cột “Duplex” ta thấy trạng thái là “a-full” tức là port đang hoạt động ở trạng thái full duplex”, chữ
“a” viết tắt từ “auto” tức là switch thương lượng với các thiết bị khác hoạt động ở chế độ duplex.
Sw1# show interfaces status
Port Name Status Vlan Duplex Speed Type

Fa0/1 connected 1 a-full a-100 10/100BaseTX
Fa0/3 notconnect 1 auto auto 10/100BaseTX
Gi0/1 notconnect 1 auto auto Not Present
Gi0/2 notconnect 1 auto auto Not Present
Sw1#
Tại Sw1, kiểm tra bảng địa chỉ MAC Address. Các địa chỉ MAC học được thông qua Ports là CPU là các địa
chỉ MAC sử dụng cho các giao thức quản lý mạng như CDP, VTP, STP, UDLD, DTP, … mà Switch hiện đang
hỗ trợ. Hiện nay, ta không cần quan tâm đến các loại địa chỉ MAC này.
Sw1# show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0180.c200.0000 STATIC CPU
All 0180.c200.000a STATIC CPU
All 0180.c200.000b STATIC CPU
All 0180.c200.000c STATIC CPU
All 0180.c200.000d STATIC CPU
All 0180.c200.000e STATIC CPU
All 0180.c200.000f STATIC CPU
All ffff.ffff.ffff STATIC CPU
1 0000.aaaa.0001 DYNAMIC Fa0/2
1 0022.90af.c868 DYNAMIC Fa0/1
Total Mac Addresses for this criterion: 22
Sw1#
Để kiểm tra các địa chỉ MAC mà Switch học được từ PC1 và R1 một cách ngắn gọn, ta có thể thực hiện
câu lệnh sau.
Sw1# show mac address-table | include DYNAMIC
Sw1#
PC1 đang đấu nối trực tiếp tới cổng f0/2 của Sw1, nên Sw1 sẽ học được địa chỉ MAC 0000.aaaa.0001
tương ứng với f0/2 là MAC của PC1.
Sw1#
Tại PC1, xác định địa chỉ MAC của PC bằng câu lệnh sau.
C:\PC1> ipconfig /all
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Realtek PCIe FE Family Controller
Physical Address. . . . . . . . . : 00-00-AA-AA-00-01
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::79c3:fbaa:cbb1:b9f0%11(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.1.3(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1E-22-42-10-78-2B-CB-DC-90-19
DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS over Tcpip. . . . . . . . : Enabled
C:\PC1>
Cổng giao tiếp f0/0 của R1 đang đấu nối trực tiếp tới f0/1 của Sw1, nên Sw1 sẽ học được địa chỉ MAC
0022.90af.c868 tương ứng với f0/1 là MAC của f0/0 trên R1.
Sw1#
Tại R1, xác định địa chỉ MAC của f0/0 bằng câu lệnh sau.
R1# show interfaces f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0022.90af.c868 (bia 0022.90af.c868)
Internet address is 192.168.1.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
357 packets input, 53556 bytes
Received 127 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
247 packets output, 21766 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
2 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
R1#
Ta có thể tinh chỉnh địa chỉ MAC trên cổng f0/0 của R1 bằng câu lệnh sau.
R1#
R1(config-if)# mac-address 0000.aaaa.1111
Tại R1, xác định địa chỉ MAC của f0/0 bằng câu lệnh sau. Ta thấy địa chỉ MAC được tinh chỉnh thành
0000.aaaa.1111 nhưng thông tin địa chỉ MAC nguyên thủy (BIA – Burn In Address) vẫn là
0022.90af.c868. Nhưng khi R1 gửi dữ liệu đi, nó sẽ sử dụng địa chỉ MAC là 0000.aaaa.1111. Ta có thể xác
nhận thông tin này thông qua phần khảo sát cơ chế hoạt động của ARP theo hướng dẫn bên dưới.
Hardware is MV96340 Ethernet, address is 0000.aaaa.1111 (bia 0022.90af.c868)
0 watchdog
R1#
Kiểm tra lại bảng địa chỉ MAC Table trên Sw1. Cổng f0/0 trên R1 định kỳ gửi gói tin CDP 60 giây một lần
với địa chỉ Source MAC là MAC của cổng f0/0 trên R1 nên Sw1 sẽ nhanh chóng cập nhật được MAC
tương ứng với f0/1 của Sw1 là 0000.aaaa.1111. CDP sẽ được tìm hiểu trong những bài học sau của
chương trình CCNA Routing & Switching.
Sw1#
Bước 2.2. Cấu hình thủ công các dòng Entry trong bảng chuyển mạch MAC Address-Table trên Cisco
Switch.
Để xây dựng một số dòng entry trong bảng MAC Table một cách thủ công, ta có thể thực hiện câu lệnh
sau.
Sw1(config)# mac-address-table static 0000.aaaa.1111 vlan 1 interface f0/1
Kiểm tra lại bảng địa chỉ MAC Table trên Sw1.
Sw1# show mac address-table | exclude CPU
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
1 0000.aaaa.1111 STATIC Fa0/1
Sw1#
Dòng entry thuộc Type STATIC sẽ được lưu vĩnh viễn trong bảng MAC Table, nhưng các dòng entry thuộc
loại Type DYNAMIC chỉ được lưu trữ trong bảng MAC Table trong khoảng thời gian (aging-time) giới hạn,
trên Cisco Switch có “aging-time” mặc định là 5 phút (300 giây).
Sw1# show mac-address-table aging-time
Global Aging Time: 300
Vlan Aging Time
---- ----------
Sw1#
Bước 2.3. Hiệu chỉnh khoản thời gian Aging-Time lưu thông tin địa chỉ MAC trong bảng MAC Address-
Table trên Cisco Switch.
Để hiệu chỉnh “aging-time” còn 10 giây, ta có thể thực hiện câu lệnh sau.
Sw1(config)# mac address-table aging-time ?
<0-0> Enter 0 to disable aging
<10-1000000> Aging time in seconds
Sw1(config)# mac address-table aging-time 10
Hiệu chỉnh “aging-time” cho VLAN 1 còn 20 giây. Công nghệ VLAN sẽ được tìm hiểu trong những bài học
sau.
Sw1(config)# mac address-table aging-time 20 vlan 1
Kiểm tra lại “aging-time” trên Sw1.

Sw1# show mac-address-table aging-time
Global Aging Time: 10
Vlan Aging Time
---- ----------
1 20
Sw1#
Bước 2.4. Xóa các dòng Entry trong bảng chuyển mạch MAC Address-Table trên Cisco Switch.
Nếu muốn xóa các dòng entry thuộc loại Type DYNAMIC ngay lập tức, ta có thể thực hiện câu lệnh sau.
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
Sw1# clear mac-address-table dynamic
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
Sw1#
Bước 3. Khảo sát bảng ARP Cache trên các thiết bị.
Bước 3.1. Khảo sát bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.
Trên Sw1, thực hiện “shutdown” cổng giao tiếp f0/2, cổng f0/2 trên Sw1 hiện đang kết nối xuống PC1.
Sw1(config-if)# shutdown
*Mar 1 00:39:17.173: %LINK-5-CHANGED: Interface FastEthernet0/2, changed state to

administratively down
*Mar 1 00:39:17.182: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2,
changed state to down
Sw1(config-if)# exit
Sw1(config)#
Kiểm tra bảng ARP Cache trên PC1.

C:\PC1> arp -a
No ARP Entries Found.
C:\PC1>
Trên Sw1, thực hiện “no shutdown” cổng giao tiếp f0/2, cổng f0/2 trên Sw1 hiện đang kết nối xuống
PC1.
*Mar 1 00:43:45.768: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down

changed state to up
Sw1(config)#
Tại PC1 ta thực hiện câu lệnh ping tới địa chỉ IP 192.168.1.1 của R1.
C:\PC1> ping 192.168.1.1
Kiểm tra bảng ARP Cache trên PC1.

C:\PC1> arp –a
Interface: 192.168.1.3 --- 0xb

Internet Address Physical Address Type
192.168.1.1 00-00-aa-aa-11-11 dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
C:\PC1>
Để kiểm tra địa chỉ IP và MAC của cổng f0/0 trên R1, ta thực hiện câu lệnh sau.
R1# show interface f0/0
Hardware is MV96340 Ethernet, address is 0000.aaaa.1111 (bia 0022.90af.c868)
0 watchdog
R1#
Tại PC1, ta tiếp tục ping tới địa chỉ IP của Sw1 (interface vlan 1). Ta thấy gói tin “ping” đầu tiên bị mất là
do PC1 đang thực hiện tiến trình phân giải ARP địa chỉ IP 192.168.1.2 thành địa chỉ MAC tương ứng. Sau
khi phân giải ARP, PC đã cache (lưu trữ lại) thông tin vào bộ nhớ RAM để lần sau không còn phải thực
hiện phân giải ARP nữa.
C:\PC1> ping 192.168.1.2
Pinging 192.168.1.2 with 32 bytes of data:

Request timed out.
Reply from 192.168.1.2: bytes=32 time<1ms TTL=255
Reply from 192.168.1.2: bytes=32 time=1ms TTL=255
Ping statistics for 192.168.1.2:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
C:\PC1>
Kiểm tra lại bảng ARP Cache trên PC1. Ta thấy, địa chỉ IP 192.168.1.2 đã được phân giải thành địa chỉ
MAC 00-21-a0-67-3e-c0.
C:\PC1> arp –a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-00-aa-aa-11-11 dynamic
192.168.1.2 00-21-a0-67-3e-c0 dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
C:\PC1>
Bước 3.2. Khảo sát bảng ARP Cache trên Cisco Switch.
Để kiểm tra địa chỉ IP và MAC của cổng ảo “interface vlan 1” trên Sw1, ta thực hiện câu lệnh sau.
Sw1# show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 0021.a067.3ec0 (bia 0021.a067.3ec0)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
Keepalive not supported
550 packets input, 60476 bytes, 0 no buffer
0 output errors, 1 interface resets
Sw1#
Tại R1, khảo sát bảng ARP cache bằng câu lệnh sau.
R1# show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - 0000.aaaa.1111 ARPA FastEthernet0/0
Internet 192.168.1.2 12 0021.a067.3ec0 ARPA FastEthernet0/0
Internet 192.168.1.3 4 0000.aaaa.0001 ARPA FastEthernet0/0
R1#
Bước 3.3. Xóa bảng ARP Cache trên máy tính sử dụng hệ điều hành Window.
Để xóa bảng ARP Cache trên PC1, ta có thể thực hiện câu lệnh sau (phải chạy chương trình “cmd” với
đặc quyền Administrator thì mới thực hiện được câu lệnh).
C:\PC1> arp –a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-00-aa-aa-11-11 dynamic
192.168.1.2 00-21-a0-67-3e-c0 dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
C:\PC1> netsh interface ip delete arpcache

Ok.
C:\PC1> arp -a
C:\PC1>
Hoặc cũng có thể xóa bảng ARP Cache trên PC1 bằng câu lệnh “arp –d *”.
C:\PC1> arp –a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-00-aa-aa-11-11 dynamic
224.0.0.252 01-00-5e-00-00-fc static
C:\PC1> arp -d *
C:\PC1> arp -a
C:\PC1>
Tại PC1, thực hiện ping tới địa chỉ IP 192.168.1.1 của R1 rồi kiểm tra lại bảng ARP cache.
C:\PC1> ping 192.168.1.1
C:\PC1> arp -a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-00-aa-aa-11-11 dynamic
C:\PC1>
Ta có thể chủ động xóa một dòng entry cụ thể trong bảng ARP cache bằng câu lệnh “arp –d”.
C:\PC1> arp -a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-00-aa-aa-11-11 dynamic
C:\PC1> arp –d 192.168.1.1
C:\PC1> arp -a
Interface: 192.168.1.3 --- 0xb

C:\PC1>
Các dòng entry trong bảng ARP Cache chỉ được lưu trữ trong khoảng thời gian từ 2-20 phút tùy thuộc
vào hệ thống.
- Windows 2003 Server = 10 minutes
- Windows 2000 professional/Server = 10 minutes
- Windows XP = 2 minutes
- Solaris = 5 minutes
Ta cũng có thể thiết lập các dòng entry tĩnh trong bảng ARP cache trên PC sử dụng hệ điều hành
Window XP như sau. Tuy nhiên, việc thiết lập các dòng entry trong bảng ARP cache một cách thủ công
(static cache) có mặt hạn chế là khi địa chỉ IP của các thiết bị trong mạng thay đổi hoặc PC thay đổi Card
mạng dẫn đến địa chỉ MAC thay đổi thì sẽ dẫn đến việc phải thay đổi ARP cache. Hơn nữa nếu PC tắt
nguồn hoặc rút ra khỏi hệ thống thì việc lưu trữ các “static cache” sẽ tiêu tốn tài nguyên trên thiết bị nên
thông thường các dòng entry trong bảng ARP Table được lưu giữ trong một khoảng thời gian giới hạn
vẫn là tốt nhất.
C:\PC1> arp –s 192.168.1.1 00-00-aa-aa-11-11
Trên PC sử dụng hệ điều hành Vista/Window 2008,

C:\PC1> netsh interface ip delete arpcache
OK.
C:\PC1> arp –a
C:\PC1> netsh
netsh> set neighbors 192.168.1.1 00-00-aa-aa-11-11
Phần 14. Hướng dẫn cấu hình VLAN, Trunk, VTP trên Cisco Switch và định tuyến giữa các VLAN trên
Cisco Router.
o Bước 1.2. Cấu hình cơ bản trên Switch Client.
o Bước 1.3. Cấu hình cơ bản trên Switch Server.
o Bước 1.4. Cấu hình cơ bản trên Switch Transparent.
- Bước 2. Cấu hình công nghệ Trunk trên Cisco Switch.
o Bước 2.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
o Bước 2.2. Cấu hình công nghệ Trunk trên các Switch.
o Bước 2.3. Kiểm tra kết nối Trunk trên các Switch.
o Bước 2.4. Khắc phục sự cố liên quan đến kết nối Trunk trên Cisco Switch.
- Bước 3. Cấu hình công nghệ VTP cho phép lan truyền thông tin VLAN giữa các Cisco Switch.
o Bước 3.1. Cấu hình VTP trên Switch Client.
o Bước 3.2. Cấu hình VTP trên Switch Server.
o Bước 3.3. Cấu hình VTP trên Switch Transparent.
- Bước 4. Khởi tạo các VLAN trên Cisco Switch.
o Bước 4.1. Tạo các VLAN trên Switch Server.
o Bước 4.2. Khảo sát quá trình lan truyền VLAN bằng giao thức VTP trên Switch Client.
o Bước 4.2. Tạo các VLAN trên Switch Transparent.
- Bước 5. Cấu hình định tuyến giữa các VLAN trên Cisco Router.
o Bước 5.1. Khởi tạo các Sub-Interface trên Router R1.
o Bước 5.2. Kiểm tra kết nối giữa các VLAN.

- logging synchronous: cấu hình cơ chế chống trôi dònh lệnh
hostname R1
interface f0/0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 1.2. Cấu hình cơ bản trên Switch Client.

Cấu hình cơ bản trên Switch Client.
hostname Client
interface vlan 1
ip address 192.168.1.3 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 1.3. Cấu hình cơ bản trên Switch Server.

Cấu hình cơ bản trên Switch Server.
hostname Server
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 1.4. Cấu hình cơ bản trên Switch Transparent.

Cấu hình cơ bản trên Switch Transparent.
hostname Transparent
interface vlan 1
ip address 192.168.1.4 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình công nghệ Trunk trên Cisco Switch.

Bước 2.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
Thiết lập kết nối trunking sử dụng kiểu đóng gói dot1q giữa các Switch.
Cấu hình trunk giữa Switch Layer 2 và Switch Layer 3 có sự khác biệt, trước khi cấu hình đường trunk, ta
cần xác định đây là Switch Layer 2 hay là Switch Layer 3 bằng câu lệnh “show version”.
Để phân biệt Switch Layer 2 và Switch Layer 3, ta dựa vào dòng sản phẩm. Một số dòng Switch Layer 2
bao gồm 2950, 2960, …; còn một số dòng Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
C2960 là dòng Switch Layer 2.

Switch# show version | include IOS
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE10, RELEASE
SOFTWARE (fc2)
Switch#

Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(55)SE10,
Switch#
Cấu hình trunk trên Switch Layer 2. Mặc định, Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta
không cần khai báo kiểu đóng gói trunk.
interface f0/1
switchport mode trunk
exit
Cấu hình trunk trên Switch Layer 3. Trên Switch Layer hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần
phải khai báo kiểu đóng gói đường trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/1
switchport trunk encapsulation dot1q
exit
Bước 2.2. Cấu hình công nghệ Trunk trên các Switch.
Cấu hình trunk trên Switch Client.

interface f0/1
exit
Cấu hình trunk trên Switch Server.

interface range f0/1 , f0/3 , f0/5
exit
Cấu hình trunk trên Switch Transparent.

interface f0/1
exit
Bước 2.3. Kiểm tra kết nối Trunk trên các Switch.
Kiểm tra kết nối trunk trên Switch Client.

Client# show interfaces trunk
Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk

Fa0/1 1-4094
Port Vlans allowed and active in management domain

Fa0/1 1-4
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1-4
Client#
Kiểm tra kết nối trunk trên Switch Server.

Server# show interfaces trunk

Fa0/1 1-4094
Fa0/3 1-4094
Fa0/5 1-4094

Fa0/1 1-4
Fa0/3 1-4
Fa0/5 1-4

Fa0/1 1-4
Fa0/3 1-4
Fa0/5 1-4
Server#
Kiểm tra kết nối trunk trên Switch Transparent.

Transparent# show interfaces trunk


Fa0/1 1-4094

Fa0/1 1-4

Fa0/1 1-4
Transparent#
Bước 2.4. Khắc phục sự cố liên quan đến kết nối Trunk trên Cisco Switch.
Nếu “show interface trunk” mà không thấy hiển thị gì thì ta sẽ thử kiểm tra trạng thái vật lý của cổng đã
up hay chưa.
Client#
Nếu trạng thái f0/1 là connected thì xem như trạng thái vật lý của cổng giao tiếp đã đảm bảo.
Client# show interface f0/1 status

Fa0/1 connected trunk a-full a-100 10/100BaseTX
Client#
Nếu trạng thái f0/1 là disabled thì cổng giao tiếp đang ở trạng thái “shutdown”, ta cần vào vào cổng và
thực hiện câu lệnh “no shutdown”.

Fa0/1 disabled 1 auto auto 10/100BaseTX
Client# configure terminal
Client(config)# interface f0/1
Client(config-if)# no shutdown
Client(config-if)# end
Nếu trạng thái f0/1 là notconnect thì cổng giao tiếp chưa được cắm cáp hoặc bị lỏng cáp, ta cần kiểm tra
lại việc đấu nối cáp giữa các thiết bị rồi sau đó kiểm tra lại kết nối trunk.

Bước 3. Cấu hình công nghệ VTP cho phép lan truyền thông tin VLAN giữa các Cisco Switch.
Bước 3.1. Cấu hình VTP trên Switch Client.
Thiết lập VTP domain trên các Switch là cisco.com sử dụng VTP version 1, VTP password cisco, thiết lập
các Switch với VTP mode như sau
- Switch Client hoạt động ở VTP mode Client.
- Switch Server hoạt động ở VTP mode Server.
- Switch Transparent hoạt động ở VTP mode Transparent.
Cấu hình VTP trên Switch Client.
vtp domain cisco.com
vtp password cisco
vtp version 1
vtp mode client
Kiểm tra thông tin VTP trên Switch Client.

Client# show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : cisco.com
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b35.7900
Configuration last modified by 0.0.0.0 at 3-1-93 00:04:45
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
Configuration Revision : 0
MD5 digest : 0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
Client# show vtp password
VTP Password: cisco
Client#
Bước 3.2. Cấu hình VTP trên Switch Server.
Cấu hình VTP trên Switch Server.

vtp password cisco
vtp version 1
vtp mode server
Kiểm tra thông tin VTP trên Switch Server.

Server# show vtp status
Device ID : 108c.cff8.c180
Local updater ID is 192.168.1.2 on interface Vl1 (lowest numbered VLAN interface
found)
Feature VLAN:
--------------
VTP Operating Mode :
Server
Maximum VLANs supported locally 1005 :
Number of existing VLANs 8 :
Configuration Revision 0 :
MD5 digest :
0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
*** MD5 digest checksum mismatch on trunk: Fa0/3 ***
Server# show vtp password
VTP Password: cisco
Server#
Bước 3.3. Cấu hình VTP trên Switch Transparent.
Cấu hình VTP trên Switch Transparent.

vtp password cisco
vtp version 1
vtp mode transparent
Kiểm tra thông tin VTP trên Switch Transparent.

Transparent# show vtp status
Device ID : c062.6b69.8280
Feature VLAN:
--------------
VTP Operating Mode : Transparent
MD5 digest : 0xA1 0x9F 0x98 0x63 0xEA 0x9C 0x57 0x3F
0xB2 0xFC 0x3F 0x5A 0x88 0x14 0x13 0x09
Transparent# show vtp password
VTP Password: cisco
Transparent#
VTP version 2 hỗ trợ công nghệ token ring và token bus, nên hệ thống nào không sử dụng tới 2 công
nghệ này thì chỉ cần sử dụng vtp version 1 là đủ. Tuy nhiên, vtp version 2 lại không có khả năng tương
thích ngược với vtp version 1 nên ta cần đảm bảo vtp version phải đồng nhất giữa các Switch.
Bước 4. Khởi tạo các VLAN trên Cisco Switch.

Bước 4.1. Tạo các VLAN trên Switch Server.
Trên Switch Server, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat” rồi gán các Port vào VLAN tương ứng như sơ đồ.
Kiểm tra một port cụ thể đang thuộc thành viên của VLAN nào.
- Inactive: Port f0/3 đang thuộc thành viên của VLAN 10 nhưng port vẫn chưa thể gửi và nhận
được dữ liệu từ người dùng.
Client# show interface f0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 10 (Inactive)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
…
Client#
Trên Switch Server, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat”.
Server(config)# vlan 10
Server(config-vlan)# name PhongKinhDoanh
Server(config-vlan)# exit
Server(config)# vlan 20
Server(config-vlan)# name PhongKyThuat
Server(config-vlan)# exit
Server(config)#
Trên Switch Server, kiểm tra thông tin các VLAN hiện có.
Server# show vlan brief
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/4, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
2 VLAN0002 active
3 VLAN0003 active
4 VLAN0004 active
10 PhongKinhDoanh active
20 PhongKyThuat active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Server#
Bước 4.2. Khảo sát quá trình lan truyền VLAN bằng giao thức VTP trên Switch Client.
Sau khi Switch Server khởi tạo các VLAN thì ngay lập tức nó sẽ lan truyền thông tin các VLAN này cho các
Switch khác học được, cụ thể là Switch Client trong tình huống này.
Trên Switch Server kiểm tra thông tin số Revision Number.
Server# show vtp status
Device ID : 108c.cff8.c180
Local updater ID is 192.168.1.2 on interface Vl1 (lowest numbered VLAN interface
found)
Feature VLAN:
--------------
VTP Operating Mode :
Server
Maximum VLANs supported locally 1005 :
Number of existing VLANs 10 :
Configuration Revision 2 :
MD5 digest :
0x08 0xEF 0xC1 0x17 0x44 0x5B 0xAE 0xCD
0x01 0xD4 0x73 0x1E 0xD0 0x80 0xAE 0x6A
*** MD5 digest checksum mismatch on trunk: Fa0/3 ***
Server#
Trên Switch Client, kiểm tra Switch đã học được thông tin VLAN 10 và VLAN 20 hay chưa.
Client# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
2 VLAN0002 active
3 VLAN0003 active
4 VLAN0004 active
10 PhongKinhDoanh active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12
20 PhongKyThuat active
Client#
Trên Switch Client, kiểm tra thông tin Revision Number xem đã đồng bộ hóa với Switch Server hay chưa.
- Configuration Revision: Số Revision Number hiện tại trên Switch Client là 2, giống với số
Revision Number trên Switch Server; vậy thông tin VLAN trên Switch Client coi như đã đồng
bộ hóa với Switch Server.
Client# show vtp status
Device ID : c062.6b35.7900
Feature VLAN:
--------------
VTP Operating Mode : Client
MD5 digest : 0x08 0xEF 0xC1 0x17 0x44 0x5B 0xAE 0xCD
0x01 0xD4 0x73 0x1E 0xD0 0x80 0xAE 0x6A
Client#
Bước 4.2. Tạo các VLAN trên Switch Transparent.

Do Switch Transparent không học thông tin VLAN từ bất kỳ Switch nào thông qua giao thức VTP nên ta
cần phải khởi tạo các VLAN thủ công trên Switch này.
Trên Switch Transparent, tạo VLAN 10 với tên gọi là “PhongKinhDoanh” và VLAN 20 với tên gọi là
“PhongKyThuat”, gán các Port vào VLAN tương ứng như sơ đồ.
Transparent(config)# vlan 10
Transparent(config-vlan)# name PhongKinhDoanh
Transparent(config-vlan)# exit
Transparent(config)# vlan 20
Transparent(config-vlan)# name PhongKyThuat
Transparent(config-vlan)# end
Transparent#
Trên Switch Transparent, gán các port f0/2 và f0/3 vào VLAN 10, gán các port từ f0/5 tới f0/12 vào VLAN
20.
interface range f0/2 , f0/3
switchport access vlan 10
exit

exit
Kiểm tra thông tin VLAN trên Switch Transparent.

Transparent# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gi0/1, Gi0/2
2 VLAN0002 active
3 VLAN0003 active
4 VLAN0004 active
10 PhongKinhDoanh active Fa0/2, Fa0/3
20 PhongKyThuat active Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
…
Transparent#
Lúc này, các PC thuộc VLAN 10 (PC1 và PC2) đã có thể ping được thấy nhau.
Bước 5. Cấu hình định tuyến giữa các VLAN trên Cisco Router.
Bước 5.1. Khởi tạo các Sub-Interface trên Router R1.
Tạo các sub-interface trên R1 và liên kết các sub-interface này vào VLAN tương ứng sao cho các PC có
thể giao tiếp được với nhau. Các sub-interface sẽ được liên kết với các VLAN tương ứng như sau:
- Sub-interface f0/0.1 liên kết với VLAN 1
hostname R1
interface f0/0
no shutdown
exit
interface f0/0.1
encapsulation dot1q 1 native
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface f0/0.20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit
Bước 5.2. Kiểm tra kết nối giữa các VLAN.
Lúc này từ R1 có thể ping thành công tới Switch và các PC.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
R1# ping 192.168.10.2

R1# ping 192.168.10.3
R1# ping 192.168.20.2
Các PC thuộc VLAN 20 cũng có thể ping được tới các PC thuộc VLAN. Tại PC3 thuộc VLAN 20, ta có thể
ping thành công tới PC1 và PC2 thuộc VLAN 10.
C:\PC3> ping 192.168.10.2
C:\PC3> ping 192.168.10.3
Lưu lượng ping từ PC3 tới PC1 sẽ di chuyển như sau:

- Gói tin có IP đích là 192.168.10.2 xuất phát từ PC3 sẽ di chuyển tới Switch Transparent.
- Switch Transparent sẽ dán nhãn thông tin VLAN 20 vào frame rồi gửi tới Switch Server.
- Switch Server đọc vào nhãn thông tin VLAN 20 của frame nên đẩy ra tất cả các port thuộc
VLAN 20 và cả đường trunk, tức là lúc này gói tin sẽ được gửi đi qua 2 port trunk là f0/1 và
f0/5, gói tin đến được cổng f0/0 của R1.
- R1 đọc vào nhãn thông tin VLAN 20 của frame và bàn giao gói tin này cho sub-interface
f0/0.20 vì sub-interface này đang phụ trách xử lý các gói tin liên quan tới VLAN 20.
- Sub-interface f0/0.20 đọc vào IP Destination lúc này là 192.168.10.2, để gửi gói tin tới lớp
mạng 192.168.10.0/24, R1 sẽ đẩy gói tin qua sub-interface f0/0.10. Sub-interface f0/0.10
thuộc VLAN 10 nên frame sẽ được gỡ bỏ nhãn VLAN 20 và nhúng vào thông tin VLAN 10 rồi
lại gửi trở lại Switch Server.
- Switch Server nhận được frame với nhãn thông tin VLAN 10 sẽ đẩy frame này ra tất cả các
port thuộc VLAN 10 và cả các port trunk, các port trunk trong tình huống này là f0/1 và f0/3.
Cấu trúc frame với nhãn thông tin VLAN 10 di chuyển tới Switch Client.
- Switch Client nhận được frame với nhãn thông tin VLAN 10 sẽ đẩy ra tất cả các port thuộc
VLAN 10, trong tình huống này là f0/3. Nhưng f0/3 là port access (không phải port trunk)
nên Switch Client sẽ tiến hành gỡ bỏ nhãn thông tin VLAN 10 trước khi gửi frame về cho
PC1.
- PC1 sẽ nhận được và tiến hành xử lý, soạn gói tin hồi đáp về cho PC3. Dữ liệu từ PC1 di
chuyển tới PC3 theo cách thức tương tự nhưng theo hướng ngược lại (PC1 > Client > Server
> R1 > Server > Transparent > PC3).
Phần 15. Hướng dẫn cấu hình dịch vụ DHCP Server & Relay trên Cisco Router.

- Bước 2. Cấu hình định tuyến tĩnh Static Route trên các thiết bị Cisco Router.
- Bước 3. Cấu hình dịch vụ DHCP Server trên Cisco Router.
o Bước 3.1. Cấu hình dịch vụ DHCP Server trên Router R2.
o Bước 3.2. Kiểm tra kết quả xin địa chỉ IP từ DHCP Server trên máy tính sử dụng hệ điều
hành Window.
o Bước 3.3. Kiểm tra danh sách các địa chỉ IP đã cấp phát cho các thiết bị đầu cuối trên
DHCP Server tại Router R2.
o Bước 3.4. Cấu hình dịch vụ DHCP Static IP Allocation trên Router R2.
- Bước 4. Cấu hình dịch vụ DHCP Relay trên Cisco Router.
o Bước 4.1. Cấu hình DHCP Server trên Router R2 cấp IP cho lớp mạng ở xa.
o Bước 4.2. Cấu hình DHCP Relay trên Router R1 trỏ tới địa chỉ IP của Router R2.

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit

exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.192
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.12.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên các thiết bị Cisco Router.
Cấu hình định tuyến và kiểm tra bảng định tuyến trên R1.
ip route 192.168.1.0 255.255.255.0 192.168.12.2

S 192.168.1.0/24 [1/0] via 192.168.12.2
R1#
Cấu hình định tuyến và kiểm tra bảng định tuyến trên R2.
ip route 172.16.1.0 255.255.255.192 192.168.12.1

172.16.0.0/26 is subnetted, 1 subnets
S 172.16.1.0 [1/0] via 192.168.12.1
R2#
Kiểm tra các mạng 192.168.1.0/24 và 172.16.1.0/26 đã thông suốt với nhau hay chưa.
R1# ping 192.168.1.1 source 172.16.1.1
R2# ping 172.16.1.1 source 192.168.1.1
Bước 3. Cấu hình dịch vụ DHCP Server trên Cisco Router.

Bước 3.1. Cấu hình dịch vụ DHCP Server trên Router R2.
Cấu hình DHCP Server trên R2 cấp IP xuống cho các PC và thiết bị thuộc mạng LAN 1 dải IP thuộc lớp
mạng 192.168.1.0/24.
Cấu hình DHCP trên R2.
- ip dhcp excluded-address 192.168.1.1 192.168.1.2: loại trừ 2 IP sẽ không cấp phát xuống cho PC
là 192.168.1.1 và 192.168.1.2.
- default-router 192.168.1.1: dùng để cấp địa chỉ IP Default-Gateway xuống cho các PC.
ip dhcp excluded-address 192.168.1.1 192.168.1.2
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
exit
Bước 3.2. Kiểm tra kết quả xin địa chỉ IP từ DHCP Server trên máy tính sử dụng hệ điều hành Window.
Kiểm tra quá trình xin địa chỉ IP trên PC1 (hoặc PC2) thông qua chương trình “cmd”. Để mở chương trình
“cmd”, nhấn tổ hợp phím Window + R rồi gõ tiếp command line “cmd” rồi click “OK”.
Kích hoạt quá trình xin địa chỉ IP trên PC1 (hoặc PC2).
- PC sẽ gửi gói tin xin IP là DHCP Discovery > DHCP Request.
C:\PC1> ipconfig /renew


Link-local IPv6 Address . . . . . : fe80::a580:ba6b:5dc7:4d42%11
IPv4 Address. . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
C:\PC1>
Kiểm tra IP mà PC được cấp phát.


