ENSA

M1

1. Các tính năng và đặc điểm của OSPF

 OSPF là một giao thức định tuyến trạng thái liên kết được phát triển để thay thế cho Giao thức thông
tin định tuyến vectơ khoảng cách (RIP). OSPF có lợi thế đáng kể so với RIP ở chỗ nó cung cấp khả
năng hội tụ nhanh hơn và mở rộng quy mô cho các triển khai mạng lớn hơn nhiều.
 OSPF là một giao thức định tuyến trạng thái liên kết sử dụng khái niệm vùng. Quản trị viên mạng có
thể chia miền định tuyến thành các khu vực riêng biệt giúp kiểm soát lưu lượng cập nhật định tuyến.
 Tất cả các giao thức định tuyến chia sẻ các thành phần tương tự. Tất cả đều sử dụng thông báo giao
thức định tuyến để trao đổi thông tin tuyến đường. Các thông báo giúp xây dựng cấu trúc dữ liệu, sau
đó được xử lý bằng thuật toán định tuyến.
- Tất cả các giao thức định tuyến chia sẻ các thành phần tương tự. Tất cả đều sử dụng thông báo giao thức
định tuyến để trao đổi thông tin tuyến đường. Các thông báo giúp xây dựng cấu trúc dữ liệu, sau đó được
xử lý bằng thuật toán định tuyến.
Các bộ định tuyến chạy OSPF trao đổi thông điệp để truyền thông tin định tuyến bằng năm loại gói tin:
 Gói hello
 Gói mô tả cơ sở dữ liệu
 Gói yêu cầu trạng thái liên kết
 Gói cập nhật trạng thái liên kết
 Gói xác nhận trạng thái liên kết
Các gói này được sử dụng để khám phá các bộ định tuyến lân cận và cũng để trao đổi thông tin định tuyến
để duy trì thông tin chính xác về mạng.
 Cơ sở dữ liệu Bảng Mô tả
Cơ sở dữ liệu liền kề Bảng hàng xóm Danh sách tất cả các bộ định tuyến hàng
xóm mà một bộ định tuyến đã thiết lập
giao tiếp hai chiều. Bảng này là duy nhất
cho mỗi bộ định tuyến. Có thể được xem
bằng lệnh show ip ospf neighbour.

Cơ sở dữ liệu trạng Bảng cấu trúc Liệt kê thông tin về tất cả các bộ định
thái liên kết (LSDB) liên kết tuyến khác trong mạng.
Cơ sở dữ liệu đại diện cho mạng LSDB.
Tất cả các bộ định tuyến trong một khu
vực có LSDB giống hệt nhau.
Có thể xem bằng lệnh show ip ospf
database.

Cơ sở dữ liệu chuyển Bảng định tuyến Danh sách các tuyến đường được tạo khi
tiếp thuật toán được chạy trên cơ sở dữ liệu
trạng thái liên kết.
Bảng định tuyến của mỗi bộ định tuyến
là duy nhất và chứa thông tin về cách
thức và địa điểm gửi các gói đến các bộ
định tuyến khác.
Có thể xem bằng lệnh show ip route.

Bộ định tuyến xây dựng bảng cấu trúc liên kết bằng cách sử dụng kết quả tính toán dựa trên thuật toán
đường đi ngắn nhất trước (SPF) của Dijkstra. Thuật toán SPF dựa trên chi phí tích lũy để đến đích.
Thuật toán SPF tạo ra một cây SPF bằng cách đặt mỗi bộ định tuyến ở gốc của cây và tính toán đường đi
ngắn nhất đến mỗi nút. Cây SPF sau đó được sử dụng để tính toán các tuyến đường tốt nhất. OSPF đặt
các tuyến tốt nhất vào cơ sở dữ liệu chuyển tiếp, cơ sở dữ liệu này được sử dụng để tạo bảng định tuyến.
Hoạt động trạng thái liên kết:
Để duy trì thông tin định tuyến, các bộ định tuyến OSPF hoàn thành quy trình định tuyến trạng thái liên
kết chung để đạt đến trạng thái hội tụ. Sau đây là các bước định tuyến trạng thái liên kết được hoàn thành
bởi một bộ định tuyến:
 Thiết lập các lân cận láng giềng
 Trao đổi quảng cáo trạng thái liên kết
 Xây dựng cơ sở dữ liệu trạng thái liên kết
 Thực thi thuật toán SPF

OSPF đơn vùng và đa vùng

Để làm cho OSPF hiệu quả hơn và có khả năng mở rộng, OSPF hỗ trợ định tuyến phân cấp sử dụng các
khu vực. Vùng OSPF là một nhóm các bộ định tuyến chia sẻ cùng thông tin trạng thái liên kết trong
LSDB của chúng. OSPF có thể được thực hiện theo một trong hai cách sau:
Single-Area OSPF - Tất cả các bộ định tuyến đều ở trong một khu vực. Thực hành tốt nhất là sử dụng khu
vực 0.
Multiarea OSPF - OSPF được triển khai bằng cách sử dụng nhiều khu vực, theo kiểu phân cấp. Tất cả các
khu vực phải kết nối với khu vực xương sống (khu vực 0). Các bộ định tuyến kết nối các khu vực được
gọi là Bộ định tuyến biên khu vực (ABR).
Trọng tâm của mô-đun này là OSPFv2 một khu vực.
OSPF đa vùng
Các tùy chọn thiết kế cấu trúc liên kết phân cấp với OSPF đa khu vực có thể mang lại những lợi ích sau.
Bảng định tuyến nhỏ hơn - Các bảng nhỏ hơn vì có ít mục trong bảng định tuyến hơn. Điều này là do các
địa chỉ mạng có thể được tóm tắt giữa các khu vực. Tính năng tóm tắt tuyến đường không được bật theo
mặc định.
Giảm chi phí cập nhật trạng thái liên kết - Thiết kế OSPF đa khu vực với các khu vực nhỏ hơn giảm thiểu
yêu cầu xử lý và bộ nhớ.
Giảm tần suất tính toán SPF -– Multiarea OSPF bản địa hóa tác động của thay đổi cấu trúc liên kết trong
một khu vực. Chẳng hạn, nó giảm thiểu tác động cập nhật định tuyến vì quá tải LSA dừng ở ranh giới khu
vực.
OSPFv3
OSPFv3 tương đương với OSPFv2 để trao đổi tiền tố IPv6. OSPFv3 trao đổi thông tin định tuyến để điền
vào bảng định tuyến IPv6 với các tiền tố từ xa.
Lưu ý: Với tính năng Họ địa chỉ OSPFv3, OSPFv3 bao gồm hỗ trợ cho cả IPv4 và IPv6.

2. Trình bày các gói tin OSPF

Các loại gói OSPF
Loại Tên gói Mô tả
1 Hello Khám phá hàng xóm và xây
dựng các vùng lân cận giữa
chúng

2 Database Description (DBD) Kiểm tra đồng bộ hóa cơ sở

dữ liệu giữa các bộ định
tuyến
 3 Link-State Request (LSR) Yêu cầu các bản ghi trạng
thái liên kết cụ thể từ bộ định
tuyến đến bộ định tuyến

4 Link-State Update (LSU) Gửi các bản ghi trạng thái

liên kết được yêu cầu cụ thể

5 Link-State Acknowledgment Công nhận các loại gói khác

(LSAck)

LSU cũng được sử dụng để chuyển tiếp các bản cập nhật định tuyến OSPF. Một gói LSU có thể chứa 11
loại OSPFv2 LSA khác nhau. OSPFv3 đã đổi tên một số LSA này và cũng chứa hai LSA bổ sung.
LSU và LSA thường được sử dụng thay thế cho nhau, nhưng hệ thống phân cấp chính xác là các gói LSU
chứa các thông báo LSA.

Hello Packet

Gói OSPF Type 1 là gói Hello. Các gói Hello được sử dụng để làm như sau:
Khám phá các hàng xóm OSPF và thiết lập các vùng lân cận hàng xóm.
Quảng cáo các tham số mà hai bộ định tuyến phải đồng ý để trở thành hàng xóm của nhau.
Chọn Bộ định tuyến được chỉ định (DR) và Bộ định tuyến được chỉ định dự phòng (BDR) trên các mạng
đa truy cập như Ethernet. Liên kết điểm-điểm không yêu cầu DR hoặc BDR.

3. Trình bày hoạt động của OSPF

Các trạng thái hoạt động của OSPF

Trạng thái Mô tả
Trạng thái xuống Không nhận được gói Hello nào = Down.
Bộ định tuyến gửi gói tin Hello.
Chuyển sang trạng thái Init.

Trạng thái khởi tạo Các gói tin Hello được nhận từ hàng xóm.
Chúng chứa ID bộ định tuyến của bộ định
tuyến gửi.
Chuyển sang trạng thái Hai chiều.

Trạng thái 2 chiều Ở trạng thái này, giao tiếp giữa hai bộ định
tuyến là hai chiều.
Trên các liên kết đa truy cập, các bộ định
 tuyến chọn DR và BDR.
Chuyển sang trạng thái ExStart.

Trạng thái xuất phát Trên các mạng điểm-điểm, hai bộ định tuyến
quyết định bộ định tuyến nào sẽ bắt đầu trao
đổi gói DBD và quyết định số thứ tự gói
DBD ban đầu.

Trạng thái trao đổi Bộ định tuyến trao đổi các gói DBD.
Nếu cần thêm thông tin bộ định tuyến thì hãy
chuyển sang Đang tải; mặt khác, chuyển sang
trạng thái Full.

Trạng thái tải LSR và LSU được sử dụng để lấy thông tin
tuyến đường bổ sung.
Các tuyến đường được xử lý bằng thuật toán
SPF.
Chuyển sang trạng thái Full.

Trạng thái đầy đủ Cơ sở dữ liệu trạng thái liên kết của bộ định
tuyến được đồng bộ hóa hoàn toàn.

M2

1. Mô tả cách thức cấu hình Single-Area OSPFv2 (router ID, point-to-point, multiaccess)

2. Cách thức kiểm thử Single-Area OSPFv2

OSPF Neighbor

Hai bộ định tuyến có thể không tạo thành một vùng lân cận OSPFv2 nếu xảy ra các trường hợp sau:
Mặt nạ mạng con không khớp, khiến các bộ định tuyến nằm trên các mạng riêng biệt.
OSPFv2 Hello hoặc Dead Timers không khớp.
Các loại mạng OSPFv2 không khớp.
Có lệnh mạng OSPFv2 bị thiếu hoặc không chính xác.

OSPF Protocol

Lệnh show ip protocols là một cách nhanh chóng để xác minh thông tin cấu hình OSPF quan trọng, như
được hiển thị trong đầu ra của lệnh. Điều này bao gồm ID tiến trình OSPFv2, ID bộ định tuyến, các giao
diện được định cấu hình rõ ràng để quảng bá các tuyến OSPF, những người hàng xóm mà bộ định tuyến
đang nhận các bản cập nhật và khoảng cách quản trị mặc định, là 110 cho OSPF.

OSPF Process

Lệnh show ip ospf cũng có thể được sử dụng để kiểm tra ID tiến trình OSPFv2 và ID bộ định tuyến, như
được hiển thị trong đầu ra của lệnh. Lệnh này hiển thị thông tin vùng OSPFv2 và lần cuối thuật toán SPF
được thực thi.
OSPF Interface

IP chương trình lệnh giao diện ospf cung cấp một danh sách chi tiết cho mọi giao diện hỗ trợ OSPFv2.
Chỉ định một giao diện để hiển thị các cài đặt của giao diện đó. Lệnh này hiển thị ID tiến trình, ID bộ
định tuyến cục bộ, loại mạng, chi phí OSPF, thông tin DR và BDR trên các liên kết đa truy cập (không
hiển thị) và các lân cận lân cận.

Để có bản tóm tắt nhanh về các giao diện hỗ trợ OSPFv2, hãy sử dụng lệnh show ip ospf interface brief ,
như được hiển thị trong đầu ra của lệnh. Lệnh này rất hữu ích để xem thông tin quan trọng bao gồm:
 Các giao diện đang tham gia OSPF
 Các mạng đang được quảng cáo (Địa chỉ IP/Mặt nạ)
 Chi phí của mỗi liên kết
 Trạng thái mạng
 Số láng giềng trên mỗi liên kết
M3
1. Mô tả các vector Mất mát dữ liệu

2. Mô tả các công cụ Penetration testing

3. Mô tả các dạng tấn công từ các công cụ Threat actor

4. Trình bày Malware

Tổng quan về Phần mềm độc hại

Bây giờ bạn đã biết về các công cụ mà tin tặc sử dụng, chủ đề này sẽ giới thiệu cho bạn các loại phần
mềm độc hại khác nhau mà tin tặc sử dụng để giành quyền truy cập vào các thiết bị đầu cuối.

Các thiết bị đầu cuối đặc biệt dễ bị phần mềm độc hại tấn công. Điều quan trọng là phải biết về phần mềm
độc hại vì các tác nhân đe dọa dựa vào người dùng cài đặt phần mềm độc hại để giúp khai thác lỗ hổng
bảo mật.

Viruses and Trojan Horses

Loại phần mềm độc hại máy tính đầu tiên và phổ biến nhất là vi-rút. Virus yêu cầu hành động của con
người để lây lan và lây nhiễm các máy tính khác.

Virus ẩn náu bằng cách gắn vào mã máy tính, phần mềm hoặc tài liệu trên máy tính. Khi mở ra, virus sẽ
thực thi và lây nhiễm vào máy tính.

Virus có thể:

 Thay đổi, làm hỏng, xóa tệp hoặc xóa toàn bộ ổ đĩa.
 Gây ra sự cố khởi động máy tính và các ứng dụng bị hỏng.
 Nắm bắt và gửi thông tin nhạy cảm cho các tác nhân đe dọa.
 Truy cập và sử dụng tài khoản email để phát tán.
 Nằm im cho đến khi được triệu tập bởi tác nhân đe dọa.

Các loại virus hiện đại được phát triển cho mục đích cụ thể, chẳng hạn như những mục đích được liệt kê
trong bảng.
Các tác nhân đe dọa sử dụng Trojan horses để xâm phạm máy chủ. Trojan horse là một chương
trình có vẻ hữu ích nhưng cũng chứa mã độc. Trojan thường được cung cấp cùng với các chương
trình trực tuyến miễn phí như trò chơi máy tính. Có một số loại Torjan horses được mô tả trong
bảng.

5. Mô tả các dạng tấn công phi kỹ thuật (Social Engineering)

6. Tấn công dạng DoS và DDos

Một cuộc tấn công từ chối dịch vụ (DoS) tạo ra một số loại gián đoạn dịch vụ mạng cho người dùng, thiết
bị hoặc ứng dụng. Có hai loại tấn công DoS chính:

Số lượng lưu lượng quá lớn - Kẻ đe dọa gửi một lượng dữ liệu khổng lồ với tốc độ mà mạng, máy chủ
hoặc ứng dụng không thể xử lý. Điều này khiến thời gian truyền và phản hồi chậm lại. Nó cũng có thể
làm sập một thiết bị hoặc dịch vụ.

Các gói có định dạng độc hại - Kẻ đe dọa gửi một gói có định dạng độc hại đến một máy chủ hoặc ứng
dụng và người nhận không thể xử lý gói đó. Điều này khiến thiết bị nhận chạy rất chậm hoặc bị lỗi.

Các cuộc tấn công DoS là một rủi ro lớn vì chúng làm gián đoạn liên lạc và gây ra tổn thất đáng kể về
thời gian và tiền bạc. Các cuộc tấn công này tương đối đơn giản để thực hiện, ngay cả bởi một tác nhân đe
dọa không có kỹ năng.

Tấn công DoS phân tán (DDoS) tương tự như tấn công DoS, nhưng nó bắt nguồn từ nhiều nguồn phối
hợp.

7. Mô tả các kỹ thuật tấn công IP

8. Trình bày lỗ hỏng của TCP và UDP tấn công hình thức TCP, UDP

Các lỗ hổng TCP và UDP

TCP
Thông tin phân đoạn TCP xuất hiện ngay sau tiêu đề IP. Các trường của phân đoạn TCP và các cờ cho
trường Bit điều khiển được hiển thị trong hình.

Sau đây là sáu bit điều khiển của phân đoạn TCP:

 URG - Trường con trỏ khẩn cấp có ý nghĩa

 ACK - Trường xác nhận có ý nghĩa
 PSH - Chức năng đẩy
 RST - Đặt lại kết nối
 SYN - Đồng bộ dãy số
 FIN - Không còn dữ liệu từ người gửi

Tấn công lũ TCP SYN

Tác nhân đe dọa gửi nhiều yêu cầu SYN đến máy chủ web.

Máy chủ web trả lời bằng SYN-ACK cho mỗi yêu cầu SYN và đợi để hoàn tất quá trình bắt tay
ba bước. Tác nhân đe dọa không phản hồi với SYN-ACK.

Người dùng hợp lệ không thể truy cập máy chủ web vì máy chủ web có quá nhiều kết nối TCP
mở một nửa.

Việc chấm dứt phiên TCP sử dụng quy trình trao đổi bốn chiều sau:

Khi máy khách không còn dữ liệu để gửi trong luồng, nó sẽ gửi một phân đoạn có cờ FIN được
đặt.

Máy chủ gửi ACK để xác nhận việc nhận FIN để kết thúc phiên từ máy khách đến máy chủ.
Máy chủ gửi FIN cho máy khách để kết thúc phiên giữa máy chủ với máy khách.

Máy khách phản hồi bằng ACK để xác nhận FIN từ máy chủ.

Kẻ đe dọa có thể thực hiện một cuộc tấn công đặt lại TCP và gửi một gói giả mạo chứa TCP
RST tới một hoặc cả hai điểm cuối.

UDP

UDP thường được sử dụng bởi DNS, TFTP, NFS và SNMP. Nó cũng được sử dụng với các ứng
dụng thời gian thực như truyền phát đa phương tiện hoặc VoIP. UDP là một giao thức lớp truyền
tải không kết nối. Nó có chi phí hoạt động thấp hơn nhiều so với TCP vì nó không hướng kết nối
và không cung cấp các cơ chế truyền lại, sắp xếp thứ tự và kiểm soát luồng phức tạp mang lại độ
tin cậy.

Các chức năng độ tin cậy này không được cung cấp bởi giao thức tầng vận chuyển và phải được
thực hiện ở nơi khác nếu được yêu cầu.

Chi phí hoạt động thấp của UDP làm cho nó trở nên rất hấp dẫn đối với các giao thức thực hiện
các giao dịch yêu cầu và trả lời đơn giản.

Chiếm quyền điều khiển phiên TCP là một lỗ hổng TCP khác. Mặc dù khó thực hiện, nhưng một
kẻ đe dọa sẽ tiếp quản một máy chủ đã được xác thực khi nó giao tiếp với mục tiêu. Tác nhân đe
dọa phải giả mạo địa chỉ IP của một máy chủ, dự đoán số thứ tự tiếp theo và gửi ACK cho máy
chủ khác. Nếu thành công, tác nhân đe dọa có thể gửi, nhưng không nhận, dữ liệu từ thiết bị mục
tiêu.

Các cuộc tấn công UDP

UDP không được bảo vệ bởi bất kỳ mã hóa nào. Bạn có thể thêm mã hóa vào UDP, nhưng nó
không có sẵn theo mặc định. Việc thiếu mã hóa có nghĩa là bất kỳ ai cũng có thể xem lưu lượng,
thay đổi và gửi đến đích.

UDP Flood Attacks: Kẻ đe dọa sử dụng một công cụ như UDP Unicorn hoặc Low Orbit Ion
Cannon. Các công cụ này gửi một loạt các gói UDP, thường là từ một máy chủ giả mạo, đến một
máy chủ trên mạng con. Chương trình sẽ quét qua tất cả các cổng đã biết để cố gắng tìm các
cổng đã đóng. Điều này sẽ khiến máy chủ trả lời bằng thông báo không thể truy cập cổng ICMP.
Do có nhiều cổng đóng trên máy chủ nên điều này tạo ra nhiều lưu lượng truy cập trên phân
đoạn, sử dụng hầu hết băng thông. Kết quả rất giống với một cuộc tấn công DoS.

9. Trình bày lỗ hỏng ARP Tấn công ARP

Lỗ hổng ARP

Các máy chủ phát một Yêu cầu ARP tới các máy chủ khác trên phân đoạn để xác định địa chỉ MAC của
máy chủ có địa chỉ IP cụ thể. Máy chủ có địa chỉ IP phù hợp trong Yêu cầu ARP sẽ gửi Trả lời ARP.

Bất kỳ khách hàng nào cũng có thể gửi Trả lời ARP không được yêu cầu được gọi là “ARP miễn phí”.
Khi một máy chủ gửi ARP miễn phí, các máy chủ khác trên mạng con sẽ lưu trữ địa chỉ MAC và địa chỉ
IP có trong ARP miễn phí trong bảng ARP của chúng.

Tính năng này của ARP cũng có nghĩa là bất kỳ máy chủ nào cũng có thể tuyên bố là chủ sở hữu của bất
kỳ IP hoặc MAC nào. Kẻ đe dọa có thể đầu độc bộ đệm ARP của các thiết bị trên mạng cục bộ, tạo ra một
cuộc tấn công MITM để chuyển hướng lưu lượng truy cập.

ARP Cache Poisoning

Đầu độc bộ đệm ARP có thể được sử dụng để khởi chạy các cuộc tấn công trung gian khác nhau.

PC-A yêu cầu địa chỉ MAC của cổng mặc định (R1); do đó, nó sẽ gửi Yêu cầu ARP cho địa chỉ MAC là
192.168.10.1.

R1 cập nhật bộ đệm ARP của nó với địa chỉ IP và MAC của PC-A. R1 gửi một ARP Reply tới PC-A, PC-
A sau đó cập nhật bộ đệm ARP của nó với địa chỉ IP và MAC của R1.
Kẻ đe dọa gửi hai Phản hồi ARP vô cớ giả mạo bằng cách sử dụng địa chỉ MAC của chính nó cho các địa
chỉ IP đích được chỉ định. PC-A cập nhật bộ đệm ARP của nó với cổng mặc định hiện đang trỏ đến địa
chỉ MAC máy chủ của tác nhân đe dọa. R1 cũng cập nhật bộ đệm ARP của nó với địa chỉ IP của PC-A trỏ
đến địa chỉ MAC của tác nhân đe dọa.

Cuộc tấn công đầu độc ARP có thể bị động hoặc chủ động. Ngộ độc ARP thụ động là nơi các tác nhân đe
dọa đánh cắp thông tin bí mật. Ngộ độc ARP chủ động là nơi các tác nhân đe dọa sửa đổi dữ liệu trong
quá trình chuyển tiếp hoặc tiêm dữ liệu độc hại.

10. Các dạng tấn công DNS

Các cuộc tấn công DNS bao gồm:

 Các cuộc tấn công trình phân giải mở DNS

 Tấn công tàng hình DNS
 Các cuộc tấn công che giấu tên miền DNS
 Tấn công đường hầm DNS

11. Các dạng tấn công DHCP

Một cuộc tấn công giả mạo DHCP xảy ra khi một máy chủ DHCP giả mạo được kết nối với mạng và
cung cấp các tham số cấu hình IP sai cho các máy khách hợp pháp. Một máy chủ giả mạo có thể cung cấp
nhiều thông tin sai lệch:

Cổng mặc định sai - Tác nhân đe dọa cung cấp một cổng không hợp lệ hoặc địa chỉ IP của máy chủ để tạo
một cuộc tấn công MITM. Điều này có thể hoàn toàn không bị phát hiện khi kẻ xâm nhập chặn luồng dữ
liệu qua mạng.

Máy chủ DNS sai - Tác nhân đe dọa cung cấp địa chỉ máy chủ DNS không chính xác chỉ người dùng đến
một trang web độc hại.

Địa chỉ IP sai - Tác nhân đe dọa cung cấp địa chỉ IP không hợp lệ, địa chỉ IP cổng mặc định không hợp lệ
hoặc cả hai. Sau đó, tác nhân đe dọa tạo ra một cuộc tấn công DoS trên máy khách DHCP.

12. Nêu các giải pháp VPN, ASA Firewall, IPS, ESA/WSA, AAA Server

ASA Firewall
Tường lửa là một hệ thống hoặc một nhóm hệ thống thực thi chính sách kiểm soát truy cập giữa các
mạng.

IPS

Để bảo vệ chống lại các cuộc tấn công di chuyển nhanh và phát triển, bạn có thể cần các hệ thống phát
hiện và ngăn chặn hiệu quả về chi phí được tích hợp vào các điểm vào và ra của mạng.

ESA/WSA

Thiết bị bảo mật email của Cisco (ESA) là một thiết bị đặc biệt được thiết kế để giám sát Giao thức
truyền thư đơn giản (SMTP). Cisco ESA được cập nhật liên tục bởi các nguồn cấp thời gian thực từ Cisco
Talos . Dữ liệu tình báo về mối đe dọa này được Cisco ESA kéo từ ba đến năm phút một lần.

Thiết bị bảo mật web của Cisco (WSA) là một công nghệ giảm thiểu các mối đe dọa dựa trên web. Cisco
WSA kết hợp bảo vệ phần mềm độc hại nâng cao, khả năng hiển thị và kiểm soát ứng dụng, kiểm soát
chính sách sử dụng được chấp nhận và báo cáo.

Cisco WSA cung cấp khả năng kiểm soát hoàn toàn đối với cách người dùng truy cập internet. WSA có
thể thực hiện lập danh sách đen các URL, lọc URL, quét phần mềm độc hại, phân loại URL, lọc ứng dụng
web cũng như mã hóa và giải mã lưu lượng truy cập web.

M4
1) Mục đích của việc sử dụng ACLs

 Xác minh kết nối cục bộ và kiểm tra danh sách kiểm soát truy cập
 Xóa Access Control List và Lặp lại Kiểm tra

2) Nguyên tắc tạo ACL

Có giới hạn về số lượng ACL có thể được áp dụng trên giao diện bộ định tuyến. Ví dụ: giao diện bộ định
tuyến xếp chồng kép (tức là IPv4 và IPv6) có thể áp dụng tối đa bốn ACL, như thể hiện trong hình.

Cụ thể, một giao diện bộ định tuyến có thể có:

 Một ACL IPv4 gửi đi.

 Một ACL IPv4 gửi đến.
 Một ACL IPv6 gửi đến.
 Một ACL IPv6 gửi đi.

Lưu ý: ACL không phải được cấu hình theo cả hai hướng. Số lượng ACL và hướng của chúng được áp
dụng cho giao diện sẽ phụ thuộc vào chính sách bảo mật của tổ chức.

3) Các loại IPv4 ACLs

Có hai loại IPv4 ACL:

ACL tiêu chuẩn - Các gói này cho phép hoặc từ chối chỉ dựa trên địa chỉ IPv4 nguồn.

ACL mở rộng - Các ACL này cho phép hoặc từ chối các gói dựa trên địa chỉ IPv4 nguồn và địa chỉ IPv4
đích, loại giao thức, cổng TCP hoặc UDP nguồn và đích, v.v.

M5
1. Mô tả cấu hình Standard IPv4 ACLs

Numbered Standard IPv4 ACL Syntax

Named Standard IPv4 ACL Syntax

Apply a Standard IPv4 ACL

2. Mô tả cấu hình Extended IPv4 ACLs

Protocols and Ports

Protocols and Port Numbers Configuration Examples

ACL mở rộng có thể lọc theo các tùy chọn tên cổng và số cổng khác nhau.
Ví dụ này định cấu hình ACL 100 mở rộng để lọc lưu lượng HTTP. Đầu tiên ACE sử dụng tên cổng
www. ACE thứ hai sử dụng số cổng 80. Cả hai ACE đều đạt được kết quả chính xác như nhau.

Cần định cấu hình số cổng khi không có tên giao thức cụ thể được liệt kê, chẳng hạn như SSH (số cổng
22) hoặc HTTPS (số cổng 443), như minh họa trong ví dụ tiếp theo.

Apply a Numbered Extended IPv4 ACL

Trong ví dụ này, ACL cho phép cả lưu lượng HTTP và HTTPS từ mạng 192.168.10.0 đi đến bất kỳ đích
nào.
ACL mở rộng có thể được áp dụng ở nhiều địa điểm khác nhau. Tuy nhiên, chúng thường được áp dụng
gần nguồn. Ở đây ACL 110 được áp dụng trong nước trên giao diện R1 G0/0/0.

TCP Established Extended ACL

ACL 120 được định cấu hình để chỉ cho phép trả lại lưu lượng truy cập web cho các máy chủ bên trong.
ACL sau đó được áp dụng bên ngoài trên giao diện R1 G0/0/0.

Lệnh show access-lists cho thấy rằng các máy chủ bên trong đang truy cập các tài nguyên web an toàn từ
internet.
Named Extended IPv4 ACL Syntax

Đặt tên cho ACL giúp dễ hiểu chức năng của nó hơn. Để tạo ACL mở rộng có tên, hãy sử dụng lệnh cấu
hình mở rộng danh sách truy cập ip.

Trong ví dụ này, một ACL mở rộng có tên là NO-FTP-ACCESS được tạo và lời nhắc thay đổi thành chế
độ cấu hình ACL mở rộng có tên. Các câu lệnh ACE được nhập trong chế độ cấu hình con ACL mở rộng
có tên.

M6

1. Các đặc điểm của NAT

Công dụng chính của NAT là để bảo tồn các địa chỉ IPv4 công khai.
NAT cho phép các mạng sử dụng địa chỉ IPv4 riêng trong nội bộ và dịch chúng sang địa chỉ công khai khi
cần.

Một bộ định tuyến NAT thường hoạt động ở biên giới của một mạng sơ khai.

Khi một thiết bị bên trong mạng sơ khai muốn giao tiếp với một thiết bị bên ngoài mạng của nó, gói sẽ
được chuyển tiếp đến bộ định tuyến biên thực hiện quy trình NAT, dịch địa chỉ riêng bên trong của thiết
bị thành địa chỉ công khai, bên ngoài, có thể định tuyến.

Hoat dong

PC1 muốn liên lạc với một máy chủ web bên ngoài có địa chỉ công cộng 209.165.201.1.

PC1 gửi một gói địa chỉ đến máy chủ web.

R2 nhận gói và đọc địa chỉ IPv4 nguồn để xác định xem nó có cần dịch hay không.

R2 thêm ánh xạ địa chỉ cục bộ đến địa chỉ toàn cầu vào bảng NAT.

R2 gửi gói với địa chỉ nguồn đã được dịch tới đích.

Máy chủ web phản hồi với một gói được gửi đến địa chỉ chung bên trong của PC1 (209.165.200.226).

