Professional Documents
Culture Documents
Tong Hop
Tong Hop
M1
Cơ sở dữ liệu trạng Bảng cấu trúc Liệt kê thông tin về tất cả các bộ định
thái liên kết (LSDB) liên kết tuyến khác trong mạng.
Cơ sở dữ liệu đại diện cho mạng LSDB.
Tất cả các bộ định tuyến trong một khu
vực có LSDB giống hệt nhau.
Có thể xem bằng lệnh show ip ospf
database.
Cơ sở dữ liệu chuyển Bảng định tuyến Danh sách các tuyến đường được tạo khi
tiếp thuật toán được chạy trên cơ sở dữ liệu
trạng thái liên kết.
Bảng định tuyến của mỗi bộ định tuyến
là duy nhất và chứa thông tin về cách
thức và địa điểm gửi các gói đến các bộ
định tuyến khác.
Có thể xem bằng lệnh show ip route.
Bộ định tuyến xây dựng bảng cấu trúc liên kết bằng cách sử dụng kết quả tính toán dựa trên thuật toán
đường đi ngắn nhất trước (SPF) của Dijkstra. Thuật toán SPF dựa trên chi phí tích lũy để đến đích.
Thuật toán SPF tạo ra một cây SPF bằng cách đặt mỗi bộ định tuyến ở gốc của cây và tính toán đường đi
ngắn nhất đến mỗi nút. Cây SPF sau đó được sử dụng để tính toán các tuyến đường tốt nhất. OSPF đặt
các tuyến tốt nhất vào cơ sở dữ liệu chuyển tiếp, cơ sở dữ liệu này được sử dụng để tạo bảng định tuyến.
Hoạt động trạng thái liên kết:
Để duy trì thông tin định tuyến, các bộ định tuyến OSPF hoàn thành quy trình định tuyến trạng thái liên
kết chung để đạt đến trạng thái hội tụ. Sau đây là các bước định tuyến trạng thái liên kết được hoàn thành
bởi một bộ định tuyến:
Thiết lập các lân cận láng giềng
Trao đổi quảng cáo trạng thái liên kết
Xây dựng cơ sở dữ liệu trạng thái liên kết
Thực thi thuật toán SPF
LSU cũng được sử dụng để chuyển tiếp các bản cập nhật định tuyến OSPF. Một gói LSU có thể chứa 11
loại OSPFv2 LSA khác nhau. OSPFv3 đã đổi tên một số LSA này và cũng chứa hai LSA bổ sung.
LSU và LSA thường được sử dụng thay thế cho nhau, nhưng hệ thống phân cấp chính xác là các gói LSU
chứa các thông báo LSA.
Hello Packet
Gói OSPF Type 1 là gói Hello. Các gói Hello được sử dụng để làm như sau:
Khám phá các hàng xóm OSPF và thiết lập các vùng lân cận hàng xóm.
Quảng cáo các tham số mà hai bộ định tuyến phải đồng ý để trở thành hàng xóm của nhau.
Chọn Bộ định tuyến được chỉ định (DR) và Bộ định tuyến được chỉ định dự phòng (BDR) trên các mạng
đa truy cập như Ethernet. Liên kết điểm-điểm không yêu cầu DR hoặc BDR.
Trạng thái Mô tả
Trạng thái xuống Không nhận được gói Hello nào = Down.
Bộ định tuyến gửi gói tin Hello.
Chuyển sang trạng thái Init.
Trạng thái khởi tạo Các gói tin Hello được nhận từ hàng xóm.
Chúng chứa ID bộ định tuyến của bộ định
tuyến gửi.
Chuyển sang trạng thái Hai chiều.
Trạng thái 2 chiều Ở trạng thái này, giao tiếp giữa hai bộ định
tuyến là hai chiều.
Trên các liên kết đa truy cập, các bộ định
tuyến chọn DR và BDR.
Chuyển sang trạng thái ExStart.
Trạng thái xuất phát Trên các mạng điểm-điểm, hai bộ định tuyến
quyết định bộ định tuyến nào sẽ bắt đầu trao
đổi gói DBD và quyết định số thứ tự gói
DBD ban đầu.
Trạng thái trao đổi Bộ định tuyến trao đổi các gói DBD.
Nếu cần thêm thông tin bộ định tuyến thì hãy
chuyển sang Đang tải; mặt khác, chuyển sang
trạng thái Full.
Trạng thái tải LSR và LSU được sử dụng để lấy thông tin
tuyến đường bổ sung.
Các tuyến đường được xử lý bằng thuật toán
SPF.
Chuyển sang trạng thái Full.
Trạng thái đầy đủ Cơ sở dữ liệu trạng thái liên kết của bộ định
tuyến được đồng bộ hóa hoàn toàn.
M2
1. Mô tả cách thức cấu hình Single-Area OSPFv2 (router ID, point-to-point, multiaccess)
OSPF Neighbor
Hai bộ định tuyến có thể không tạo thành một vùng lân cận OSPFv2 nếu xảy ra các trường hợp sau:
Mặt nạ mạng con không khớp, khiến các bộ định tuyến nằm trên các mạng riêng biệt.
OSPFv2 Hello hoặc Dead Timers không khớp.
Các loại mạng OSPFv2 không khớp.
Có lệnh mạng OSPFv2 bị thiếu hoặc không chính xác.
OSPF Protocol
Lệnh show ip protocols là một cách nhanh chóng để xác minh thông tin cấu hình OSPF quan trọng, như
được hiển thị trong đầu ra của lệnh. Điều này bao gồm ID tiến trình OSPFv2, ID bộ định tuyến, các giao
diện được định cấu hình rõ ràng để quảng bá các tuyến OSPF, những người hàng xóm mà bộ định tuyến
đang nhận các bản cập nhật và khoảng cách quản trị mặc định, là 110 cho OSPF.
OSPF Process
Lệnh show ip ospf cũng có thể được sử dụng để kiểm tra ID tiến trình OSPFv2 và ID bộ định tuyến, như
được hiển thị trong đầu ra của lệnh. Lệnh này hiển thị thông tin vùng OSPFv2 và lần cuối thuật toán SPF
được thực thi.
OSPF Interface
IP chương trình lệnh giao diện ospf cung cấp một danh sách chi tiết cho mọi giao diện hỗ trợ OSPFv2.
Chỉ định một giao diện để hiển thị các cài đặt của giao diện đó. Lệnh này hiển thị ID tiến trình, ID bộ
định tuyến cục bộ, loại mạng, chi phí OSPF, thông tin DR và BDR trên các liên kết đa truy cập (không
hiển thị) và các lân cận lân cận.
Để có bản tóm tắt nhanh về các giao diện hỗ trợ OSPFv2, hãy sử dụng lệnh show ip ospf interface brief ,
như được hiển thị trong đầu ra của lệnh. Lệnh này rất hữu ích để xem thông tin quan trọng bao gồm:
Các giao diện đang tham gia OSPF
Các mạng đang được quảng cáo (Địa chỉ IP/Mặt nạ)
Chi phí của mỗi liên kết
Trạng thái mạng
Số láng giềng trên mỗi liên kết
M3
1. Mô tả các vector Mất mát dữ liệu
Các thiết bị đầu cuối đặc biệt dễ bị phần mềm độc hại tấn công. Điều quan trọng là phải biết về phần mềm
độc hại vì các tác nhân đe dọa dựa vào người dùng cài đặt phần mềm độc hại để giúp khai thác lỗ hổng
bảo mật.
Loại phần mềm độc hại máy tính đầu tiên và phổ biến nhất là vi-rút. Virus yêu cầu hành động của con
người để lây lan và lây nhiễm các máy tính khác.
Virus ẩn náu bằng cách gắn vào mã máy tính, phần mềm hoặc tài liệu trên máy tính. Khi mở ra, virus sẽ
thực thi và lây nhiễm vào máy tính.
Virus có thể:
Thay đổi, làm hỏng, xóa tệp hoặc xóa toàn bộ ổ đĩa.
Gây ra sự cố khởi động máy tính và các ứng dụng bị hỏng.
Nắm bắt và gửi thông tin nhạy cảm cho các tác nhân đe dọa.
Truy cập và sử dụng tài khoản email để phát tán.
Nằm im cho đến khi được triệu tập bởi tác nhân đe dọa.
Các loại virus hiện đại được phát triển cho mục đích cụ thể, chẳng hạn như những mục đích được liệt kê
trong bảng.
Các tác nhân đe dọa sử dụng Trojan horses để xâm phạm máy chủ. Trojan horse là một chương
trình có vẻ hữu ích nhưng cũng chứa mã độc. Trojan thường được cung cấp cùng với các chương
trình trực tuyến miễn phí như trò chơi máy tính. Có một số loại Torjan horses được mô tả trong
bảng.
Số lượng lưu lượng quá lớn - Kẻ đe dọa gửi một lượng dữ liệu khổng lồ với tốc độ mà mạng, máy chủ
hoặc ứng dụng không thể xử lý. Điều này khiến thời gian truyền và phản hồi chậm lại. Nó cũng có thể
làm sập một thiết bị hoặc dịch vụ.
Các gói có định dạng độc hại - Kẻ đe dọa gửi một gói có định dạng độc hại đến một máy chủ hoặc ứng
dụng và người nhận không thể xử lý gói đó. Điều này khiến thiết bị nhận chạy rất chậm hoặc bị lỗi.
Các cuộc tấn công DoS là một rủi ro lớn vì chúng làm gián đoạn liên lạc và gây ra tổn thất đáng kể về
thời gian và tiền bạc. Các cuộc tấn công này tương đối đơn giản để thực hiện, ngay cả bởi một tác nhân đe
dọa không có kỹ năng.
Tấn công DoS phân tán (DDoS) tương tự như tấn công DoS, nhưng nó bắt nguồn từ nhiều nguồn phối
hợp.
8. Trình bày lỗ hỏng của TCP và UDP tấn công hình thức TCP, UDP
TCP
Thông tin phân đoạn TCP xuất hiện ngay sau tiêu đề IP. Các trường của phân đoạn TCP và các cờ cho
trường Bit điều khiển được hiển thị trong hình.
Sau đây là sáu bit điều khiển của phân đoạn TCP:
Tác nhân đe dọa gửi nhiều yêu cầu SYN đến máy chủ web.
Máy chủ web trả lời bằng SYN-ACK cho mỗi yêu cầu SYN và đợi để hoàn tất quá trình bắt tay
ba bước. Tác nhân đe dọa không phản hồi với SYN-ACK.
Người dùng hợp lệ không thể truy cập máy chủ web vì máy chủ web có quá nhiều kết nối TCP
mở một nửa.
Việc chấm dứt phiên TCP sử dụng quy trình trao đổi bốn chiều sau:
Khi máy khách không còn dữ liệu để gửi trong luồng, nó sẽ gửi một phân đoạn có cờ FIN được
đặt.
Máy chủ gửi ACK để xác nhận việc nhận FIN để kết thúc phiên từ máy khách đến máy chủ.
Máy chủ gửi FIN cho máy khách để kết thúc phiên giữa máy chủ với máy khách.
Máy khách phản hồi bằng ACK để xác nhận FIN từ máy chủ.
Kẻ đe dọa có thể thực hiện một cuộc tấn công đặt lại TCP và gửi một gói giả mạo chứa TCP
RST tới một hoặc cả hai điểm cuối.
UDP
UDP thường được sử dụng bởi DNS, TFTP, NFS và SNMP. Nó cũng được sử dụng với các ứng
dụng thời gian thực như truyền phát đa phương tiện hoặc VoIP. UDP là một giao thức lớp truyền
tải không kết nối. Nó có chi phí hoạt động thấp hơn nhiều so với TCP vì nó không hướng kết nối
và không cung cấp các cơ chế truyền lại, sắp xếp thứ tự và kiểm soát luồng phức tạp mang lại độ
tin cậy.
Các chức năng độ tin cậy này không được cung cấp bởi giao thức tầng vận chuyển và phải được
thực hiện ở nơi khác nếu được yêu cầu.
Chi phí hoạt động thấp của UDP làm cho nó trở nên rất hấp dẫn đối với các giao thức thực hiện
các giao dịch yêu cầu và trả lời đơn giản.
Chiếm quyền điều khiển phiên TCP là một lỗ hổng TCP khác. Mặc dù khó thực hiện, nhưng một
kẻ đe dọa sẽ tiếp quản một máy chủ đã được xác thực khi nó giao tiếp với mục tiêu. Tác nhân đe
dọa phải giả mạo địa chỉ IP của một máy chủ, dự đoán số thứ tự tiếp theo và gửi ACK cho máy
chủ khác. Nếu thành công, tác nhân đe dọa có thể gửi, nhưng không nhận, dữ liệu từ thiết bị mục
tiêu.
UDP Flood Attacks: Kẻ đe dọa sử dụng một công cụ như UDP Unicorn hoặc Low Orbit Ion
Cannon. Các công cụ này gửi một loạt các gói UDP, thường là từ một máy chủ giả mạo, đến một
máy chủ trên mạng con. Chương trình sẽ quét qua tất cả các cổng đã biết để cố gắng tìm các
cổng đã đóng. Điều này sẽ khiến máy chủ trả lời bằng thông báo không thể truy cập cổng ICMP.
Do có nhiều cổng đóng trên máy chủ nên điều này tạo ra nhiều lưu lượng truy cập trên phân
đoạn, sử dụng hầu hết băng thông. Kết quả rất giống với một cuộc tấn công DoS.
Lỗ hổng ARP
Các máy chủ phát một Yêu cầu ARP tới các máy chủ khác trên phân đoạn để xác định địa chỉ MAC của
máy chủ có địa chỉ IP cụ thể. Máy chủ có địa chỉ IP phù hợp trong Yêu cầu ARP sẽ gửi Trả lời ARP.
Bất kỳ khách hàng nào cũng có thể gửi Trả lời ARP không được yêu cầu được gọi là “ARP miễn phí”.
Khi một máy chủ gửi ARP miễn phí, các máy chủ khác trên mạng con sẽ lưu trữ địa chỉ MAC và địa chỉ
IP có trong ARP miễn phí trong bảng ARP của chúng.
Tính năng này của ARP cũng có nghĩa là bất kỳ máy chủ nào cũng có thể tuyên bố là chủ sở hữu của bất
kỳ IP hoặc MAC nào. Kẻ đe dọa có thể đầu độc bộ đệm ARP của các thiết bị trên mạng cục bộ, tạo ra một
cuộc tấn công MITM để chuyển hướng lưu lượng truy cập.
Đầu độc bộ đệm ARP có thể được sử dụng để khởi chạy các cuộc tấn công trung gian khác nhau.
PC-A yêu cầu địa chỉ MAC của cổng mặc định (R1); do đó, nó sẽ gửi Yêu cầu ARP cho địa chỉ MAC là
192.168.10.1.
R1 cập nhật bộ đệm ARP của nó với địa chỉ IP và MAC của PC-A. R1 gửi một ARP Reply tới PC-A, PC-
A sau đó cập nhật bộ đệm ARP của nó với địa chỉ IP và MAC của R1.
Kẻ đe dọa gửi hai Phản hồi ARP vô cớ giả mạo bằng cách sử dụng địa chỉ MAC của chính nó cho các địa
chỉ IP đích được chỉ định. PC-A cập nhật bộ đệm ARP của nó với cổng mặc định hiện đang trỏ đến địa
chỉ MAC máy chủ của tác nhân đe dọa. R1 cũng cập nhật bộ đệm ARP của nó với địa chỉ IP của PC-A trỏ
đến địa chỉ MAC của tác nhân đe dọa.
Cuộc tấn công đầu độc ARP có thể bị động hoặc chủ động. Ngộ độc ARP thụ động là nơi các tác nhân đe
dọa đánh cắp thông tin bí mật. Ngộ độc ARP chủ động là nơi các tác nhân đe dọa sửa đổi dữ liệu trong
quá trình chuyển tiếp hoặc tiêm dữ liệu độc hại.
Một cuộc tấn công giả mạo DHCP xảy ra khi một máy chủ DHCP giả mạo được kết nối với mạng và
cung cấp các tham số cấu hình IP sai cho các máy khách hợp pháp. Một máy chủ giả mạo có thể cung cấp
nhiều thông tin sai lệch:
Cổng mặc định sai - Tác nhân đe dọa cung cấp một cổng không hợp lệ hoặc địa chỉ IP của máy chủ để tạo
một cuộc tấn công MITM. Điều này có thể hoàn toàn không bị phát hiện khi kẻ xâm nhập chặn luồng dữ
liệu qua mạng.
Máy chủ DNS sai - Tác nhân đe dọa cung cấp địa chỉ máy chủ DNS không chính xác chỉ người dùng đến
một trang web độc hại.
Địa chỉ IP sai - Tác nhân đe dọa cung cấp địa chỉ IP không hợp lệ, địa chỉ IP cổng mặc định không hợp lệ
hoặc cả hai. Sau đó, tác nhân đe dọa tạo ra một cuộc tấn công DoS trên máy khách DHCP.
12. Nêu các giải pháp VPN, ASA Firewall, IPS, ESA/WSA, AAA Server
ASA Firewall
Tường lửa là một hệ thống hoặc một nhóm hệ thống thực thi chính sách kiểm soát truy cập giữa các
mạng.
IPS
Để bảo vệ chống lại các cuộc tấn công di chuyển nhanh và phát triển, bạn có thể cần các hệ thống phát
hiện và ngăn chặn hiệu quả về chi phí được tích hợp vào các điểm vào và ra của mạng.
ESA/WSA
Thiết bị bảo mật email của Cisco (ESA) là một thiết bị đặc biệt được thiết kế để giám sát Giao thức
truyền thư đơn giản (SMTP). Cisco ESA được cập nhật liên tục bởi các nguồn cấp thời gian thực từ Cisco
Talos . Dữ liệu tình báo về mối đe dọa này được Cisco ESA kéo từ ba đến năm phút một lần.
Thiết bị bảo mật web của Cisco (WSA) là một công nghệ giảm thiểu các mối đe dọa dựa trên web. Cisco
WSA kết hợp bảo vệ phần mềm độc hại nâng cao, khả năng hiển thị và kiểm soát ứng dụng, kiểm soát
chính sách sử dụng được chấp nhận và báo cáo.
Cisco WSA cung cấp khả năng kiểm soát hoàn toàn đối với cách người dùng truy cập internet. WSA có
thể thực hiện lập danh sách đen các URL, lọc URL, quét phần mềm độc hại, phân loại URL, lọc ứng dụng
web cũng như mã hóa và giải mã lưu lượng truy cập web.
M4
1) Mục đích của việc sử dụng ACLs
Xác minh kết nối cục bộ và kiểm tra danh sách kiểm soát truy cập
Xóa Access Control List và Lặp lại Kiểm tra
Có giới hạn về số lượng ACL có thể được áp dụng trên giao diện bộ định tuyến. Ví dụ: giao diện bộ định
tuyến xếp chồng kép (tức là IPv4 và IPv6) có thể áp dụng tối đa bốn ACL, như thể hiện trong hình.
Lưu ý: ACL không phải được cấu hình theo cả hai hướng. Số lượng ACL và hướng của chúng được áp
dụng cho giao diện sẽ phụ thuộc vào chính sách bảo mật của tổ chức.
ACL tiêu chuẩn - Các gói này cho phép hoặc từ chối chỉ dựa trên địa chỉ IPv4 nguồn.