DHCP Enabled. . . . . . . . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::a580:ba6b:5dc7:4d42%11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Thursday, March 17, 2016 9:00:46 AM
Lease Expires . . . . . . . . . . : Friday, March 18, 2016 9:00:50 AM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 242756555
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC1>
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác.
C:\PC1> ping 192.168.1.1
C:\PC1> ping 192.168.1.2
C:\PC1> ping 172.16.1.1
Giải phóng IP hiện có (IP xin được từ DHCP Server).

C:\PC1> ipconfig /release

Default Gateway . . . . . . . . . :
C:\PC1>
Xin lại IP mới.


IPv4 Address. . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
C:\PC1>
Trên PC có nhiều Card mạng, ta có thể thực hiện câu lệnh “ipconfig /release” và “ipconfig /renew” và
thêm vào tên của Card mạng muốn thực thi tác vụ.
C:\PC1> ipconfig /release Local*

C:\PC1> ipconfig /renew Local*
Bước 3.3. Kiểm tra danh sách các địa chỉ IP đã cấp phát cho các thiết bị đầu cuối trên DHCP Server tại
Router R2.
Kiểm tra các địa chỉ IP đã cấp phát trên R2 (DHCP Server).
R2# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.1.3 0100.00aa.aa00.03 Mar 18 2016 02:11 AM Automatic
R2#
Để gỡ bỏ cấu hình DHCP trên R2.

no ip dhcp excluded-address 192.168.1.1 192.168.1.2
no ip dhcp pool LAN1
Tắt chức năng DHCP Server trên Cisco Router.

R2(config)# no service dhcp
Bước 3.4. Cấu hình dịch vụ DHCP Static IP Allocation trên Router R2.
Cấu hình DHCP Server trên R2 cấp IP cố định xuống cho Server A luôn luôn là IP 192.168.1.99/24 tương
ứng với địa chỉ MAC của Server A.
Bật lại chức năng DHCP Server trên R2.
R2(config)# service dhcp
Kiểm tra IP đã xin được tại Server A.

C:\ServerA> ipconfig /all

Link-local IPv6 Address . . . . . : fe80::79c3:fbaa:cbb1:b9f0%11
IPv4 Address. . . . . . . . . . . : 192.168.1.4
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
C:\ServerA>
Giải phóng IP hiện có trên PC.

C:\ServerA> ipconfig /release

C:\ServerA>
Xác định địa chỉ MAC của Server A.


DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration IPv4 Address. . : 169.254.185.240(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
DHCPv6 IAID . . . . . . . . . . . : 184549546

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\ServerA>
Cấu hình DHCP Server trên R2 cấp IP cố định xuống cho Server A luôn luôn là IP 192.168.1.99/24 tương
ứng với địa chỉ MAC của Server A.
- Chỉ số “01”: dùng định danh cho môi trường Ethernet LAN chứ không phải là môi trường Token
Ring hay Token Bus. Cơ chế hoạt động của giao thức DHCP trên môi trường Token Ring và Token
Bus có nhiều khác biệt so với môi trường Ethernet LAN.
ip dhcp pool Host1
host 192.168.1.99 255.255.255.0
client-identifier 0100.00AA.AA00.01
dns-server 8.8.8.8
exit
Kích hoạt quá trình xin địa chỉ IP trên PC.

C:\ServerA> ipconfig /renew

IPv4 Address. . . . . . . . . . . : 192.168.1.99
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
C:\ServerA>
Kiểm tra IP đã xin được tại Server A.


DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Expires . . . . . . . . . . : Friday, March 18, 2016 9:58:56 AM
Default Gateway . . . . . . . . . : 192.168.1.1
DHCP Server . . . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\ServerA>
C:\ServerA> ping 192.168.1.1
Kiểm tra các địa chỉ IP đã cấp phát tại R2 (DHCP Server).
- Địa chỉ IP 192.168.1.99 được cấp cho ServerA có MAC là 0000.AAAA.0001 vĩnh viễn không thu
hồi lại.
Hardware address/
User name
192.168.1.99 0100.00aa.aa00.01 Infinite Manual
R2#
Bước 4. Cấu hình dịch vụ DHCP Relay trên Cisco Router.

Bước 4.1. Cấu hình DHCP Server trên Router R2 cấp IP cho lớp mạng ở xa.
mạng 172.16.1.0/26, tại R1 cấu hình “ip helper-address” trỏ tới R2.
mạng 172.16.1.0/26.
ip dhcp excluded-address 172.16.1.1
ip dhcp pool LAN2
network 172.16.1.0 255.255.255.192
dns-server 8.8.8.8
exit
Bước 4.2. Cấu hình DHCP Relay trên Router R1 trỏ tới địa chỉ IP của Router R2.
Tại R1 cấu hình “ip helper-address” trỏ tới R2.

- Câu lệnh “ip helper-address” được cấu hình trên cổng f0/0, là cổng nhận được những gói tin xin
IP từ các PC (gói tin DHCP Discovery và DHCP Request).
- Cổng f0/0 khi nhận được các gói tin broadcast xin IP (DHCP Discovery và DHCP Request) sẽ bao
bọc các packet này thành gói tin unicast với IP Source là IP của f0/0 và IP Destination là
192.168.12.2 (thể hiện trong câu lệnh “ip helper-address”).
interface f0/0
ip address 172.16.1.1 255.255.255.192
ip helper-address 192.168.12.2
exit
Kích hoạt quá trình xin địa chỉ IP trên PCX.

C:\PCX> ipconfig /renew

IPv4 Address. . . . . . . . . . . : 172.16.1.2
Subnet Mask . . . . . . . . . . . : 255.255.255.192
Default Gateway . . . . . . . . . : 172.16.1.1
C:\PCX>
Kiểm tra IP đã xin được tại PCX.

C:\PCX> ipconfig /all

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.192
Lease Expires . . . . . . . . . . : Saturday, March 19, 2016 10:04:43 AM
Default Gateway . . . . . . . . . : 172.16.1.1
DHCP Server . . . . . . . . . . . : 192.168.12.2
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PCX>
Để kiểm tra các địa chỉ IP đã cấp phát tại R2 (DHCP Server).
Hardware address/
User name
192.168.1.99 0100.00aa.aa00.01 Infinite Manual
R2#
C:\PCX> ping 172.16.1.1
C:\PCX> ping 192.168.1.1
Phần 16. Hướng dẫn cấu hình giao thức tránh loop Spanning-Tree trên Cisco Switch.

- Bước 2. Khởi tạo các VLAN trên Cisco Switch.
o Bước 2.1. Khởi tạo VLAN trên Switch Sw1.
- Bước 3. Cấu hình kết nối Trunk trên Cisco Switch.
o Bước 3.1. Các lưu ý khi cấu hình Trunk trên thiết bị Switch Layer 2 và Switch Layer 3.
o Bước 3.2. Cấu hình Trunk trên các Switch.
- Bước 4. Cấu hình công nghệ STP trên Cisco Switch.
o Bước 4.1. Cấu hình STP tương ứng với VLAN2.
o Bước 4.2. Cấu hình STP tương ứng với VLAN3.
o Bước 4.3. Khảo sát bộ định thời Timer tương ứng với giao thức STP.
o Bước 4.4. Khảo sát bộ định thời Timer tương ứng với giao thức RSTP.
- exec-timeout 0 0: Khi đang cấu hình tại giao diện console (Hyperterminal, Putty hoặc
SecureCRT), nếu sau một khoảng thời gian nhất định mà người quản trị không gõ lệnh nào cũng
như không thực hiện bất kỳ thao tác nào thì phiên truy cập console sẽ tự động bị “logout”,
người quản trị sẽ phải đăng nhập lại để tiến hành cấu hình. Câu lệnh “exec-timeout 0 0” dùng để
tắt cơ chế tự động “logout”.
hostname Sw1
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname Sw2
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
interface vlan 2
ip address 192.168.2.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname Sw3
interface vlan 1
ip address 192.168.1.3 255.255.255.0
no shutdown
exit
interface vlan 3
ip address 192.168.3.3 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Khởi tạo các VLAN trên Cisco Switch.

Bước 2.1. Khởi tạo VLAN trên Switch Sw1.
Trên Sw1, tạo VLAN 2 và đặt tên cho VLAN là LAN2 rồi gom các port từ f0/5 tới f0/6 tham gia vào VLAN
2, tạo VLAN 3 và đặt tên cho VLAN là LAN3 rồi gom các port từ f0/7 tới f0/8 vào VLAN 3. Trên Sw2 và
Sw3 cũng tạo VLAN 2 và VLAN 3.
Trên Sw1, tạo VLAN 2 và đặt tên cho VLAN là LAN2 rồi gom các port từ f0/5 tới f0/6 tham gia vào VLAN
2, tạo VLAN 3 và đặt tên cho VLAN là LAN3 rồi gom các port từ f0/7 tới f0/8 vào VLAN 3.
vlan 2
name LAN2
exit
vlan 3
name LAN3
exit
exit
exit
Tạo VLAN 2 và VLAN 3 trên Sw2.

vlan 2
name LAN2
exit
vlan 3
name LAN3
exit
Tạo VLAN 2 và VLAN 3 trên Sw3.

vlan 2
name LAN2
exit
vlan 3
name LAN3
exit
Bước 3. Cấu hình kết nối Trunk trên Cisco Switch.

Bước 3.1. Các lưu ý khi cấu hình Trunk trên thiết bị Switch Layer 2 và Switch Layer 3.
Cấu hình kết nối trunk giữa các Switch sử dụng kiểu đóng gói dot1q.
- Một số dòng Switch Layer 2 bao gồm 2950, 2960, …
SOFTWARE (fc2)
Switch#

- Một số dòng Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
Switch#
Cấu hình trunk trên Switch Layer 2.

- Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta không cần khai báo kiểu đóng gói trunk.
interface f0/2
exit

- Switch Layer 3 hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần phải khai báo kiểu đóng gói đường
trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/2
exit
Bước 3.2. Cấu hình Trunk trên các Switch.
Cấu hình trunk trên Sw1.

exit

exit
exit
Kiểm tra các cổng giao tiếp trên Sw1 đã “up” chưa.
Sw1#
Kiểm tra kết nối trunk trên Sw1.

Sw1# show interface trunk

…
Sw1#
Kiểm tra các cổng giao tiếp trên Sw2 đã “up” chưa.
Sw2#


…
Sw2#


…
Sw3#
Bước 4. Cấu hình công nghệ STP trên Cisco Switch.

Bước 4.1. Cấu hình STP tương ứng với VLAN2.
Cấu hình STP tương ứng với VLAN 2 sao cho Sw2 làm Primary Root Bridge, Sw3 làm Secondary Root
Bridge (thay thế vị trí của Root Bridge nếu Switch này bị down), f0/3 trên Sw1 rơi vào trạng thái “BLK”
(trạng thái bị khóa block), PC2 khi ping tới IP 192.168.2.2 sẽ đi qua hướng f0/2 của Sw1.
Kiểm tra giá trị Priority hiện tại trên các Switch.
Kiểm tra giá trị Priority trên Sw1, giá trị priority mặc định trên trên là 32768.
Sw1# show spanning-tree vlan 2 | include priority
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Sw1#
Sw2#
Sw3#
Để Sw2 làm Primary Root Bridge, Sw3 làm Secondary Root Bridge, trong số 3 Switch (Sw1, Sw2, Sw3) ta
sẽ thiết bị giá trị Priority của Sw2 thấp nhất, rồi đến Sw3. Nếu Sw2 bị sự cố, Sw3 sẽ thay thế Sw2 đóng
vai trò Root Bridge nên Sw3 được gọi là Secondary Root Bridge. Giá trị Priority của Sw1 sẽ lớn nhất trong
tình huống này.
Ta sẽ tiến hành chỉnh giá trị Priority trên các Switch như sau:
- Sw1: 32768
- Sw2: 8192
- Sw3: 20480
Hiệu chỉnh giá trị Priority cho VLAN 2 trên Sw1.
Sw1(config)# spanning-tree vlan 2 priority 32768


Kiểm tra Sw2 hiện đang làm Root Bridge.

Sw2# show spanning-tree vlan 2
VLAN0002
Spanning tree enabled protocol ieee
Root ID Priority 8194
Address 001e.7944.9580
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Address 001e.7944.9580
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Sw2#
Kiểm tra f0/3 trên Sw1 rơi vào trạng thái “BLK”.
VLAN0002
Address 001e.7944.9580
Cost 19
Port 2 (FastEthernet0/2)

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Fa0/2 Root FWD 19 128.2 P2p
Fa0/3 Altn BLK 19 128.3 P2p
Sw1#
PC2 khi ping tới IP 192.168.2.2 sẽ đi qua hướng f0/2 của Sw1 để tới được Sw2, lưu lượng lúc trả về cũng
đi theo hướng tương tự.
Xác định địa chỉ MAC của PC2.


DHCP Enabled. . . . . . . . . . . : No
Link-local IPv6 Address . . . . . : fe80::dd1a:109f:6a86:3eb1%11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.254
DHCPv6 IAID . . . . . . . . . . . : 242756555
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC2>
Kiểm tra bảng MAC Table trên Sw2, ta thấy Sw2 học được MAC của PC2 thông qua cổng f0/1. Từ đó, ta
có thể suy luận lưu lượng từ Sw2 hồi đáp về cho PC2 sẽ được gửi qua cổng f0/1.
1 001e.bdb9.9302 DYNAMIC Fa0/3
1 0024.51d2.9502 DYNAMIC Fa0/1
1 0024.51d2.9540 DYNAMIC Fa0/1
Sw2#
Bước 4.2. Cấu hình STP tương ứng với VLAN3.

Cấu hình STP tương ứng với VLAN 3 sao cho Sw3 làm Primary Root Bridge, Sw2 làm Secondary Root
Bridge (thay thế vị trí của Root Bridge nếu Switch này bị down), f0/2 trên Sw1 rơi vào trạng thái “BLK”
(trạng thái bị khóa block), PC3 khi ping tới IP 192.168.3.3 sẽ đi qua hướng f0/3 của Sw1.
Kiểm tra giá trị Priority hiện tại trên các Switch.
Kiểm tra giá trị Priority trên Sw1, giá trị priority mặc định trên Switch là 32768.
Sw1#
Sw2#
Sw3#
Để Sw3 làm Primary Root Bridge, Sw2 làm Secondary Root Bridge, trong số 3 Switch (Sw1, Sw2, Sw3) ta
sẽ thiết bị giá trị Priority của Sw3 thấp nhất, rồi đến Sw2. Nếu Sw3 bị sự cố, Sw2 sẽ thay thế Sw3 đóng
vai trò Root Bridge nên Sw2 được gọi là Secondary Root Bridge. Giá trị Priority của Sw1 sẽ lớn nhất trong
tình huống này.
Ta sẽ tiến hành chỉnh giá trị Priority trên các Switch như sau:
- Sw1: 32768
- Sw2: 20480
- Sw3: 8192

Kiểm tra Sw3 hiện đang làm Root Bridge.

VLAN0003
Address 001e.bdb9.9300
This bridge is the root

Aging Time 300 sec

------------------- ---- --- --------- -------- --------------------------------
Sw3#
Kiểm tra f0/2 trên Sw1 rơi vào trạng thái “BLK”.
VLAN0003
Cost 19

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
PC3 khi ping tới IP 192.168.3.3 sẽ đi qua hướng f0/3 của Sw1 để tới được Sw3, lưu lượng lúc trả về cũng
đi theo hướng tương tự.
Xác định địa chỉ MAC của PC3.

…
C:\PC3>
Kiểm tra bảng MAC Table trên Sw3, ta thấy Sw3 học được MAC của PC3 thông qua cổng f0/1. Từ đó, ta
có thể suy luận lưu lượng từ Sw3 hồi đáp về cho PC3 sẽ được gửi qua cổng f0/1.
1 001e.7944.9583 DYNAMIC Fa0/2
1 001e.7944.95c0 DYNAMIC Fa0/2
1 0024.51d2.9503 DYNAMIC Fa0/1
1 0024.51d2.9540 DYNAMIC Fa0/2
2 001e.7944.9583 DYNAMIC Fa0/2
Sw3#
Bước 4.3. Khảo sát bộ định thời Timer tương ứng với giao thức STP.
Khảo sát thời gian hội tụ của STP và RSTP.
Khảo sát thời gian hội tụ của STP (PVST), tại PC3 ta tiến hành ping liên tục với địa chỉ IP 192.168.3.3 của
Sw3.
C:\PC3> ping 192.168.3.3 -t
Kiểm tra trạng thái port bị BLK trên Sw1 trước khi “shutdown” f0/3 trên Sw1.
VLAN0003
Cost 19

Address 0024.51d2.9500
Aging Time 15 sec

------------------- ---- --- --------- -------- -------------------------------
Fa0/7 Desg FWD 19 128.7 P2p Edge
Sw1#
Tại Sw1, tiến hành “shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của Sw3
di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một
vài giây.
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “shutdown” f0/3 trên Sw1.
VLAN0003
Cost 38

Address 0024.51d2.9500
Aging Time 15 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 bị gián đoạn trong vài giây.
C:\PC3> ping 192.168.3.3 –t
C:\Windows\system32>ping 192.168.3.3 -t

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Tại Sw1, tiến hành “no shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của
Sw3 sẽ không di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3 nữa mà sẽ di chuyển theo
hướng PC3 > f0/3 của Sw1 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một vài giây.
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “no shutdown” f0/3 trên Sw1.
VLAN0003
Cost 19

Address 0024.51d2.9500
Aging Time 15 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 bị gián đoạn trong vài giây.
C:\PC3> ping 192.168.3.3 –t

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Bước 4.4. Khảo sát bộ định thời Timer tương ứng với giao thức RSTP.
Cấu hình chuyển đổi từ giao thức STP (PVST+) thành RSTP (PVRST+) trên các switch.
Kiểm tra giao thức “spanning-tree” đang chạy trên Sw1, Sw1 hiện tại đang sử dụng giao thức PVST+
tương ứng với từ khóa “ieee” hiển thị trong câu lệnh “show spanning-tree vlan 3”.
VLAN0003
Cost 38

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
Cấu hình chuyển đổi từ giao thức PVST+ thành PVRST+ trên Sw1.
Sw1(config)# spanning-tree mode ?
mst Multiple spanning tree mode
pvst Per-Vlan spanning tree mode
rapid-pvst Per-Vlan rapid spanning tree mode
Sw1(config)# spanning-tree mode rapid-pvst
Xác nhận Sw1 đang chạy giao thức PVRST+.

VLAN0003
Spanning tree enabled protocol rstp
Cost 38

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Fa0/2 Root FWD 19 128.2 P2p Peer(STP)
Sw1#
Khảo sát thời gian hội tụ của RSTP (PVSRT+), tại PC3 ta tiến hành ping liên tục với địa chỉ IP 192.168.3.3
của Sw3.
C:\PC3> ping 192.168.3.3 -t
Kiểm tra trạng thái port bị BLK trên Sw1 trước khi “shutdown” f0/3 trên Sw1.
VLAN0003
Cost 19

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
Tại Sw1, tiến hành “shutdown” cổng f0/3 sẽ khiến cho lưu lượng từ PC3 gửi tới IP 192.168.3.3 của Sw3
di chuyển theo hướng từ PC3 > f0/2 của Sw1 > Sw2 > Sw3. Ta sẽ thấy, tiến trình ping sẽ bị gián đoạn một
vài giây.
Kiểm tra trạng thái port bị BLK trên Sw1 sau khi “shutdown” f0/3 trên Sw1.
VLAN0003
Cost 38

Address 0024.51d2.9500
Aging Time 300 sec

------------------- ---- --- --------- -------- -------------------------------
Sw1#
Tiến trình ping liên tục với địa chỉ IP 192.168.3.3 của Sw3 tại PC3 không hề bị gián đoạn trong suốt quá
trình tính toán lại cây “spanning-tree” trên Sw3. Ta có thể thấy, thời gian hội tụ và tính toán của RSTP
(PVRST+) nhanh hơn rất nhiều so với STP (PVST+).
C:\PC3> ping 192.168.3.3 –t

Phần 17. Hướng dẫn cấu hình công nghệ gom đường liên kết EtherChannel trên Cisco Switch.

- Bước 2. Cấu hình Trunk trên Cisco Switch.
o Bước 2.1. Các lưu ký khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
o Bước 2.2. Cấu hình Trunk trên các Switch.
- Bước 3. Cấu hình EtherChannel trên Cisco Switch.
o Bước 3.1. Cấu hình EtherChannel bằng giao thức LACP.
o Bước 3.2. Cấu hình EtherChannel bằng giao thức PAgP.
o Bước 3.3. Khảo sát tính chất dự phòng của đường kết nối EtherChannel.

- exec-timeout 0 0: Khi đang cấu hình tại giao diện console (Hyperterminal, Putty hoặc
SecureCRT), nếu sau một khoảng thời gian nhất định mà người quản trị không gõ lệnh nào cũng
như không thực hiện bất kỳ thao tác nào thì phiên truy cập console sẽ tự động bị “logout”,
người quản trị sẽ phải đăng nhập lại để tiến hành cấu hình. Câu lệnh “exec-timeout 0 0” dùng để
tắt cơ chế tự động “logout”.
- spanning-tree mode rapid-pvst: Mặc định các Cisco Switch sử dụng giao thức STP (PVST+), để
tăng thời gian hội tụ của hệ thống mạng, ta có thể chỉnh giao thức RSTP (PVRST+) trên các
Switch.
hostname Sw1
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/3
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname Sw2
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname Sw3
interface vlan 1
ip address 192.168.1.3 255.255.255.0
no shutdown
exit
interface f0/5
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình Trunk trên Cisco Switch.

Bước 2.1. Các lưu ký khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
Cấu hình kết nối trunk giữa các Switch sử dụng kiểu đóng gói dot1q.
Trước khi cấu hình đường trunk, ta cần xác định đây là Switch Layer 2 hay là Switch Layer 3 bằng câu
lệnh “show version”.
Để phân biệt Switch Layer 2 và Switch Layer 3, ta dựa vào dòng sản phẩm. Một số dòng Switch Layer 2
bao gồm 2950, 2960, …; còn một số dòng Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
SOFTWARE (fc2)
Switch#

Switch#

- Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta không cần khai báo kiểu đóng gói trunk.
interface f0/2
exit

- Switch Layer 3 hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần phải khai báo kiểu đóng gói đường
trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/2
exit
Bước 2.2. Cấu hình Trunk trên các Switch.
Cấu hình Trunk trên Switch Sw1.

exit

interface range f0/1 , f0/2, f0/3 , f0/4
exit

exit
Kiểm tra trạng thái kết nối vật lý các cổng giao tiếp trên Sw1.
Sw1#



Fa0/1 1-4094
Fa0/2 1-4094
Fa0/1 1
Fa0/2 1

Fa0/1 1
Fa0/2 none
Sw1#
Sw2#

Sw2# show interfaces trunk

…
Sw2#
Sw3#


…
Sw3#
Bước 3. Cấu hình EtherChannel trên Cisco Switch.

Bước 3.1. Cấu hình EtherChannel bằng giao thức LACP.
Cấu hình EtherChannel giữa Sw1 và Sw2 sử dụng giao thức LACP.
Cấu hình EtherChannel trên Switch Sw1.
- shutdown: Các tham số giữa các interface cấu hình EtherChannel bị lệnh sẽ khiến cho Port bị
“down” nên ta cần “shutdown” port trước khi cấu hình EtherChannel để tránh bị lỗi.
shutdown
channel-protocol lacp
channel-group 2 mode passive
exit
Cấu hình EtherChannel trên Sw2.

shutdown
channel-protocol lacp
channel-group 1 mode active
exit

no shutdown
exit

no shutdown
exit
Kiểm tra thiết lập EtherChannel trên Sw1.

Sw1# show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
M - not in use, minimum links not met

u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1

Number of aggregators: 1
Group Port-channel Protocol Ports

------+-------------+-----------+----------------------------------------------
2 Po2(SU) LACP Fa0/1(P) Fa0/2(P)
Sw1#

d - default port


------+-------------+-----------+----------------------------------------------
Sw2#
Từ Sw2 ping tới IP 192.168.1.1 của Sw1.

Sw2# ping 192.168.1.1
Bước 3.2. Cấu hình EtherChannel bằng giao thức PAgP.

Cấu hình EtherChannel giữa Sw3 và Sw2 sử dụng giao thức PAgP.
shutdown
channel-protocol pagp
channel-group 3 mode desirable
exit

shutdown
channel-protocol pagp
channel-group 2 mode auto
exit

no shutdown
exit

no shutdown
exit

d - default port


------+-------------+-----------+----------------------------------------------
3 Po3(SU) PAgP Fa0/3(P) Fa0/4(P)
Sw2#

Flags: D - down P - in port-channel
d - default port


------+-------------+-----------+----------------------------------------------
Sw3#
Từ Sw2 ping tới IP 192.168.1.3 của Sw3.

Sw2# ping 192.168.1.3
Bước 3.3. Khảo sát tính chất dự phòng của đường kết nối EtherChannel.
Để khảo sát tính dự phòng của EtherChannel, từ PC1 ping liên tục tới IP 192.168.1.5 của PC2 với tham số
-t.
- Tiếp theo, ta sẽ tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/1 trên Sw2, ta sẽ thấy tiến
trình ping vẫn diễn ra thành công.
- Tiếp tục, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/3 trên Sw2, ta sẽ thấy tiến trình
ping vẫn diễn ra thành công.
C:\PC1> ping 192.168.1.5 -t
Tiếp theo, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/1 trên Sw2, ta sẽ thấy tiến trình ping vẫn
diễn ra thành công.
Kiểm tra trạng thái EtherChannel nối tới Sw1 tại Sw2.

d - default port


------+-------------+-----------+----------------------------------------------
1 Po1(SU) LACP Fa0/1(D) Fa0/2(P)
Sw2#
Tiếp tục, tiến hành rút cáp hoặc “shutdown” cổng giao tiếp f0/3 trên Sw2, ta sẽ thấy tiến trình ping vẫn
diễn ra thành công.
Kiểm tra trạng thái EtherChannel nối tới Sw1 tại Sw2.

d - default port


------+-------------+-----------+----------------------------------------------
1 Po1(SU) LACP Fa0/1(D) Fa0/2(P)
3 Po3(SU) PAgP Fa0/3(D) Fa0/4(P)
Sw2#
Phần 18. Hướng dẫn cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.

- Bước 2. Cấu hình VLAN trên Cisco Switch.
- Bước 3. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
o Bước 3.1. Cấu hình Static Route trên Router R1.
o Bước 3.2. Cấu hình Static Route trên Router R2.
- Bước 4. Cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
o Bước 4.1. Cấu hình HSRP trên các Router.
o Bước 4.2. Hiệu chỉnh vai trò Active vs Standby trong HSRP.
o Bước 4.3. Khảo sát hướng đi của Traffic gửi ra Internet trong HSRP.
o Bước 4.4. Xác định địa chỉ Virtual MAC trong HSRP.

Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình cơ chế chống trôi dònh lệnh
“logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no ip domain-lookup”).
“logout”.
Trong bài LAB này, ta nên tiến hành cấu hình tính năng PortSecurity trên tất cả các Port từ f0/1 tới f0/24
trên Switch.
Switch(config)# interface range f0/1 - 24
Switch(config-range-if)# switchport mode access
Switch(config-range-if)# spanning-tree portfast
Use with CAUTION
%Portfast will be configured in 1 interface due to the range command

Switch(config-range-if)# exit
Switch(config)#

hostname Sw1
interface vlan 1
ip address 172.16.1.253 255.255.255.0
no shutdown
exit
interface vlan 2
ip address 192.168.1.253 255.255.255.0
no shutdown
exit
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 172.16.1.2 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình VLAN trên Cisco Switch.

Thiết lập các port từ f0/1 tới f0/12 thuộc thành viên của VLAN 1; tạo VLAN 2 rồi gom các port từ f0/12
tới f0/24 tham gia vào VLAN 2.
exit
vlan 2
name LAN2
exit
exit
Kiểm tra trạng thái các cổng giao tiếp.

Sw1#
Bước 3. Cấu hình định tuyến tĩnh Static Route trên Cisco Router.
Bước 3.1. Cấu hình Static Route trên Router R1.
Cấu hình định tuyến tại R1 sao cho nếu cổng f0/0 tại R1 bị “down” thì lưu lượng gửi tới mạng
172.16.1.0/24 sẽ đi qua Next-hop 192.168.1.2 tại R2.
ip route 172.16.1.0 255.255.255.0 192.168.1.2
Kiểm tra bảng định tuyến tại R1 trước khi “shutdown” cổng f0/0.
R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

C 172.16.1.0 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
R1#
Tiến hành “shutdown” cổng f0/0 trên R1.

interface f0/0
shutdown
exit
Kiểm tra bảng định tuyến tại R1 sau khi “shutdown” cổng f0/0. Nếu cổng f0/0 bị down, lưu lượng gửi tới
mạng 172.16.1.0/24 sẽ được gửi qua Next-hop 192.168.1.2 như thể hiện trong bảng định tuyến tại R1.
R1# show ip route

S 172.16.1.0 [1/0] via 192.168.1.2
R1#
Thực hiện “no shutdown” cổng giao tiếp f0/0 trên R1 để khôi phục lại trạng thái cổng.
interface f0/0
no shutdown
exit
ip route 192.168.1.0 255.255.255.0 172.16.1.2
R1# show ip route

R1#

interface f0/1
shutdown
exit
R1# show ip route

S 192.168.1.0/24 [1/0] via 172.16.1.2
R1#
interface f0/1
no shutdown
exit
Bước 3.2. Cấu hình Static Route trên Router R2.
ip route 172.16.1.0 255.255.255.0 192.168.1.1
R2# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks

L 172.16.1.2/32 is directly connected, FastEthernet0/0
R2#

interface f0/0
shutdown
exit
R2# show ip route

S 172.16.1.0 [1/0] via 192.168.1.1
R2#
interface f0/0
no shutdown
exit
ip route 192.168.1.0 255.255.255.0 172.16.1.1
R2# show ip route

R2#

interface f0/1
shutdown
exit
R2# show ip route

S 192.168.1.0/24 [1/0] via 172.16.1.1
R2#
interface f0/1
no shutdown
exit
Bước 4. Cấu hình giao thức dự phòng Gateway HSRP trên Cisco Router.
Bước 4.1. Cấu hình HSRP trên các Router.
Cấu hình HSRP trên f0/0 của R1 và R2 sử dụng VIP (Virtual IP) là 172.16.1.254 sao cho lưu lượng từ PC1
tới PC2 sẽ không bao giờ bị gián đoạn nếu R1 hoặc R2 gặp sự cố. Thiết lập HSRP sao cho R1 làm Active
Router, R2 làm Standby Router.
Cấu hình HSRP trên R1.
interface f0/0
ip address 172.16.1.1 255.255.255.0
standby 1 ip 172.16.1.254
standby 1 priority 105
standby 1 preempt
exit

interface f0/0
ip address 172.16.1.2 255.255.255.0
standby 1 ip 172.16.1.254
standby 1 preempt
exit
Kiểm tra HSRP trên R1.

