Professional Documents
Culture Documents
Mở đầu
Một cấu trúc chung thường xuyên gặp đối với mạng của một doanh nghiệp
DMZ
DMZ
DMZ Firewall
Core
Switch
Local Access
App Firewall Switch
User PC
App Server DB Server LAN Local
Server Rack
Internet Domain: là miền kết nối Internet, địa chỉ IP qui hoạch thuộc dải Public
DMZ Domain: là miền đặt các Server mặt ngoài như Web, Mail, Portal
Local Domain: là miền mạng nội bộ của doanh nghiệp. Nó được chia ra thành:
Data Central Domain: miền đặt các máy chủ App, DB, Lưu trữ (SAN,
NAS)
LAN Local
Các miền này được phân chia logic bởi các bộ Firewall. Mỗi miền được áp đặt các chính
sách mạng và các chính sách bảo mật riêng. Đối với nhân viên quản trị mạng: đối tượng của họ
là quản trịn các thiết bị mạng như Router, L3-Switch, L2-S, Firewall, Wifi. Đối với nhân viên
quản trị hệ thống: đối tượng của họ là quản trị hệ thống Server, CSDL.
Các phần việc của nhân viên quản trị mạng thường gặp đó là:
Thiết lập và quản trị các VLAN
Vận hành hệ thống Firewall, thiết lập NAT outside và inside khi cần thiết.
1
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Việc thiết lập và định tuyến các VLAN luôn thực hiện tại thiết bị Multilayer
Switch chứ không thực hiện tại Router vì Router chỉ được sử dụng để kết nối
WAN và Internet chứ không để kết nối các miền trong LAN. Tuy nhiên, để tiếp
cận từng bước, CCNA đầu tiên hướng dẫn định tuyến giữa các VLAN bằng
Router, CCNP mới hướng dẫn việc định tuyến các VLAN thông qua Multilayer
Switch.
Tương tự như vậy, việc thiết lập các tham số NAT outside và NAT inside trong
thực tế được thiết lập tại Firewall lớp Internet hay còn gọi là DMZ Firewall.
Nhưng để dễ tiếp cận, trong khuôn khổ các bài thực hành này chỉ hướng dẫn cấu
hình NAT trên thiết bị Router.
2
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
1. Tên bài: Tạo và định tuyến giữa các Vlan bằng bộ định tuyến
2. Mục tiêu:
Giúp sinh viên hiểu được khái niện VLAN, VLAN ID
Giúp sinh viên hiểu được cách phân chia miền mạng vật lý thành nhiều miền
mạng logic dựa vào thiết bị L2-Switch
Giúp sinh viên hiểu được khái niệm giao diện vật lý và giao diện logic của Router
Giúp sinh viên hiểu được chuẩn E 802.1.q
Giúp sinh viên hiểu được phương pháp định tuyến giữa các VLAN bằng bộ định
tuyến
3. Nội dung thực hiện
Router
192.168.100.1/24 192.168.200.1/24
L2-Switch
PC 1 PC 2 PC 3 PC 4
VLAN 100: VLAN 200:
192.168.100.0/24 192.168.200.0/24
3
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Cổng kết nối từ L2-Switch lên Router, theo hình vẽ, sẽ mang thông tin cho cả 02
VLAN. Nó được gọi là cổng Trunking (sử dụng chuẩn đóng khung 802.1.q)
Do giao diện vật lý của Router cùng kết nối với cả 02 VLAN nên cần thiết phải sử
dụng khái niệm Sub-interface. Trong trường hợp cụ thể này, Router có 02 Sub-
interface trên cùng một giao diện vật lý FastEthernet. Mỗi Sub-interface này được
gán một địa chỉ thuộc các dải địa chỉ khác nhau.
4
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Hướng dẫn
5
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
a/ Tạo VLAN
Câu Lệnh:
Câu lệnh:
Câu lệnh:
Câu lệnh :
(config-if)# no shutdown
7
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
(config-subif)#no shut
c/ Cấu hình định tuyến để các VLAN có thể thông với nhau
Câu lệnh: (config)#router rip
#version 2 (đối với RIPv2)
#net [dải mạng kết nối trực tiếp]
+ OSPF
Câu lệnh: (config)#router ospf [ID]
#net [địa chỉ mạng] [wildcard-mask] are 0
Ví dụ: đối với RIPv2
(config)#router rip
#version 2
#net 203.162.1.0
8
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
9
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
1. Tên bài: Tạo và định tuyến giữa các VLAN bằng Multilayer Switch
2. Mục tiêu:
Giúp sinh viên làm quen với khái niệm Multilayer Switch và vai trò của
Multilayer Switch trong hệ thống.