ACL mở rộng - Các ACL này cho phép hoặc từ chối các gói dựa trên địa chỉ IPv4 nguồn và địa chỉ IPv4
đích, loại giao thức, cổng TCP hoặc UDP nguồn và đích, v.v.
M5
1. Mô tả cấu hình Standard IPv4 ACLs
ACL mở rộng có thể lọc theo các tùy chọn tên cổng và số cổng khác nhau.
Ví dụ này định cấu hình ACL 100 mở rộng để lọc lưu lượng HTTP. Đầu tiên ACE sử dụng tên cổng
www. ACE thứ hai sử dụng số cổng 80. Cả hai ACE đều đạt được kết quả chính xác như nhau.
Cần định cấu hình số cổng khi không có tên giao thức cụ thể được liệt kê, chẳng hạn như SSH (số cổng
22) hoặc HTTPS (số cổng 443), như minh họa trong ví dụ tiếp theo.
Trong ví dụ này, ACL cho phép cả lưu lượng HTTP và HTTPS từ mạng 192.168.10.0 đi đến bất kỳ đích
nào.
ACL mở rộng có thể được áp dụng ở nhiều địa điểm khác nhau. Tuy nhiên, chúng thường được áp dụng
gần nguồn. Ở đây ACL 110 được áp dụng trong nước trên giao diện R1 G0/0/0.
ACL 120 được định cấu hình để chỉ cho phép trả lại lưu lượng truy cập web cho các máy chủ bên trong.
ACL sau đó được áp dụng bên ngoài trên giao diện R1 G0/0/0.
Lệnh show access-lists cho thấy rằng các máy chủ bên trong đang truy cập các tài nguyên web an toàn từ
internet.
Named Extended IPv4 ACL Syntax
Đặt tên cho ACL giúp dễ hiểu chức năng của nó hơn. Để tạo ACL mở rộng có tên, hãy sử dụng lệnh cấu
hình mở rộng danh sách truy cập ip.
Trong ví dụ này, một ACL mở rộng có tên là NO-FTP-ACCESS được tạo và lời nhắc thay đổi thành chế
độ cấu hình ACL mở rộng có tên. Các câu lệnh ACE được nhập trong chế độ cấu hình con ACL mở rộng
có tên.
M6
Công dụng chính của NAT là để bảo tồn các địa chỉ IPv4 công khai.
NAT cho phép các mạng sử dụng địa chỉ IPv4 riêng trong nội bộ và dịch chúng sang địa chỉ công khai khi
cần.
Một bộ định tuyến NAT thường hoạt động ở biên giới của một mạng sơ khai.
Khi một thiết bị bên trong mạng sơ khai muốn giao tiếp với một thiết bị bên ngoài mạng của nó, gói sẽ
được chuyển tiếp đến bộ định tuyến biên thực hiện quy trình NAT, dịch địa chỉ riêng bên trong của thiết
bị thành địa chỉ công khai, bên ngoài, có thể định tuyến.
Hoat dong
PC1 muốn liên lạc với một máy chủ web bên ngoài có địa chỉ công cộng 209.165.201.1.
PC1 gửi một gói địa chỉ đến máy chủ web.
R2 nhận gói và đọc địa chỉ IPv4 nguồn để xác định xem nó có cần dịch hay không.
R2 thêm ánh xạ địa chỉ cục bộ đến địa chỉ toàn cầu vào bảng NAT.
R2 gửi gói với địa chỉ nguồn đã được dịch tới đích.
Máy chủ web phản hồi với một gói được gửi đến địa chỉ chung bên trong của PC1 (209.165.200.226).
R2 nhận gói có địa chỉ đích 209.165.200.226. R2 kiểm tra bảng NAT và tìm thấy một mục cho ánh xạ
này. R2 sử dụng thông tin này và dịch địa chỉ toàn cầu bên trong (209.165.200.226) thành địa chỉ cục bộ
bên trong (192.168.10.10) và gói được chuyển tiếp tới PC1.
Thuật ngữ NAT
Thuật ngữ NAT luôn được áp dụng từ quan điểm của thiết bị với địa chỉ được dịch:
Địa chỉ bên trong - Địa chỉ của thiết bị đang được dịch bởi NAT.
Địa chỉ cục bộ - Địa chỉ cục bộ là bất kỳ địa chỉ nào xuất hiện ở phần bên trong của mạng.
Địa chỉ toàn cầu - Địa chỉ toàn cầu là bất kỳ địa chỉ nào xuất hiện ở phần bên ngoài của mạng.
Địa chỉ của nguồn khi nhìn từ bên trong mạng. Đây thường là một địa chỉ IPv4 riêng. Địa chỉ cục bộ bên
trong của PC1 là 192.168.10.10.
Địa chỉ của nguồn khi nhìn thấy từ mạng bên ngoài. Địa chỉ toàn cầu bên trong của PC1 là
209.165.200.226
Địa chỉ của đích nhìn từ mạng bên ngoài. Địa chỉ toàn cầu bên ngoài của máy chủ web là 209.165.201.1
NAT bảo tồn sơ đồ địa chỉ đã đăng ký hợp pháp bằng cách cho phép tư nhân hóa mạng nội bộ.
NAT bảo tồn địa chỉ thông qua ghép kênh cấp cổng ứng dụng.
NAT tăng tính linh hoạt của các kết nối với mạng công cộng.
NAT cung cấp tính nhất quán cho các sơ đồ địa chỉ mạng nội bộ.
NAT cho phép duy trì sơ đồ địa chỉ IPv4 riêng hiện có trong khi cho phép dễ dàng thay đổi sang sơ đồ địa
chỉ công cộng mới.
NAT ẩn địa chỉ IPv4 của người dùng và các thiết bị khác.
NAT làm phức tạp việc sử dụng các giao thức đường hầm, chẳng hạn như IPsec.
Các dịch vụ yêu cầu bắt đầu kết nối TCP từ mạng bên ngoài hoặc các giao thức không trạng thái, chẳng
hạn như các giao thức sử dụng UDP, có thể bị gián đoạn.
3. Static NAT
NAT tĩnh là ánh xạ một-một giữa địa chỉ bên trong và địa chỉ bên ngoài.
NAT tĩnh cho phép các thiết bị bên ngoài bắt đầu kết nối với các thiết bị bên trong bằng cách sử dụng địa
chỉ công cộng được chỉ định tĩnh.
Chẳng hạn, một máy chủ web nội bộ có thể được ánh xạ tới một địa chỉ toàn cầu bên trong cụ thể để có
thể truy cập được từ các mạng bên ngoài.
Có hai nhiệm vụ cơ bản khi cấu hình các bản dịch NAT tĩnh:
Bước 1 - Tạo ánh xạ giữa địa chỉ cục bộ bên trong và địa chỉ toàn cầu bên trong bằng lệnh ip nat inside
source static.
Bước 2 - Các giao diện tham gia dịch được cấu hình bên trong hoặc bên ngoài so với NAT với lệnh ip nat
inside và ip nat outside .
Phân tích NAT tĩnh
Quá trình dịch NAT tĩnh giữa máy khách và máy chủ web:
R2 nhận các gói từ máy khách trên giao diện bên ngoài NAT của nó và kiểm tra bảng NAT của
nó.
R2 dịch địa chỉ toàn cầu bên trong thành địa chỉ cục bộ bên trong và chuyển tiếp gói tới máy chủ
web.
Máy chủ web nhận gói và trả lời máy khách bằng địa chỉ cục bộ bên trong của nó.
(a) R2 nhận gói từ máy chủ web trên giao diện bên trong NAT của nó với địa chỉ nguồn của địa
chỉ cục bộ bên trong của máy chủ web va (b) dịch địa chỉ nguồn thành địa chỉ toàn cầu bên trong.
Để xác minh hoạt động NAT, hãy đưa ra lệnh show ip nat translations.
Lệnh này hiển thị các bản dịch NAT đang hoạt động.
Bởi vì ví dụ này là một cấu hình NAT tĩnh, nên bản dịch luôn có trong bảng NAT bất kể hoạt
động truyền thông nào.
Nếu lệnh được đưa ra trong một phiên hoạt động, đầu ra cũng cho biết địa chỉ của thiết bị bên
ngoài.
Một lệnh hữu ích khác là hiển thị thống kê ip nat.
Nó hiển thị thông tin về tổng số bản dịch đang hoạt động, tham số cấu hình NAT, số lượng địa
chỉ trong nhóm và số lượng địa chỉ đã được phân bổ.
Để xác minh bản dịch NAT đang hoạt động, tốt nhất là xóa số liệu thống kê khỏi mọi bản dịch
trước đây bằng cách sử dụng lệnh clear ip nat Statistics trước khi kiểm tra.
4. Dynamic NAT
5. PAT
6. NAT64
M7
1) Purpose of WANs
2) Hoạt động trên mạng WAN
3) Kết nối Traditional WAN
4) Kết nối Modern WAN
5) Kết nối Internet-Based
M1
+ Công tắc: Các thiết bị này cho phép nhiều thiết bị đầu cuối như PC, máy chủ tệp, máy in, cảm
biến, máy ảnh và rô bốt sản xuất kết nối với mạng. Bộ chuyển mạch được sử dụng để cho phép
các thiết bị giao tiếp trên cùng một mạng.
+ Bộ định tuyến: Các thiết bị này kết nối các mạng và chọn các đường dẫn tốt nhất giữa các
mạng một cách thông minh. Chức năng chính của chúng là định tuyến lưu lượng từ mạng này
sang mạng khác. Ví dụ: bạn cần một bộ định tuyến để kết nối mạng văn phòng của bạn với
internet.
+ AP: Các thiết bị này cho phép các thiết bị không dây kết nối với mạng có dây. Một AP thường
kết nối với một bộ định tuyến như một thiết bị độc lập, nhưng nó cũng có thể là một thành phần
không thể thiếu của chính bộ định tuyến.
+ Hệ thống ngăn chặn xâm nhập (IPS): IPS là một hệ thống thực hiện phân tích sâu về lưu lượng
mạng, tìm kiếm các dấu hiệu cho thấy hành vi đáng ngờ hoặc độc hại. Nếu IPS phát hiện hành vi
như vậy, nó có thể thực hiện hành động bảo vệ ngay lập tức. IPS và tường lửa có thể hoạt động
cùng nhau để bảo vệ mạng.
-Truy cập từ một máy chủ TFTP, có thể thực hiện thông qua giao diện menu được cung cấp khi
khởi động hay có thể được thực hiện từ giao diện menu được cung cấp bởi sử dụng lệnh setup.
3. Mô tả các mode lệnh trong Cisco IOS. Thao tác lệnh vào mode:
4. Thao tác lệnh để đổi tên hostname trong Cisco IOS. Các quy tắc đặt tên thiết bị
Switch# configure terminal
Switch(config)# hostname S1
S1(config)# exit
5. Kết nối console dùng để làm gì? Trình bày thao tác cấu hình mật khẩu cho console (truy
cập EXEC mode), cả mật khẩu thường và mã hóa.
- Cổng console là một loại cổng quản lý, cung cấp đường kết nối riêng vào thiết bị router. Cổng
được sử dụng với mục đích thiết lập cấu hình cho router, theo dõi hoạt động của mạng và khắc
phục router khi gặp phải các sự cố.
- Các loại máy tính như PC, khi muốn kết nối vào cổng console, bạn cần phải có cáp rollover và
bộ chuyển đổi. Cisco sẽ cung cấp bộ chuyển đổi này để bạn thực hiện thao tác một cách nhanh
chóng và tiện lợi hơn.
- Thao tác cấu hình mật khẩu cho console (truy cập EXEC mode)
Branch-A(config-line)#pass cisco
Branch-A(config-line)#login
Branch-A(config-line)#exit
Branch-A(config)#banner motd &warning &
Branch-A(config)#enable secret class
Branch-A(config)#service password-encryption
6. Kết nối VTY dùng để làm gì? Trình bày thao tác cấu hình mật khẩu cho đường VTY:
- Kết nối VTY dùng để: Các đường VTY thường được sử dụng để tạo các phiên quản lý ngoài
băng tần cho các thiết bị. Nếu mật khẩu không được cung cấp trên dòng vty, dòng đó không thể
được sử dụng để quản lý thiết bị. Trong một số trường hợp, quản trị viên có thể quyết định để
nhân viên cấp dưới sử dụng dòng 0 - 4 và nhân viên cấp cao sử dụng dòng 5 - 15.
B1: Router >enable
B2: Router(config)#line vty 0 4
B3: Router(config-line)#login
B4: Router(config-line)#password cisco
7. Trình bày thao tác lệnh mã hóa tất cả mật khẩu:
Branch-A(config)#service password-encryption
8. Trình bày thao tác lệnh tạo banner motd:
Branch-A(config)#banner motd &warning &
9. Trình bày 2 lệnh startup-config, running-config:
- Lệnh show-config hiển thị cấu hình hiện tại của router, switch hoặc tuong lua. Cấu hình đang
chạy (running-configuration) là cấu hình có trong bộ nhớ của router. Bạn thay đổi cấu hình này
khi tạo ra các thay đổi đối với router.
- Để hiển thị cấu hình đang chạy, hãy sử dụng lệnh show running-config:
show running-config [all]
Mô tả cú pháp: all - (Tùy chọn) Hiển thị tất cả thông tin mặc định và được cấu hình.
Lệnh mặc định: Chỉ hiển thị thông tin đã cấu hình.
Chế độ lệnh: Chế độ EXEC
Ví dụ:
Ví dụ này cho thấy cách hiển thị các thay đổi mà bạn đã thực hiện đối với cấu hình đang chạy:
switch# show running-config
feature fcoe
feature telnet
feature tacacs+
feature udld
feature interface-vlan
feature lacp
feature vpc
feature lldp
feature fex
ator
no password strength-check
ip domain-lookup
server 192.168.2.54
use-vrf management
server 192.168.2.5
use-vrf management
hostname switch
--More--
switch#
- Lệnh này sẽ lưu cấu hình hiện đang được sửa đổi (trong RAM), còn được gọi là cấu hình đang
chạy, thành NVRAM. Nếu mất điện, NVRAM sẽ bảo toàn cấu hình này. Nói cách khác, nếu bạn
chỉnh sửa cấu hình của router, không sử dụng lệnh này, sau đó khởi động lại router, các thay đổi
đó sẽ bị mất. Lệnh này có thể được viết tắt là copy run start. Lệnh copy cũng có thể được sử dụng
để sao chép cấu hình đang chạy hoặc khởi động từ router sang TFTP server trong trường hợp có
sự cố xảy ra với router.
Lệnh trên sẽ tải lại bộ định tuyến lúc 2:00 PM trong ngày hiện tại.
Lệnh trên sẽ tải lại bộ định tuyến vào lúc 2:00 PM ngày 10 tháng 1.
Cả hai lệnh trên đều giả định rằng bạn đã định cấu hình cài đặt đồng hồ chính xác trên thiết bị
(NTP hoặc cài đặt đồng hồ hệ thống thủ công).
CiscoRouter# reload in 2
Lệnh trên sẽ tải lại bộ định tuyến sau 2 phút kể từ bây giờ. Rất hữu ích như chúng ta sẽ thấy
trong trường hợp đặc biệt dưới đây.
CiscoRouter# show reload
Lệnh trên hiển thị trạng thái hiện tại của lệnh tải lại. Nếu bạn đã lên lịch thao tác tải lại sau một
khoảng thời gian kể từ bây giờ, lệnh trên sẽ hiển thị thời gian chính xác khi thiết bị sẽ khởi động
lại.
CiscoRouter# reload cancel
Lệnh trên sẽ hủy bỏ mọi hoạt động tải lại theo lịch trình.
12. Trình bày cách cấu hình IP trên cisco switch thông qua vlan 1:
B1 :Gõ lệnh conf terminal
B2:Gõ lệnh interface vlan 1
B3 Gõ lệnh IP address (nhap IP) (subnet mask)
B4: Gõ lệnh no shutdown
B5: thoát ra bằng lệnh exit
M3
1. Trình bày các tùy chọn truyền message: unicast, multicast, broadcast:
Có nhiều giao thức được sử dụng để giao tiếp hoặc truyền đạt thông tin trên Internet, dưới đây là
một số các giao thức tiêu biểu:
s
Mô hình OSI: là mô hình tham chiếu kết nối các hệ thống mở – là một thiết kế dựa vào nguyên lý
tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế
giao thức mạng giữa chúng. Mô hình này được phát triển thành một phần trong kế hoạch Kết nối
các hệ thống mở (Open Systems Interconnection) do ISO và IUT-T khởi xướng. Nó còn được gọi
là Mô hình bảy tầng của OSI
Mô hình OSI gồm 7 tầng giao thức với các nguyên tắc sau:
Các tầng có tính độc lập tương đối với nhau thực hiện các
chức năng riêng biệt
Cho phép thay đổi chức năng hoặc giao thức trong một tầng
không làm ảnh hưởng đến các tầng khác.
Có thể chia một tầng thành các tầng con khi cần thiết.
Cho phép huỷ bỏ các tầng con nếu thấy không cần thiết.
Bảo đảm liên kết cho nhiều hệ thống mạng khác nhau
Thích ứng với nhu cầu phát triển các công nghệ mới trong
tương lai…
Vai trò và chức năng của mô hình OSI.
Tầng Application là tầng trên cùng trong mô hình, chịu trách nhiệm xác định giao diện giữa người
dùng cuối và môi trường OSI. Tầng Application cung cấp các giao thức giúp phần mềm gửi, nhận
thông tin và trình bày dữ liệu cho người dùng.
Các đối tác giao tiếp, chất lượng dịch vụ sẽ được xác định, xem xét và cân nhắc xác thực người
dùng, quyền riêng tư và bất kỳ ràng buộc nào về cú pháp dữ liệu. Tầng này chủ yếu cung cấp nền
tảng làm việc (framework) mà ứng dụng đó chạy bên trên.
Telnet và FTP là các ứng dụng tồn tại hoàn toàn ở cấp Application. Kiến trúc ứng dụng tầng là
một phần của tầng này.
Tầng Presentation giải quyết các vấn đề về cú pháp và ngữ nghĩa của thông tin truyền đi, nhằm
biểu diễn thông tin phù hợp với thông tin làm việc của mạng và ngược lại. Nói cách khác, sau khi
lấy dữ liệu từ tầng Application, tầng này sẽ cung cấp khả năng biểu diễn dữ liệu độc lập (ví dụ: mã
hóa) và biến đổi các dữ liệu này thành định dạng chuẩn để các tầng khác có thể hiểu được.
Để giao tiếp mạng có thể diễn ra đúng cách, dữ liệu cần được cấu trúc theo một chuẩn nào đó, và
công việc này diễn ra ở tầng Session. Đôi khi tầng này còn được gọi là tầng syntax.
Tầng phiên cho phép người dùng trên nhiều máy khác nhau thiết lập, duy trì và đồng bộ phiên
truyền thông với nhau. Nói một cách đơn giản, tầng phiên có khả năng thiết lập “các giao dịch”
giữa các thực thể đầu cuối.
Tầng này cung cấp liên kết giữa hai đầu cuối sử dụng dịch vụ phiên để đồng bộ trao đổi dữ liệu và
khi kết thúc thì giải phóng liên kết. Trong phương thức truyền đồng thời hay luân phiên, quá trình
này sử dụng token để truyền dữ liệu, đồng bộ hóa và hủy bỏ liên kết. Nhờ thiết lập nhiều điểm
đồng bộ hóa trong hội thoại nên khi xảy ra sự cố, hội thoại có thể được khôi phục từ một điểm
đồng bộ hóa đã thỏa thuận.