R1# show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
R1#

|
Fa0/0 1 100 P Standby 172.16.1.1 local 172.16.1.254
R2#
Bước 4.2. Hiệu chỉnh vai trò Active vs Standby trong HSRP.
Cấu hình HSRP trên f0/1 của R1 và R2 sử dụng VIP (Virtual IP) là 192.168.1.254 sao cho lưu lượng từ PC2
tới PC1 sẽ không bao giờ bị gián đoạn nếu R1 hoặc R2 gặp sự cố. Thiết lập HSRP sao cho R2 làm Active
Router, R1 làm Standby Router.
interface f0/1
ip address 192.168.1.1 255.255.255.0
standby 2 ip 192.168.1.254
standby 2 preempt
exit

interface f0/1
ip address 192.168.1.2 255.255.255.0
standby 2 ip 192.168.1.254
standby 2 preempt
exit

|
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
R1#

|
Fa0/1 2 105 P Active local 192.168.1.1 192.168.1.254
R2#
Bước 4.3. Khảo sát hướng đi của Traffic gửi ra Internet trong HSRP.
Tại PC2 ta tiến hành ping tới địa chỉ IP của PC1, lưu lượng sẽ di chuyển theo hướng f0/1 của R2 > PC1,
lưu lượng lúc trả về từ PC1 tới PC2 sẽ di chuyển theo hướng f0/0 của R1 > PC1.
Tại PC2 ta có thể tiến hành tracert tới IP đích 172.16.1.3 để biết hướng di chuyển của lưu lượng.
C:\PC2> tracert 172.16.1.3
Tracing route to 172.16.1.3 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 192.168.1.2

2 <1 ms <1 ms <1 ms 172.16.1.3
Trace complete.
C:\PC2>
Tại PC1 ta có thể tiến hành tracert tới IP đích 192.168.1.3 để biết hướng di chuyển của lưu lượng.
C:\PC1> tracert 192.168.1.3
Tracing route to 192.168.1.3 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 172.16.1.1

2 <1 ms <1 ms <1 ms 192.168.1.3
Trace complete.
C:\PC1>
Tại PC2 ta có thể tiến hành ping liên tục tới IP đích 172.16.1.3 (ping với tham số -t) rồi tiến hành
“shutdown” cổng f0/1 trên R1.
C:\PC2> ping 172.16.1.3 -t
Kiểm tra vai trò HSRP trên R1 trước khi “shutdown” cổng f0/1 trên R2.
|
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
R1#
Trên R2, tiến hành “shutdown” cổng f0/1, ta sẽ thấy tiến trình ping liên tục từ PC2 tới PC1 không hề bị
gián đoạn.
interface f0/1
shutdown
exit
Kiểm tra vai trò HSRP trên R1 sau khi “shutdown” cổng f0/1 trên R2.
|
Fa0/0 1 105 P Active local 172.16.1.2 172.16.1.254
Fa0/1 2 100 P Active local unknown 192.168.1.254
R1#
Kiểm tra vai trò HSRP trên R2 sau khi “shutdown” cổng f0/1 trên R2.
|
Fa0/1 2 105 P Init unknown unknown 192.168.1.254
R2#
Khôi phục lại cổng f0/1 trên R2 bằng câu lệnh “no shutdown” cổng f0/1, ta sẽ thấy tiến trình ping liên
tục từ PC2 tới PC1 không hề bị gián đoạn.
interface f0/1
no shutdown
exit
Bước 4.4. Xác định địa chỉ Virtual MAC trong HSRP.
Trên PC2, khảo sát bảng arp cache, ta có thể quan sát thấy địa chỉ MAC tương ứng với VIP 192.168.1.254
là “00-00-0c-07-ac-02”.
C:\PC2> arp -a
Interface: 192.168.1.3 --- 0xb

192.168.1.254 00-00-0c-07-ac-02 dynamic
224.0.0.2 01-00-5e-00-00-02 static
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
C:\PC2>
Tại R1 và R2 ta cũng có thể kiểm tra địa chỉ MAC ảo tương ứng với VIP 192.168.1.254 là
“0000.0c07.ac02”.
R1# show standby f0/1
FastEthernet0/1 - Group 2
State is Standby
10 state changes, last state change 00:35:07
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac02
Local virtual MAC address is 0000.0c07.ac02 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.872 secs
Preemption enabled
Active router is 192.168.1.2, priority 105 (expires in 8.468 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/1-2" (default)
R1#

State is Active
Preemption enabled
Active router is local
Standby router is 192.168.1.1, priority 100 (expires in 10.000 sec)
Priority 105 (configured 105)
R2#
Tại R1 và R2, kiểm tra địa chỉ MAC ảo tương ứng với VIP 172.16.1.254.
State is Active
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 100 (expires in 8.240 sec)
Priority 105 (configured 105)
R1#

State is Standby
1 state change, last state change 01:05:11
Preemption enabled
Active router is 172.16.1.1, priority 105 (expires in 11.072 sec)
Standby router is local
Priority 100 (default 100)
R2#
Phần 19. Hướng dẫn cấu hình tính năng bảo mật Layer 2 PortSecurity trên Cisco Switch.
- Bước 2. Cấu hình PortSecurity trên Cisco Switch.
o Bước 2.1. Cấu hình PortSecurity với Violation là Shutdown.
 Bước 2.1.1. Xác định địa chỉ MAC của máy tính sử dụng hệ điều hành Window.
 Bước 2.1.2. Xác định trạng thái Port kết nối tới thiết bị đầu cuối.
 Bước 2.1.3. Cấu hình PortSecurity trên Interface f0/1 của Switch Sw1.
 Bước 2.1.4. Thay đổi địa chỉ MAC của máy tính bằng phần mềm TMAC.
 Bước 2.1.5. Thay đổi địa chỉ MAC của máy tính thông qua Network Address
Property của Card mạng.
 Bước 2.1.6. Khảo sát quá trình vi phạm chính sách Violation Shutdown.
 Bước 2.1.7. Khôi phục Port trở về trạng thái ban đầu khi vi phạm chính sách
Violation Shutdown.
 Bước 2.1.8. Xóa cấu hình PortSecurity trên một Interface của Cisco Switch.
o Bước 2.2. Cấu hình PortSecurity với Violation là Restrict.
 Bước 2.2.1. Xác định địa chỉ MAC của thiết bị đầu cuối trước khi cấu hình tính
năng PortSecurity.
 Bước 2.2.2. Cấu hình PortSecurity trên Interface f0/3 của Switch Sw1 tiến hành
học MAC tự động bằng phương thức Sticky.
 Bước 2.2.3. Thay đổi địa chỉ MAC của máy tính để khảo sát chính sách Violation
Restrict.
o Bước 2.3. Cấu hình PortSecurit với Violation là Protect.
 Bước 2.3.1. Xác định địa chỉ MAC tương ứng với các cổng giao tiếp trên Router
R1.
 Bước 2.3.2. Cấu hình PortSecurity trên Interface f0/5 của Switch Sw1 với chính
sách Violation Protect.
 Bước 2.3.3. Thay đổi địa chỉ MAC trên Router để khảo sát chính sách Violation
Protect.
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình PortSecurity trên Cisco Switch.

Bước 2.1. Cấu hình PortSecurity với Violation là Shutdown.
Trên Sw1, cấu hình PortSecurity trên cổng f0/1, chỉ cho phép một địa chỉ MAC của PC1 truy nhập,
phương thức xử lý vi phạm violation là shutdown.
Bước 2.1.1. Xác định địa chỉ MAC của máy tính sử dụng hệ điều hành Window.
Trước khi cấu hình tính năng PortSecurity trên f0/1 của Sw1, ta cần xác định địa chỉ MAC của PC1 thông
qua chương trình “cmd”. Để khởi động chương trình “cmd”, ta có thể nhấn tổ hợp phím Window + R, rồi
gõ từ khóa “cmd” và click “OK”.
Để xác định được địa chỉ MAC của PC, tại PC1 ta thực hiện câu lệnh “ipconfig /all”. Địa chỉ MAC của PC1
hiện tại là 00-00-AA-AA-00-01.

DHCP Enabled. . . . . . . . . . . : No
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 242756555

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC1>
Bước 2.1.2. Xác định trạng thái Port kết nối tới thiết bị đầu cuối.
Kiểm tra trạng thái “status” của các cổng đang ở trạng thái “up” hay “down”.
Sw1#
Kiểm tra một cổng cụ thể đang ở trạng thái “up” hay “down”.
Sw1# show interfaces f0/1 status

Sw1#
Có thể xác định được địa chỉ MAC của PC1 bằng cách “show mac address-table”.
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
1 0023.5e46.f4e8 DYNAMIC Fa0/5
Sw1#
Bước 2.1.3. Cấu hình PortSecurity trên Interface f0/1 của Switch Sw1.
Cấu hình PortSecurity trên cổng f0/1, chỉ cho phép một địa chỉ MAC của PC1 truy nhập, phương thức xử
lý vi phạm violation là shutdown.
- Khi thực hiện tới câu lệnh “switchport port-security mac-address 0000.aaaa.0001”, thông báo
“Found duplicate mac-address 0000.aaaa.0001.” lập tức xuất hiện.
- Nguyên nhân là do cấu hình PortSecurity hiện tại trên f0/1 chỉ cho phép học tối đa 1 địa chỉ MAC
(tác dụng của câu lệnh “switchport port-security maximum 1”).
- Hiện nay, khi “show mac address-table” trên Sw1 ta thấy Fa0/1 đã học được địa chỉ MAC là
0000.aaaa.0001 rồi nên khi cấu hình thêm một địa chỉ MAC nữa tương ứng với f0/1 (thông qua
câu lệnh “switchport port-security mac-address 0000.aaaa.0001”) thì Sw1 lập tức báo lỗi.
- Do đó, để tránh tình huống báo lỗi này, ta nên “shutdown” Port f0/1 trước khi cấu hình tính
năng PortSecurity, sau khi cấu hình xong, ta có thể “no shutdown” Port trở lại bình thường.
Sw1(config-if)# switchport mode access
Sw1(config-if)# switchport port-security
Sw1(config-if)# switchport port-security maximum 1
Sw1(config-if)# switchport port-security violation shutdown
Sw1(config-if)# switchport port-security mac-address 0000.aaaa.0001
Found duplicate mac-address 0000.aaaa.0001.
Sw1(config-if)#
Tiến hành “shutdown” Port trước khi cấu hình tính năng PortSecurity.
Sw1(config-if)# switchport port-security violation shutdown
Sw1(config-if)# end
Sw1#
Kiểm tra cấu hình PortSecurity trên f0/1 vừa cấu hình.
Sw1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.aaaa.0001:1
Security Violation Count : 0
Sw1#
Cũng có thể kiểm tra cấu hình PortSecurity trên f0/1 bằng cách sau.
- 2 thông tin cấu hình “switchport port-security maximum 1” và “switchport port-security
violation shutdown” không xuất hiện trong file cấu hình running-config vì đây là 2 tham số mặc
định khi ta bật tính năng PortSecurity thông qua câu lệnh “switchport port-security”.
- Các tham số mặc định thông thường sẽ không xuất hiện trong file cấu hình.
Sw1# show running-config interface f0/1
Current configuration : 136 bytes

!
switchport port-security
switchport port-security mac-address 0000.aaaa.0001
end
Sw1#
Bước 2.1.4. Thay đổi địa chỉ MAC của máy tính bằng phần mềm TMAC.
Lúc này, trên f0/1 của Sw1 chỉ cho phép PC có địa chỉ MAC là 0000.aaaa.0001 được quyền gửi dữ liệu
vào Port này. Nếu bất kỳ PC nào không phải địa chỉ MAC là 0000.aaaa.0001, chẳng hạn như PC có địa chỉ
MAC là 0000.aaaa.0099 cố tình gửi dữ liệu vào f0/1, Port sẽ bị “shutdown” và rơi vào trạng thái err-
disabled do vi phạm PortSecurity.
- Để giả lập tình huống vi phạm PortSecurity trên f0/1 của Sw1, ta có thể lấy một PC bất kỳ cắm
vào f0/1 rồi từ PC này khởi phát lưu lượng bằng các ping tới IP của Sw1 hoặc R1.
- Hoặc cũng có thể tìm cách thay đổi địa chỉ MAC của PC1 bằng phần mềm “SMAC 2.0” hoặc phần
mềm “TMAC (Technitium MAC Address Changer)”.
C:\PCX> ping 192.168.1.2

C:\PCX> ping 192.168.1.1
Tải phần mềm thay đổi địa chỉ MAC trên PC là TMAC:
http://blogchiasekienthuc.com/thu-thuat-may-tinh/thay-doi-dia-chi-mac-may-tinh.html
Bước 2.1.5. Thay đổi địa chỉ MAC của máy tính thông qua Network Address Property của Card mạng.
Để thuận tiện, hướng dẫn sau đây sẽ giúp các bạn thay đổi địa chỉ MAC của PC1 từ 0000.aaaa.0001
thành 0000.aaaa.0099 ngay trên chính hệ điều hành Window.
Đầu tiên, truy cập vào giao diện “Device Manager” trên PC. Cách mở Device Manager nhanh nhất là mở
Start\Run (hoặc Windows + R), gõ hdwwiz.cpl, nhấn enter.
Hoặc cách thông thường là chuột phải vào My Computer, chọn Manage > Device Manager.
Vào được giao diện “Device Manager”, click chuột phải vào card mạng cần chỉnh địa chỉ MAC rồi chọn
Properties.
Chuyển sang Tab Advanced và tìm đến dòng Network Address. Tại mục Value bạn gõ địa chỉ MAC mà
bạn muốn đổi vào và nhấn OK để hoàn tất. Một số PC sẽ không chỉnh được địa chỉ MAC (không có
trường Network Address tại tab Advanced, nên ta có thể khai báo tính năng PortSecurity trên f0/1 với
địa chỉ MAC bất kỳ là đóng vai trò là MAC hợp lệ, lúc này MAC của PC1 trở thành địa chỉ MAC không hợp
lệ, lúc này nếu lưu lượng PC1 gửi vào port f0/1, port sẽ bị “shutdown” và đưa vào trạng thái “err-
disabled”.
Kiểm tra lại địa chỉ MAC của PC1 tại giao diện cmd.

DHCP Enabled. . . . . . . . . . . : No
Link-local IPv6 Address . . . . . : fe80::35b1:6ca0:5db6:158e%11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
DNS Servers . . . . . . . . . . . :
fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC1>
Bước 2.1.6. Khảo sát quá trình vi phạm chính sách Violation Shutdown.
Lúc này, trên f0/1 của Sw1 chỉ cho phép PC có địa chỉ MAC là 0000.aaaa.0001 được quyền gửi dữ liệu
vào Port này. Nếu bất kỳ PC nào không phải địa chỉ MAC là 0000.aaaa.0001, chẳng hạn như PC có địa chỉ
MAC là 0000.aaaa.0099 cố tình gửi dữ liệu vào f0/1, Port sẽ bị “shutdown” và rơi vào trạng thái err-
disabled do vi phạm PortSecurity.
Để giả lập tình huống vi phạm PortSecurity trên f0/1 của Sw1, tại PC1 vừa thay đổi địa chỉ MAC tiến hành
ping lần lượt tới IP của Sw1 và R1 để phát sinh lưu lượng có địa chỉ MAC không hợp lệ gửi vào f0/1 của
Sw1.
C:\PC1> ping 192.168.1.2

C:\PC1> ping 192.168.1.1
Lúc này, tại giao diện cấu hình console của Sw1 ta sẽ thấy thông báo vi phạm PortSecurity trên f0/1 với
thông tin địa chỉ MAC không hợp lệ là 0000.aaaa.0099 và Port này được đưa vào trạng thái err-disabled.
Sw1#
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-
disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address
0000.aaaa.0099 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Sw1#
Lúc này, tại PC1 ta không thể ping được tới Sw1 và R1 được nữa vì Port f0/1 trên Sw1 đã bị shutdown.
C:\PC1> ping 192.168.1.2
C:\PC1> ping 192.168.1.1
Kiểm tra số lần vi phạm PortSecurity trên f0/1. Hiện nay, số lần vi phạm PortSecurity trên f0/1 là 1 lần.
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Sw1#
Để kiểm tra một Port nào đó có đang ở trạng thái err-disabled hay không, ta có thể thực hiện câu lệnh
sau.

Fa0/1 err-disabled 1 auto auto 10/100BaseTX
Sw1#
Để kiểm tra tất cả các Port đang ở trạng thái err-disabled, ta thực hiện câu lệnh sau. Hiện nay chỉ có một
Port duy nhất đang ở trạng thái err-disabled là f0/1.
Sw1# show interfaces status err-disabled
Port Name Status Reason

Fa0/1 err-disabled psecure-violation
Sw1#
Bước 2.1.7. Khôi phục Port trở về trạng thái ban đầu khi vi phạm chính sách Violation Shutdown.
Khôi phục trạng thái hợp lệ của f0/1 bằng cách đổi lại địa chỉ MAC của PC1 từ 0000.aaaa.0099 thành
0000.aaaa.0001.
Kiểm tra lại thông tin địa chỉ MAC trên PC1.

DHCP Enabled. . . . . . . . . . . : No
Subnet Mask . . . . . . . . . . . : 255.255.255.0
DHCPv6 IAID . . . . . . . . . . . : 242756555

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC1>
Mặc dù đã thay đổi địa chỉ MAC của PC1 thành địa chỉ MAC hợp lệ được phép gửi dữ liệu vào Port f0/1
nhưng Port f0/1 vẫn ở trạng thái “shutdown”.
Liệt kê những cổng đang ở trạng thái down.

Sw1# show ip interface brief | include down
Sw1#
Kiểm tra trạng thái cổng giao tiếp f0/1 trên Sw1.

Fa0/1 err-disabled 1 auto auto 10/100BaseTX
Sw1#
Kiểm tra f0/1 đang ở trạng thái “err-disabled” ta cũng có thể thực hiện câu lệnh sau.
Sw1# show interface f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Để khôi phục một Port đang ở trạng thái “err-disabled”, ta thực hiện các bước sau.
Sw1(config)#
Để khôi phục các Port đang ở trạng thái “err-disabled” do vi phạm PortSecurity một cách tự động cữ mỗi
30 giây, ta có thể cấu hình như sau.
Sw1(config)# errdisable detect cause all
Sw1(config)# errdisable recovery cause psecure-violation
Sw1(config)# errdisable recovery interval ?
<30-86400> timer-interval(sec)
Sw1(config)# errdisable recovery interval 30
Kiểm tra tất cả các nguyên nhân có thể khiến Port rơi vào trạng thái “err-disabled”.
Sw1# show errdisable detect
ErrDisable Reason Detection status
----------------- ----------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
unicast-flood Enabled
vmps Enabled
loopback Enabled
unicast-flood Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
sfp-config-mismat Enabled
gbic-invalid Enabled
dhcp-rate-limit Enabled
storm-control Enabled
arp-inspection Enabled
community-limit Enabled
invalid-policy Enabled
Sw1#
Kiểm tra khả năng “recovery cause” trên Sw1. Sw1 có thể khôi phục Port ở trạng thái “err-disabled” do
nhiều nguyên nhân khác nhau. Tuy nhiên, với thiết lập ở trên, Sw1 chỉ khôi phục các Port ở trạng thái
“err-disable” do vi phạm PortSecurity (tương ứng với câu lệnh “errdisable recovery cause psecure-
violation”).
Sw1# show errdisable ?
detect Error disable detection
flap-values Flap values for error disable detection
recovery Error disable recovery
Sw1# show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Disabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
psecure-violation Enabled
sfp-config-mismat Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
Timer interval: 30 seconds
Interfaces that will be enabled at the next timeout:
Sw1#
Kiểm tra trạng thái cổng giao tiếp f0/1 trên Sw1.

Sw1#
Trên Sw1, chỉ liệt kê các cổng đang ở trạng thái “up”. Lúc này f0/1 đã ở trạng thái “up”.
Sw1#
Tại PC1, tiến hành ping tới IP của Sw1 và R1, tiến trình ping sẽ diễn ra thành công.
C:\PC1> ping 192.168.1.2
C:\PC1> ping 192.168.1.1
Để kiểm tra các địa chỉ MAC nào đã khai báo tính năng PortSecurity, ta có thể thực hiện câu lệnh sau.
Sw1# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0001 SecureConfigured Fa0/1 -
------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Sw1#
Bước 2.1.8. Xóa cấu hình PortSecurity trên một Interface của Cisco Switch.
Để xóa cầu hình PortSecurity trên một Port, ta có thể cấu hình câu lệnh sau.
Sw1(config)# default interface f0/1
Hoặc cũng có thể xóa cấu hình tính năng PortSecurity một cách chi tiết hơn.
Sw1(config-if)# no switchport port-security
Sw1(config-if)# no switchport port-security maximum 1
Sw1(config-if)# no switchport port-security violation shutdown
Sw1(config-if)# no switchport port-security mac-address 0000.aaaa.0001
Sw1(config-if)# end
Sw1#
Bước 2.2. Cấu hình PortSecurity với Violation là Restrict.

Bước 2.2.1. Xác định địa chỉ MAC của thiết bị đầu cuối trước khi cấu hình tính năng PortSecurity.
Trên Sw1, cấu hình PortSecurity trên cổng f0/3, cho phép chỉ một địa chỉ MAC đầu tiên truy nhập, địa chỉ
MAC này được Switch học tự động thông qua phức sticky, phương thức xử lý vi phạm violation là
restrict.
Trước khi cấu hình tính năng PortSecurity trên f0/3, ta cần xác định địa chỉ MAC của PC2.

DHCP Enabled. . . . . . . . . . . : No
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 242756555

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC2>
Bước 2.2.2. Cấu hình PortSecurity trên Interface f0/3 của Switch Sw1 tiến hành học MAC tự động bằng
phương thức Sticky.
Trên Sw1, cấu hình PortSecurity trên cổng f0/3, cho phép chỉ một địa chỉ MAC đầu tiên truy nhập, địa chỉ
MAC này được Switch học tự động thông qua phức sticky, phương thức xử lý vi phạm violation là
restrict.
- Với tùy chọn “switchport port-security violation restrict”, lưu lượng không hợp lệ gửi tới f0/3
của Sw1 sẽ bị drop bỏ, Sw1 sẽ liên tục thông báo vi phạm PortSecurity để người quản trị hệ
thống mạng biết được có PC không hợp lệ đang cắm vào hệ thống.
Sw1(config-if)# switchport port-security mac-address sticky
Sw1(config-if)# switchport port-security violation restrict
Sw1(config)#
Kiểm tra trạng thái cổng giao tiếp f0/3 trên Sw1 đã “up” hay chưa.
Sw1#
Đứng tại Sw1, kiểm tra xem f0/3 đã học được địa chỉ MAC của PC2 hay chưa bằng cách “show mac
address-table”.
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
…
Sw1#
Từ PC2, tiến hành ping tới Sw1 và R1, kết quả ping sẽ không thành công.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Kiểm tra thông tin địa chỉ MAC của f0/3 đã được cập nhật tương ứng với tính năng PortSecurity hay
chưa.
Violation Mode : Restrict
Aging Time : 0 mins
Sw1#
Liệt kê các địa chỉ MAC đã cấu hình tính năng PortSecurity.
------------------------------------------------------------------------
(mins)
---- ----------- ---- ----- -------------
1 0000.aaaa.0002 SecureSticky Fa0/3 -
------------------------------------------------------------------------
Sw1#
Ta cần thực hiện câu lệnh “write memory” hoặc “copy running-config startup-config” để các địa chỉ
MAC học được thông qua phương thức “sticky” trên cổng f0/3 được lưu vào file “startup-config” và Port
f0/3 sẽ không học địa chỉ MAC mới sau khi Switch tiến hành khởi động lại.
Sw1# copy running-config startup-config
Để xóa thông tin các địa chỉ MAC cũ đã học được thông qua phương thức “sticky” để cập nhật lại các địa
chỉ MAC hợp lệ khác, ta có thể thực hiện câu lệnh sau.
Sw1# clear port-security sticky interface f0/3
Thông địa chỉ MAC 0000.aaaa.0002 mà f0/3 trên Sw1 học được tương ứng với tính năng “sticky”
PortSecurity đã biến mất.
------------------------------------------------------------------------
(mins)
---- ----------- ---- ----- -------------
------------------------------------------------------------------------
Sw1#
Từ PC2, tiến hành ping tới Sw1 và R1 để f0/3 trên Sw1 học lại MAC của PC2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Xác nhận lại Sw1 đã cập nhật lại MAC của PC2 tương ứng với f0/3 là 0000.aaaa.0002 như thiết lập
“sticky” PortSecurity trên f0/3.
------------------------------------------------------------------------
(mins)
---- ----------- ---- ----- -------------
------------------------------------------------------------------------
Sw1#
Bước 2.2.3. Thay đổi địa chỉ MAC của máy tính để khảo sát chính sách Violation Restrict.
Tiến hành thay đổi địa chỉ MAC của PC2 từ 0000.aaaa.0002 thành 0000.aaaa.0099.
Kiểm tra lại địa chỉ MAC của PC2.


DHCP Enabled. . . . . . . . . . . : No
Link-local IPv6 Address . . . . . : fe80::35b1:6ca0:5db6:158e%11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : 242756555

fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC2>
Tại PC2, ta tiến hành ping tới IP của Sw1 và R1. Với tùy chọn “switchport port-security violation restrict”,
lưu lượng không hợp lệ gửi tới f0/3 của Sw1 vẫn được phép gửi đi bình thường, Sw1 sẽ liên tục thông
báo vi phạm PortSecurity để người quản trị hệ thống mạng biết được có PC không hợp lệ đang cắm vào
hệ thống. Lúc này, PC2 ping thành công tới 192.168.1.1 nhưng lại không ping được tới 192.168.1.2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Lúc này, tạo giao diện cấu hình console tại Sw1, ta sẽ thấy thông báo vi phạm PortSecurity. Vì trên hệ
điều hành Window của Microsoft liên tục gửi các lưu lượng thăm dò mạng nên Sw1 sẽ liên tục báo địa
chỉ MAC của PC2 đang vi phạm PortSecurity.
Sw1#
Sw1#
Sw1#
Kiểm tra bảng địa chỉ mac address-table trên Sw1.

Mac Address Table
-------------------------------------------

---- ----------- -------- -----
…
Sw1#
Kiểm tra thông tin PortSecurity trên f0/3.

Violation Mode : Restrict
Aging Time : 0 mins
Sw1#
Kiểm tra thông tin các địa chỉ MAC khai báo tính năng PortSecurity.
------------------------------------------------------------------------
(mins)
---- ----------- ---- ----- -------------
------------------------------------------------------------------------
Sw1#
Thiết lập lại địa chỉ MAC của PC2 từ 0000.aaaa.0099 thành địa chỉ MAC hợp lệ ban đầu là
0000.aaaa.0002.
Kiểm tra lại địa chỉ MAC của PC2.

Description . . . . . . . . . . . :
Realtek PCIe FE Family Controller
Physical Address. . . . . . . . . :
00-00-AA-AA-00-02
DHCP Enabled. . . . . . . . . . No. :
Autoconfiguration Enabled . . . .
Yes :
Link-local IPv6 Address . . . . . :
fe80::dd1a:109f:6a86:3eb1%11(Preferred)
IPv4 Address. . . . . . . . . . . :
192.168.1.4(Tentative)
Subnet Mask . . . . . . . . . . . :
255.255.255.0
192.168.1.1
DNS Servers . . . . . . . . . . . :
fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
C:\PC1>
Lúc này, thông báo vi phạm PortSecurity trên f0/3 của Sw1 thông qua giao diện console không còn xuất
hiện nữa.
Sw1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up
Sw1#
Tại PC2, ta tiến hành ping tới IP của Sw1 và R1. Lúc này, PC2 ping thành công tới 192.168.1.1 và
192.168.1.2.
C:\PC2> ping 192.168.1.2
C:\PC2> ping 192.168.1.1
Bước 2.3. Cấu hình PortSecurit với Violation là Protect.

Bước 2.3.1. Xác định địa chỉ MAC tương ứng với các cổng giao tiếp trên Router R1.
Trên Sw1, cấu hình PortSecurity trên cổng f0/5, chỉ cho phép một địa chỉ MAC của f0/0 trên R1 truy
nhập, phương thức xử lý vi phạm violation là protect.
Trước khi cấu hình PortSecurity trên f0/5 của Sw1, ta cần xác định địa chỉ MAC cổng f0/0 của R1.
Hardware is MV96340 Ethernet, address is 0023.5e46.f4e8 (bia 0023.5e46.f4e8)
…
R1#
Ta có thể chỉnh lại địa chỉ MAC cổng f0/0 trên R1 thành 0000.aaaa.0003 bằng câu lệnh sau.
Kiểm tra lại địa chỉ MAC cổng f0/0 của R1. Địa chỉ MAC f0/0 của R1 đã thay đổi thành 0000.aaaa.0003
nhưng địa chỉ MAC nguyên thủy vẫn là 0023.5e46.f4e8. Khi R1 gửi dữ liệu đi thông qua cổng f0/0, nó sẽ
sử dụng địa chỉ MAC là 0000.aaaa.0003.
Hardware is MV96340 Ethernet, address is 0000.aaaa.0003 (bia 0023.5e46.f4e8)
…
R1#
Từ R1 tiến hành ping tới địa chỉ IP của Sw1 và PC. Tiến trình ping sẽ diễn ra thành công.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Tại Sw1, ta sẽ tiến hành kiểm tra f0/5 trên Sw1 đấu nối tới f0/0 của R1 học được địa chỉ MAC nào. Lúc
này, f0/5 trên Sw1 đã học được địa chỉ MAC là 0000.aaaa.0003 tương ứng với f0/0 của R1.
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
Sw1#
Bước 2.3.2. Cấu hình PortSecurity trên Interface f0/5 của Switch Sw1 với chính sách Violation Protect.
Sau khi xác định được địa chỉ MAC của f0/0 trên R1, ta sẽ tiến hành cấu hình tính năng PortSecurity trên
f0/5 của Sw1. Trên Sw1, cấu hình PortSecurity trên cổng f0/5, chỉ cho phép một địa chỉ MAC của f0/0
trên R1 truy nhập, phương thức xử lý vi phạm violation là protect.
- Tùy chọn “violation protect” sẽ tiến hành drop bỏ mọi lưu lượng không hợp lệ, nhưng không hề
xuất bất kỳ thông báo nào ra giao diện console của Sw1 về việc vi phạm PortSecurity.
Sw1(config-if)# switchport port-security violation protect
Sw1(config)#
Kiểm tra thông tin các địa chỉ MAC được khai báo tính năng PortSecurity.
------------------------------------------------------------------------
(mins)
---- ----------- ---- ----- -------------
------------------------------------------------------------------------
Sw1#
Bước 2.3.3. Thay đổi địa chỉ MAC trên Router để khảo sát chính sách Violation Protect.
Tiến hành thay đổi địa chỉ MAC của f0/0 trên R1 từ 0000.aaaa.0003 thành 0000.aaaa.0099 rồi tiến hành
ping tới địa chỉ Sw1 và các PC.
Kiểm tra lại địa chỉ MAC cổng f0/0 trên R1 đã được thay đổi chưa.
…
R1#
Từ R1 tiến hành ping tới địa chỉ IP của Sw1 và các PC, lúc này tiến trình ping sẽ không thành công vì tùy
chọn “switchport port-security violation protect” trên f0/5 của Sw1 đấu nối với f0/0 của R1 sẽ tiến hành
drop bỏ mọi lưu lượng không hợp lệ, nhưng Sw1 không hề xuất bất kỳ thông báo nào ra giao diện
console thông báo vi phạm PortSecurity.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Mặc dù Port f0/5 trên Sw1 đang vi phạm PortSecurity nhưng f0/5 sẽ không bị đưa vào trạng thái “err-
disabled” như với tùy chọn “violation shutdown”.

Sw1#
Kiểm tra danh sách các Port đang ở trạng thái “err-disabled” cũng không thấy sự xuất hiện của f0/5.
Sw1# show interfaces status err-disabled
Sw1#
Kiểm tra bảng địa chỉ “mac address-table” trên Sw1. Sw1 cũng không thèm học vào địa chỉ MAC không
hợp lệ vừa chỉnh trên f0/0 của R1 là 0000.aaaa.0099 mà vẫn cập nhật là f0/5 trên Sw1 vẫn tương ứng
với địa chỉ MAC là 0000.aaaa.0003.
Mac Address Table
-------------------------------------------

---- ----------- -------- -----
…
Sw1#
Trên R1, thay đổi địa chỉ MAC trở về địa chỉ hợp lệ 0000.aaaa.0003.
R1(config-if)# end
Kiểm tra thông tin địa chỉ MAC cổng f0/0 của R1.
…
R1#
Từ R1, tiến hành ping tới địa chỉ IP của Sw1 và các PC, lúc này tiến trình ping sẽ diễn ra thành công vì
MAC cổng f0/0 trên R1 đã thiết lập trở về MAC hợp lệ là 0000.aaaa.0003.
R1# ping 192.168.1.2
R1# ping 192.168.1.3
R1# ping 192.168.1.4
Phần 20. Hướng dẫn cấu hình Syslog, NTP trên Cisco Router và sử dụng chương trình Kiwi Syslog Server
9.5.1.
- Bước 2. Cấu hình dịch vụ DHCP Service trên Cisco Router.
o Bước 2.1. Cấu hình DHCP Server trên Router R1.
o Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
- Bước 3. Cấu hình NAT Overload trên Router R1.
- Bước 4. Hướng dẫn sử dụng Kiwi Syslog Server 9.5.1.
o Bước 4.1. Cài đặt phần mềm Kiwi Syslog Server 9.5.1 trên máy tính sử dụng hệ điều
hành Window.
o Bước 4.2. Cấu hình Syslog trên Switch Sw1.
o Bước 4.3. Kiểm tra Service Port Syslog trên máy tính sử dụng hệ điều hành Window.
o Bước 4.4. Thay đổi Service Port Syslog từ UDP 514 thành TCP 1468.
o Bước 4.5. Sử dụng phần mềm TFTP Server với vai trò là Syslog Server.
- Bước 5. Cấu hình NTP trên Switch Sw1.

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình dịch vụ DHCP Service trên Cisco Router.

