Final Lab CCNA Online – Đề số 2

Sơ đồ:

Loopback0 Server
172.16.2.1/24
.2
.1 172.16.22.0/24
E0/2
E0/0 E0/1
.2 R2 .2
172.16.12.0/24 172.16.23.0/24

E0/1 .1 .3 E0/1

Loopback0 E0/2 172.16.13.0/24 E0/0 Loopback0

172.16.1.1/24 R1 .1 .3 R3 172.16.3.1/24
E0/0 200.0.0.1/24 E0/2

100.0.0.1/32

E0/0

E0/3 VLAN 10 200.0.0.254

SW1 Access Host1
E0/1 E0/2
172.16.10.2/24 ISP

E0/0 E0/0
SW3
SW2 E0/1 E0/1
E0/2 E0/2

VLAN 20 Access Access VLAN 1

Host2 Host3
172.16.20.2/24 172.16.11.2/24

Hình 1 – Sơ đồ bài lab.

Mô tả:
 Ngoại trừ router ISP, Router R4 và Server 172.16.22.2, học viên được quyền truy
nhập vào tất cả các thiết bị trên sơ đồ để thực hiện các thao tác cấu hình.
 Trong mỗi nhóm, cổng E0/2 của R3 được sử dụng để đấu nối đến router ISP. Học
viên thực hiện đặt địa chỉ IP trên cổng đấu nối này là 200.0.0.1/24. Học viên phải
thực hiện cấu hình Gateway Internet là 200.0.0.254.
 Bên cạnh IP đấu nối, doanh nghiệp còn được ISP rót về một IP tĩnh 100.0.0.1/32.
 Tất cả các thiết bị đều đã được cấu hình sẵn hostname như trình bày trên sơ đồ.
 Các thiết bị Host1, Host2, Host3 và Server đã được thiết lập sẵn địa chỉ IP.
 Học viên phải tự cấu hình đặt địa chỉ IP cho các cổng của các router theo quy hoạch
IP trên sơ đồ hình 1.
  Lưu ý: Học viên lưu cấu hình thường xuyên trong quá trình làm bài. Các phần thi đã
làm nếu chưa lưu cấu hình sẽ không được tính điểm.
Yêu cầu:
1. Xây dựng mạng chuyển mạch lớp 2 (10đ):
 Cấu hình để tất cả các đường link đấu nối giữa các switch trở thành các đường
trunking Dot1q. (5đ)
 Xây dựng cấu hình VLAN trên các switch theo yêu cầu sau (5đ):
o Khai báo các VLAN 10 và 20 trên SW1.
o Các VLAN trên SW1 phải được tự động đồng bộ đến SW2 và SW3.
o Các thao tác can thiệp vào cấu hình VLAN trên SW2 và SW3 bị cấm.
2. Hiệu chỉnh đường đi layer 2 (10đ):
 Cấu hình đảm bảo kết quả hội tụ STP trên VLAN 10 như sau (5đ) (hình 2):
SW1

Chú thích: D Designated port

E0/1 E0/2
D D
R Root port
Blocking port

E0/0 R E0/0
R D
SW2 E0/1 E0/1
SW3

Hình 2 – Kết quả hội tụ STP trên VLAN 10.

Gợi ý cấu hình Sw 1 làm root Switch cho VLAN 10, sau đó chỉnh cost thích hợp.
 Cấu hình STP đảm bảo kết quả hội tụ STP trên VLAN 20 như sau (5đ) (hình 3):
SW1

Chú thích: D Designated port

E0/1 E0/2
R D R Root port
Blocking port

E0/0 D R E0/0
D
SW2 E0/1
SW3
E0/1

Hình 3 – Kết quả hội tụ STP trên VLAN 20.

Gợi ý cấu hình Sw 2 làm root switch cho VLAN 20, sau đó chỉnh cost thích hợp.
3. Định tuyến VLAN (5đ):
 Trên R1 thực hiện cấu hình định tuyến giữa các VLAN 1, 10 và 20 với các thông số
như sau (bảng 1):
Cổng Kết nối đến Địa chỉ IP
E0/0 VLAN 1 172.16.11.1/24
E0/0.10 VLAN 10 172.16.10.1/24
E0/0.20 VLAN 20 172.16.20.1/24
Bảng 1 – Thông số cấu hình định tuyến VLAN trên R1.
  Sau khi cấu hình xong, kết quả kiểm tra phải đạt được như sau:
Host1> ping 172.16.11.2
84 bytes from 172.16.11.2 icmp_seq=1 ttl=63 time=2.463 ms
84 bytes from 172.16.11.2 icmp_seq=2 ttl=63 time=1.085 ms
Host1> ping 172.16.20.2
84 bytes from 172.16.20.2 icmp_seq=1 ttl=63 time=1.844 ms
84 bytes from 172.16.20.2 icmp_seq=2 ttl=63 time=1.007 ms
Host2> ping 172.16.10.1
84 bytes from 172.16.10.1 icmp_seq=1 ttl=63 time=1.318 ms
84 bytes from 172.16.10.1 icmp_seq=2 ttl=63 time=1.838 ms