Tầng 4 trong mô hình OSI là tầng cao nhất liên quan đến các giao thức trao đổi dữ liệu giữa các hệ
thống mở. Tầng này hỗ trợ các chuyển giao dữ liệu trong suốt giữa các end system hoặc các host,
chịu trách nhiệm cho việc phục hồi lỗi end-to-end và kiểm soát luồng từ đầu đến cuối.
Windows cho phép người dùng có thể chạy nhiều ứng dụng cùng lúc, do đó, hệ điều hành sẽ hỗ
trợ cho các giao tiếp đồng thời. Tầng Transport sẽ lấy dữ liệu từ các ứng dụng và tích hợp chúng
trong cùng một luồng để chuyển giao dữ liệu. Về cơ bản, tầng này giúp đảm bảo chu trình truyền
dữ liệu hoàn chỉnh từ máy gửi đến máy nhận.
Tầng 3 cung cấp các công nghệ chuyển mạch và định tuyến, tạo các logic path hay còn được biết
đến là các mạch ảo, để truyền dữ liệu từ node này sang node khác. Định tuyến và chuyển tiếp là
các chức năng cơ bản của tầng này cũng như address, internetworking, xử lý lỗi, kiểm soát tắc
nghẽn và trình tự packet.
Hiểu một cách cơ bản, tại tầng network này, dữ liệu sẽ được chia thành các gói nhỏ để tránh tình
trạng kích thước dữ liệu vượt quá dung lượng tối đa của 1 gói, sau đó thực hiện gán cho mỗi gói
một thứ tự nhận dạng. Ở phía máy người nhận, khi dữ liệu đến, tầng network sẽ chịu trách nhiệm
kiểm tra thứ tự nhận dạng của các gói để lấy cơ sở sắp xếp chúng đúng với thứ tự đã được gán khi
gửi.
Lấy một ví dụ để hình dung, khi bạn gửi đi một email có dung lượng quá lớn, bạn chia nhỏ mail
đó thành các mail với dung lượng nhỏ hơn và đánh số thứ tự để người nhận có thể nắm được trình
tự nội dung trong đó.
Tầng liên kết dữ liệu thực hiện việc thiết lập, duy trì, hủy bỏ các liên kết dữ liệu, đồng thời kiểm
soát lỗi và lưu lượng.
Tại tầng này, các gói dữ liệu sẽ được mã hóa và giải mã thành các bit. Data link cung cấp kiến
thức về giao thức truyền tải, quản lý, xử lý các lỗi trong tầng physical, điều khiển luồng và đồng
bộ hóa frame. Tầng Data link này được chia thành 2 tầng con: tầng Media Access Control (MAC)
và Logical Link Control (LLC). Tầng MAC sẽ kiểm soát việc truy cập và truyền tải dữ liệu của
máy tính trên mạng. Tầng LLC kiểm soát đồng bộ hóa frame, kiểm soát luồng và kiểm tra lỗi.
Đây là tầng dưới cùng trong mô hình OSI, chịu trách nhiệm xác định các chức năng, thủ tục về
điện, cơ, quang để kích hoạt, duy trì và giải phóng kết nối vật lý giữa các hệ thống mạng. Tầng
Physical cung cấp các tài nguyên phần cứng để gửi và nhận dữ liệu trên một carrier, bao gồm xác
định cáp, card và các thành phần vật lý.
Ngoài ra, tầng này còn đảm bảo các yêu cầu về chuyển mạch hoạt động nhằm tạo ra đường truyền
thực cho các chuỗi bit thông tin. Các chuẩn trong tầng vật lý là các chuẩn xác định giao diện người
dùng và môi trường mạng. Fast Ethernet, RS232 và ATM là các giao thức với thành phần trong
tầng Physical.
Có hai giao thức được sử dụng trong mô hình OSI là giao thức hướng liên kết và giao thức không
liên kết.
Trước khi truyền dữ liệu, các thực thể trong cùng một tầng của hai hệ thống khác nhau sẽ thiết lập
một liên kết logic chung. Tiếp theo, chúng sẽ tiến hành giao tiếp với nhau về tập các tham số, có
thể cắt bớt hoặc hợp nhất dữ liệu, liên kết khi đó sẽ được hủy bỏ. Việc thiết lập liên kế này giúp
làm tăng độ tin cậy và an toàn.
Mô hình OSI
Mô hình TCP/IP
Mô hình TCP/IP
TCP/IP: là bộ giao thức chuẩn giúp các hệ thống (platforms) khác nhau
truyền thông với nhau, là giao thức chuẩn của truyền thông Internet.
Cách thức hoạt động của mô hình TCP/IP:
Mô hình TCP/IP hoạt động dựa trên sự phối hợp giữa hai giao thức .Giao thứ đầu tiên là giao thứ
IP (Giao thức liên mạng) cho phép các gói tin được gửi đến đích đã định sẵn, bằng cách thêm các
thông tin dẫn đường vào các gói tin để các gói tin được đến đúng đích đã định sẵn ban đầu. Và
giao thức TCP (Giao thức truyền vận) đóng vai trò kiểm tra và đảm bảo sự an toàn cho mỗi gói tin
khi đi qua mỗi trạm. Trong quá trình này, nếu giao thức TCP nhận thấy gói tin bị lỗi, một tín hiệu
sẽ được truyền đi và yêu cầu hệ thống gửi lại một gói tin khác. Quá trình hoạt động này sẽ được
làm rõ hơn ở chức năng của mỗi tầng trong mô hình TCP/IP.
Một mô hình TCP/IP tiêu chuẩn bao gồm 4 lớp được chồng lên nhau:
Là sự kết hợp giữa tầng Vật lý và tầng liên kết dữ liệu của mô hình OSI. Chịu trách nhiệm truyền
dữ liệu giữa hai thiết bị trong cùng một mạng. Tại đây, các gói dữ liệu được đóng vào khung (gọi
là Frame) và được định tuyến đi đến đích đã được chỉ định ban đầu.
Gần giống như tầng mạng của mô hình OSI. Tại đây, nó cũng được định nghĩa là một giao thức
chịu trách nhiệm truyền tải dữ liệu một cách logic trong mạng. Các phân đoạn dữ liệu sẽ được
đóng gói (Packets) với kích thước mỗi gói phù hợp với mạng chuyển mạch mà nó dùng để truyền
dữ liệu. Lúc này, các gói tin được chèn thêm phần Header chứa thông tin của tầng mạng và tiếp
tục được chuyển đến tầng tiếp theo. Các giao thức chính trong tầng là IP, ICMP và ARP.
Chức năng chính của tầng 3 là xử lý vấn đề giao tiếp giữa các máy chủ trong cùng một mạng hoặc
khác mạng được kết nối với nhau thông qua bộ định tuyến. Tại đây dữ liệu sẽ được phân đoạn,
mỗi đoạn sẽ không bằng nhau nhưng kích thước phải nhỏ hơn 64KB. Cấu trúc đầy đủ của một
Segment lúc này là Header chứa thông tin điều khiển và sau đó là dữ liệu.
Trong tầng này còn bao gồm 2 giao thức cốt lõi là TCP và UDP. Trong đó, TCP đảm bảo chất
lượng gói tin nhưng tiêu tốn thời gian khá lâu để kiểm tra đầy đủ thông tin từ thứ tự dữ liệu cho
đến việc kiểm soát vấn đề tắc nghẽn lưu lượng dữ liệu. Trái với điều đó, UDP cho thấy tốc độ
truyền tải nhanh hơn nhưng lại không đảm bảo được chất lượng dữ liệu được gửi đi.
Đây là lớp giao tiếp trên cùng của mô hình. Đúng với tên gọi, tầng Ứng dụng đảm nhận vai trò
giao tiếp dữ liệu giữa 2 máy khác nhau thông qua các dịch vụ mạng khác nhau (duyệt web, chat,
gửi email, một số giao thức trao đổi dữ liệu: SMTP, SSH, FTP,...). Dữ liệu khi đến đây sẽ được
định dạng theo kiểu Byte nối Byte, cùng với đó là các thông tin định tuyến giúp xác định đường đi
đúng của một gói tin.
TCP/IP
Điểm chung:
Phương pháp Tiếp cận theo chiều dọc Tiếp cận theo chiều ngang
tiếp cận
Sự kết hợp Mỗi tầng khác nhau sẽ thực hiện một Trong tầng ứng dụng có tầng
giữa các tầng nhiệm vụ khác nhau, không có sự kết hợp trình diễn và tầng phiên được kết
giữa bất cứ tầng nào hợp với nhau
Thiết kế Phát triển mô hình trước sau đó sẽ phát Các giao thức được thiết kế trước
triển giao thức sau đó phát triển mô hình
Số lớp (tầng) 7 4
Truyền thông Hỗ trợ cả kết nối định tuyến và không dây Hỗ trợ truyền thông không kết
nối từ tầng mạng
Tính phụ Giao thức độc lập Phụ thuộc vào giao thức
thuộc
M4
Cáp UTP là một loại dây cáp mạng xoắn đôi không chống nhiễu, 2 dây xoắn với nhau tạo thành
một đôi không có lớp vỏ bọc bên ngoài chống nhiễu. Với cáp mạng UTP do không có vỏ bọc
chống nhiễu nên hiệu quả tín hiệu đường truyền không ổn định.
Cáp UTP có tính linh hoạt và độ bền cao nên việc sử dụng dây cáp này sẽ chỉ gặp một số vấn đề
khi bị tác động từ bên ngoài môi trường quá lớn, còn lại thì hiệu quả sử dụng tốt mà giá lại rẻ
hơn nhiều sơ với các loại cáp khác. Cáp mạng UTP do không có vỏ bọc chống nhiễu nên dễ bị
nhiễu khi đặt gần các thiết bị hoặc dây cáp khác do đó nên dùng để đi dây trong nhà.
Cáp mạng UTP mang lại tiện ích nhất và được sử dụng hầu hết trong các gia đình, văn phòng
thậm chí còn được sử dụng trong cả các doanh nghiệp quy mô lớn do chi phí thấp hơn chẳng
hạn cáp mạng Cat5e. Cáp UTP là sự lựa chọn hàng đầu từ người dùng bởi vì nó rẻ hơn và tìm
dế dàng hơn trong đa số các nhà bán lẻ, kết nối dây cáp và thiết bị máy tính nhanh và chính xác
hơn. Vì vậy cáp UTP được sử dụng rộng rãi hơn, tiết kiệm chi phi mà vẫn đáp ứng được các nhu
cầu sử dụng của khách hàng.
gồm nhiều cặp xoắn lại giống như cáp STP nhưng không có lớp vỏ đồng chống nhiễu. UTP lõi
dây sử dụng chuẩn 10BaseT hoặc 100BasseT, tín hiệu đường truyền tốt với độ dài tối đa là 100
mét. Cáp UTP được phân làm 2 loại từ cáp là có khả năng chống nhiễu và tốc độ truyền tải tín
hiệu.
Cáp STP lại được chia ra làm hai loại là loại có vỏ chống nhiễu chung và vỏ chống nhiễu riêng.
Cáp STP cũng được chia thành loại có vỏ chống nhiễu chung và vỏ chống nhiễu riêng.
Cáp có vỏ chống nhiễu chung có lớp vỏ chống nhiễu chung hoặc riêng trên các cặp cáp xoắn.
Cũng như lớp vỏ chống nhiễu riêng, cáp có vỏ chống nhiễu chung giúp ngăn nhiễu điện từ.
Đối với cáp có lớp vỏ chống nhiễu riêng, mỗi một cặp xoắn hoặc hai cặp xoắn sẽ được bao bọc
bởi một lá nhôm chống nhiễu. Lớp vỏ chống nhiễu sẽ giúp bảo vệ cáp khỏi hiện tượng nhiễu
điện từ từ bên ngoài vào hoặc ra. Ngoài ra nó cũng ngăn chặn hiện tượng nhiễu xuyên âm giữa
các cặp cáp.
Việc bạn kết nối đầu HD qua cổng Optical/Coaxial được thực hiện khá đơn giản. Tùy vào các
kết nối hiện có trên các đầu HD, receiver, TV,.. để lựa chọn được kiểu kết nối phù hợp
1) Cable chéo và cable thẳng dùng trong các kết nối nào?
Kết nối máy tính với cổng thông thường của switch/hub.
Kết nối máy tính với cổng LAN của Modem DSL/cables.
Kết nối cổng WAN của Router với cổng LAN của modem/modem DSL.
Sử dụng một máy tính với một máy tính không có bộ chuyển mạch hoặc hub.
Mạng phát triển cho thiết bị mạng. Ví dụ: đường dẫn đến bộ định tuyến.
Cáp chéo cho phép người ta thiết lập kết nối trực tiếp giữa 2 thiết bị điện toán bằng cổng
Ethernet.
Nó kết nối 2 máy tính trực tiếp.
Đánh giá giao thoa Nghèo Rất tốt so với bất kỳ loại
cáp nào khác
3) Trình bày các chuẩn không dây: IEEE 802.11, 802.15, 802.16, 802.15.4:
Các nhóm con của Tổng quát Khái niệm cơ bản về các khái niệm mạng
chuẩn 802 vật lý và logic.
802.11 Wifi Kiểm soát truy cập mạng LAN không dây và
đặc tả lớp vật lý. Được chia thành các chuẩn
802.11a, b, g, v.v. Các sản phẩm sử dụng tiêu
chuẩn 802.11 sau khi vượt qua các bài kiểm
tra sẽ có “chứng nhận Wifi” của tổ chức Wi-
Fi Alliance.
802.15 Wireless Personal Area Được IEEE phê duyệt vào đầu năm 2002 cho
Networks (Mạng khu vực cá wireless personal area networks (mạng khu
nhân không dây) vực cá nhân không dây - WPAN).
802.15.4 ZigBee Mạng cảm biến không dây tầm ngắn
802.16 Wireless Metropolitan Area Ngủ đông (vẫn chưa được ứng dụng vào thực
Networks (Mạng khu vực đô tế). Nhóm tiêu chuẩn này bao gồm các
thị không dây) phương pháp truy cập không dây băng thông
rộng cố định và di động, được sử dụng để tạo
mạng khu vực đô thị không dây. Kết nối các
trạm cơ sở với Internet bằng OFDM ở các dải
tần không được cấp phép (900 MHz, 2,4, 5,8
GHz) hoặc được cấp phép (700 MHz, 2,5 -
3,6 GHz). Các sản phẩm thực hiện tiêu chuẩn
802.16 có thể phải trải qua kiểm tra chứng
nhận WiMAX.
Access point (AP) là một thiết bị tạo ra một mạng không dây cục bộ, hoặc WLAN, thường trong
một văn phòng hoặc tòa nhà lớn. Một điểm truy cập access point là một trạm truyền và nhận dữ
liệu. Có thể gọi chúng là bộ thu phát wifi.
Một điểm truy cập Access Point kết nối người dùng với những người dùng khác trong cùng một
mạng. Ngoài ra chúng còn đóng vai trò là điểm kết nối giữa mạng WLAN và mạng dây cố định.
Trong một khu vực mạng được xác định thì mỗi điểm truy cập Access Point có thể phục vụ
nhiều người dùng. Nếu khi mọi người di chuyển ra ngoài phạm vi của một điểm truy cập, thì
chúng sẽ tự động được chuyển sang điểm tiếp theo.
Bộ điều khiển giao diện mạng ( NIC , còn được gọi là thẻ giao diện mạng , [3] bộ điều hợp
mạng , bộ điều hợp mạng LAN hoặc giao diện mạng vật lý , [4] và theo các thuật ngữ tương tự) là
một thành phần phần cứng máy tính kết nối máy tính với mạng máy tính . [5]
Các bộ điều khiển giao diện mạng ban đầu thường được triển khai trên các thẻ mở rộng cắm
vào bus máy tính . Chi phí thấp và phổ biến của tiêu chuẩn Ethernet có nghĩa là hầu hết các máy
tính mới hơn đều có giao diện mạng được tích hợp trong bo mạch chủ hoặc được chứa trong
một dongle kết nối USB .
Bộ điều khiển giao diện mạng hiện đại cung cấp các tính năng nâng cao như giao
diện ngắt và DMA cho bộ xử lý máy chủ, hỗ trợ nhiều hàng đợi nhận và truyền, phân vùng thành
nhiều giao diện logic và xử lý lưu lượng mạng trên bộ điều khiển như công cụ giảm tải TCP.
M6
1. Trình bày 2 lớp con LLC và MAC trong lớp Data Link:
Tầng Data link trong mạng Lan sử dụng 2 giao thức là LLC (logical link control) và MAC (Media
Access Control ) được nằm trong bộ tiêu chuẩn Ethernet.
· Giao thức LLC dùng để liên kết dữ liệu với tầng trên chỉ ra giao thức hoạt động ở tầng
mạng (IP, IPX, Apple talk) đã đòng gói ra packet trong phần data của Frame.
· Giao thức MAC tham gia trực tiếp việc đóng gói Packet thành Frame thêm vào địa chỉ Mac
nguồn và Mac đích trong Frame, thêm vào các nhóm bít bắt đầu và mã kết thúc của một Frame và
điều khiển Frame truy cập đường truyền.
Mô hình Ring: Một kiến trúc khác là Ring, trong đó mỗi trạm được kết nối đến trạm kết
tiếp và trạm cuối được kết nối đến trạm đầu tiên (về cơ bản một kiến trúc bus với hai đầu được
kết nối). Hai loại mạng chính sử dụng kiến trúc Ring:
Công nghệ FDD1 (FDDI: Fiber Distributed Data Interface) – Một kiến trúc mạng được
dùng cho mạng lớn và tốc độ cao sử dụng cáp quang trong kiến trúc Ring vật lý.
Mạng Token-Ring – Sử dụng kiến trúc ring logic.
Thoạt nhìn mạng Token-Ring giống với mạng Ethernet 10BASE-T hay 10/100 do cả hai
mạng này sử dụng một thiết bị kết nối trung tâm và một kiến trúc Star vật lý. Nơi nào là “vòng”
trong Token-Ring?
Vòng tồn tại chỉ trong thiết bị kết nối các máy tính, được gọi là Bộ truy cập nhiều trạm
(MSA U: multistation access unit) trong mạng Token-Ring.
Các tín hiệu phát sinh từ một máy tính đến MSAU, được gửi sang máy tính khác và kế
tiếp trở về MSAU. Dữ liệu này sau đó lần lượt qua mỗi hệ thống cho đến khi nó trờ về máy tính
đã tạo ra nó, nơi nó được gỡ bỏ khỏi mạng. Do đó mặc dù kiến trúc mạng dây vật lý là dạng sao,
đường dẫn dữ liệu về lý thuyết lại là một vòng. Đây được gọi là vòng logic (logical ring).
Một vòng logic mà mạng Token-Ring sử dụng là thích hợp cho kiến trúc mạng vòng vật
lý do nó cho mức độ khả năng kháng lỗi lớn hơn. Như trên mạng bus, cáp gián đoạn bất kỳ nơi
nào trên kiến trúc mạng vòng vật lý, chẳng hạn FDD1, gây ảnh hưởng đến toàn bộ mạng. Mạng
FDDI dùng hai vòng vật lý để cung cấp một sao lưu dự phòng trong trường hợp một vòng bị
hòng. Ngược lại, trong mạng Token-Ring, MSAU tháo bỏ hiệu quả máy tính lỗi khỏi vòng logic,
phần còn lại của mạng vẫn hoạt động bình thường.