Bước 2.1. Cấu hình DHCP Server trên Router R1.
Cấu hình DHCP Server trên R1 cấp IP xuống cho các PC.
Cấu hình DHCP Server trên R1.
- ipconfig /release: Giải phóng IP đã xin được trước đó từ DHCP Server.
- ipconfig /renew: Xin mới địa chỉ IP từ DHCP Server.
- ipconfig /all: Kiểm tra PC được cấp phát địa chỉ IP từ DHCP Server.
- show ip dhcp binding: Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8
exit


Hardware address/
User name
R1#
Bước 2.2. Cấu hình DHCP Client trên Interface f0/1 của Router R1.
Cấu hình DHCP Client trên cổng f0/1 xin IP từ Router tại VnPro.
Cấu hình DHCP Client trên cổng f0/1.
- show ip interface brief: Kiểm tra IP được cấp từ DHCP Server trên interface f0/1.
- release dhcp f0/1: Gửi bản tin release tới DHCP Server để từ chối không sử dụng IP đã được cấp
phát IP trước đó.
- renew dhcp f0/1: Kích hoạt tiến trình xin địa chỉ IP trên interface f0/1. Nếu quá trình xin IP trên
R1 không tự động diễn ra, ta có thể thực hiện câu lệnh trên.
- show dhcp lease: Kiểm tra các thông tin xin được từ DHCP Server.
- show dhcp server: Kiểm tra các thông tin xin được từ DHCP Server.
- show ip route static: Để Router có thể ping được Internet, bảng định tuyến tại Router cần phải
có default route 0.0.0.0/0 trỏ tới default-gateway vừa được cấp xuống là 10.215.14.1.
o Thông thường sau khi f0/1 trên Router xin được IP và thông tin default-gateway, nó sẽ
tự động hình thành default route 0.0.0.0/0 trỏ tới IP của default-gateway vừa mới xin
được.
- ip route 0.0.0.0 0.0.0.0 dhcp: Thiết lập default route 0.0.0.0/0 trên Router trỏ tới IP của default-
gate xin được từ DHCP Server.
interface f0/1
ip address dhcp
no shutdown
exit
R1#
%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP address 10.215.14.99,
mask 255.255.255.0, hostname R1
R1#

FastEthernet0/1 10.215.14.99 YES DHCP up up
R1#
R1# release dhcp f0/1

R1# renew dhcp f0/1
R1# show dhcp lease

Temp IP addr: 10.215.14.99 for peer on Interface: FastEthernet0/1
Temp sub net mask: 255.255.255.0
DHCP Lease server: 10.215.14.1, state: 5 Bound
DHCP transaction id: ED7
Lease: 10800 secs, Renewal: 5400 secs, Rebind: 9450 secs
Temp default-gateway addr: 10.215.14.1
Next timer fires after: 01:28:45
Retry count: 0 Client-ID: cisco-001f.ca0f.61d9-Fa0/1
Client-ID hex dump: 636973636F2D303031662E636130662E
363164392D4661302F31
Hostname: R1
R1#
R1# show dhcp server

DHCP server: ANY (255.255.255.255)
Leases: 2
Offers: 1 Requests: 1 Acks : 1 Naks: 0
Declines: 0 Releases: 0 Query: 0 Bad: 0
Forcerenews: 0 Failures: 0
DNS0: 192.168.4.6, DNS1: 8.8.8.8
Subnet: 255.255.255.0
R1#
R1# show ip dns view

DNS View default parameters:
Logging is off
DNS Resolver settings:
Domain lookup is disabled
Default domain name:
Domain search list:
Lookup timeout: 3 seconds
Lookup retries: 2
Domain name-servers:
192.168.4.6
8.8.8.8
DNS Server settings:
Forwarding of queries is disabled
Forwarder timeout: 3 seconds
Forwarder retries: 2
Forwarder addresses:
R1#

…
Gateway of last resort is 10.215.11.1 to network 0.0.0.0
S* 0.0.0.0/0 [254/0] via 10.215.11.1
R1#
R1(config)# ip route 0.0.0.0 0.0.0.0 dhcp
Bước 3. Cấu hình NAT Overload trên Router R1.

Cấu hình NAT Overload trên R1 đảm bảo các PC có thể truy cập Internet.
Cấu hình NAT Overload trên R1.
- access-list 1 permit 192.168.1.0 0.0.0.255: Cho phép mạng 192.168.1.0/24 truy cập Internet.
- ping 8.8.8.8 source 192.168.1.1: Kiểm tra cấu hình NAT Overload thành công.
- show ip nat translations: Kiểm tra bảng NAT Table.
o :6 là định danh Port mà Router NAT tự chèn vào để phân biệt luồng lưu lượng ICMP.
- debug ip nat: Khảo sát tiến trình NAT Overload.
- undebug ip nat: Tắt cơ chế “debug ip nat”.
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface f0/1 overload
interface f0/1
ip nat outside
exit
interface f0/0
ip nat inside
exit
R1# ping 8.8.8.8 source 192.168.1.1
R1# show ip nat translations

Pro Inside global Inside local Outside local Outside global
icmp 10.215.14.99:6 192.168.1.1:6 8.8.8.8:6 8.8.8.8:6
R1#
R1# debug ip nat

R1# ping 8.8.8.8 source 192.168.1.1
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [26]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
…
R1# undebug ip nat
Bước 4. Hướng dẫn sử dụng Kiwi Syslog Server 9.5.1.

Bước 4.1. Cài đặt phần mềm Kiwi Syslog Server 9.5.1 trên máy tính sử dụng hệ điều hành Window.
Cài đặt Syslog Server.
Hướng dẫn cài đặt “Kiwi Syslog Server 9.5.1” trên Syslog Server.
- Tải phần mềm: http://www.solarwinds.com/products/freetools/free-kiwi-syslog-server.aspx
Click vào file cài đặt.
Click “I Agree”.
Chọn “option” phù hợp.
Click “Next” để tiếp tục.

Click “Install”.
Click “Finish”.
Phiên bản “Free” chỉ cho phép lấy “syslog” từ 5 source thiết bị, giao diện chương trình “Kiwi Syslog
Server”.
Bước 4.2. Cấu hình Syslog trên Switch Sw1.

Cấu hình Syslog trên các thiết bị.
Cấu hình trên R1 và Sw1 đổ thông tin “syslog” về cho “Syslog Server”.
- logging on: Bật tính năng “syslog” trên thiết bị.
- logging buffered 4096: Thiết lập 4096 bytes bộ nhớ để lưu trữ thông điệp “syslog”.
- show logging: Kiểm tra các thông điệp “syslog” lưu trữ trong bộ nhớ memory trên thiết bị.
- logging host 192.168.1.3: Thiết lập cho phép thiết bị gửi các thông điệp “syslog” về cho Syslog
Server 192.168.1.3.
o interface vlan 2: Tạo “interface vlan 2” để tạo sự kiện “syslog” vì khi có bất kỳ sự kiện
“syslog” nào phát sinh, thiết bị mới gửi thông điệp “syslog” về cho “Server Syslog”.
- service timestamps log datetime localtime show-timezone msec: Bật lại nhãn “timestamp” ở
phía trước các thông điệp syslog.
o log: tất cả các thông tin log sẽ được gán nhãn thời gian.
o datetime: ngày và giờ sẽ hiện trong thông điệp.
o localtime: thời gian được dùng là local.
o show-timezone: Hiển thị thông tin timezone.
o msec: HIển thị thời gian tính bằng milisecond.
Sw1(config)# logging on
Sw1(config)# logging buffered 4096
Sw1(config)# service timestamps log datetime localtime show-timezone msec
Sw1# show logging

Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0
overruns, xml disabled, filtering disabled)
…
Log Buffer (4096 bytes):

changed state to up
*Mar 1 00:02:56.160: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
*Mar 1 00:02:56.169: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed
state to up
*Mar 1 00:03:16.276: %SYS-5-CONFIG_I: Configured from console by console
…
Sw1#
Sw1(config)# logging host 192.168.1.3

Sw1(config-if)#
state to down
Bước 4.3. Kiểm tra Service Port Syslog trên máy tính sử dụng hệ điều hành Window.
Khắc phục sự cố Syslog Server.
Kiểm tra Port 514 trên Syslog Server nếu “Kiwi Syslog Sever” không nhận được thông điệp “syslog”.
- telnet 192.168.1.3 514: Kiểm tra xem port 514 trên “Kiwi Syslog Server” đã mở hay chưa.
o Nếu xuất hiện nội dung như bên dưới tức là port 514 trên “Kiwi Syslog Server” vẫn chưa
được mở.
- netstat –aon: Theo nguyên tắc hoạt động, Kiwi Syslog có port dịch vụ là 514, và chỉ có thể có
một tiến trình (single process) chiếm dụng port này. Để kiểm tra tiến trình process nào đang
chiếm dụng port 514, ta thực hiện câu lệnh sau tại cửa sổ cmd.
C:\Syslog+Server> telnet 192.168.1.3 514
Connecting To 192.168.1.3...Could not open connection to the host, on port 514:
Connect failed
C:\Syslog+Server>
C:\Syslog+Server> netstat -aon

Active Connections
Proto Local Address Foreign Address State PID
UDP 0.0.0.0:514 *:* 560
…
C:\Syslog+Server>
Như quan sát ở trên, tiến trình PID 560 đang chiếm dụng port 514, ta tiến hành mở “Task Manager” rồi
kết thúc tiến trình PID 560.
Bước 4.4. Thay đổi Service Port Syslog từ UDP 514 thành TCP 1468.
Cấu hình Syslog trên các thiết bị mạng sử dụng TCP.
Tinh chỉnh “syslog” sử dụng TCP port 1468.
- Giao thức Syslog hoạt động trên nền giao thức UDP mặc dù có thời gian đáp ứng nhanh nhưng
có thể dẫn đến tình huống mất thông điệp “syslog” nếu hệ thống mạng:
o Đang bị nghẽn
o Quá tải
o Môi trường truyền dẫn không tin cậy
- Nếu Syslog sử dụng TCP, thiết bị mạng sẽ gửi thông điệp “syslog” tới “Server Syslog” cho tới khi
nào nhận được hồi đáp ACK từ “Kiwi Syslog Server”.
Sw1(config)# logging host 192.168.1.3 transport tcp port 1468
Hiệu chỉnh “Kiwi Syslog Server” lắng nghe trên port 1468.
Tạo “interface vlan 3” để tiến hành khởi tạo sự kiện syslog.
Sw1(config-if)#
state to down
Sw1(config-if)#
Bước 4.5. Sử dụng phần mềm TFTP Server với vai trò là Syslog Server.
Bên cạnh chương trình “Kiwi Syslog Server”, ta có thể sử dụng một số phần mềm khác làm “Server
Syslog” chẳng hạn như chương trình “tftpd32.exe”.
Tạo “interface vlan 4” để tiến hành khởi tạo sự kiện syslog.
Sw1(config-if)#
state to down
*Mar 1 01:57:28.586: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.3 Port
1468 stopped - disconnection
Sw1(config-if)#
Ta quan sát được trên chương trình “tftpd32.exe” các thông điệp “syslog” giống như các thông điệp vừa
xuất hiện trên giao diện “console” của Sw1.
Tắt nhãn thời gian trong các thông điệp “syslog”.
- Các thông điệp “syslog” thường có đính nhãn thời gian (timestamp) ở phía trước.
Sw1(config)# no service timestamps log datetime localtime show-timezone msec
Tạo “interface vlan 5” để tiến hành khởi tạo sự kiện syslog, lúc này các thông điệp “syslog” xuất hiện mà
không có kèm nhãn “timestamp” nào cả.
Sw1(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan5, changed state to down
Sw1(config-if)#
Cấu hình “syslog” trên R1 tương tự như trên Sw1.
Bước 5. Cấu hình NTP trên Switch Sw1.

Cấu hình NTP trên các thiết bị.
Cấu hình R1 và Sw1 trở thành “NTP Client” đồng bộ thời gian với “NTP Server” ở ngoài Internet.
- Các “NTP Server” tham khảo có thể được search trên www.google.com với từ khóa “public NTP
Server” chẳng hạn như “vn.pool.ntp.org”.
- ip default-gateway 192.168.1.1: Khai báo “default-gateway” để Sw1 có thể truy cập Internet.
- show clock: Kiểm tra thời gian hiện tại trên thiết bị.
- ip name-server 8.8.8.8: Khai báo DNS Server trên thiết bị.
- ip domain-lookup: Bật cơ chế phân giải tên miền domain.
- ntp server 0.us.pool.ntp.org: Thiết bị sẽ đồng bộ hóa thời gian với NTP Server 0.us.pool.ntp.org
- clock time zone +7: Hiệu chỉnh lại múi giờ theo múi giờ Việt Nam là UTC +7.
- clock timezone Vietnam +7: Hiệu chỉnh timezone trên Router.
- show ntp status: Kiểm tra trạng thái đồng bộ thời gian trên thiết bị.
Sw1(config)# ip default-gateway 192.168.1.1
Sw1# show clock

*02:17:40.043 UTC Mon Mar 1 1993
Sw1#
Sw1(config)# ip name-server 8.8.8.8

Sw1(config)# ip domain-lookup
Sw1(config)# ntp server 0.us.pool.ntp.org
Sw1(config)# clock time zone +7

Sw1(config)#
%SYS-6-CLOCKUPDATE: System clock has been updated from 04:27:07 UTC Tue Apr 19 2016 to
11:27:07 zone Tue Apr 19 2016, configured from console by console.
Sw1(config)#
Router(config)# clock timezone Vietnam +7
Sw1# show ntp status

Clock is synchronized, stratum 3, reference is 66.228.59.187
nominal freq is 119.2092 Hz, actual freq is 119.2092 Hz, precision is 2**18
reference time is DAC0313C.F66DD2D5 (04:23:24.962 UTC Tue Apr 19 2016)
clock offset is 0.2078 msec, root delay is 302.55 msec
root dispersion is 35.96 msec, peer dispersion is 0.29 msec
Sw1#
Sw1# show clock

11:28:07.203 zone Tue Apr 19 2016
Sw1#
Cấu hình NTP Client trên R1 tương tự như trên Sw1.
Phần 21. Hướng dẫn cấu hình SNMP và Netflow trên Cisco Router.
- Bước 4. Cấu hình SNMP trên Cisco Router.
o Bước 4.1. Cấu hình SNMP trên Router R1.
o Bước 4.2. Cài đặt phần mềm PRTG Traffic Grapher trên máy tính sử dụng hệ điều hành
Window.
o Bước 4.3. Thiết lập phần mềm PRTG Traffic Grapher để giám sát băng thông trên các
cổng giao tiếp của Router R1.
- Bước 5. Cấu hình tính năng thống kê lưu lượng Netflow trên Cisco Router.
o Bước 5.1. Cấu hình tính năng Netflow trên Router R1.
o Bước 5.2. Cài đặt phần mềm Netflow Analyzer Server trên máy tính sử dụng hệ điều
hành Window.
 Bước 5.2.1. Tải phần mềm Netflow Analyzer về máy tính.
 Bước 5.2.2. Cài đặt phần mềm Netflow Analyzer trên máy tính.
o Bước 5.3. Thiết lập phần mềm Netflow Analyzer để lấy dữ liệu thống kê từ Router R1.

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

Cấu hình DHCP Server trên R1 cấp IP xuống cho các PC.
Cấu hình DHCP Server trên R1.
- ipconfig /release: Giải phóng IP đã xin được trước đó từ DHCP Server.
- ipconfig /renew: Xin mới địa chỉ IP từ DHCP Server.
- ipconfig /all: Kiểm tra PC được cấp phát địa chỉ IP từ DHCP Server.
- show ip dhcp binding: Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8
exit


Hardware address/
User name
R1#
- show ip interface brief: Kiểm tra IP được cấp từ DHCP Server trên interface f0/1.
- release dhcp f0/1: Gửi bản tin release tới DHCP Server để từ chối không sử dụng IP đã được cấp
phát IP trước đó.
- renew dhcp f0/1: Kích hoạt tiến trình xin địa chỉ IP trên interface f0/1. Nếu quá trình xin IP trên
R1 không tự động diễn ra, ta có thể thực hiện câu lệnh trên.
- show dhcp lease: Kiểm tra các thông tin xin được từ DHCP Server.
- show dhcp server: Kiểm tra các thông tin xin được từ DHCP Server.
- show ip route static: Để Router có thể ping được Internet, bảng định tuyến tại Router cần phải
có default route 0.0.0.0/0 trỏ tới default-gateway vừa được cấp xuống là 10.215.14.1.
o Thông thường sau khi f0/1 trên Router xin được IP và thông tin default-gateway, nó sẽ
tự động hình thành default route 0.0.0.0/0 trỏ tới IP của default-gateway vừa mới xin
được.
- ip route 0.0.0.0 0.0.0.0 dhcp: Thiết lập default route 0.0.0.0/0 trên Router trỏ tới IP của default-
gate xin được từ DHCP Server.
interface f0/1
ip address dhcp
no shutdown
exit
R1#
%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP address 10.215.14.99,
mask 255.255.255.0, hostname R1
R1#

R1#

R1# renew dhcp f0/1
R1# show dhcp lease
DHCP transaction id: ED7
Retry count: 0 Client-ID: cisco-001f.ca0f.61d9-Fa0/1
363164392D4661302F31
Hostname: R1
R1#

DHCP server: ANY (255.255.255.255)
Leases: 2
DNS0: 192.168.4.6, DNS1: 8.8.8.8
Subnet: 255.255.255.0
R1#

Logging is off
Domain lookup is disabled
Domain search list:
Lookup retries: 2
192.168.4.6
8.8.8.8
Forwarding of queries is disabled
R1#

…
S* 0.0.0.0/0 [254/0] via 10.215.11.1
R1#
Cấu hình NAT Overload trên R1 đảm bảo các PC có thể truy cập Internet.
- access-list 1 permit 192.168.1.0 0.0.0.255: Cho phép mạng 192.168.1.0/24 truy cập Internet.
- ping 8.8.8.8 source 192.168.1.1: Kiểm tra cấu hình NAT Overload thành công.
- show ip nat translations: Kiểm tra bảng NAT Table.
o :6 là định danh Port mà Router NAT tự chèn vào để phân biệt luồng lưu lượng ICMP.
- debug ip nat: Khảo sát tiến trình NAT Overload.
- undebug ip nat: Tắt cơ chế “debug ip nat”.
interface f0/1
ip nat outside
exit
interface f0/0
ip nat inside
exit
R1# ping 8.8.8.8 source 192.168.1.1

icmp 10.215.14.99:6 192.168.1.1:6 8.8.8.8:6 8.8.8.8:6
R1#
R1# debug ip nat

R1# ping 8.8.8.8 source 192.168.1.1
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [26]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
…
R1# undebug ip nat
Bước 4. Cấu hình SNMP trên Cisco Router.

Bước 4.1. Cấu hình SNMP trên Router R1.
Cấu hình SNMP trên các thiết bị.
Cấu hình SNMP trên Router.
R1(config)# snmp-server community bqk123
Bước 4.2. Cài đặt phần mềm PRTG Traffic Grapher trên máy tính sử dụng hệ điều hành Window.
Cài đặt SNMP Server.
Cài đặt PRTG Traffic Grapher để theo dõi lưu lượng trên interface của các thiết bị hoặc thống kê lưu
lượng trên Cardng mạng NIC của SNMP Server.

PRTG Traffic Grapher hỗ trợ các Service:
- SNMP
- Packet Sniffing
- Netflow
- Latency
PRTG Traffic Grapher (Freeware Edition) hỗ trợ các Service:
- SNMP
- Packet Sniffing: Cho phép theo dõi lưu lượng của Card mạng tại Local PC.
Bước 4.3. Thiết lập phần mềm PRTG Traffic Grapher để giám sát băng thông trên các cổng giao tiếp của
Router R1.
Thiết lập SNMP Server giám sát các thiết bị.
Double click vào giao diện Live Graph.
Mỗi hàng tương ứng với 1 file tải về, một traffic flow.
Tổng số Mbyte gửi ra interface Fa0/0 là 4,792 Mbyte.
Tổng số Mbyte đã gửi ra interface Fa0/0 trong ngày 12/22/2016 là 5,191 Mbyte.
Bước 5. Cấu hình tính năng thống kê lưu lượng Netflow trên Cisco Router.
Bước 5.1. Cấu hình tính năng Netflow trên Router R1.
Cấu hình Netflow trên Router.
Cấu hình Netflow trên R1 giám sát lưu lượng đi vào interface f0/0.
R1(config)#
ip flow-export destination 192.168.1.3 5000
ip flow-export version 5
interface f0/0
ip flow ingress
exit
snmp-server community bqk123
Bước 5.2. Cài đặt phần mềm Netflow Analyzer Server trên máy tính sử dụng hệ điều hành Window.
Bước 5.2.1. Tải phần mềm Netflow Analyzer về máy tính.
Cài đặt Netflow Analyzer Server.

Một số chương trình Netlow phiên bản Free: http://www.networkmanagementsoftware.com/5-free-netflow-
analyzer-tools-for-windows/
Tải chương trình Netflow Analyzer.

- http://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration?
Program=852&c=70150000000P9Ia&CMP=BIZ-TAD-NMS-NETMAN-RTNFA-DL-2012
Bước 5.2.2. Cài đặt phần mềm Netflow Analyzer trên máy tính.

Bước 5.3. Thiết lập phần mềm Netflow Analyzer để lấy dữ liệu thống kê từ Router R1.
Thết lập Netflow Anayzer Server.
Views: Applications
Views: Conversations
Views: Endpoints
Views: Protocols
Phần 22. Hướng dẫn cấu hình chính sách bảo mật ACL trên Cisco Router.
- Bước 2. Cấu hình định tuyến tĩnh Static Router trên các Router.
- Bước 3. Cấu hình chính sách bảo mật ACL trên Cisco Router.
o Bước 3.1. Cấu hình ACL giới hạn traffic Telnet trên Router R1.
o Bước 3.4. Cấu hình ACL giới hạn traffic ICMP trên Router R1.
o Bước 3.5. Cấu hình ACL giới hạn traffic ICMP trên Router R3.

Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình telnet không password, cấu
hình cơ chế chống trôi dònh lệnh “logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no
ip domain-lookup”).
hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 192.168.12.2 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.23.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup

hostname R3
interface f0/0
ip address 192.168.23.3 255.255.255.0
no shutdown
exit
interface f0/1
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Router trên các Router.
Cấu hình định tuyến tĩnh “static route” trên các router đảm bảo PC1 có thể ping được tới PC2, R1 có thể
ping được tới 192.168.23.3 của R3.
Cấu hình định tuyến trên R1.
ip route 192.168.3.0 255.255.255.0 192.168.12.2
ip route 192.168.23.0 255.255.255.0 192.168.12.2

ip route 192.168.3.0 255.255.255.0 192.168.23.3
ip route 192.168.1.0 255.255.255.0 192.168.12.1
ip route 192.168.1.0 255.255.255.0 192.168.23.2
ip route 192.168.12.0 255.255.255.0 192.168.23.2
Bước 3. Cấu hình chính sách bảo mật ACL trên Cisco Router.
Bước 3.1. Cấu hình ACL giới hạn traffic Telnet trên Router R1.
Cấu hình dịch vụ telnet server trên R1, cấu hình ACL trên R1 sao cho chỉ có các thiết bị thuộc dải IP từ
192.168.1.1 tới 192.168.1.63 và dải IP từ 192.168.3.64 tới 192.168.3.127 mới có thể telnet được tới R1.
Cấu hình dịch vụ telnet server trên R1, để thuận tiện cho việc thực hành LAB, ta có thể cấu hình telnet
không password trên R1.
line vty 0 4
privilege level 15
no login
exit
Từ PC1 và PC2 ping rồi telnet tới R1.

C:\PC1> ping 192.168.1.1
C:\PC1> telnet 192.168.1.1
C:\PC2> ping 192.168.1.1

C:\PC2> telnet 192.168.1.1
Cấu hình ACL trên R1 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.1 tới 192.168.1.63 và dải IP từ
192.168.3.64 tới 192.168.3.127 mới có thể telnet được tới R1. Đối với lưu lượng telnet, ta nên cấu hình
ACL rồi áp trên “line vty 0 4”.

line vty 0 4
access-class 1 in
exit
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access”.
R1# show ip access-list
Nếu PC1 có IP nằm trong dải 192.168.1.1 tới 192.168.1.63 thì sẽ telnet được tới R1. PC1 hiện nay có IP là
192.168.1.2 nên sẽ telnet thành công tới R1.
C:\PC1> telnet 192.168.1.1
Thiết lập lại IP của PC1 thành 192.168.1.64/24 với default-gateway là 192.168.1.1. Nếu PC1 có IP nằm
ngoài dải 192.168.1.1 tới 192.168.1.63 thì sẽ không telnet được tới R1. PC1 hiện nay có IP là
192.168.1.64 nên sẽ không telnet thành công tới R1.
C:\PC1> telnet 192.168.1.1
Nếu PC2 có IP nằm ngoài dải 192.168.3.64 tới 192.168.3.127 thì sẽ không telnet được tới R1. Nếu thiết
lập IP cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R1.
C:\PC2> telnet 192.168.1.1
Nếu PC2 có IP nằm trong dải 192.168.3.64 tới 192.168.3.127 thì sẽ telnet được tới R1. Nếu thiết lập IP
cho PC2 là 192.168.3.64/24 thì PC2 sẽ telnet được tới R1.
C:\PC2> telnet 192.168.1.1
192.168.1.64 tới 192.168.1.127 và dải IP từ 192.168.3.128 tới 192.168.3.191 mới có thể telnet được tới
R2.
line vty 0 4
privilege level 15
no login
exit

C:\PC1> ping 192.168.12.2
C:\PC1> telnet 192.168.12.2
C:\PC2> ping 192.168.12.2

C:\PC2> telnet 192.168.12.2
Cấu hình ACL trên R2 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.64 tới 192.168.1.127 và dải IP
từ 192.168.3.128 tới 192.168.3.191 mới có thể telnet được tới R2. Đối với lưu lượng telnet, ta nên cấu
hình ACL rồi áp trên “line vty 0 4”.
line vty 0 4
access-class 1 in
exit
Nếu PC1 có IP nằm trong dải 192.168.1.64 tới 192.168.1.127 thì sẽ telnet được tới R1. PC1 hiện nay có IP
là 192.168.1.2 nên sẽ không telnet thành công tới R2.
C:\PC1> telnet 192.168.12.2
Thiết lập lại IP của PC1 thành 192.168.1.64/24 với default-gateway là 192.168.1.1. Nếu PC1 có IP nằm
trong dải 192.168.1.64 tới 192.168.1.127 thì sẽ telnet được tới R2. PC1 hiện nay có IP là 192.168.1.64
nên sẽ telnet thành công tới R2.
C:\PC1> telnet 192.168.12.2
cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R2.
C:\PC2> telnet 192.168.12.2
C:\PC2> telnet 192.168.12.2
192.168.1.128 tới 192.168.1.191 và dải IP từ 192.168.3.192 tới 192.168.3.254 mới có thể telnet được tới
R3.
line vty 0 4
privilege level 15
no login
exit

C:\PC1> ping 192.168.3.1
C:\PC1> telnet 192.168.3.1
C:\PC2> ping 192.168.3.1

C:\PC2> telnet 192.168.3.1
Cấu hình ACL trên R3 sao cho chỉ có các thiết bị thuộc dải IP từ 192.168.1.128 tới 192.168.1.191 và dải IP
từ 192.168.3.192 tới 192.168.3.254 mới có thể telnet được tới R3. Đối với lưu lượng telnet, ta nên cấu
hình ACL rồi áp trên “line vty 0 4”.
line vty 0 4
access-class 1 in
exit
Nếu PC1 có IP nằm trong dải 192.168.1.128 tới 192.168.1.191 thì sẽ telnet được tới R3. PC1 hiện nay có
IP là 192.168.1.2 nên sẽ không telnet thành công tới R3.
C:\PC1> telnet 192.168.12.2
Nếu PC1 có IP nằm trong dải 192.168.1.128 tới 192.168.1.191 thì sẽ telnet được tới R3. PC1 hiện nay có
IP là 192.168.1.128 nên sẽ telnet thành công tới R3.
C:\PC1> telnet 192.168.12.2
cho PC2 là 192.168.3.2/24 thì PC2 sẽ không thể telnet tới R3.
C:\PC2> telnet 192.168.12.2
C:\PC2> telnet 192.168.12.2
Bước 3.4. Cấu hình ACL giới hạn traffic ICMP trên Router R1.
Cấu hình ACL trên R1 sao cho các PC thuộc lớp mạng 192.168.1.0/24 chỉ có thể ping được tới các thiết bị
thuộc lớp mạng 192.168.3.0/24, các PC thuộc lớp mạng 192.168.1.0/24 không thể ping được tới địa chỉ
IP của các router.
Có nhiều cách cấu hình ACL để đạt đựợc yêu cầu đặt ra, cấu hình bên dưới chỉ là một trong nhiều cách,
bạn có thể cấu hình ACL theo cách khác.
access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny icmp 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
interface f0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
exit
Lúc này, PC1 vẫn có thể ping được tới IP 192.168.3.1 của R3 nên ta cần cấu hình bổ xung “access-list
100” như sau.
access-list 100 deny icmp 192.168.1.0 0.0.0.255 192.168.3.1 0.0.0.0
interface f0/0
ip address 192.168.1.1 255.255.255.0
exit
Để kiểm tra thông tin ACL vừa cấu hình, ta thực hiện câu lệnh “show ip access-list”.
Từ PC1 sẽ không thể ping được tới các IP 192.168.1.1 và 192.168.3.1.

C:\PC1> ping 192.168.1.1
C:\PC1> ping 192.168.3.1
Từ PC1 sẽ ping được tới các IP thuộc lớp mạng 192.168.3.0/24 ngoại trừ 192.168.1.1 và 192.168.3.1.
PC1 có thể ping được tới IP của PC2 là 192.168.3.2.
C:\PC1> ping 192.168.3.2
Từ PC1 sẽ không thể ping được tới các IP thuộc lớp mạng 192.168.12.0/24 và 192.168.23.0/24.
C:\PC1> ping 192.168.12.1
C:\PC1> ping 192.168.12.2
C:\PC1> ping 192.168.23.2
C:\PC1> ping 192.168.23.3
Bước 3.5. Cấu hình ACL giới hạn traffic ICMP trên Router R3.
Cấu hình ACL trên R3 sao cho các PC thuộc lớp mạng 192.168.3.0/24 chỉ có thể ping được tới các thiết bị
thuộc lớp mạng 192.168.1.0/24, các PC thuộc lớp mạng 192.168.3.0/24 không thể ping được tới địa chỉ
IP của các router.
interface f0/1
ip address 192.168.3.1 255.255.255.0
exit
Lúc này, PC2 vẫn có thể ping được tới IP 192.168.1.1 của R1 nên ta cần bổ xung “access-list 100” như
sau.
access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.1.1 0.0.0.0

interface f0/1
ip address 192.168.3.1 255.255.255.0
exit
Từ PC2 sẽ không thể ping được tới các IP 192.168.1.1 và 192.168.3.1.

C:\PC2> ping 192.168.1.1
C:\PC2> ping 192.168.3.1
Từ PC2 sẽ ping được tới các IP thuộc lớp mạng 192.168.1.0/24 ngoại trừ 192.168.1.1 và 192.168.3.1.
PC2 có thể ping được tới IP của PC1 là 192.168.1.2.
C:\PC2> ping 192.168.1.2
Từ PC2 sẽ không thể ping được tới các IP thuộc lớp mạng 192.168.12.0/24 và 192.168.23.0/24.
C:\PC2> ping 192.168.12.1
C:\PC2> ping 192.168.12.2
C:\PC2> ping 192.168.23.2
C:\PC2> ping 192.168.23.3
Phần 23. Hướng dẫn cấu hình chính sách bảo mật ACL chặn truy cập Facebook.
- Bước 2. Khởi tạo VLAN trên Switch Sw1.
- Bước 3. Cấu hình Trunk trên Cisco Switch.
o Bước 3.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
o Bước 3.2. Cấu hình Trunk trên Switch Sw1.
- Bước 4. Cấu hình InterVLAN trên Router R1.
o Bước 5.1. Cấu hình DHCP Server cấp IP cho VLAN2 trên Router R1.
o Bước 5.2. Cấu hình DHCP Server cấp IP cho VLAN3 trên Router R2.
- Bước 7. Cấu hình dịch vụ DHCP Server trên Router R1.
- Bước 8. Cấu hình dịch vụ DNS Server trên Router R1.
- Bước 9. Cấu hình chính sách bảo mật ACL chặn truy cập Facebook trên Router R1.

Cấu hình cơ bản trên các thiết bị (đặt IP trên các cổng giao tiếp, cấu hình cơ chế chống trôi dònh lệnh
“logging synchronous”, cấu hình bỏ qua cơ chế phân giải tên miền “no ip domain-lookup”).
“logout”.
RSTP sẽ được tìm hiểu trong những bài học sau.
Trong bài LAB này, ta nên tiến hành cấu hình tính năng “spanning-tree portfast” cho các Port từ f0/1 tới
f0/6 của Sw1.
Sw1(config)# interface range f0/1 - 4
Sw1(config-if-range)# switchport mode access
Sw1(config-if-range)# spanning-tree portfast
Use with CAUTION
%Portfast will be configured in 4 interfaces due to the range command

Sw1(config)#
hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Khởi tạo VLAN trên Switch Sw1.