Giúp sinh viên có kỹ năng định tuyến giữa các VLAN trên thiết bị Multilayer
Switch
3. Nội dung thực hiện
Multilayer
Switch
L2-Switch L2-Switch
PC 1 PC 2 PC 3 PC 4
dụ như PC1 trao đổi thông tin với PC3 (trong cùng một VLAN), hoặc tương tự PC2
sang PC4, khi đó Multilayer Switch thực hiện chuyển mạch lớp 2 (như một Switch
lớp 2 thông thường). Nhưng xét trường hợp cụ thể khác, ví dụ như PC1 trao đổi
thông tin với PC2 hoặc PC4 (thuộc VLAN khác nhau), khi đó Multilayer Switch lại
thực hiện chức năng định tuyến lớp 3 (như một Router thông thường). Hay nói cách
khác, trên cùng một thiết bị Multilayer Switch, lúc thì nó thực hiện chức năng lớp 2,
lúc thì nó thực hiện chức năng lớp 3 tùy vào quá trình trao đổi giữa các phần tử nào
trong mạng.
11
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Hướng dẫn:
a/ Tạo VLAN
12
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Câu Lệnh:
Câu lệnh:
Ví dụ gán VLAN 100 cho interface f0/1 trên Switch thứ nhất
Ta cấu hình mode trunk để Switch Layer 3 trao đổi các VLAN
Câu lệnh :
a/ Tạo VLAN
Câu Lệnh:
14
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Câu lệnh:
Để Switch Layer 3 thực hiện chức năng định tuyến ta dùng câu lệnh sau
(config)# ip routing
15
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
16
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
17
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
1. Tên bài: Thiết lập cầu hình NAT outside và NAT inside
2. Mục tiêu:
Giúp sinh viên hiểu rõ khái niệm địa chỉ Public và địa chỉ Privte cũng như Public
Domain và Privte Domain.
Giúp sinh viên hiểu rõ vai trò của phần tử thực hiện chức năng NAT. Chú ý:
trong hệ thống không có phần tử có tên là NAT mà chỉ có phần tử thực hiện chức
năng NAT. Đó có thể là Firewall hoặc Router.
Giúp sinh viên có kỹ năng thiết lập tham số NAT cơ bản. Đó là NAT outside và
NAT inside.
3. Nội dung thực hiện
PC 1 PC 2
18
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
19
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Bước 2: Đặt địa chỉ IP cho PC và các Interface của Router như đã qui hoạch
- Đối với PC: Đặt IP Static: Chuột trái vào PC > Desktop > IP Configuration > Điền địa chỉ
IP, SubnetMask và Default Gateway
20
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Router>en
Router#conf t
Router(config)#interface f0/0
Router(config-if)#ip add 203.162.2.1 255.255.255.0
(config-if)# no shutdown
21
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
23
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
24
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Web
Server
DMZ
PC 1 PC 2
25
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Nếu chỉ thực hiện chức năng NAT inside/outside như Router 1, Web
Server hoàn toàn bị cô lập với hệ thống mạng bên ngoài (miền Private
1 và miền Pulic). Chính vì vậy tại Router 3 còn phải đóng vai trò
Static NAT.
Qui hoạch địa chỉ. Hệ thống sử dụng kết hợp các dải địa chỉ Public và Private như
hình vẽ.
Miền DMZ. Là miền có địa chỉ IP Private (như miền LAN Local) nhưng lại đặt các
Server cung cấp dịch vụ Public, ví dụ như Web Server, Mail Server, Ftp Server…Với
tính chất này, miền DMZ không thể áp đặt chính sách bảo hướng luồng và chính sách
bảo mật như miền LAN Local bình thường. Nó phải cho phép các yêu cầu kết nối
được khởi tạo từ Client bên ngoài miền Public vào đó.
Chú ý:
Cần chú ý rằng, khi một phần tử đóng vai trò là Web Server thì nó không bap giờ chủ
động tạo kết nối tới Client. Mà ngược lại Client luôn chủ động tạo ra kết nối tới Web Server mỗi
khi cần. Một ví dụ điển hình, chỉ có máy tính của bạn mới chủ động tạo kết nối tời Web Server
của Google chứ không bao giờ Web Server của Google chủ động tạo kết nối tới máy tính của
bạn.
26
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Bước 2: Đặt địa chỉ IP cho các PC và các giao diện Interface của Router
27
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Tương tự cho các interface còn lại của Router 1 và các Router khác
*Các câu lệnh kiểm tra:
Kiểm tra địa chỉ IP:
#show ip int brief
Thực hiện định tuyến tại các Router: [RIP hoặc OSPF]
+ RIP:
Câu lệnh: (config)#router rip
#version 2 (đối với RIPv2)
#net 203.162.1.0
+ OSPF
Câu lệnh: (config)#router ospf [ID]
#net [địa chỉ mạng] [wildcard-mask] are 0
29
THỰC TẬP TỐT NGHIỆP CHUYÊN SÂU – BỘ MÔN MẠNG VIỄN THÔNG
Ngoài cấu hình NAT inside, outside như Router 1, Web Server hoàn toàn bị cô lập với hệ thống
mạng bên ngoài (miền Private 1 và miền Pulic). Chính vì vậy tại Router 3 còn phải đóng vai trò
Static NAT.
(config)#ip nat inside source static [địa chỉ web server local] [địa chỉ inside global]
Tại PC1 truy cập tới web server qua địa chỉ 203.162.2.2
30