Trong viễn thông,hệ thống liên lạc duplex là một hệ thống point-to-point của 2 thiết bị
có thể giao tiếp với nhau theo cả 2 hướng. Hai loại hệ thống truyền thông duplex này tồn tại
trong môi trường Ethernet:
- Half Duplex : Một cổng chỉ có thể gửi dữ liệu khi nó không nhận dữ liệu. Nói cách khác,nó
không thể gửi và nhận dữ liệu cùng một lúc. Các trung tâm mạng chạy ở chế độ Half Duplex để
tránh xung đột. Vì các trung tâm rất hiếm trong các mạng LAN hiện đại,nên hệ thống Half
Duplex không được sử dụng rộng rãi trong mạng Ethernet nữa.
- Full Duplex : Tất cả các nút có thể gửi và nhận trên cổng của chúng có cùng một lúc. Không
có xung đột trong chế độ duplex,nhưng NIC chủ và cổng chuyển mạch phải hỗ trợ chế độ
duplex. Ethernet duplex sử dụng 2 cặp dây cùng một lúc thay vì một cặp dây đơn lẻ như Half
Duplex.
Frame:
M7
Tất cả các địa chỉ Ethernet (Bao gồm Unicast, Broadcast và Multicast) đều có độ dài 6 byte ( 48-
bit-Long ) hoặc Địa chỉ thập lục phân 12 ký tự. Hầu hết các máy tính liệt kê địa chỉ này dưới
dạng số Hệ thập lục phân gồm 12 chữ số. Cisco chia nó thành 3 nhóm: Ví dụ: 2001.1111.1111
Địa chỉ MAC Ethernet là một địa chỉ phần cứng, do đó, nó PHẢI nhận dạng duy nhất mọi thiết
bị Ethernet trên thế giới. Khi các nhà cung cấp tạo ra các thiết bị mạng như Ethernet NIC, thiết bị
không dây, bộ định tuyến và bộ chuyển mạch, họ ghi các địa chỉ này vào thiết bị của họ.
Địa chỉ MAC có ít tên, bao gồm Địa chỉ hysical P , Địa chỉ Ethernet , Địa chỉ ghi trong và Địa
chỉ phần cứng . Bất kể nó được gọi là gì, nó là một Địa chỉ thập lục phân 12 ký tự. Ví dụ:
Cb54 . 5689 . 90cc (Cách hiển thị địa chỉ MAC của Cisco)
18 : 40 : 58 : 76 : 90 : hh (Cách hiển thị địa chỉ MAC của Linux
MAC là viết tắt của Media Access Control. Cụ thể, MAC là ID của card mạng máy tính và giúp
phân biệt với các card mạng khác trong 1 máy tính.
Địa chỉ mac là một dạng giao diện mặc định duy nhất của một thiết bị và được gắn với bộ chuyển
đội vật lý do nhà sản xuất quy định.
Các địa chỉ mac có dạng dãy kí tự bao gồm 12 số. 6 số đầu tiên thuộc về nhà sản xuất. 6 số cuối
cùng là của bộ chuyển đổi.
4. Trình bày các phương thức forwarding frame (chuyển tiếp frame) trên Cisco:
Frame forwarding: bất kỳ khách truy cập nào sẽ vẫn thấy www.your-old-domain.co.uk trong
thanh địa chỉ của trình duyệt của họ.
URL forwarding: bất kỳ khách truy cập nào sẽ thấy www.your-old-domain.co.uk thay đổi thành
www.your-new-domain.com trong thanh địa chỉ của trình duyệt của họ.
M8
1. Trình bày các trường trong đinh dạng Ipv4 packet
Lá cờ
Phần bù đắp
IPv4 - Nguồn sử dụng địa chỉ IP riêng và mặt nạ mạng con, cùng với địa chỉ IP đích
IPv6 - Nguồn sử dụng địa chỉ mạng và tiền tố được quảng cáo bởi bộ định tuyến cục
bộ
Lưu lượng cục bộ được đưa ra khỏi giao diện máy chủ để được xử lý bởi một thiết bị
trung gian.
Lưu lượng truy cập từ xa được chuyển tiếp trực tiếp đến cổng mặc định trên mạng LAN.
3. Các tính năng của default gateway. Trình bày Host Routes to the Default
Gateway
Các tính năng của default gateway
Bộ định tuyến hoặc bộ chuyển mạch lớp 3 có thể là cổng mặc định.
Nó phải có địa chỉ IP trong cùng dải với phần còn lại của mạng LAN.
Nó có thể chấp nhận dữ liệu từ mạng LAN và có khả năng chuyển tiếp lưu lượng
Máy chủ sẽ biết cổng mặc định (DGW) tĩnh hoặc thông qua DHCP trong IPv4.
IPv6 gửi DGW thông qua một bộ định tuyến (RS) hoặc có thể được định cấu hình theo
DGW là tuyến tĩnh sẽ là tuyến cuối cùng trong bảng định tuyến.
Tất cả thiết bị trong mạng LAN sẽ cần DGW của bộ định tuyến nếu chúng có ý định gửi
Trên Windows, định tuyến print hoặc netstat -r để hiển thị bảng định tuyến PC
Danh sách giao diện - tất cả các giao diện tiềm năng và địa chỉ MAC
6. Trình bày 3 loại route trong bảng định tuyến của router: Directly Connected,
Remote, Default Route
Có ba loại tuyến đường trong bảng định tuyến của bộ định tuyến:
Kết nối trực tiếp - Các tuyến đường này được bộ định tuyến tự động thêm vào, miễn
Từ xa - Đây là các tuyến mà bộ định tuyến không có kết nối trực tiếp và có thể học
được:
Tuyến đường mặc định - điều này chuyển tiếp tất cả lưu lượng truy cập đến một
hướng cụ thể khi không có kết quả phù hợp trong bảng định tuyến
Phải được quản trị viên điều chỉnh theo cách thủ công khi có sự thay đổi trong cấu
Thường được sử dụng kết hợp với giao thức định tuyến động để định cấu hình một
Dynamic Routing
Tìm đường dẫn tốt nhất mới khi có sự thay đổi cấu trúc liên kết
Định tuyến động cũng có thể chia sẻ các tuyến mặc định tĩnh với các bộ định tuyến khác.
Có hai địa chỉ chính được gán cho một thiết bị trên mạng LAN Ethernet:
Địa chỉ vật lý lớp 2(địa chỉ MAC): Được sử dụng cho giao tiếp NIC với
NIC trên cùng một mạng Ethernet
Địa chỉ logic lớp 3(địa chỉ IP): Được sử dụng để gửi gói tin từ nguồn thiết bị
đến thiết bị đích
Địa chỉ lớp 2 được sử dụng để phân phối các khung từ NIC này đến NIC khác trên
cùng một mạng. Nếu địa chỉ IP đích nằm trên cùng một mạng, địa chỉ MAC đích
sẽ là địa chỉ MAC của thiết bị đích
2. Trình bày tổng quan về ARP (chức năng, Removing Entries from an ARP
Table, câu lệnh xem ARP trên Cisco IOS, ARP Issues)
ARP Overview
Một thiết bị sử dụng ARP để xác định địa chỉ MAC đích của một thiết bị cục bộ khi
nó biết địa chỉ IPv4 của nó.
• Duy trì một bảng ARP của ánh xạ địa chỉ IPv4 đến MAC
ARP Functions
Để gửi một khung, một thiết bị sẽ tìm kiếm trong bảng ARP của nó để tìm địa chỉ
IPv4 đích và địa chỉ MAC tương ứng.
• Nếu địa chỉ IPv4 đích của gói nằm trên cùng một mạng, thiết bị sẽ tìm kiếm địa chỉ
IPv4 đích trong bảng ARP.
• Nếu địa chỉ IPv4 đích nằm trên một mạng khác, thiết bị sẽ tìm kiếm địa chỉ IPv4 của
cổng mặc định trong bảng ARP.
• Nếu thiết bị định vị địa chỉ IPv4, địa chỉ MAC tương ứng của nó sẽ được sử dụng
làm địa chỉ MAC đích trong khung.
• Nếu không tìm thấy mục nhập bảng ARP nào, thì thiết bị sẽ gửi yêu cầu ARP.
Các mục nhập trong bảng ARP không phải là vĩnh viễn và bị xóa khi bộ hẹn giờ bộ
nhớ cache ARP hết hạn sau một khoảng thời gian được chỉ định.
• Thời lượng của bộ hẹn giờ bộ nhớ cache ARP khác nhau tùy thuộc vào hệ điều
hành.
• Quản trị viên cũng có thể xóa các mục nhập trong bảng ARP theo cách thủ công.
Lệnh show ip arp hiển thị bảng ARP trên bộ định tuyến Cisco.
• Lệnh arp –a hiển thị bảng ARP trên PC chạy Windows 10.
Các yêu cầu ARP được nhận và xử lý bởi mọi thiết bị trong mạng cục bộ.
• Các chương trình phát sóng ARP quá mức có thể gây ra một số giảm hiệu suất.
• Phản hồi ARP có thể bị giả mạo bởi tác nhân đe dọa để thực hiện một cuộc tấn công
đầu độc ARP.
• Chuyển mạch cấp doanh nghiệp bao gồm các kỹ thuật giảm thiểu để bảo vệ chống
lại các cuộc tấn công ARP.
<output omitted>
R1#
show ip interfaces
R1# show ip interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
Internet address is 192.168.10.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing Common access list is not set
Outgoing access list is not set
Inbound Common access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP Flow switching is disabled
<output omitted>
R1#
show ipv6 interfaces
R1# show ipv6 interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::868A:8DFF:FE44:49B0
No Virtual link-local address(es):
Description: Link to LAN
Global unicast address(es):
2001:DB8:ACAD:10::1, subnet is 2001:DB8:ACAD:10::/64
Joined group address(es):
FF02::1
FF02::1:FF00:1
FF02::1:FF44:49B0
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND NS retransmit interval is 1000 milliseconds
R1#
4. Trình bày Default Gateway on a Host và Default Gateway on a Switch
Default Gateway on a Host
Cổng mặc định được sử dụng khi máy chủ gửi gói đến thiết bị trên mạng khác.
Địa chỉ cổng mặc định nói chung là địa chỉ giao diện bộ định tuyến được gắn với
mạng cục bộ của máy chủ.
Để tiếp cận PC3, PC1 đánh địa chỉ một gói có địa chỉ IPv4 của PC3, nhưng chuyển
tiếp gói đến cổng mặc định của nó, giao diện G0/0/0 của R1.
Default Gateway on a Switch
Công tắc phải có địa chỉ cổng mặc định được định cấu hình để quản lý từ xa công tắc
từ mạng khác.
Để định cấu hình cổng mặc định IPv4 trên bộ chuyển mạch, hãy sử dụng lệnh cấu
hình toàn cầu địa chỉ ip cổng mặc định ip.
M11
1. Trình bày Net ID, host ID, subnet mask, prefix
Net ID và host ID
Địa chỉ IPv4 là địa chỉ phân cấp 32 bit được tạo thành từ phần mạng và phần máy
chủ.
Khi xác định phần mạng so với phần máy chủ, bạn phải xem luồng 32-bit.
Mặt nạ mạng con được sử dụng để xác định phần mạng và máy chủ.
Subnet Mask
Để xác định phần mạng và máy chủ của địa chỉ IPv4, mặt nạ mạng con được so
sánh với bit địa chỉ IPv4 từng bit, từ trái sang phải.
Quá trình thực tế được sử dụng để xác định các phần mạng và máy chủ được gọi là
ANDing.
Prefix
Độ dài tiền tố là một phương pháp ít rườm rà hơn được sử dụng để xác định địa
chỉ mặt nạ mạng con.
Độ dài tiền tố là số bit được đặt thành 1 trong mặt nạ mạng con.
Do đó, nó được viết bằng “ký hiệu gạch chéo”, hãy đếm số bit trong mặt nạ
mạng con và thêm dấu gạch chéo vào trước.
2. Trình bày ip mạng, ip host, ip broadcast
IP mạng
IP Host
IP Broadcast
Các IP public cho phép mọi mạng cục bộ được xác định trên Internet nói chung,
trong khi các IP private cắt giảm việc sử dụng địa chỉ IPv4 và cho phép router xử
lý lưu lượng truy cập cho tất cả các thiết bị gia đình.
7. Mô tả các phương pháp (bước) khắc phục sự cố cơ bản trong small network
Bước 1. Xác định vấn đề
Bước 2. Thiết lập một lý thuyết về nguyên nhân có thể xảy ra
Bước 3. Kiểm tra lý thuyết để xác định nguyên nhân
Bước 4. Thiết lập Kế hoạch Hành động và Thực hiện Giải pháp
Bước 5. Xác minh giải pháp và thực hiện các biện pháp phòng ngừa
Bước 6. Tài liệu phát hiện, hành động và kết quả
M1
1. Sau khi bật nguồn khởi động Switch Cisco, nó sẽ trải qua quá trình tự khởi động năm
bước nào ?
+ Sau khi bật nguồn bộ chuyển mạch Cisco, nó sẽ trải qua trình tự khởi động năm bước sau:
Bước 1: Đầu tiên, switch tải chương trình tự kiểm tra khi bật nguồn (POST) được lưu trữ trong
ROM. POST kiểm tra hệ thống con CPU. Nó kiểm tra CPU, DRAM và phần của thiết bị flash
tạo nên hệ thống tệp flash.
Bước 2: Tiếp theo, switch tải phần mềm bộ nạp khởi động. Bộ tải khởi động là một chương trình
nhỏ được lưu trữ trong ROM được chạy ngay sau khi POST hoàn tất thành công.
Bước 3: Bộ tải khởi động thực hiện khởi tạo CPU cấp thấp. Nó khởi tạo các thanh ghi CPU,
kiểm soát nơi bộ nhớ vật lý được ánh xạ, số lượng bộ nhớ và tốc độ của nó.
Bước 4: Bộ tải khởi động khởi chạy hệ thống tập tin flash trên bo mạch hệ thống.
Bước 5: Cuối cùng, bộ tải khởi động định vị và tải hình ảnh phần mềm hệ điều hành IOS mặc
định vào bộ nhớ và trao quyền điều khiển chuyển đổi cho IOS.
2. Trình bày các chỉ báo đèn LED của Switch Cisco (Switch LED Indicators)
System LED (SYST): Cho biết hệ thống có đang nhận điện và hoạt động bình thường hay không.
Redundant Power Supply LED (RPS): Hiển thị trạng thái RPS.
Port Status LED (STAT): Khi màu xanh lục, cho biết chế độ trạng thái cổng được chọn, đây là
chế độ mặc định. Trạng thái cổng sau đó có thể được hiểu bằng ánh sáng được liên kết với mỗi
cổng.
Port Duplex LED (DUPLX): Khi có màu xanh lục, cho biết chế độ song công cổng được chọn.
Sau đó, cổng song công có thể được hiểu bằng ánh sáng được liên kết với mỗi cổng.
Port Speed LED (SPEED): Khi màu xanh lục, cho biết chế độ tốc độ cổng được chọn. Tốc độ
cổng sau đó có thể được hiểu bằng ánh sáng liên quan đến mỗi cổng.
Power over Ethernet LED (PoE): Trình bày nếu công tắc hỗ trợ PoE. Cho biết trạng thái PoE của
các cổng trên công tắc.
3. Liệt kê các thao tác lệnh trong cấu hình Switch SVI. Nêu ý nghĩa các câu lệnh
Bước 1: Định cấu hình Management interface (Giao diện quản lý)
- Vào chế độ cấu hình chung
- Vào chế độ xác nhận giao diện cho SVI
- Định cấu hình giao diện quản lý Địa chỉ IPv4
- Định cấu hình giao diện quản lý Địa chỉ IPv6
- Kích hoạt giao diện quản lý
- Quay lại chế độ EXEC đặc quyền
- Lưu cấu hình
IOS Commands
Task
Save the running config to the startup S1# copy running-config startup-
config. config
4. Nêu các vấn đề ở lớp truy cập mạng (Network access). Trình bày các lỗi nhập và xuất
trân Interface (Interface Input & Output). Kịch bản khắc phục sự cố (troubleshooting) ở
lớp truy cập mạng
5. Trình bày các bước cấu hình dịch vụ SSH. Làm sao để kiểm chứng SSH đã hoạt động
tốt.
+ Trước khi định cấu hình SSH, Switch phải được định cấu hình ở mức tối thiểu với hostname và
cài đặt kết nối mạng chính xác.
Bước 1: Đặt tên cho ROUTER và SWITCH bằng lệnh hostname <tên>
Bước 2: Đặt tên DOMAIN NAME, domain name là để xác định trong khu vực đó và tên để xác
minh máy đó trong khu vực đó bằng lệnh ip domain-name <tên>
Bước 3: Tạo USERNAME và PASSWORD bằng lệnh username <tên user> ? <tên pass>. Dấu
? gồm password và secret, chọn secret để mã hoá và bảo mật tốt
Bước 4: Tạo CRYTO KEY, bằng lệnh crypto key ? rsa (IOS phải hỗ trợ)
- ? gồm generate và zeroize, sau đó nó phải hồi cần bao nhiêu bít nghĩa là key mã hoá dài bao
nhiêu, chọn 1024
=> Dấu ? có all và none và ssh và telnet, nếu ta chọn all thì nó sẽ vừa chọn talnet và ssh nên ta
chỉ chọnn ssh thôi
- Để hiển thị phiên bản và dữ liệu cấu hình cho SSH trên thiết bị mà bạn đã định cấu hình làm
máy chủ SSH, hãy sử dụng lệnh show ip ssh. Trong ví dụ, SSH phiên bản 2 được kích hoạt
6. Trình bày thao tác cấu hình Interfaces trên Router. Các lệnh dùng để kiểm chứng
Interface
Task Command
Vào giao diện dòng lệnh Router# configure terminal
Đặt tên Router# hostname R1
Đặt mật khẩu Enable được mã hoá R1 (config)# enable secret class
Vào giao diện line console R1 (config)# line console 0
Đặt mật khẩu cho giao diện line console R1 (config-line)# password cisco
Để đăng nhập R1 (config-line)# login
Thoát dòng giao diện line console R1 (config-line)# exit
Vào giao diện line vty R1 (config)# line vty 0 4
Đặt password cho line vty R1 (config-line)# password cisco
Để đăng nhập R1 (config-line)# login
Thoát dòng giao diện line vty R1 (config-line)# exit
Toàn bộ mật khẩu sẽ được mã hoá R1 (config)# service password-encrytion
- Cấu hình biểu ngữ thông báo mỗi lần mới vào cấu hình
- Lưu toàn bộ cấu hình
- Ví dụ hiển thị cấu hình cho các giao diện trên R1:
M3
1. Định nghĩa VLAN, các lợi ích của việc thiết kế VLAN, các loại VLAN
+ Định nghĩa VLAN
- VLAN là các kết nối logic với các thiết bị tương tự khác.
Việc đặt các thiết bị vào các VLAN khác nhau có các đặc điểm sau:
- Cung cấp phân đoạn các nhóm thiết bị khác nhau trên cùng một công tắc
- Cung cấp tổ chức dễ quản lý hơn
- Broadcasts, multicasts và unicasts được cách ly trong VLAN cá nhân
- Mỗi Vlan sẽ có dải địa chỉ IP riêng
- Miền quảng bá nhỏ hơn
Benefits Description
Simpler Management Similar groups will need similar applications and other
network resources
Native VLAN
- Điều này chỉ được sử dụng cho các liên kết trunk.