R2 nhận gói có địa chỉ đích 209.165.200.226. R2 kiểm tra bảng NAT và tìm thấy một mục cho ánh xạ
này. R2 sử dụng thông tin này và dịch địa chỉ toàn cầu bên trong (209.165.200.226) thành địa chỉ cục bộ
bên trong (192.168.10.10) và gói được chuyển tiếp tới PC1.
Thuật ngữ NAT

NAT bao gồm bốn loại địa chỉ:

Bên trong địa chỉ địa phương

Địa chỉ toàn cầu bên trong

Địa chỉ bên ngoài địa phương

Địa chỉ toàn cầu bên ngoài

Thuật ngữ NAT luôn được áp dụng từ quan điểm của thiết bị với địa chỉ được dịch:

Địa chỉ bên trong - Địa chỉ của thiết bị đang được dịch bởi NAT.

Địa chỉ bên ngoài - Địa chỉ của thiết bị đích.

Địa chỉ cục bộ - Địa chỉ cục bộ là bất kỳ địa chỉ nào xuất hiện ở phần bên trong của mạng.

Địa chỉ toàn cầu - Địa chỉ toàn cầu là bất kỳ địa chỉ nào xuất hiện ở phần bên ngoài của mạng.

Bên trong địa chỉ địa phương

Địa chỉ của nguồn khi nhìn từ bên trong mạng. Đây thường là một địa chỉ IPv4 riêng. Địa chỉ cục bộ bên
trong của PC1 là 192.168.10.10.

Địa chỉ toàn cầu bên trong

Địa chỉ của nguồn khi nhìn thấy từ mạng bên ngoài. Địa chỉ toàn cầu bên trong của PC1 là
209.165.200.226

Địa chỉ toàn cầu bên ngoài

Địa chỉ của đích nhìn từ mạng bên ngoài. Địa chỉ toàn cầu bên ngoài của máy chủ web là 209.165.201.1

Địa chỉ bên ngoài địa phương

Địa chỉ của đích nhìn từ mạng bên trong. PC1 gửi lưu lượng đến máy chủ web tại địa chỉ IPv4
209.165.201.1. Mặc dù không phổ biến nhưng địa chỉ này có thể khác với địa chỉ có thể định tuyến toàn
cầu của điểm đến.

2. Ưu, nhược điểm của NAT

Ưu điểm của NAT

NAT bảo tồn sơ đồ địa chỉ đã đăng ký hợp pháp bằng cách cho phép tư nhân hóa mạng nội bộ.

NAT bảo tồn địa chỉ thông qua ghép kênh cấp cổng ứng dụng.

NAT tăng tính linh hoạt của các kết nối với mạng công cộng.

NAT cung cấp tính nhất quán cho các sơ đồ địa chỉ mạng nội bộ.

NAT cho phép duy trì sơ đồ địa chỉ IPv4 riêng hiện có trong khi cho phép dễ dàng thay đổi sang sơ đồ địa
chỉ công cộng mới.

NAT ẩn địa chỉ IPv4 của người dùng và các thiết bị khác.

Nhược điểm của NAT

NAT tăng độ trễ chuyển tiếp.

Địa chỉ end-to-end bị mất.

Truy xuất nguồn gốc IPv4 từ đầu đến cuối bị mất.

NAT làm phức tạp việc sử dụng các giao thức đường hầm, chẳng hạn như IPsec.

Các dịch vụ yêu cầu bắt đầu kết nối TCP từ mạng bên ngoài hoặc các giao thức không trạng thái, chẳng
hạn như các giao thức sử dụng UDP, có thể bị gián đoạn.

3. Static NAT

Static NAT Scenario

NAT tĩnh là ánh xạ một-một giữa địa chỉ bên trong và địa chỉ bên ngoài.

NAT tĩnh cho phép các thiết bị bên ngoài bắt đầu kết nối với các thiết bị bên trong bằng cách sử dụng địa
chỉ công cộng được chỉ định tĩnh.

Chẳng hạn, một máy chủ web nội bộ có thể được ánh xạ tới một địa chỉ toàn cầu bên trong cụ thể để có
thể truy cập được từ các mạng bên ngoài.

Configure Static NAT

Có hai nhiệm vụ cơ bản khi cấu hình các bản dịch NAT tĩnh:

Bước 1 - Tạo ánh xạ giữa địa chỉ cục bộ bên trong và địa chỉ toàn cầu bên trong bằng lệnh ip nat inside
source static.

Bước 2 - Các giao diện tham gia dịch được cấu hình bên trong hoặc bên ngoài so với NAT với lệnh ip nat
inside và ip nat outside .
Phân tích NAT tĩnh

Quá trình dịch NAT tĩnh giữa máy khách và máy chủ web:

Máy khách gửi một gói đến máy chủ web.

R2 nhận các gói từ máy khách trên giao diện bên ngoài NAT của nó và kiểm tra bảng NAT của
nó.

R2 dịch địa chỉ toàn cầu bên trong thành địa chỉ cục bộ bên trong và chuyển tiếp gói tới máy chủ
web.

Máy chủ web nhận gói và trả lời máy khách bằng địa chỉ cục bộ bên trong của nó.

(a) R2 nhận gói từ máy chủ web trên giao diện bên trong NAT của nó với địa chỉ nguồn của địa
chỉ cục bộ bên trong của máy chủ web va (b) dịch địa chỉ nguồn thành địa chỉ toàn cầu bên trong.

Xác minh NAT tĩnh

Để xác minh hoạt động NAT, hãy đưa ra lệnh show ip nat translations.

Lệnh này hiển thị các bản dịch NAT đang hoạt động.

Bởi vì ví dụ này là một cấu hình NAT tĩnh, nên bản dịch luôn có trong bảng NAT bất kể hoạt
động truyền thông nào.

Nếu lệnh được đưa ra trong một phiên hoạt động, đầu ra cũng cho biết địa chỉ của thiết bị bên
ngoài.
Một lệnh hữu ích khác là hiển thị thống kê ip nat.

Nó hiển thị thông tin về tổng số bản dịch đang hoạt động, tham số cấu hình NAT, số lượng địa
chỉ trong nhóm và số lượng địa chỉ đã được phân bổ.

Để xác minh bản dịch NAT đang hoạt động, tốt nhất là xóa số liệu thống kê khỏi mọi bản dịch
trước đây bằng cách sử dụng lệnh clear ip nat Statistics trước khi kiểm tra.

4. Dynamic NAT
5. PAT
6. NAT64
M7
1) Purpose of WANs
2) Hoạt động trên mạng WAN
3) Kết nối Traditional WAN
4) Kết nối Modern WAN
5) Kết nối Internet-Based
 M1

1. So sánh 2 mô hình client/server và peer-to-peer:

2. Mô tả các phương tiện truyền thông mạng:
- Phương tiện là các yếu tố vật lý kết nối các thiết bị mạng. Phương tiện truyền thông mang tín
hiệu điện từ đại diện cho dữ liệu. Tùy thuộc vào phương tiện, tín hiệu điện từ có thể được dẫn
hướng, như trong dây dẫn và cáp quang, hoặc có thể được lan truyền, giống như trong truyền dẫn
không dây, chẳng hạn như WiFi, điện thoại di động và vệ tinh. Các phương tiện khác nhau có
các đặc điểm khác nhau và việc lựa chọn phương tiện thích hợp nhất sẽ tùy thuộc vào hoàn cảnh,
chẳng hạn như môi trường sử dụng phương tiện, khoảng cách cần được bao phủ, nguồn tài chính
sẵn có, v.v. Ví dụ, đối với một đoàn làm phim làm việc trên sa mạc, kết nối vệ tinh (phương tiện
không khí) có thể là lựa chọn khả dụng duy nhất.
- Điểm cuối: Thiết bị đầu cuối, thiết bị phổ biến nhất đối với mọi người, thuộc loại thiết bị đầu
cuối. Trong ngữ cảnh của mạng, thiết bị cuối được gọi là thiết bị người dùng cuối  và bao gồm
PC, máy tính xách tay, máy tính bảng, điện thoại di động, bảng điều khiển trò chơi và máy thu
hình. Điểm cuối cũng là máy chủ tệp, máy in, cảm biến, máy ảnh, rô bốt sản xuất, các thành phần
nhà thông minh, v.v. Vào thời kỳ đầu của mạng máy tính, tất cả các thiết bị cuối đều là đơn vị
phần cứng vật lý. Ngày nay, nhiều thiết bị cuối đã được ảo hóa , có nghĩa là chúng không còn
tồn tại dưới dạng các đơn vị phần cứng riêng biệt nữa. Trong ảo hóa, một thiết bị vật lý được sử
dụng để mô phỏng nhiều thiết bị đầu cuối, ví dụ như tất cả các thành phần phần cứng mà một
thiết bị đầu cuối yêu cầu.
Thiết bị trung gian:

+ Công tắc: Các thiết bị này cho phép nhiều thiết bị đầu cuối như PC, máy chủ tệp, máy in, cảm
biến, máy ảnh và rô bốt sản xuất kết nối với mạng. Bộ chuyển mạch được sử dụng để cho phép
các thiết bị giao tiếp trên cùng một mạng.
+ Bộ định tuyến: Các thiết bị này kết nối các mạng và chọn các đường dẫn tốt nhất giữa các
mạng một cách thông minh. Chức năng chính của chúng là định tuyến lưu lượng từ mạng này
sang mạng khác. Ví dụ: bạn cần một bộ định tuyến để kết nối mạng văn phòng của bạn với
internet.

+ AP: Các thiết bị này cho phép các thiết bị không dây kết nối với mạng có dây. Một AP thường
kết nối với một bộ định tuyến như một thiết bị độc lập, nhưng nó cũng có thể là một thành phần
không thể thiếu của chính bộ định tuyến.
+ Hệ thống ngăn chặn xâm nhập (IPS): IPS là một hệ thống thực hiện phân tích sâu về lưu lượng
mạng, tìm kiếm các dấu hiệu cho thấy hành vi đáng ngờ hoặc độc hại. Nếu IPS phát hiện hành vi
như vậy, nó có thể thực hiện hành động bảo vệ ngay lập tức. IPS và tường lửa có thể hoạt động
cùng nhau để bảo vệ mạng.

3. Phân biệt mô hình mạng LANs và WANs:

Mạng LAN -> mô hình peer-to-peer

4. Phân biệt mô hình mạng Internet, Extranet, Intranet:

M2
1. Mô tả các thành phần trong hệ điều hành Cisco IOS:
- Phần thứ nhất thể hiện loại thiết bị mà phần mềm IOS này có thể sử dụng
được.
• Phần thứ hai thể hiện các đặc tính của phần mềm IOS.
• Phần thứ ba thể hiện nơi chạy phần mêm IOS trên router và cho
mềm này được cung cấp dưới dạng nén hay không nén.
Bạn có thể lựa chọn các đặc tính đặc biệt của IOS nhờ phần mềm
Cisco Software Advisor. Cisco Software Advisor là một công cụ cung cấp
các thông tin hiện tại và cho phép bạn chọn lựa các đặc tính cho phu hợp với yêu cầu của hệ
thống mạng
3. Trình bày các phương thức truy cập Cisco IOS:
-Truy Cập Bằng dòng lệnh

-Truy cập từ một máy chủ TFTP, có thể thực hiện thông qua giao diện menu được cung cấp khi
khởi động hay có thể được thực hiện từ giao diện menu được cung cấp bởi sử dụng lệnh setup.
3. Mô tả các mode lệnh trong Cisco IOS. Thao tác lệnh vào mode:

4. Thao tác lệnh để đổi tên hostname trong Cisco IOS. Các quy tắc đặt tên thiết bị
Switch# configure terminal
Switch(config)# hostname S1
S1(config)# exit
5. Kết nối console dùng để làm gì? Trình bày thao tác cấu hình mật khẩu cho console (truy
cập EXEC mode), cả mật khẩu thường và mã hóa.
- Cổng console là một loại cổng quản lý, cung cấp đường kết nối riêng vào thiết bị router. Cổng
được sử dụng với mục đích thiết lập cấu hình cho router, theo dõi hoạt động của mạng và khắc
phục router khi gặp phải các sự cố.
- Các loại máy tính như PC, khi muốn kết nối vào cổng console, bạn cần phải có cáp rollover và
bộ chuyển đổi. Cisco sẽ cung cấp bộ chuyển đổi này để bạn thực hiện thao tác một cách nhanh
chóng và tiện lợi hơn.
- Thao tác cấu hình mật khẩu cho console (truy cập EXEC mode)
Branch-A(config-line)#pass cisco
Branch-A(config-line)#login
Branch-A(config-line)#exit
 Branch-A(config)#banner motd &warning &
Branch-A(config)#enable secret class
Branch-A(config)#service password-encryption
6. Kết nối VTY dùng để làm gì? Trình bày thao tác cấu hình mật khẩu cho đường VTY:
- Kết nối VTY dùng để: Các đường VTY thường được sử dụng để tạo các phiên quản lý ngoài
băng tần cho các thiết bị. Nếu mật khẩu không được cung cấp trên dòng vty, dòng đó không thể
được sử dụng để quản lý thiết bị. Trong một số trường hợp, quản trị viên có thể quyết định để
nhân viên cấp dưới sử dụng dòng 0 - 4 và nhân viên cấp cao sử dụng dòng 5 - 15.
B1: Router >enable
B2: Router(config)#line vty 0 4
B3: Router(config-line)#login
B4: Router(config-line)#password cisco
7. Trình bày thao tác lệnh mã hóa tất cả mật khẩu:
Branch-A(config)#service password-encryption
8. Trình bày thao tác lệnh tạo banner motd:
Branch-A(config)#banner motd &warning &
9. Trình bày 2 lệnh startup-config, running-config:
- Lệnh show-config hiển thị cấu hình hiện tại của router, switch hoặc tuong lua. Cấu hình đang
chạy (running-configuration) là cấu hình có trong bộ nhớ của router. Bạn thay đổi cấu hình này
khi tạo ra các thay đổi đối với router.
- Để hiển thị cấu hình đang chạy, hãy sử dụng lệnh show running-config:
show running-config [all]

 Mô tả cú pháp: all - (Tùy chọn) Hiển thị tất cả thông tin mặc định và được cấu hình.
 Lệnh mặc định: Chỉ hiển thị thông tin đã cấu hình.
 Chế độ lệnh: Chế độ EXEC
 Ví dụ:

Ví dụ này cho thấy cách hiển thị các thay đổi mà bạn đã thực hiện đối với cấu hình đang chạy:
switch# show running-config

!Command: show running-config

!Time: Tue Jul 13 06:05:42 2010

version 4.2(1)N2(1)

feature fcoe

feature telnet

feature tacacs+

feature udld

feature interface-vlan

feature lacp

feature vpc

feature lldp

feature fex

snmp-server enable traps entity fru

role name default-role

description This is a system defined role and applies to all users.

rule 5 permit command feature environment

rule 4 permit command feature hardware

rule 3 permit command feature module

rule 2 permit command feature snmp

rule 1 permit command feature system

role name praveena

username admin password 5 $1$VrQsB2KX$4jkUcx3sXWU8lhI1mlwLa/ role network-admin

username oregon password 5 $1$p3VJ0/BY$Kp22A08NeqCQ0asxUKXq91 role network-oper

ator

no password strength-check

ip domain-lookup

ip host switch 192.168.2.215

ip host BEND-1 192.168.2.215

tacacs-server host 192.168.2.54 key 7 "wawy1234"

aaa group server tacacs+ t1

server 192.168.2.54

use-vrf management

aaa group server tacacs+ tacacs

radius-server host 192.168.2.5 key 7 "KkwyCet" authentication accounting

aaa group server radius r1

server 192.168.2.5

use-vrf management

hostname switch

logging event link-status default

errdisable recovery interval 30

no errdisable detect cause link-flap

errdisable recovery cause pause-rate-limit

--More--

switch#

copy running-configuration startup-configuration

- Lệnh này sẽ lưu cấu hình hiện đang được sửa đổi (trong RAM), còn được gọi là cấu hình đang
chạy, thành NVRAM. Nếu mất điện, NVRAM sẽ bảo toàn cấu hình này. Nói cách khác, nếu bạn
chỉnh sửa cấu hình của router, không sử dụng lệnh này, sau đó khởi động lại router, các thay đổi
đó sẽ bị mất. Lệnh này có thể được viết tắt là copy run start. Lệnh copy cũng có thể được sử dụng
để sao chép cấu hình đang chạy hoặc khởi động từ router sang TFTP server trong trường hợp có
sự cố xảy ra với router.

10. Mô tả lệnh reload:

CiscoRouter# reload at 14:00

Lệnh trên sẽ tải lại bộ định tuyến lúc 2:00 PM trong ngày hiện tại.

CiscoRouter# reload at 14:00 jan 10

Lệnh trên sẽ tải lại bộ định tuyến vào lúc 2:00 PM ngày 10 tháng 1.

Cả hai lệnh trên đều giả định rằng bạn đã định cấu hình cài đặt đồng hồ chính xác trên thiết bị
(NTP hoặc cài đặt đồng hồ hệ thống thủ công).

CiscoRouter# reload in 2

Lệnh trên sẽ tải lại bộ định tuyến sau 2 phút kể từ bây giờ. Rất hữu ích như chúng ta sẽ thấy
trong trường hợp đặc biệt dưới đây.

CiscoRouter# show reload

Lệnh trên hiển thị trạng thái hiện tại của lệnh tải lại. Nếu bạn đã lên lịch thao tác tải lại sau một
khoảng thời gian kể từ bây giờ, lệnh trên sẽ hiển thị thời gian chính xác khi thiết bị sẽ khởi động
lại.

CiscoRouter# reload cancel

Lệnh trên sẽ hủy bỏ mọi hoạt động tải lại theo lịch trình.
12. Trình bày cách cấu hình IP trên cisco switch thông qua vlan 1:
B1 :Gõ lệnh conf terminal
B2:Gõ lệnh interface vlan 1
B3 Gõ lệnh IP address (nhap IP) (subnet mask)
B4: Gõ lệnh no shutdown
B5: thoát ra bằng lệnh exit
M3
1. Trình bày các tùy chọn truyền message: unicast, multicast, broadcast:

2. Mô tả các phân loại giao thức mạng (protocol):

Có nhiều giao thức được sử dụng để giao tiếp hoặc truyền đạt thông tin trên Internet, dưới đây là
một số các giao thức tiêu biểu:

Internet Protocol Suit

Internet Protocol Suite (bộ giao thức liên mạng) là tập hợp các giao thức thực thi protocol stack
(chồng giao thức) mà Internet chạy trên đó. Internet Protocol Suite đôi khi được gọi là bộ giao
thức TCP/IP. TCP và IP là những giao thức quan trọng trong Internet Protocol Suite –
Transmission Control Protocol (TCP) và Internet Protocol (IP). Internet Protocol Suite tương tự
 như mô hình OSI, nhưng có một số khác biệt. Ngoài ra không phải tất cả các lớp (layer) đều tương
ứng tốt
Protocol Stack
Protocol Stack là tập hợp đầy đủ các lớp giao thức, hoạt động cùng nhau để cung cấp khả năng kết
nối mạng. Transmission Control Protocol (TCP)
Transmission Control Protocol (TCP) là giao thức cốt lõi của Internet Protocol Suite.
Transmission Control Protocol bắt nguồn từ việc thực thi mạng, bổ sung cho Internet Protocol. Do
đó, Internet Protocol Suite thường được gọi là TCP/IP. TCP cung cấp một phương thức phân phối
đáng tin cậy một luồng octet (khối dữ liệu có kích thước 8 bit) qua mạng IP. Đặc điểm chính của
TCP là khả năng đưa ra lệnh và kiểm tra lỗi. Tất cả các ứng dụng Internet lớn như World Wide
Web, email và truyền file đều dựa vào TCP
Internet Protocol (IP)
Internet Protocol là giao thức chính trong Internet protocol suite để chuyển tiếp dữ liệu qua mạng.
Chức năng định tuyến của Internet Protocol về cơ bản giúp thiết lập Internet. Trước đây, giao thức
này là datagram service không kết nối trong Transmission Control Program (TCP) ban đầu. Do đó,
Internet protocol suite còn được gọi là TCP/IP.
Hypertext Transfer Protocol (HTTP)
HTTP là nền tảng giao tiếp dữ liệu cho World Wide Web. Siêu văn bản (hypertext) là văn bản có
cấu trúc sử dụng các siêu liên kết giữa các node chứa văn bản. HTTP là giao thức ứng dụng cho hệ
thống thông tin hypermedia (siêu phương tiện) phân tán và kết hợp
File Transfer Protocol (FTP)
FTP là giao thức phổ biến nhất được sử dụng cho mục đích truyền file trên Internet và trong các
mạng riêng.
Secured Shell (SSH)
o SSH là phương thức chính được sử dụng để quản lý các thiết bị mạng một cách an toàn ở cấp lệnh.
SSH thường được sử dụng như sự thay thế cho Telnet, vì giao thức này không hỗ trợ các kết nối
an toàn.
 Telnet protocol
o Telnet là phương thức chính được sử dụng để quản lý các thiết bị mạng ở cấp lệnh. Không giống
như SSH, Telnet không cung cấp kết nối an toàn, mà chỉ cung cấp kết nối không bảo mật cơ bản
 Simple Mail Transfer Protocol (SMTP)
o SMTP được sử dụng với hai chức năng chính: Chuyển email từ mail server nguồn đến mail server
đích và chuyển email từ người dùng cuối sang hệ thống mail.

 Post Office Protocol phiên bản 3 (POP 3)

o Post Office Protocol phiên bản 3 là một trong hai giao thức chính được sử dụng để lấy mail từ
Internet. POP 3 rất đơn giản vì giao thức này cho phép client lấy nội dung hoàn chỉnh từ hộp thư
của server và xóa nội dung khỏi server đó.
 Internet Message Access Protocol (IMAP)
o IMAP phiên bản 3 là một giao thức chính khác được sử dụng để lấy thư từ máy chủ. IMAP không
xóa nội dung khỏi hộp thư của máy chủ.
 Simple Network Management Protocol (SNMP)
o Simple Network Management Protocol được sử dụng để quản lý mạng. SNMP có khả năng giám
sát, cấu hình và điều khiển các thiết bị mạng. SNMP trap cũng có thể được cấu hình trên các thiết
bị mạng, để thông báo cho máy chủ trung tâm khi xảy ra hành động cụ thể
 Hypertext Transfer Protocol over SSL/TLS (HTTPS)
o HTTPS được sử dụng với HTTP để cung cấp các dịch vụ tương tự, nhưng với kết nối bảo mật
được cung cấp bởi SSL hoặc TLS.
3.Mô tả 2 mô hình OSI và TCP/IP

s
 Mô hình OSI: là mô hình tham chiếu kết nối các hệ thống mở – là một thiết kế dựa vào nguyên lý
tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế
giao thức mạng giữa chúng. Mô hình này được phát triển thành một phần trong kế hoạch Kết nối
các hệ thống mở (Open Systems Interconnection) do ISO và IUT-T khởi xướng. Nó còn được gọi
là Mô hình bảy tầng của OSI
Mô hình OSI gồm 7 tầng giao thức với các nguyên tắc sau:

 Các tầng có tính độc lập tương đối với nhau thực hiện các
 chức năng riêng biệt

 Cho phép thay đổi chức năng hoặc giao thức trong một tầng
 không làm ảnh hưởng đến các tầng khác.

 Có thể chia một tầng thành các tầng con khi cần thiết.

 Cho phép huỷ bỏ các tầng con nếu thấy không cần thiết.

 Bảo đảm liên kết cho nhiều hệ thống mạng khác nhau

 Thích ứng với nhu cầu phát triển các công nghệ mới trong
tương lai…
Vai trò và chức năng của mô hình OSI.

Tầng 7 - Application Layer (Tầng ứng dụng)

Tầng Application là tầng trên cùng trong mô hình, chịu trách nhiệm xác định giao diện giữa người
dùng cuối và môi trường OSI. Tầng Application cung cấp các giao thức giúp phần mềm gửi, nhận
thông tin và trình bày dữ liệu cho người dùng.
Các đối tác giao tiếp, chất lượng dịch vụ sẽ được xác định, xem xét và cân nhắc xác thực người
dùng, quyền riêng tư và bất kỳ ràng buộc nào về cú pháp dữ liệu. Tầng này chủ yếu cung cấp nền
tảng làm việc (framework) mà ứng dụng đó chạy bên trên.

Telnet và FTP là các ứng dụng tồn tại hoàn toàn ở cấp Application. Kiến trúc ứng dụng tầng là
một phần của tầng này.

Tầng 6 - Presentation Layer (Tầng trình bày)

Tầng Presentation giải quyết các vấn đề về cú pháp và ngữ nghĩa của thông tin truyền đi, nhằm
biểu diễn thông tin phù hợp với thông tin làm việc của mạng và ngược lại. Nói cách khác, sau khi
lấy dữ liệu từ tầng Application, tầng này sẽ cung cấp khả năng biểu diễn dữ liệu độc lập (ví dụ: mã
hóa) và biến đổi các dữ liệu này thành định dạng chuẩn để các tầng khác có thể hiểu được.

Để giao tiếp mạng có thể diễn ra đúng cách, dữ liệu cần được cấu trúc theo một chuẩn nào đó, và
công việc này diễn ra ở tầng Session. Đôi khi tầng này còn được gọi là tầng syntax.

Tầng 5 - Session Layer (Tầng phiên)

Tầng phiên cho phép người dùng trên nhiều máy khác nhau thiết lập, duy trì và đồng bộ phiên
truyền thông với nhau. Nói một cách đơn giản, tầng phiên có khả năng thiết lập “các giao dịch”
giữa các thực thể đầu cuối.

Tầng này cung cấp liên kết giữa hai đầu cuối sử dụng dịch vụ phiên để đồng bộ trao đổi dữ liệu và
khi kết thúc thì giải phóng liên kết. Trong phương thức truyền đồng thời hay luân phiên, quá trình
này sử dụng token để truyền dữ liệu, đồng bộ hóa và hủy bỏ liên kết. Nhờ thiết lập nhiều điểm
đồng bộ hóa trong hội thoại nên khi xảy ra sự cố, hội thoại có thể được khôi phục từ một điểm
đồng bộ hóa đã thỏa thuận.

Tầng 4 - Transport Layer (Tầng vận chuyển)

Tầng 4 trong mô hình OSI là tầng cao nhất liên quan đến các giao thức trao đổi dữ liệu giữa các hệ
thống mở. Tầng này hỗ trợ các chuyển giao dữ liệu trong suốt giữa các end system hoặc các host,
chịu trách nhiệm cho việc phục hồi lỗi end-to-end và kiểm soát luồng từ đầu đến cuối.

Windows cho phép người dùng có thể chạy nhiều ứng dụng cùng lúc, do đó, hệ điều hành sẽ hỗ
trợ cho các giao tiếp đồng thời. Tầng Transport sẽ lấy dữ liệu từ các ứng dụng và tích hợp chúng
trong cùng một luồng để chuyển giao dữ liệu. Về cơ bản, tầng này giúp đảm bảo chu trình truyền
dữ liệu hoàn chỉnh từ máy gửi đến máy nhận.

Tầng 3 - Network Layer (Tầng mạng)

Tầng 3 cung cấp các công nghệ chuyển mạch và định tuyến, tạo các logic path hay còn được biết
đến là các mạch ảo, để truyền dữ liệu từ node này sang node khác. Định tuyến và chuyển tiếp là
các chức năng cơ bản của tầng này cũng như address, internetworking, xử lý lỗi, kiểm soát tắc
nghẽn và trình tự packet.
Hiểu một cách cơ bản, tại tầng network này, dữ liệu sẽ được chia thành các gói nhỏ để tránh tình
trạng kích thước dữ liệu vượt quá dung lượng tối đa của 1 gói, sau đó thực hiện gán cho mỗi gói
một thứ tự nhận dạng. Ở phía máy người nhận, khi dữ liệu đến, tầng network sẽ chịu trách nhiệm
kiểm tra thứ tự nhận dạng của các gói để lấy cơ sở sắp xếp chúng đúng với thứ tự đã được gán khi
gửi.

Lấy một ví dụ để hình dung, khi bạn gửi đi một email có dung lượng quá lớn, bạn chia nhỏ mail
đó thành các mail với dung lượng nhỏ hơn và đánh số thứ tự để người nhận có thể nắm được trình
tự nội dung trong đó.

Tầng 2 - Data Link Layer (Tầng liên kết)

Tầng liên kết dữ liệu thực hiện việc thiết lập, duy trì, hủy bỏ các liên kết dữ liệu, đồng thời kiểm
soát lỗi và lưu lượng.

Tại tầng này, các gói dữ liệu sẽ được mã hóa và giải mã thành các bit. Data link cung cấp kiến
thức về giao thức truyền tải, quản lý, xử lý các lỗi trong tầng physical, điều khiển luồng và đồng
bộ hóa frame. Tầng Data link này được chia thành 2 tầng con: tầng Media Access Control (MAC)
và Logical Link Control (LLC). Tầng MAC sẽ kiểm soát việc truy cập và truyền tải dữ liệu của
máy tính trên mạng. Tầng LLC kiểm soát đồng bộ hóa frame, kiểm soát luồng và kiểm tra lỗi.

Tầng 1 - Physical Layer (Tầng vật lý)

Đây là tầng dưới cùng trong mô hình OSI, chịu trách nhiệm xác định các chức năng, thủ tục về
điện, cơ, quang để kích hoạt, duy trì và giải phóng kết nối vật lý giữa các hệ thống mạng. Tầng
Physical cung cấp các tài nguyên phần cứng để gửi và nhận dữ liệu trên một carrier, bao gồm xác
định cáp, card và các thành phần vật lý.

Ngoài ra, tầng này còn đảm bảo các yêu cầu về chuyển mạch hoạt động nhằm tạo ra đường truyền
thực cho các chuỗi bit thông tin. Các chuẩn trong tầng vật lý là các chuẩn xác định giao diện người
dùng và môi trường mạng. Fast Ethernet, RS232 và ATM là các giao thức với thành phần trong
tầng Physical.

Các giao thức trong mô hình OSI:

Có hai giao thức được sử dụng trong mô hình OSI là giao thức hướng liên kết và giao thức không
liên kết.

Giao thức hướng liên kết (Connection Oriented)

Trước khi truyền dữ liệu, các thực thể trong cùng một tầng của hai hệ thống khác nhau sẽ thiết lập
một liên kết logic chung. Tiếp theo, chúng sẽ tiến hành giao tiếp với nhau về tập các tham số, có
thể cắt bớt hoặc hợp nhất dữ liệu, liên kết khi đó sẽ được hủy bỏ. Việc thiết lập liên kế này giúp
làm tăng độ tin cậy và an toàn.