Tạo VLAN 2 trên Sw1, đặt tên cho VLAN 2 là PhongKinhDoanh, gom các port f0/1 tới f0/2 vào VLAN 2.
Tạo VLAN 2 rồi gom các port từ f0/1 tới f0/2 vào VLAN 2.
vlan 2
name PhongKinhDoanh
exit
exit
Kiểm tra thông tin VLAN.

Sw1# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
Sw1#
Tạo VLAN 3 trên Sw1, đặt trên cho VLAN 3 là PhongKeToan, gom các port f0/3 tới f0/4 vào VLAN 3.
Tạo VLAN 3 rồi gom các port từ f0/4 tới f0/4 vào VLAN 3.
vlan 3
name PhongKeToan
exit
exit
Kiểm tra thông tin VLAN.
Sw1# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
3 PhongKeToan active Fa0/3, Fa0/4
Sw1#
Bước 3. Cấu hình Trunk trên Cisco Switch.

Bước 3.1. Lưu ý khi cấu hình Trunk trên Switch Layer 2 và Switch Layer 3.
Trên Sw1, cấu hình f0/5 thành đường trunk sử dụng kiểu đóng gói dot1q.
Cấu hình trunk giữa Switch Layer 2 và Switch Layer 3 có sự khác biệt, gây khó khăn cho những người lần
đầu tiên cấu hình đường trunk. Vì vậy, trước khi cấu hình đường trunk, ta cần xác định đây là Switch
Layer 2 hay là Switch Layer 3 bằng câu lệnh “show version”. Câu lệnh “show version | include IOS” sẽ
giúp ta hiển thị ngắn gọn thông tin về dòng Switch hiện tại. Để phân biệt Switch Layer 2 và Switch Layer
3, ta dựa vào dòng sản phẩm. Một số dòng Switch Layer 2 bao gồm 2950, 2960, …; còn một số dòng
Switch Layer 3 bao gồm 3550, 3560, 4500, 6500, …
SOFTWARE (fc2)
Switch#

Switch#
Cấu hình trunk trên Switch Layer 2. Mặc định, Switch Layer 2 chỉ hỗ trợ kiểu đóng gói dot1q nên ta
không cần khai báo kiểu đóng gói trunk.
interface f0/5
exit
Cấu hình trunk trên Switch Layer 3. Trên Switch Layer hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần
phải khai báo kiểu đóng gói đường trunk trước khi cấu hình câu lệnh “switchport mode trunk”.
interface f0/5
exit
Bước 3.2. Cấu hình Trunk trên Switch Sw1.

Cấu hình trunk trên f0/5 trên Sw1.
interface f0/5
exit



Fa0/5 1-4094

Fa0/5 1-3

Fa0/5 1-3
Sw1#
Bước 4. Cấu hình InterVLAN trên Router R1.

Trên R1 tạo các sub-interface rồi liên kết các sub-interface vào VLAN tương ứng.
Tạo các sub-interface trên R1.
interface f0/0
no shutdown
exit
interface f0/0.1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface f0/0.2
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
interface f0/0.3
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
Lúc này từ R1 có thể ping thành công tới Sw1.

R1# ping 192.168.1.2

Bước 5.1. Cấu hình DHCP Server cấp IP cho VLAN2 trên Router R1.
Cấu hình DHCP Server trên R1 cấp IP xuống cho các PC và thiết bị thuộc mạng VLAN 2 dải IP thuộc lớp
mạng 192.168.2.0/24.
Cấu hình DHCP cấp IP cho các PC thuộc VLAN 2.
ip dhcp pool LAN1
network 192.168.2.0 255.255.255.0
dns-server 8.8.8.8
exit
Kiểm tra quá trình xin địa chỉ IP trên PC1 thông qua chương trình “cmd”.

IPv4 Address. . . . . . . . . . . : 192.168.2.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1
C:\PC1>
Để kiểm tra xem, PC1 được cấp phát địa chỉ IP là bao nhiêu, ta có thể thực hiện câu lệnh bên dưới.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Friday, March 18, 2016 4:21:01 PM
Lease Expires . . . . . . . . . . : Saturday, March 19, 2016 4:21:01 PM
Default Gateway . . . . . . . . . : 192.168.2.1
DHCP Server . . . . . . . . . . . : 192.168.2.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC1>
Kiểm tra thông tin các IP đã cấp phát trên DHCP Server.
Hardware address/
User name
R1#
Sau khi có địa chỉ IP, PC1 có thể giao tiếp được với các thiết bị khác, ta có thể thực hiện câu lệnh ping để
kiểm tra.
C:\PC1> ping 192.168.2.1
C:\PC1> ping 192.168.3.1
C:\PC1> ping 192.168.1.1
C:\PC1> ping 192.168.1.2
Bước 5.2. Cấu hình DHCP Server cấp IP cho VLAN3 trên Router R2.
Cấu hình DHCP Server trên R1 cấp IP xuống cho các PC và thiết bị thuộc mạng VLAN 3 dải IP thuộc lớp
mạng 192.168.3.0/24.
Cấu hình DHCP cấp IP cho các PC thuộc VLAN 3.
ip dhcp pool LAN2
network 192.168.3.0 255.255.255.0
dns-server 8.8.8.8
exit
Kiểm tra quá trình xin địa chỉ IP trên PC2 thông qua chương trình “cmd”.

Link-local IPv6 Address . . . . . : fe80::dd1a:109f:6a86:3eb1%11
IPv4 Address. . . . . . . . . . . : 192.168.3.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.3.1
C:\PC2>
Để kiểm tra xem, PC được cấp phát địa chỉ IP là bao nhiêu, ta có thể thực hiện câu lệnh bên dưới.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Friday, March 18, 2016 4:25:28 PM
Lease Expires . . . . . . . . . . : Saturday, March 19, 2016 4:25:27 PM
Default Gateway . . . . . . . . . : 192.168.3.1
DHCP Server . . . . . . . . . . . : 192.168.3.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC2>
Hardware address/
User name
R1#
Để xem thống kê các địa chỉ IP đã cấp phát, ta thực hiện câu lệnh sau. Hiện nay, “Pool LAN2” chỉ mới cấp
phát 1 IP duy nhất trong tổng số 254 IP có thể cấp phát.
R1# show ip dhcp ?
binding DHCP address bindings
conflict DHCP address conflicts
database DHCP database agents
import Show Imported Parameters
pool DHCP pools information
relay Miscellaneous DHCP relay information
server Miscellaneous DHCP server information
R1# show ip dhcp pool
Pool LAN2 :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.3.1 192.168.3.1 - 192.168.3.254 1
R1#
Sau khi có địa chỉ IP, PC có thể giao tiếp được với các thiết bị khác, ta có thể thực hiện câu lệnh ping để
kiểm tra.
C:\PC2> ping 192.168.3.1
C:\PC2> ping 192.168.2.1
C:\PC2> ping 192.168.1.1
C:\PC2> ping 192.168.1.2
R1(config-if)# ip address dhcp
R1(config-if)# exit
R1(config)#
interface f0/1
ip address dhcp
no shutdown
exit
Khi f0/1 trên R1 xin được IP, ta sẽ quan sát được trên giao diện hiển thị console thông điệp tương tự
như sau. Hiện nay, cổng f0/1 trên R1 được cấp IP là 10.215.11.72 với thông tin Subnet Mask là
255.255.255.0.
R1(config)#
*Mar 18 10:10:43.451: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/1 assigned DHCP
address 10.215.11.72, mask 255.255.255.0, hostname R1
Để kiểm tra xem cổng f0/1 được cấp IP là bao nhiêu, ta có thể thực hiện câu lệnh sau.
FastEthernet0/0.1 192.168.1.1 YES manual up up
R1#
Nếu quá trình xin IP trên R1 không tự động diễn ra, ta có thể thực hiện câu lệnh sau.
R1# renew dhcp f0/1
Để kiểm tra các thông tin xin được từ DHCP Server, tại R1 ta có thể thực hiện câu lệnh sau.
R1# show dhcp lease
DHCP transaction id: 1D78
Retry count: 0 Client-ID: cisco-b414.89cb.44a9-Fa0/1
343461392D4661302F31
Hostname: R1
R1#

DHCP server: ANY (255.255.255.255)
Leases: 2
DNS0: 192.168.4.6, DNS1: 8.8.8.8
Subnet: 255.255.255.0
R1#

Logging is off
Domain lookup is enabled
Domain search list:
Lookup retries: 2
192.168.4.6
8.8.8.8
Forwarding of queries is enabled
R1#
Để R1 có thể ping được Internet, bảng định tuyến tại R1 cần phải có default route 0.0.0.0/0 trỏ tới
default-gateway vừa được cấp xuống là 10.215.11.1. Tùy theo dòng thiết bị, thông thường sau khi f0/1
trên R1 xin được IP và thông tin default-gateway, nó sẽ tự động hình thành default route 0.0.0.0/0 trỏ
tới IP của default-gateway vừa mới xin được. Một số dòng thiết bị khác thì không bổ xung default route
0.0.0.0/0 vào bảng định tuyến một cách tự động sau khi xin được IP và default-gateway mà chúng ta
phải bổ xung vào bảng định tuyến một cách thủ công.
S* 0.0.0.0/0 [254/0] via 10.215.11.1

R1#
Thiết lập default route 0.0.0.0/0 trên R1 bằng phương thức thủ công nếu route này không tự động xuất
hiện trong bảng định tuyến của R1.
Lúc này, tại R1 ta có thể ping đi Internet.

R1# ping 8.8.8.8

Cấu hình NAT Overload trên R1 đảm bảo các PC thuộc VLAN 1 và VLAN 2 có thể truy cập Internet.
Hiện nay, R1 đã có thể ping đi Internet. Tuy nhiên, các PC thuộc VLAN 2 và VLAN 3 vẫn chưa thể truy cập
được Internet. Ta cần cấu hình NAT Overload trên R1 để các PC thuộc VLAN 2 và VLAN 3 bên trong có
thể truy cập Internet. Cơ chế hoạt động của NAT sẽ được tìm hiểu trong những bài học sau.
Định nghĩa danh sách các thiết bị nào được phép truy cập Internet thông qua công nghệ NAT Overload
tại R1. Hiện nay, ta cho phép 3 lớp mạng được phép truy cập Internet là 192.168.1.0/24, 192.168.2.0/24
và 192.168.3.0/24.
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255


R1(config)# ip nat inside source list 1 interface f0/1 overload
R1(config-if)# ip nat outside
R1(config-if)# exit
R1(config)# interface f0/0.1
R1(config-subif)# ip nat inside
R1(config-subif)# exit
R1(config)#

interface f0/1
ip nat outside
exit
interface f0/0.1
ip nat inside
exit
interface f0/0.2
ip nat inside
exit
interface f0/0.3
ip nat inside
exit
Kiểm tra cấu hình NAT Overload đã họat động hay chưa, nếu tiến trình diễn ra thành công là xem như
cấu hình NAT đã diễn ra thành công.
R1# ping 8.8.8.8 source 192.168.1.1
R1# ping 8.8.8.8 source 192.168.2.1
R1# ping 8.8.8.8 source 192.168.3.1
Lúc này, các PC thuộc VLAN 2 và VLAN 3 đã có thể truy cập Internet.
C:\PC2> ping 8.8.8.8


C:\PC2>
C:\PC2> ping google.com
Pinging google.com [216.58.197.110] with 32 bytes of data:


C:\PC2>
Bước 7. Cấu hình dịch vụ DHCP Server trên Router R1.

Cấu hình R1 trở thành HTTP Server.
Cisco Router hỗ trợ cấu hình bằng giao diện đồ họa sử dụng phần mềm SDM (Security Device Manager)
hoặc CCP (Cisco Configuration Professional). Trước khi có thể truy cập Cisco Router thông qua chương
trình SDM hoặc CCP, ta cần kích hoạt dịch vụ Web Service trên R1 như sau, khai báo thông tin đăng nhập
bằng HTTP tới R1 bằng thông tin username/password là cisco/cisco.
ip http server
ip http authentication local
username cisco privilege 15 password cisco
Để biết cách cài đặt SDM, tham khảo liên kết: http://www.firewall.cx/cisco-technical-
knowledgebase/cisco-routers/255-cisco-router-sdm.html
Kiểm tra kết nối từ PC1 tới R1.
C:\PC1> ping 192.168.2.1
Lúc này, tại PC1 ta có thể thử truy cập vào R1 bằng HTTP, khai báo thông tin username đăng nhập là
cisco, password là cisco.
Giao diện Web Cisco Router 2811 trên R1 sau khi đăng nhập thành công.
Bước 8. Cấu hình dịch vụ DNS Server trên Router R1.

Cấu hình R1 trở thành DNS Server phân giải tên miền www.facebook.com thành IP 192.168.2.1 để
chuyển hướng lưu lượng của người dùng từ trang www.facebook.com sang website của R1 là
192.168.2.1.
Cấu hình dịch vụ DNS Server trên R1.
ip dns server
ip host www.facebook.com 192.168.2.1
ip host facebook.com 192.168.2.1
ip domain lookup
Lúc này, ta cần cấu hình lại DHCP để cấp lại thông tin DNS cho các PC thuộc VLAN 2 và VLAN 3 từ 8.8.8.8
thành 192.168.2.1 hoặc 192.168.3.1.
ip dhcp pool LAN1
network 192.168.2.0 255.255.255.0
no dns-server 8.8.8.8
dns-server 192.168.2.1
exit

ip dhcp pool LAN2
network 192.168.3.0 255.255.255.0
dns-server 192.168.3.1
exit
Tại PC1, kiểm tra lại thông tin DNS, ta thấy thông tin DNS Server vẫn là 8.8.8.8.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : Thursday, March 24, 2016 2:08:32 PM
Lease Expires . . . . . . . . . . : Friday, March 25, 2016 2:08:33 PM
Default Gateway . . . . . . . . . : 192.168.2.1
DHCP Server . . . . . . . . . . . : 192.168.2.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC1>
Tại PC1, ta cần phải thực hiện câu lệnh “ipconfig /release” rồi thực hiện tiếp cau lệnh “ipconfig /renew”
để cập nhật lại thông tin DNS Server nếu không muốn đợi cho đến khi PC xin gia hạn IP và cập nhật lại
thông tin DNS Server mới.

C:\PC1>

IPv4 Address. . . . . . . . . . . : 192.168.2.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1
C:\PC1>
Tại PC1, kiểm tra lại thông tin DNS Server.


DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1
DHCP Server . . . . . . . . . . . : 192.168.2.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 192.168.2.1

C:\PC1>
Xóa bộ nhớ cache DNS trên PC, thông thường khi PC phân giải một tên miền chẳng hạn như google.com
thành địa chỉ IP, nó sẽ lưu trữ tạm thời trong bộ nhớ RAM để lần sau không cần phải phân giải lại nữa.
C:\PC1> ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\PC1>
Tại PC1, khi phân giải tên miền www.facebook.com hoặc facebook.com, ta sẽ thấy 2 tên miền trên được
phân giải thành 192.168.2.1.
C:\PC1> nslookup
Default Server: www.facebook.com
Address: 192.168.2.1
> www.facebook.com
Server: www.facebook.com
Address: 192.168.2.1
Non-authoritative answer:
Name: www.facebook.com
Address: 192.168.2.1
> facebook.com
Address: 192.168.2.1
Name: facebook.com
Address: 192.168.2.1
> exit
C:\PC1>
Từ PC1, ping kiểm tra tới tên miền www.facebook.com. Đầu tiên, PC1 sẽ tiến hành liên hệ với DNS
Server 192.168.2.1 để phân giải www.facebook.com thành IP 192.168.2.1 rồi mới tiến hành ping tới địa
chỉ IP này.
C:\PC1> ping www.facebook.com
Pinging www.facebook.com [192.168.2.1] with 32 bytes of data:


C:\PC1>
Từ PC1, ping kiểm tra tới tên miền facebook.com. Đầu tiên, PC1 sẽ tiến hành liên hệ với DNS Server
192.168.2.1 để phân giải facebook.com thành IP 192.168.2.1 rồi mới tiến hành ping tới địa chỉ IP này.
C:\PC1> ping facebook.com
Pinging facebook.com [192.168.2.1] with 32 bytes of data:


C:\PC1>
Tại PC1, sử dụng Windows Internet Explorer truy cập website của R1 bằng IP.
Tại PC1, sử dụng Windows Internet Explorer truy cập www.facebook.com, kết quả hiển thị sau khi đăng
nhập là website của R1. Lúc này, tại PC1 khi truy cập www.facebook.com hoặc facebook.com, nó tự
động chuyển hướng sang website của R1.
Tuy nhiên, khi PC1 khi truy cập www.google.com và các trang web khác thì lại không được vì DNS Server
192.168.2.1 không có thông tin database liên quan tới www.google.com tương ứng với địa chỉ IP là bao
nhiêu.
C:\PC1> nslookup

Address: 192.168.2.1
> www.google.com
Address: 192.168.2.1
*** www.facebook.com can't find www.google.com: Server failed

> exit
C:\PC1>
Do vậy, tại R1 ta cần bật tính năng DNS Forwarding lên bằng câu lệnh “ip name-server 8.8.8.8”. Tức là
lúc này R1 sẽ tiến hành móc nối với DNS Server 8.8.8.8 để phân giải www.google.com thành địa chỉ IP rồi
hồi đáp lại cho các PC ở phía bên dưới.
ip dns server
ip domain lookup
ip name-server 8.8.8.8
Tại PC1, tiến hành phân giải lại tên miền www.google.com sau khi bật tính năng Forward DNS trên R1,
www.google.com được phân giải thành rất nhiều IP khác nhau vì Google có rất nhiều Web Server.
C:\PC1> nslookup

Address: 192.168.2.1
> www.google.com
Address: 192.168.2.1
DNS request timed out.
timeout was 2 seconds.
Name: www.google.com
Addresses: 113.171.243.153
113.171.243.177
113.171.243.168
113.171.243.183
113.171.243.158
113.171.243.167
113.171.243.187
113.171.243.173
113.171.243.162
113.171.243.163
113.171.243.178
113.171.243.172
113.171.243.182
113.171.243.152
113.171.243.157
113.171.243.148
> exit
C:\PC1>
Lúc này, PC1 có thể truy cập Website của Google thành công.
Tại PC1, ta có thể kiểm tra bộ nhớ cache DNS bằng câu lệnh sau.
C:\PC1> nslookup
C:\Windows\system32>ipconfig /displaydns
www.google.com
----------------------------------------
Record Name . . . . . : www.google.com
Record Type . . . . . : 1
Time To Live . . . . : 273
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 113.171.243.216

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.237

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.217

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.247

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.231

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.242
Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.246

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.227

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.236

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.221

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.212

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.251

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.241

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.226

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.232

Time To Live . . . . : 273
A (Host) Record . . . : 113.171.243.222
clients1.google.com
----------------------------------------
Record Name . . . . . : clients1.google.com
Time To Live . . . . : 218
CNAME Record . . . . : clients.l.google.com
teredo.ipv6.microsoft.com
----------------------------------------
Name does not exist.
ssl.gstatic.com
----------------------------------------
Record Name . . . . . : ssl.gstatic.com
Time To Live . . . . : 285
A (Host) Record . . . : 216.58.216.67
C:\PC1>
Thông qua ví dụ trên, ta biết được cách chuyển hướng lưu lượng từ website này (www.facebook.com)
thành website (website R1 192.168.2.1) khác bằng cách can thiệp vào database của DNS Server. Nếu
triển khai thực tế, ta nên xây dựng một DNS Server trên nền hệ điều hành Window hoặc Linux thì tốc độ
truy cập mạng Internet của các PC sẽ nhanh hơn. Không nên lấy Router làm DNS Server hoặc DNS
Forwarding.
Bước 9. Cấu hình chính sách bảo mật ACL chặn truy cập Facebook trên Router R1.
Cấu hình ACL trên R1 cấm các PC thuộc VLAN 2 truy cập www.facebook.com, VLAN 3 vẫn có thể truy cập
www.facebook.com bình thường.
Để cấm các PC thuộc VLAN 2 truy cập www.facebook.com, VLAN 3 vẫn có thể truy cập
www.facebook.com bình thường ta chỉ cần thay đổi thông tin DNS Server trên các PC thuộc VLAN 3 bằng
cách tinh chỉnh lại DHCP Pool trên R1 như sau.
ip dhcp pool LAN2
network 192.168.3.0 255.255.255.0
dns-server 8.8.8.8
exit
Tại PC2 tiến hành cập nhật lại thông tin DNS Server vừa hiệu chỉnh.
Tại PC2 kiểm tra lại địa chỉ DNS Server được cấp phát.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.3.1
DHCP Server . . . . . . . . . . . : 192.168.3.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC2>
Tại PC1 thuộc VLAN 2 (LAN 1) khi truy cập www.facebook.com sẽ hiển thị giao diện website của R1.
Tại PC2 thuộc VLAN 3 (LAN 2) khi truy cập www.facebook.com sẽ hiển thị giao diện website của
www.facebook.com.
Tuy nhiên, các PC thuộc VLAN 2 (LAN 1) vẫn có thể truy cập www.facebook.com bằng cách hiệu chỉnh
DNS Server một cách thủ công sử dụng DNS 8.8.8.8 chứ không phải 192.168.2.1. Cụ thể, tại PC1, ta sẽ
tiến hành chỉnh DNS Server thành 8.8.8.8.
Kiểm tra lại thông tin DNS Server trên PC1.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1
DHCP Server . . . . . . . . . . . : 192.168.2.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 8.8.8.8

C:\PC1>
PC1 giờ đây đã có thể truy cập được www.facebook.com.
Để cấm triệt để các PC thuộc VLAN 2 (LAN 1) không được truy cập tới www.facebook.com, ta cần phải
viết ACL tại R1 cấm các PC thuộc VLAN 2 (lớp mạng là 192.168.2.0/24) truy cập tới dịch vụ DNS Server ở
ngoài Internet, chỉ cho phép truy cập tới dịch vụ DNS Server 192.168.2.1.
access-list 100 permit udp 192.168.2.0 0.0.0.255 host 192.168.2.1 eq 53
access-list 100 deny udp 192.168.2.0 0.0.0.255 any eq 53
access-list 100 permit ip any any
interface f0/0.2
exit
Tại PC1, tiến hành xóa bộ nhớ cache DNS.

C:\PC1>
Successfully flushed the DNS Resolver Cache.
C:\PC1>
Lúc này PC1 không còn truy cập được www.facebook.com nữa vì lưu lượng phân giải tên miền tới DNS
Server 8.8.8.8 đã bị chặn bởi ACL 100 vừa cấu hình.
PC1 hiệu chỉnh lại DNS Server sử dụng xin thông tin DNS Server động.
Tại PC1, kiểm tra lại thông tin DNS Server xin được từ DHCP Server.

DHCP Enabled. . . . . . . . . . . : Yes
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.2.1
DHCP Server . . . . . . . . . . . : 192.168.2.1
DHCPv6 IAID . . . . . . . . . . . : 184549546
DNS Servers . . . . . . . . . . . : 192.168.2.1

C:\PC1>
Lúc này khi PC1 truy cập www.facebook.com sẽ tự động chuyển hướng sang website của R1.
Nếu công ty không có website nội bộ, ta có thể xây dựng database DNS phân giải tên miền
www.facebook.com thành một IP không tồn tại trên hệ thống thì cuối cùng các PC thuộc VLAN 2 (LAN 1)
cũng sẽ không thể truy cập được www.facebook.com.
ip dns server
no ip host www.facebook.com 192.168.2.1
no ip host facebook.com 192.168.2.1
ip domain lookup
ip name-server 8.8.8.8
Phần 24. Hướng dẫn cấu hình NAT Overload trên Cisco Router.
Tổng quan các bước thực hiệns:
- Bước 3. Cấu hình NAT Overload trên Cisco Router.
o Bước 3.1. Cấu hình NAT Overload trên Router R1.
o Bước 3.2. Hiệu chỉnh NAT Translation Timeout trên Router R1.
o Bước 3.3. Tấn công đánh tràn bảng MAC bằng phần mềm HyenaeFE.

hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface f0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

Cấu hình DHCP Server trên R1 cấp IP xuống cho các thiết bị.
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8
exit
Kiểm tra quá trình xin địa chỉ IP trên PC1.

Kiểm tra IP mà PC1 được cấp phát.

R1(config-if)# ip address dhcp
R1(config-if)# exit
R1(config)#
interface f0/1
ip address dhcp
no shutdown
exit
Kiểm tra IP mà cổng f0/1 được cấp.

Thực hiện câu lệnh sau nếu quá trình xin IP trên R1 không tự động diễn ra.
R1# renew dhcp f0/1
Kiểm tra các thông tin xin được từ DHCP Server.

R1# show dhcp lease
Thiết lập default route 0.0.0.0/0 trên R1.

- Để R1 có thể ping được Internet, bảng định tuyến tại R1 cần phải có default route 0.0.0.0/0 trỏ
tới default-gateway được cấp xuống bằng DHCP.

…
S* 0.0.0.0/0 [254/0] via 10.215.11.1
R1#
Bước 3. Cấu hình NAT Overload trên Cisco Router.

Bước 3.1. Cấu hình NAT Overload trên Router R1.
Cấu hình PAT trên R1 đảm bảo các PC có thể truy cập Internet.
- access-list 1 permit 192.168.1.0 0.0.0.255: Định nghĩa danh sách các thiết bị nào được phép truy
cập Internet thông qua công nghệ NAT Overload tại R1.
interface f0/1
ip nat outside
exit
interface f0/0
ip nat inside
exit
Kiểm tra cấu hình NAT Overload.

R1# ping 8.8.8.8 source 192.168.1.1
Kiểm tra bảng NAT Table, IP 192.168.1.1 bên trong hệ thống mạng nội bộ được chuyển đổi thành
10.215.14.99 rồi gửi tới IP Destination là 8.8.8.8. “:6” là định danh Port mà Router NAT tự chèn vào để
phân biệt các luồng lưu lượng ping (giao thức icmp).
icmp 10.215.14.99:6 192.168.1.1:6 8.8.8.8:6 8.8.8.8:6
R1#
Để khảo sát tiến trình NAT Overload, ta có thể tiến hành “debug ip nat”.
- Dòng “NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]” có ý nghĩa 192.168.1.1 là Source IP
được R1 hoán đổi thành IP mặt ngoài 10.215.14.99 trước khi gửi gới IP Destination 8.8.8.8.
- Dòng “NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]” có ý nghĩa là khi Server 8.8.8.8 gửi dữ
liệu về cho 10.215.14.99 tại R1, R1 sẽ hoán đổi IP 10.215.14.99 thành 192.168.1.1 rồi gửi gói tin
về cho thiết bị có IP là 192.168.1.1.
R1# debug ip nat
R1# ping 8.8.8.8 source 192.168.1.1
R1#
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [25]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [26]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [27]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [28]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
NAT: s=192.168.1.1->10.215.14.99, d=8.8.8.8 [29]
NAT*: s=8.8.8.8, d=10.215.14.99->192.168.1.1 [0]
R1#
Tắt cơ chế “debug ip nat”.

R1# undebug ip nat
Bước 3.2. Hiệu chỉnh NAT Translation Timeout trên Router R1.
Hiệu chỉnh “NAT translation timeout” trên R1.
- Mỗi dòng entry trong bảng NAT Table chỉ được lưu trữ trong một khỏang thời gian giới hạn mặc
định là 86400 giây (24 giờ) nếu thiết bị không phát sinh thêm bất kỳ lưu lượng nào.
- Static NAT thì không có thời gian “time out” như Dynamic NAT.
- Khi sử dụng “dynamic NAT” ta nên giảm giá trị “timeout value” xuống nếu các host trên hệ
thống chỉ có nhu cầu giao tiếp với nhau trong thời gian ngắn để các “NAT entries” nhanh chóng
được tái sử dụng bởi các phiên làm việc khác.
- Giá trị “NAT translation timeout” mặc định là 86400 giây và có thể hiệu chỉnh như sau.
R1(config)# ip nat translation timeout 86400
Mỗi loại lưu lượng sẽ có giá trị “NAT translation timeout” linh hoạt khác nhau chứ không phải lúc nào
cũng là mặc định 86400 giây cho tất cả các loại lưu lượng.
- Hiệu chỉnh “NAT translation timeout” cụ thể cho từng loại lưu lượng.
o Non-DNS UDP translations time out là 5 phút;
o DNS time out là 1 phút.
o TCP translations time out là 24 giờ, trừ phi cờ tín hiệu báo RST (reset phiên session) hoặc
FIN để kết thúc phiên session tương ứng với luồng lưu lượng (stream) thì sẽ có “NAT
translation timeout” là 1 phút.
ip nat translation udp-timeout <seconds>
ip nat translation dns-timeout <seconds>
ip nat translation tcp-timeout <seconds>
ip nat translation finrst-timeout <seconds>
Bước 3.3. Tấn công đánh tràn bảng MAC bằng phần mềm HyenaeFE.
Tấn công đánh tràn bảng NAT Table trên R1.
Để khảo sát, hiệu chỉnh “NAT translation timeout” thành “never” để các dòng “entry” trong bảng NAT
Table sẽ không bao giờ bị hết hạn.
R1(config)# ip nat translation timeout never
Truy cập liên kết sau để tải chương trình Hyenae: https://sourceforge.net/projects/hyenae/ hoặc
“search” google với từ khóa “hyenae packet generator download” để tải chương trình.
Tại PC1, trước khi sử dụng chương trình tấn công Hyenae, ta cần xác định địa chỉ MAC của Default
Gateway.
C:\PC1> ping 192.168.1.1
C:\PC1> arp –a
Interface: 192.168.1.3 --- 0xb

192.168.1.1 00-1f-ca-0f-61-d8 dynamic
192.168.1.2 00-21-a1-83-c9-c0 dynamic
224.0.0.22 01-00-5e-00-00-16 static
224.0.0.252 01-00-5e-00-00-fc static
239.255.255.250 01-00-5e-7f-ff-fa static
C:\PC1>
Tại PC1, ta sẽ tiến hành cài đặt chương trình Hyenae để mở liên tục hàng ngàn các session đi internet
nhằm mục đích chiếm dụng hết tất cả các socket (IP:Port) trên Router NAT.
- Ý nghĩa tùy chọn Source Pattern (%-192.168.1.%@80): Hyenae liên tục mở các phiên session với
Source MAC ngẫu nhiên, Source IP sẽ dao động từ 192.168.1.1 tới 192.168.1.254 sử dụng
Source Port là 80. Ta có thể thay thế 80 bằng ký tự “%” để Hyenae mở các phiên session với
Source Port ngẫu nhiên.
- Ý nghĩa tùy chọn Destination Pattern (00:1f:ca:0f:61:d8-%@80): Hyenae liên tục mở các phiên
session tới Destination MAC là địa chỉ MAC của Gateway 192.168.1.1 với MAC là
00:1f:ca:0f:61:d8, Destination IP thì thay đổi ngẫu nhiên vì ta đang phát sinh lưu lượng đi
Internet tới Destination Port là 80 (tương ứng với dịch vụ HTTP).
- Ý nghĩa tùy chọn Fixed send delay (ms): 1000: Hyenae gửi gói tin định kỳ cứ mỗi 1000 ms tương
ứng với 1 giây. Nếu muốn, ta có thể thiết lập tham số này nhỏ hơn, cứ mỗi giây mở 10 phiên
session thì có chỉnh Fixed send delay là 100.
Kiểm tra thông tin thống kê NAT.
- 291 dynamic tức là hiện nay đang có 291 dòng NAT entry trong bảng NAT Table.
- Peak translations: 292 là số lượng dòng NAT entry đỉnh điểm lên tới 292 dòng.
- Hits: 1617 tức là đã có 1617 phiên session chạy qua router NAT.
- Expired translations: 286 tức là đã có 286 dòng NAT entry hết hạn timeout và bị xóa khỏi bảng
NAT Table.
R1# show ip nat statistics

Total active translations: 291 (0 static, 291 dynamic; 291 extended)
Peak translations: 292, occurred 00:00:00 ago
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 1617 Misses: 0
CEF Translated packets: 1262, CEF Punted packets: 328
Expired translations: 286
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface FastEthernet0/1 refcount 291
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
R1#
Phần 25. Hướng dẫn cấu hình Static NAT trên Cisco Router.

- Bước 2. Giải lập môi trường Internet.
- Bước 3. Khởi tạo VLAN trên Switch Sw1.
- Bước 4. Cấu hình Trunk trên Switch Sw1.
- Bước 5. Cấu hình định tuyến giữa các VLAN trên Router R2.
- Bước 6. Cấu hình định tuyến tĩnh Static Router trên Cisco Router.
- Bước 7. Cấu hình NAT trên Cisco Router.
o Bước 7.1. Cấu hình NAT Overload trên Router R1.
o Bước 7.2. Cấu hình Static NAT trên Router R1.
 Bước 7.2.1. Thiết lập dịch vụ TFTP Server trên Server A.
 Bước 7.2.2. Cấu hình Static NAT trên Router R1 tiến hành Public dịch vụ TFTP
Server.
 Bước 7.2.3. Mở File cấu hình của các thiết bị bằng phần mềm WordPad.
enable
configure terminal
hostname R1
interface f0/0
ip address 27.3.20.17 255.255.255.240
no shutdown
exit
interface f0/1
ip address 192.168.12.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

enable
configure terminal
hostname R2
interface f0/0
no shutdown
exit
interface f0/1
ip address 192.168.12.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

enable
configure terminal
hostname Sw1
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Giải lập môi trường Internet.