- Tất cả các khung được gắn thẻ trên liên kết trunk 802.1Q ngoại trừ những khung trên VLAN
gốc.
Management VLAN
- Điều này được sử dụng cho lưu lượng SSH/Telnet VTY và không được mang theo lưu lượng
người dùng cuối.
- Thông thường, Vlan là SVI cho Switch Lớp 2.
Voice VLAN
+ Cần có một Vlan riêng vì voice traffic yêu cầu:
- Đảm bảo băng thông
- Ưu tiên QoS cao
- Khả năng tránh tắc nghẽn
- Trì hoãn ít hơn 150 ms từ nguồn đến đích
- Toàn bộ mạng phải được thiết kế để hỗ trợ thoại.
2. Định nghĩa VLAN Trunk. Trình bày trường 802.1Q VLAN Tag
- Trunk là một liên kết point-to-point giữa hai thiết bị mạng.
+ Chức năng trung kế của Cisco:
- Cho phép nhiều hơn một VLAN
- Mở rộng VLAN trên toàn bộ mạng
- Theo mặc định, hỗ trợ tất cả các Vlan
- Hỗ trợ trung kế 802.1Q
+ Trình bày trường 802.1Q VLAN Tag
- Thông tin cơ bản về 802.1Q trunk:
- Gắn thẻ thường được thực hiện trên tất cả các VLAN.
- Việc sử dụng VLAN gốc được thiết kế để sử dụng cũ, giống như trung tâm trong ví dụ.
- Trừ khi được thay đổi, VLAN1 là VLAN gốc (native VLAN).
- Cả hai đầu của liên kế trunk phải được cấu hình với cùng một VLAN gốc (native VLAN).
- Mỗi đường trunk được cấu hình riêng biệt, vì vậy có thể có các VLAN gốc khác nhau trên các
đường trục riêng biệt.
3. Trình bày thao tác tạo VLAN trên IOS Cisco. Thao tác gán VLAN Port. Lệnh kiểm tra
thông tin VLAN. Thay đổi cổng VLAN, xóa VLAN
+ Trình bàu thao tác tạo VLAN trên IOS Cisco
- Chi tiết VLAN được lưu trữ trong tệp vlan.dat. Bạn tạo VLAN ở chế độ cấu hình toàn cầu
IOS Command
Task
+ Xoá VLAN
- Xóa VLAN bằng lệnh no vlan vlan-id.
+ Thận trọng: Trước khi xóa một VLAN, hãy gán lại tất cả các cổng cho một VLAN khác.
- Xóa tất cả các Vlan bằng lệnh delete flash:vlan.dat hoặc delete vlan.dat.
- Tải lại switch khi xóa tất cả các VLAN.
Lưu ý: Để khôi phục về mặc định gốc – rút tất cả cáp dữ liệu, xóa cấu hình khởi động và xóa tệp
vlan.dat, sau đó tải lại thiết bị.
4. Trình bày thao tác cấu hình Trunk, xác nhận cấu hình Trunk, đặt lại Trunk
+ Thao tác cấu hình trunk
IOS Command
Task
M4
1. Trình bày hoạt động Inter-VLAN Routing
+ Inter-VLAN Routing là gì?
- Vlan được sử dụng để phân đoạn các mạng Lớp 2 được chuyển đổi vì nhiều lý do. Bất kể lý do
là gì, các máy chủ trong một VLAN không thể giao tiếp với các máy chủ trong VLAN khác trừ
khi có một bộ định tuyến hoặc một bộ chuyển mạch Lớp 3 để cung cấp dịch vụ định tuyến.
- Định tuyến giữa các Vlan là quá trình chuyển tiếp lưu lượng mạng từ Vlan này sang Vlan khác.
2. Trình bày thao tác cấu hình lệnh Inter-VLAN Routing trên Router và Switch layer
+ Cấu hình S1 VLAN và Trunking
- Hoàn thành các bước sau để định cấu hình S1 với Vlan và trunking:
Bước 1. Tạo và đặt tên cho các VLAN.
Bước 2. Tạo giao diện quản lý.
Bước 3. Cấu hình các cổng truy cập(access ports).
Bước 4. Cấu hình cổng trunking(trunking ports).
+ Cấu hình S2 VLAN và Trunking
- Cấu hình cho S2 tương tự S1
M5
1. Trình bày chi tiết mục đích của việc sử dụng STP (Spanning Tree Protocol)
+ Mục đích
- Spanning Tree Protocol (STP) (IEEE 802.1D) chủ yếu được sử dụng để ngăn chặn các vòng lặp
lớp 2(layer 2 loops) và các broadcast storms, đồng thời cũng được sử dụng để dự phòng mạng .
Nó được phát triển vào khoảng thời gian mà việc khôi phục sau sự cố mất điện kéo dài một phút
trở lên được chấp nhận.
Lưu ý: Rapid PVST+ là triển khai RSTP của Cisco trên cơ sở mỗi VLAN. Với Rapid PVST+,
một phiên bản RSTP độc lập sẽ chạy cho mỗi Vlan.
SRWE
M6
1. Trình bày hoạt động của EtherChannel
Các lưu lượng bên trong EtherChannel có thể được phân phối trên các kết nối riêng lẽ theo một cách thức
xác định. Tuy nhiên, tải không nhất thiết phải được cân bằng trên tất cả các kết nối. Thay vào đó, các
frame sẽ được đưa vào trên một kết nối cụ thể như là kết quả của một thuật toán băm.
Việc phân phối tải qua các đường của một bundle (Etherchannel) được thực hiện theo thuật toán băm:
Thuật toán này có thể sử dụng : Địa chỉ IP nguồn, đích; Hoặc địa chỉ MAC nguồn, dích, hoặc có thể sử
dụng TCP/UDP cổng. Nếu chỉ sử dụng một địa chỉ hay một cổng thì việc truyền tải qua cổng này hay
cổng khác được thực hiện dựa vào các bit cuối cùng, và phụ thuộc vào số cổng của etherchannel. Nếu sử
dụng cả đích, và nguồn thì thuật toán này được thực hiện nhờ phép toán XOR các bit cuối của địa
chỉ.Thuật toán băm có thể dùng địa chỉ IP nguồn, địa chỉ IP đích hoặc là kết hợp của địa chi nguồn, đích,
MAC nguồn, MAC đích hoặc TCP/UDP cổng.
Thuật toán băm sẽ tính toán ra giá trị nhị phân, giá trị này sẽ chọn ra một kết nối trong bundle để chọn ra
kết nối thành viên nào sẽ mang frame đó. Nếu chỉ một địa chỉ hay một cổng được băm, switch sẽ đẩy
frame bằng cách dùng một hoặc nhiều bit nhi phân thấp để đưa vào kết nối. Nếu hai địa chỉ hay cổng
được hash, switch sẽ thực hiện thuật toán XOR trên một hoặc nhiều bit thấp của địa chỉ IP hoặc cổng
TCP/UDP. Ví dụ, nếu kết quả phép băm bằng 0, link 0 được dùng, nếu kết quả băng 1, link 1 được dùng.
Nếu một bundle dùng 4 kết nối, thuật toán băm sẽ dùng 2 bit cubic. Tương tự, một bundle có 8 kết nối sẽ
dùng một thuật toán băm trên 3 bit cuối.
Các nguyên tắc và hạn chế sau đây hữu ích cho việc định cấu hình EtherChannel:
Hỗ trợ EtherChannel - Tất cả các giao diện Ethernet phải hỗ trợ EtherChannel mà không yêu cầu các giao
diện phải liền kề về mặt vật lý.
Tốc độ và song công - Định cấu hình tất cả các giao diện trong EtherChannel để hoạt động ở cùng tốc độ
và ở cùng chế độ song công.
Khớp Vlan - Tất cả các giao diện trong gói EtherChannel phải được gán cho cùng một Vlan hoặc được
định cấu hình dưới dạng trung kế (hiển thị trong hình).
Phạm vi Vlan - Một EtherChannel hỗ trợ cùng một phạm vi Vlan được phép trên tất cả các giao diện
trong EtherChannel trung kế. Nếu phạm vi cho phép của các VLAN không giống nhau, các giao diện sẽ
không tạo thành một EtherChannel, ngay cả khi chúng được đặt ở chế độ tự động hoặc chế độ mong
muốn.
Hình minh họa một cấu hình cho phép EtherChannel hình thành giữa S1 và S2.
Nếu phải thay đổi các cài đặt này, hãy định cấu hình chúng ở chế độ cấu hình giao diện kênh cổng. Bất kỳ
cấu hình nào được áp dụng cho giao diện kênh cổng cũng ảnh hưởng đến các giao diện riêng lẻ. Tuy
nhiên, các cấu hình được áp dụng cho các giao diện riêng lẻ không ảnh hưởng đến giao diện kênh cổng.
Do đó, việc thay đổi cấu hình đối với giao diện là một phần của liên kết EtherChannel có thể gây ra sự cố
tương thích với giao diện.
Kênh cổng có thể được cấu hình ở chế độ truy cập, chế độ trung kế (phổ biến nhất) hoặc trên một cổng
được định tuyến.
3. Mô tả cách kiểm thử và xử lý sự cố trên EtherChannel
Như mọi khi, khi định cấu hình thiết bị trong mạng của mình, bạn phải xác minh cấu hình của mình. Nếu
có vấn đề, bạn cũng sẽ cần có khả năng khắc phục sự cố và khắc phục chúng. Có một số lệnh để xác minh
cấu hình EtherChannel:
Lệnh show interface port-channel hiển thị trạng thái chung của port channel interface.
Lệnh hiển thị tóm tắt etherchannel hiển thị một dòng thông tin trên mỗi kênh cổng.
Lệnh show etherchannel port-channel hiển thị thông tin về giao diện kênh cổng cụ thể.
Lệnh show interfaces etherchannel có thể cung cấp thông tin về vai trò của giao diện thành viên vật lý của
EtherChannel.
Tất cả các giao diện trong một EtherChannel phải có cùng cấu hình về tốc độ và chế độ song công, VLAN
riêng và được phép trên các đường trục và truy cập VLAN trên các cổng truy cập. Việc đảm bảo các cấu
hình này sẽ làm giảm đáng kể các sự cố mạng liên quan đến EtherChannel. Các sự cố phổ biến của
EtherChannel bao gồm:
Các cổng được chỉ định trong EtherChannel không phải là một phần của cùng một Vlan hoặc không được
định cấu hình dưới dạng trung kế. Các cổng có Vlan gốc khác nhau không thể tạo thành EtherChannel.
Trunking đã được định cấu hình trên một số cổng tạo nên EtherChannel, nhưng không phải tất cả chúng.
Bạn không nên định cấu hình chế độ trung kế trên các cổng riêng lẻ tạo nên EtherChannel. Khi định cấu
hình trung kế trên EtherChannel, hãy xác minh chế độ trung kế trên EtherChannel.
Nếu phạm vi cho phép của các VLAN không giống nhau, các cổng sẽ không tạo thành EtherChannel ngay
cả khi PAgP được đặt ở chế độ tự động hoặc chế độ mong muốn.
Các tùy chọn đàm phán động cho PAgP và LACP không được định cấu hình tương thích ở cả hai đầu của
EtherChannel.
Trong hình, giao diện F0/1 và F0/2 trên các công tắc S1 và S2 được kết nối với EtherChannel. Tuy nhiên,
EtherChannel không hoạt động.
M7
1) Các khái niệm trên DHCPv4
Giao thức cấu hình máy chủ động v4 (DHCPv4) gán địa chỉ IPv4 và thông tin cấu hình mạng khác một
cách linh hoạt. Bởi vì các máy khách để bàn thường chiếm phần lớn các nút mạng, DHCPv4 là một công
cụ cực kỳ hữu ích và tiết kiệm thời gian cho các quản trị viên mạng.
Máy chủ DHCPv4 chuyên dụng có khả năng mở rộng và tương đối dễ quản lý. Tuy nhiên, tại một chi
nhánh nhỏ hoặc vị trí SOHO, bộ định tuyến của Cisco có thể được cấu hình để cung cấp dịch vụ DHCPv4
mà không cần máy chủ chuyên dụng. Phần mềm Cisco IOS hỗ trợ máy chủ DHCPv4 tùy chọn, đầy đủ
tính năng.
Máy chủ DHCPv4 tự động gán hoặc cho thuê địa chỉ IPv4 từ nhóm địa chỉ trong một khoảng thời gian
giới hạn do máy chủ chọn hoặc cho đến khi máy khách không còn cần địa chỉ đó nữa.
Khách hàng thuê thông tin từ máy chủ trong một khoảng thời gian được xác định về mặt hành chính.
Quản trị viên định cấu hình máy chủ DHCPv4 để đặt hợp đồng thuê hết thời gian ở các khoảng thời gian
khác nhau. Hợp đồng thuê thường kéo dài từ 24 giờ đến một tuần hoặc hơn. Khi hợp đồng thuê hết hạn,
khách hàng phải yêu cầu một địa chỉ khác, mặc dù khách hàng thường được chỉ định lại cùng một địa chỉ.
Bây giờ bạn đã có hiểu biết cơ bản về cách hoạt động của DHCPv4 và cách dịch vụ này có thể giúp công
việc của bạn dễ dàng hơn một chút. Bộ định tuyến Cisco chạy phần mềm Cisco IOS có thể được cấu hình
để hoạt động như một máy chủ DHCPv4. Máy chủ Cisco IOS DHCPv4 chỉ định và quản lý địa chỉ IPv4
từ nhóm địa chỉ được chỉ định trong bộ định tuyến cho máy khách DHCPv4.
Sử dụng các bước sau để định cấu hình máy chủ Cisco IOS DHCPv4:
Bước 1. Loại trừ địa chỉ IPv4. Có thể loại trừ một địa chỉ hoặc một dải địa chỉ bằng cách chỉ định địa chỉ
thấp và địa chỉ cao của dải. Các địa chỉ bị loại trừ phải là những địa chỉ được gán cho bộ định tuyến, máy
chủ, máy in và các thiết bị khác đã hoặc sẽ được định cấu hình theo cách thủ công. Bạn cũng có thể nhập
lệnh nhiều lần. Lệnh là địa chỉ ip dhcp loại trừ địa chỉ thấp [địa chỉ cao]
Bước 2. Xác định tên nhóm DHCPv4. Lệnh ip dhcp pool pool-name tạo một pool với tên đã chỉ định và
đặt bộ định tuyến ở chế độ cấu hình DHCPv4, chế độ này được xác định bởi dấu nhắc Bộ định
tuyến(dhcp-config)#.
Bước 3. Định cấu hình nhóm DHCPv4. Nhóm địa chỉ và bộ định tuyến cổng mặc định phải được cấu
hình. Sử dụng câu lệnh mạng để xác định phạm vi địa chỉ khả dụng. Sử dụng lệnh default-router để xác
định bộ định tuyến cổng mặc định. Các lệnh này và các lệnh tùy chọn khác được hiển thị trong bảng
Có những tình huống mà bạn có thể có quyền truy cập vào máy chủ DHCP thông qua ISP của mình.
Trong những trường hợp này, bạn có thể định cấu hình bộ định tuyến Cisco IOS làm máy khách
DHCPv4.
Đôi khi, các bộ định tuyến của Cisco trong một văn phòng nhỏ hoặc văn phòng tại nhà (SOHO) và các
trang web chi nhánh phải được cấu hình làm máy khách DHCPv4 theo cách tương tự như máy khách.
Phương pháp được sử dụng phụ thuộc vào ISP. Tuy nhiên, trong cấu hình đơn giản nhất, giao diện
Ethernet được sử dụng để kết nối với cáp hoặc modem DSL.
Để định cấu hình giao diện Ethernet làm máy khách DHCP, hãy sử dụng lệnh chế độ cấu hình giao diện
dhcp địa chỉ ip.
Trong hình, giả sử rằng một ISP đã được cấu hình để cung cấp cho các khách hàng được chọn địa chỉ IP
từ dải mạng 209.165.201.0/27 sau khi giao diện G0/0/1 được cấu hình bằng lệnh dhcp địa chỉ ip.
M8
1. IPv6 GUA Assignment
Cấu hình máy chủ IPv6
Trên bộ định tuyến, địa chỉ unicast toàn cầu IPv6 (GUA) được định cấu hình thủ công bằng cách sử dụng
lệnh cấu hình giao diện địa chỉ ipv6 ipv6-address/prefix-length.
Một máy chủ Windows cũng có thể được cấu hình thủ công với cấu hình địa chỉ IPv6 GUA, như thể hiện
trong hình.
Tuy nhiên, việc nhập GUA IPv6 theo cách thủ công có thể tốn thời gian và hơi dễ bị lỗi.
Do đó, hầu hết các máy chủ Windows đều được kích hoạt để tự động lấy cấu hình IPv6 GUA.
Nếu địa chỉ IPv6 tự động được chọn, máy chủ lưu trữ sẽ sử dụng thông báo Quảng cáo Bộ định tuyến
(RA) Giao thức Thông báo Điều khiển Internet phiên bản 6 (ICMPv6) để giúp máy chủ tự động định cấu
hình cấu hình IPv6.
Địa chỉ liên kết cục bộ IPv6 được máy chủ tự động tạo khi khởi động và giao diện Ethernet đang hoạt
động.
Giao diện không tạo GUA IPv6 ở đầu ra vì phân đoạn mạng không có bộ định tuyến để cung cấp hướng
dẫn cấu hình mạng cho máy chủ.
Lưu ý: "%" và số ở cuối địa chỉ liên kết cục bộ được gọi là ID vùng hoặc ID phạm vi và được HĐH sử
dụng để liên kết LLA với một giao diện cụ thể.
Theo mặc định, một bộ định tuyến hỗ trợ IPv6 gửi định kỳ các RA ICMPv6, giúp đơn giản hóa cách máy
chủ có thể tự động tạo hoặc lấy cấu hình IPv6 của nó.
Một máy chủ có thể được gán GUA một cách linh hoạt bằng cách sử dụng các dịch vụ có trạng thái và
không trạng thái.
Tất cả các phương thức không trạng thái và trạng thái trong mô-đun này sử dụng các thông báo ICMPv6
RA để gợi ý cho máy chủ cách tạo hoặc lấy cấu hình IPv6 của nó.
Mặc dù các hệ điều hành máy chủ tuân theo đề xuất của RA, nhưng quyết định thực tế cuối cùng vẫn phụ
thuộc vào máy chủ.
Cách khách hàng nhận được GUA IPv6 tùy thuộc vào cài đặt trong thông báo RA.
Cờ - Cờ Tự động cấu hình địa chỉ biểu thị sử dụng Tự động cấu hình địa chỉ không trạng thái (SLAAC)
để tạo GUA IPv6
Cờ O - Cờ Cấu hình Khác biểu thị rằng thông tin bổ sung có sẵn từ máy chủ DHCPv6 không trạng thái.
Cờ M - Cờ Cấu hình Địa chỉ được Quản lý biểu thị việc sử dụng máy chủ DHCPv6 có trạng thái để lấy
GUA IPv6.
Sử dụng các kết hợp khác nhau của cờ A, O và M, thông báo RA thông báo cho máy chủ về các tùy chọn
động có sẵn.