4. Cấu hình định tuyến (10đ):

 Cấu hình định tuyến OSPF trên các router R1, R2 và R3 đảm bảo tất cả các subnet
thuộc dải IP 172.16.0.0/16 có thể đi đến được nhau.
 Lưu ý: R3 không được cho cổng nối đến ISP tham gia OSPF. Học viên sẽ bị trừ nửa
số điểm của câu 4 nếu vi phạm lỗi này.
5. Hiệu chỉnh định tuyến (15đ):
 Cấu hình hiệu chỉnh đảm bảo router – id của các router đạt giá trị như sau (5đ):
R1: 1.1.1.1; R2: 2.2.2.2; R3: 3.3.3.3.
 Hiệu chỉnh OSPF đảm bảo R1 và R3 đi đến loopback 0 của nhau bằng đường chính
là đường trung chuyển qua R2:
R1#show ip route 172.16.3.1
(…)
* 172.16.12.2, from 3.3.3.3, 00:00:21 ago, via Ethernet0/1
Route metric is 21, traffic share count is 1
R3#show ip route 172.16.1.1
(…)
* 172.16.23.2, from 1.1.1.1, 00:00:26 ago, via Ethernet0/1
Route metric is 21, traffic share count is 1
Đường link kết nối trực tiếp giữa R1 và R3 phải được sử dụng cho mục đích dự
phòng và sẽ chỉ được đưa vào bảng định tuyến khi đường chính ở trên bị down (ví
dụ: khi một trong hai cổng E0/1 nối đến R2 của R1 và R3 down). (10đ)
Gợi ý chỉnh cost trên các cổng thích hợp để đường đấu nối trực tiếp có cost lớn hơn
đường trung chuyển thì Router sẽ chọn đường trung chuyển làm đường chính.
6. DHCP (5đ):
 Cấu hình R2 làm DHCP server cấp IP cho các user thuộc VLAN 20.
 Sau khi cấu hình xong, thực hiện kiểm tra trên Host 2 phải nhận được IP thuộc dải IP
quy hoạch cho VLAN 20:
Host2> dhcp -x
Host2> dhcp -r
DDORA IP 172.16.20.2/24 GW 172.16.20.1
R2#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
172.16.20.2 0100.5079.6668.0a Aug 03 2016 04:44 PM Automatic

Gợi ý: cấu hình helper-address trên cổng sub-interface thích hợp.

7. Port Security (5đ):
 Trên SW2 cấu hình tính năng Port Security sao cho các cổng đấu xuống end user chỉ
cho phép 1 thiết bị được sử dụng. Nếu có sự thay đổi địa chỉ MAC thì cổng sẽ không
sử dụng được, đồng thời thông báo vi phạm Port Security sẽ diễn ra.
Gợi ý: cấu hình Port Security trên SW2, sử dụng phương thức học MAC là “Sticky”,
phương thức xử lý vi phạm là “Restrict” và số lượng địa chỉ MAC tối đa là 1.
8. ACL (15đ):
 Sử dụng Standard ACL trên R2 cấm các IP thuộc dải IP của VLAN 10 telnet đến R2
nhưng cho phép mọi địa chỉ IP khác. Kết quả kiểm tra phải đạt như sau (5đ):
R1#telnet 172.16.2.1
Trying 172.16.2.1 ... Open
Password required, but none set
R1#telnet 172.16.2.1 /source-interface e0/0.10
Trying 172.16.2.1 ...
% Connection refused by remote host

 Sử dụng Extended ACL theo chiều out trên cổng E0/2 của R2 chỉ cho phép các user
thuộc VLAN 20 truy nhập web đến server 172.16.22.2, ngoài ra mọi lưu lượng khác
đều bị cấm (5đ):
Host2> ping 172.16.22.2 -P 6 -p 80 <- Host 2 truy nhập web thành công đến Server
Connect 80@172.16.22.2 seq=1 ttl=253 time=2.237 ms
SendData 80@172.16.22.2 seq=1 ttl=253 time=2.166 ms
Close 80@172.16.22.2 seq=1 ttl=253 time=3.254 ms
Host1> ping 172.16.22.2 <- Host 1 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.671 ms (ICMP type:3, code:13, Communication
administratively prohibited)
Host2> ping 172.16.22.2 <- Host 2 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.974 ms (ICMP type:3, code:13, Communication
administratively prohibited)
Host3> ping 172.16.22.2 <- Host 3 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.969 ms (ICMP type:3, code:13, Communication
administratively prohibited)