Giao thức không liên kết (Connectionless)

 Chỉ có một giai đoạn duy nhất truyền dữ liệu trong giao thức không liên kết. Khi đó, dữ liệu được
truyền độc lập trên nhiều tuyến khác nhau.

So sánh mô hình OSI và TCP/IP:

Mô hình OSI

 Là mô hình lý thuyết, được sử dụng cho hệ thống máy tính

 Được phát triển bởi ISO
 Có 7 tầng
 Ít phổ biến hơn TCP/IP, ít người sử dụng
 Tiếp cận theo chiều dọc
 Phát triển mô hình trước, giao thức sau
 Hỗ trợ kết nối không dây và định tuyến
 Không có sự kết hợp giữa các tầng
 Không bị phụ thuộc

Mô hình TCP/IP

 Là mô hình Server - Client, được sử dụng để truyền dữ liệu qua Internet

 Được phát triển bởi Bộ Quốc phòng (DoD)
 Có 4 tầng
 Được sử dụng phổ biến trên toàn thế giới
 Tiếp cận theo chiều ngang
 Phát triển giao thức trước, mô hình sau
 Hỗ trợ truyền thông không kết nối từ tầng mạng
 Trong tầng ứng dụng có tầng trình diễn và tầng phiên kết hợp với nhau
 Phụ thuộc vào giao thức

Ưu, nhược điểm của mô hình OSI

Ưu điểm Nhược điểm

Mô hình OSI Hỗ trợ chuẩn hóa bộ chuyển
mạch, bộ định tuyến, bo
mạch chủ,...
Giảm bớt độ phức tạp, chuẩn
hóa giao diện
Đảm bảo tương thích công
nghệ, tạo điều kiện thuận lợi
cho kỹ thuật mô-đun
Cho phép thay thế giao thức
hiện có bằng giao thức mới
Không xác định được giao
thức cụ thể
Một số dịch vụ được nhân
bản trong nhiều tầng như
tầng Data Link và Transport
Các tầng không hoạt động
song song được do phải đợi
để lấy dữ liệu từ tầng trước
đó
 khi công nghệ thay đổi
Hỗ trợ các dịch vụ hướng kết
nối và dịch vụ không kết nối
Linh hoạt thích ứng với
nhiều giao thức khác nhau

Mô hình TCP/IP

TCP/IP: là bộ giao thức chuẩn giúp các hệ thống (platforms) khác nhau

truyền thông với nhau, là giao thức chuẩn của truyền thông Internet.
Cách thức hoạt động của mô hình TCP/IP:

Mô hình TCP/IP hoạt động dựa trên sự phối hợp giữa hai giao thức .Giao thứ đầu tiên là giao thứ
IP (Giao thức liên mạng) cho phép các gói tin được gửi đến đích đã định sẵn, bằng cách thêm các
thông tin dẫn đường vào các gói tin để các gói tin được đến đúng đích đã định sẵn ban đầu. Và
giao thức TCP (Giao thức truyền vận) đóng vai trò kiểm tra và đảm bảo sự an toàn cho mỗi gói tin
khi đi qua mỗi trạm. Trong quá trình này, nếu giao thức TCP nhận thấy gói tin bị lỗi, một tín hiệu
sẽ được truyền đi và yêu cầu hệ thống gửi lại một gói tin khác. Quá trình hoạt động này sẽ được
làm rõ hơn ở chức năng của mỗi tầng trong mô hình TCP/IP.

Chức năng của các tầng trong mô hình TCP/IP:

Một mô hình TCP/IP tiêu chuẩn bao gồm 4 lớp được chồng lên nhau:

1. Tầng vật lý (Physical)

2. Tầng mạng (Network)
3. Tầng giao vận (Transport)
4. Tầng ứng dụng (Application).
Tầng 1 - Tầng Vật lý (Physical)

Là sự kết hợp giữa tầng Vật lý và tầng liên kết dữ liệu của mô hình OSI. Chịu trách nhiệm truyền
dữ liệu giữa hai thiết bị trong cùng một mạng. Tại đây, các gói dữ liệu được đóng vào khung (gọi
là Frame) và được định tuyến đi đến đích đã được chỉ định ban đầu.

Tầng 2 - Tầng mạng (Internet)

Gần giống như tầng mạng của mô hình OSI. Tại đây, nó cũng được định nghĩa là một giao thức
chịu trách nhiệm truyền tải dữ liệu một cách logic trong mạng. Các phân đoạn dữ liệu sẽ được
đóng gói (Packets) với kích thước mỗi gói phù hợp với mạng chuyển mạch mà nó dùng để truyền
dữ liệu. Lúc này, các gói tin được chèn thêm phần Header chứa thông tin của tầng mạng và tiếp
tục được chuyển đến tầng tiếp theo. Các giao thức chính trong tầng là IP, ICMP và ARP.

Tầng 3 - Tầng Giao vận (Transport)

Chức năng chính của tầng 3 là xử lý vấn đề giao tiếp giữa các máy chủ trong cùng một mạng hoặc
khác mạng được kết nối với nhau thông qua bộ định tuyến. Tại đây dữ liệu sẽ được phân đoạn,
 mỗi đoạn sẽ không bằng nhau nhưng kích thước phải nhỏ hơn 64KB. Cấu trúc đầy đủ của một
Segment lúc này là Header chứa thông tin điều khiển và sau đó là dữ liệu.

Trong tầng này còn bao gồm 2 giao thức cốt lõi là TCP và UDP. Trong đó, TCP đảm bảo chất
lượng gói tin nhưng tiêu tốn thời gian khá lâu để kiểm tra đầy đủ thông tin từ thứ tự dữ liệu cho
đến việc kiểm soát vấn đề tắc nghẽn lưu lượng dữ liệu. Trái với điều đó, UDP cho thấy tốc độ
truyền tải nhanh hơn nhưng lại không đảm bảo được chất lượng dữ liệu được gửi đi.

Tầng 4 - Tầng Ứng dụng (Application)

Đây là lớp giao tiếp trên cùng của mô hình. Đúng với tên gọi, tầng Ứng dụng đảm nhận vai trò
giao tiếp dữ liệu giữa 2 máy khác nhau thông qua các dịch vụ mạng khác nhau (duyệt web, chat,
gửi email, một số giao thức trao đổi dữ liệu: SMTP, SSH, FTP,...). Dữ liệu khi đến đây sẽ được
định dạng theo kiểu Byte nối Byte, cùng với đó là các thông tin định tuyến giúp xác định đường đi
đúng của một gói tin.

TCP/IP

So sánh mô hình TCP/IP và mô hình OSI:

 Điểm chung:

 OSI và TCP/IP đều có kiến trúc phân lớp.

 OSI và TCP/IP đều có lớp Network và lớp Transport.
 OSI và TCP/IP cùng sử dụng kỹ thuật chuyển Packet.

 Điểm khác nhau:

Nội dung Mô hình OSI Mô hình TCP/IP
Độ tin cậy và Nhiều người cho rằng đây là mô hình cũ, Được chuẩn hóa, nhiều người tin
phổ biến chỉ để tham khảo, số người sử dụng hạn cậy và sử dụng phổ biến trên
chế hơn so với TCP/IP toàn cầu

Phương pháp Tiếp cận theo chiều dọc Tiếp cận theo chiều ngang
tiếp cận

Sự kết hợp Mỗi tầng khác nhau sẽ thực hiện một Trong tầng ứng dụng có tầng
giữa các tầng nhiệm vụ khác nhau, không có sự kết hợp trình diễn và tầng phiên được kết
giữa bất cứ tầng nào hợp với nhau

Thiết kế Phát triển mô hình trước sau đó sẽ phát Các giao thức được thiết kế trước
triển giao thức sau đó phát triển mô hình

Số lớp (tầng) 7 4

Truyền thông Hỗ trợ cả kết nối định tuyến và không dây Hỗ trợ truyền thông không kết
nối từ tầng mạng

Tính phụ Giao thức độc lập Phụ thuộc vào giao thức
thuộc
 M4

1 Trình bày các loại cáp đồng (copper cabling):

UTP, STP, cáp Coaxial (đồng trục)
Dây cáp mạng UTP(Unshielded Twisted Pair):

Cáp UTP là một loại dây cáp mạng xoắn đôi không chống nhiễu, 2 dây xoắn với nhau tạo thành
một đôi không có lớp vỏ bọc bên ngoài chống nhiễu. Với cáp mạng UTP do không có vỏ bọc
chống nhiễu nên hiệu quả tín hiệu đường truyền không ổn định.

Cáp UTP có tính linh hoạt và độ bền cao nên việc sử dụng dây cáp này sẽ chỉ gặp một số vấn đề
khi bị tác động từ bên ngoài môi trường quá lớn, còn lại thì hiệu quả sử dụng tốt mà giá lại rẻ
hơn nhiều sơ với các loại cáp khác. Cáp mạng UTP do không có vỏ bọc chống nhiễu nên dễ bị
nhiễu khi đặt gần các thiết bị hoặc dây cáp khác do đó nên dùng để đi dây trong nhà.

Cáp mạng UTP mang lại tiện ích nhất và được sử dụng hầu hết trong các gia đình, văn phòng
thậm chí còn được sử dụng trong cả các doanh nghiệp quy mô lớn do chi phí thấp hơn chẳng
hạn cáp mạng Cat5e. Cáp UTP là sự lựa chọn hàng đầu từ người dùng bởi vì nó rẻ hơn và tìm
dế dàng hơn trong đa số các nhà bán lẻ, kết nối dây cáp và thiết bị máy tính nhanh và chính xác
hơn. Vì vậy cáp UTP được sử dụng rộng rãi hơn, tiết kiệm chi phi mà vẫn đáp ứng được các nhu
cầu sử dụng của khách hàng.

Cấu tạo bên trong cáp mạng UTP:

Cáp mạng UTP được thiết kế cấu tạo đặc biệt bao gồm 4 cặp dây đồng xoắn lại với nhau tạo
đường truyền ổn định, nhanh hơn và có khả năng chống phát xạ nhiễu điện từ. Do giá thành thấp
nên loại cáp UTP không có vỏ bọc chống nhiễu được sử dụng rộng rãi trong mạng LAN. UTP bao

gồm nhiều cặp xoắn lại giống như cáp STP nhưng không có lớp vỏ đồng chống nhiễu. UTP lõi
dây sử dụng chuẩn 10BaseT hoặc 100BasseT, tín hiệu đường truyền tốt với độ dài tối đa là 100
mét. Cáp UTP được phân làm 2 loại  từ cáp là có khả năng chống nhiễu và tốc độ truyền tải tín
hiệu.

Dây cáp STP:

Cáp STP lại được chia ra làm hai loại là loại có vỏ chống nhiễu chung và vỏ chống nhiễu riêng.
Cáp STP cũng được chia thành loại có vỏ chống nhiễu chung và vỏ chống nhiễu riêng.
Cáp có vỏ chống nhiễu chung có lớp vỏ chống nhiễu chung hoặc riêng trên các cặp cáp xoắn.
Cũng như lớp vỏ chống nhiễu riêng, cáp có vỏ chống nhiễu chung giúp ngăn nhiễu điện từ.

Đối với cáp có lớp vỏ chống nhiễu riêng, mỗi một cặp xoắn hoặc hai cặp xoắn sẽ được bao bọc
bởi một lá nhôm chống nhiễu. Lớp vỏ chống nhiễu sẽ giúp bảo vệ cáp khỏi hiện tượng nhiễu
điện từ từ bên ngoài vào hoặc ra. Ngoài ra nó cũng ngăn chặn hiện tượng nhiễu xuyên âm giữa
các cặp cáp.

Dây cáp cáp Coaxial (đồng trục) :

 Dây coaxial là cáp đồng trục có tính năng âm tầng tốt so với các dây analog thông thường. Nó
tạo ra những âm thanh digital theo chiều sâu. Do đó dây này được sử dụng nhiều để nghe nhạc
trên receiver cho nhiều người.

Việc bạn kết nối đầu HD qua cổng Optical/Coaxial được thực hiện khá đơn giản. Tùy vào các
kết nối hiện có trên các đầu HD, receiver, TV,.. để lựa chọn được kiểu kết nối phù hợp

1) Cable chéo và cable thẳng dùng trong các kết nối nào?

cable thẳng dùng trong các kết nối:

 Kết nối máy tính với cổng thông thường của switch/hub.
 Kết nối máy tính với cổng LAN của Modem DSL/cables.
 Kết nối cổng WAN của Router với cổng LAN của modem/modem DSL.

Cable chéo dùng trong các kết nối:

 Sử dụng một máy tính với một máy tính không có bộ chuyển mạch hoặc hub.
 Mạng phát triển cho thiết bị mạng. Ví dụ: đường dẫn đến bộ định tuyến.
 Cáp chéo cho phép người ta thiết lập kết nối trực tiếp giữa 2 thiết bị điện toán bằng cổng
Ethernet.
 Nó kết nối 2 máy tính trực tiếp.

2) So sánh UTP cabling và Fiber-optic cabling (cáp quang):

 Đặc điểm UTP Cáp sợi quang

Băng thông 10 Mbps - 100 Mbps 100 Mb / giây -1 Gb /

giây

Đoạn cáp tối đa 100 mét 2 km - 100 km

Đánh giá giao thoa Nghèo Rất tốt so với bất kỳ loại
cáp nào khác

Chi phí lắp đặt Rẻ Tốn kém nhất để cài đặt

Bán kính uổn cong 360 độ / feet 30 độ / feet

Bảo vệ Thấp Cao

3) Trình bày các chuẩn không dây: IEEE 802.11, 802.15, 802.16, 802.15.4:

Các nhóm con của Tổng quát Khái niệm cơ bản về các khái niệm mạng
chuẩn 802 vật lý và logic.

802.11 Wifi Kiểm soát truy cập mạng LAN không dây và
đặc tả lớp vật lý. Được chia thành các chuẩn
802.11a, b, g, v.v. Các sản phẩm sử dụng tiêu
chuẩn 802.11 sau khi vượt qua các bài kiểm
tra sẽ có “chứng nhận Wifi” của tổ chức Wi-
Fi Alliance.

802.15 Wireless Personal Area Được IEEE phê duyệt vào đầu năm 2002 cho
Networks (Mạng khu vực cá wireless personal area networks (mạng khu
nhân không dây) vực cá nhân không dây - WPAN).
802.15.4 ZigBee Mạng cảm biến không dây tầm ngắn
802.16 Wireless Metropolitan Area Ngủ đông (vẫn chưa được ứng dụng vào thực
Networks (Mạng khu vực đô tế). Nhóm tiêu chuẩn này bao gồm các
thị không dây) phương pháp truy cập không dây băng thông
 rộng cố định và di động, được sử dụng để tạo
mạng khu vực đô thị không dây. Kết nối các
trạm cơ sở với Internet bằng OFDM ở các dải
tần không được cấp phép (900 MHz, 2,4, 5,8
GHz) hoặc được cấp phép (700 MHz, 2,5 -
3,6 GHz). Các sản phẩm thực hiện tiêu chuẩn
802.16 có thể phải trải qua kiểm tra chứng
nhận WiMAX.

4) Wireless Access Point (AP), Wireless NIC Adapters?

Access point (AP) là một thiết bị tạo ra một mạng không dây cục bộ, hoặc WLAN, thường trong
một văn phòng hoặc tòa nhà lớn. Một điểm truy cập access point là một trạm truyền và nhận dữ
liệu. Có thể gọi chúng là bộ thu phát wifi.

Một điểm truy cập Access Point kết nối người dùng với những người dùng khác trong cùng một
mạng. Ngoài ra chúng còn đóng vai trò là điểm kết nối giữa mạng WLAN và mạng dây cố định.
Trong một khu vực mạng được xác định thì mỗi điểm truy cập Access Point có thể phục vụ

nhiều người dùng. Nếu khi mọi người di chuyển ra ngoài phạm vi của một điểm truy cập, thì
chúng sẽ tự động được chuyển sang điểm tiếp theo.

Wireless NIC Adapters:

Bộ điều khiển giao diện mạng ( NIC , còn được gọi là thẻ giao diện mạng , [3] bộ điều hợp
mạng , bộ điều hợp mạng LAN hoặc giao diện mạng vật lý , [4] và theo các thuật ngữ tương tự) là
một thành phần phần cứng máy tính kết nối máy tính với mạng máy tính . [5]
 Các bộ điều khiển giao diện mạng ban đầu thường được triển khai trên các thẻ mở rộng cắm
vào bus máy tính . Chi phí thấp và phổ biến của tiêu chuẩn Ethernet có nghĩa là hầu hết các máy
tính mới hơn đều có giao diện mạng được tích hợp trong bo mạch chủ hoặc được chứa trong
một dongle kết nối USB .
Bộ điều khiển giao diện mạng hiện đại cung cấp các tính năng nâng cao như giao
diện ngắt và DMA cho bộ xử lý máy chủ, hỗ trợ nhiều hàng đợi nhận và truyền, phân vùng thành
nhiều giao diện logic và xử lý lưu lượng mạng trên bộ điều khiển như công cụ giảm tải TCP.

M6

1. Trình bày 2 lớp con LLC và MAC trong lớp Data Link:

Tầng Data link trong mạng Lan sử dụng 2 giao thức là LLC (logical link control) và MAC (Media
Access Control ) được nằm trong bộ tiêu chuẩn Ethernet.

· Giao thức LLC dùng để liên kết dữ liệu với tầng trên chỉ ra giao thức hoạt động ở tầng
mạng (IP, IPX, Apple talk) đã đòng gói ra packet trong phần data của Frame.

· Giao thức MAC tham gia trực tiếp việc đóng gói Packet thành Frame thêm vào địa chỉ Mac
nguồn và Mac đích trong Frame, thêm vào các nhóm bít bắt đầu và mã kết thúc của một Frame và
điều khiển Frame truy cập đường truyền.

2. Mô tả mô hình Bus, Ring:

Mô hình Bus: Loại kiến trúc mạng đầu tiên là kiến trúc bus (bus topology), dùng một cáp
kết nối tất cả máy tính trong hệ mạng với nhau. Loại kiến trúc này được chấp nhận đầu tiên bởi vì
chạy một dây cáp qua tất cả máy tính trong lưới mạng thì dễ dàng và tốn ít dây hơn những loại
kiến trúc khác. Do các hệ mạng kiến trúc bus đầu tiên dùng cáp đồng trục cồng kềnh, những yếu tố
này là những ưu điểm nối trội. Cả mạng Ethernet 10BASE-5 (thick) lẫn 1OBASE-2 (thin) đều trên
kiến trúc bus.

Mô hình Ring: Một kiến trúc khác là Ring, trong đó mỗi trạm được kết nối đến trạm kết
tiếp và trạm cuối được kết nối đến trạm đầu tiên (về cơ bản một kiến trúc bus với hai đầu được
kết nối). Hai loại mạng chính sử dụng kiến trúc Ring:
Công nghệ FDD1 (FDDI: Fiber Distributed Data Interface) – Một kiến trúc mạng được
dùng cho mạng lớn và tốc độ cao sử dụng cáp quang trong kiến trúc Ring vật lý.
Mạng Token-Ring – Sử dụng kiến trúc ring logic.
Thoạt nhìn mạng Token-Ring giống với mạng Ethernet 10BASE-T hay 10/100 do cả hai
mạng này sử dụng một thiết bị kết nối trung tâm và một kiến trúc Star vật lý. Nơi nào là “vòng”
trong Token-Ring?
 Vòng tồn tại chỉ trong thiết bị kết nối các máy tính, được gọi là Bộ truy cập nhiều trạm
(MSA U: multistation access unit) trong mạng Token-Ring.
Các tín hiệu phát sinh từ một máy tính đến MSAU, được gửi sang máy tính khác và kế
tiếp trở về MSAU. Dữ liệu này sau đó lần lượt qua mỗi hệ thống cho đến khi nó trờ về máy tính
đã tạo ra nó, nơi nó được gỡ bỏ khỏi mạng. Do đó mặc dù kiến trúc mạng dây vật lý là dạng sao,
đường dẫn dữ liệu về lý thuyết lại là một vòng. Đây được gọi là vòng logic (logical ring).
Một vòng logic mà mạng Token-Ring sử dụng là thích hợp cho kiến trúc mạng vòng vật
lý do nó cho mức độ khả năng kháng lỗi lớn hơn. Như trên mạng bus, cáp gián đoạn bất kỳ nơi
nào trên kiến trúc mạng vòng vật lý, chẳng hạn FDD1, gây ảnh hưởng đến toàn bộ mạng. Mạng
FDDI dùng hai vòng vật lý để cung cấp một sao lưu dự phòng trong trường hợp một vòng bị
hòng. Ngược lại, trong mạng Token-Ring, MSAU tháo bỏ hiệu quả máy tính lỗi khỏi vòng logic,
phần còn lại của mạng vẫn hoạt động bình thường.

3. Mô tả chế độ truyền thông: Half-duplex, Full-duplex:

Trong viễn thông,hệ thống liên lạc duplex là một hệ thống point-to-point của 2 thiết bị
có thể giao tiếp với nhau theo cả 2 hướng. Hai loại hệ thống truyền thông duplex này tồn tại
trong môi trường Ethernet:

- Half Duplex : Một cổng chỉ có thể gửi dữ liệu khi nó không nhận dữ liệu. Nói cách khác,nó
không thể gửi và nhận dữ liệu cùng một lúc. Các trung tâm mạng chạy ở chế độ Half Duplex để
tránh xung đột. Vì các trung tâm rất hiếm trong các mạng LAN hiện đại,nên hệ thống Half
Duplex không được sử dụng rộng rãi trong mạng Ethernet nữa.

- Full Duplex : Tất cả các nút có thể gửi và nhận trên cổng của chúng có cùng một lúc. Không
có xung đột trong chế độ duplex,nhưng NIC chủ và cổng chuyển mạch phải hỗ trợ chế độ
duplex. Ethernet duplex sử dụng 2 cặp dây cùng một lúc thay vì một cặp dây đơn lẻ như Half
Duplex.

4. Mô tả định dạng các trường của Frame:

Frame:
 M7

2. Trình bày Ethernet MAC Address:

Địa chỉ MAC Ethernet

Tất cả các địa chỉ Ethernet (Bao gồm Unicast, Broadcast và Multicast) đều có độ dài 6 byte ( 48-
bit-Long ) hoặc Địa chỉ thập lục phân 12 ký tự. Hầu hết các máy tính liệt kê địa chỉ này dưới
dạng số Hệ thập lục phân gồm 12 chữ số. Cisco chia nó thành 3 nhóm: Ví dụ: 2001.1111.1111
Địa chỉ MAC Ethernet là một địa chỉ phần cứng, do đó, nó PHẢI nhận dạng duy nhất mọi thiết
bị Ethernet trên thế giới. Khi các nhà cung cấp tạo ra các thiết bị mạng như Ethernet NIC, thiết bị
không dây, bộ định tuyến và bộ chuyển mạch, họ ghi các địa chỉ này vào thiết bị của họ.
Địa chỉ MAC có ít tên, bao gồm Địa chỉ hysical P , Địa chỉ Ethernet , Địa chỉ ghi trong và Địa
chỉ phần cứng . Bất kể nó được gọi là gì, nó là một Địa chỉ thập lục phân 12 ký tự. Ví dụ:
Cb54 . 5689 . 90cc (Cách hiển thị địa chỉ MAC của Cisco)
18 : 40 : 58 : 76 : 90 : hh (Cách hiển thị địa chỉ MAC của Linux

3. Trình bày bảng địa chỉ MAC:

MAC là viết tắt của Media Access Control. Cụ thể, MAC là ID của card mạng máy tính và giúp
phân biệt với các card mạng khác trong 1 máy tính.
Địa chỉ mac là một dạng giao diện mặc định duy nhất của một thiết bị và được gắn với bộ chuyển
đội vật lý do nhà sản xuất quy định.
Các địa chỉ mac có dạng dãy kí tự bao gồm 12 số. 6 số đầu tiên thuộc về nhà sản xuất. 6 số cuối
cùng là của bộ chuyển đổi.

4. Trình bày các phương thức forwarding frame (chuyển tiếp frame) trên Cisco:

Frame forwarding: bất kỳ khách truy cập nào sẽ vẫn thấy www.your-old-domain.co.uk trong
thanh địa chỉ của trình duyệt của họ.
URL forwarding: bất kỳ khách truy cập nào sẽ thấy www.your-old-domain.co.uk thay đổi thành
www.your-new-domain.com trong thanh địa chỉ của trình duyệt của họ.
M8
1. Trình bày các trường trong đinh dạng Ipv4 packet

 Nó ở dạng nhị phân.

 Chứa một số trường thông tin

 Sơ đồ được đọc từ trái sang phải, 4 byte mỗi dòng

  Hai trường quan trọng nhất là nguồn và đích.

Các giao thức có thể có một hoặc nhiều chức năng.

Một số trường IPv4 đã bị xóa để cải thiện hiệu suất:

 Lá cờ

 Phần bù đắp

 Kiểm tra tiêu đề

2. Trình bày Host Forwarding Decision

Thiết bị nguồn xác định xem điểm đến là cục bộ hay từ xa

Phương pháp xác định:

 IPv4 - Nguồn sử dụng địa chỉ IP riêng và mặt nạ mạng con, cùng với địa chỉ IP đích

 IPv6 - Nguồn sử dụng địa chỉ mạng và tiền tố được quảng cáo bởi bộ định tuyến cục

bộ

Lưu lượng cục bộ được đưa ra khỏi giao diện máy chủ để được xử lý bởi một thiết bị

trung gian.

Lưu lượng truy cập từ xa được chuyển tiếp trực tiếp đến cổng mặc định trên mạng LAN.

3. Các tính năng của default gateway. Trình bày Host Routes to the Default
Gateway
 Các tính năng của default gateway

Bộ định tuyến hoặc bộ chuyển mạch lớp 3 có thể là cổng mặc định.

Các tính năng của cổng mặc định (DGW):

 Nó phải có địa chỉ IP trong cùng dải với phần còn lại của mạng LAN.

 Nó có thể chấp nhận dữ liệu từ mạng LAN và có khả năng chuyển tiếp lưu lượng

ra khỏi mạng LAN.

 Nó có thể định tuyến đến các mạng khác.

Nếu một thiết bị không có cổng mặc định hoặc cổng mặc định không hợp lệ, lưu lượng

truy cập của nó sẽ không thể rời khỏi mạng LAN.

 Trình bày A Host Routes to the Default Gateway

Máy chủ sẽ biết cổng mặc định (DGW) tĩnh hoặc thông qua DHCP trong IPv4.

IPv6 gửi DGW thông qua một bộ định tuyến (RS) hoặc có thể được định cấu hình theo

cách thủ công.

DGW là tuyến tĩnh sẽ là tuyến cuối cùng trong bảng định tuyến.

Tất cả thiết bị trong mạng LAN sẽ cần DGW của bộ định tuyến nếu chúng có ý định gửi

lưu lượng truy cập từ xa.

4. Trình bày Host Routing Tables

Trên Windows, định tuyến print hoặc netstat -r để hiển thị bảng định tuyến PC

Ba phần được hiển thị bằng hai lệnh sau:

 Danh sách giao diện - tất cả các giao diện tiềm năng và địa chỉ MAC

 Bảng định tuyến IPv4

 Bảng định tuyến IPv6

5. Điều gì xảy ra khi router nhận frame từ thiết bị host?

6. Trình bày 3 loại route trong bảng định tuyến của router: Directly Connected,
Remote, Default Route

Có ba loại tuyến đường trong bảng định tuyến của bộ định tuyến:

Kết nối trực tiếp - Các tuyến đường này được bộ định tuyến tự động thêm vào, miễn

là giao diện đang hoạt động và có địa chỉ.

Từ xa - Đây là các tuyến mà bộ định tuyến không có kết nối trực tiếp và có thể học

được:

 Thủ công - với một tuyến tĩnh

  Động - bằng cách sử dụng giao thức định tuyến để các bộ định tuyến chia sẻ

thông tin của chúng với nhau

Tuyến đường mặc định - điều này chuyển tiếp tất cả lưu lượng truy cập đến một

hướng cụ thể khi không có kết quả phù hợp trong bảng định tuyến

7. Trình bày static routing, Dynamic Routing

 Static Rounting

Đặc điểm tuyến tĩnh:

 Phải được định cấu hình thủ công

 Phải được quản trị viên điều chỉnh theo cách thủ công khi có sự thay đổi trong cấu

trúc liên kết

 Tốt cho các mạng nhỏ không dư thừa

 Thường được sử dụng kết hợp với giao thức định tuyến động để định cấu hình một

tuyến đường mặc định

 Dynamic Routing

Các tuyến đường động tự động:

 Khám phá các mạng từ xa

 Duy trì thông tin cập nhật

 Chọn con đường tốt nhất để đến đích

 Tìm đường dẫn tốt nhất mới khi có sự thay đổi cấu trúc liên kết

Định tuyến động cũng có thể chia sẻ các tuyến mặc định tĩnh với các bộ định tuyến khác.

8. Vì sao IP là phi kết nối (Connectionless) 

Là giao thức hướng không liên kết (connectionless): dữ liệu của IP được truyền đi
ngay lập tức nếu có thể (best effort), không có bất kì cơ chế thiết lập kết nối ,
không có cơ chế báo nhận hay điều khiển luồng nào được sử dụng với IP, các gói
tin IP cũng không được đánh số thứ tự khi trao đổi trên mạng…
9. Chức năng của lớp mạng (mô hình OSI)
 Một chức năng quan trọng khác của tầng mạng là chức năng điều khiển tắc nghẽn
(Congestion Control). Nếu có quá nhiều gói tin cùng lưu chuyển trên cùng một
đường thì có thể xảy ra tình trạng tắc nghẽn. Thực hiện chức năng giao tiếp giữa
các mạng khi các gói tin đi từ mạng này sang mạng khác để tới đích.
M9
1. Mô tả hai địa chỉ chính được gán cho một thiết bị trên mạng LAN Ethernet

Có hai địa chỉ chính được gán cho một thiết bị trên mạng LAN Ethernet:

 Địa chỉ vật lý lớp 2(địa chỉ MAC): Được sử dụng cho giao tiếp NIC với
NIC trên cùng một mạng Ethernet
 Địa chỉ logic lớp 3(địa chỉ IP): Được sử dụng để gửi gói tin từ nguồn thiết bị
đến thiết bị đích

Địa chỉ lớp 2 được sử dụng để phân phối các khung từ NIC này đến NIC khác trên
cùng một mạng. Nếu địa chỉ IP đích nằm trên cùng một mạng, địa chỉ MAC đích
sẽ là địa chỉ MAC của thiết bị đích

2. Trình bày tổng quan về ARP (chức năng, Removing Entries from an ARP
Table, câu lệnh xem ARP trên Cisco IOS, ARP Issues)
 ARP Overview

Một thiết bị sử dụng ARP để xác định địa chỉ MAC đích của một thiết bị cục bộ khi
nó biết địa chỉ IPv4 của nó.