Không phải mọi mạng đều có quyền truy cập vào máy chủ DHCPv6 nhưng mọi thiết bị trong mạng IPv6
đều cần có GUA. Phương pháp SLAAC cho phép các máy chủ tạo địa chỉ unicast toàn cầu IPv6 duy nhất
của riêng chúng mà không cần các dịch vụ của máy chủ DHCPv6.
SLAAC là một dịch vụ phi trạng thái, nghĩa là không có máy chủ duy trì thông tin địa chỉ mạng để biết
địa chỉ IPv6 nào đang được sử dụng và địa chỉ nào khả dụng.
SLAAC gửi các thông báo ICMPv6 RA định kỳ (tức là cứ sau 200 giây) cung cấp địa chỉ và thông tin cấu
hình khác cho các máy chủ để tự động định cấu hình địa chỉ IPv6 của họ dựa trên thông tin trong RA.
Một máy chủ cũng có thể gửi một bản tin Router Solicitation (RS) yêu cầu một RA.
SLAAC chỉ có thể được triển khai dưới dạng SLAAC hoặc SLAAC với DHCPv6.
R1 G0/0/1 đã được định cấu hình với GUA IPv6 và địa chỉ liên kết cục bộ được chỉ định.
R1 được cấu hình để tham gia nhóm phát đa hướng tất cả IPv6 và bắt đầu gửi thông báo RA có chứa
thông tin cấu hình địa chỉ đến các máy chủ sử dụng SLAAC.
Nhóm tất cả các bộ định tuyến IPv6 phản hồi địa chỉ phát đa hướng IPv6 ff02::2.
Lệnh show ipv6 interface xác minh rằng R1 đã tham gia nhóm tất cả các bộ định tuyến IPv6 (ví dụ:
ff02::2).
Bây giờ R1 sẽ bắt đầu gửi các tin nhắn RA cứ sau 200 giây tới địa chỉ multicast tất cả các nút IPv6
ff02::1.
Phương pháp chỉ SLAAC
A = 1 – Thông báo cho máy khách sử dụng tiền tố IPv6 GUA trong RA và tự động tạo ID giao diện của
chính nó.
O = 0 và M = 0 – Thông báo cho khách hàng cũng sử dụng thông tin bổ sung trong thông báo RA (nghĩa
là máy chủ DNS, MTU và thông tin cổng mặc định).
Lệnh ipconfig Windows xác nhận rằng PC1 đã tạo GUS IPv6 bằng cách sử dụng R1 RA.
Địa chỉ cổng mặc định là LLA của giao diện R1 G0/0/1.
Tin nhắn RS ICMPv6
Một bộ định tuyến gửi tin nhắn RA cứ sau 200 giây hoặc khi nó nhận được tin nhắn RS từ máy chủ.
Các máy chủ hỗ trợ IPv6 muốn lấy thông tin địa chỉ IPv6 sẽ gửi một thông báo RS đến địa chỉ phát đa
hướng của tất cả các bộ định tuyến IPv6 là ff02::2.
Hình minh họa cách máy chủ khởi tạo phương thức SLAAC.
PC1 vừa khởi động và gửi một thông báo RS đến địa chỉ phát đa hướng của tất cả các bộ định tuyến IPv6
của ff02::2 yêu cầu một RA.
R1 tạo RA và sau đó gửi thông báo RA đến địa chỉ multicast tất cả các nút IPv6 của ff02::1. PC1 sử dụng
thông tin này để tạo GUA IPv6 duy nhất.
Sử dụng SLAAC, máy chủ lưu trữ có được thông tin mạng con IPv6 64-bit của nó từ RA của bộ định
tuyến và phải tạo mã định danh giao diện (ID) 64-bit còn lại bằng cách sử dụng:
Được tạo ngẫu nhiên - ID giao diện 64 bit được tạo ngẫu nhiên bởi hệ điều hành máy khách. Đây là
phương pháp hiện được các máy chủ Windows 10 sử dụng.
EUI-64 - Máy chủ tạo ID giao diện bằng cách sử dụng địa chỉ MAC 48 bit của nó và chèn giá trị hex của
fffe vào giữa địa chỉ. Một số hệ điều hành mặc định sử dụng ID giao diện được tạo ngẫu nhiên thay vì
phương pháp EUI-64 do lo ngại về quyền riêng tư. Điều này là do địa chỉ MAC Ethernet của máy chủ
được EUI-64 sử dụng để tạo ID giao diện.
Lưu ý: Windows, Linux và Mac OS cho phép người dùng sửa đổi việc tạo ID giao diện để được tạo ngẫu
nhiên hoặc sử dụng EUI-64.
Phát hiện địa chỉ trùng lặp
Máy chủ SLAAC có thể sử dụng quy trình Phát hiện Địa chỉ Trùng lặp (DAD) sau đây để đảm bảo rằng
GUA IPv6 là duy nhất.
Máy chủ gửi một thông báo ICMPv6 Neighbor Solicitation (NS) với một địa chỉ multicast nút được mời
được xây dựng đặc biệt có chứa 24 bit cuối cùng của địa chỉ IPv6 của máy chủ.
Nếu không có thiết bị nào khác phản hồi bằng thông báo Neighbor Advertisement (NA), thì địa chỉ hầu
như được đảm bảo là duy nhất và có thể được sử dụng bởi máy chủ.
Nếu máy chủ nhận được NA, thì địa chỉ không phải là duy nhất và máy chủ phải tạo ID giao diện mới để
sử dụng.
Lưu ý: DAD thực sự không bắt buộc vì ID giao diện 64 bit cung cấp 18 triệu khả năng. Do đó, cơ hội của
một địa chỉ trùng lặp là rất xa. Tuy nhiên, Internet Engineering Task Force (IETF) khuyến nghị nên sử
dụng DAD. Do đó, hầu hết các hệ điều hành đều thực hiện DAD trên tất cả các địa chỉ unicast IPv6, bất
kể địa chỉ đó được cấu hình như thế nào.
DHCPv6 có trạng thái không yêu cầu SLAAC trong khi DHCPv6 không trạng thái thì có.
Bất kể, khi RA chỉ định sử dụng DHCPv6 hoặc DHCPv6 có trạng thái:
Máy chủ DHCPv6 phản hồi bằng thông báo QUẢNG CÁO.
Nếu RA chỉ định phương thức DHCPv6 không trạng thái, thì máy chủ sử dụng thông tin trong thông báo
RA để đánh địa chỉ và liên hệ với máy chủ DHCPv6 để biết thêm thông tin.
Lưu ý: Máy chủ DHCPv6 chỉ cung cấp các tham số cấu hình cho máy khách và không duy trì danh
sách các ràng buộc địa chỉ IPv6 (tức là không trạng thái).
Ví dụ, PC1 nhận được một bản tin RA không trạng thái có chứa:
Cờ được đặt thành 1 thông báo cho máy chủ sử dụng SLAAC.
Cờ O được đặt thành 1 thông báo cho máy chủ tìm kiếm thông tin cấu hình bổ sung đó từ máy chủ
DHCPv6.
Cờ M được đặt thành giá trị mặc định là 0.
PC1 gửi thông báo DHCPv6 SOLICIT để tìm kiếm thông tin bổ sung từ máy chủ DHCPv6 không trạng
thái.
Nếu RA chỉ ra phương pháp DHCPv6 có trạng thái, máy chủ sẽ liên hệ với máy chủ DHCPv6 để biết tất
cả thông tin cấu hình.
Lưu ý: Máy chủ DHCPv6 có trạng thái và duy trì danh sách các liên kết địa chỉ IPv6.
Ví dụ, PC1 nhận được một bản tin RA có trạng thái chứa:
Cờ được đặt thành 0 thông báo cho máy chủ liên hệ với máy chủ DHCPv6.
Cờ O được đặt thành 0 thông báo cho máy chủ liên hệ với máy chủ DHCPv6.
PC1 gửi thông báo DHCPv6 SOLICIT để tìm kiếm thông tin bổ sung từ máy chủ DHCPv6 có trạng thái.
4. Mô tả cấu hình DHCPv6 Server
Tùy chọn máy chủ DHCPv6 không trạng thái yêu cầu bộ định tuyến quảng cáo thông tin địa chỉ mạng
IPv6 trong thông báo RA.
Có năm bước để định cấu hình và xác minh bộ định tuyến là máy chủ DHCPv6 không trạng thái:
Xác định tên nhóm DHCPv6 bằng cách sử dụng lệnh cấu hình chung nhóm ipv6 dhcp POOL-NAME.
Định cấu hình nhóm DHCPv6 với các tùy chọn. Các tùy chọn phổ biến bao gồm máy chủ dns
X:X:X:X:X:X:X:X và tên miền.
Liên kết giao diện với nhóm bằng cách sử dụng lệnh cấu hình giao diện máy chủ ipv6 dhcp POOL-
NAME.
Thay đổi cờ O từ 0 thành 1 theo cách thủ công bằng lệnh giao diện ipv6 nd other-config-flag. Thông báo
RA được gửi trên giao diện này cho biết thông tin bổ sung có sẵn từ máy chủ DHCPv6 không trạng thái.
Cờ A là 1 theo mặc định, yêu cầu khách hàng sử dụng SLAAC để tạo GUA của riêng họ.
Xác minh rằng các máy chủ đã nhận được thông tin địa chỉ IPv6 bằng cách sử dụng lệnh ipconfig /all.
Định cấu hình bộ định tuyến máy khách để tạo LLA. Địa chỉ liên kết cục bộ IPv6 được tạo trên giao diện
bộ định tuyến khi địa chỉ unicast toàn cầu được định cấu hình hoặc không có GUA bằng cách sử dụng
lệnh cấu hình giao diện bật ipv6. Cisco IOS sử dụng EUI-64 để tạo ID giao diện.
Định cấu hình bộ định tuyến máy khách để sử dụng SLAAC bằng lệnh tự động cấu hình địa chỉ ipv6.
Xác minh rằng bộ định tuyến máy khách được gán GUA bằng lệnh hiển thị giao diện ipv6 ngắn gọn.
Xác minh rằng bộ định tuyến máy khách đã nhận được thông tin DHCPv6 cần thiết khác. Lệnh show ipv6
dhcp interface g0/0/1 xác nhận thông tin tùy chọn DHCP, chẳng hạn như máy chủ DNS và tên miền, đã
được máy khách nhận.
Tùy chọn máy chủ DHCP có trạng thái yêu cầu bộ định tuyến hỗ trợ IPv6 yêu cầu máy chủ liên hệ với
máy chủ DHCPv6 để lấy tất cả thông tin địa chỉ mạng IPv6 cần thiết.
Có năm bước để định cấu hình và xác minh bộ định tuyến là máy chủ DHCPv6 có trạng thái:
Xác định tên nhóm DHCPv6 bằng cách sử dụng lệnh cấu hình chung nhóm ipv6 dhcp POOL-NAME.
Định cấu hình nhóm DHCPv6 với các tùy chọn. Các tùy chọn phổ biến bao gồm lệnh tiền tố địa chỉ, tên
miền, địa chỉ IP của máy chủ DHS, v.v.
Liên kết giao diện với nhóm bằng cách sử dụng lệnh cấu hình giao diện máy chủ ipv6 dhcp POOL-
NAME.
Thay đổi cờ M từ 0 thành 1 theo cách thủ công bằng cách sử dụng lệnh giao diện ipv6 nd Managed-
config-flag.
Thay đổi thủ công cờ A từ 1 thành 0 bằng cách sử dụng lệnh giao diện mặc định không tự động cấu hình
tiền tố ipv6 để thông báo cho khách hàng không sử dụng SLAAC để tạo GUA. Bây giờ, bộ định tuyến sẽ
phản hồi các yêu cầu DHCPv6 có trạng thái với thông tin có trong nhóm.
Xác minh rằng các máy chủ đã nhận được thông tin địa chỉ IPv6 bằng cách sử dụng lệnh ipconfig /all.
Một bộ định tuyến cũng có thể là một máy khách DHCPv6. Bộ định tuyến máy khách cần phải bật định
tuyến unicast ipv6 và địa chỉ liên kết cục bộ IPv6 để gửi và nhận tin nhắn IPv6.
Có năm bước để định cấu hình và xác minh bộ định tuyến dưới dạng máy khách DHCPv6 không trạng
thái.
Định cấu hình bộ định tuyến máy khách để tạo LLA. Địa chỉ liên kết cục bộ IPv6 được tạo trên giao diện
bộ định tuyến khi địa chỉ unicast toàn cầu được định cấu hình hoặc không có GUA bằng cách sử dụng
lệnh cấu hình giao diện bật ipv6. Cisco IOS sử dụng EUI-64 để tạo ID giao diện.
Định cấu hình bộ định tuyến máy khách để sử dụng DHCPv6 bằng cách sử dụng lệnh cấu hình giao diện
dhcp địa chỉ ipv6.
Xác minh rằng bộ định tuyến máy khách được gán GUA bằng lệnh hiển thị giao diện ipv6 ngắn gọn.
Xác minh rằng bộ định tuyến máy khách đã nhận được thông tin DHCPv6 cần thiết khác bằng cách sử
dụng lệnh show ipv6 dhcp interface g0/0/1.
Lệnh show ipv6 dhcp pool xác minh tên của nhóm DHCPv6 và các tham số của nó. Lệnh này cũng xác
định số lượng máy khách đang hoạt động.
Sử dụng đầu ra lệnh liên kết show ipv6 dhcp để hiển thị địa chỉ liên kết cục bộ IPv6 của máy khách và địa
chỉ unicast toàn cầu do máy chủ chỉ định.
Thông tin này được duy trì bởi một máy chủ DHCPv6 có trạng thái.
Máy chủ DHCPv6 không trạng thái sẽ không duy trì thông tin này.
Định cấu hình Tác nhân chuyển tiếp DHCPv6
Nếu máy chủ DHCPv6 được đặt trên một mạng khác với máy khách, thì bộ định tuyến IPv6 có thể được
cấu hình làm tác nhân chuyển tiếp DHCPv6.
Cấu hình của tác nhân chuyển tiếp DHCPv6 tương tự như cấu hình của bộ định tuyến IPv4 dưới dạng
chuyển tiếp DHCPv4.
Lệnh này được cấu hình trên giao diện đối diện với máy khách DHCPv6 và chỉ định địa chỉ máy chủ
DHCPv6 và giao diện đầu ra để đến máy chủ, như được hiển thị trong đầu ra. Giao diện đầu ra chỉ được
yêu cầu khi địa chỉ next-hop là LLA.
Xác minh rằng tác nhân chuyển tiếp DHCPv6 đang hoạt động với giao diện hiển thị ipv6 dhcp và hiển thị
các lệnh liên kết ipv6 dhcp.
Xác minh các máy chủ Windows đã nhận được thông tin địa chỉ IPv6 bằng lệnh ipconfig /all.
M9
Các thiết bị đầu cuối thường được định cấu hình với một địa chỉ IPv4 cổng mặc định duy nhất.
Nếu giao diện bộ định tuyến cổng mặc định bị lỗi, máy chủ LAN sẽ mất kết nối mạng LAN bên ngoài.
Điều này xảy ra ngay cả khi có một bộ định tuyến dự phòng hoặc bộ chuyển mạch Lớp 3 có thể đóng vai
trò là cổng mặc định.
Các giao thức dự phòng bước nhảy đầu tiên (FHRP) là các cơ chế cung cấp các cổng mặc định thay thế
trong các mạng chuyển đổi nơi hai hoặc nhiều bộ định tuyến được kết nối với cùng một Vlan.
Một cách để ngăn chặn một điểm lỗi duy nhất tại cổng mặc định là triển khai bộ định tuyến ảo. Để triển
khai loại dự phòng bộ định tuyến này, nhiều bộ định tuyến được cấu hình để hoạt động cùng nhau nhằm
tạo ảo giác về một bộ định tuyến duy nhất cho các máy chủ trên mạng LAN. Bằng cách chia sẻ địa chỉ IP
và địa chỉ MAC, hai hoặc nhiều bộ định tuyến có thể hoạt động như một bộ định tuyến ảo duy nhất.
Địa chỉ IPv4 của bộ định tuyến ảo được định cấu hình làm cổng mặc định cho các máy trạm trên một
phân đoạn IPv4 cụ thể.
Khi các khung được gửi từ thiết bị máy chủ đến cổng mặc định, máy chủ sử dụng ARP để phân giải địa
chỉ MAC được liên kết với địa chỉ IPv4 của cổng mặc định. Độ phân giải ARP trả về địa chỉ MAC của bộ
định tuyến ảo. Các khung được gửi đến địa chỉ MAC của bộ định tuyến ảo sau đó có thể được xử lý vật lý
bởi bộ định tuyến hiện đang hoạt động trong nhóm bộ định tuyến ảo.
Một giao thức được sử dụng để xác định hai hoặc nhiều bộ định tuyến là thiết bị chịu trách nhiệm xử lý
các khung được gửi đến địa chỉ MAC hoặc IP của một bộ định tuyến ảo. Các thiết bị chủ gửi lưu lượng
đến địa chỉ của bộ định tuyến ảo. Bộ định tuyến vật lý chuyển tiếp lưu lượng này trong suốt đối với các
thiết bị chủ.
Giao thức dự phòng cung cấp cơ chế xác định bộ định tuyến nào sẽ đóng vai trò tích cực trong việc
chuyển tiếp lưu lượng. Nó cũng xác định khi nào vai trò chuyển tiếp phải được đảm nhận bởi một bộ định
tuyến dự phòng. Quá trình chuyển đổi từ bộ định tuyến chuyển tiếp này sang bộ định tuyến khác là trong
suốt đối với các thiết bị đầu cuối.
Khả năng mạng tự động phục hồi sau lỗi của thiết bị đóng vai trò là cổng mặc định được gọi là dự phòng
bước nhảy đầu tiên.
Khi bộ định tuyến hoạt động bị lỗi, giao thức dự phòng sẽ chuyển bộ định tuyến dự phòng sang vai trò bộ
định tuyến hoạt động mới, như thể hiện trong hình. Đây là các bước diễn ra khi bộ định tuyến đang hoạt
động bị lỗi:
Bộ định tuyến dự phòng ngừng xem các tin nhắn Xin chào từ bộ định tuyến chuyển tiếp.
Bộ định tuyến dự phòng đảm nhận vai trò của bộ định tuyến chuyển tiếp.
Do bộ định tuyến chuyển tiếp mới sử dụng cả địa chỉ IPv4 và MAC của bộ định tuyến ảo nên các thiết bị
chủ không bị gián đoạn dịch vụ.
Theo mặc định, sau khi một bộ định tuyến trở thành bộ định tuyến hoạt động, nó sẽ vẫn là bộ định tuyến
hoạt động ngay cả khi một bộ định tuyến khác trực tuyến với mức ưu tiên HSRP cao hơn.
Để buộc quá trình bầu chọn HSRP mới diễn ra khi bộ định tuyến có mức ưu tiên cao hơn trực tuyến,
quyền ưu tiên phải được bật bằng cách sử dụng lệnh giao diện ưu tiên dự phòng. Quyền ưu tiên là khả
năng của bộ định tuyến HSRP để kích hoạt quá trình bầu cử lại. Với quyền ưu tiên được bật, bộ định
tuyến trực tuyến với mức ưu tiên HSRP cao hơn sẽ đảm nhận vai trò của bộ định tuyến hoạt động.