 Tiếp tục cấu hình bổ sung cho Extended ACL đã thực hiện ở trên cho phép server
172.16.22.2 ping được được Host 1 nhưng Host 1 không ping được server (5đ):
Host1> ping 172.16.22.2 <- Host 1 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.775 ms (ICMP type:3, code:13, Communication
administratively prohibited)
R2#telnet 172.16.22.2 <- Từ R2 telnet đến Server để thực hiện kiểm tra
Trying 172.16.22.2 ... Open
User Access Verification
Password: <- Nhập password là “vnpro”
Server>ping 172.16.10.2 <- Server ping được Host 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Gợi ý ping sử dụng icmp echo request ở lượt đi và icmp echo reply ở lượt về
9. Internet (10đ):
 Thực hiện cấu hình cho phép mọi user thuộc VLAN 1 và 20 có thể đi được Internet
bằng IP đấu nối 200.0.0.1 trên cổng E0/2 của R3. Sau khi cấu hình xong, VLAN 1 và
20 phải đi được Internet theo kết quả sau (5đ):
 Lưu ý: Học viên được phép cấu hình một và chỉ một static default – route trên R3
cho hoạt động đi Internet. Nếu cấu hình nhiều hơn một static default – route trên R3,
học viên sẽ bị trừ nửa số điểm của câu 8.
Host3> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=1.710 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=1.320 ms
Host2> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=1.212 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=1.409 ms

R3#sh ip nat translations

Pro Inside global Inside local Outside local Outside global
icmp 200.0.0.1:51994 172.16.11.2:51994 8.8.8.8:51994 8.8.8.8:51994
icmp 200.0.0.1:54298 172.16.20.2:54298 8.8.8.8:54298 8.8.8.8:54298
 Gợi ý R3 dùng static default-route trỏ đến địa chỉ của ISP, sau đó R3 dùng OSPF
quảng bá default-route của mình cho R1 và R2.
 Host 1 hiện đang sử dụng địa chỉ IP private 172.16.10.2. Thực hiện public host này
lên Internet bằng địa chỉ 100.0.0.1 được cấp phát bởi ISP. Sau khi thực hiện thành
công, kết quả kiểm tra phải đạt được như sau (5đ):
Gợi ý: sử dụng static NAT cho địa chỉ IP private.
Host1> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=252 time=2.422 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=252 time=3.139 ms
R3#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 100.0.0.1:34075 172.16.10.2:34075 8.8.8.8:34075 8.8.8.8:34075
icmp 100.0.0.1:34331 172.16.10.2:34331 8.8.8.8:34331 8.8.8.8:34331
--- 100.0.0.1 172.16.10.2 --- ---

10. Yêu cầu khác (15đ):

 Trên R1 và R3 thực hiện cấu hình thích hợp để xây dựng thêm sơ đồ kết nối giữa hai
thiết bị này như sau (hình 4) (5đ):

Loopback1 E0/2.13 VLAN 13 E0/0.13 Loopback1

192.168.1.1/24 .1 192.168.13.0/24 .3 192.168.3.1/24
R1 R3

Loopback2 Loopback2
192.168.11.1/24 192.168.33.1/24

Hình 4 – Kết nối tạo thêm giữa R1 và R3.

 Cấu hình định tuyến tĩnh (static route) trên sơ đồ hình 4 đảm bảo hai router R1 và R3
có thể đi đến được các loopback 1 và loopback 2 của nhau. Kết quả kiểm tra phải đạt
được như sau (5đ):
R1#ping 192.168.3.1 <- R1 ping thành công loopback 1 của R3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#ping 192.168.33.1 <- R1 ping thành công loopback 2 của R3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.33.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#show ip arp | inc 0/2.13 <- Bảng ARP của R1
Internet 192.168.13.1 - aabb.cc00.0120 ARPA Ethernet0/2.13
Internet 192.168.13.3 0 aabb.cc00.0300 ARPA Ethernet0/2.13
==================================================================================
====
R3#ping 192.168.1.1 <- R3 ping thành công loopback 1 của R1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R3#ping 192.168.11.1 <- R3 ping thành công loopback 2 của R1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R3#show ip arp | inc 0/0.13 <- Bảng ARP của R3
Internet 192.168.1.1 1 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.11.1 1 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.13.1 3 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.13.3 - aabb.cc00.0300 ARPA Ethernet0/0.13

Gợi ý bảng ARP của R1 chỉ xuất hiện 1 dòng địa chỉ MAC của 192.168.13.3 (IP
next-hop) là R1 đã có thể đi đến được tất cả các mạng bên R3.
Bảng ARP của R3 xuất hiện nhiều dòng địa chỉ MAC của các IP tương ứng trong
lệnh Ping, do R3 không biết địa chỉ next-hop trong bảng định tuyến.
 Thực hiện thiết lập sơ đồ IPv6 giữa R1 và R3 như hình 5. Sử dụng một hình thức
định tuyến IPv6 bất kỳ đảm bảo mọi địa chỉ IPv6 trên sơ đồ thấy nhau. (5đ)

Loopback1 E0/2.13 VLAN 13 E0/0.13 Loopback1

2016:1::1/64 R1 2016:13::1/64 2016:13::3/64 R3 2016:3::1/64

Hình 5 – Sơ đồ IPv6.

*** GOOD LUCK ! ***