ARP cung cấp hai chức năng cơ bản:

• Phân giải địa chỉ IPv4 thành địa chỉ MAC

• Duy trì một bảng ARP của ánh xạ địa chỉ IPv4 đến MAC

 ARP Functions

Để gửi một khung, một thiết bị sẽ tìm kiếm trong bảng ARP của nó để tìm địa chỉ
IPv4 đích và địa chỉ MAC tương ứng.

• Nếu địa chỉ IPv4 đích của gói nằm trên cùng một mạng, thiết bị sẽ tìm kiếm địa chỉ
IPv4 đích trong bảng ARP.

• Nếu địa chỉ IPv4 đích nằm trên một mạng khác, thiết bị sẽ tìm kiếm địa chỉ IPv4 của
cổng mặc định trong bảng ARP.
 • Nếu thiết bị định vị địa chỉ IPv4, địa chỉ MAC tương ứng của nó sẽ được sử dụng
làm địa chỉ MAC đích trong khung.

• Nếu không tìm thấy mục nhập bảng ARP nào, thì thiết bị sẽ gửi yêu cầu ARP.

 Removing Entries from an ARP Table

Các mục nhập trong bảng ARP không phải là vĩnh viễn và bị xóa khi bộ hẹn giờ bộ
nhớ cache ARP hết hạn sau một khoảng thời gian được chỉ định.

• Thời lượng của bộ hẹn giờ bộ nhớ cache ARP khác nhau tùy thuộc vào hệ điều
hành.

• Quản trị viên cũng có thể xóa các mục nhập trong bảng ARP theo cách thủ công.

 ARP Tables on Networking Devices

Lệnh show ip arp hiển thị bảng ARP trên bộ định tuyến Cisco.

• Lệnh arp –a hiển thị bảng ARP trên PC chạy Windows 10.

 ARP Issues – ARP Broadcasting and ARP Spoofing

Các yêu cầu ARP được nhận và xử lý bởi mọi thiết bị trong mạng cục bộ.

• Các chương trình phát sóng ARP quá mức có thể gây ra một số giảm hiệu suất.

• Phản hồi ARP có thể bị giả mạo bởi tác nhân đe dọa để thực hiện một cuộc tấn công
đầu độc ARP.

• Chuyển mạch cấp doanh nghiệp bao gồm các kỹ thuật giảm thiểu để bảo vệ chống
lại các cuộc tấn công ARP.

3. Trình bày giao thức IPv6 Neighbor Discovery (ND) 

Giao thức IPv6 Neighbor Discovery (ND) cung cấp:

 Giải quyết địa chỉ

 Khám phá bộ định tuyến

 Dịch vụ chuyển hướng

M10
1. Mô tả thao tác lệnh cấu hình hostname, mật khẩu enable, line console, line
vty, mã hoá các mật khẩu, banner motd
 Cấu hình hostname
Router(config)# hostname hostname
 Mật khẩu enable
Router(config)# enable secret password
 Line console
Router(config)# line console 0
Router(config-line)# password password
Router(config-line)# login
 Line vty
Router(config)# line vty 0 4
Router(config-line)# password password
Router(config-line)# login
Router(config-line)# transport input {ssh | telnet}
 Mã hóa các mật khẩu
Router(config)# service password encryption
 Banner motd
Router(config)# banner motd # message #
Router(config)# end
Router# copy running-config startup-config
2. Mô tả thao tác lệnh cấu hình ipv4, ipv6 trên router interfaces
Router(config)# interface type-and-number
Router(config-if)# description description-text
Router(config-if)# ip address ipv4-address subnet-mask
Router(config-if)# ipv6 address ipv6-address/prefix-length
Router(config-if)# no shutdown
3. Mô tả các lệnh
 show ip interface brief
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
 GigabitEthernet0/0/0 192.168.10.1 YES manual up up
GigabitEthernet0/0/1 209.165.200.225 YES manual up up
Vlan1 unassigned YES unset administratively down down
 show ipv6 interface brief
R1# show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::201:C9FF:FE89:4501
2001:DB8:ACAD:10::1
GigabitEthernet0/0/1 [up/up]
FE80::201:C9FF:FE89:4502
2001:DB8:FEED:224::1
Vlan1 [administratively down/down]
unassigned
R1#
 show ip route
R1# show ip route
< output omitted>
Gateway of last resort is not set
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/0
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/0
209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks
C 209.165.200.224/30 is directly connected, GigabitEthernet0/0/1
L 209.165.200.225/32 is directly connected, GigabitEthernet0/0/1
R1#
 show ipv6 route
R1# show ipv6 route
<output omitted>
C 2001:DB8:ACAD:10::/64 [0/0]
via GigabitEthernet0/0/0, directly connected
L 2001:DB8:ACAD:10::1/128 [0/0]
via GigabitEthernet0/0/0, receive
C 2001:DB8:FEED:224::/64 [0/0]
via GigabitEthernet0/0/1, directly connected
L 2001:DB8:FEED:224::1/128 [0/0]
via GigabitEthernet0/0/1, receive
L FF00::/8 [0/0]
via Null0, receive
R1#
 show interfaces
R1# show interfaces gig0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
Hardware is ISR4321-2x1GE, address is a0e0.af0d.e140 (bia a0e0.af0d.e140)
 Description: Link to LAN
Internet address is 192.168.10.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive not supported
Full Duplex, 100Mbps, link type is auto, media type is RJ45
output flow-control is off, input flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:00:35, output hang never
Last clearing of "show interface" counters never
Input queue: 0/375/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
1180 packets input, 109486 bytes, 0 no buffer
Received 84 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles

<output omitted>

R1#
 show ip interfaces
R1# show ip interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
Internet address is 192.168.10.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing Common access list is not set
Outgoing access list is not set
Inbound Common access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
 IP fast switching is enabled
IP Flow switching is disabled

<output omitted>

R1#
 show ipv6 interfaces
R1# show ipv6 interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::868A:8DFF:FE44:49B0
No Virtual link-local address(es):
Description: Link to LAN
Global unicast address(es):
2001:DB8:ACAD:10::1, subnet is 2001:DB8:ACAD:10::/64
Joined group address(es):
FF02::1
FF02::1:FF00:1
FF02::1:FF44:49B0
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND NS retransmit interval is 1000 milliseconds

R1#
4. Trình bày Default Gateway on a Host và Default Gateway on a Switch
 Default Gateway on a Host
Cổng mặc định được sử dụng khi máy chủ gửi gói đến thiết bị trên mạng khác.
Địa chỉ cổng mặc định nói chung là địa chỉ giao diện bộ định tuyến được gắn với
mạng cục bộ của máy chủ.
Để tiếp cận PC3, PC1 đánh địa chỉ một gói có địa chỉ IPv4 của PC3, nhưng chuyển
tiếp gói đến cổng mặc định của nó, giao diện G0/0/0 của R1.
 Default Gateway on a Switch
Công tắc phải có địa chỉ cổng mặc định được định cấu hình để quản lý từ xa công tắc
từ mạng khác.
Để định cấu hình cổng mặc định IPv4 trên bộ chuyển mạch, hãy sử dụng lệnh cấu
hình toàn cầu địa chỉ ip cổng mặc định ip.
M11
1. Trình bày Net ID, host ID, subnet mask, prefix
 Net ID và host ID
Địa chỉ IPv4 là địa chỉ phân cấp 32 bit được tạo thành từ phần mạng và phần máy
chủ.
Khi xác định phần mạng so với phần máy chủ, bạn phải xem luồng 32-bit.
Mặt nạ mạng con được sử dụng để xác định phần mạng và máy chủ.
 Subnet Mask
Để xác định phần mạng và máy chủ của địa chỉ IPv4, mặt nạ mạng con được so
sánh với bit địa chỉ IPv4 từng bit, từ trái sang phải.
Quá trình thực tế được sử dụng để xác định các phần mạng và máy chủ được gọi là
ANDing.
 Prefix
Độ dài tiền tố là một phương pháp ít rườm rà hơn được sử dụng để xác định địa
chỉ mặt nạ mạng con.
 Độ dài tiền tố là số bit được đặt thành 1 trong mặt nạ mạng con.
 Do đó, nó được viết bằng “ký hiệu gạch chéo”, hãy đếm số bit trong mặt nạ
mạng con và thêm dấu gạch chéo vào trước.
2. Trình bày ip mạng, ip host, ip broadcast
 IP mạng

 IP Host

 IP Broadcast

3. Trình bày ipv4 unicast, bradcast, multicast

 Unicast
Truyền Unicast đang gửi một gói đến một địa chỉ IP đích.
 Broadcast
Truyền quảng bá là gửi một gói đến tất cả các địa chỉ IP đích khác.
 Multicast
 Truyền đa hướng là gửi một gói đến một nhóm địa chỉ đa hướng.
4. Phân biệt IPv4 public, private

Các IP public cho phép mọi mạng cục bộ được xác định trên Internet nói chung,
trong khi các IP private cắt giảm việc sử dụng địa chỉ IPv4 và cho phép router xử
lý lưu lượng truy cập cho tất cả các thiết bị gia đình.

5. Broadcast Domains and Segmentation và Problems with Large Broadcast

Domains
 Broadcast Domains and Segmentation
Nhiều giao thức sử dụng chương trình phát sóng hoặc phát đa hướng (ví dụ: ARP
sử dụng chương trình phát sóng để định vị các thiết bị khác, các máy chủ gửi
chương trình phát sóng khám phá DHCP để định vị máy chủ DHCP.)
Công tắc truyền phát các chương trình phát sóng ra tất cả các giao diện ngoại trừ
giao diện mà nó được nhận.
 Thiết bị duy nhất dừng phát là bộ định tuyến.
 Bộ định tuyến không truyền các chương trình phát sóng.
 Mỗi giao diện bộ định tuyến kết nối với một miền quảng bá và các chương
trình phát sóng chỉ được truyền trong miền quảng bá cụ thể đó.
 Problems with Large Broadcast Domains
Một vấn đề với miền phát sóng lớn là các máy chủ này có thể tạo ra các chương
trình phát sóng quá mức và ảnh hưởng tiêu cực đến mạng.
Giải pháp là giảm kích thước của mạng để tạo ra các miền quảng bá nhỏ hơn trong
một quá trình gọi là subnetting.
M12
1. Trình bày định dạng địa chỉ IPv6
Địa chỉ IPv6 có độ dài 128 bit và được viết dưới dạng thập lục phân.
Địa chỉ IPv6 không phân biệt chữ hoa chữ thường và có thể được viết bằng chữ
thường hoặc chữ hoa.
Định dạng ưu tiên để ghi địa chỉ IPv6 là x:x:x:x:x:x:x:x, với mỗi “x” bao gồm bốn
giá trị thập lục phân.
Trong IPv6, hextet là thuật ngữ không chính thức được sử dụng để chỉ một đoạn
gồm 16 bit hoặc bốn giá trị thập lục phân.
  Ví dụ về địa chỉ IPv6 ở định dạng ưu tiên:
2001:0db8:0000:1111:0000:0000:0000:0200
2001:0db8:0000:00a3:abcd:0000:0000:1234
2. Trình bày các loại IPv6
Có ba loại địa chỉ IPv6 chính:
 Unicast – Unicast xác định duy nhất một giao diện trên thiết bị hỗ trợ IPv6.
 Multicast – Multicast được sử dụng để gửi một gói IPv6 đến nhiều đích.
 Anycast – Đây là bất kỳ địa chỉ unicast IPv6 nào có thể được gán cho nhiều
thiết bị. Một gói được gửi đến một địa chỉ anycast được định tuyến đến thiết bị
gần nhất có địa chỉ đó.
3. Mô tả thao tác cấu hình IPv6 trên router interface
R1(config)#ipv6 unicast-routing //câu lệnh phải có để chạy
IPv6 R1(config)#interface gigabitEthernet 0/0
R1(config-if)#ipv6 address 12::1/64
R1(config-if)#no shutdown
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#ipv6 address 13::1/64
R1(config-if)#no shutdown
R1(config)#interface loopback 1
R1(config-if)#ipv6 address 1:1:1:1::1/64
M13
1. Trình bày về lệnh Ping, traceroute, 
o Ping:
Lệnh ping là một tiện ích kiểm tra IPv4 và IPv6 sử dụng các thông báo yêu cầu
phản hồi ICMP và phản hồi phản hồi để kiểm tra kết nối giữa các máy chủ và cung
cấp một bản tóm tắt bao gồm tỷ lệ thành công và thời gian trung bình khứ hồi đến
đích.
Nếu không nhận được phản hồi trong thời gian chờ, ping sẽ cung cấp thông báo
cho biết rằng không nhận được phản hồi.
Thông thường lần ping đầu tiên hết thời gian chờ nếu cần thực hiện phân giải địa
chỉ (ARP hoặc ND) trước khi gửi ICMP Echo Request.
o Traceroute:

2. Trình bày các loại IPv6

Có ba loại địa chỉ IPv6 chính:
 Unicast – Unicast xác định duy nhất một giao diện trên thiết bị hỗ trợ IPv6.
  Multicast – Multicast được sử dụng để gửi một gói IPv6 đến nhiều đích.
 Anycast – Đây là bất kỳ địa chỉ unicast IPv6 nào có thể được gán cho nhiều
thiết bị. Một gói được gửi đến một địa chỉ anycast được định tuyến đến thiết bị
gần nhất có địa chỉ đó.
3. Mô tả thao tác cấu hình IPv6 trên router interface
R1(config)#ipv6 unicast-routing //câu lệnh phải có để chạy
IPv6 R1(config)#interface gigabitEthernet 0/0
R1(config-if)#ipv6 address 12::1/64
R1(config-if)#no shutdown
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#ipv6 address 13::1/64
R1(config-if)#no shutdown
R1(config)#interface loopback 1
R1(config-if)#ipv6 address 1:1:1:1::1/64
4. Trình bày The ICMP messages common to both ICMPv4 and ICMPv6
include:
 Host reachability
ICMP Echo Message có thể được sử dụng để kiểm tra khả năng tiếp cận của
máy chủ lưu trữ trên mạng IP.
Trong ví dụ:
o Máy chủ lưu trữ cục bộ gửi Yêu cầu tiếng vang ICMP đến máy chủ lưu trữ.
o Nếu máy chủ khả dụng, máy chủ đích sẽ trả lời bằng Echo Reply.
 Destination or Service Unreachable
Thông báo ICMP Destination Unreachable có thể được sử dụng để thông báo
cho nguồn tin rằng một điểm đến hoặc dịch vụ không thể truy cập được.
Thông báo ICMP sẽ bao gồm một mã cho biết lý do tại sao không thể gửi gói
tin.
o Một số mã không thể truy cập đích cho ICMPv4 như sau:
0 - Không thể truy cập mạng
1 - Máy chủ không thể truy cập được
2 - Giao thức không thể truy cập
3 - Cổng không thể truy cập
o Một số mã không thể truy cập đích cho ICMPv6 như sau:
0 - Không có tuyến đường đến điểm đến
1 - Giao tiếp với đích bị cấm về mặt hành chính (ví dụ: tường lửa)
2 - Ngoài phạm vi của địa chỉ nguồn
3 - Không thể truy cập địa chỉ
4 - Cổng không thể truy cập
 Time exceeded
 Khi trường Thời gian tồn tại (TTL) trong gói giảm xuống 0, thông báo
ICMPv4 Time Exceeded sẽ được gửi đến máy chủ nguồn.
ICMPv6 cũng gửi thông báo Thời gian Quá hạn. Thay vì trường IPv4 TTL,
ICMPv6 sử dụng trường IPv6 Hop Limit để xác định xem gói đã hết hạn chưa.
M14
1. Mô tả các trường TCP header 
Cổng nguồn: Trường 16 bit được sử dụng để xác định ứng dụng nguồn theo số cổng.
Cảng đích: Trường 16 bit được sử dụng để xác định ứng dụng đích theo số cổng.
Số thứ tự: Trường 32 bit được sử dụng cho mục đích tập hợp lại dữ liệu.
Số xác nhận: Trường 32 bit được sử dụng để chỉ ra rằng dữ liệu đã được nhận và byte
tiếp theo được mong đợi từ nguồn.
Độ dài tiêu đề: Trường 4 bit được gọi là ʺdata offsetʺ cho biết độ dài của tiêu đề phân
đoạn TCP.
Kín đáo: Trường 6 bit được dành riêng để sử dụng trong tương lai.
Bit điều khiển: Trường 6 bit được sử dụng bao gồm mã bit hoặc cờ, cho biết mục đích và
chức năng của phân đoạn TCP.
Kích thước cửa sổ: Trường 16 bit được sử dụng để chỉ ra số lượng byte có thể được chấp
nhận cùng một lúc.
Tổng kiểm tra: Trường 16 bit được sử dụng để kiểm tra lỗi của tiêu đề phân đoạn và dữ
liệu.
Khẩn cấp: Trường 16 bit được sử dụng để cho biết liệu dữ liệu được chứa có khẩn cấp
hay không.
2. Mô tả các trường UDP Header
Cổng nguồn: Trường 16 bit được sử dụng để xác định ứng dụng nguồn theo số
cổng.
Cảng đích: Trường 16 bit được sử dụng để xác định ứng dụng đích theo số cổng.
Chiều dài: Trường 16-bit cho biết độ dài của tiêu đề gói dữ liệu UDP.
Tổng kiểm tra: Trường 16 bit được sử dụng để kiểm tra lỗi của tiêu đề và dữ liệu
của gói tin.
3. Trình bày quá trình truyền thông TCP (TCP Communication Process)
Mỗi quy trình ứng dụng chạy trên máy chủ được cấu hình để sử dụng một số cổng.
 Một máy chủ riêng lẻ không thể có hai dịch vụ được gán cho cùng một số cổng
trong cùng một dịch vụ lớp vận chuyển.
Một ứng dụng máy chủ đang hoạt động được gán cho một cổng cụ thể được coi là
mở, có nghĩa là lớp vận chuyển chấp nhận và xử lý các phân đoạn được gửi đến
cổng đó.
Bất kỳ yêu cầu máy khách đến nào được gửi đến đúng ổ cắm đều được chấp nhận
và dữ liệu được chuyển đến ứng dụng máy chủ.
4. Phân biệt truyền TCP và UDP
TCP là một giao thức định hướng kết nối. Đồng nghĩa với, một khi kết nối được
hình thành, dữ liệu có khả năng được gửi theo hai chiều. Còn ở UDP là một giao
thức Internet không kết nối đơn giản hơn rất nhiều. Lượng lớn tin nhắn được gửi
dưới hình thức packet in chunks dùng UDP.
5. Trình bày lớp giao vận
Tầng vận chuyển là tầng thứ tư trong bảy tầng của mô hình OSI. Tầng này chịu
trách nhiệm đáp ứng các đòi hỏi về dịch vụ của tầng phiên và đưa ra các yêu cầu
dịch vụ đối với tầng mạng (Network Layer).
M15
1. Trình bày giao thức DNS, FTP, Web, Email
 DNS
DNS (Domain Name Server) là một giao thức tiêu chuẩn cho phép bạn nhập địa
chỉ của một trang Web và tự động khám phá địa chỉ giao thức Internet (IP) cho
trang Web đó.
 FTP
FTP (viết tắt của File Transfer Protocol, dịch ra là "Giao thức truyền tập tin")
thường được dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức
TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặc Intranet - mạng nội bộ).
 Web
Khi một địa chỉ web hoặc Bộ định vị tài nguyên thống nhất (URL) được nhập vào
trình duyệt web, trình duyệt web sẽ thiết lập kết nối với dịch vụ web. Dịch vụ web
đang chạy trên máy chủ đang sử dụng giao thức HTTP.
 Để hiểu rõ hơn cách trình duyệt web và máy chủ web tương tác với nhau, hãy
kiểm tra cách một trang web được mở trong trình duyệt.
 Email
Email server có 3 giao thức chính là SMTP, POP3, IMAP. Công việc phát triển
các hệ thống thư điện tử (Mail System) đòi hỏi phải hình thành các chuẩn chung
về thư điện tử. Điều này giúp cho việc gởi, nhận các thông điệp được đảm bảo,
làm cho những người ở các nơi khác nhau có thể trao đổi thông tin.
2. Trình bày các lớp ứng dụng (TCP/IP và OSI)
Các giao thức ứng dụng TCP/IP chỉ định định dạng và thông tin kiểm soát cần
thiết cho nhiều chức năng giao tiếp internet phổ biến.
Các giao thức lớp ứng dụng được cả thiết bị nguồn và thiết bị đích sử dụng trong
phiên liên lạc.
Để truyền thông thành công, các giao thức lớp ứng dụng được triển khai trên máy
chủ nguồn và đích phải tương thích. 
M16
1. Trình bày các loại malware
 Viruses: Vi-rút máy tính là một loại phần mềm độc hại lây lan bằng cách chèn
một bản sao của chính nó vào và trở thành một phần của chương trình khác. Nó
lây lan từ máy tính này sang máy tính khác, để lại nhiễm trùng khi di chuyển.
 Worms: Worms máy tính tương tự như vi-rút ở chỗ chúng sao chép các bản
sao chức năng của chính chúng và có thể gây ra cùng một loại thiệt hại. Ngược
lại với vi-rút yêu cầu lây lan tệp máy chủ bị nhiễm, Worms là phần mềm độc
lập và không yêu cầu chương trình máy chủ hoặc sự trợ giúp của con người để
lây lan.
 Trojan Horses: Đây là một phần mềm độc hại có vẻ hợp pháp. Không giống
như virus và worms, Trojan Horses không sinh sản bằng cách lây nhiễm các
tệp khác. Chúng tự sao chép. Trojan phải lây lan thông qua tương tác của
người dùng, chẳng hạn như mở tệp đính kèm email hoặc tải xuống và chạy tệp
từ internet.
 2. Trình bày các giải pháp giảm thiểu (hạn chế) tấn công mạng (Network Attack
Mitigations)
 Upgrade, Update, and Patch
 Authentication, authorization, and accounting (AAA, or “triple A”)
 Firewalls
 Endpoint Security
3. Mô tả thao tác cấu hình và sử dụng SSH
Có thể định cấu hình thiết bị Cisco để hỗ trợ SSH bằng các bước sau:
o Định cấu hình tên máy chủ duy nhất của thiết bị. Một thiết bị phải có một
tên máy chủ duy nhất khác với tên mặc định.
o Cấu hình tên miền IP. Định cấu hình tên miền IP của mạng bằng cách sử
dụng lệnh chế độ cấu hình toàn cầu tên miền ip.
o Tạo khóa để mã hóa lưu lượng SSH. SSH mã hóa lưu lượng giữa nguồn và
đích. Tuy nhiên, để làm như vậy, một khóa xác thực duy nhất phải được tạo
bằng cách sử dụng lệnh cấu hình toàn cầu khóa mã hóa tạo rsa bit mô-đun
khóa chung. Các bit mô đun xác định kích thước của khóa và có thể được
cấu hình từ 360 bit đến 2048 bit. Giá trị bit càng lớn, khóa càng an toàn.
Tuy nhiên, các giá trị bit lớn hơn cũng mất nhiều thời gian hơn để mã hóa
và giải mã thông tin. Độ dài mô-đun tối thiểu được khuyến nghị là 1024 bit.
o Xác minh hoặc tạo một mục nhập cơ sở dữ liệu cục bộ. Tạo mục nhập tên
người dùng cơ sở dữ liệu cục bộ bằng cách sử dụng lệnh cấu hình toàn cầu
tên người dùng.
o Xác thực đối với cơ sở dữ liệu cục bộ. Sử dụng lệnh cấu hình dòng cục bộ
đăng nhập để xác thực dòng vty đối với cơ sở dữ liệu cục bộ.
o Kích hoạt các phiên SSH gửi đến vty. Theo mặc định, không có phiên nhập
nào được phép trên các dòng vty. Bạn có thể chỉ định nhiều giao thức đầu
vào bao gồm Telnet và SSH bằng cách sử dụng đầu vào vận chuyển [ssh |
lệnh telnet].
M17
1. Trình bày các giao thức mạng hỗ trợ các ứng dụng và dịch vụ được các nhân
viên trong một mạng nhỏ (small network) sử dụng.
Devices in a Small Network
Small Network Applications and Protocols
Scale to Larger Networks
Verify Connectivity
Host and IOS Commands
 Troubleshooting Methodologies
Troubleshooting Scenarios
2. Các yếu tố mà một quản trị viên trong small network phải xem xét khi hỗ trợ
các ứng dụng thời gian thực
 Cơ sở hạ tầng - Nó có năng lực và khả năng hỗ trợ các ứng dụng thời gian
thực không?
 VoIP - VoIP thường ít tốn kém hơn Điện thoại IP, nhưng phải trả giá bằng
chất lượng và tính năng.
 Điện thoại IP - Điều này sử dụng các máy chủ chuyên dụng để điều khiển
và báo hiệu cuộc gọi.
 Ứng dụng thời gian thực - Mạng phải hỗ trợ cơ chế Chất lượng dịch vụ
(QoS) để giảm thiểu các vấn đề về độ trễ. Real-Time Transport Protocol
(RTP) và Real-Time Transport Control Protocol (RTCP) và hai giao thức
hỗ trợ các ứng dụng thời gian thực.
3. Các yếu tố yêu cầu khi mở rộng một mạng
 Tài liệu mạng - Cấu trúc liên kết vật lý và logic
 Kiểm kê thiết bị - Danh sách các thiết bị sử dụng hoặc cấu thành mạng
 Ngân sách - Ngân sách CNTT được chia thành từng khoản, bao gồm ngân
sách mua thiết bị năm tài chính
 Phân tích lưu lượng - Các giao thức, ứng dụng và dịch vụ cũng như các yêu
cầu lưu lượng tương ứng của chúng phải được ghi lại
4. Để xác định các dạng luồng lưu lượng cần phải làm gì?
 Để xác định các mẫu lưu lượng truy cập, điều quan trọng là phải làm như
sau:
 Nắm bắt lưu lượng trong thời gian sử dụng cao điểm để thể hiện tốt các loại
lưu lượng khác nhau.
 Thực hiện chụp trên các phân đoạn mạng và thiết bị khác nhau vì một số
lưu lượng truy cập sẽ là cục bộ của một phân đoạn cụ thể.
 Thông tin do bộ phân tích giao thức thu thập được đánh giá dựa trên nguồn
và đích của lưu lượng, cũng như loại lưu lượng được gửi.
 Phân tích này có thể được sử dụng để đưa ra quyết định về cách quản lý lưu
lượng truy cập hiệu quả hơn.
5. Trình bày xác nhận kết nối với Ping, tracert, tracetroue
Ping
 Trên máy chủ Windows 10, lệnh ping sẽ gửi bốn thông báo tiếng vang
ICMP liên tiếp và mong đợi bốn phản hồi tiếng vang ICMP liên tiếp từ
đích.
 IOS ping gửi năm tin nhắn ICMP echo và hiển thị một chỉ báo cho mỗi
phản hồi ICMP echo nhận được.
tracetroue
Phản hồi thành công duy nhất là từ cổng trên R1. Theo dõi các yêu cầu đến
bước nhảy tiếp theo đã hết thời gian chờ được biểu thị bằng dấu hoa thị (*),
 nghĩa là bộ định tuyến bước nhảy tiếp theo không phản hồi hoặc có lỗi
trong đường dẫn mạng. Trong ví dụ này dường như có vấn đề giữa R1 và
R2.
6. Các lệnh cấu hình IP trên Windows, Linux, macOS
Windows
Trong Windows 10, bạn có thể truy cập chi tiết địa chỉ IP từ Network and Sharing
Center để xem nhanh bốn cài đặt quan trọng: địa chỉ, mặt nạ, bộ định tuyến và
DNS. Hoặc bạn có thể ra lệnh ipconfig tại dòng lệnh của máy tính Windows.
Sử dụng lệnh ipconfig /all để xem địa chỉ MAC, cũng như một số chi tiết liên
quan đến địa chỉ Lớp 3 của thiết bị.
Nếu một máy chủ được cấu hình như một máy khách DHCP, cấu hình địa chỉ IP
có thể được làm mới bằng cách sử dụng các lệnh ipconfig /release và ipconfig
/renew.
Dịch vụ Máy khách DNS trên PC Windows cũng tối ưu hóa hiệu suất phân giải
tên DNS bằng cách lưu trữ các tên đã phân giải trước đó trong bộ nhớ. Lệnh
ipconfig /displaydns hiển thị tất cả các mục nhập DNS được lưu trong bộ nhớ
cache trên hệ thống máy tính Windows.
Linux
Việc xác minh cài đặt IP bằng GUI trên máy Linux sẽ khác nhau tùy thuộc vào
bản phân phối Linux và giao diện máy tính để bàn.
Trên dòng lệnh, sử dụng lệnh ifconfig để hiển thị trạng thái của các giao diện hiện
đang hoạt động và cấu hình IP của chúng.
Lệnh Linux ip address được sử dụng để hiển thị địa chỉ và thuộc tính của chúng.
Nó cũng có thể được sử dụng để thêm hoặc xóa địa chỉ IP.
macOS
Trong GUI của máy chủ Mac, hãy mở Tùy chọn mạng > Nâng cao để lấy thông tin
địa chỉ IP.
Lệnh ifconfig cũng có thể được sử dụng để xác minh cấu hình IP của giao diện tại
dòng lệnh.
Các lệnh macOS hữu ích khác để xác minh cài đặt IP máy chủ bao gồm cài đặt
mạng -listallnetworkservices và cài đặt mạng -getinfo <dịch vụ mạng>.

7. Mô tả các phương pháp (bước) khắc phục sự cố cơ bản trong small network
Bước 1. Xác định vấn đề
Bước 2. Thiết lập một lý thuyết về nguyên nhân có thể xảy ra
Bước 3. Kiểm tra lý thuyết để xác định nguyên nhân
Bước 4. Thiết lập Kế hoạch Hành động và Thực hiện Giải pháp
Bước 5. Xác minh giải pháp và thực hiện các biện pháp phòng ngừa
Bước 6. Tài liệu phát hiện, hành động và kết quả
M1
1. Sau khi bật nguồn khởi động Switch Cisco, nó sẽ trải qua quá trình tự khởi động năm
bước nào ?
+ Sau khi bật nguồn bộ chuyển mạch Cisco, nó sẽ trải qua trình tự khởi động năm bước sau:
Bước 1: Đầu tiên, switch tải chương trình tự kiểm tra khi bật nguồn (POST) được lưu trữ trong
ROM. POST kiểm tra hệ thống con CPU. Nó kiểm tra CPU, DRAM và phần của thiết bị flash
tạo nên hệ thống tệp flash.
Bước 2: Tiếp theo, switch tải phần mềm bộ nạp khởi động. Bộ tải khởi động là một chương trình
nhỏ được lưu trữ trong ROM được chạy ngay sau khi POST hoàn tất thành công.
Bước 3: Bộ tải khởi động thực hiện khởi tạo CPU cấp thấp. Nó khởi tạo các thanh ghi CPU,
kiểm soát nơi bộ nhớ vật lý được ánh xạ, số lượng bộ nhớ và tốc độ của nó.
Bước 4: Bộ tải khởi động khởi chạy hệ thống tập tin flash trên bo mạch hệ thống.
Bước 5: Cuối cùng, bộ tải khởi động định vị và tải hình ảnh phần mềm hệ điều hành IOS mặc
định vào bộ nhớ và trao quyền điều khiển chuyển đổi cho IOS.