Quyền ưu tiên chỉ cho phép một bộ định tuyến trở thành bộ định tuyến hoạt động nếu nó có mức ưu tiên
cao hơn. Một bộ định tuyến được kích hoạt để ưu tiên, với mức độ ưu tiên bằng nhau nhưng địa chỉ IPv4
cao hơn sẽ không ưu tiên một bộ định tuyến đang hoạt động. Tham khảo cấu trúc liên kết trong hình.
Lưu ý: Với quyền ưu tiên bị tắt, bộ định tuyến khởi động trước sẽ trở thành bộ định tuyến hoạt động nếu
không có bộ định tuyến nào khác trực tuyến trong quá trình bầu chọn.
SRWE
M10
1. Trình bày bảo mật trên Endpoint (10.1)
AAA là một cách để kiểm soát ai được phép truy cập mạng (xác thực), những gì
họ có thể làm khi họ ở đó (ủy quyền) và kiểm tra những hành động họ thực hiện
trong khi truy cập mạng (kế toán).
Dựa trên địa phương và máy chủ là hai phương pháp phổ biến để thực hiện xác
thực AAA.
Ủy quyền chi phối những gì người dùng có thể và không thể làm trên mạng sau
khi chúng được xác thực.
Ủy quyền sử dụng một tập hợp các thuộc tính mô tả quyền truy cập của người
dùng vào mạng. Các thuộc tính này được sử dụng bởi máy chủ AAA để xác định
các đặc quyền và hạn chế cho người dùng đó.
Kế toán AAA thu thập và báo cáo dữ liệu sử dụng. Dữ liệu này có thể được sử
dụng cho các mục đích như kiểm toán hoặc thanh toán. Dữ liệu được thu thập có
thể bao gồm thời gian kết nối bắt đầu và dừng, các lệnh được thực thi, số lượng
gói và số byte.
Việc sử dụng chính của kế toán là kết hợp nó với xác thực AAA.
Máy chủ AAA giữ một nhật ký chi tiết về chính xác những gì người dùng được
xác thực trên thiết bị, như trong hình. Điều này bao gồm tất cả các lệnh thực thi và
cấu hình do người dùng phát hành.
Nhật ký chứa nhiều trường dữ liệu, bao gồm tên người dùng, ngày và thời gian và
lệnh thực tế được nhập bởi người dùng. Thông tin này rất hữu ích khi xử lý sự cố
các thiết bị. Nó cũng cung cấp bằng chứng cho khi các cá nhân thực hiện các hành
vi độc hại.
Tiêu chuẩn IEEE 802.1x là giao thức xác thực và kiểm soát truy cập dựa trên
cổng. Giao thức này hạn chế các máy trạm trái phép kết nối với mạng LAN thông
qua các cổng chuyển đổi có thể truy cập công khai. Máy chủ xác thực xác thực
từng máy trạm được kết nối với cổng chuyển đổi trước khi cung cấp bất kỳ dịch vụ
nào được cung cấp bởi Switch hoặc LAN.
Với xác thực dựa trên cổng 802.1x, các thiết bị trong mạng có vai trò cụ thể:
Máy khách (Người thay thế) - Đây là một thiết bị chạy phần mềm máy khách tuân
thủ 802.1x, có sẵn cho các thiết bị có dây hoặc không dây.
Switch (Authenticator) Công tắc hoạt động như một trung gian giữa máy khách và
máy chủ xác thực. Nó yêu cầu xác định thông tin từ máy khách, xác minh thông
tin đó với máy chủ xác thực và chuyển tiếp phản hồi cho máy khách. Một thiết bị
khác có thể đóng vai trò là trình xác thực là một điểm truy cập không dây.
Máy chủ xác thực Máy chủ Xác thực danh tính của máy khách và thông báo cho
điểm truy cập công tắc hoặc không dây mà máy khách đang hoặc không được
phép truy cập dịch vụ LAN và chuyển đổi.
3. Các rủi ro bảo mật lớp 2 (10.3)
Lỗ hỏng:
Hãy nhớ lại rằng mô hình tham chiếu OSI được chia thành bảy lớp hoạt động độc
lập với nhau. Hình vẽ cho thấy chức năng của từng lớp và các phần tử lõi có thể
được khai thác.
Quản trị viên mạng thường xuyên triển khai các giải pháp bảo mật để bảo vệ các
yếu tố trong Lớp 3 lên qua Lớp 7. Họ sử dụng các thiết bị VPN, tường lửa và IPS
để bảo vệ các yếu tố này. Tuy nhiên, nếu lớp 2 bị xâm phạm, thì tất cả các lớp trên
nó cũng bị ảnh hưởng. Ví dụ: nếu một tác nhân đe dọa có quyền truy cập vào
mạng nội bộ được ghi lại các khung lớp 2, thì tất cả các bảo mật được triển khai
trên các lớp trên sẽ là vô dụng. Diễn viên đe dọa có thể gây ra rất nhiều thiệt hại
trên cơ sở hạ tầng mạng LAN.
- Chuyển các loại tấn công
Bảo mật chỉ mạnh như liên kết yếu nhất trong hệ thống và Lớp 2 được coi là
liên kết yếu. Điều này là do LAN theo truyền thống dưới sự kiểm soát hành
chính của một tổ chức duy nhất. Chúng tôi vốn đã tin tưởng tất cả những người
và thiết bị được kết nối với mạng LAN của chúng tôi. Ngày nay, với BYOD và
các cuộc tấn công tinh vi hơn, LAN của chúng ta đã trở nên dễ bị xâm nhập
hơn.
Loại vd
MAC Table Attacks Bao gồm các cuộc tấn công flooding địa
chỉ MAC.
VLAN Attacks Bao gồm vlan và các cuộc tấn công gắn
thẻ vlan. Nó cũng bao gồm các cuộc tấn
công giữa các thiết bị trên Vlan chung.
DHCP Attacks Bao gồm các cuộc tấn công giả mạo
DHCP và các cuộc tấn công giả mạo
DHCP.
ARP Attacks Bao gồm giả mạo ARP và các cuộc tấn
công nhiễm độc ARP.
Address Spoofing Attacks Bao gồm địa chỉ MAC và các cuộc tấn
công giả mạo địa chỉ IP.
STP Attacks Bao gồm các cuộc tấn công thao tác giao
thức của cây.
Một lý do khác khiến các công cụ tấn công này nguy hiểm là vì chúng không chỉ
ảnh hưởng đến công tắc cục bộ, chúng còn có thể ảnh hưởng đến các công tắc Lớp
2 được kết nối khác. Khi bảng địa chỉ MAC của một công tắc đã đầy, nó bắt đầu
tràn ra tất cả các cổng bao gồm các cổng được kết nối với các công tắc Lớp 2
khác.
Để giảm thiểu các cuộc tấn công tràn bảng địa chỉ MAC, các quản trị viên mạng
phải thực hiện bảo mật cổng. Bảo mật cổng sẽ chỉ cho phép một số lượng địa chỉ
MAC nguồn được chỉ định trên cổng. Bảo mật cảng được thảo luận thêm trong
một mô -đun khác.
M11
1. Mô tả thực hiện giải pháp Port Security (11.1)
Ví dụ cho thấy một cấu hình bảo mật cổng hoàn chỉnh cho FastEthernet 0/1.
Quản trị viên chỉ định tối đa 4 địa chỉ MAC, cấu hình thủ công một địa chỉ MAC
an toàn và sau đó định cấu hình cổng để tìm hiểu động địa chỉ MAC an toàn bổ
sung lên đến tối đa địa chỉ MAC bảo mật 4.
Sử dụng giao diện an ninh cổng hiển thị và lệnh hiển thị địa chỉ bảo mật cổng để
xác minh cấu hình.
aging bảo mật cổng có thể được sử dụng để đặt thời gian mã hóa cho các địa chỉ
an toàn tĩnh và động trên một cổng và hai loại lão hóa được hỗ trợ cho mỗi cổng:
Tuyệt đối - Các địa chỉ an toàn trên cổng sẽ bị xóa sau thời gian aging được chỉ
định.
Không hoạt động - Các địa chỉ an toàn trên cổng sẽ bị xóa nếu chúng không hoạt
động trong một thời gian xác định.
Sử dụng aging để xóa các địa chỉ MAC an toàn trên một cổng an toàn mà không
cần xóa thủ công các địa chỉ MAC an toàn hiện có.
Aging các địa chỉ bảo mật được cấu hình tĩnh có thể được bật hoặc vô hiệu hóa
trên cơ sở mỗi cổng.
Ví dụ cho thấy một quản trị viên định cấu hình loại aging đến 10 phút không hoạt
động.
Lệnh hiển thị bảo mật cổng xác nhận các thay đổi.
Sử dụng lệnh Lão hóa an ninh cổng chuyển mạch để bật hoặc tắt aging tĩnh cho
cổng bảo mật hoặc để đặt thời gian hoặc loại aging.
Ví dụ cho thấy một quản trị viên thay đổi vi phạm bảo mật thành hạn chế.
Đầu ra của lệnh giao diện an ninh cổng hiển thị xác nhận rằng thay đổi đã được
thực hiện.
Trong ví dụ, lệnh giao diện hiển thị xác định trạng thái cổng là sai lệch. Đầu ra của
lệnh giao diện an ninh cổng hiển thị hiện hiển thị trạng thái cổng là an toàn-
shutdown. Vi phạm bảo mật tăng lên 1.
Quản trị viên nên xác định nguyên nhân gây ra vi phạm bảo mật nếu một thiết bị
trái phép được kết nối với một cổng an toàn, mối đe dọa bảo mật sẽ bị loại bỏ
trước khi kích hoạt lại cổng.
Để kích hoạt lại cổng, trước tiên hãy sử dụng lệnh tắt máy, sau đó, sử dụng lệnh
không tắt.
Ví dụ chỉ ra rằng tất cả 24 giao diện được cấu hình với lệnh Port-Security-Security
vì mức tối đa được phép là 1 và chế độ vi phạm được tắt.
Do đó, không có thiết bị nào được kết nối, CurrentADDR (đếm) là 0 cho mỗi giao
diện.
Sử dụng lệnh Hiển thị giao diện giao diện Port-Security để xem chi tiết cho một
giao diện cụ thể, như được hiển thị trước đây và trong ví dụ này.
Để xác minh rằng các địa chỉ MAC đang gắn bó với cấu hình, hãy sử dụng lệnh
chạy chương trình như trong ví dụ cho FastEthernet 0/19.
Để hiển thị tất cả các địa chỉ MAC an toàn được cấu hình thủ công hoặc học động
trên tất cả các giao diện chuyển đổi, hãy sử dụng lệnh địa chỉ bảo mật cổng hiển
thị như trong ví dụ.
Sử dụng các bước sau để giảm thiểu các cuộc tấn công nhảy Vlan:
Bước 1: Vô hiệu hóa các cuộc đàm phán DTP (tự động trunking) trên các cổng
không theo dõi bằng cách sử dụng lệnh cấu hình giao diện truy cập chế độ
Switchport.
Bước 2: Vô hiệu hóa các cổng không sử dụng và đặt chúng vào một Vlan không
sử dụng.
Bước 3: Kích hoạt thủ công liên kết trung kế trên cổng trung kế bằng cách sử dụng
lệnh Trunk Chế độ Switchport.
Bước 4: Vô hiệu hóa các cuộc đàm phán DTP (tự động trunking) trên các cổng
trung kế bằng cách sử dụng lệnh chuyển mạch không có gì.
Bước 5: Đặt Vlan gốc thành Vlan khác với Vlan 1 bằng cách sử dụng lệnh Vlan
Vlan_Number gốc của Trunk Trunk.
3. Các giải pháp giảm thiểu tấn công DHCP (11.3)
Kiểm tra ARP động (DAI) yêu cầu DHCP rình mò và giúp ngăn chặn các cuộc tấn
công ARP bằng cách:
Không chuyển tiếp ARP không hợp lệ hoặc vô cớ trả lời các cổng khác trong cùng
một Vlan.
Chặn tất cả các yêu cầu ARP và trả lời trên các cổng không tin cậy.
Xác minh từng gói bị chặn cho ràng buộc IP-to-MAC hợp lệ.
Thả và ghi nhật ký trả lời ARP đến từ không hợp lệ để ngăn ngừa ngộ độc ARP.
Xử lý lỗi giao diện nếu vượt quá số lượng DAI được định cấu hình của các gói
ARP.
Bảo vệ BPDU
BPDU Guard Lỗi ngay lập tức vô hiệu hóa một cổng nhận BPDU.
Giống như Portfast, BPDU Guard chỉ nên được cấu hình trên các giao diện được
gắn vào các thiết bị kết thúc.
Để xác minh xem Portfast có được bật giao diện hay không, hãy sử dụng lệnh
Hiển thị loại/số giao diện-config.
Lệnh loại chi tiết/giao diện của Tree Show Tree cũng có thể được sử dụng để xác
minh.
Một cổng truy cập có thể vô tình nhận được một BPDU bất ngờ hoặc do người
dùng kết nối một công tắc trái phép với cổng truy cập.
Nếu nhận BPDU được nhận trên cổng truy cập BPDU Guard, cổng sẽ được đưa
vào trạng thái bị lỗi.
Điều này có nghĩa là cổng bị tắt và phải được kích hoạt lại theo cách thủ công
hoặc tự động được phục hồi thông qua lệnh phục hồi có thể sử dụng được khiến
PSECURE_VIOLATION Lệnh toàn cầu.
BPDU Guard có thể được bật:
Trên giao diện-Sử dụng lệnh Cấu hình giao diện BPDuguard BPDuguard.
Trên toàn cầu-Sử dụng lệnh cấu hình toàn cầu mặc định BPDuguard toàn cầu để
bật BPDU Guard trên tất cả các cổng truy cập.
M12
1. Lợi ích, các dạng (phân loại), các công nghệ, các chuẩn hóa trong mạng không dây
(12.1)
Ăng ten
Thiết bị thu nhận tín hiệu mạng không dây
Cổng Internet
Điểm truy cập không dây
Điểm truy cập dựa trên tự trị và bộ điều khiển
3. Trình bày hoạt động WLAN (12.3)
Chế độ cơ sở hạ tầng: Được sử dụng để kết nối máy khách với mạng bằng AP.
Chế độ ad hoc: Được sử dụng để kết nối máy khách theo cách ngang hàng mà
không cần AP.
Tethering - Biến thể của cấu trúc liên kết ad hoc là khi điện thoại thông minh hoặc
máy tính bảng có truy cập dữ liệu di động được bật để tạo điểm phát sóng cá
nhân.Bộ dịch vụ cơ bản (BSS):
Sử dụng AP đơn để kết nối tất cả các máy khách không dây liên quan.
Khách hàng trong các BSS khác nhau không thể giao tiếp.
Bộ dịch vụ mở rộng (ESS):
Một liên minh gồm hai hoặc nhiều BSS được kết nối với nhau bởi một hệ thống
phân phối có dây.
Khách hàng trong mỗi BSS có thể liên lạc thông qua ESS.
CSMA/CA:
WLAN là một nửa song công và một khách hàng không thể nghe thấy được trong
khi nó đang gửi, khiến không thể phát hiện ra một vụ va chạm.
WLAN sử dụng nhiều người vận chuyển cảm nhận quyền truy cập nhiều với
Tránh va chạm (CSMA/CA) để xác định cách thức và thời điểm gửi dữ liệu. Một
máy khách không dây làm như sau:
Lắng nghe kênh để xem nó có nhàn rỗi không, tức là không có lưu lượng truy cập
nào khác hiện tại trên kênh.
Gửi tin nhắn Sẵn sàng để gửi (RTS) AP yêu cầu truy cập chuyên dụng vào mạng.
Nhận được thông báo rõ ràng để gửi (CTS) từ AP cấp quyền truy cập để gửi.
Chờ một khoảng thời gian ngẫu nhiên trước khi khởi động lại quy trình nếu không
nhận được tin nhắn CTS.
Truyền dữ liệu.
Thừa nhận tất cả các truyền. Nếu một máy khách không dây không nhận được xác
nhận, nó sẽ giả định một vụ va chạm đã xảy ra và khởi động lại quy trình
Wireless Client and AP Association:
Để các thiết bị không dây giao tiếp qua mạng, trước tiên họ phải liên kết với bộ
định tuyến AP hoặc không dây.
Thiết bị không dây hoàn thành quá trình ba giai đoạn sau:
Khám phá AP không dây
Xác thực với AP
Liên kết với AP
Để đạt được sự liên kết thành công, một ứng dụng khách không dây và AP phải
đồng ý về các tham số cụ thể:
SSID - Khách hàng cần biết tên của mạng để kết nối.
Mật khẩu - Điều này là bắt buộc để khách hàng xác thực với AP.
Chế độ mạng - Tiêu chuẩn 802.11 đang được sử dụng.
Chế độ bảo mật - Cài đặt tham số bảo mật, tức là WEP, WPA hoặc WPA2.
Cài đặt kênh - Các dải tần được sử dụng.
Kiểm soát và cung cấp chức năng Điểm truy cập không dây (CAPWAP):
CAPWAP là giao thức tiêu chuẩn của IEEE cho phép WLC quản lý nhiều AP và
WLAN.
Dựa trên LWAPP nhưng thêm bảo mật bổ sung với bảo mật lớp vận chuyển
Datagram (DLTs).
Đóng gói và chuyển tiếp lưu lượng máy khách WLAN giữa AP và WLC trên các
đường hầm bằng các cổng UDP 5246 và 5247.
Hoạt động trên cả IPv4 và IPv6. IPv4 sử dụng giao thức IP 17 và IPv6 sử dụng
giao thức IP 136.
Kiến trúc kiểm soát truy cập phương tiện truyền thông (MAC): Khái niệm MAC
chia CAPWAP thực hiện tất cả các chức năng thường được thực hiện bởi các AP
riêng lẻ và phân phối chúng giữa hai thành phần chức năng:
+ Chức năng AP Mac
+ Hàm WLC MAC
Mã hóa DTLS: DTLS cung cấp bảo mật giữa AP và WLC.
Nó được bật theo mặc định để bảo mật kênh điều khiển CAPWAP và mã hóa tất
cả lưu lượng quản lý và kiểm soát lưu lượng giữa AP và WLC.
Mã hóa dữ liệu bị vô hiệu hóa theo mặc định và yêu cầu giấy phép DTLS được cài
đặt trên WLC trước khi nó có thể được bật trên AP.
AP Flex Connect: FlexConnect cho phép cấu hình và điều khiển APS qua liên kết
WAN.
Có hai chế độ tùy chọn cho FlexConnect AP:
Chế độ được kết nối - WLC có thể truy cập được. FlexConnect AP có kết nối
CAPWAP với WLC thông qua đường hầm CAPWAP. WLC thực hiện tất cả các
chức năng CAPWAP.
Chế độ độc lập - WLC không thể truy cập được. FlexConnect AP đã mất kết nối
CAPWAP với WLC. AP FlexConnect có thể giả định một số chức năng WLC như
chuyển đổi lưu lượng truy cập dữ liệu khách hàng cục bộ và thực hiện xác thực
máy khách cục bộ.
5. Các mối đe dọa WLAN (12.6)
3 Kiểm tra lý thuyết để xác định nguyên nhân Dựa trên các nguyên
nhân có thể xảy ra, hãy
kiểm tra lý thuyết của
bạn để xác định cái nào
là nguyên nhân của vấn
đề. Một kỹ thuật viên
thường sẽ áp dụng một
quy trình nhanh chóng
để kiểm tra và xem liệu
nó có giải quyết được
vấn đề không. Nếu một
thủ tục nhanh chóng
không khắc phục được
vấn đề, bạn có thể cần
nghiên cứu thêm vấn đề
để thiết lập nguyên nhân
chính xác.