Cấu hình giả lập “Môi trường Internet” bằng cách lên Router ISP đặt IP cho các cổng giao tiếp, tạo các
interface loopback. Router ISP sẽ cấp 2 IP Public cho khách hàng (Router 1) bằng cách yêu cầu khách
hàng thiết lập IP tĩnh là 27.3.20.17/28 trên cổng f0/0 của R1 và ISP sẽ cấp cho R1 khách hàng thêm một
IP tĩnh Public khác là 27.3.3.3 bằng cách “static route” IP 27.3.3.3 tới IP next-hop của khách hàng R1 là
27.3.20.17.
Cấu hình cơ bản trên router ISP.

enable
configure terminal
hostname ISP
interface f0/0
ip address 27.3.20.29 255.255.255.240
no shutdown
exit
interface f0/1
ip address 27.3.20.33 255.255.255.240
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
ISP cấp cho R1 khách hàng thêm một IP tĩnh Public khác là 27.3.3.3 bằng cách “static route” IP 27.3.3.3
tới IP next-hop của khách hàng R1 là 27.3.20.17.
ip route 27.3.3.3 255.255.255.255 27.3.20.17
Lưu ý: Router ISP không định tuyến về mạng của khách hàng R1 nên từ router ISP sẽ không thể ping tới
IP 192.168.2.2 của Server A.
Bước 3. Khởi tạo VLAN trên Switch Sw1.

Trên Sw1, tạo VLAN 2 và đặt tên cho VLAN là PhongServer rồi gom các port từ f0/1 tới f0/2 tham gia vào
VLAN 2, tạo VLAN 3 và đặt tên cho VLAN là NhanVien rồi gom các port từ f0/3 tới f0/6 vào VLAN 3.
vlan 2
name PhongServer
exit
vlan 3
name NhanVien
exit
exit
interface range f0/3 , f0/4 , f0/5 , f0/6
exit
Bước 4. Cấu hình Trunk trên Switch Sw1.

Trên Sw1, cấu hình cổng f0/7 thành đường trunk sử dụng kiểu đóng gói dot1q.
SOFTWARE (fc2)
Switch#

Switch#
Cấu hình trunk trên Switch.

- switchport trunk encapsulation dot1q:
o Switch Layer 3 (dòng switch 3560) hỗ trợ cả kiểu đóng gói dot1q và isl trên ta cần phải
khai báo kiểu đóng gói đường trunk.
o Switch Layer 2 không gõ được câu lệnh này, mặc định nó chỉ hỗ trợ kiểu đóng gói dot1q.
interface f0/7
exit
Kiểm tra kết nối trunk.

…
Sw1#
Bước 5. Cấu hình định tuyến giữa các VLAN trên Router R2.
Cấu hình định tuyến liên VLAN trên R2.
Trên R2, tạo các sub-interface rồi liên kết các sub-interface tương ứng với các VLAN theo sơ đồ đảm bảo
các PC có thể giao tiếp được với nhau.
- encapsulation dot1q 1 native: Trên cổng trunk f0/7 của Sw1 với VLAN 1 là Native VLAN, nên
phía bên f0/0.1 cần phải khai báo thêm từ khóa “native” để đồng nhất với Switch để tránh tình
huống Native VLAN mismatch.
interface f0/0
no shutdown
exit
interface f0/0.1
ip ađdress 192.168.1.1 255.255.255.0
exit
interface f0/0.2
ip ađdress 192.168.2.1 255.255.255.0
exit
interface f0/0.3
ip ađdress 192.168.3.1 255.255.255.0
exit
Kiểm tra thông tin các sub-interface vừa thiết lập.

R2# show vlans
Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0.1
This is configured as native Vlan for the following interface(s) :

FastEthernet0/0
Protocols Configured: Address: Received: Transmitted:

IP 192.168.1.1 1 0
…
R2#
Tắt firewall trên các PC.

- Nhấn tổ hợp phím Window + R rồi gõi firewall.cpl rồi nhấn enter.
Bước 6. Cấu hình định tuyến tĩnh Static Router trên Cisco Router.
Cấu hình định tuyến trên các Router đảm bảo mạng hội tụ
Cấu hình định tuyến “static route” trên R1 và R2 đảm bảo các thiết bị bên trong “Hệ thống mạng LAN nội
bộ” có thể giao tiếp được với nhau.
- Để các thiết bị PC bên trong hệ thống mạng nội bộ có thể truy cập được Internet, ta cần cấu
hình default-route 0.0.0.0/0 trên R1 & R2.
R1(config)#
ip route 192.168.1.0 255.255.255.0 192.168.12.2
ip route 192.168.2.0 255.255.255.0 192.168.12.2
ip route 192.168.3.0 255.255.255.0 192.168.12.2
ip route 0.0.0.0 0.0.0.0 f0/0
R2(config)#
ip route 0.0.0.0 0.0.0.0 192.168.12.1
Bước 7. Cấu hình NAT trên Cisco Router.

Bước 7.1. Cấu hình NAT Overload trên Router R1.
Cấu hình PAT trên R1 đảm bảo các thiết bị nội bộ có thể truy cập Internet.
Cấu hình PAT trên R1 đảm bảo các thiết bị thuộc lớp mạng 192.168.3.0/24 bao gồm PC1 và PC2 có thể
truy cập được Internet.
interface f0/0
ip nat outside
exit
interface f0/1
ip nat inside
exit
Tại R2 tiến hành ping đi Internet tới IP 27.3.20.46 với IP source là 192.168.3.1.
R2# ping 27.3.20.46 source 192.168.3.1
Kiểm tra bảng “NAT table”.

- Mỗi dòng entry trong bảng NAT sẽ có bộ timer, tức là sau một khoảng thời gian nhất định, các
dòng entry sẽ bị xóa khỏi bảng NAT Table nếu thiết bị bên trong hệ thống mạng nội bộ không
gửi đi bất cứ dữ liệu nào đi Internet.
- Nếu vẫn chưa thấy có dòng entry nào trong bảng “NAT table” vì các dòng entry trong bảng “NAT
table” chỉ xuất hiện khi nào có thiết bị thuộc lớp mạng 192.168.3.0/24 phát sinh lưu lượng đi
Internet.
icmp 27.3.20.17:3 192.168.3.1:3 27.3.20.46:3 27.3.20.46:3
R1#
Xóa bảng “NAT table”.

R1# clear ip nat translation *
Bước 7.2. Cấu hình Static NAT trên Router R1.

Cấu hình Static NAT public TFTP Server thông qua địa chỉ IP Public 27.3.3.3.
- Tiến hành cài dịch vụ TFTP Server trên “Server A”.
- Các thiết bị mạng nội bộ (Sw1, R1, R2) có thể copy dự phòng file cấu hình (running-config hoặc
startup-config) và hệ điều hành IOS của thiết bị lên TFTP Server.
- Trong tình huống, chúng ta muốn Public dịch vụ “TFTP Server” trên “Server A” cho các thiết bị ở
ngoài môi trường Internet có thể truy cập tới thì trên R1, ta sẽ tiến hành sử dụng địa chỉ IP
Public 27.3.3.3 để cấu hình “static nat” tới địa chỉ IP 192.168.2.2 của TFTP Server.
- Nếu Router ISP muốn copy file cấu hình (running-config hoặc startup-config) lên TFTP Server cài
trên Server A, Router ISP sẽ copy file cấu hình tới địa chỉ IP là 27.3.3.3.
Bước 7.2.1. Thiết lập dịch vụ TFTP Server trên Server A.

Cài dịch vụ TFTP Server trên “Server A”, thiết lập thư mục lưu trữ file và IP cho TFTP Server.
Copy file cấu hình running-config lên TFTP Server.

Sw1# copy running-config tftp:
Address or name of remote host []? 192.168.2.2
Destination filename [sw1-confg]? <enter>
!!
Sw1#
Bước 7.2.2. Cấu hình Static NAT trên Router R1 tiến hành Public dịch vụ TFTP Server.
Trong tình huống, chúng ta muốn Public dịch vụ “TFTP Server” trên “Server A” cho các thiết bị ở ngoài
môi trường Internet có thể truy cập tới thì trên R1, ta sẽ tiến hành sử dụng địa chỉ IP Public 27.3.3.3 để
cấu hình “static nat” tới địa chỉ IP 192.168.2.2 của TFTP Server.
R1(config)#
ip nat inside source static 192.168.2.2 27.3.3.3
Kiểm tra bảng “NAT table”.

- Các dòng entry trong “static nat” luôn xuất hiện trong bảng NAT Table.
--- 27.3.3.3 192.168.2.2 --- ---
R1#
Router ISP ta có thể ping được tới IP 27.3.3.3, khi R1 nhận được gói tin gửi tới IP này, nó sẽ chuyển đổi
thành IP 192.168.2.2 rồi gửi cho Server A.
ISP# ping 27.3.3.3
Copy file cấu hình running-config của router ISP lên TFTP Server thông qua IP 27.3.3.3.
- Lên TFTP Server để kiểm tra file cấu hình đã được copy hay chưa.
ISP# copy running-config tftp:
Address or name of remote host []? 27.3.3.3
Destination filename [isp-confg]? <enter>
!!
ISP#
Bước 7.2.3. Mở File cấu hình của các thiết bị bằng phần mềm WordPad.
Tại TFTP Server, ta có thể mở file cấu hình bằng chương trình WordPad.
Phần 26. Hướng dẫn cấu hình giao thức định tuyến động RIP trên Cisco Router.
- Bước 2. Cấu hình định tuyến động RIP trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến RIPv1 trên các Router.
o Bước 2.2. Kiểm tra các Route học được từ giao thức RIPv1 trên các Router.
o Bước 2.3. Debug quá trình quảng bác các Route bằng giao thức RIPv1 trên Router R3.
o Bước 2.4. Cấu hình định tuyến RIPv2 trên các Router.
o Bước 2.5. Kiểm tra các Route học được từ giao thức RIPv2 trên các Router.
o Bước 2.6. Debug quá trình quảng bác các Route bằng giao thức RIPv2 trên Router R3.
o Bước 2.7. Tắt cơ chế Auto Summary trên các Router chạy giao thức RIPv2.

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
exit
ip address 192.168.1.1 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
hostname R2
interface f0/0
ip address 172.16.1.2 255.255.255.0
no shutdown
exit
ip address 192.168.1.65 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R3
interface f0/0
ip address 172.16.1.3 255.255.255.0
no shutdown
exit
ip address 10.3.0.1 255.255.255.0
exit
ip address 10.3.1.1 255.255.255.0
exit
ip address 10.3.2.1 255.255.255.0
exit
ip address 10.3.3.1 255.255.255.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến động RIP trên Cisco Router.
Bước 2.1. Cấu hình định tuyến RIPv1 trên các Router.
Cấu hình định tuyến RIPv1 trên các thiết bị đảm bảo mạng hội tụ. Khảo sát cơ chế hoạt động của RIPv1.
Cấu hình RIPv1 trên R1.
router rip
version 1
network 172.16.0.0
network 192.168.1.0
exit

router rip
version 1
network 172.16.0.0
network 192.168.1.0
exit

router rip
version 1
network 172.16.0.0
network 10.0.0.0
exit
Bước 2.2. Kiểm tra các Route học được từ giao thức RIPv1 trên các Router.
Kiểm tra bảng định tuyến trên các Router.
- show ip route | include R:
o Liệt kê các “route” học được thông qua giao thức RIP.
o Các “route” học được thông qua giao thức RIP sẽ có ký tự “R” ở phía trước.
- show ip route rip: Liệt kê các route học được từ giao thức RIP
- R3 gom các mạng từ 10.3.0.0/24 tới 10.3.3.0/24 thành Major Network 10.0.0.0 rồi quảng bá đi
nên R1 & R2 chỉ học được mạng 10.0.0.0/8.
- R1 summary mạng 192.168.1.0/26 thành Major Network là 192.168.1.0 rồi quảng bá đi nên R3
sẽ học được mạng 192.168.1.0/24.
- R2 summary mạng 192.168.1.64/26 thành Major Network là 192.168.1.0 rồi quảng bá đi nên R3
sẽ học được mạng 192.168.1.0/24.
R1# show ip route | include R
R 10.0.0.0/8 [120/1] via 172.16.1.3, 00:00:24, FastEthernet0/0
R1#

…
R2#
R3# show ip route rip

…
[120/1] via 172.16.1.1, 00:00:11, FastEthernet0/0
R3#
Bước 2.3. Debug quá trình quảng bác các Route bằng giao thức RIPv1 trên Router R3.
Khảo sát cơ chế hoạt động của RIPv1 trên R3.
- debug ip rip: bật cơ chế debug gửi nhận bản tin Update giao thức RIP.
- undebug ip rip: tắt cơ chế debug gửi nhận bản tin Update giao thức RIP.
R3# debug ip rip
RIP: received v1 update from 172.16.1.1 on FastEthernet0/0 192.168.1.0 in 1 hops
RIP: received v1 update from 172.16.1.2 on FastEthernet0/0 192.168.1.0 in 1 hops
RIP: sending v1 update to 255.255.255.255 via FastEthernet0/0 (172.16.1.3)

RIP: build update entries network 10.0.0.0 metric 1
RIP: sending v1 update to 255.255.255.255 via Loopback0 (10.3.3.1)

RIP: build update entries
subnet 10.3.1.0 metric 1
network 172.16.0.0 metric 1

R3# undebug ip rip
Bước 2.4. Cấu hình định tuyến RIPv2 trên các Router.
Cấu hình định tuyến RIPv2 trên các thiết bị đảm bảo mạng hội tụ. Khảo sát cơ chế hoạt động của RIPv2..
router rip
version 2
network 172.16.0.0
network 192.168.1.0
exit

router rip
version 2
network 172.16.0.0
network 192.168.1.0
exit

router rip
version 2
network 172.16.0.0
network 10.0.0.0
exit
Bước 2.5. Kiểm tra các Route học được từ giao thức RIPv2 trên các Router.
- R3 gom các mạng từ 10.3.0.0/24 tới 10.3.3.0/24 thành Major Network 10.0.0.0/8 (cơ chế auto-
summary) rồi quảng bá đi nên R1 & R2 học được mạng 10.0.0.0/8.
- R2 thực hiện auto-summary mạng 192.168.1.64/26 thành Major Network 192.168.1.0/24 rồi
quảng bá đi nên R1 & R3 học được mạng 192.168.1.0/24.
- R1 thực hiện auto-summary mạng 192.168.1.0/26 thành Major Network 192.168.1.0/24 rồi
quảng bá đi nên R2 & R3 học được mạng 192.168.1.0/24.
R1#

R2#

…
R3#
Bước 2.6. Debug quá trình quảng bác các Route bằng giao thức RIPv2 trên Router R3.
Khảo sát cơ chế hoạt động của RIPv2 trên R3.
R3# debug ip rip

10.0.0.0/8 via 0.0.0.0, metric 1, tag 0

10.3.1.0/24 via 0.0.0.0, metric 1, tag 0
10.3.3.0/24 via 0.0.0.0, metric 1, tag 0
172.16.0.0/16 via 0.0.0.0, metric 1, tag 0
192.168.1.0/24 via 0.0.0.0, metric 2, tag 0
RIP: ignored v2 packet from 10.3.2.1 (sourced from one of our addresses)
RIP: received v2 update from 172.16.1.1 on FastEthernet0/0

192.168.1.0/24 via 0.0.0.0 in 1 hops

192.168.1.0/24 via 0.0.0.0 in 1 hops

10.3.2.0/24 via 0.0.0.0, metric 1, tag 0
10.3.3.0/24 via 0.0.0.0, metric 1, tag 0
172.16.0.0/16 via 0.0.0.0, metric 1, tag 0
192.168.1.0/24 via 0.0.0.0, metric 2, tag 0

10.0.0.0/8 via 0.0.0.0, metric 1, tag 0

10.3.1.0/24 via 0.0.0.0, metric 1, tag 0
10.3.2.0/24 via 0.0.0.0, metric 1, tag 0
172.16.0.0/16 via 0.0.0.0, metric 1, tag 0
192.168.1.0/24 via 0.0.0.0, metric 2, tag 0

10.3.1.0/24 via 0.0.0.0, metric 1, tag 0
10.3.3.0/24 via 0.0.0.0, metric 1, tag 0
172.16.0.0/16 via 0.0.0.0, metric 1, tag 0
192.168.1.0/24 via 0.0.0.0, metric 2, tag 0

192.168.1.0/24 via 0.0.0.0 in 1 hops
R3# undebug ip rip
Bước 2.7. Tắt cơ chế Auto Summary trên các Router chạy giao thức RIPv2.
Tắt cơ chế tự động summary trên các router chạy RIPv2.
- Để R3 học được các mạng chính xác từ R1 và R2, ta cần tắt cơ chế auto-summary trên R1 & R2.
- R3 vẫn còn lưu các mạng cũ 192.168.1.0/24 học được từ R1 và R2 trong vòng khoảng 240 giây,
sau khoảng thời gian này, các mạng 192.168.1.0/24 sẽ tự động xóa khỏi bảng định tuyến của R3.
…
R3#
R1#
router rip
version 2
network 172.16.0.0
network 192.168.1.0
no auto-summary
exit
R2#
router rip
version 2
network 172.16.0.0
network 192.168.1.0
no auto-summary
exit
…
R3#
Tắt cơ chế auto-summary trên R3.

- R1 và R2 chỉ học được Major Network 10.0.0.0/8 từ R3 là do R3 đã tiến hành auto-summary các
mạng từ 10.3.0.0/24 tới 10.3.3.0/24 thành Major Network 10.0.0.0/8 rồi quảng bá đi.
- Để R1 và R2 học được các mạng cụ thể từ 10.3.0.0/24 tới 10.3.3.0/24 thay vì mạng summary
10.0.0.0/8, ta cần tắt cơ chế auto-summary trên R3.
- Sau khi tắt cơ chế auto-summary trên R3, R1 và R2 đã học được các mạng cụ thể từ R3 là
10.3.0.0/24 tới 10.3.3.0/24. Major Network 10.0.0.0/8 trước đó sẽ bị xóa khỏi bảng định tuyến
sau 240 giây trên R1 và R2.
…
R1#

…
R2#
R3#
router rip
version 2
network 172.16.0.0
network 10.0.0.0
no auto-summary
exit

…
R1#

…
R2#
Kiểm tra các RIP Timer.

R1# show ip protocols
*** IP Routing is NSF aware ***
Routing Protocol is "rip"

Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Sending updates every 30 seconds, next due in 11 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Redistributing: rip
Default version control: send version 2, receive version 2
Interface Send Recv Triggered RIP Key-chain
FastEthernet0/0 2 2
Loopback1 2 2
Automatic network summarization is not in effect
Maximum path: 4
Routing for Networks:
172.16.0.0
192.168.1.0
Routing Information Sources:
Gateway Distance Last Update
172.16.1.3 120 00:00:02
172.16.1.2 120 00:00:06
Distance: (default is 120)
R1#
Lúc này, các mạng loopback giữa các router đã thông suốt, ta có thể tiến hành ping để kiểm tra.
R3# ping 192.168.1.1 source 10.3.0.1
R3# ping 192.168.1.65 source 10.3.0.1
R3# ping 192.168.1.1 source 10.3.1.1

R3# ping 192.168.1.65 source 10.3.1.1
R3# ping 192.168.1.1 source 10.3.2.1

R3# ping 192.168.1.65 source 10.3.2.1
R3# ping 192.168.1.1 source 10.3.3.1

R3# ping 192.168.1.65 source 10.3.3.1
Phần 27. Hướng dẫn cấu hình giao thức định tuyến động OSPF trên Cisco Router.
o Bước 1.3. Xác định định danh các cổng Serial trên Cisco Router.
- Bước 2. Cấu hình giao thức định tuyến động OSPF trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến OSPF trên các Router.
o Bước 2.2. Khảo sát bảng OSPF Neighbor trên các Router.
o Bước 2.3. Kiểm tra các OSPF Route học được trên các Router.
o Bước 2.4. Hiệu chỉnh Router-ID trên các Router.
o Bước 2.5. Xác định Router-ID của các Router láng giềng trong bảng OSPF Neighbor.
o Bước 2.6. Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
o Bước 2.7. Hiệu chỉnh Metric trong giao thức OSPF.
 Bước 2.7.1. Hiệu chỉnh Metric trên Router R3.

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
exit
ip address 192.168.1.1 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 172.16.1.2 255.255.255.0
no shutdown
exit
ip address 192.168.1.65 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.3. Xác định định danh các cổng Serial trên Cisco Router.
hostname R3
interface f0/0
ip address 172.16.1.3 255.255.255.0
no shutdown
exit
interface f0/1
ip address 172.16.4.3 255.255.255.248
no shutdown
exit
interface s0/2/0
ip address 172.16.3.3 255.255.255.248
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R4
interface f0/1
ip address 172.16.4.4 255.255.255.248
no shutdown
exit
interface s0/2/0
ip address 172.16.3.4 255.255.255.248
no shutdown
exit
ip address 10.4.0.1 255.255.255.0
exit
ip address 10.4.1.1 255.255.255.0
exit
ip address 10.4.2.1 255.255.255.0
exit
ip address 10.4.3.1 255.255.255.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình giao thức định tuyến động OSPF trên Cisco Router.
Bước 2.1. Cấu hình định tuyến OSPF trên các Router.
Cấu hình định tuyến OSPF trên các router đảm bảo hệ thống mạng hội tụ.
- ip ospf network point-to-point:
o Các interface loopback được OSPF Router xem như là các mạng cụt “stub host” và sẽ
được quảng bá đi với prefix-length /32 tương ứng với địa chỉ IP của Interface loopback
chứa không phải toàn bộ lớp mạng của interface loopback. Chẳng hạn thay vì R2 quảng
bá mạng 192.168.1.64/24 thì R2 lại quảng bá mạng 192.168.1.65/32.
o Ta cần hiệu chỉnh Network Type trên các Interface loopback từ Stub Host thành Point-
to-point để Router quảng bá toàn bộ lớp mạng của interface loopback chứ không phải IP
cụ thể của interface loopback.
Cấu hình định tuyến OSPF trên R1.

router ospf 1
network 172.16.1.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.63 area 0
exit

router ospf 1
network 172.16.1.0 0.0.0.255 area 0
network 192.168.1.64 0.0.0.63 area 0
exit
ip ospf network point-to-point
exit

router ospf 1
network 172.16.1.0 0.0.0.255 area 0
network 172.16.3.0 0.0.0.7 area 1
network 172.16.4.0 0.0.0.7 area 1
exit

router ospf 1
network 172.16.3.0 0.0.0.7 area 1
network 172.16.4.0 0.0.0.7 area 1
network 10.4.0.0 0.0.0.255 area 1
network 10.4.1.0 0.0.0.255 area 1
network 10.4.2.0 0.0.0.255 area 1
network 10.4.3.0 0.0.0.255 area 1
exit
exit
exit
exit
exit
Bước 2.2. Khảo sát bảng OSPF Neighbor trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên router R1.
R1# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface

172.16.4.3 1 FULL/DROTHER 00:00:30 172.16.1.3 FastEthernet0/0
192.168.1.65 1 FULL/DR 00:00:31 172.16.1.2 FastEthernet0/0
R1#

192.168.1.1 1 FULL/BDR 00:00:31 172.16.1.1 FastEthernet0/0
R2#

10.4.3.1 0 FULL/ - 00:00:37 172.16.3.4 Serial0/2/0
R3#

172.16.4.3 0 FULL/ - 00:00:37 172.16.3.3 Serial0/2/0
R4#
Bước 2.3. Kiểm tra các OSPF Route học được trên các Router.
- “O”: Các “route” học được thông qua giao thức OSPF sẽ có ký tự “O” ở phía trước.
- “IA’: Các “route” có thêm ký tự “IA” ám chỉ “route” học được từ các “area” khác, chẳng hạn như
R1 thuộc “area 0” học được các “route” từ “area 1”.
Kiểm tra bảng định tuyến trên R1.

R1# show ip route ospf
…
O IA 10.4.0.0 [110/3] via 172.16.1.3, 00:02:32, FastEthernet0/0
O IA 172.16.3.0/29 [110/65] via 172.16.1.3, 00:34:00, FastEthernet0/0
O 192.168.1.64/26 [110/2] via 172.16.1.2, 00:03:46, FastEthernet0/0
R1#

…
O 192.168.1.0/26 [110/2] via 172.16.1.1, 00:01:28, FastEthernet0/0
R2#

…
O 10.4.2.0 [110/2] via 172.16.4.4, 00:13:41, FastEthernet0/1
R3#

…
R4#
Kiểm tra kết nối giữa các interface loopback đã thông suốt hay chưa.
R4# ping 192.168.1.1 source 10.4.0.1
R4# ping 192.168.1.65 source 10.4.0.1
R4# ping 192.168.1.1 source 10.4.1.1

R4# ping 192.168.1.65 source 10.4.1.1
R4# ping 192.168.1.1 source 10.4.2.1

R4# ping 192.168.1.65 source 10.4.2.1
R4# ping 192.168.1.1 source 10.4.3.1

R4# ping 192.168.1.65 source 10.4.3.1
Bước 2.4. Hiệu chỉnh Router-ID trên các Router.

Hiệu chỉnh Router-ID trên các router như sau:
 Router-ID R1: 0.0.0.1
 Router-ID R2: 0.0.0.2
 Router-ID R3: 0.0.0.3
 Router-ID R4: 0.0.0.4
Kiểm tra và hiệu chỉnh giá trị Router-ID trên các Router.
Hiệu chỉnh Router-ID trên R1.
R1(config)# router ospf 1
R1(config-router)# router-id 0.0.0.1
% OSPF: Reload or use "clear ip ospf process" command, for this to take effect
R1(config-router)# end
R1# clear ip ospf process
Reset ALL OSPF processes? [no]: y
R1#
R1# show ip ospf interface f0/0

Internet Address 172.16.1.1/24, Area 0, Attached via Network Statement
Process ID 1, Router ID 0.0.0.1, Network Type BROADCAST, Cost: 1
…
R1#
R1# show ip ospf | include ID

Routing Process "ospf 1" with ID 0.0.0.1
R1#

R2#

…
R2#

R2#

R3#

Internet Address 172.16.1.3/24, Area 0
…
R3#

R3#

R4#

…
R4#

R4#
Bước 2.5. Xác định Router-ID của các Router láng giềng trong bảng OSPF Neighbor.
Khảo sát lại bảng “neighbor table” trên các router.
R1#

R2#

0.0.0.4 0 FULL/ - 00:00:33 172.16.3.4 Serial0/2/0
R3#

0.0.0.3 0 FULL/ - 00:00:36 172.16.3.3 Serial0/2/0
R4#
Bước 2.6. Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
Hiệu chỉnh vai trò DR và BDR trên các phân đoạn mạng.
 Trên phân đoạn mạng 172.16.1.0/24, R1 làm DR và R2 làm BDR.
 Trên phân đoạn mạng 172.16.4.0/29, R3 làm DR và R4 làm BDR.
Hiệu chỉnh vai trò DR và BDR trên phân đọan mạng 172.16.1.0/24 với R1 làm DR và R2 làm BDR.
Để hiệu chỉnh R1 làm DR, R2 làm BDR và R3 sẽ làm DROther, ta sẽ thiết lập giá trị Priority cho các router
lần lượt như sau:
- Giá trị Priority trên f0/0 của R1: 250
o Router có giá trị Priority là 0 luôn đóng vai trò là DROther vì sẽ không bao giờ tham gia
vào quá trình bầu chọn DR và BDR.
Hiệu chỉnh giá trị Priority trên R1.

R1(config-if)# ip ospf priority 250
R1(config-if)# end
R1#

Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State BDR, Priority 250
Designated Router (ID) 0.0.0.2, Interface address 172.16.1.2
Backup Designated router (ID) 0.0.0.1, Interface address 172.16.1.1
…
R1#

R2(config-if)# end
R2#

Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
…
R2#

R3(config-if)# end
R3#

Transmit Delay is 1 sec, State DROTHER, Priority 0
…
R3#
Tại một router bất kỳ (R1, R2, R3) ta có thể xác định vai trò của DR và BDR.
- DR chính là R1 có Router-ID 0.0.0.1
- BDR là R2 có Router-ID là 0.0.0.2.
Transmit Delay is 1 sec, State DROTHER, Priority 0
…
R3#
Ta cũng có thể xác định vai trò của DR và BDR bằng cách thực hiện câu lệnh “show ip ospf neighbor” trên
các router.

R1#

R2#

0.0.0.4 0 FULL/ - 00:00:39 172.16.3.4 Serial0/2/0
R3#
Hiệu chỉnh vai trò DR và BDR trên phân đọan mạng 172.16.4.0/24 với R3 làm DR và R4 làm BDR.
Để hiệu chỉnh R3 làm DR, R4 làm BDR, ta sẽ thiết lập giá trị Priority cho các router lần lượt như sau:
- Giá trị Priority trên f0/1 của R4: 1 (default)
R3(config-if)# end
R3#

…
R3#

R4(config-if)# end
R4#

…
R4#
Tại một router bất kỳ (R3, R4) ta có thể xác định vai trò của DR và BDR.
- DR chính là R3 có Router-ID 0.0.0.3.
- BDR là R4 có Router-ID là 0.0.0.4.
Transmit Delay is 1 sec, State DR, Priority 100
…
R3#
Ta cũng có thể xác định vai trò của DR và BDR bằng cách thực hiện câu lệnh “show ip ospf neighbor” trên
các router.

0.0.0.4 0 FULL/ - 00:00:34 172.16.3.4 Serial0/2/0
R3#

0.0.0.3 0 FULL/ - 00:00:35 172.16.3.3 Serial0/2/0
R4#
Bước 2.7. Hiệu chỉnh Metric trong giao thức OSPF.

Bước 2.7.1. Hiệu chỉnh Metric trên Router R3.
Hiệu chỉnh cost trên R3 đảm bảo R3 có 2 đường đi đến các mạng loopback của R4.
- Để cân bằng tải, Metric trên cả 2 hướng f0/1 và s0/2/0 từ R3 tới các mạng loopback của R4 phải
bằng nhau.
…
R3#
Kiểm tra giá trị Cost hiện tại trên cổng f0/1 của R3.
…
R3#
Chỉnh cost trên interface s0/2/0 bằng cost trên cổng f0/1.
R3(config)# interface s0/2/0
R3(config-if)# ip ospf cost 1
R3 có 2 hướng đi đến các mạng loopback của R4.

…
[110/2] via 172.16.3.4, 00:00:22, Serial0/2/0
[110/2] via 172.16.3.4, 00:00:22, Serial0/2/0
[110/2] via 172.16.3.4, 00:00:22, Serial0/2/0
[110/2] via 172.16.3.4, 00:00:22, Serial0/2/0
…
R3#

Hiệu chỉnh cost trên R4 đảm bảo R4 có 2 đường đi đến các mạng loopback của R1 và R2.
Thiết lập Metric trên cả 2 đường f0/1 và s0/2/0 từ R4 tới các mạng loopback của R1 và R2 sao bằng
nhau.
…
R4#
Kiểm tra giá trị Cost hiện tại trên cổng f0/1 của R4.
…
R4#
Chỉnh Cost trên cổng s0/2/0 của R4 bằng cost cổng f0/1.
R4(config-if)# ip ospf cost 1
Tại R4 đi đến các mạng loopback của R1 và R2 thông qua 2 hướng.