2. Trình bày các chỉ báo đèn LED của Switch Cisco (Switch LED Indicators)
System LED (SYST): Cho biết hệ thống có đang nhận điện và hoạt động bình thường hay không.
Redundant Power Supply LED (RPS): Hiển thị trạng thái RPS.
Port Status LED (STAT): Khi màu xanh lục, cho biết chế độ trạng thái cổng được chọn, đây là
chế độ mặc định. Trạng thái cổng sau đó có thể được hiểu bằng ánh sáng được liên kết với mỗi
cổng.
Port Duplex LED (DUPLX): Khi có màu xanh lục, cho biết chế độ song công cổng được chọn.
Sau đó, cổng song công có thể được hiểu bằng ánh sáng được liên kết với mỗi cổng.
Port Speed LED (SPEED): Khi màu xanh lục, cho biết chế độ tốc độ cổng được chọn. Tốc độ
cổng sau đó có thể được hiểu bằng ánh sáng liên quan đến mỗi cổng.
Power over Ethernet LED (PoE): Trình bày nếu công tắc hỗ trợ PoE. Cho biết trạng thái PoE của
các cổng trên công tắc.

3. Liệt kê các thao tác lệnh trong cấu hình Switch SVI. Nêu ý nghĩa các câu lệnh
Bước 1: Định cấu hình Management interface (Giao diện quản lý)
- Vào chế độ cấu hình chung
- Vào chế độ xác nhận giao diện cho SVI
- Định cấu hình giao diện quản lý Địa chỉ IPv4
- Định cấu hình giao diện quản lý Địa chỉ IPv6
- Kích hoạt giao diện quản lý
- Quay lại chế độ EXEC đặc quyền
- Lưu cấu hình

Bước 2: Định cấu hình Default gateway

 
IOS Commands
Task

Enter global configuration mode. S1# configure terminal

Configure the default gateway for the S1(config)# ip default-gateway

switch. 172.17.99.1

Return to the privileged EXEC mode. S1(config-if)# end

Save the running config to the startup S1# copy running-config startup-
config. config

- Vào chế độ cấu hình chung

- Cấu hình Default gateway cho switch
- Quay lại chế độ EXEC đặc quyền
- Lưu cấu hình

Bước 3: Xác minh cấu hình

- Lệnh show ip interface brief và show ipv6 interface brief rất hữu ích để xác định trạng thái
của cả giao diện vật lý và ảo. Đầu ra hiển thị xác nhận rằng giao diện VLAN 99 đã được cấu
hình với địa chỉ IPv4 và IPv6.

4. Nêu các vấn đề ở lớp truy cập mạng (Network access). Trình bày các lỗi nhập và xuất
trân Interface (Interface Input & Output). Kịch bản khắc phục sự cố (troubleshooting) ở
lớp truy cập mạng

5. Trình bày các bước cấu hình dịch vụ SSH. Làm sao để kiểm chứng SSH đã hoạt động
tốt.
+ Trước khi định cấu hình SSH, Switch phải được định cấu hình ở mức tối thiểu với hostname và
cài đặt kết nối mạng chính xác.

Bước 1: Đặt tên cho ROUTER và SWITCH bằng lệnh hostname <tên>
Bước 2: Đặt tên DOMAIN NAME, domain name là để xác định trong khu vực đó và tên để xác
minh máy đó trong khu vực đó bằng lệnh ip domain-name <tên>
Bước 3: Tạo USERNAME và PASSWORD bằng lệnh username <tên user> ? <tên pass>. Dấu
? gồm password và secret, chọn secret để mã hoá và bảo mật tốt
Bước 4: Tạo CRYTO KEY, bằng lệnh crypto key ? rsa (IOS phải hỗ trợ)
- ? gồm generate và zeroize, sau đó nó phải hồi cần bao nhiêu bít nghĩa là key mã hoá dài bao
nhiêu, chọn 1024

- Nó hiện %SSH-5-ENABLED: SSH 1.99 has been enabled

- SSH có 2 version là 1 và 2, nếu nó hiện 1.99 là có thể chạy 2 version

Bước 5: input SSH

- Ta vô line vty 0 4, rồi dùng lệnh transport input ?

=> Dấu ? có all và none và ssh và telnet, nếu ta chọn all thì nó sẽ vừa chọn talnet và ssh nên ta
chỉ chọnn ssh thôi

- Dùng lệnh login local

Muốn truy cập SSH trên pc

- gõ ssh -l username target

username: Tên bạn đặt

target địa chỉ của R1

+ Kiểm tra SSH hoạt động tốt

Trên PC, máy khách SSH chẳng hạn như PuTTY, được sử dụng để kết nối với máy chủ SSH. Ví
dụ: giả sử như sau được cấu hình:
SSH được bật trên công tắc S1
Giao diện VLAN 99 (SVI) với địa chỉ IPv4 172.17.99.11 trên switch S1
PC1 với địa chỉ IPv4 172.17.99.21
Sử dụng trình giả lập thiết bị đầu cuối, khởi tạo kết nối SSH tới địa chỉ SVI VLAN IPv4 của S1
từ PC1.
Khi được kết nối, người dùng được nhắc nhập tên người dùng và mật khẩu như trong ví dụ. Sử
dụng cấu hình từ ví dụ trước, tên người dùng quản trị viên và mật khẩu ccna được nhập. Sau khi
nhập đúng tổ hợp, người dùng được kết nối qua SSH với giao diện dòng lệnh (CLI) trên bộ
chuyển mạch Catalyst 2960.

- Để hiển thị phiên bản và dữ liệu cấu hình cho SSH trên thiết bị mà bạn đã định cấu hình làm
máy chủ SSH, hãy sử dụng lệnh show ip ssh. Trong ví dụ, SSH phiên bản 2 được kích hoạt

6. Trình bày thao tác cấu hình Interfaces trên Router. Các lệnh dùng để kiểm chứng
Interface
Task
Vào giao diện dòng lệnh
Đặt tên
Đặt mật khẩu Enable được mã hoá
Vào giao diện line console
Đặt mật khẩu cho giao diện line console
Để đăng nhập
Thoát dòng giao diện line console
Vào giao diện line vty
Đặt password cho line vty
Để đăng nhập
Thoát dòng giao diện line vty
Toàn bộ mật khẩu sẽ được mã hoá
Command
Router# configure terminal
Router# hostname R1
R1 (config)# enable secret class
R1 (config)# line console 0
R1 (config-line)# password cisco
R1 (config-line)# login
R1 (config-line)# exit
R1 (config)# line vty 0 4
R1 (config-line)# password cisco
R1 (config-line)# login
R1 (config-line)# exit
R1 (config)# service password-encrytion

- Cấu hình biểu ngữ thông báo mỗi lần mới vào cấu hình
- Lưu toàn bộ cấu hình
- Ví dụ hiển thị cấu hình cho các giao diện trên R1:

+ Các dòng lệnh kiểm chứng interface

- show ip interface brief: lệnh này dùng để hiển thị thông tin các interface của IPv4
- show ipv6 interface brief: lệnh này dùng để hiển thị thông tin các interface của IPv6
- show ip route: Lệnh này dùng để hiển thị các interface của IPv4 mà router đã học
- show ipv6 route: Lệnh này dùng để hiển thị các interface của IPv6 mà router đã học
M2
1. Trình bày các bước của phương thức học (learn) và chuyển tiếp (forward) trên Switch
(Store-and-forward switching, Cut-through switching)
Bước 1. Tìm hiểu – Kiểm tra địa chỉ nguồn
- Thêm MAC nguồn nếu không có trong bảng
- Đặt lại cài đặt thời gian chờ trở lại 5 phút nếu nguồn nằm trong bảng
Bước 2. Chuyển tiếp – Kiểm tra địa chỉ đích
- Nếu MAC đích nằm trong bảng địa chỉ MAC, nó sẽ được chuyển tiếp ra cổng đã chỉ định.
- Nếu một MAC đích không có trong bảng, nó sẽ tràn ngập tất cả các giao diện ngoại trừ giao
diện mà nó đã nhận được.

2. Collision Domains, Broadcast Domains

+ Collision Domains
- Switch loại bỏ các miền xung đột và giảm tắc nghẽn.
- Khi có song công hoàn toàn trên liên kết, các miền xung đột sẽ bị loại bỏ.
- Khi có một hoặc nhiều thiết bị ở chế độ bán song công, lúc này sẽ có một miền xung đột.
- Bây giờ sẽ có sự tranh chấp về băng thông.
- Va chạm bây giờ có thể xảy ra.
- Hầu hết các thiết bị, kể cả Cisco và Microsoft đều sử dụng tính năng tự động đàm phán làm cài
đặt mặc định cho tốc độ và in hai mặt.
+ Broadcast Domains
-Broadcast domain mở rộng trên tất cả các thiết bị Lớp 1 hoặc Lớp 2 trên mạng LAN.
- Chỉ một thiết bị lớp 3 (bộ định tuyến) sẽ phá vỡ miền quảng bá, còn được gọi là MAC
broadcast domain.
- broadcast domain bao gồm tất cả các thiết bị trên mạng LAN nhận lưu lượng quảng bá.
- Khi switch lớp 2 nhận được quảng bá, nó sẽ tràn ngập tất cả các giao diện ngoại trừ giao diện
đầu vào.
- Quá nhiều chương trình phát sóng có thể gây tắc nghẽn và hiệu suất mạng kém.
- Việc tăng thiết bị ở Lớp 1 hoặc Lớp 2 sẽ khiến broadcast domain mở rộng.

M3
1. Định nghĩa VLAN, các lợi ích của việc thiết kế VLAN, các loại VLAN
+ Định nghĩa VLAN
- VLAN là các kết nối logic với các thiết bị tương tự khác.
Việc đặt các thiết bị vào các VLAN khác nhau có các đặc điểm sau:
- Cung cấp phân đoạn các nhóm thiết bị khác nhau trên cùng một công tắc
- Cung cấp tổ chức dễ quản lý hơn
- Broadcasts, multicasts và unicasts được cách ly trong VLAN cá nhân
- Mỗi Vlan sẽ có dải địa chỉ IP riêng
- Miền quảng bá nhỏ hơn

+ Lợi ích của thiết kế VLAN

- Lợi ích của việc sử dụng VLAN như sau:

Benefits Description

Smaller Broadcast Dividing the LAN reduces the number of broadcast

Domains domains

Improved Security Only users in the same VLAN can communicate

together

Improved IT VLANs can group devices with similar requirements,

Efficiency e.g. faculty vs. students

Reduced Cost One switch can support multiple groups or VLANs

Better Performance Small broadcast domains reduce traffic, improving

bandwidth

Simpler Management Similar groups will need similar applications and other
network resources

+ Các loại VLANs

Data VLAN
- Dành riêng cho lưu lượng truy cập do người dùng tạo (email và lưu lượng truy cập web).
- VLAN 1 là VLAN dữ liệu mặc định vì tất cả các giao diện được gán cho VLAN này.

Native VLAN
- Điều này chỉ được sử dụng cho các liên kết trunk.
- Tất cả các khung được gắn thẻ trên liên kết trunk 802.1Q ngoại trừ những khung trên VLAN
gốc.

Management VLAN
- Điều này được sử dụng cho lưu lượng SSH/Telnet VTY và không được mang theo lưu lượng
người dùng cuối.
- Thông thường, Vlan là SVI cho Switch Lớp 2.

Voice VLAN
+ Cần có một Vlan riêng vì voice traffic yêu cầu:
- Đảm bảo băng thông
- Ưu tiên QoS cao
- Khả năng tránh tắc nghẽn
- Trì hoãn ít hơn 150 ms từ nguồn đến đích
- Toàn bộ mạng phải được thiết kế để hỗ trợ thoại.

2. Định nghĩa VLAN Trunk. Trình bày trường 802.1Q VLAN Tag
- Trunk là một liên kết point-to-point giữa hai thiết bị mạng.
+ Chức năng trung kế của Cisco:
- Cho phép nhiều hơn một VLAN
- Mở rộng VLAN trên toàn bộ mạng
- Theo mặc định, hỗ trợ tất cả các Vlan
- Hỗ trợ trung kế 802.1Q
+ Trình bày trường 802.1Q VLAN Tag
- Thông tin cơ bản về 802.1Q trunk:
- Gắn thẻ thường được thực hiện trên tất cả các VLAN.
- Việc sử dụng VLAN gốc được thiết kế để sử dụng cũ, giống như trung tâm trong ví dụ.
- Trừ khi được thay đổi, VLAN1 là VLAN gốc (native VLAN).
- Cả hai đầu của liên kế trunk phải được cấu hình với cùng một VLAN gốc (native VLAN).
- Mỗi đường trunk được cấu hình riêng biệt, vì vậy có thể có các VLAN gốc khác nhau trên các
đường trục riêng biệt.

3. Trình bày thao tác tạo VLAN trên IOS Cisco. Thao tác gán VLAN Port. Lệnh kiểm tra
thông tin VLAN. Thay đổi cổng VLAN, xóa VLAN
+ Trình bàu thao tác tạo VLAN trên IOS Cisco
- Chi tiết VLAN được lưu trữ trong tệp vlan.dat. Bạn tạo VLAN ở chế độ cấu hình toàn cầu

  IOS Command
Task

Enter global configuration mode. Switch# configure terminal

Create a VLAN with a valid ID

Switch(config)# vlan vlan-id
number.

Specify a unique name to identify Switch(config-vlan)# name

the VLAN. vlan-name

Return to the privileged EXEC

Switch(config-vlan)# end
mode.

Enter global configuration mode. Switch# configure terminal

+ Thao tác gán VLAN port
- Khi Vlan được tạo, chúng ta có thể gán nó cho các giao diện chính xác.
   Command
Task 

Enter global configuration mode. Switch# configure terminal

Enter interface configuration

Switch(config)# interface interface-id
mode.

Set the port to access mode. Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan

Assign the port to a VLAN.
vlan-id

Return to the privileged EXEC

Switch(config-if)# end
mode.

+ Lệnh kiểm tra thông tin VLAN

- lệnh: show vlan
- Lện: show interface vlan 20 (tuỳ đặt)

+Thay đổi cổng VLAN

- Có một số cách để thay đổi tư cách thành viên VLAN:
- nhập lại lệnh switchport access vlan vlan-id
- sử dụng no switchport access vlan để đặt giao diện trở lại trong Vlan 1
- Sử dụng các lệnh show vlan brief hoặc show interface fa0/18 switchport để xác minh liên kết
VLAN chính xác.

+ Xoá VLAN
- Xóa VLAN bằng lệnh no vlan vlan-id.
+ Thận trọng: Trước khi xóa một VLAN, hãy gán lại tất cả các cổng cho một VLAN khác.
- Xóa tất cả các Vlan bằng lệnh delete flash:vlan.dat hoặc delete vlan.dat.
- Tải lại switch khi xóa tất cả các VLAN.
Lưu ý: Để khôi phục về mặc định gốc – rút tất cả cáp dữ liệu, xóa cấu hình khởi động và xóa tệp
vlan.dat, sau đó tải lại thiết bị.

4. Trình bày thao tác cấu hình Trunk, xác nhận cấu hình Trunk, đặt lại Trunk
+ Thao tác cấu hình trunk

 
IOS Command
Task

Enter global configuration mode. Switch# configure terminal

Enter interface configuration Switch(config)# interface

mode. interface-id

Set the port to permanent Switch(config-if)# switchport

trunking mode. mode trunk

Sets the native VLAN to Switch(config-if)# switchport

something other than VLAN 1. trunk native vlan vlan-id

Specify the list of VLANs to be Switch(config-if)# switchport

allowed on the trunk link. trunk allowed vlan vlan-list

Return to the privileged EXEC Switch(config-if)# end

 mode.

+ Xác minh cấu hình trunk

- Đặt chế trunk và vlan gốc(native vlan).
Lưu ý lệnh: sh int fa0/1 switchport
- Được đặt thành trunk hành chính
- Được đặt làm trunk đang hoạt động (đang hoạt động)
- Đóng gói là dot1q
- Vlan gốc được đặt thành Vlan 99
- Tất cả các VLAN được tạo trên switch sẽ truyền lưu lượng trên đường trục này

+ Đặt lại trunk

-Đặt lại cài đặt trunk mặc định bằng lệnh no.

- Tất cả các VLAN đều được phép truyền lưu lượng

- Vlan gốc (native vlan) = Vlan 1
- Xác minh cài đặt mặc định bằng lệnh show interface fa0/1 switchport.
- Đặt lại đường dẫn về chế độ truy cập bằng lệnh switchport mode access:
- Được đặt thành giao diện truy cập theo cách quản trị
- Được đặt làm giao diện truy cập hoạt động (đang hoạt động)

5. Trình bày Dynamic Trunking Protocol (DTP)

- Dynamic Trunking Protocol (DTP) là một giao thức độc quyền của Cisco.
+ Đặc điểm của DTP như sau:
- Bật theo mặc định trên các switch Catalyst 2960 và 2950
- Dynamic-auto là mặc định trên switch 2960 và 2950
- Có thể tắt bằng lệnh nonegotiate
- Có thể được bật lại bằng cách đặt giao diện thành dynamic-auto
- Đặt một switch thành đường static trunk hoặc static access sẽ tránh được các sự cố thương
lượng với switchport mode trunk hoặc các lệnh switchport mode access.

M4
1. Trình bày hoạt động Inter-VLAN Routing
+ Inter-VLAN Routing là gì?
- Vlan được sử dụng để phân đoạn các mạng Lớp 2 được chuyển đổi vì nhiều lý do. Bất kể lý do
là gì, các máy chủ trong một VLAN không thể giao tiếp với các máy chủ trong VLAN khác trừ
khi có một bộ định tuyến hoặc một bộ chuyển mạch Lớp 3 để cung cấp dịch vụ định tuyến.

- Định tuyến giữa các Vlan là quá trình chuyển tiếp lưu lượng mạng từ Vlan này sang Vlan khác.

+ Có ba tùy chọn định tuyến giữa các VLAN:

- Legacy Inter-VLAN routing (Định tuyến liên VLAN cũ) - Đây là một giải pháp cũ. Nó không
mở rộng quy mô tốt.
- Router-on-a-Stick - Đây là giải pháp có thể chấp nhận được đối với mạng vừa và nhỏ.
- Layer 3 switch using switched virtual interface (SVIs) (Chuyển mạch lớp 3 sử dụng giao
diện ảo chuyển đổi (SVI)) - Đây là giải pháp có khả năng mở rộng nhất cho các tổ chức vừa và
lớn.

2. Trình bày thao tác cấu hình lệnh Inter-VLAN Routing trên Router và Switch layer
+ Cấu hình S1 VLAN và Trunking
- Hoàn thành các bước sau để định cấu hình S1 với Vlan và trunking:
Bước 1. Tạo và đặt tên cho các VLAN.
Bước 2. Tạo giao diện quản lý.
Bước 3. Cấu hình các cổng truy cập(access ports).
Bước 4. Cấu hình cổng trunking(trunking ports).
+ Cấu hình S2 VLAN và Trunking
- Cấu hình cho S2 tương tự S1

+ Cấu hình giao diện con R1

- Trong cấu hình, giao diện con R1 G0/0/1 được cấu hình cho VLAN 10, 20 và 99
+Xác minh kết nối giữa PC1 và PC2
3. Các vấn đề hay xảy ra ở Inter-VLAN Routing và cách khắc phục, cách kiểm chứng sau
khắc phục
+ Các vấn đề và khắc phục
I HELP ME

+ Cách kiểm chứng sau khắc phục

- ping giữa các máy hoặc dùng các lệnh sau
show ip route
show ip interface brief
show interfaces
show interfaces trunk

M5
1. Trình bày chi tiết mục đích của việc sử dụng STP (Spanning Tree Protocol)
+ Mục đích
- Spanning Tree Protocol (STP) (IEEE 802.1D) chủ yếu được sử dụng để ngăn chặn các vòng lặp
lớp 2(layer 2 loops) và các broadcast storms, đồng thời cũng được sử dụng để dự phòng mạng .
Nó được phát triển vào khoảng thời gian mà việc khôi phục sau sự cố mất điện kéo dài một phút
trở lên được chấp nhận.

2. Trình bày cách thức hoạt động của STP

+ Sử dụng STA, STP xây dựng cấu trúc liên kết không có vòng lặp trong quy trình bốn bước:
- Elect the root bridge.
- Elect the root ports.
- Elect designated ports.s - Chọn cổng được chỉ định.
- Elect alternate (blocked) ports - Chọn cổng thay thế (bị chặn).
- Trong các chức năng STA và STP, các thiết bị chuyển mạch sử dụng Đơn vị dữ liệu giao thức
cầu nối (BPDU) để chia sẻ thông tin về bản thân và các kết nối của chúng. BPDU được sử dụng
để chọn root bridge, root ports, cổng được chỉ định và cổng thay thế.
- Mỗi BPDU chứa một Bridge ID (BID) xác định switch nào đã gửi BPDU. BID tham gia vào
việc đưa ra nhiều quyết định của STA bao gồm vai trò cầu nối gốc và cổng.
BID chứa giá trị ưu tiên, địa chỉ MAC của switch và ID hệ thống mở rộng. Giá trị BID thấp nhất
được xác định bởi sự kết hợp của ba trường này.

3. Trình bày các khái niệm RSTP

- RSTP (IEEE 802.1w) thay thế 802.1D ban đầu trong khi vẫn duy trì khả năng tương thích
ngược. Thuật ngữ 802.1w STP về cơ bản vẫn giống như thuật ngữ IEEE 802.1D STP ban đầu.
Hầu hết các thông số đã được giữ nguyên. Người dùng quen thuộc với tiêu chuẩn STP ban đầu
có thể dễ dàng cấu hình RSTP. Thuật toán cây khung giống nhau được sử dụng cho cả STP và
RSTP để xác định vai trò cổng và cấu trúc liên kết.
RSTP tăng tốc độ tính toán lại cây khung khi cấu trúc liên kết mạng Lớp 2 thay đổi. RSTP có thể
đạt được sự hội tụ nhanh hơn nhiều trong một mạng được cấu hình phù hợp, đôi khi chỉ trong vài
trăm mili giây. Nếu một cổng được cấu hình là một cổng thay thế, nó có thể ngay lập tức chuyển
sang trạng thái chuyển tiếp mà không cần đợi mạng hội tụ.

Lưu ý: Rapid PVST+ là triển khai RSTP của Cisco trên cơ sở mỗi VLAN. Với Rapid PVST+,
một phiên bản RSTP độc lập sẽ chạy cho mỗi Vlan.

SRWE

M6
1. Trình bày hoạt động của EtherChannel

Các lưu lượng bên trong EtherChannel có thể được phân phối trên các kết nối riêng lẽ theo một cách thức
xác định. Tuy nhiên, tải không nhất thiết phải được cân bằng trên tất cả các kết nối. Thay vào đó, các
frame sẽ được đưa vào trên một kết nối cụ thể như là kết quả của một thuật toán băm.

Việc phân phối tải qua các đường của một bundle (Etherchannel) được thực hiện theo thuật toán băm:
Thuật toán này có thể sử dụng : Địa chỉ IP nguồn, đích; Hoặc địa chỉ MAC nguồn, dích, hoặc có thể sử
dụng TCP/UDP cổng. Nếu chỉ sử dụng một địa chỉ hay một cổng thì việc truyền tải qua cổng này hay
cổng khác được thực hiện dựa vào các bit cuối cùng, và phụ thuộc vào số cổng của etherchannel. Nếu sử
dụng cả đích, và nguồn thì thuật toán này được thực hiện nhờ phép toán XOR các bit cuối của địa
chỉ.Thuật toán băm có thể dùng địa chỉ IP nguồn, địa chỉ IP đích hoặc là kết hợp của địa chi nguồn, đích,
MAC nguồn, MAC đích hoặc TCP/UDP cổng.

Thuật toán băm sẽ tính toán ra giá trị nhị phân, giá trị này sẽ chọn ra một kết nối trong bundle để chọn ra
kết nối thành viên nào sẽ mang frame đó. Nếu chỉ một địa chỉ hay một cổng được băm, switch sẽ đẩy
frame bằng cách dùng một hoặc nhiều bit nhi phân thấp để đưa vào kết nối. Nếu hai địa chỉ hay cổng
được hash, switch sẽ thực hiện thuật toán XOR trên một hoặc nhiều bit thấp của địa chỉ IP hoặc cổng
TCP/UDP. Ví dụ, nếu kết quả phép băm bằng 0, link 0 được dùng, nếu kết quả băng 1, link 1 được dùng.
Nếu một bundle dùng 4 kết nối, thuật toán băm sẽ dùng 2 bit cubic. Tương tự, một bundle có 8 kết nối sẽ
dùng một thuật toán băm trên 3 bit cuối.

2. Mô tả cách thức cấu hình EtherChannel

Các nguyên tắc và hạn chế sau đây hữu ích cho việc định cấu hình EtherChannel:

Hỗ trợ EtherChannel - Tất cả các giao diện Ethernet phải hỗ trợ EtherChannel mà không yêu cầu các giao
diện phải liền kề về mặt vật lý.

Tốc độ và song công - Định cấu hình tất cả các giao diện trong EtherChannel để hoạt động ở cùng tốc độ
và ở cùng chế độ song công.

Khớp Vlan - Tất cả các giao diện trong gói EtherChannel phải được gán cho cùng một Vlan hoặc được
định cấu hình dưới dạng trung kế (hiển thị trong hình).

Phạm vi Vlan - Một EtherChannel hỗ trợ cùng một phạm vi Vlan được phép trên tất cả các giao diện
trong EtherChannel trung kế. Nếu phạm vi cho phép của các VLAN không giống nhau, các giao diện sẽ
không tạo thành một EtherChannel, ngay cả khi chúng được đặt ở chế độ tự động hoặc chế độ mong
muốn.

Hình minh họa một cấu hình cho phép EtherChannel hình thành giữa S1 và S2.

Nếu phải thay đổi các cài đặt này, hãy định cấu hình chúng ở chế độ cấu hình giao diện kênh cổng. Bất kỳ
cấu hình nào được áp dụng cho giao diện kênh cổng cũng ảnh hưởng đến các giao diện riêng lẻ. Tuy
nhiên, các cấu hình được áp dụng cho các giao diện riêng lẻ không ảnh hưởng đến giao diện kênh cổng.
Do đó, việc thay đổi cấu hình đối với giao diện là một phần của liên kết EtherChannel có thể gây ra sự cố
tương thích với giao diện.

Kênh cổng có thể được cấu hình ở chế độ truy cập, chế độ trung kế (phổ biến nhất) hoặc trên một cổng
được định tuyến.
3. Mô tả cách kiểm thử và xử lý sự cố trên EtherChannel

Như mọi khi, khi định cấu hình thiết bị trong mạng của mình, bạn phải xác minh cấu hình của mình. Nếu
có vấn đề, bạn cũng sẽ cần có khả năng khắc phục sự cố và khắc phục chúng. Có một số lệnh để xác minh
cấu hình EtherChannel:

Lệnh show interface port-channel hiển thị trạng thái chung của port channel interface.

Lệnh hiển thị tóm tắt etherchannel hiển thị một dòng thông tin trên mỗi kênh cổng.

Lệnh show etherchannel port-channel hiển thị thông tin về giao diện kênh cổng cụ thể.

Lệnh show interfaces etherchannel có thể cung cấp thông tin về vai trò của giao diện thành viên vật lý của
EtherChannel.

Tất cả các giao diện trong một EtherChannel phải có cùng cấu hình về tốc độ và chế độ song công, VLAN
riêng và được phép trên các đường trục và truy cập VLAN trên các cổng truy cập. Việc đảm bảo các cấu
hình này sẽ làm giảm đáng kể các sự cố mạng liên quan đến EtherChannel. Các sự cố phổ biến của
EtherChannel bao gồm:

Các cổng được chỉ định trong EtherChannel không phải là một phần của cùng một Vlan hoặc không được
định cấu hình dưới dạng trung kế. Các cổng có Vlan gốc khác nhau không thể tạo thành EtherChannel.

Trunking đã được định cấu hình trên một số cổng tạo nên EtherChannel, nhưng không phải tất cả chúng.
Bạn không nên định cấu hình chế độ trung kế trên các cổng riêng lẻ tạo nên EtherChannel. Khi định cấu
hình trung kế trên EtherChannel, hãy xác minh chế độ trung kế trên EtherChannel.

Nếu phạm vi cho phép của các VLAN không giống nhau, các cổng sẽ không tạo thành EtherChannel ngay
cả khi PAgP được đặt ở chế độ tự động hoặc chế độ mong muốn.

Các tùy chọn đàm phán động cho PAgP và LACP không được định cấu hình tương thích ở cả hai đầu của
EtherChannel.
Trong hình, giao diện F0/1 và F0/2 trên các công tắc S1 và S2 được kết nối với EtherChannel. Tuy nhiên,
EtherChannel không hoạt động.

M7
1) Các khái niệm trên DHCPv4

Giao thức cấu hình máy chủ động v4 (DHCPv4) gán địa chỉ IPv4 và thông tin cấu hình mạng khác một
cách linh hoạt. Bởi vì các máy khách để bàn thường chiếm phần lớn các nút mạng, DHCPv4 là một công
cụ cực kỳ hữu ích và tiết kiệm thời gian cho các quản trị viên mạng.

Máy chủ DHCPv4 chuyên dụng có khả năng mở rộng và tương đối dễ quản lý. Tuy nhiên, tại một chi
nhánh nhỏ hoặc vị trí SOHO, bộ định tuyến của Cisco có thể được cấu hình để cung cấp dịch vụ DHCPv4
mà không cần máy chủ chuyên dụng. Phần mềm Cisco IOS hỗ trợ máy chủ DHCPv4 tùy chọn, đầy đủ
tính năng.