4 Thiết lập một kế hoạch hành động để giải Sau khi bạn đã xác định
quyết vấn đề và thực hiện giải pháp nguyên nhân chính xác
của vấn đề, hãy thiết lập
một kế hoạch hành động
để giải quyết vấn đề và
thực hiện giải pháp.
5 Xác minh chức năng hệ thống đầy đủ và thực Sau khi bạn đã sửa chữa
hiện các biện pháp phòng ngừa vấn đề, xác minh chức
năng đầy đủ và, nếu có
thể, hãy thực hiện các
biện pháp phòng ngừa.
6 Kết quả, hành động và kết quả tài liệu Trong bước cuối cùng
của quá trình khắc phục
sự cố, ghi lại những phát
hiện, hành động và kết
quả của bạn. Điều này
rất quan trọng để tham
khảo trong tương lai.
Nếu PC hoạt động nhưng kết nối không dây hoạt động kém, hãy kiểm tra các mục
sau:
PC có phải là khu vực bảo hiểm theo kế hoạch (BSA) không?
Kiểm tra cài đặt kênh trên máy khách không dây.
Kiểm tra nhiễu với dải 2,4 GHz.
Tiếp theo, đảm bảo rằng tất cả các thiết bị thực sự được đưa ra.
Xem xét một vấn đề bảo mật vật lý có thể.
Có sức mạnh cho tất cả các thiết bị và chúng có được cung cấp năng lượng không?
Cuối cùng, kiểm tra các liên kết giữa các thiết bị có lỗi đang tìm kiếm các đầu nối
xấu hoặc cáp bị hỏng hoặc bị thiếu.
Nếu nhà máy vật lý được đặt đúng chỗ, hãy xác minh mạng LAN có dây bằng
cách ping thiết bị, bao gồm cả AP.
Nếu kết nối vẫn thất bại vào thời điểm này, có lẽ có điều gì đó không ổn với AP
hoặc cấu hình của nó.
Khi PC người dùng bị loại bỏ là nguồn gốc của vấn đề và trạng thái vật lý của các
thiết bị được xác nhận, hãy bắt đầu điều tra hiệu suất của AP.
Kiểm tra trạng thái nguồn của AP.
- Khắc phục sự cố khi mạng chậm
Để tối ưu hóa và tăng băng thông của các bộ định tuyến và AP băng tần kép
802.11, một trong hai:
Nâng cấp các máy khách không dây của bạn - các thiết bị cũ hơn 802.11b, 802.11g
và thậm chí 802.11n có thể làm chậm toàn bộ WLAN. Đối với hiệu suất tốt nhất,
tất cả các thiết bị không dây phải hỗ trợ tiêu chuẩn cao nhất được chấp nhận nhất.
Chia lưu lượng truy cập - Cách dễ nhất để cải thiện hiệu suất không dây là phân
chia lưu lượng không dây giữa băng tần 802.11n 2,4 GHz và băng tần 5 GHz. Do
đó, 802.11n (hoặc tốt hơn) có thể sử dụng hai dải làm hai mạng không dây riêng
biệt để giúp quản lý lưu lượng.
Có một số lý do cho việc sử dụng phương pháp phân chia giao thông:
Ban nhạc 2,4 GHz có thể phù hợp với lưu lượng truy cập internet cơ bản không
nhạy cảm với thời gian.
Băng thông vẫn có thể được chia sẻ với các WLAN gần đó.
Ban nhạc 5 GHz ít đông đúc hơn nhiều so với băng tần 2,4 GHz; Lý tưởng để phát
trực tuyến đa phương tiện.
Ban nhạc 5 GHz có nhiều kênh hơn; Do đó, kênh được chọn có khả năng không
nhiễu.
Theo mặc định, các bộ định tuyến và AP băng tần kép sử dụng cùng tên mạng trên
cả dải 2,4 GHz và băng tần 5 GHz.
Nó có thể hữu ích để phân đoạn lưu lượng truy cập.
Cách đơn giản nhất để phân khúc lưu lượng là đổi tên một trong các mạng không
dây.
Để cải thiện phạm vi của mạng không dây, hãy đảm bảo bộ định tuyến không dây
hoặc vị trí AP không có vật cản, như đồ nội thất, đồ đạc và thiết bị cao.
Chúng chặn tín hiệu, rút ngắn phạm vi của WLAN.
Nếu điều này vẫn không giải quyết được vấn đề, thì có thể sử dụng bộ mở rộng
phạm vi Wi-Fi hoặc triển khai công nghệ không dây Powerline có thể được sử
dụng.
- Cập nhật chương trình
M14
1. Trình bày khái niệm Path Determination (tìm đường) (14.1)
Hai chức năng của bộ định tuyến
Khi một bộ định tuyến nhận được gói IP trên một giao diện, nó sẽ xác định giao
diện nào sẽ sử dụng để chuyển tiếp gói đến đích. Điều này được gọi là định tuyến.
Giao diện mà bộ định tuyến sử dụng để chuyển tiếp gói có thể là đích đến cuối
cùng hoặc nó có thể là một mạng được kết nối với một bộ định tuyến khác được sử
dụng để tiếp cận mạng đích. Mỗi mạng mà một bộ định tuyến kết nối với thường
yêu cầu một giao diện riêng biệt, nhưng điều này có thể không phải lúc nào cũng
như vậy.
Các chức năng chính của bộ định tuyến là xác định đường dẫn tốt nhất để chuyển
tiếp các gói dựa trên thông tin trong bảng định tuyến của nó và chuyển tiếp các
gói về phía đích đến của chúng.
Đường dẫn tốt nhất bằng với trận đấu dài nhất
Đường dẫn tốt nhất trong bảng định tuyến còn được gọi là trận đấu dài nhất.
Bảng định tuyến chứa các mục nhập tuyến bao gồm tiền tố (địa chỉ mạng) và độ
dài tiền tố. Để có một sự phù hợp giữa địa chỉ IP đích của gói và tuyến trong bảng
định tuyến, số lượng tối thiểu của các bit xa phải phải khớp giữa địa chỉ IP của gói
và tuyến trong bảng định tuyến. Độ dài tiền tố của tuyến trong bảng định tuyến
được sử dụng để xác định số lượng tối thiểu của các bit xa trái phải khớp.
Trận đấu dài nhất là tuyến đường trong bảng định tuyến có số lượng lớn nhất các
bit phù hợp bên trái với địa chỉ IP đích của gói. Trận đấu dài nhất luôn là con
đường ưa thích.
Lưu ý: Độ dài tiền tố thuật ngữ sẽ được sử dụng để chỉ phần mạng của cả địa chỉ
IPv4 và IPv6.
Xây dựng bảng định tuyến
Các mạng được kết nối trực tiếp: Được thêm vào bảng định tuyến khi giao diện
cục bộ được cấu hình với địa chỉ IP và mặt nạ mạng con (độ dài tiền tố) và được
kích hoạt (lên và lên).
Mạng từ xa: Các mạng không được kết nối trực tiếp với bộ định tuyến. Bộ định
tuyến tìm hiểu về các mạng từ xa theo hai cách:
Các tuyến tĩnh - được thêm vào bảng định tuyến khi một tuyến đường được cấu
hình thủ công.
Các giao thức định tuyến động - được thêm vào bảng định tuyến khi các giao thức
định tuyến tìm hiểu linh hoạt về mạng từ xa.
Tuyến mặc định: Chỉ định bộ định tuyến tiếp theo để sử dụng khi bảng định tuyến
không chứa một tuyến đường cụ thể phù hợp với địa chỉ IP đích. Tuyến mặc định
có thể được nhập thủ công dưới dạng tuyến tĩnh hoặc học tự động từ một giao thức
định tuyến động.
Một tuyến đường mặc định có độ dài tiền tố A /0. Điều này có nghĩa là không cần
phải khớp địa chỉ IP đích cho mục nhập tuyến này được sử dụng. Nếu không có
tuyến đường có khớp dài hơn 0 bit, tuyến mặc định được sử dụng để chuyển tiếp
gói. Tuyến đường mặc định đôi khi được gọi là một cửa ngõ của cuối cùng.
2. Trình bày bảng IP Routing (14.4)
Nguồn tuyến đường
Một bảng định tuyến chứa một danh sách các tuyến đường đến các mạng đã biết
(tiền tố và độ dài tiền tố). Nguồn của thông tin này có nguồn gốc từ những điều
sau:
Các mạng được kết nối trực tiếp
Tuyến tĩnh
Giao thức định tuyến động
Nguồn cho mỗi tuyến trong bảng định tuyến được xác định bởi một mã. Mã chung
bao gồm các mã sau:
L - Xác định địa chỉ được gán cho giao diện bộ định tuyến.
C - Xác định một mạng được kết nối trực tiếp.
S - Xác định một tuyến tĩnh được tạo để tiếp cận một mạng cụ thể.
O - Xác định một mạng được học động từ một bộ định tuyến khác bằng giao thức
định tuyến OSPF.
* - Tuyến đường này là một ứng cử viên cho một tuyến đường mặc định.
Mục nhập bảng định tuyến
Trong hình, các số xác định các thông tin sau:
Nguồn tuyến đường - Điều này xác định cách học tuyến đường.
Mạng đích (tiền tố và độ dài tiền tố) - Điều này xác định địa chỉ của mạng từ xa.
Khoảng cách hành chính - Điều này xác định độ tin cậy của nguồn tuyến đường.
Giá trị thấp hơn cho thấy nguồn tuyến ưa thích.
Số liệu - Điều này xác định giá trị được gán để tiếp cận mạng từ xa. Giá trị thấp
hơn cho thấy các tuyến đường ưa thích.
Tiếp theo - Điều này xác định địa chỉ IP của bộ định tuyến tiếp theo mà gói sẽ
được chuyển tiếp.
Route Timestamp - Điều này xác định thời gian đã trôi qua kể từ khi tuyến đường
được học.
Giao diện thoát - Điều này xác định giao diện ra để sử dụng cho các gói đi để đến
đích cuối cùng.
Các mạng được kết nối trực tiếp
Để tìm hiểu về bất kỳ mạng từ xa nào, bộ định tuyến phải có ít nhất một giao diện
hoạt động được cấu hình với địa chỉ IP và mặt nạ mạng con (độ dài tiền tố). Điều
này được gọi là một mạng được kết nối trực tiếp hoặc một tuyến đường được kết
nối trực tiếp. Bộ định tuyến thêm một tuyến đường được kết nối trực tiếp vào bảng
định tuyến của nó khi một giao diện được cấu hình với địa chỉ IP và được kích
hoạt.
Một mạng được kết nối trực tiếp được biểu thị bằng mã trạng thái của C trong
bảng định tuyến. Tuyến đường chứa tiền tố mạng và độ dài tiền tố.
Bảng định tuyến cũng chứa một tuyến cục bộ cho mỗi mạng được kết nối trực tiếp,
được biểu thị bằng mã trạng thái của L.
Đối với các tuyến cục bộ IPv4, độ dài tiền tố là /32 và đối với các tuyến cục bộ
IPv6, độ dài tiền tố là /128. Điều này có nghĩa là địa chỉ IP đích của gói phải khớp
với tất cả các bit trong tuyến cục bộ để tuyến đường này là một trận đấu. Mục đích
của tuyến đường cục bộ là xác định hiệu quả khi nào nó nhận được một gói cho
giao diện thay vì một gói cần được chuyển tiếp.
Tuyến tĩnh
Sau khi các giao diện được kết nối trực tiếp được cấu hình và thêm vào bảng định
tuyến, định tuyến tĩnh hoặc động có thể được triển khai để truy cập các mạng từ
xa. Các tuyến tĩnh được cấu hình thủ công. Họ xác định một đường dẫn rõ ràng
giữa hai thiết bị kết nối mạng. Chúng không được cập nhật tự động và phải được
cấu hình lại theo cách thủ công nếu cấu trúc liên kết mạng thay đổi.
Một mục được thụt vào được gọi là một tuyến đường trẻ em. Một mục nhập tuyến
được thụt vào nếu đó là mạng con của một địa chỉ lớp (mạng A, B hoặc C). Các
mạng được kết nối trực tiếp sẽ luôn được thụt vào (các tuyến đường con) vì địa chỉ
cục bộ của giao diện luôn được nhập vào bảng định tuyến dưới dạng A /32. Tuyến
đường trẻ em sẽ bao gồm nguồn tuyến đường và tất cả các thông tin chuyển tiếp
như địa chỉ hop tiếp theo. Địa chỉ mạng lớp của mạng con này sẽ được hiển thị
phía trên mục nhập tuyến đường, ít thụt vào và không có mã nguồn. Tuyến đường
đó được gọi là tuyến đường phụ huynh.
Cấu trúc của bảng định tuyến IPv4
Một mục được thụt vào được gọi là một tuyến đường trẻ em. Một mục nhập tuyến
được thụt vào nếu đó là mạng con của một địa chỉ lớp (mạng A, B hoặc C).
Các mạng được kết nối trực tiếp sẽ luôn được thụt vào (các tuyến đường con) vì
địa chỉ cục bộ của giao diện luôn được nhập vào bảng định tuyến dưới dạng A /32.
Tuyến đường trẻ em sẽ bao gồm nguồn tuyến đường và tất cả các thông tin chuyển
tiếp như địa chỉ hop tiếp theo.
Địa chỉ mạng lớp của mạng con này sẽ được hiển thị phía trên mục nhập tuyến
đường, ít thụt vào và không có mã nguồn. Tuyến đường đó được gọi là tuyến
đường phụ huynh.
Cấu trúc của bảng định tuyến IPv6
Khái niệm về địa chỉ lớp không bao giờ là một phần của IPv6, vì vậy cấu trúc của
bảng định tuyến IPv6 rất thẳng về phía trước. Mỗi mục nhập tuyến IPv6 được định
dạng và căn chỉnh theo cùng một cách.
Khoảng cách hành chính
Một mục nhập tuyến đường cho một địa chỉ mạng cụ thể (tiền tố và độ dài tiền tố)
chỉ có thể xuất hiện một lần trong bảng định tuyến. Tuy nhiên, có thể bảng định
tuyến tìm hiểu về cùng một địa chỉ mạng từ nhiều nguồn định tuyến. Ngoại trừ các
trường hợp rất cụ thể, chỉ nên thực hiện một giao thức định tuyến động trên bộ
định tuyến. Mỗi giao thức định tuyến có thể quyết định một đường dẫn khác nhau
để đến đích dựa trên số liệu của giao thức định tuyến đó.
Điều này đặt ra một vài câu hỏi, chẳng hạn như sau:
Làm thế nào để bộ định tuyến biết nên sử dụng nguồn nào?
Nó nên cài đặt tuyến đường nào trong bảng định tuyến?
Cisco iOS sử dụng cái được gọi là Khoảng cách quản trị (AD) để xác định tuyến
đường để cài đặt vào bảng định tuyến IP. Quảng cáo đại diện cho "độ tin cậy" của
tuyến đường. Quảng cáo càng thấp, nguồn tuyến càng đáng tin cậy.
Các giao thức định tuyến động được triển khai trong bất kỳ loại mạng nào bao
gồm nhiều hơn chỉ một vài bộ định tuyến. Các giao thức định tuyến động có khả
năng mở rộng và tự động xác định các tuyến đường tốt hơn nếu có sự thay đổi
trong cấu trúc liên kết.
Các giao thức định tuyến động thường được sử dụng trong các kịch bản sau:
Trong các mạng bao gồm nhiều hơn một vài bộ định tuyến
Khi thay đổi cấu trúc liên kết mạng yêu cầu mạng tự động xác định đường dẫn
khác
Cho khả năng mở rộng. Khi mạng phát triển, giao thức định tuyến động tự động
tìm hiểu về bất kỳ mạng mới nào.
Tính năng Định tuyến động Định tuyến tĩnh
Độ phức tạp cấu hình Độc lập với kích thước Tăng theo kích thước
mạng mạng
Thay đổi cấu trúc liên Tự động thích nghi với Cần can thiệp quản trị
kết các thay đổi cấu trúc liên viên
kết
Khả năng mở rộng Thích hợp cho các cấu Thích hợp cho các cấu
trúc liên kết mạng đơn trúc liên kết đơn giản
giản đến phức tạp
Sử dụng tài nguyên Sử dụng CPU, bộ nhớ và Không cần thêm tài
băng thông liên kết nguyên
Dự đoán đường dẫn Tuyến đường phụ thuộc Được xác định rõ ràng
vào cấu trúc liên kết và bởi quản trị viên
giao thức định tuyến
được sử dụng
M15
1. Static routes (types, next-hop, các lệnh định tuyến tĩnh trên IPv4 & IPv6, kỹ thuật
Dual-stack) (15.1)
TYPES:
Các tuyến tĩnh có thể được cấu hình cho IPv4 và IPv6. Cả hai giao thức đều hỗ trợ
các loại tuyến tĩnh sau:
Tuyến tĩnh tiêu chuẩn
Tuyến đường tĩnh mặc định
Tuyến tĩnh nổi
Tóm tắt tuyến tĩnh
Next-hop
Khi định cấu hình tuyến tĩnh, hop tiếp theo có thể được xác định bởi một địa chỉ
IP, giao diện thoát hoặc cả hai. Cách điểm đích được chỉ định tạo ra một trong ba
loại tuyến tĩnh sau:
Tuyến đường tiếp theo-Chỉ có địa chỉ IP tiếp theo được chỉ định
Tuyến tĩnh được kết nối trực tiếp - Chỉ có giao diện thoát bộ định tuyến được chỉ
định
Tuyến tĩnh được chỉ định đầy đủ - Địa chỉ IP và giao diện thoát tiếp theo được chỉ
định
Lệnh định tuyến tĩnh trên IPv4 & IPv6
kỹ thuật Dual-stack
Hình vẽ cho thấy một cấu trúc liên kết mạng kép. Hiện tại, không có tuyến tĩnh
nào được cấu hình cho IPv4 hoặc IPv6.
IPv6 Tuyến tĩnh mặc định: Cú pháp lệnh cho tuyến tĩnh mặc định IPv6 tương tự
như bất kỳ tuyến tĩnh IPv6 nào khác, ngoại trừ độ dài tiền tố IPv6-Prefix/Tiền tố là
::/0, phù hợp với tất cả các tuyến.
Cú pháp lệnh cơ bản cho tuyến tĩnh mặc định IPv6 như sau:
M16
1. Xử lý sự cố trên định tuyến Staic và Default
Thay đổi mạng
Mạng không thành công vì một số lý do:
Một giao diện có thể không thành công
Nhà cung cấp dịch vụ giảm kết nối
Liên kết có thể trở nên quá bão hòa
Quản trị viên có thể nhập một cấu hình sai.
Quản trị viên mạng chịu trách nhiệm xác định chính xác và giải quyết vấn đề.
Để tìm thấy và giải quyết các vấn đề này một cách hiệu quả, việc quen thuộc với các
công cụ một cách hữu ích với các công cụ để cô lập các vấn đề định tuyến là thuận lợi.
show ip interface brief Hiển thị trạng thái của giao diện thiết bị.
Được sử dụng để xác minh trạng thái hoạt
động và địa chỉ IP của giao diện.
show cdp neighbors Hiển thị danh sách các thiết bị Cisco được
kết nối trực tiếp.
Cũng được sử dụng để xác nhận kết nối
lớp 1 và 2.