…
[110/3] via 172.16.3.3, 00:00:23, Serial0/2/0
[110/3] via 172.16.3.3, 00:00:23, Serial0/2/0
R4#
Phần 28. Hướng dẫn cấu hình giao thức định tuyến động EIGRP trên Cisco Router.

o Bước 1.3. Xác định định danh của các cổng Serial trên Cisco Router.
- Bước 2. Cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
o Bước 2.1. Cấu hình định tuyến EIGRP trên các Router.
o Bước 2.2. Kiểm trang bảng EIGRP Neighbor trên các Router.
o Bước 2.3. Kiểm tra các EIGRP Route trên các Router.
o Bước 2.4. Tắt cơ chế Auto-Summary trên các Router.
o Bước 2.5. Kiểm tra bảng định tuyến trên các Router sau khi tắt cơ chế Auto-Summary.
o Bước 2.6. Hiệu chỉnh Metric trên các Router.
 Bước 2.6.3. Xác định tỉ lệ cân bằng tải Load Balance trên Router R4.

hostname R1
interface f0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
exit
ip address 192.168.1.1 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ip address 172.16.1.2 255.255.255.0
no shutdown
exit
ip address 192.168.1.65 255.255.255.192
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.3. Xác định định danh của các cổng Serial trên Cisco Router.

hostname R3
interface f0/0
ip address 172.16.1.3 255.255.255.0
no shutdown
exit
interface f0/1
ip address 172.16.4.3 255.255.255.248
no shutdown
exit
interface s0/2/0
ip address 172.16.3.3 255.255.255.248
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R4
interface f0/1
ip address 172.16.4.4 255.255.255.248
no shutdown
exit
interface s0/2/0
ip address 172.16.3.4 255.255.255.248
no shutdown
exit
ip address 10.4.0.1 255.255.255.0
exit
ip address 10.4.1.1 255.255.255.0
exit
ip address 10.4.2.1 255.255.255.0
exit
ip address 10.4.3.1 255.255.255.0
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình giao thức định tuyến động EIGRP trên Cisco Router.
Bước 2.1. Cấu hình định tuyến EIGRP trên các Router.
Cấu hình định tuyến EIGRP trên các router đảm bảo hệ thống mạng hội tụ.
Cấu hình định tuyến EIGRP trên các Router.
Cấu hình định tuyến EIGRP trên R1.
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.63
exit
Cấu hình định tuyến EIRGP trên R2.

router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.64 0.0.0.63
exit

router eigrp 1234
network 172.16.1.0 0.0.0.255
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
exit

router eigrp 1234
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
network 10.4.0.0 0.0.0.255
network 10.4.1.0 0.0.0.255
network 10.4.2.0 0.0.0.255
network 10.4.3.0 0.0.0.255
exit
Bước 2.2. Kiểm trang bảng EIGRP Neighbor trên các Router.
Kiểm tra bảng danh sách láng giềng “neighbor table” trên các Router.
R1# show ip eigrp neighbors
IP-EIGRP neighbors for process 1234
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 172.16.1.3 Fa0/0 13 00:01:09 4 300 0 16
0 172.16.1.2 Fa0/0 12 00:01:21 817 5000 0 8
R1#

(sec) (ms) Cnt Num
1 172.16.1.3 Fa0/0 10 00:01:41 7 300 0 16
0 172.16.1.1 Fa0/0 12 00:01:52 1 300 0 7
R2#

(sec) (ms) Cnt Num
3 172.16.4.4 Fa0/1 14 00:01:15 2 200 0 13
2 172.16.3.4 Se0/2/0 12 00:01:15 4 200 0 14
1 172.16.1.1 Fa0/0 12 00:02:04 4 200 0 7
0 172.16.1.2 Fa0/0 12 00:02:04 655 3930 0 8
R3#

(sec) (ms) Cnt Num
1 172.16.4.3 Fa0/1 12 00:01:57 1 200 0 18
0 172.16.3.3 Se0/2/0 11 00:01:57 6 200 0 17
R4#
Bước 2.3. Kiểm tra các EIGRP Route trên các Router.
- D: Các “route” học được thông qua giao thức EIGRP sẽ có ký tự “D” ở phía trước.
- R1 không học được đường đi đến mạng 192.168.1.64/26 của R2 vì R2 tự động auto-summary
mạng 192.168.1.64/26 thành Major Network 192.168.1.0/24 rồi mới quảng bá qua cho R1, R1
cũng có đường đi đến mạng 192.168.1.0/24 (tương ứng với mạng 192.168.1.0/26 tại R1) là
mạng kết nối trực tiếp với R1 nên R1 sẽ không học vào mạng 192.168.1.0/24 từ R2 quảng bá tới
(mạng kết nối trực tiếp có AD = 0 ưu tiên hơn so với mạng học được từ giao thức EIGRP có AD =
90).
- R1 không học được các mạng loopback cụ thể của R4 (10.4.0.0/24, 10.4.1.0/24, 10.4.2.0/24,
10.4.3.0/24) mà lại học được mạng tổng 10.0.0.0/8 vì R4 sử dụng cơ chế auto-summary các
loopback của mình lại thành Major Network 10.0.0.0/8 rồi mới quảng bá đi.
- Bảng định tuyến của R1 xuất hiện các mạng summary chẳng hạn như 172.16.0.0/16 và
192.168.1.0/24 trỏ tới interface Null0 để mục đích là tránh loop, cơ chế này sẽ được tìm hiểu
trong khóa ROUTE của chương trình CCNP Routing & Switching.
- R3 học được 2 đường đi đến mạng 192.168.1.0/24 với lý do là R1 trước khi quảng bá mạng
192.168.1.0/26 thì đã tiến hành auto-summary thành Major Network 192.168.1.0/24 rồi mới
quảng bá đi, R2 cũng tương tự tiến hành auto-summary mạng 192.168.1.64/26 thành Major
Network 192.168.1.0/24.
R1# show ip route eigrp
D 172.16.4.0/29 [90/30720] via 172.16.1.3, 00:03:31, FastEthernet0/0
D 172.16.0.0/16 is a summary, 00:03:56, Null0
R1#

R2#

R3#

R4#
Bước 2.4. Tắt cơ chế Auto-Summary trên các Router.

Tắt cơ chế auto-summary trên các Router.
R1#
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.63
no auto-summary
exit
R2#
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 192.168.1.64 0.0.0.63
no auto-summary
exit
R3#
router eigrp 1234
network 172.16.1.0 0.0.0.255
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
no auto-summary
exit
R4#
router eigrp 1234
network 172.16.3.0 0.0.0.7
network 172.16.4.0 0.0.0.7
network 10.4.0.0 0.0.0.255
network 10.4.1.0 0.0.0.255
network 10.4.2.0 0.0.0.255
network 10.4.3.0 0.0.0.255
no auto-summary
exit
Bước 2.5. Kiểm tra bảng định tuyến trên các Router sau khi tắt cơ chế Auto-Summary.
Kiểm tra lại bảng định tuyến trên các Router.
- R1 đã học được các mạng loopback cụ thể của R2 và R4.
- R2 đã học được các mạng loopback cụ thể của R1 và R4.
- R3 đã học được các mạng loopback cụ thể của R1, R2 và R4.
- R4 đã học được các mạng loopback cụ thể của R1, R2.

D 10.4.2.0 [90/158720] via 172.16.1.3, 00:00:12, FastEthernet0/0
R1#

R2#

R3#

R4#
Bước 2.6. Hiệu chỉnh Metric trên các Router.

Hiệu chỉnh Metric trên R3 sao cho R3 có 2 đường đi đến các mạng loopback trên R4.
- Hiện tại R3 chỉ có một đường đi đến mạng các mạng loopback của R4 thông qua cổng f0/1 vì
Metric đi theo hướng f0/1 nhỏ hơn Metric nếu đi theo hướng s0/2/0. Nếu cổng f0/1 bị “down”,
đường đi qua các cổng loopback của R4 sẽ xuất hiện thông qua cổng giao tiếp s0/2/0.

R3#
Tại R3, thực hiện “shutdown” cổng f0/1, hướng đi tới các mạng loopback của R4 sẽ di chuyển theo
hướng s0/2/0.
R3(config-if)# end
D 10.4.2.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.3.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.0.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
D 10.4.1.0 [90/2297856] via 172.16.3.4, 00:00:05, Serial0/2/0
…
R3#
Tại R3, khôi phục lại cổng f0/1 bằng câu lệnh “no shutdown”, ta sẽ thấy hướng đi đến các mạng
loopback của R4 sẽ chuyển hướng lại sang f0/1.
R3(config-if)# end

…
R3#
Để hiệu chỉnh tại R3 có 2 đường đi đến các mạng loopback của R4.
- Hiệu chỉnh Metric trên 2 hướng f0/1 và s0/2/0 tại R3 bằng nhau.
- Tại R3, chỉnh Bandwidth và Delay trên 2 cổng f0/1 và s0/2/0 bằng nhau sẽ khiến cho R3 cân bằng
tải qua 2 đường tới các mạng loopback của R4.
Tại R3, kiểm tra Bandwidth và Delay trên cổng f0/1 & s0/2/0.
Hardware is MV96340 Ethernet, address is 001f.6ce0.3c69 (bia 001f.6ce0.3c69)
…
R3#
R3# show interfaces s0/2/0

Serial0/2/0 is up, line protocol is up
Hardware is GT96K Serial
…
R3#
Tại R3, hiệu chỉnh Bandwidth và Delay trên cổng s0/2/0 bằng với f0/1.
R3(config-if)# bandwidth ?
<1-10000000> Bandwidth in kilobits
inherit Specify that bandwidth is inherited
receive Specify receive-side bandwidth
R3(config-if)# bandwidth 100000

R3(config-if)# delay ?
<1-16777215> Throughput delay (tens of microseconds)
R3(config-if)# delay 10
Tại R3, kiểm tra lại Bandwidth và Delay trên cổng s0/2/0 sau khi hiệu chỉnh. Lúc này, Bandwidth và Delay
trên cổng s0/2/0 đã bằng với f0/1.
R3# show interfaces s0/2/0
…
R3#
Tại R3 xuất hiện 2 đường đi đến các mạng loopback của R4.
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
[90/156160] via 172.16.3.4, 00:02:28, Serial0/2/0
…
R3#
Ta có thể kiểm tra cơ chế cân bằng tải bằng câu lệnh “traceroute”.
R3# traceroute 10.4.0.1

Hiệu chỉnh tại R4 sao cho R4 cân bằng tải trên những đường có Metric không bằng nhau tới các interface
loopback của R1 và R2.
Hiện nay, R4 chỉ có một đường đi tới các mạng loopback của R1 192.168.1.0/26 và 192.168.1.64/26 tại
R2.
R4#
Kiểm tra topology trên R4, ta thấy có đến 2 đường đi đến các mạng loopback của R1 và R2.
- Hướng đi qua cổng f0/1 là Successor (đường chính tốt nhất) vì FD qua hướng cổng này là
158720.
- FD qua hướng cổng s0/2/0 có gía trị lớn hơn là 2300416. Hướng đi qua cổng s0/2/0 đang đóng
vai trò là Feasible Successor (đường dự phòng) vì AD của đường này là 156160 nhỏ hơn FD min là
158720.
R4# show ip eigrp topology
…
P 192.168.1.64/26, 1 successors, FD is 158720
via 172.16.4.3 (158720/156160), FastEthernet0/1
via 172.16.3.3 (2300416/156160), Serial0/2/0
P 192.168.1.0/26, 1 successors, FD is 158720
via 172.16.4.3 (158720/156160), FastEthernet0/1
via 172.16.3.3 (2300416/156160), Serial0/2/0
R4#
Nhưng khi “show” bảng định tuyến tại R4, ta chỉ thấy một đường đi đến các mạng loopback của R1 và R2
vì bảng định tuyến chỉ chứa những route gọi là tốt nhất.
R4#
Tiến hành hiệu chỉnh tham số “variance” trên R4 để cân bằng tải tới các mạng loopback của R1 và R2
trên 2 đường có Metric không bằng nhau.
- Giá trị “variance” sẽ được nhân cho FDmin, các đường dự phòng Feasible Success chỉ được cân
bằng tải khi FD của Feasbile Success nhỏ hơn giá trị “variance” nhân với FD min.
- Để xác định chỉ số “variance” cần hiệu chỉnh, ta có thể lấy FD của Feasible Successor chia cho FD
của Successor (2300416/158720=14.5 làm tròn giá trị variance thành 15).
R4(config)# router eigrp 1234

R4(config-router)# variance 15
Kiểm tra lại bảng định tuyến trên R4, cân bằng tải đã được thực hiện.
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
R4#
R4 đã xuất hiện 2 đường đi tới các mạng loopback của R1 và R2 nhưng với Metric lệnh nhau.
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
[90/2300416] via 172.16.3.3, 00:00:31, Serial0/2/0
R4#
Bước 2.6.3. Xác định tỉ lệ cân bằng tải Load Balance trên Router R4.
Để kiểm tra tỉ lệ cân bằng tải.
- Router dựa vào Metric để tính toán tỉ lệ cân bằng tải, 240/17 = 14, Metric 2300416/158720 = 14.
R4# show ip route 192.168.1.64

Routing entry for 192.168.1.64/26
Known via "eigrp 1234", distance 90, metric 158720, type internal
Redistributing via eigrp 1234
Last update from 172.16.3.3 on Serial0/2/0, 00:03:45 ago
Routing Descriptor Blocks:
* 172.16.4.3, from 172.16.4.3, 00:03:45 ago, via FastEthernet0/1
Route metric is 158720, traffic share count is 240
Total delay is 5200 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 2
172.16.3.3, from 172.16.3.3, 00:03:45 ago, via Serial0/2/0
Route metric is 2300416, traffic share count is 17
Total delay is 25100 microseconds, minimum bandwidth is 1544 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 2
R4#
Để kiểm tra hướng đi của gói tin.

Phần 29. Hướng dẫn cấu hình giao thức PPP trên Cisco Router.

o Bước 1.1. Xác định định danh các cổng Serial trên Cisco Router.
o Bước 1.2. Cấu hình cơ bản trên Router HCM.
o Bước 1.3. Cấu hình cơ bản trên Router BD.
o Bước 1.4. Kiểm tra trạng thái cổng giao tiếp Serial trên các Router.
- Bước 2. Cấu hình giao thức PPP trên cổng giao tiếp Serial trên các Cisco Router.
o Bước 2.1. Kiểm tra giao thức chạy mặc định trên các cổng Serial trên các Router.
o Bước 2.2. Kích hoạt giao thức PPP trên các cổng giao tiếp Serial trên các Router.
o Bước 2.3. Triển khai cơ chế xác thực PAP Authentication trên nền giao thức PPP.
o Bước 2.4. Triển khai cơ chế xác thực CHAP Authentication trên nền giao thức PPP.
- Bước 3. Cấu hình định tuyến tĩnh Static Route trên các Router.

Bước 1.1. Xác định định danh các cổng Serial trên Cisco Router.
Bước 1.2. Cấu hình cơ bản trên Router HCM.

Câu lệnh “clock rate 512000” dùng để chỉnh tốc độc 512kbps, câu lệnh “clock rate” chỉ thực hiện được
trên “DCE interface”.
Để kiểm tra cổng Serial là cổng DCE hay DTE, ta thực hiện câu lệnh sau:
HCM# show controllers s0/0/0 | include V.35

DTE V.35idb at 0x4860BEB8, driver data structure at 0x4860D3F4
HCM#
BD# show controllers s0/0/0 | include V.35

DCE V.35, clock rate 2000000
BD#
hostname HCM
interface s0/0/0
ip address 172.16.0.1 255.255.255.252
clock rate 512000
no shutdown
exit
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.3. Cấu hình cơ bản trên Router BD.

hostname BD
interface s0/0/0
ip address 172.16.0.2 255.255.255.252
clock rate 512000
no shutdown
exit
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.4. Kiểm tra trạng thái cổng giao tiếp Serial trên các Router.
HCM# show ip interface brief
Serial0/0/0 172.16.0.1 YES manual up up
Loopback1 192.168.1.1 YES manual up up
HCM#
BD# show ip interface brief

Serial0/0/0 172.16.0.2 YES SLARP up up
Serial0/1/0 unassigned YES unset administratively down down
Loopback1 192.168.2.1 YES manual up up
BD#
Tiến hành ping kiểm tra kết nối giữa 2 cổng Serial.
HCM# ping 172.16.0.2
Bước 2. Cấu hình giao thức PPP trên cổng giao tiếp Serial trên các Cisco Router.
Bước 2.1. Kiểm tra giao thức chạy mặc định trên các cổng Serial trên các Router.
HCM# show interfaces s0/0/0
Encapsulation HDLC, loopback not set
CRC checking enabled
Last clearing of "show interface" counters 00:11:09
Received 98 broadcasts, 0 runts, 0 giants, 0 throttles
6 input errors, 0 CRC, 0 frame, 3 overrun, 0 ignored, 3 abort
4 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=down
HCM#
BD# show interfaces s0/0/0

Encapsulation HDLC, loopback not set
DCD=up DSR=up DTR=up RTS=up CTS=up
BD#
Bước 2.2. Kích hoạt giao thức PPP trên các cổng giao tiếp Serial trên các Router.
HCM(config)# interface s0/0/0
HCM(config-if)# encapsulation ?
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
sdlc SDLC
sdlc-primary SDLC (primary)
sdlc-secondary SDLC (secondary)
smds Switched Megabit Data Service (SMDS)
stun Serial tunneling (STUN)
x25 X.25
HCM(config-if)# encapsulation ppp
BD(config)# interface s0/0/0

BD(config-if)# encapsulation ppp
Kiểm tra giao thức đang chạy trên các cổng Serial.
Encapsulation PPP, LCP Open
Open: IPCP, CDPCP, loopback not set
HCM#

BD#
Tiến hành ping kiểm tra giữa các cổng Serial.

HCM# ping 172.16.0.2
Bước 2.3. Triển khai cơ chế xác thực PAP Authentication trên nền giao thức PPP.
Cấu hình xác thực PAP trên các Router sử dụng username là cisco, password là cisco.
Cấu hình xác thực PAP trên Router HCM.
interface s0/0/0
ppp authentication pap
ppp pap sent-username cisco password cisco
exit
Cấu hình xác thực PAP trên Router BD.

interface s0/0/0
ppp authentication pap
ppp pap sent-username cisco password cisco
exit
Nếu xác thực không thành công, ta sẽ thấy cổng giao tiếp Serial rơi vào trạng thái “line protocol is
down”.
Serial0/0/0 is up, line protocol is down
Encapsulation PPP, LCP Listen, loopback not set
BD#
Nếu xác thực thành công, ta sẽ thấy cổng giao tiếp Serial rơi vào trạng thái “line protocol is up”.
HCM#

BD#
Sử dụng câu lệnh “debug ppp authentication” để quan sát tiến trình xác thực.
BD# debug ppp authentication
PPP authentication debugging is on
BD# configure terminal
BD(config-if)# shutdown
BD(config-if)#
*Apr 27 04:56:13.743: %LINK-5-CHANGED: Interface Serial0/0/0, changed state to
*Apr 27 04:56:14.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0,
BD(config-if)# no shutdown
BD(config-if)#
*Apr 27 04:56:54.635: %LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up

*Apr 27 04:56:54.635: Se0/0/0 PPP: Using default call direction
*Apr 27 04:56:54.635: Se0/0/0 PPP: Treating connection as a dedicated line
*Apr 27 04:56:54.635: Se0/0/0 PPP: Session handle[B9000186] Session id[382]
*Apr 27 04:56:54.635: Se0/0/0 PPP: Authorization required
*Apr 27 04:56:54.643: Se0/0/0 PAP: Using hostname from interface PAP
*Apr 27 04:56:54.643: Se0/0/0 PAP: Using password from interface PAP
*Apr 27 04:56:54.643: Se0/0/0 PAP: O AUTH-REQ id 17 len 16 from "cisco"
*Apr 27 04:56:54.643: Se0/0/0 PAP: I AUTH-REQ id 17 len 16 from "cisco"
*Apr 27 04:56:54.643: Se0/0/0 PAP: Authenticating peer cisco
*Apr 27 04:56:54.643: Se0/0/0 PPP: Sent PAP LOGIN Request
*Apr 27 04:56:54.643: Se0/0/0 PPP: Received LOGIN Response PASS
*Apr 27 04:56:54.647: Se0/0/0 PPP: Sent LCP AUTHOR Request
*Apr 27 04:56:54.647: Se0/0/0 PPP: Sent IPCP AUTHOR Request
*Apr 27 04:56:54.647: Se0/0/0 PAP: I AUTH-ACK id 17 len 5
*Apr 27 04:56:54.647: Se0/0/0 LCP: Received AAA AUTHOR Response PASS
*Apr 27 04:56:54.651: Se0/0/0 IPCP: Received AAA AUTHOR Response PASS
*Apr 27 04:56:54.651: Se0/0/0 PAP: O AUTH-ACK id 17 len 5
*Apr 27 04:56:54.651: Se0/0/0 PPP: Sent CDPCP AUTHOR Request
*Apr 27 04:56:54.655: Se0/0/0 CDPCP: Received AAA AUTHOR Response PASS

changed state to up
BD(config-if)#
Để gỡ bỏ cấu hình xác thực PAP trên Router HCM, ta thực hiện câu lệnh sau.
no username cisco password cisco
interface s0/0/0
no ppp authentication pap
no ppp pap sent-username cisco password cisco
exit
Để gỡ bỏ cấu hình xác thực PAP trên Router BD, ta thực hiện câu lệnh sau.
no username cisco password cisco
interface s0/0/0
no ppp authentication pap
no ppp pap sent-username cisco password cisco
exit
Bước 2.4. Triển khai cơ chế xác thực CHAP Authentication trên nền giao thức PPP.
Cấu hình xác thực CHAP trên các Router sử dụng password chung là cisco.
Cấu hình xác thực CHAP trên Router HCM.
username BD password cisco
interface s0/0/0
ppp authentication chap
exit
Cấu hình xác thực CHAP trên Router BD.

username HCM password cisco
interface s0/0/0
ppp authentication chap
exit
Để quan sát tiến trình xác thực, ta thực hiện câu lệnh “debug ppp authentication”.
BD# debug ppp authentication
PPP authentication debugging is on
BD# configure terminal
BD(config-if)# shutdown
*Apr 27 05:11:59.263: %LINK-5-CHANGED: Interface Serial0/0/0, changed state to

BD(config-if)# no shutdown
*Apr 27 05:12:28.243: %LINK-3-UPDOWN: Interface Serial0/0/0, changed state to up
*Apr 27 05:12:28.243: Se0/0/0 PPP: Using default call direction
*Apr 27 05:12:28.243: Se0/0/0 PPP: Treating connection as a dedicated line
*Apr 27 05:12:28.243: Se0/0/0 PPP: Session handle[78000187] Session id[383]
*Apr 27 05:12:28.243: Se0/0/0 PPP: Authorization required
*Apr 27 05:12:28.247: Se0/0/0 CHAP: O CHALLENGE id 1 len 23 from "BD"
*Apr 27 05:12:28.247: Se0/0/0 CHAP: I CHALLENGE id 1 len 24 from "HCM"
*Apr 27 05:12:28.251: Se0/0/0 CHAP: Using hostname from unknown source
*Apr 27 05:12:28.251: Se0/0/0 CHAP: Using password from AAA
*Apr 27 05:12:28.251: Se0/0/0 CHAP: O RESPONSE id 1 len 23 from "BD"
*Apr 27 05:12:28.251: Se0/0/0 CHAP: I RESPONSE id 1 len 24 from "HCM"
*Apr 27 05:12:28.251: Se0/0/0 PPP: Sent CHAP LOGIN Request
*Apr 27 05:12:28.255: Se0/0/0 PPP: Received LOGIN Response PASS
*Apr 27 05:12:28.255: Se0/0/0 PPP: Sent LCP AUTHOR Request
*Apr 27 05:12:28.255: Se0/0/0 CHAP: I SUCCESS id 1 len 4
*Apr 27 05:12:28.259: Se0/0/0 LCP: Received AAA AUTHOR Response PASS
*Apr 27 05:12:28.259: Se0/0/0 IPCP: Received AAA AUTHOR Response PASS
*Apr 27 05:12:28.259: Se0/0/0 CHAP: O SUCCESS id 1 len 4
*Apr 27 05:12:28.259: Se0/0/0 PPP: Sent CDPCP AUTHOR Request
*Apr 27 05:12:28.263: Se0/0/0 CDPCP: Received AAA AUTHOR Response PASS

changed state to up
BD(config-if)#
Nếu xác thực thành công, cổng giao tiếp Serial sẽ ở trạng thái “line-protocol is up”.
HCM#
BD#
Để tắt cơ chế “debug ppp authentication”, ta thực hiện câu lệnh sau.
BD# undebug ppp authentication
PPP authentication debugging is off
BD#
Bước 3. Cấu hình định tuyến tĩnh Static Route trên các Router.
Cấu hình định tuyến giữa các Router đảm bảo các mạng Loopback có thể giao tiếp được với nhau.
Để các “interface loopback” trên các Router có thể giao tiếp được với nhau, ta có thể sử dụng nhiều
phương thức định tuyến như Static Route, Dynamic Route (RIP, OSPF, EIGRP).
Cấu hình định tuyến tĩnh Static Route trên Router HCM.
ip route 192.168.2.0 255.255.255.0 172.16.0.2
Cấu hình định tuyến tĩnh Static Route trên Router BD.
ip route 192.168.1.0 255.255.255.0 172.16.0.1
Kiểm tra các mạng trên các “interface loopback” đã thông suốt với nhau hay chưa, ta thực hiện câu lệnh
sau.
HCM# ping 192.168.2.1 source 192.168.1.1
BD# ping 192.168.1.1 source 192.168.2.1

Phần 30. Hướng dẫn cấu hình quay số PPPoE trên Cisco Router.

- Bước 1. Cấu hình giả lập PPPoE Server trên Cisco Router.
- Bước 2. Cấu hình PPPoE Client trên Cisco Router.
- Bước 3. Cấu hình NAT Overload trên Interface Dialer của PPPoE Client.

Bước 1. Cấu hình giả lập PPPoE Server trên Cisco Router.
- “bba” được viết tắt từ BroadBand Aggregation.
hostname ISP
bba-group pppoe MyGroup

virtual-template 1
exit
username zonelan1 password 1357

interface virtual-template 1
ip add 114.79.40.1 255.255.255.0
peer default ip address pool MyPool
ppp authentication chap callin
ip nat inside
exit
ip local pool MyPool 114.79.40.2 114.79.40.253
interface e0/0
pppoe enable group MyGroup
exit
interface e0/1
ip address dhcp
ip nat outside
exit
ip nat inside source list 1 interface e0/1 overload

ip route 0.0.0.0 0.0.0.0 dhcp
Bước 2. Cấu hình PPPoE Client trên Cisco Router.

Cấu hình PPPoE Client.
Cấu hình PPPoE, xác thực CHAP trên CPE1 với username là zonelan1 và password là 1357.
hostname CPE1
interface dialer1
dialer pool 1
encapsulation ppp
ip address negotiated
mtu 1492
ppp chap hostname zonelan1
ppp chap password 1357
exit
interface e0/0
pppoe-client dial-pool-number 1
exit
Kiểm tra phiên kết nối PPPoE.

CPE1# show pppoe session
Cấu hình định tuyến trên CPE1.

CPE1(config)# ip route 0.0.0.0 0.0.0.0 dialer 1
Bước 3. Cấu hình NAT Overload trên Interface Dialer của PPPoE Client.
Cấu hình PAT (NAT Overload) đảm bảo hệ thống mạng nội bộ có thể truy cập được Internet.
Cấu hình DHCP Server và PAT trên Router CPE1.
interface dialer1
ip nat outside
exit
interface f0/1
ip address 172.16.1.1 255.255.255.0
ip nat inside
exit
ip nat inside source list 1 interface dialer1 overload
Phần 30. Hướng dẫn cấu hình xác thực phiên kết nối PPPoE trên Cisco Router.
- Bước 1. Giả lập PPPoE Server trên Cisco Router.
- Bước 2. Cấu hình PPPoE Client sử dụng cơ chế xác thực CHAP Authentication trên Cisco Router.
o Bước 2.1. Cấu hình PPPoE Client trên Router CPE1.
o Bước 2.2. Cấu hình PPPoE Client trên Router CPE2.
- Bước 3. Cấu hình dịch vụ DHCP Server trên các Router.
- Bước 4. Cấu hình NAT Overload trên các Router.

Bước 1. Giả lập PPPoE Server trên Cisco Router.
- “bba” được viết tắt từ BroadBand Aggregation.
enable
configure terminal
hostname ISP
bba-group pppoe MyGroup

virtual-template 1
exit

interface virtual-template 1
ip add 114.79.40.1 255.255.255.0
peer default ip address pool MyPool
ppp authentication chap callin
ip nat inside
exit
ip local pool MyPool 114.79.40.2 114.79.40.253
interface e0/0
no keepalive
no ip address
pppoe enable group MyGroup
no shutdown
exit
interface e0/1
ip address dhcp
ip nat outside
no shutdown
exit

ip route 0.0.0.0 0.0.0.0 dhcp
line vty 0 4
privilege level 15
password admin
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run
Bước 2. Cấu hình PPPoE Client sử dụng cơ chế xác thực CHAP Authentication trên Cisco Router.
Bước 2.1. Cấu hình PPPoE Client trên Router CPE1.
Cấu hình PPPoE Client.
enable
configure terminal
hostname CPE1
interface dialer1
dialer pool 1
encapsulation ppp
mtu 1492
exit
interface e0/0
no shutdown
exit
hostname CPE1
line vty 0 4
privilege level 15
no login
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run

1 client session
Uniq ID PPPoE RemMAC Port VT VA State

SID LocMAC VA-st Type
N/A 1 001f.ca0f.61d8 e0/0 Di1 Vi1 UP
58bc.2739.9a10 UP
CPE1#
Kiểm tra bảng định tuyến trên CPE1.

CPE1# show ip route
…
C 114.79.40.1 is directly connected, Dialer1
CPE1#

Bước 2.2. Cấu hình PPPoE Client trên Router CPE2.

enable
configure terminal
hostname CPE2
interface dialer1
dialer pool 1
encapsulation ppp
mtu 1492
exit
interface e0/0
no shutdown
exit
hostname CPE2
line vty 0 4
privilege level 15
no login
exec-time 0 0
exit
line console 0
logging synchronous
exec-time 0 0
exit
no cdp run

1 client session
Uniq ID PPPoE RemMAC Port VT VA State

SID LocMAC VA-st Type
N/A 2 001f.ca0f.61d8 Fa0/0 Di1 Vi1 UP
b414.89cb.d088 UP
CPE2#
Kiểm tra bảng định tuyến trên CPE1.

CPE2# show ip route
…
CPE2#

Bước 3. Cấu hình dịch vụ DHCP Server trên các Router.

Cấu hình DHCP Server trên các Router CPE cấp IP xuống cho các PC.
Cấu hình DHCP Server trên Router CPE1.
ip dhcp pool zonelan1
network 172.16.1.0 255.255.255.0
dns-server 8.8.8.8
exit
Cấu hình DHCP Server trên Router CPE2.

ip dhcp pool zonelan1
network 172.16.2.0 255.255.255.0
dns-server 8.8.8.8
exit
Bước 4. Cấu hình NAT Overload trên các Router.

Cấu hình PAT (NAT Overload) đảm bảo hệ thống mạng nội bộ có thể truy cập được Internet.
interface dialer1
ip nat outside
exit
interface e0/1
ip address 172.16.1.1 255.255.255.0
ip nat inside
no keepalive
no shutdown
exit

ip route 0.0.0.0 0.0.0.0 dhcp

interface dialer1
ip nat outside
exit
interface e0/1
ip address 172.16.2.1 255.255.255.0
ip nat inside
no keepalive
no shutdown
exit

ip route 0.0.0.0 0.0.0.0 dhcp
Phần 31. Hướng dẫn cấu hình công nghệ IP SLA giám sát các Static Route trên Cisco Router.
- Bước 2. Cấu hình định tuyến tĩnh Static Route trên các Router.
- Bước 4. Cấu hình công nghệ IP SLA để giám sát trạng thái các Static Route trên Cisco Router.
o Bước 4.1. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop
172.16.123.1 trên Router R3.
172.16.123.2 trên Router R3.
172.16.123.1 trên Router R3 thông qua IP Public.
172.16.123.2 trên Router R3 thông qua IP Public.
hostname Sw1
interface vlan 1
ip address 172.16.123.4 255.255.255.0
no shutdown
exit
no ip routing
interface range e0/0 - 3
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface e0/0
ip address dhcp
ip nat outside
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 dhcp
ip route 192.168.1.0 255.255.255.0 172.16.123.3
interface e0/1
ip address 172.16.123.1 255.255.255.0
ip nat inside
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
no cdp run

hostname R2
interface e0/0
ip address dhcp
ip nat outside
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 dhcp
ip route 192.168.1.0 255.255.255.0 172.16.123.3
interface e0/1
ip address 172.16.123.2 255.255.255.0
ip nat inside
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
no cdp run

hostname R3
interface e0/0
ip address 172.16.123.3 255.255.255.0
no shutdown
exit
interface e0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình định tuyến tĩnh Static Route trên các Router.
Cấu hình định tuyến tĩnh Static Route trên các thiết bị đảm bảo mạng hội tụ.
ip route 192.168.1.0 255.255.255.0 172.16.123.3

ip route 192.168.1.0 255.255.255.0 172.16.123.3

Cấu hình PAT (NAT Overload) trên R1 và R2 đảm bảo hệ thống mạng nội bộ có để truy cập được
Internet.
Cấu hình PAT trên R1.
interface e0/0
ip nat outside
exit
interface e0/1
ip nat inside
exit
Cấu hình PAT trên R2.

interface e0/0
ip nat outside
exit
interface e0/1
ip nat inside
exit
Bước 4. Cấu hình công nghệ IP SLA để giám sát trạng thái các Static Route trên Cisco Router.
Bước 4.1. Cấu hình công nghệ IP SLA giám sát Default Route hướng tới Next-Hop 172.16.123.1 trên
Router R3.
Cấu hình IP SLA tại R3 tiến hành track default route trỏ tới ip next-hop 172.16.123.1, track bằng cách
ping định kỳ tới địa chỉ 172.16.123.1.
Tại R3 cấu hình 2 default route đi Internet, một qua R1 và một qua R2; lưu lượng đi Internet sẽ cân bằng
tải qua 2 đường. Tuy nhiên, nếu R1 bị down hoặc cổng e0/1 trên R1 bị down thì 50% lưu lượng di
chuyển qua hướng R1 sẽ bị mất kết nối. Tương tự, nếu R2 bị down hoặc cổng e0/1 trên R1 bị down thì
50% lưu lượng di chuyển qua hướng R2 cũng sẽ bị mất kết nối. Vì thế ta cần cấu hình IP SLA tại R3 tiến
hành track các default route trỏ tới ip next-hop của R1 và R2.
ip route 0.0.0.0 0.0.0.0 172.16.123.1
ip route 0.0.0.0 0.0.0.0 172.16.123.2
Cấu hình IP SLA trên R3.