Máy chủ DHCPv4 tự động gán hoặc cho thuê địa chỉ IPv4 từ nhóm địa chỉ trong một khoảng thời gian
giới hạn do máy chủ chọn hoặc cho đến khi máy khách không còn cần địa chỉ đó nữa.

Khách hàng thuê thông tin từ máy chủ trong một khoảng thời gian được xác định về mặt hành chính.
Quản trị viên định cấu hình máy chủ DHCPv4 để đặt hợp đồng thuê hết thời gian ở các khoảng thời gian
khác nhau. Hợp đồng thuê thường kéo dài từ 24 giờ đến một tuần hoặc hơn. Khi hợp đồng thuê hết hạn,
khách hàng phải yêu cầu một địa chỉ khác, mặc dù khách hàng thường được chỉ định lại cùng một địa chỉ.

2) Mô tả cấu hình Cisco IOS DHCPv4 Server

Bây giờ bạn đã có hiểu biết cơ bản về cách hoạt động của DHCPv4 và cách dịch vụ này có thể giúp công
việc của bạn dễ dàng hơn một chút. Bộ định tuyến Cisco chạy phần mềm Cisco IOS có thể được cấu hình
để hoạt động như một máy chủ DHCPv4. Máy chủ Cisco IOS DHCPv4 chỉ định và quản lý địa chỉ IPv4
từ nhóm địa chỉ được chỉ định trong bộ định tuyến cho máy khách DHCPv4.

Sử dụng các bước sau để định cấu hình máy chủ Cisco IOS DHCPv4:
Bước 1. Loại trừ địa chỉ IPv4. Có thể loại trừ một địa chỉ hoặc một dải địa chỉ bằng cách chỉ định địa chỉ
thấp và địa chỉ cao của dải. Các địa chỉ bị loại trừ phải là những địa chỉ được gán cho bộ định tuyến, máy
chủ, máy in và các thiết bị khác đã hoặc sẽ được định cấu hình theo cách thủ công. Bạn cũng có thể nhập
lệnh nhiều lần. Lệnh là địa chỉ ip dhcp loại trừ địa chỉ thấp [địa chỉ cao]

Bước 2. Xác định tên nhóm DHCPv4. Lệnh ip dhcp pool pool-name tạo một pool với tên đã chỉ định và
đặt bộ định tuyến ở chế độ cấu hình DHCPv4, chế độ này được xác định bởi dấu nhắc Bộ định
tuyến(dhcp-config)#.

Bước 3. Định cấu hình nhóm DHCPv4. Nhóm địa chỉ và bộ định tuyến cổng mặc định phải được cấu
hình. Sử dụng câu lệnh mạng để xác định phạm vi địa chỉ khả dụng. Sử dụng lệnh default-router để xác
định bộ định tuyến cổng mặc định. Các lệnh này và các lệnh tùy chọn khác được hiển thị trong bảng

3) Mô tả cấu hình Cisco IOS DHCPv4 Client

Có những tình huống mà bạn có thể có quyền truy cập vào máy chủ DHCP thông qua ISP của mình.
Trong những trường hợp này, bạn có thể định cấu hình bộ định tuyến Cisco IOS làm máy khách
DHCPv4.

Đôi khi, các bộ định tuyến của Cisco trong một văn phòng nhỏ hoặc văn phòng tại nhà (SOHO) và các
trang web chi nhánh phải được cấu hình làm máy khách DHCPv4 theo cách tương tự như máy khách.
Phương pháp được sử dụng phụ thuộc vào ISP. Tuy nhiên, trong cấu hình đơn giản nhất, giao diện
Ethernet được sử dụng để kết nối với cáp hoặc modem DSL.

Để định cấu hình giao diện Ethernet làm máy khách DHCP, hãy sử dụng lệnh chế độ cấu hình giao diện
dhcp địa chỉ ip.

Trong hình, giả sử rằng một ISP đã được cấu hình để cung cấp cho các khách hàng được chọn địa chỉ IP
từ dải mạng 209.165.201.0/27 sau khi giao diện G0/0/1 được cấu hình bằng lệnh dhcp địa chỉ ip.

M8
1. IPv6 GUA Assignment
Cấu hình máy chủ IPv6

Trên bộ định tuyến, địa chỉ unicast toàn cầu IPv6 (GUA) được định cấu hình thủ công bằng cách sử dụng
lệnh cấu hình giao diện địa chỉ ipv6 ipv6-address/prefix-length.

Một máy chủ Windows cũng có thể được cấu hình thủ công với cấu hình địa chỉ IPv6 GUA, như thể hiện
trong hình.

Tuy nhiên, việc nhập GUA IPv6 theo cách thủ công có thể tốn thời gian và hơi dễ bị lỗi.

Do đó, hầu hết các máy chủ Windows đều được kích hoạt để tự động lấy cấu hình IPv6 GUA.

Địa chỉ liên kết cục bộ máy chủ IPv6

Nếu địa chỉ IPv6 tự động được chọn, máy chủ lưu trữ sẽ sử dụng thông báo Quảng cáo Bộ định tuyến
(RA) Giao thức Thông báo Điều khiển Internet phiên bản 6 (ICMPv6) để giúp máy chủ tự động định cấu
hình cấu hình IPv6.

Địa chỉ liên kết cục bộ IPv6 được máy chủ tự động tạo khi khởi động và giao diện Ethernet đang hoạt
động.

Giao diện không tạo GUA IPv6 ở đầu ra vì phân đoạn mạng không có bộ định tuyến để cung cấp hướng
dẫn cấu hình mạng cho máy chủ.
Lưu ý: "%" và số ở cuối địa chỉ liên kết cục bộ được gọi là ID vùng hoặc ID phạm vi và được HĐH sử
dụng để liên kết LLA với một giao diện cụ thể.

Lưu ý: DHCPv6 được định nghĩa trong RFC 3315.

Chuyển nhượng GUA IPv6

Theo mặc định, một bộ định tuyến hỗ trợ IPv6 gửi định kỳ các RA ICMPv6, giúp đơn giản hóa cách máy
chủ có thể tự động tạo hoặc lấy cấu hình IPv6 của nó.

Một máy chủ có thể được gán GUA một cách linh hoạt bằng cách sử dụng các dịch vụ có trạng thái và
không trạng thái.

Tất cả các phương thức không trạng thái và trạng thái trong mô-đun này sử dụng các thông báo ICMPv6
RA để gợi ý cho máy chủ cách tạo hoặc lấy cấu hình IPv6 của nó.

Mặc dù các hệ điều hành máy chủ tuân theo đề xuất của RA, nhưng quyết định thực tế cuối cùng vẫn phụ
thuộc vào máy chủ.

Cách khách hàng nhận được GUA IPv6 tùy thuộc vào cài đặt trong thông báo RA.

Three RA Message Flags

Thông báo ICMPv6 RA bao gồm ba cờ sau:

Cờ - Cờ Tự động cấu hình địa chỉ biểu thị sử dụng Tự động cấu hình địa chỉ không trạng thái (SLAAC)
để tạo GUA IPv6

Cờ O - Cờ Cấu hình Khác biểu thị rằng thông tin bổ sung có sẵn từ máy chủ DHCPv6 không trạng thái.

Cờ M - Cờ Cấu hình Địa chỉ được Quản lý biểu thị việc sử dụng máy chủ DHCPv6 có trạng thái để lấy
GUA IPv6.

Sử dụng các kết hợp khác nhau của cờ A, O và M, thông báo RA thông báo cho máy chủ về các tùy chọn
động có sẵn.

2. Trình bày SLAAC

Tổng quan về SLAAC

Không phải mọi mạng đều có quyền truy cập vào máy chủ DHCPv6 nhưng mọi thiết bị trong mạng IPv6
đều cần có GUA. Phương pháp SLAAC cho phép các máy chủ tạo địa chỉ unicast toàn cầu IPv6 duy nhất
của riêng chúng mà không cần các dịch vụ của máy chủ DHCPv6.

SLAAC là một dịch vụ phi trạng thái, nghĩa là không có máy chủ duy trì thông tin địa chỉ mạng để biết
địa chỉ IPv6 nào đang được sử dụng và địa chỉ nào khả dụng.

SLAAC gửi các thông báo ICMPv6 RA định kỳ (tức là cứ sau 200 giây) cung cấp địa chỉ và thông tin cấu
hình khác cho các máy chủ để tự động định cấu hình địa chỉ IPv6 của họ dựa trên thông tin trong RA.

Một máy chủ cũng có thể gửi một bản tin Router Solicitation (RS) yêu cầu một RA.

SLAAC chỉ có thể được triển khai dưới dạng SLAAC hoặc SLAAC với DHCPv6.

Kích hoạt SLAAC

R1 G0/0/1 đã được định cấu hình với GUA IPv6 và địa chỉ liên kết cục bộ được chỉ định.

Các địa chỉ IPv6 R1 G0/0/01 bao gồm:

Địa chỉ IPv6 liên kết cục bộ - fe80::1

GUA / mạng con - 2001:db8:acad:1::1, 2001:db8:acad:1::/64

Nhóm tất cả các nút IPv6 - ff02::1

R1 được cấu hình để tham gia nhóm phát đa hướng tất cả IPv6 và bắt đầu gửi thông báo RA có chứa
thông tin cấu hình địa chỉ đến các máy chủ sử dụng SLAAC.
Nhóm tất cả các bộ định tuyến IPv6 phản hồi địa chỉ phát đa hướng IPv6 ff02::2.

Lệnh show ipv6 interface xác minh rằng R1 đã tham gia nhóm tất cả các bộ định tuyến IPv6 (ví dụ:
ff02::2).

Bây giờ R1 sẽ bắt đầu gửi các tin nhắn RA cứ sau 200 giây tới địa chỉ multicast tất cả các nút IPv6
ff02::1.
Phương pháp chỉ SLAAC

Các bản tin RA từ R1 được thiết lập các cờ sau:

A = 1 – Thông báo cho máy khách sử dụng tiền tố IPv6 GUA trong RA và tự động tạo ID giao diện của
chính nó.

O = 0 và M = 0 – Thông báo cho khách hàng cũng sử dụng thông tin bổ sung trong thông báo RA (nghĩa
là máy chủ DNS, MTU và thông tin cổng mặc định).

Lệnh ipconfig Windows xác nhận rằng PC1 đã tạo GUS IPv6 bằng cách sử dụng R1 RA.

Địa chỉ cổng mặc định là LLA của giao diện R1 G0/0/1.
Tin nhắn RS ICMPv6

Một bộ định tuyến gửi tin nhắn RA cứ sau 200 giây hoặc khi nó nhận được tin nhắn RS từ máy chủ.

Các máy chủ hỗ trợ IPv6 muốn lấy thông tin địa chỉ IPv6 sẽ gửi một thông báo RS đến địa chỉ phát đa
hướng của tất cả các bộ định tuyến IPv6 là ff02::2.

Hình minh họa cách máy chủ khởi tạo phương thức SLAAC.
PC1 vừa khởi động và gửi một thông báo RS đến địa chỉ phát đa hướng của tất cả các bộ định tuyến IPv6
của ff02::2 yêu cầu một RA.

R1 tạo RA và sau đó gửi thông báo RA đến địa chỉ multicast tất cả các nút IPv6 của ff02::1. PC1 sử dụng
thông tin này để tạo GUA IPv6 duy nhất.

Quá trình lưu trữ để tạo ID giao diện

Sử dụng SLAAC, máy chủ lưu trữ có được thông tin mạng con IPv6 64-bit của nó từ RA của bộ định
tuyến và phải tạo mã định danh giao diện (ID) 64-bit còn lại bằng cách sử dụng:

Được tạo ngẫu nhiên - ID giao diện 64 bit được tạo ngẫu nhiên bởi hệ điều hành máy khách. Đây là
phương pháp hiện được các máy chủ Windows 10 sử dụng.

EUI-64 - Máy chủ tạo ID giao diện bằng cách sử dụng địa chỉ MAC 48 bit của nó và chèn giá trị hex của
fffe vào giữa địa chỉ. Một số hệ điều hành mặc định sử dụng ID giao diện được tạo ngẫu nhiên thay vì
phương pháp EUI-64 do lo ngại về quyền riêng tư. Điều này là do địa chỉ MAC Ethernet của máy chủ
được EUI-64 sử dụng để tạo ID giao diện.

Lưu ý: Windows, Linux và Mac OS cho phép người dùng sửa đổi việc tạo ID giao diện để được tạo ngẫu
nhiên hoặc sử dụng EUI-64.
Phát hiện địa chỉ trùng lặp

Máy chủ SLAAC có thể sử dụng quy trình Phát hiện Địa chỉ Trùng lặp (DAD) sau đây để đảm bảo rằng
GUA IPv6 là duy nhất.

Máy chủ gửi một thông báo ICMPv6 Neighbor Solicitation (NS) với một địa chỉ multicast nút được mời
được xây dựng đặc biệt có chứa 24 bit cuối cùng của địa chỉ IPv6 của máy chủ.

Nếu không có thiết bị nào khác phản hồi bằng thông báo Neighbor Advertisement (NA), thì địa chỉ hầu
như được đảm bảo là duy nhất và có thể được sử dụng bởi máy chủ.

Nếu máy chủ nhận được NA, thì địa chỉ không phải là duy nhất và máy chủ phải tạo ID giao diện mới để
sử dụng.

Lưu ý: DAD thực sự không bắt buộc vì ID giao diện 64 bit cung cấp 18 triệu khả năng. Do đó, cơ hội của
một địa chỉ trùng lặp là rất xa. Tuy nhiên, Internet Engineering Task Force (IETF) khuyến nghị nên sử
dụng DAD. Do đó, hầu hết các hệ điều hành đều thực hiện DAD trên tất cả các địa chỉ unicast IPv6, bất
kể địa chỉ đó được cấu hình như thế nào.

3. Hoạt động của DHCPv6

Các bước hoạt động của DHCPv6

DHCPv6 có trạng thái không yêu cầu SLAAC trong khi DHCPv6 không trạng thái thì có.

Bất kể, khi RA chỉ định sử dụng DHCPv6 hoặc DHCPv6 có trạng thái:

Máy chủ gửi một tin nhắn RS.

Bộ định tuyến phản hồi bằng một thông báo RA.

Máy chủ gửi tin nhắn DHCPv6 SOLICIT.

Máy chủ DHCPv6 phản hồi bằng thông báo QUẢNG CÁO.

Máy chủ phản hồi với máy chủ DHCPv6.

Máy chủ DHCPv6 gửi một tin nhắn TRẢ LỜI.

Lưu ý: Tin nhắn DHCPv6 từ máy chủ đến máy khách sử dụng cổng đích UDP 546 trong khi tin nhắn
DHCPv6 từ máy khách đến máy chủ sử dụng cổng đích UDP 547.

Hoạt động DHCPv6 không trạng thái

Nếu RA chỉ định phương thức DHCPv6 không trạng thái, thì máy chủ sử dụng thông tin trong thông báo
RA để đánh địa chỉ và liên hệ với máy chủ DHCPv6 để biết thêm thông tin.

Lưu ý: Máy chủ DHCPv6 chỉ cung cấp các tham số cấu hình cho máy khách và không duy trì danh
sách các ràng buộc địa chỉ IPv6 (tức là không trạng thái).

Ví dụ, PC1 nhận được một bản tin RA không trạng thái có chứa:

Tiền tố mạng IPv6 GUA và độ dài tiền tố.

Cờ được đặt thành 1 thông báo cho máy chủ sử dụng SLAAC.

Cờ O được đặt thành 1 thông báo cho máy chủ tìm kiếm thông tin cấu hình bổ sung đó từ máy chủ
DHCPv6.
Cờ M được đặt thành giá trị mặc định là 0.

PC1 gửi thông báo DHCPv6 SOLICIT để tìm kiếm thông tin bổ sung từ máy chủ DHCPv6 không trạng
thái.

Hoạt động DHCPv6 có trạng thái

Nếu RA chỉ ra phương pháp DHCPv6 có trạng thái, máy chủ sẽ liên hệ với máy chủ DHCPv6 để biết tất
cả thông tin cấu hình.

Lưu ý: Máy chủ DHCPv6 có trạng thái và duy trì danh sách các liên kết địa chỉ IPv6.

Ví dụ, PC1 nhận được một bản tin RA có trạng thái chứa:

Tiền tố mạng IPv6 GUA và độ dài tiền tố.

Cờ được đặt thành 0 thông báo cho máy chủ liên hệ với máy chủ DHCPv6.

Cờ O được đặt thành 0 thông báo cho máy chủ liên hệ với máy chủ DHCPv6.

Cờ M được đặt thành giá trị 1.

PC1 gửi thông báo DHCPv6 SOLICIT để tìm kiếm thông tin bổ sung từ máy chủ DHCPv6 có trạng thái.
4. Mô tả cấu hình DHCPv6 Server

Định cấu hình Máy chủ DHCPv6 không trạng thái

Tùy chọn máy chủ DHCPv6 không trạng thái yêu cầu bộ định tuyến quảng cáo thông tin địa chỉ mạng
IPv6 trong thông báo RA.

Có năm bước để định cấu hình và xác minh bộ định tuyến là máy chủ DHCPv6 không trạng thái:

Bật định tuyến IPv6 bằng lệnh ipv6 unicast-routing.

Xác định tên nhóm DHCPv6 bằng cách sử dụng lệnh cấu hình chung nhóm ipv6 dhcp POOL-NAME.

Định cấu hình nhóm DHCPv6 với các tùy chọn. Các tùy chọn phổ biến bao gồm máy chủ dns
X:X:X:X:X:X:X:X và tên miền.

Liên kết giao diện với nhóm bằng cách sử dụng lệnh cấu hình giao diện máy chủ ipv6 dhcp POOL-
NAME.

Thay đổi cờ O từ 0 thành 1 theo cách thủ công bằng lệnh giao diện ipv6 nd other-config-flag. Thông báo
RA được gửi trên giao diện này cho biết thông tin bổ sung có sẵn từ máy chủ DHCPv6 không trạng thái.
Cờ A là 1 theo mặc định, yêu cầu khách hàng sử dụng SLAAC để tạo GUA của riêng họ.

Xác minh rằng các máy chủ đã nhận được thông tin địa chỉ IPv6 bằng cách sử dụng lệnh ipconfig /all.

Định cấu hình Máy khách DHCPv6 không trạng thái

Bộ định tuyến cũng có thể là máy khách DHCPv6 và nhận cấu hình IPv6 từ máy chủ DHCPv6, chẳng hạn
như bộ định tuyến hoạt động như máy chủ DHCPv6.

Bật định tuyến IPv6 bằng lệnh ipv6 unicast-routing.

Định cấu hình bộ định tuyến máy khách để tạo LLA. Địa chỉ liên kết cục bộ IPv6 được tạo trên giao diện
bộ định tuyến khi địa chỉ unicast toàn cầu được định cấu hình hoặc không có GUA bằng cách sử dụng
lệnh cấu hình giao diện bật ipv6. Cisco IOS sử dụng EUI-64 để tạo ID giao diện.

Định cấu hình bộ định tuyến máy khách để sử dụng SLAAC bằng lệnh tự động cấu hình địa chỉ ipv6.

Xác minh rằng bộ định tuyến máy khách được gán GUA bằng lệnh hiển thị giao diện ipv6 ngắn gọn.

Xác minh rằng bộ định tuyến máy khách đã nhận được thông tin DHCPv6 cần thiết khác. Lệnh show ipv6
dhcp interface g0/0/1 xác nhận thông tin tùy chọn DHCP, chẳng hạn như máy chủ DNS và tên miền, đã
được máy khách nhận.

Định cấu hình Máy chủ DHCPv6 có trạng thái

Tùy chọn máy chủ DHCP có trạng thái yêu cầu bộ định tuyến hỗ trợ IPv6 yêu cầu máy chủ liên hệ với
máy chủ DHCPv6 để lấy tất cả thông tin địa chỉ mạng IPv6 cần thiết.

Có năm bước để định cấu hình và xác minh bộ định tuyến là máy chủ DHCPv6 có trạng thái:

Bật định tuyến IPv6 bằng lệnh ipv6 unicast-routing.

Xác định tên nhóm DHCPv6 bằng cách sử dụng lệnh cấu hình chung nhóm ipv6 dhcp POOL-NAME.

Định cấu hình nhóm DHCPv6 với các tùy chọn. Các tùy chọn phổ biến bao gồm lệnh tiền tố địa chỉ, tên
miền, địa chỉ IP của máy chủ DHS, v.v.

Liên kết giao diện với nhóm bằng cách sử dụng lệnh cấu hình giao diện máy chủ ipv6 dhcp POOL-
NAME.

Thay đổi cờ M từ 0 thành 1 theo cách thủ công bằng cách sử dụng lệnh giao diện ipv6 nd Managed-
config-flag.

Thay đổi thủ công cờ A từ 1 thành 0 bằng cách sử dụng lệnh giao diện mặc định không tự động cấu hình
tiền tố ipv6 để thông báo cho khách hàng không sử dụng SLAAC để tạo GUA. Bây giờ, bộ định tuyến sẽ
phản hồi các yêu cầu DHCPv6 có trạng thái với thông tin có trong nhóm.

Xác minh rằng các máy chủ đã nhận được thông tin địa chỉ IPv6 bằng cách sử dụng lệnh ipconfig /all.

Định cấu hình Máy khách DHCPv6 có trạng thái

Một bộ định tuyến cũng có thể là một máy khách DHCPv6. Bộ định tuyến máy khách cần phải bật định
tuyến unicast ipv6 và địa chỉ liên kết cục bộ IPv6 để gửi và nhận tin nhắn IPv6.
Có năm bước để định cấu hình và xác minh bộ định tuyến dưới dạng máy khách DHCPv6 không trạng
thái.

Bật định tuyến IPv6 bằng lệnh ipv6 unicast-routing.

Định cấu hình bộ định tuyến máy khách để tạo LLA. Địa chỉ liên kết cục bộ IPv6 được tạo trên giao diện
bộ định tuyến khi địa chỉ unicast toàn cầu được định cấu hình hoặc không có GUA bằng cách sử dụng
lệnh cấu hình giao diện bật ipv6. Cisco IOS sử dụng EUI-64 để tạo ID giao diện.

Định cấu hình bộ định tuyến máy khách để sử dụng DHCPv6 bằng cách sử dụng lệnh cấu hình giao diện
dhcp địa chỉ ipv6.

Xác minh rằng bộ định tuyến máy khách được gán GUA bằng lệnh hiển thị giao diện ipv6 ngắn gọn.

Xác minh rằng bộ định tuyến máy khách đã nhận được thông tin DHCPv6 cần thiết khác bằng cách sử
dụng lệnh show ipv6 dhcp interface g0/0/1.

Các lệnh xác minh máy chủ DHCPv6

Lệnh show ipv6 dhcp pool xác minh tên của nhóm DHCPv6 và các tham số của nó. Lệnh này cũng xác
định số lượng máy khách đang hoạt động.

Sử dụng đầu ra lệnh liên kết show ipv6 dhcp để hiển thị địa chỉ liên kết cục bộ IPv6 của máy khách và địa
chỉ unicast toàn cầu do máy chủ chỉ định.

Thông tin này được duy trì bởi một máy chủ DHCPv6 có trạng thái.

Máy chủ DHCPv6 không trạng thái sẽ không duy trì thông tin này.
Định cấu hình Tác nhân chuyển tiếp DHCPv6

Nếu máy chủ DHCPv6 được đặt trên một mạng khác với máy khách, thì bộ định tuyến IPv6 có thể được
cấu hình làm tác nhân chuyển tiếp DHCPv6.

Cấu hình của tác nhân chuyển tiếp DHCPv6 tương tự như cấu hình của bộ định tuyến IPv4 dưới dạng
chuyển tiếp DHCPv4.

Lệnh này được cấu hình trên giao diện đối diện với máy khách DHCPv6 và chỉ định địa chỉ máy chủ
DHCPv6 và giao diện đầu ra để đến máy chủ, như được hiển thị trong đầu ra. Giao diện đầu ra chỉ được
yêu cầu khi địa chỉ next-hop là LLA.

Xác minh Tác nhân Chuyển tiếp DHCPv6

Xác minh rằng tác nhân chuyển tiếp DHCPv6 đang hoạt động với giao diện hiển thị ipv6 dhcp và hiển thị
các lệnh liên kết ipv6 dhcp.
Xác minh các máy chủ Windows đã nhận được thông tin địa chỉ IPv6 bằng lệnh ipconfig /all.

M9

1. Trình bày FHRP

Giới hạn cổng mặc định

Các thiết bị đầu cuối thường được định cấu hình với một địa chỉ IPv4 cổng mặc định duy nhất.

Nếu giao diện bộ định tuyến cổng mặc định bị lỗi, máy chủ LAN sẽ mất kết nối mạng LAN bên ngoài.

Điều này xảy ra ngay cả khi có một bộ định tuyến dự phòng hoặc bộ chuyển mạch Lớp 3 có thể đóng vai
trò là cổng mặc định.

Các giao thức dự phòng bước nhảy đầu tiên (FHRP) là các cơ chế cung cấp các cổng mặc định thay thế
trong các mạng chuyển đổi nơi hai hoặc nhiều bộ định tuyến được kết nối với cùng một Vlan.

Dự phòng bộ định tuyến

Một cách để ngăn chặn một điểm lỗi duy nhất tại cổng mặc định là triển khai bộ định tuyến ảo. Để triển
khai loại dự phòng bộ định tuyến này, nhiều bộ định tuyến được cấu hình để hoạt động cùng nhau nhằm
tạo ảo giác về một bộ định tuyến duy nhất cho các máy chủ trên mạng LAN. Bằng cách chia sẻ địa chỉ IP
và địa chỉ MAC, hai hoặc nhiều bộ định tuyến có thể hoạt động như một bộ định tuyến ảo duy nhất.

Địa chỉ IPv4 của bộ định tuyến ảo được định cấu hình làm cổng mặc định cho các máy trạm trên một
phân đoạn IPv4 cụ thể.

Khi các khung được gửi từ thiết bị máy chủ đến cổng mặc định, máy chủ sử dụng ARP để phân giải địa
chỉ MAC được liên kết với địa chỉ IPv4 của cổng mặc định. Độ phân giải ARP trả về địa chỉ MAC của bộ
định tuyến ảo. Các khung được gửi đến địa chỉ MAC của bộ định tuyến ảo sau đó có thể được xử lý vật lý
bởi bộ định tuyến hiện đang hoạt động trong nhóm bộ định tuyến ảo.

Một giao thức được sử dụng để xác định hai hoặc nhiều bộ định tuyến là thiết bị chịu trách nhiệm xử lý
các khung được gửi đến địa chỉ MAC hoặc IP của một bộ định tuyến ảo. Các thiết bị chủ gửi lưu lượng
đến địa chỉ của bộ định tuyến ảo. Bộ định tuyến vật lý chuyển tiếp lưu lượng này trong suốt đối với các
thiết bị chủ.

Giao thức dự phòng cung cấp cơ chế xác định bộ định tuyến nào sẽ đóng vai trò tích cực trong việc
chuyển tiếp lưu lượng. Nó cũng xác định khi nào vai trò chuyển tiếp phải được đảm nhận bởi một bộ định
tuyến dự phòng. Quá trình chuyển đổi từ bộ định tuyến chuyển tiếp này sang bộ định tuyến khác là trong
suốt đối với các thiết bị đầu cuối.

Khả năng mạng tự động phục hồi sau lỗi của thiết bị đóng vai trò là cổng mặc định được gọi là dự phòng
bước nhảy đầu tiên.

Các bước để chuyển đổi dự phòng bộ định tuyến

Khi bộ định tuyến hoạt động bị lỗi, giao thức dự phòng sẽ chuyển bộ định tuyến dự phòng sang vai trò bộ
định tuyến hoạt động mới, như thể hiện trong hình. Đây là các bước diễn ra khi bộ định tuyến đang hoạt
động bị lỗi:

Bộ định tuyến dự phòng ngừng xem các tin nhắn Xin chào từ bộ định tuyến chuyển tiếp.

Bộ định tuyến dự phòng đảm nhận vai trò của bộ định tuyến chuyển tiếp.

Do bộ định tuyến chuyển tiếp mới sử dụng cả địa chỉ IPv4 và MAC của bộ định tuyến ảo nên các thiết bị
chủ không bị gián đoạn dịch vụ.

2. Trình bày HSRP (9.2)

Tổng quan về HSRP
Cisco cung cấp HSRP và HSRP cho IPv6 như một cách để tránh mất quyền truy cập mạng bên ngoài nếu
bộ định tuyến mặc định của bạn bị lỗi. HSRP là một FHRP độc quyền của Cisco được thiết kế để cho
phép chuyển đổi dự phòng trong suốt của thiết bị IP bước nhảy đầu tiên.
HSRP đảm bảo tính khả dụng cao của mạng bằng cách cung cấp dự phòng định tuyến bước nhảy đầu tiên
cho các máy chủ IP trên các mạng được định cấu hình bằng địa chỉ cổng mặc định IP. HSRP được sử
dụng trong một nhóm các bộ định tuyến để chọn thiết bị hoạt động và thiết bị dự phòng. Trong một nhóm
giao diện thiết bị, thiết bị hoạt động là thiết bị được sử dụng để định tuyến các gói; thiết bị dự phòng là
thiết bị tiếp nhận khi thiết bị hoạt động bị lỗi hoặc khi các điều kiện đặt trước được đáp ứng. Chức năng
của bộ định tuyến dự phòng HSRP là giám sát trạng thái hoạt động của nhóm HSRP và nhanh chóng đảm
nhận trách nhiệm chuyển tiếp gói nếu bộ định tuyến hoạt động bị lỗi.

Ưu tiên và ưu tiên HSRP

Vai trò của các bộ định tuyến hoạt động và dự phòng được xác định trong quá trình bầu chọn HSRP.
Theo mặc định, bộ định tuyến có địa chỉ IPv4 cao nhất về số lượng được chọn làm bộ định tuyến hoạt
động. Tuy nhiên, tốt hơn hết là bạn nên kiểm soát cách thức hoạt động của mạng trong các điều kiện bình
thường hơn là để nó có cơ hội.
Ưu tiên HSRP có thể được sử dụng để xác định bộ định tuyến đang hoạt động.
Bộ định tuyến có mức ưu tiên HSRP cao nhất sẽ trở thành bộ định tuyến hoạt động.
Theo mặc định, mức ưu tiên HSRP là 100.
Nếu các mức độ ưu tiên bằng nhau, bộ định tuyến có địa chỉ IPv4 cao nhất về số lượng sẽ được chọn làm
bộ định tuyến hoạt động.
Để định cấu hình bộ định tuyến thành bộ định tuyến hoạt động, hãy sử dụng lệnh giao diện ưu tiên dự
phòng. Phạm vi ưu tiên HSRP là 0 đến 255.

Theo mặc định, sau khi một bộ định tuyến trở thành bộ định tuyến hoạt động, nó sẽ vẫn là bộ định tuyến
hoạt động ngay cả khi một bộ định tuyến khác trực tuyến với mức ưu tiên HSRP cao hơn.
Để buộc quá trình bầu chọn HSRP mới diễn ra khi bộ định tuyến có mức ưu tiên cao hơn trực tuyến,
quyền ưu tiên phải được bật bằng cách sử dụng lệnh giao diện ưu tiên dự phòng. Quyền ưu tiên là khả
năng của bộ định tuyến HSRP để kích hoạt quá trình bầu cử lại. Với quyền ưu tiên được bật, bộ định
tuyến trực tuyến với mức ưu tiên HSRP cao hơn sẽ đảm nhận vai trò của bộ định tuyến hoạt động.
Quyền ưu tiên chỉ cho phép một bộ định tuyến trở thành bộ định tuyến hoạt động nếu nó có mức ưu tiên
cao hơn. Một bộ định tuyến được kích hoạt để ưu tiên, với mức độ ưu tiên bằng nhau nhưng địa chỉ IPv4
cao hơn sẽ không ưu tiên một bộ định tuyến đang hoạt động. Tham khảo cấu trúc liên kết trong hình.
Lưu ý: Với quyền ưu tiên bị tắt, bộ định tuyến khởi động trước sẽ trở thành bộ định tuyến hoạt động nếu
không có bộ định tuyến nào khác trực tuyến trong quá trình bầu chọn.

HSRP States and Times

HSRP State Sự mô tả
Trạng thái này được nhập thông qua thay đổi
Ban đầu cấu hình hoặc khi giao diện lần đầu tiên khả
dụng.
Bộ định tuyến chưa xác định được địa chỉ IP
Học ảo và chưa thấy thông báo chào từ bộ định
tuyến đang hoạt động. Ở trạng thái này, bộ
định tuyến chờ nghe từ bộ định tuyến đang
hoạt động.
Bộ định tuyến biết địa chỉ IP ảo, nhưng bộ
Nghe định tuyến không phải là bộ định tuyến hoạt
động cũng không phải là bộ định tuyến dự
phòng. Nó lắng nghe các tin nhắn xin chào từ
các bộ định tuyến đó.
Bộ định tuyến gửi các thông báo chào định
Nói kỳ và tích cực tham gia vào việc bầu chọn bộ
định tuyến đang hoạt động và/hoặc dự phòng.
Đứng gần Bộ định tuyến là một ứng cử viên để trở
thành bộ định tuyến hoạt động tiếp theo và
gửi các bản tin chào định kỳ.

SRWE
M10
1. Trình bày bảo mật  trên Endpoint (10.1)

Bảo mật điểm cuối

Các phương tiện truyền thông thường bao gồm các cuộc tấn công trên mạng doanh
nghiệp. Chỉ cần tìm kiếm trên internet để tìm kiếm các cuộc tấn công mạng mới
nhất của Google để tìm thông tin cập nhật về các cuộc tấn công hiện tại. Nhiều khả
năng, các cuộc tấn công này sẽ liên quan đến một hoặc nhiều điều sau đây:
Phân tán từ chối dịch vụ (DDoS) - Đây là một cuộc tấn công phối hợp từ nhiều
thiết bị, được gọi là zombie, với mục đích xuống cấp hoặc tạm dừng truy cập công
cộng vào một trang web và tài nguyên của tổ chức.
Vi phạm dữ liệu - Đây là một cuộc tấn công trong đó một máy chủ hoặc máy chủ
dữ liệu của tổ chức bị xâm phạm để đánh cắp thông tin bí mật.
Phần mềm độc hại - Đây là một cuộc tấn công trong đó một tổ chức máy chủ bị
nhiễm phần mềm độc hại gây ra nhiều vấn đề. Ví dụ: ransomware như WannaCry
mã hóa dữ liệu trên máy chủ và khóa truy cập vào nó cho đến khi tiền chuộc được
thanh toán.
Các thiết bị bảo mật mạng khác nhau được yêu cầu để bảo vệ chu vi mạng khỏi
truy cập bên ngoài. Các thiết bị này có thể bao gồm những điều sau đây:
Mạng riêng ảo (VPN) đã kích hoạt bộ định tuyến - cung cấp kết nối an toàn cho
người dùng từ xa trên mạng công cộng và vào mạng doanh nghiệp. Dịch vụ VPN
có thể được tích hợp vào tường lửa.
 Tường lửa thế hệ tiếp theo (NGFW)-Cung cấp kiểm tra gói trạng thái, khả năng
hiển thị và kiểm soát ứng dụng, Hệ thống phòng chống xâm nhập thế hệ tiếp theo
(NGOP), bảo vệ phần mềm độc hại nâng cao (AMP) và lọc URL.
Kiểm soát truy cập mạng (NAC) - Bao gồm các dịch vụ xác thực, ủy quyền và kế
toán (AAA). Trong các doanh nghiệp lớn hơn, các dịch vụ này có thể được kết
hợp vào một thiết bị có thể quản lý các chính sách truy cập trên nhiều loại người
dùng và loại thiết bị. Công cụ Dịch vụ Nhận dạng Cisco (ISE) là một ví dụ về thiết
bị NAC.
Điểm cuối là máy chủ thường bao gồm máy tính xách tay, máy tính để bàn, máy
chủ và điện thoại IP, cũng như các thiết bị thuộc sở hữu của nhân viên. Các điểm
cuối đặc biệt dễ bị tấn công liên quan đến phần mềm độc hại bắt nguồn từ email
hoặc duyệt web.
Các điểm cuối thường sử dụng các tính năng bảo mật dựa trên máy chủ truyền
thống, chẳng hạn như phần mềm chống vi-rút/phần mềm chống, tường lửa dựa
trên máy chủ và hệ thống phòng chống xâm nhập dựa trên máy chủ (HIPSS).
Các điểm cuối ngày nay được bảo vệ tốt nhất bởi sự kết hợp của NAC, phần mềm
AMP, Thiết bị bảo mật email (ESA) và Thiết bị bảo mật web (WSA).
Thiết bị Cisco ESA được thiết kế để giám sát Giao thức chuyển thư đơn giản
(SMTP). Cisco ESA liên tục được cập nhật bởi các nguồn cấp dữ liệu thời gian
thực từ Cisco Talos, nơi phát hiện và tương quan các mối đe dọa và giải pháp bằng
cách sử dụng hệ thống giám sát cơ sở dữ liệu trên toàn thế giới. Dữ liệu tình báo
mối đe dọa này được kéo bởi Cisco ESA cứ sau ba đến năm phút.

Đây là một số chức năng của Cisco ESA:

Khối các mối đe dọa đã biết
Khắc phục chống lại phần mềm độc hại tàng hình đã trốn tránh phát hiện ban đầu
Loại bỏ email với các liên kết xấu
Chặn truy cập vào các trang web mới bị nhiễm.
Mã hóa nội dung trong email gửi đi để ngăn ngừa mất dữ liệu.
Thiết bị bảo mật web của Cisco (WSA) là một công nghệ giảm thiểu cho các mối
đe dọa dựa trên web. Nó giúp các tổ chức giải quyết các thách thức của việc đảm
bảo và kiểm soát lưu lượng truy cập web.
Cisco WSA kết hợp bảo vệ phần mềm độc hại nâng cao, khả năng hiển thị và kiểm
soát ứng dụng, kiểm soát chính sách sử dụng chấp nhận được và báo cáo.
Cisco WSA cung cấp quyền kiểm soát hoàn toàn về cách người dùng truy cập
Internet. Một số tính năng và ứng dụng, như trò chuyện, nhắn tin, video và âm
thanh, có thể được cho phép, hạn chế theo giới hạn thời gian và băng thông hoặc
bị chặn, theo yêu cầu của tổ chức.
WSA có thể thực hiện danh sách đen các URL, lọc URL, quét phần mềm độc hại,
phân loại URL, lọc ứng dụng web, và mã hóa và giải mã lưu lượng truy cập web
2. Trình bày kiểm soát truy cập (Access control) (10.2)
Nhiều loại xác thực có thể được thực hiện trên các thiết bị kết nối mạng và mỗi
phương thức cung cấp các mức độ bảo mật khác nhau.
Phương pháp đơn giản nhất về xác thực truy cập từ xa là định cấu hình kết hợp
đăng nhập và mật khẩu trên bảng điều khiển, các dòng VTY và cổng AUX.

SSH là một dạng truy cập từ xa an toàn hơn:

Nó yêu cầu tên người dùng và mật khẩu.
Tên người dùng và mật khẩu có thể được xác thực cục bộ.

Phương pháp cơ sở dữ liệu cục bộ có một số hạn chế:

Tài khoản người dùng phải được cấu hình cục bộ trên mỗi thiết bị không thể mở
rộng.
Phương pháp không cung cấp phương thức xác thực dự phòng.
AAA là viết tắt của xác thực, ủy quyền và kế toán và cung cấp khung chính để
thiết lập kiểm soát truy cập trên thiết bị mạng.

AAA là một cách để kiểm soát ai được phép truy cập mạng (xác thực), những gì
họ có thể làm khi họ ở đó (ủy quyền) và kiểm tra những hành động họ thực hiện
trong khi truy cập mạng (kế toán).
Dựa trên địa phương và máy chủ là hai phương pháp phổ biến để thực hiện xác
thực AAA.

Xác thực AAA cục bộ:

Phương thức lưu trữ tên người dùng và mật khẩu cục bộ trong một thiết bị mạng
(ví dụ: bộ định tuyến Cisco).
Người dùng xác thực so với cơ sở dữ liệu cục bộ.
AAA địa phương là lý tưởng cho các mạng nhỏ.
Xác thực AAA dựa trên máy chủ:
Với phương thức dựa trên máy chủ, bộ định tuyến truy cập vào máy chủ AAA
trung tâm.
Máy chủ AAA chứa tên người dùng và mật khẩu cho tất cả người dùng.
Bộ định tuyến sử dụng Dịch vụ người dùng quay số xác thực từ xa (RADIUS)
hoặc Giao thức Hệ thống điều khiển truy cập Truy cập Truy cập đầu cuối
(TACACS+) để liên lạc với máy chủ AAA.
Khi có nhiều bộ định tuyến và công tắc, AAA dựa trên máy chủ sẽ phù hợp hơn.
Ủy quyền AAA là tự động và không yêu cầu người dùng thực hiện các bước bổ
sung sau khi xác thực.

Ủy quyền chi phối những gì người dùng có thể và không thể làm trên mạng sau
khi chúng được xác thực.

Ủy quyền sử dụng một tập hợp các thuộc tính mô tả quyền truy cập của người
dùng vào mạng. Các thuộc tính này được sử dụng bởi máy chủ AAA để xác định
các đặc quyền và hạn chế cho người dùng đó.
Kế toán AAA thu thập và báo cáo dữ liệu sử dụng. Dữ liệu này có thể được sử
dụng cho các mục đích như kiểm toán hoặc thanh toán. Dữ liệu được thu thập có
thể bao gồm thời gian kết nối bắt đầu và dừng, các lệnh được thực thi, số lượng
gói và số byte.

Việc sử dụng chính của kế toán là kết hợp nó với xác thực AAA.
Máy chủ AAA giữ một nhật ký chi tiết về chính xác những gì người dùng được
xác thực trên thiết bị, như trong hình. Điều này bao gồm tất cả các lệnh thực thi và
cấu hình do người dùng phát hành.
Nhật ký chứa nhiều trường dữ liệu, bao gồm tên người dùng, ngày và thời gian và
lệnh thực tế được nhập bởi người dùng. Thông tin này rất hữu ích khi xử lý sự cố
các thiết bị. Nó cũng cung cấp bằng chứng cho khi các cá nhân thực hiện các hành
vi độc hại.
Tiêu chuẩn IEEE 802.1x là giao thức xác thực và kiểm soát truy cập dựa trên
cổng. Giao thức này hạn chế các máy trạm trái phép kết nối với mạng LAN thông
qua các cổng chuyển đổi có thể truy cập công khai. Máy chủ xác thực xác thực
từng máy trạm được kết nối với cổng chuyển đổi trước khi cung cấp bất kỳ dịch vụ
nào được cung cấp bởi Switch hoặc LAN.

Với xác thực dựa trên cổng 802.1x, các thiết bị trong mạng có vai trò cụ thể:
Máy khách (Người thay thế) - Đây là một thiết bị chạy phần mềm máy khách tuân
thủ 802.1x, có sẵn cho các thiết bị có dây hoặc không dây.
Switch (Authenticator) Công tắc hoạt động như một trung gian giữa máy khách và
máy chủ xác thực. Nó yêu cầu xác định thông tin từ máy khách, xác minh thông
 tin đó với máy chủ xác thực và chuyển tiếp phản hồi cho máy khách. Một thiết bị
khác có thể đóng vai trò là trình xác thực là một điểm truy cập không dây.
Máy chủ xác thực Máy chủ Xác thực danh tính của máy khách và thông báo cho
điểm truy cập công tắc hoặc không dây mà máy khách đang hoặc không được
phép truy cập dịch vụ LAN và chuyển đổi.
3. Các rủi ro bảo mật lớp 2 (10.3)
Lỗ hỏng:
Hãy nhớ lại rằng mô hình tham chiếu OSI được chia thành bảy lớp hoạt động độc
lập với nhau. Hình vẽ cho thấy chức năng của từng lớp và các phần tử lõi có thể
được khai thác.

Quản trị viên mạng thường xuyên triển khai các giải pháp bảo mật để bảo vệ các
yếu tố trong Lớp 3 lên qua Lớp 7. Họ sử dụng các thiết bị VPN, tường lửa và IPS
để bảo vệ các yếu tố này. Tuy nhiên, nếu lớp 2 bị xâm phạm, thì tất cả các lớp trên
nó cũng bị ảnh hưởng. Ví dụ: nếu một tác nhân đe dọa có quyền truy cập vào
mạng nội bộ được ghi lại các khung lớp 2, thì tất cả các bảo mật được triển khai
trên các lớp trên sẽ là vô dụng. Diễn viên đe dọa có thể gây ra rất nhiều thiệt hại
trên cơ sở hạ tầng mạng LAN.
- Chuyển các loại tấn công
Bảo mật chỉ mạnh như liên kết yếu nhất trong hệ thống và Lớp 2 được coi là
liên kết yếu. Điều này là do LAN theo truyền thống dưới sự kiểm soát hành
chính của một tổ chức duy nhất. Chúng tôi vốn đã tin tưởng tất cả những người
và thiết bị được kết nối với mạng LAN của chúng tôi. Ngày nay, với BYOD và
 các cuộc tấn công tinh vi hơn, LAN của chúng ta đã trở nên dễ bị xâm nhập
hơn.
Loại vd
MAC Table Attacks Bao gồm các cuộc tấn công flooding địa
chỉ MAC.
VLAN Attacks Bao gồm vlan và các cuộc tấn công gắn
thẻ vlan. Nó cũng bao gồm các cuộc tấn
công giữa các thiết bị trên Vlan chung.
DHCP Attacks Bao gồm các cuộc tấn công giả mạo
DHCP và các cuộc tấn công giả mạo
DHCP.
ARP Attacks Bao gồm giả mạo ARP và các cuộc tấn
công nhiễm độc ARP.
Address Spoofing Attacks Bao gồm địa chỉ MAC và các cuộc tấn
công giả mạo địa chỉ IP.
STP Attacks Bao gồm các cuộc tấn công thao tác giao
thức của cây.

- Chuyển đổi kỹ thuật giảm thiểu tấn công

Giải pháp Miêu tả
Port Security Ngăn chặn nhiều loại tấn công bao gồm
các cuộc tấn công flooding địa chỉ MAC
và các cuộc tấn công  starvation DHCP.
DHCP Snooping Ngăn chặn các cuộc tấn công giả mạo
DHCP và DHCP.
Dynamic ARP Inspection (DAI) Ngăn chặn giả mạo ARP và các cuộc tấn
công nhiễm độc ARP.
IP Source Guard (IPSG) Ngăn chặn các cuộc tấn công giả mạo địa
chỉ MAC và IP.
Giải pháp:
Các giải pháp Lớp 2 này sẽ không hiệu quả nếu các giao thức quản lý không được
bảo mật. Các chiến lược sau đây được khuyến nghị:
Luôn sử dụng các biến thể an toàn của các giao thức quản lý như SSH, Giao thức
sao chép bảo mật (SCP), FTP an toàn (SFTP) và bảo mật lớp/lớp vận chuyển an
toàn (SSL/TLS).
Xem xét sử dụng mạng quản lý ngoài băng để quản lý thiết bị.
Sử dụng một Vlan quản lý chuyên dụng trong đó không có gì ngoài lưu lượng truy
cập quản lý.
Sử dụng ACL để lọc truy cập không mong muốn.
4. Các hình thức/kỹ thuật Tấn công bảng địa chỉ MAC (10.4)
- Chuyển đổi đánh giá hoạt động
Hãy nhớ lại rằng để đưa ra quyết định chuyển tiếp, lớp 2 switch LAN xây dựng
một bảng dựa trên các địa chỉ MAC nguồn trong các khung nhận được. Đây được
gọi là bảng địa chỉ MAC. Các bảng địa chỉ MAC được lưu trữ trong bộ nhớ và
được sử dụng để chuyển đổi khung hiệu quả hơn.

- flooding bảng địa chỉ MAC

Tất cả các bảng Mac có kích thước cố định và do đó, một công tắc có thể hết tài
nguyên để lưu trữ địa chỉ MAC. Các cuộc tấn công lũ địa chỉ MAC tận dụng giới
hạn này bằng cách bắn phá công tắc bằng địa chỉ MAC nguồn giả cho đến khi
bảng địa chỉ chuyển đổi MAC.
Khi điều này xảy ra, Switch coi khung hình là một unicast chưa biết và bắt đầu
tràn vào tất cả lưu lượng truy cập đến tất cả các cổng trên cùng một Vlan mà
không cần tham khảo bảng MAC. Tình trạng này bây giờ cho phép một diễn viên
đe dọa nắm bắt tất cả các khung được gửi từ máy chủ này sang máy chủ khác trên
mạng LAN hoặc Vlan địa phương.
Lưu ý: Traffic chỉ bị ngập trong LAN hoặc Vlan của local. Actor đe dọa chỉ có thể
nắm bắt được lưu lượng truy cập trong LAN hoặc Vlan địa phương mà Actor đe
dọa được kết nối.

- MAC địa chỉ bảng giảm thiểu tấn công

 Điều làm cho các công cụ như MacoF rất nguy hiểm là kẻ tấn công có thể tạo ra
một cuộc tấn công tràn bảng Mac rất nhanh. Chẳng hạn, một công tắc Catalyst
6500 có thể lưu trữ 132.000 địa chỉ MAC trong bảng địa chỉ MAC của nó. Một
công cụ như MACOF có thể làm ngập một công tắc với tối đa 8.000 khung không
có thật mỗi giây; Tạo một cuộc tấn công tràn bảng địa chỉ MAC trong vài giây.

Một lý do khác khiến các công cụ tấn công này nguy hiểm là vì chúng không chỉ
ảnh hưởng đến công tắc cục bộ, chúng còn có thể ảnh hưởng đến các công tắc Lớp
2 được kết nối khác. Khi bảng địa chỉ MAC của một công tắc đã đầy, nó bắt đầu
tràn ra tất cả các cổng bao gồm các cổng được kết nối với các công tắc Lớp 2
khác.
Để giảm thiểu các cuộc tấn công tràn bảng địa chỉ MAC, các quản trị viên mạng
phải thực hiện bảo mật cổng. Bảo mật cổng sẽ chỉ cho phép một số lượng địa chỉ
MAC nguồn được chỉ định trên cổng. Bảo mật cảng được thảo luận thêm trong
một mô -đun khác.
M11
1. Mô tả thực hiện giải pháp Port Security (11.1)
Ví dụ cho thấy một cấu hình bảo mật cổng hoàn chỉnh cho FastEthernet 0/1.
Quản trị viên chỉ định tối đa 4 địa chỉ MAC, cấu hình thủ công một địa chỉ MAC
an toàn và sau đó định cấu hình cổng để tìm hiểu động địa chỉ MAC an toàn bổ
sung lên đến tối đa địa chỉ MAC bảo mật 4.
Sử dụng giao diện an ninh cổng hiển thị và lệnh hiển thị địa chỉ bảo mật cổng để
xác minh cấu hình.

aging bảo mật cổng có thể được sử dụng để đặt thời gian mã hóa cho các địa chỉ
an toàn tĩnh và động trên một cổng và hai loại lão hóa được hỗ trợ cho mỗi cổng:
Tuyệt đối - Các địa chỉ an toàn trên cổng sẽ bị xóa sau thời gian aging được chỉ
định.
Không hoạt động - Các địa chỉ an toàn trên cổng sẽ bị xóa nếu chúng không hoạt
động trong một thời gian xác định.

Sử dụng aging để xóa các địa chỉ MAC an toàn trên một cổng an toàn mà không
cần xóa thủ công các địa chỉ MAC an toàn hiện có.
Aging các địa chỉ bảo mật được cấu hình tĩnh có thể được bật hoặc vô hiệu hóa
trên cơ sở mỗi cổng.
Ví dụ cho thấy một quản trị viên định cấu hình loại aging đến 10 phút không hoạt
động.
Lệnh hiển thị bảo mật cổng xác nhận các thay đổi.
Sử dụng lệnh Lão hóa an ninh cổng chuyển mạch để bật hoặc tắt aging tĩnh cho
cổng bảo mật hoặc để đặt thời gian hoặc loại aging.
Ví dụ cho thấy một quản trị viên thay đổi vi phạm bảo mật thành hạn chế.

Đầu ra của lệnh giao diện an ninh cổng hiển thị xác nhận rằng thay đổi đã được
thực hiện.
Trong ví dụ, lệnh giao diện hiển thị xác định trạng thái cổng là sai lệch. Đầu ra của
lệnh giao diện an ninh cổng hiển thị hiện hiển thị trạng thái cổng là an toàn-
shutdown. Vi phạm bảo mật tăng lên 1.
Quản trị viên nên xác định nguyên nhân gây ra vi phạm bảo mật nếu một thiết bị
trái phép được kết nối với một cổng an toàn, mối đe dọa bảo mật sẽ bị loại bỏ
trước khi kích hoạt lại cổng.
Để kích hoạt lại cổng, trước tiên hãy sử dụng lệnh tắt máy, sau đó, sử dụng lệnh
không tắt.

Ví dụ chỉ ra rằng tất cả 24 giao diện được cấu hình với lệnh Port-Security-Security
vì mức tối đa được phép là 1 và chế độ vi phạm được tắt.
Do đó, không có thiết bị nào được kết nối, CurrentADDR (đếm) là 0 cho mỗi giao
diện.
Sử dụng lệnh Hiển thị giao diện giao diện Port-Security để xem chi tiết cho một
giao diện cụ thể, như được hiển thị trước đây và trong ví dụ này.

Để xác minh rằng các địa chỉ MAC đang gắn bó với cấu hình, hãy sử dụng lệnh
chạy chương trình như trong ví dụ cho FastEthernet 0/19.
 Để hiển thị tất cả các địa chỉ MAC an toàn được cấu hình thủ công hoặc học động
trên tất cả các giao diện chuyển đổi, hãy sử dụng lệnh địa chỉ bảo mật cổng hiển
thị như trong ví dụ.

Packet Tracer - Thực hiện bảo mật cổng

Trong gói theo dõi gói này, bạn sẽ hoàn thành các mục tiêu sau:
Phần 1: Định cấu hình bảo mật cổng
Phần 2: Xác minh bảo mật cổng
2. Các giải pháp giảm thiểu tấn công VLAN (11.2)

Sử dụng các bước sau để giảm thiểu các cuộc tấn công nhảy Vlan:
Bước 1: Vô hiệu hóa các cuộc đàm phán DTP (tự động trunking) trên các cổng
không theo dõi bằng cách sử dụng lệnh cấu hình giao diện truy cập chế độ
Switchport.
 Bước 2: Vô hiệu hóa các cổng không sử dụng và đặt chúng vào một Vlan không
sử dụng.
Bước 3: Kích hoạt thủ công liên kết trung kế trên cổng trung kế bằng cách sử dụng
lệnh Trunk Chế độ Switchport.
Bước 4: Vô hiệu hóa các cuộc đàm phán DTP (tự động trunking) trên các cổng
trung kế bằng cách sử dụng lệnh chuyển mạch không có gì.
Bước 5: Đặt Vlan gốc thành Vlan khác với Vlan 1 bằng cách sử dụng lệnh Vlan
Vlan_Number gốc của Trunk Trunk.
3. Các giải pháp giảm thiểu tấn công DHCP (11.3)

Sử dụng các bước sau để kích hoạt DHCP Snooping:

Bước 1. Bật DHCP Snooping bằng cách sử dụng lệnh IP DHCP Snooping Global
Cấu hình toàn cầu.
Bước 2. Trên các cổng đáng tin cậy, hãy sử dụng lệnh cấu hình giao diện tin cậy
IP DHCP.
Bước 3: Trên các giao diện không tin cậy, giới hạn số lượng thông báo khám phá
DHCP có thể nhận được bằng cách sử dụng lệnh Cấu hình giao diện giới hạn IP
DHCP Snooping-Per-second.
Bước 4. Bật DHCP Snooping bởi Vlan hoặc bằng một loạt các Vlan, bằng cách sử
dụng lệnh cấu hình toàn cầu IP DHCP Snooping Vlan.
4. Các giải pháp giảm thiểu tấn công ARP (11.4)
Kiểm tra ARP động
Trong một cuộc tấn công ARP điển hình, một diễn viên đe dọa có thể gửi các câu
trả lời ARP không mong muốn cho các máy chủ khác trên mạng con với địa chỉ
MAC của diễn viên đe dọa và địa chỉ IP của cổng mặc định. Để ngăn chặn giả
mạo ARP và ngộ độc ARP kết quả, một công tắc phải đảm bảo rằng chỉ các yêu
cầu và trả lời ARP hợp lệ được chuyển tiếp.

Kiểm tra ARP động (DAI) yêu cầu DHCP rình mò và giúp ngăn chặn các cuộc tấn
công ARP bằng cách:
Không chuyển tiếp ARP không hợp lệ hoặc vô cớ trả lời các cổng khác trong cùng
một Vlan.
Chặn tất cả các yêu cầu ARP và trả lời trên các cổng không tin cậy.
Xác minh từng gói bị chặn cho ràng buộc IP-to-MAC hợp lệ.
Thả và ghi nhật ký trả lời ARP đến từ không hợp lệ để ngăn ngừa ngộ độc ARP.
Xử lý lỗi giao diện nếu vượt quá số lượng DAI được định cấu hình của các gói
ARP.

Hướng dẫn thực hiện DAI

Ví dụ cấu hình DAI
DHCP Snooping được bật vì DAI yêu cầu bảng ràng buộc rình mò DHCP để vận
hành.
Tiếp theo, DHCP Snooping và ARP kiểm tra được bật cho PCS trên VLAN10.
Cổng đường lên đến bộ định tuyến được tin cậy, và do đó, được cấu hình là đáng
tin cậy cho việc kiểm tra Snooping và ARP của DHCP.
DAI cũng có thể được cấu hình để kiểm tra cả địa chỉ Mac và IP nguồn hoặc
nguồn:
Destination Mac - Kiểm tra địa chỉ MAC đích trong tiêu đề Ethernet đối với địa
chỉ MAC đích trong thân ARP.
Nguồn MAC - Kiểm tra địa chỉ MAC nguồn trong tiêu đề Ethernet đối với địa chỉ
MAC của người gửi trong phần thân ARP.
Địa chỉ IP - Kiểm tra phần thân ARP cho các địa chỉ IP không hợp lệ và bất ngờ
bao gồm địa chỉ 0,0.0.0, 255.255.255.255 và tất cả các địa chỉ phát đa hướng IP.
Xác nhận kiểm tra IP ARP {[SRC-MAC] [DST-MAC] [IP]} Lệnh cấu hình toàn
cầu được sử dụng để định cấu hình DAI để thả các gói ARP khi địa chỉ IP không
hợp lệ.
Nó có thể được sử dụng khi các địa chỉ MAC trong phần thân của các gói ARP
không khớp với các địa chỉ được chỉ định trong tiêu đề Ethernet.
Lưu ý trong ví dụ sau đây chỉ có một lệnh có thể được cấu hình.
Do đó, nhập nhiều lệnh kiểm tra IP ARP xác nhận các lệnh ghi đè lên lệnh trước
đó.
Để bao gồm nhiều hơn một phương thức xác thực, hãy nhập chúng trên cùng một
dòng lệnh như được hiển thị trong đầu ra.
5. Các giải pháp giảm thiểu tấn công STP (11.2)

Giảm thiểu các cuộc tấn công STP

Người bảo vệ Portfast và BPDU
Hãy nhớ lại rằng những kẻ tấn công mạng có thể điều khiển giao thức cây bao
trùm (STP) để tiến hành một cuộc tấn công bằng cách giả mạo cây cầu gốc và
thay đổi cấu trúc liên kết của một mạng.
Để giảm thiểu các cuộc tấn công STP, hãy sử dụng Đơn vị dữ liệu giao thức
Portfast và Bridge (BPDU) Guard:
Portfast
Portfast ngay lập tức đưa một cổng đến trạng thái chuyển tiếp từ trạng thái chặn,
bỏ qua các trạng thái lắng nghe và học tập.
Áp dụng cho tất cả các cổng truy cập người dùng cuối.

Bảo vệ BPDU
BPDU Guard Lỗi ngay lập tức vô hiệu hóa một cổng nhận BPDU.
Giống như Portfast, BPDU Guard chỉ nên được cấu hình trên các giao diện được
gắn vào các thiết bị kết thúc.

Định cấu hình Portfast

Portfast bỏ qua trạng thái nghe và học STP để giảm thiểu thời gian các cổng truy
cập phải chờ STP hội tụ.
Chỉ bật Portfast trên các cổng truy cập.
Portfast trên các liên kết chuyển đổi Inter có thể tạo vòng lặp chee.
Portfast có thể được bật:
Trên một giao diện-sử dụng lệnh cấu hình giao diện portfast của cây.
Trên toàn cầu-Sử dụng lệnh Cấu hình toàn cầu mặc định Portfast của cây để bật
Portfast trên tất cả các cổng truy cập.
Để xác minh xem Portfast có được bật trên toàn cầu không, bạn có thể sử dụng:
Hiển thị Running-Config | Bắt đầu lệnh span
Hiển thị lệnh Tóm tắt Tree SPANNING

Để xác minh xem Portfast có được bật giao diện hay không, hãy sử dụng lệnh
Hiển thị loại/số giao diện-config.