- frequency 3: ping định kỳ 3 giây một lần tới địa chỉ 172.16.123.1
- timeout 2000: kể từ lúc gửi gói tin ping icmp-echo, sau 2 giây mà không nhận được hồi đáp
icmp-reply thì được tính là một lần ping thất bại
- threshold 2: nếu 2 lần ping thất bại thì tiến trình track sẽ rơi vào trạng thái down
ip sla 3
icmp-echo 172.16.123.1
threshold 2
timeout 2000
frequency 3
exit
ip sla schedule 3 life forever start-time now
track 1 ip sla 3 reachability
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 1

…
S* 0.0.0.0/0 [1/0] via 172.16.123.1

R3#
Kiểm tra trạng thái track trên R3.

R3# show track
Track 1
IP SLA 3 reachability
Reachability is Up
1 change, last change 00:08:43
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
R3#
Để khảo sát tiến trình track, ta tiến hành shutdown cổng e0/1 trên R1. Lúc này, quá trình ping từ R3 tới
địa chỉ IP 172.16.123.1 của R1 sẽ thất bại khiến cho tiến trình track thất bại sau 4 giây. Thông tin default
route trong bảng định tuyến của R3 lập tức bị xóa.
R1(config)# interface e0/1
R1(config-if)# exit
Sau 4 giây, thông điệp sau xuất hiện tại R3.

*Jul 19 01:39:12.930: %TRACKING-5-STATE: 1 ip sla 3 reachability Up->Down
Kiểm tra trạng thái track tại R3.

R3# show track
Track 1
Reachability is Down
2 changes, last change 00:02:41
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
R3#
Thông tin default route tại R3 đã bị xóa.

…
R3#
Nếu trạng thái cổng e0/1 trên R1 khôi phục trở lại, quá trình ping từ R3 tới IP 172.16.123.1 của R1 diễn
ra thành công dẫn đến tiến trình track tại R3 cũng thành công khiến cho thông tin default route sẽ xuất
hiện trở lại trong bảng định tuyến của R3.
R1(config-if)# exit
Sau khi bật trạng thái cổng e0/1 trên R1, thông điệp sau xuất hiện tại R3.
*Jul 19 01:45:43.055: %TRACKING-5-STATE: 1 ip sla 3 reachability Down->Up
Kiểm tra trạng thái track và thông tin default route tại R3.
R3# show track
Track 1
Reachability is Up
Tracked by:
STATIC-IP-ROUTING 0
R3#

…
S* 0.0.0.0/0 [1/0] via 172.16.123.1

R3#
Router R3.
ping định kỳ tới địa chỉ 172.16.123.2.
ip sla 2
icmp-echo 172.16.123.2
threshold 2
timeout 2000
frequency 3
exit
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 2
Router R3 thông qua IP Public.
ping định kỳ tới website www.vnexpress.net.
Xác định địa chỉ IP của website www.vnexpress.net trước khi cấu hình track.
R3(config)# ip domain-lookup
R3(config)# ip name-server 8.8.8.8
R3(config)# end
R3# ping www.vnexpress.net
Translating "www.vnexpress.net"...domain server (8.8.8.8) [OK]
!!!!!
R3#
Vì tiến trình track default route trỏ tới ip next-hop 172.16.123.1 nên ta cần cấu hình định tuyến tại
R3 chuyển hướng lưu lượng tới www.vnexpress.net thông qua hướng R1 như sau.
ip route 111.65.248.132 255.255.255.255 172.16.123.1
ip sla 1
icmp-echo www.vnexpress.net
threshold 2
timeout 2000
frequency 3
exit
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 3
Kiểm tra thông tin định tuyến trong file cấu hình. Ta phát hiện câu lệnh “ip route 0.0.0.0 0.0.0.0
172.16.123.1 track 3” đã đè chồng lên câu lệnh “ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 1”.
R3# show running-config | include ip route
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 2
ip route 0.0.0.0 0.0.0.0 172.16.123.1 track 3
ip route 111.65.248.132 255.255.255.255 172.16.123.1
R3#
Kiểm tra trạng thái track và bảng định tuyến trên R3.
R3# show track
Track 1
Reachability is Up
Track 2
Reachability is Up
Tracked by:
STATIC-IP-ROUTING 0
Track 3
Reachability is Up
Tracked by:
STATIC-IP-ROUTING 0
R3#

…
S* 0.0.0.0/0 [1/0] via 172.16.123.2

[1/0] via 172.16.123.1
S 111.65.248.132 [1/0] via 172.16.123.1
R3#
Router R3 thông qua IP Public.
ping định kỳ tới website www.fptshop.com.vn.
Xác định địa chỉ IP của website www.fptshop.com.vn trước khi cấu hình track.
R3# ping www.fptshop.com.vn
Translating "www.fptshop.com.vn"...domain server (8.8.8.8) [OK]
!!!!!
R3#
Vì tiến trình track default route trỏ tới ip next-hop 172.16.123.1 nên ta cần cấu hình định tuyến tại
R3 chuyển hướng lưu lượng tới www.fptshop.com.vn thông qua hướng R2 như sau.
ip route 103.56.156.78 255.255.255.255 172.16.123.2
ip sla 4
icmp-echo www.fptshop.com.vn
threshold 2
timeout 2000
frequency 3
exit
exit
ip route 0.0.0.0 0.0.0.0 172.16.123.2 track 4
Phần 32. Hướng dẫn cấu hình công nghệ GRE VPN trên Cisco Router.

o Bước 1.1. Cấu hình cơ bản trên Router HCM.
o Bước 1.2. Cấu hình cơ bản trên Router BD.
o Bước 1.3. Cấu hình giả lập ISP Router.
- Bước 2. Cấu hình dịch vụ DHCP Server trên các Router.
- Bước 3. Cấu hình Default Route trên các Router.
- Bước 5. Cấu hình kỹ thuật GRE VPN trên các Router.

Bước 1.1. Cấu hình cơ bản trên Router HCM.
hostname HCM
interface e0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface e0/1
ip address 27.3.20.17 255.255.255.240
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.2. Cấu hình cơ bản trên Router BD.

hostname BD
interface e0/0
ip address 192.168.2.1 255.255.255.0
no shutdown
exit
interface e0/1
ip address 27.3.20.46 255.255.255.240
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.3. Cấu hình giả lập ISP Router.

Router phía nhà cung cấp dịch vụ ISP không bao giờ định tuyến tới mạng của khách hàng (tương ứng với
lớp mạng 192.168.1.0/24 và 192.168.2.0/24). Phía Router ISP chỉ cần cấu hình các tham số cơ bản sau.
hostname ISP
interface e0/0
ip address 27.3.20.29 255.255.255.240
no shutdown
exit
interface e0/1
ip address 27.3.20.33 255.255.255.240
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 2. Cấu hình dịch vụ DHCP Server trên các Router.

Cấu hình DHCP Server trên Router HCM cấp IP xuống cho các PC thuộc phân đoạn mạng 192.168.1.0/24.
ip dhcp pool Lan.192.168.1.0
network 192.168.1.0 255.255.255.0
exit
Cấu hình DHCP Server trên Router BD cấp IP xuống cho các PC thuộc phân đoạn mạng 192.168.2.0/24.
ip dhcp pool Lan.192.168.2.0
network 192.168.2.0 255.255.255.0
exit
Bước 3. Cấu hình Default Route trên các Router.

Cấu hình default route trên Router HCM và BD trỏ về Router ISP đảm bảo 2 IP 27.3.20.17 và 27.3.20.46
có thể ping lẫn nhau.
Cấu hình default route trên Router HCM.
ip route 0.0.0.0 0.0.0.0 27.3.20.29
Cấu hình default route trên Router BD.

ip route 0.0.0.0 0.0.0.0 27.3.20.33
Yêu cầu 5.a: Cấu hình PAT trên Router HCM đảm bảo các PC thuộc lớp mạng 192.168.1.0/24 có thể ping
được tới các IP của Router ISP.
interface e0/0
ip nat inside
exit
interface e0/1
ip nat outside
exit
HCM# ping 27.3.20.33 source 192.168.1.1

HCM# ping 27.3.20.29 source 192.168.1.1

Cấu hình PAT trên Router BD (Bình Dương) đảm bảo các PC thuộc lớp mạng 192.168.2.0/24 có thể ping
được tới các IP của Router ISP.
interface e0/0
ip nat inside
exit
interface e0/1
ip nat outside
exit
BD# ping 27.3.20.33 source 192.168.2.1

BD# ping 27.3.20.29 source 192.168.2.1

Cấu hình GRE VPN trên Router HCM và BD sao cho các lớp mạng 192.168.1.0/24 và 192.168.2.0/24 có
thể ping được thấy nhau.
Cấu hình GRE VPN trên Router HCM.
interface tunnel 12
ip address 192.168.12.1 255.255.255.0
tunnel source e0/1
tunnel destination 27.3.20.46
no shutdown
exit
Cấu hình GRE VPN trên Router BD.

interface tunnel 21
ip address 192.168.12.2 255.255.255.0
tunnel source e0/1
tunnel destination 27.3.20.17
no shutdown
exit
Kiểm tra kết nối GRE VPN đã thiết lập thành công hay chưa.
HCM# show interface tunnel 12
BD# show interface tunnel 21
HCM# ping 192.168.12.2
Để hệ thống mạng LAN 192.168.1.0/24 có thể giao tiếp với các thiết bị thuộc hệ thống mạng LAN
192.168.2.0/24 ta cần cấu hình định tuyến trên các Router HCM và BD như sau.
HCM(config)# ip route 192.168.2.0 255.255.255.0 192.168.12.2
BD(config)# ip route 192.168.1.0 255.255.255.0 192.168.12.1
Hoặc cũng có thể cấu hình giao thức định tuyến động EIGRP trên đường GRE VPN bằng cách sau.
hostname HCM
no ip route 192.168.2.0 255.255.255.0 192.168.12.2
router eigrp 12
network 192.168.1.1 0.0.0.0
network 192.168.12.1 0.0.0.0
exit
hostname BD
no ip route 192.168.1.0 255.255.255.0 192.168.12.1
router eigrp 12
network 192.168.2.1 0.0.0.0
network 192.168.12.2 0.0.0.0
exit
HCM# show ip eigrp neighbor

HCM# show ip route eigrp
Phần 33. Hướng dẫn cấu hình định tuyến Static Route và Dynamic Route trên hạ tầng IPv6 trên Cisco
Router.

o Bước 1.4. Kiểm tra trạng thái cổng giao tiếp trên các Router.
- Bước 2. Cấu hình định tuyến trên hạ tầng mạng IPv6.
o Bước 2.1. Cấu hình định tuyến tĩnh Static Route trên hạ tầng mạng IPv6.
 Bước 2.1.1. Cấu hình định tuyến IPv6 Static Route trên các Router.
 Bước 2.1.2. Kiểm tra các IPv6 Static Route trên các Router.
 Bước 2.1.3. Gỡ bỏ các IPv6 Static Route trên các Router.
o Bước 2.2. Cấu hình định tuyến động RIPng trên hạ tầng mạng IPv6.
 Bước 2.2.1. Cấu hình định tuyến RIPng trên các Router.
 Bước 2.2.2. Kiểm tra các IPv6 RIPng Route trên các Router.
 Bước 2.2.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng
bá RIPng Route trên các Router.
 Bước 2.2.4. Gỡ bỏ giao thức IPv6 RIPng trên các Router.
o Bước 2.3. Cấu hình định tuyến động OSPFv3 trên hạ tầng mạng IPv6.
 Bước 2.3.1. Cấu hình định tuyến OSPFv3 trên các Router.
 Bước 2.3.2. Kiểm tra bảng OSPFv3 Neighbor trên các Router.
 Bước 2.3.3. Kiểm tra các IPv6 OSPFv3 Route trên các Router.
 Bước 2.3.4. Gỡ bỏ giao thức IPv6 OSPFv3 trên các Router.
o Bước 2.4. Cấu hình định tuyến động EIGRP trên hạ tầng mạng IPv6.
 Bước 2.4.1. Cấu hình định tuyến IPv6 EIGRP trên các Router.
 Bước 2.4.2. Kiểm tra bảng IPv6 EIGRP Neighbor trên các Router.
 Bước 2.4.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng
bá IPv6 EIGRP Route trên các Router.
 Bước 2.4.4. Kiểm tra các IPv6 EIGRP Route trên các Router.
 Bước 2.4.5. Gỡ bỏ giao thức IPv6 EIGRP trên các Router.

hostname R1
ipv6 unicast-routing
interface f0/0
ipv6 enable
ipv6 address 2001:1::1/64
no shutdown
exit
interface f0/1
ipv6 enable
ipv6 address 2001:12::1/64
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R2
interface f0/0
ipv6 enable
ipv6 address 2001:12::2/64
no shutdown
exit
interface f0/1
ipv6 enable
ipv6 address 2001:23::2/64
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R3
interface f0/0
ipv6 enable
ipv6 address 2001:23::3/64
no shutdown
exit
interface f0/1
ipv6 enable
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 1.4. Kiểm tra trạng thái cổng giao tiếp trên các Router.
R1# show ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::F225:72FF:FE0F:E648
2001:1::1
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#

FE80::21F:CAFF:FE0F:61D8
2001:12::2
2001:23::2
R2#

FE80::B614:89FF:FECB:44A8
2001:23::3
2001:3::1
R3#
Tại R2, ping kiểm tra tới các router láng giềng (R1 và R3).
R2# ping 2001:12::1
R2# ping 2001:23::3
Tại R2, telnet tới các router láng giềng (R1 và R3).
R2# telnet 2001:12::1
R2# telnet 2001:23::3
Bước 2. Cấu hình định tuyến trên hạ tầng mạng IPv6.

Bước 2.1. Cấu hình định tuyến tĩnh Static Route trên hạ tầng mạng IPv6.
Bước 2.1.1. Cấu hình định tuyến IPv6 Static Route trên các Router.
Cấu hình định tuyến “static route” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể
giao tiếp được với nhau.
Cấu hình “static route IPv6” trên các Router.
Cấu hình “static route IPv6” trên R1.
ipv6 route 2001:23::/64 2001:12::2
ipv6 route 2001:3::/64 2001:12::2

ipv6 route 2001:1::/64 2001:12::1
ipv6 route 2001:3::/64 2001:23::3

ipv6 route 2001:1::/64 2001:23::2
ipv6 route 2001:12::/64 2001:23::2
Bước 2.1.2. Kiểm tra các IPv6 Static Route trên các Router.
R1# show ipv6 route static
…
S 2001:3::/64 [1/0]
via 2001:12::2
S 2001:23::/64 [1/0]
via 2001:12::2
R1#

…
S 2001:1::/64 [1/0]
via 2001:12::1
S 2001:3::/64 [1/0]
via 2001:23::3
R2#

…
S 2001:1::/64 [1/0]
via 2001:23::2
S 2001:12::/64 [1/0]
via 2001:23::2
R3#
Kiểm tra các mạng đã thông suốt hay chưa.
R1# ping 2001:23::3 source 2001:12::1
R1# ping 2001:3::1 source 2001:1::1
R3# ping 2001:12::1 source 2001:23::3

R3# ping 2001:1::1 source 2001:3::1
C:\PC1> ping 2001:3::1

C:\PC1> ping 2001:3::2
C:\PC2> ping 2001:1::1

C:\PC2> ping 2001:1::2
Bước 2.1.3. Gỡ bỏ các IPv6 Static Route trên các Router.

Gỡ bỏ cấu hình “static route IPv6” trên các Router.
Gỡ bỏ cấu hình “static route IPv6” trên R1.
no ipv6 route 2001:23::/64 2001:12::2
no ipv6 route 2001:3::/64 2001:12::2

no ipv6 route 2001:1::/64 2001:12::1
no ipv6 route 2001:3::/64 2001:23::3

no ipv6 route 2001:1::/64 2001:23::2
no ipv6 route 2001:12::/64 2001:23::2
Bước 2.2. Cấu hình định tuyến động RIPng trên hạ tầng mạng IPv6.
Bước 2.2.1. Cấu hình định tuyến RIPng trên các Router.
Cấu hình định tuyến “RIPng” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao tiếp
Cấu hình “RIPng” trên các Router.
Cấu hình “RIPng” trên R1.
ipv6 router rip tag1
exit
interface f0/0
ipv6 rip tag1 enable
exit
interface f0/1
exit

exit
interface f0/0
exit
interface f0/1
exit

exit
interface f0/0
exit
interface f0/1
exit
Bước 2.2.2. Kiểm tra các IPv6 RIPng Route trên các Router.
FE80::21F:CAFF:FE0F:61D8 là địa chỉ Link-local trên cổng f0/0 của R2.
R1# show ipv6 route rip
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
…
R 2001:3::/64 [120/3]
via FE80::21F:CAFF:FE0F:61D8, FastEthernet0/1
R 2001:23::/64 [120/2]
R1#
Bước 2.2.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng bá RIPng Route trên các
Router.
Kiểm tra địa chỉ Link-local trên cổng f0/0 của R2. Địa chỉ Link-local được tự động phát sinh trên Router
khi bật IPv6 trên cổng tương ứng với câu lệnh “ipv6 enable” cấu hình ở chế độ cổng giao tiếp.
2001:12::2
2001:23::2
R2#
FE80::F225:72FF:FE0F:E649 là địa chỉ Link-local trên cổng f0/1 của R1. IP FE80::B614:89FF:FECB:44A8 là
địa chỉ Link-local trên cổng f0/0 của R3.
…
R 2001:1::/64 [120/2]
via FE80::F225:72FF:FE0F:E649, FastEthernet0/0
R 2001:3::/64 [120/2]
via FE80::B614:89FF:FECB:44A8, FastEthernet0/1
R2#
Xác định địa chỉ Link-local trên cổng f0/1 của R1.
FE80::F225:72FF:FE0F:E648
2001:1::1
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
FE80::F225:72FF:FE0F:E648
2001:1::1
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#

2001:23::3
2001:3::1
R3#

…
R 2001:1::/64 [120/3]
R 2001:12::/64 [120/2]
R3#
2001:12::2
2001:23::2
R2#
Bước 2.2.4. Gỡ bỏ giao thức IPv6 RIPng trên các Router.

Gỡ bỏ cấu hình “RIPng” trên các Router.
R1(config)# no ipv6 router rip tag1
Bước 2.3. Cấu hình định tuyến động OSPFv3 trên hạ tầng mạng IPv6.
Bước 2.3.1. Cấu hình định tuyến OSPFv3 trên các Router.
Cấu hình định tuyến “OSPFv3” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao
tiếp được với nhau.
Cấu hình “OSPFv3” trên các Router.
Cấu hình “OSPFv3” trên R1.
ipv6 router ospf 1
router-id 0.0.0.1
exit
interface f0/0
ipv6 ospf 1 area 0
exit
interface f0/1
ipv6 ospf 1 area 0
exit

ipv6 router ospf 1
router-id 0.0.0.2
exit
interface f0/0
ipv6 ospf 1 area 0
exit
interface f0/1
ipv6 ospf 1 area 0
exit

ipv6 router ospf 1
router-id 0.0.0.3
exit
interface f0/0
ipv6 ospf 1 area 0
exit
interface f0/1
ipv6 ospf 1 area 0
exit
Bước 2.3.2. Kiểm tra bảng OSPFv3 Neighbor trên các Router.
Kiểm tra bảng “neighbor table” trên các Router.
R1# show ipv6 ospf neighbor
Neighbor ID Pri State Dead Time Interface ID Interface

0.0.0.2 1 FULL/BDR 00:00:39 3 FastEthernet0/1
R1#

0.0.0.3 1 FULL/DR 00:00:35 3 FastEthernet0/1
0.0.0.1 1 FULL/DR 00:00:34 4 FastEthernet0/0
R2#

R3#
Bước 2.3.3. Kiểm tra các IPv6 OSPFv3 Route trên các Router.
R1# show ipv6 route ospf
…
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
O 2001:3::/64 [110/3]
O 2001:23::/64 [110/2]
R1#

…
O 2001:1::/64 [110/2]
O 2001:3::/64 [110/2]
R2#

…
O 2001:1::/64 [110/3]
O 2001:12::/64 [110/2]
R3#
Bước 2.3.4. Gỡ bỏ giao thức IPv6 OSPFv3 trên các Router.

Gỡ bỏ cấu hình “OSPFv3” trên các Router.
R1(config)# no ipv6 router ospf 1
Bước 2.4. Cấu hình định tuyến động EIGRP trên hạ tầng mạng IPv6.
Bước 2.4.1. Cấu hình định tuyến IPv6 EIGRP trên các Router.
Cấu hình định tuyến “EIGRP” trên các Router đảm bảo hệ thống mạng hội tụ, các thiết bị có thể giao tiếp
Cấu hình “EIGRP” trên các Router.
Cấu hình “EIGRP” sử dụng AS 1 trên R1.
ipv6 router eigrp 1
eigrp router-id 0.0.0.1
no shutdown
exit
interface f0/0
ipv6 eigrp 1
exit
interface f0/1
ipv6 eigrp 1
exit
Cấu hình “EIGRP” AS 1 trên R2.

ipv6 router eigrp 1
no shutdown
exit
interface f0/0
ipv6 eigrp 1
exit
interface f0/1
ipv6 eigrp 1
exit
Cấu hình “EIGRP” AS 1 trên R3.

ipv6 router eigrp 1
no shutdown
exit
interface f0/0
ipv6 eigrp 1
exit
interface f0/1
ipv6 eigrp 1
exit
Bước 2.4.2. Kiểm tra bảng IPv6 EIGRP Neighbor trên các Router.
Kiểm tra bảng “neighbor table” trên các Router.
R1# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(1)
(sec) (ms) Cnt Num
0 Link-local address: Fa0/1 13 00:00:19 5 200 0 7
R1#
Bước 2.4.3. Xác định địa chỉ Link Local được sử dụng trong suốt quá trình quảng bá IPv6 EIGRP Route
trên các Router.
2001:12::2
2001:23::2
R2#
FE80::F225:72FF:FE0F:E649 là địa chỉ Link-local trên cổng f0/1 của R1. IP FE80::B614:89FF:FECB:44A8 là
địa chir Link-local trên cổng f0/0 của R3.
R2# show ipv6 eigrp neighbor
EIGRP-IPv6 Neighbors for AS(1)
(sec) (ms) Cnt Num
FE80::F225:72FF:FE0F:E649
R2#
FE80::F225:72FF:FE0F:E648
2001:1::1
FE80::F225:72FF:FE0F:E649
2001:12::1
R1#
2001:23::3
2001:3::1
R3#
Kiểm tra bảng “neighbor table”.

R3#
Bước 2.4.4. Kiểm tra các IPv6 EIGRP Route trên các Router.
R1# show ipv6 route eigrp
…
D - EIGRP, EX - EIGRP external, NM - NEMO, ND - Neighbor Discovery
…
D 2001:3::/64 [90/33280]
D 2001:23::/64 [90/30720]
R1#

…
D 2001:1::/64 [90/30720]
D 2001:3::/64 [90/30720]
R2#

…
D 2001:1::/64 [90/33280]
D 2001:12::/64 [90/30720]
R3#
Bước 2.4.5. Gỡ bỏ giao thức IPv6 EIGRP trên các Router.

Gỡ bỏ cấu hình “EIGRP” trên các Router.
R1(config)# no ipv6 router eigrp 1
Phần 34. Hướng dẫn cấu hình dịch vụ DHCPv6 Server trên Cisco Router.
- Bước 1. Tìm hiểu tổng quan về giải pháp cấp địa chỉ IP tự động DHCPv6 Server trên hạ tầng IPv6.
- Bước 3. Cấu hình dịch vụ DHCPv6 Service trên hạ tầng IPv6.
o Bước 3.1. Cấu hình dịch vụ Stateless DHCPv6 trên Router R1.
o Bước 3.2. Cấu hình dịch vụ Statefull DHCPv6 trên Router R1.

Bước 1. Tìm hiểu tổng quan về giải pháp cấp địa chỉ IP tự động DHCPv6 Server trên hạ tầng IPv6.
DHCP trên môi trường IPv6 có 2 loại:
- Stateful DHCP: Địa chỉ được quản lý tập trung, DHCP Client không cần phải sử dụng đến giao
thức Autoconfiguration Address hoặc Neighbor Discovery để hình thành IP một cách tự động.
DHCPv6 có cơ chế hoạt động tương tự như DHCPv4 ngoại trừ các thao tác sau
o DHCP Client cần xác định xem có sự tồn tại của Router trên phân đoạn mạng link.
o Nếu Router có trên phân đoạn mạng, DHCP Client sẽ phân tích các gói tin Router
Advertisement mà Router định kỳ gửi trên các interface.
o Nếu DHCP Client phát hiện có Router tồn tại trên phân đoạn mạng, DHCP Client sẽ tiến
hành gửi đi thông điệp xin cấp phát IP là DHCP Solicit tới địa chỉ All-DHCP-Agents
Multicast Address.
- Stateless DHCP: Sử dụng giaothức Autoconfiguration Address hoặc Neighbor Discovery để hình
thành IP một cách tự động.
hostname Sw1
interface vlan 1
ipv6 enable
no shutdown
exit
no ip routing
interface range e0/0 - 3
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup

hostname R1
interface e0/0
ipv6 enable
no shutdown
exit
interface e0/1
ipv6 enable
no shutdown
exit
line vty 0 4
privilege level 15
no login
exit
line console 0
logging synchronous
exec-timeout 0 0
exit
no ip domain-lookup
Bước 3. Cấu hình dịch vụ DHCPv6 Service trên hạ tầng IPv6.

Bước 3.1. Cấu hình dịch vụ Stateless DHCPv6 trên Router R1.
Cấu hình Stateless DHCP trên R1 sao cho các PC1 và PC2 tự động phát sinh địa chỉ IPv6 và có thể ping
được lẫn nhau và ping được tới Server.
Tại VPC1, kích hoạt quá trình tự động phát sinh địa chỉ IP.
VPCS> ip auto
GLOBAL SCOPE : 2001:1::2050:79ff:fe66:6803/64
ROUTER LINK-LAYER : aa:bb:cc:00:01:10
VPCS>
VPCS> show ipv6
NAME : VPCS[1]
LINK-LOCAL SCOPE : fe80::250:79ff:fe66:6803/64
DNS :
MAC : 00:50:79:66:68:03
LPORT : 20000
RHOST:PORT : 127.0.0.1:30000
MTU: : 1500
VPCS>
Tại VPC2, kích hoạt quá trình tự động phát sinh địa chỉ IP.
VPCS> ip auto
VPCS>
VPCS> show ipv6
NAME : VPCS[1]
LINK-LOCAL SCOPE : fe80::250:79ff:fe66:6804/64
DNS :
MAC : 00:50:79:66:68:04
LPORT : 20000
RHOST:PORT : 127.0.0.1:30000
MTU: : 1500
VPCS>
Ping kiểm tra từ VPC2 tới VPC1.

VPCS> ping 2001:1::2050:79ff:fe66:6803
2001:1::2050:79ff:fe66:6803 icmp6_seq=1 ttl=64 time=1.331 ms

VPCS>
Ping kiểm tra kết nối từ VPC2 tới Server.

VPCS> ping 2001:2::2
2001:2::2 icmp6_seq=1 ttl=62 time=17.978 ms

VPCS>
Cơ chế Stateless DHCP hoạt động bằng cách R1 định kỳ gửi gói tin Router Advertisement (RA) 200 giây
một lần. Trong bản tin RA chứa thông tin Routing Prefix với Prefix Length là 64 bit. Để cơ chế Stateless
DHCP hoạt động thì cổng e0/1 của R1 bắt buộc phải sử dụng lớp mạng /64.
R1# show ipv6 interface e0/1
Ethernet0/1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::A8BB:CCFF:FE00:110
No Virtual link-local address(es):
Global unicast address(es):
2001:1::1, subnet is 2001:1::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:1
FF02::1:FF00:110
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
R1#
Nội dung bản tin RA được R1 gửi đi trên cổng e0/1.
Ta có thể hiệu chỉnh Interval Timer của bản tin RA bằng câu lệnh sau.
R1(config-if)# ipv6 nd ra interval ?
<4-1800> RA Interval (sec)
msec Interval in milliseconds
R1(config-if)# ipv6 nd ra interval 20

R1(config-if)# exit
R1# show ipv6 interface e0/1
Ethernet0/1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::A8BB:CCFF:FE00:110
No Virtual link-local address(es):
Global unicast address(es):
2001:1::1, subnet is 2001:1::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:1
FF02::1:FF00:110
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 20 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
R1#
Bước 3.2. Cấu hình dịch vụ Statefull DHCPv6 trên Router R1.
Cấu hình Statefull DHCP trên R1 cấp IPv6 xuống cho các PC1 và PC2, các PC có thể ping được lẫn nhau và
có thể ping được tới Server.

2019.08.24. Hướng Dẫn Thực Thành CCNA R&amp;S

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2019.08.24. Hướng Dẫn Thực Thành CCNA R&amp;S

Uploaded by

Copyright:

Available Formats

Hướng dẫn thực thành CCNA R&S

Tổng quan các bước thực hiện:

Chi tiết các bước thực hiện:

Configuration for interface "Local Area Connection"

Ping kiểm tra kết nối từ PC1 tới Router.

netsh interface ipv4> exit

Phần 3. Hướng dẫn cấu hình cơ bản trên Cisco Router.

Tổng quan các bước thực hiện:

Chi tiết các bước thực hiện:

Press RETURN to get started!

Router con0 is now available

If you require further assistance please contact us by sending email to

Warning: the compile-time code checksum does not appear to be present.

--- System Configuration Dialog ---

Bước 4. Lưu cấu hình và khởi động lại Cisco Router.

Khởi động lại thiết bị.

Tổng quan các bước thực hiện:

Chi tiết các bước thực hiện:

Cấu hình cơ bản trên Switch Sw1.

Kiểm tra IP vừa thiết lập cho “interface vlan 1”.

Bước 1.2. Cấu hình cơ bản trên Router.

Device ID Local Intrfce Holdtme Capability Platform Port ID

Sw1# show cdp neighbors

Device ID Local Intrfce Holdtme Capability Platform Port ID

Hiển thị chính xác thông tin của R1.

Tại PC1 tiến hành telnet tới R1.

FastEthernet0/1 unassigned YES unset administratively down down

R1> show privilege

Type escape sequence to abort.

Sw1# telnet 192.168.1.1

User Access Verification

[Connection to 192.168.1.1 closed by foreign host]

Tại Sw1, mở phiên telnet tới R1.

User Access Verification

Tại Sw1, thực hiện lại phiên telnet tới R1.

User Access Verification

Interface User Mode Idle Peer Address

Interface User Mode Idle Peer Address

R1# clear line 515

R1# telnet 192.168.1.2

User Access Verification

Interface User Mode Idle Peer Address

Password required, but none set

Connection to host lost.

Bước 3.7. Gỡ bỏ dịch vụ Telnet Service trên Cisco Switch.

Password required, but none set

Connection to host lost.

Sw1# show privilege

Tổng quan các bước thực hiện:

Chi tiết các bước thực hiện:

enable secret level 2 level2

User Access Verification

R1# show privilege

R1# show ip interface brief

R1# show arp

R1# configure terminal

R1(config)# interface f0/1

R1# show running-config

privilege exec level 2 show running-config

aaa authorization exec VTY local

PC1> telnet 192.168.1.1

Current configuration : 198 bytes

Xóa thông tin lịch sử các command đã thực hiện.

Tổng quan các bước thực hiện:

2019.08.24. Hướng Dẫn Thực Thành CCNA R&S

2019.08.24. Hướng Dẫn Thực Thành CCNA R&S