Lệnh loại chi tiết/giao diện của Tree Show Tree cũng có thể được sử dụng để xác
minh.
Một cổng truy cập có thể vô tình nhận được một BPDU bất ngờ hoặc do người
dùng kết nối một công tắc trái phép với cổng truy cập.
Nếu nhận BPDU được nhận trên cổng truy cập BPDU Guard, cổng sẽ được đưa
vào trạng thái bị lỗi.
Điều này có nghĩa là cổng bị tắt và phải được kích hoạt lại theo cách thủ công
hoặc tự động được phục hồi thông qua lệnh phục hồi có thể sử dụng được khiến
PSECURE_VIOLATION Lệnh toàn cầu.
BPDU Guard có thể được bật:
Trên giao diện-Sử dụng lệnh Cấu hình giao diện BPDuguard BPDuguard.
Trên toàn cầu-Sử dụng lệnh cấu hình toàn cầu mặc định BPDuguard toàn cầu để
bật BPDU Guard trên tất cả các cổng truy cập.
M12
1. Lợi ích, các dạng (phân loại), các công nghệ, các chuẩn hóa trong mạng không dây
(12.1)

- Lợi ích của không dây

LAN không dây (WLAN) là một loại mạng không dây thường được sử dụng trong
nhà, văn phòng và môi trường trong khuôn viên trường.
WLAN làm cho khả năng di động có thể trong môi trường nhà và kinh doanh.
Cơ sở hạ tầng không dây thích ứng với nhu cầu và công nghệ thay đổi nhanh
chóng.
- Các loại mạng không dây
Mạng lưới khu vực cá nhân không dây (WPAN)-Công suất thấp và phạm vi ngắn
(20-30ft hoặc 6-9 mét). Dựa trên tiêu chuẩn IEEE 802.15 và tần số 2,4 GHz.
Bluetooth và Zigbee là các ví dụ WPAN.
LAN không dây (WLAN) - Mạng có kích thước trung bình lên tới khoảng 300
feet. Dựa trên tiêu chuẩn IEEE 802.11 và tần số 2,4 hoặc 5,0 GHz.
Người đàn ông không dây (WMAN) - Khu vực địa lý lớn như thành phố hoặc
quận. Sử dụng tần số được cấp phép cụ thể.
WIRELESS WAN (WWAN) - Khu vực địa lý rộng lớn cho giao tiếp quốc gia
hoặc toàn cầu. Sử dụng tần số được cấp phép cụ thể.
- Công nghệ không dây
Bluetooth - Tiêu chuẩn WPAN của IEEE được sử dụng để ghép nối thiết bị ở
khoảng cách lên tới 300ft (100m).
Bluetooth Low Energy (BLE) - Hỗ trợ cấu trúc liên kết lưới với các thiết bị mạng
quy mô lớn.
Tỷ lệ cơ bản của Bluetooth/Tốc độ nâng cao (BR/EDR)-Hỗ trợ các cấu trúc liên
kết điểm-điểm và được tối ưu hóa cho truyền phát âm thanh.
WIMAX (Khả năng tương tác trên toàn thế giới để truy cập lò vi sóng) - Các kết
nối Internet có dây băng thông rộng thay thế. Tiêu chuẩn WLAN của IEEE 802.16
cho tăng 30 dặm (50 km).
Băng thông rộng di động - Mang cả giọng nói và dữ liệu. Được sử dụng bởi điện
thoại, ô tô, máy tính bảng và máy tính xách tay.
Hệ thống di động toàn cầu (GSM) - được quốc tế công nhận
Bộ phận Code Truy cập nhiều (CDMA) - chủ yếu được sử dụng trên Hoa Kỳ.
Băng thông rộng vệ tinh - Sử dụng đĩa vệ tinh định hướng phù hợp với vệ tinh
trong quỹ đạo địa tĩnh. Cần dòng rõ ràng của trang web. Thông thường được sử
dụng ở các vị trí nông thôn nơi cáp và DSL không khả dụng.
- Các tiêu chuẩn WLAN 802.11 Xác định cách sử dụng tần số vô tuyến cho các
liên kết không dây.
IEEE tiêu chuẩn Tần số Mô tả
802.11 2.4GHz Tốc độ dữ liệu lên
tới 2 MB/s

802.11a 5 GHz Tốc độ dữ liệu lên

tới 54 MB/s
Không thể tương
tác với 802.11b
hoặc 802.11g

802.11b 2.4 GHz Tốc độ dữ liệu lên

tới 11 MB/s
Phạm vi dài hơn
802.11a và có khả
năng xâm nhập
tốt hơn các cấu
trúc tòa nhà
 802.11g 2.4 GHz Tốc độ dữ liệu lên
tới 54 MB/s
Tương thích
ngược với
802.11b

802.11n 2.4 and 5GHz Tốc độ dữ liệu

150 - 600 MB/s
Yêu cầu nhiều
ăng -ten với công
nghệ MIMO

802.11ac 5GHz Tốc độ dữ liệu

450 MB/s - 1,3
GB/s
Hỗ trợ tối đa tám
ăng -ten

802.11ax 2.4 and 5GHz Không dây hiệu

quả cao (HEW)
Có khả năng sử dụng tần
số 1 GHz và 7 GHz

2. Các thành phần WLAN  (12.2)

Ăng ten
Thiết bị thu nhận tín hiệu mạng không dây
Cổng Internet
Điểm truy cập không dây
Điểm truy cập dựa trên tự trị và bộ điều khiển
3. Trình bày hoạt động WLAN (12.3)
Chế độ cơ sở hạ tầng: Được sử dụng để kết nối máy khách với mạng bằng AP.
Chế độ ad hoc: Được sử dụng để kết nối máy khách theo cách ngang hàng mà
không cần AP.
Tethering - Biến thể của cấu trúc liên kết ad hoc là khi điện thoại thông minh hoặc
máy tính bảng có truy cập dữ liệu di động được bật để tạo điểm phát sóng cá
nhân.Bộ dịch vụ cơ bản (BSS):
Sử dụng AP đơn để kết nối tất cả các máy khách không dây liên quan.
Khách hàng trong các BSS khác nhau không thể giao tiếp.
Bộ dịch vụ mở rộng (ESS):
Một liên minh gồm hai hoặc nhiều BSS được kết nối với nhau bởi một hệ thống
phân phối có dây.
Khách hàng trong mỗi BSS có thể liên lạc thông qua ESS.

Cấu trúc khung 802.11

CSMA/CA:
WLAN là một nửa song công và một khách hàng không thể nghe thấy được trong
khi nó đang gửi, khiến không thể phát hiện ra một vụ va chạm.
WLAN sử dụng nhiều người vận chuyển cảm nhận quyền truy cập nhiều với
Tránh va chạm (CSMA/CA) để xác định cách thức và thời điểm gửi dữ liệu. Một
máy khách không dây làm như sau:
Lắng nghe kênh để xem nó có nhàn rỗi không, tức là không có lưu lượng truy cập
nào khác hiện tại trên kênh.
Gửi tin nhắn Sẵn sàng để gửi (RTS) AP yêu cầu truy cập chuyên dụng vào mạng.
Nhận được thông báo rõ ràng để gửi (CTS) từ AP cấp quyền truy cập để gửi.
Chờ một khoảng thời gian ngẫu nhiên trước khi khởi động lại quy trình nếu không
nhận được tin nhắn CTS.
Truyền dữ liệu.
Thừa nhận tất cả các truyền. Nếu một máy khách không dây không nhận được xác
nhận, nó sẽ giả định một vụ va chạm đã xảy ra và khởi động lại quy trình
Wireless Client and AP Association:
Để các thiết bị không dây giao tiếp qua mạng, trước tiên họ phải liên kết với bộ
định tuyến AP hoặc không dây.
Thiết bị không dây hoàn thành quá trình ba giai đoạn sau:
Khám phá AP không dây
Xác thực với AP
Liên kết với AP
Để đạt được sự liên kết thành công, một ứng dụng khách không dây và AP phải
đồng ý về các tham số cụ thể:
SSID - Khách hàng cần biết tên của mạng để kết nối.
Mật khẩu - Điều này là bắt buộc để khách hàng xác thực với AP.
 Chế độ mạng - Tiêu chuẩn 802.11 đang được sử dụng.
Chế độ bảo mật - Cài đặt tham số bảo mật, tức là WEP, WPA hoặc WPA2.
Cài đặt kênh - Các dải tần được sử dụng.

Chế độ phân phối thụ động và chủ động:

Máy khách không dây kết nối với AP bằng quy trình quét thụ động hoặc hoạt động
(thăm dò).
Chế độ thụ động - AP công khai quảng cáo dịch vụ của mình bằng cách gửi định
kỳ các khung đèn hiệu phát sóng chứa SSID, các tiêu chuẩn được hỗ trợ và cài đặt
bảo mật.
Chế độ hoạt động - Máy khách không dây phải biết tên của SSID. Máy khách
không dây bắt đầu quá trình bằng cách phát một khung yêu cầu thăm dò trên nhiều
kênh.

4. Trình bày hoạt động CAPWAP (12.4)

Kiểm soát và cung cấp chức năng Điểm truy cập không dây (CAPWAP):
CAPWAP là giao thức tiêu chuẩn của IEEE cho phép WLC quản lý nhiều AP và
WLAN.
Dựa trên LWAPP nhưng thêm bảo mật bổ sung với bảo mật lớp vận chuyển
Datagram (DLTs).
Đóng gói và chuyển tiếp lưu lượng máy khách WLAN giữa AP và WLC trên các
đường hầm bằng các cổng UDP 5246 và 5247.
Hoạt động trên cả IPv4 và IPv6. IPv4 sử dụng giao thức IP 17 và IPv6 sử dụng
giao thức IP 136.
Kiến trúc kiểm soát truy cập phương tiện truyền thông (MAC): Khái niệm MAC
chia CAPWAP thực hiện tất cả các chức năng thường được thực hiện bởi các AP
riêng lẻ và phân phối chúng giữa hai thành phần chức năng:
+ Chức năng AP Mac
+ Hàm WLC MAC
Mã hóa DTLS: DTLS cung cấp bảo mật giữa AP và WLC.
Nó được bật theo mặc định để bảo mật kênh điều khiển CAPWAP và mã hóa tất
cả lưu lượng quản lý và kiểm soát lưu lượng giữa AP và WLC.
Mã hóa dữ liệu bị vô hiệu hóa theo mặc định và yêu cầu giấy phép DTLS được cài
đặt trên WLC trước khi nó có thể được bật trên AP.
AP Flex Connect: FlexConnect cho phép cấu hình và điều khiển APS qua liên kết
WAN.
Có hai chế độ tùy chọn cho FlexConnect AP:
Chế độ được kết nối - WLC có thể truy cập được. FlexConnect AP có kết nối
CAPWAP với WLC thông qua đường hầm CAPWAP. WLC thực hiện tất cả các
chức năng CAPWAP.
Chế độ độc lập - WLC không thể truy cập được. FlexConnect AP đã mất kết nối
CAPWAP với WLC. AP FlexConnect có thể giả định một số chức năng WLC như
 chuyển đổi lưu lượng truy cập dữ liệu khách hàng cục bộ và thực hiện xác thực
máy khách cục bộ.
5. Các mối đe dọa WLAN (12.6)

- Đánh chặn dữ liệu

- Những kẻ xâm nhập không dây
- Từ chối các cuộc tấn công của dịch vụ (DOS): Các cuộc tấn công DOS không
dây có thể là kết quả của những điều sau đây:
Thiết bị cấu hình không đúng cách
Một người dùng độc hại cố tình can thiệp vào giao tiếp không dây
Sự can thiệp tình cờ
Để giảm thiểu rủi ro tấn công dos do các thiết bị được cấu hình không đúng và
các cuộc tấn công độc hại, làm cứng tất cả các thiết bị, giữ an toàn cho mật
khẩu, tạo bản sao lưu và đảm bảo rằng tất cả các thay đổi cấu hình được kết
hợp ngoài giờ.
- Rogue Aps
6. Các giải pháp bảo vệ WLANs (12.7)
- SSID che giấu: AP và một số bộ định tuyến không dây cho phép khung Beacon
SSID bị vô hiệu hóa. Máy khách không dây phải được cấu hình thủ công với
SSID để kết nối với mạng.
- Lọc địa chỉ MAC: Quản trị viên có thể cho phép thủ công hoặc từ chối truy cập
không dây của khách hàng dựa trên địa chỉ phần cứng MAC vật lý của họ.
Trong hình, bộ định tuyến được cấu hình để cho phép hai địa chỉ MAC. Các
thiết bị có địa chỉ MAC khác nhau sẽ không thể tham gia WLAN 2.4GHz.
- Hệ thống xác thực và mã hóa (xác thực mở và xác thực chính được chia sẻ):
Xác thực hệ thống mở
Không cần mật khẩu. Thường được sử dụng để cung cấp truy cập internet miễn
phí trong các khu vực công cộng như quán cà phê, sân bay và khách sạn.
Khách hàng có trách nhiệm cung cấp bảo mật như thông qua VPN.
Chia sẻ xác thực chính
Cung cấp các cơ chế, chẳng hạn như WEP, WPA, WPA2 và WPA3 để xác thực và
mã hóa dữ liệu giữa máy khách không dây và AP. Tuy nhiên, mật khẩu phải được
chia sẻ trước giữa cả hai bên để kết nối.
M13
1. Mô tả cấu hình truy cập từ xa Site WLAN (13.1)
Sử dụng trang web của bộ định tuyến không dây
Thay đổi mật khẩu
Thay đổi cài đặt WAN và LAN
Kết nối mạng không dây
2. Mô tả cấu hình WLAN trên WLC (13.2)
Xem lại cấu trúc liên kết
Truy cập GUI cho bộ điều khiển WLAN
Thông tin về mạng không dây trên màn hình tóm tắt mạng
Định cấu hình WLAN mới
Bảo mật WLAN mới
3. Mô tả cấu hình WPA2 Enterprise WLAN trên WLC (13.3)
Định cấu hình bộ điều khiển WLAN để gửi bẫy SNMP đến máy chủ bên ngoài
Định cấu hình bộ điều khiển WLAN để sử dụng máy chủ RADIUS bên ngoài để
xác thực người dùng WLAN
Xác minh kết nối với máy chủ RADIUS
- Định cấu hình WLAN mới trên WLC bao gồm các bước sau:
Tạo một WLAN mới.
Cấu hình tên WLAN và SSID.
Kích hoạt WLAN cho Vlan 5.
Xác minh mặc định AES và 802.1x.
Định cấu hình bảo mật WLAN để sử dụng máy chủ RADIUS.
Xác minh WLAN mới có sẵn.
4. Xử lý sự cố trên WLAN (13.4)
Bước Title Mô tả
1 Xác định vấn đề Bước đầu tiên trong quá
trình khắc phục sự cố là
xác định vấn đề. Mặc dù
các công cụ có thể được
sử dụng trong bước này,
một cuộc trò chuyện với
người dùng thường rất
hữu ích.
2 Thiết lập một lý thuyết về các nguyên nhân Sau khi bạn đã nói
có thể xảy ra chuyện với người dùng
và xác định vấn đề, bạn
có thể thử và thiết lập
một lý thuyết về các
nguyên nhân có thể xảy
ra. Bước này thường
mang lại nhiều hơn một
vài nguyên nhân có thể
xảy ra cho vấn đề.

3 Kiểm tra lý thuyết để xác định nguyên nhân Dựa trên các nguyên
 nhân có thể xảy ra, hãy
kiểm tra lý thuyết của
bạn để xác định cái nào
là nguyên nhân của vấn
đề. Một kỹ thuật viên
thường sẽ áp dụng một
quy trình nhanh chóng
để kiểm tra và xem liệu
nó có giải quyết được
vấn đề không. Nếu một
thủ tục nhanh chóng
không khắc phục được
vấn đề, bạn có thể cần
nghiên cứu thêm vấn đề
để thiết lập nguyên nhân
chính xác.

4 Thiết lập một kế hoạch hành động để giải Sau khi bạn đã xác định
quyết vấn đề và thực hiện giải pháp nguyên nhân chính xác
của vấn đề, hãy thiết lập
một kế hoạch hành động
để giải quyết vấn đề và
thực hiện giải pháp.

5 Xác minh chức năng hệ thống đầy đủ và thực Sau khi bạn đã sửa chữa
hiện các biện pháp phòng ngừa vấn đề, xác minh chức
năng đầy đủ và, nếu có
thể, hãy thực hiện các
biện pháp phòng ngừa.

6 Kết quả, hành động và kết quả tài liệu Trong bước cuối cùng
của quá trình khắc phục
sự cố, ghi lại những phát
hiện, hành động và kết
quả của bạn. Điều này
rất quan trọng để tham
khảo trong tương lai.

- Khắc phục sự cố WLAN

Máy khách không dây không kết nối
Nếu không có kết nối, hãy kiểm tra các mục sau:
Xác nhận cấu hình mạng trên PC bằng lệnh ipconfig.
Xác nhận rằng thiết bị có thể kết nối với mạng có dây. Ping một địa chỉ IP đã biết.
Nếu cần, tải lại trình điều khiển khi thích hợp cho máy khách hoặc thử một NIC
không dây khác.
Nếu NIC không dây của máy khách đang hoạt động, hãy kiểm tra chế độ bảo mật
và cài đặt mã hóa trên máy khách.

Nếu PC hoạt động nhưng kết nối không dây hoạt động kém, hãy kiểm tra các mục
sau:
PC có phải là khu vực bảo hiểm theo kế hoạch (BSA) không?
Kiểm tra cài đặt kênh trên máy khách không dây.
Kiểm tra nhiễu với dải 2,4 GHz.
Tiếp theo, đảm bảo rằng tất cả các thiết bị thực sự được đưa ra.
Xem xét một vấn đề bảo mật vật lý có thể.
Có sức mạnh cho tất cả các thiết bị và chúng có được cung cấp năng lượng không?

Cuối cùng, kiểm tra các liên kết giữa các thiết bị có lỗi đang tìm kiếm các đầu nối
xấu hoặc cáp bị hỏng hoặc bị thiếu.
Nếu nhà máy vật lý được đặt đúng chỗ, hãy xác minh mạng LAN có dây bằng
cách ping thiết bị, bao gồm cả AP.
Nếu kết nối vẫn thất bại vào thời điểm này, có lẽ có điều gì đó không ổn với AP
hoặc cấu hình của nó.
Khi PC người dùng bị loại bỏ là nguồn gốc của vấn đề và trạng thái vật lý của các
thiết bị được xác nhận, hãy bắt đầu điều tra hiệu suất của AP.
Kiểm tra trạng thái nguồn của AP.
- Khắc phục sự cố khi mạng chậm
Để tối ưu hóa và tăng băng thông của các bộ định tuyến và AP băng tần kép
802.11, một trong hai:
 Nâng cấp các máy khách không dây của bạn - các thiết bị cũ hơn 802.11b, 802.11g
và thậm chí 802.11n có thể làm chậm toàn bộ WLAN. Đối với hiệu suất tốt nhất,
tất cả các thiết bị không dây phải hỗ trợ tiêu chuẩn cao nhất được chấp nhận nhất.
Chia lưu lượng truy cập - Cách dễ nhất để cải thiện hiệu suất không dây là phân
chia lưu lượng không dây giữa băng tần 802.11n 2,4 GHz và băng tần 5 GHz. Do
đó, 802.11n (hoặc tốt hơn) có thể sử dụng hai dải làm hai mạng không dây riêng
biệt để giúp quản lý lưu lượng.

Có một số lý do cho việc sử dụng phương pháp phân chia giao thông:
Ban nhạc 2,4 GHz có thể phù hợp với lưu lượng truy cập internet cơ bản không
nhạy cảm với thời gian.
Băng thông vẫn có thể được chia sẻ với các WLAN gần đó.
Ban nhạc 5 GHz ít đông đúc hơn nhiều so với băng tần 2,4 GHz; Lý tưởng để phát
trực tuyến đa phương tiện.
Ban nhạc 5 GHz có nhiều kênh hơn; Do đó, kênh được chọn có khả năng không
nhiễu.
Theo mặc định, các bộ định tuyến và AP băng tần kép sử dụng cùng tên mạng trên
cả dải 2,4 GHz và băng tần 5 GHz.
Nó có thể hữu ích để phân đoạn lưu lượng truy cập.
Cách đơn giản nhất để phân khúc lưu lượng là đổi tên một trong các mạng không
dây.
Để cải thiện phạm vi của mạng không dây, hãy đảm bảo bộ định tuyến không dây
hoặc vị trí AP không có vật cản, như đồ nội thất, đồ đạc và thiết bị cao.
Chúng chặn tín hiệu, rút ngắn phạm vi của WLAN.
Nếu điều này vẫn không giải quyết được vấn đề, thì có thể sử dụng bộ mở rộng
phạm vi Wi-Fi hoặc triển khai công nghệ không dây Powerline có thể được sử
dụng.
- Cập nhật chương trình
M14
1. Trình bày khái niệm Path Determination (tìm đường) (14.1)
Hai chức năng của bộ định tuyến
Khi một bộ định tuyến nhận được gói IP trên một giao diện, nó sẽ xác định giao
diện nào sẽ sử dụng để chuyển tiếp gói đến đích. Điều này được gọi là định tuyến.
Giao diện mà bộ định tuyến sử dụng để chuyển tiếp gói có thể là đích đến cuối
cùng hoặc nó có thể là một mạng được kết nối với một bộ định tuyến khác được sử
dụng để tiếp cận mạng đích. Mỗi mạng mà một bộ định tuyến kết nối với thường
yêu cầu một giao diện riêng biệt, nhưng điều này có thể không phải lúc nào cũng
như vậy.

Các chức năng chính của bộ định tuyến là xác định đường dẫn tốt nhất để chuyển
tiếp các gói dựa trên thông tin trong bảng định tuyến của nó và chuyển tiếp các
gói về phía đích đến của chúng.

Đường dẫn tốt nhất bằng với trận đấu dài nhất
Đường dẫn tốt nhất trong bảng định tuyến còn được gọi là trận đấu dài nhất.
Bảng định tuyến chứa các mục nhập tuyến bao gồm tiền tố (địa chỉ mạng) và độ
dài tiền tố. Để có một sự phù hợp giữa địa chỉ IP đích của gói và tuyến trong bảng
định tuyến, số lượng tối thiểu của các bit xa phải phải khớp giữa địa chỉ IP của gói
và tuyến trong bảng định tuyến. Độ dài tiền tố của tuyến trong bảng định tuyến
được sử dụng để xác định số lượng tối thiểu của các bit xa trái phải khớp.
Trận đấu dài nhất là tuyến đường trong bảng định tuyến có số lượng lớn nhất các
bit phù hợp bên trái với địa chỉ IP đích của gói. Trận đấu dài nhất luôn là con
đường ưa thích.

Lưu ý: Độ dài tiền tố thuật ngữ sẽ được sử dụng để chỉ phần mạng của cả địa chỉ
IPv4 và IPv6.
Xây dựng bảng định tuyến
Các mạng được kết nối trực tiếp: Được thêm vào bảng định tuyến khi giao diện
cục bộ được cấu hình với địa chỉ IP và mặt nạ mạng con (độ dài tiền tố) và được
kích hoạt (lên và lên).

Mạng từ xa: Các mạng không được kết nối trực tiếp với bộ định tuyến. Bộ định
tuyến tìm hiểu về các mạng từ xa theo hai cách:
Các tuyến tĩnh - được thêm vào bảng định tuyến khi một tuyến đường được cấu
hình thủ công.
Các giao thức định tuyến động - được thêm vào bảng định tuyến khi các giao thức
định tuyến tìm hiểu linh hoạt về mạng từ xa.

Tuyến mặc định: Chỉ định bộ định tuyến tiếp theo để sử dụng khi bảng định tuyến
không chứa một tuyến đường cụ thể phù hợp với địa chỉ IP đích. Tuyến mặc định
có thể được nhập thủ công dưới dạng tuyến tĩnh hoặc học tự động từ một giao thức
định tuyến động.
Một tuyến đường mặc định có độ dài tiền tố A /0. Điều này có nghĩa là không cần
phải khớp địa chỉ IP đích cho mục nhập tuyến này được sử dụng. Nếu không có
 tuyến đường có khớp dài hơn 0 bit, tuyến mặc định được sử dụng để chuyển tiếp
gói. Tuyến đường mặc định đôi khi được gọi là một cửa ngõ của cuối cùng.
2. Trình bày bảng IP Routing (14.4)
Nguồn tuyến đường
Một bảng định tuyến chứa một danh sách các tuyến đường đến các mạng đã biết
(tiền tố và độ dài tiền tố). Nguồn của thông tin này có nguồn gốc từ những điều
sau:
Các mạng được kết nối trực tiếp
Tuyến tĩnh
Giao thức định tuyến động

Nguồn cho mỗi tuyến trong bảng định tuyến được xác định bởi một mã. Mã chung
bao gồm các mã sau:
L - Xác định địa chỉ được gán cho giao diện bộ định tuyến.
C - Xác định một mạng được kết nối trực tiếp.
S - Xác định một tuyến tĩnh được tạo để tiếp cận một mạng cụ thể.
O - Xác định một mạng được học động từ một bộ định tuyến khác bằng giao thức
định tuyến OSPF.
* - Tuyến đường này là một ứng cử viên cho một tuyến đường mặc định.
Mục nhập bảng định tuyến
Trong hình, các số xác định các thông tin sau:
Nguồn tuyến đường - Điều này xác định cách học tuyến đường.
Mạng đích (tiền tố và độ dài tiền tố) - Điều này xác định địa chỉ của mạng từ xa.
Khoảng cách hành chính - Điều này xác định độ tin cậy của nguồn tuyến đường.
Giá trị thấp hơn cho thấy nguồn tuyến ưa thích.
Số liệu - Điều này xác định giá trị được gán để tiếp cận mạng từ xa. Giá trị thấp
hơn cho thấy các tuyến đường ưa thích.
Tiếp theo - Điều này xác định địa chỉ IP của bộ định tuyến tiếp theo mà gói sẽ
được chuyển tiếp.
Route Timestamp - Điều này xác định thời gian đã trôi qua kể từ khi tuyến đường
được học.
Giao diện thoát - Điều này xác định giao diện ra để sử dụng cho các gói đi để đến
đích cuối cùng.
Các mạng được kết nối trực tiếp
Để tìm hiểu về bất kỳ mạng từ xa nào, bộ định tuyến phải có ít nhất một giao diện
hoạt động được cấu hình với địa chỉ IP và mặt nạ mạng con (độ dài tiền tố). Điều
này được gọi là một mạng được kết nối trực tiếp hoặc một tuyến đường được kết
nối trực tiếp. Bộ định tuyến thêm một tuyến đường được kết nối trực tiếp vào bảng
định tuyến của nó khi một giao diện được cấu hình với địa chỉ IP và được kích
hoạt.
Một mạng được kết nối trực tiếp được biểu thị bằng mã trạng thái của C trong
bảng định tuyến. Tuyến đường chứa tiền tố mạng và độ dài tiền tố.
Bảng định tuyến cũng chứa một tuyến cục bộ cho mỗi mạng được kết nối trực tiếp,
được biểu thị bằng mã trạng thái của L.
Đối với các tuyến cục bộ IPv4, độ dài tiền tố là /32 và đối với các tuyến cục bộ
IPv6, độ dài tiền tố là /128. Điều này có nghĩa là địa chỉ IP đích của gói phải khớp
với tất cả các bit trong tuyến cục bộ để tuyến đường này là một trận đấu. Mục đích
của tuyến đường cục bộ là xác định hiệu quả khi nào nó nhận được một gói cho
giao diện thay vì một gói cần được chuyển tiếp.
Tuyến tĩnh
Sau khi các giao diện được kết nối trực tiếp được cấu hình và thêm vào bảng định
tuyến, định tuyến tĩnh hoặc động có thể được triển khai để truy cập các mạng từ
xa. Các tuyến tĩnh được cấu hình thủ công. Họ xác định một đường dẫn rõ ràng
giữa hai thiết bị kết nối mạng. Chúng không được cập nhật tự động và phải được
cấu hình lại theo cách thủ công nếu cấu trúc liên kết mạng thay đổi.

Định tuyến tĩnh có ba cách sử dụng chính:

Nó cung cấp dễ dàng bảo trì bảng định tuyến trong các mạng nhỏ hơn dự kiến sẽ
phát triển đáng kể.
Nó sử dụng một tuyến mặc định duy nhất để biểu thị một đường dẫn đến bất kỳ
mạng nào không có khớp cụ thể hơn với một tuyến đường khác trong bảng định
tuyến. Các tuyến mặc định được sử dụng để gửi lưu lượng đến bất kỳ điểm đến
nào ngoài bộ định tuyến ngược dòng tiếp theo.
Nó định tuyến đến và từ các mạng lưới cuống. Mạng STUB là một mạng được
truy cập bởi một tuyến đường duy nhất và bộ định tuyến chỉ có một người hàng
xóm.
Các tuyến tĩnh trong bảng định tuyến IP
Cấu trúc liên kết trong hình được đơn giản hóa để chỉ hiển thị một mạng LAN
được gắn vào mỗi bộ định tuyến. Hình này cho thấy các tuyến tĩnh IPv4 và IPv6
được cấu hình trên R1 để đạt đến 10.0.4.0/24 và 2001: DB8: ACAD: 4 ::/64 Mạng
trên R2.
Giao thức định tuyến động
Các giao thức định tuyến động được các bộ định tuyến sử dụng để tự động chia sẻ
thông tin về khả năng tiếp cận và trạng thái của các mạng từ xa. Các giao thức
định tuyến động thực hiện một số hoạt động, bao gồm khám phá mạng và duy trì
các bảng định tuyến.
Các tuyến đường động trong bảng định tuyến
OSPF hiện đang được sử dụng trong cấu trúc liên kết mẫu của chúng tôi để tự
động tìm hiểu tất cả các mạng được kết nối với R1 và R2. Các mục bảng định
tuyến sử dụng mã trạng thái của O để chỉ ra tuyến đường được học bằng giao thức
định tuyến OSPF. Cả hai mục cũng bao gồm địa chỉ IP của bộ định tuyến tiếp
theo, thông qua địa chỉ IP.
Lưu ý: Các giao thức định tuyến IPv6 Sử dụng địa chỉ liên kết-local của bộ định
tuyến tiếp theo.
Lưu ý: Cấu hình định tuyến OSPF cho IPv4 và IPv6 nằm ngoài phạm vi của khóa
học này.
Tuyến đường mặc định
Tuyến đường mặc định chỉ định một bộ định tuyến hop tiếp theo để sử dụng khi
bảng định tuyến không chứa một tuyến đường cụ thể phù hợp với địa chỉ IP đích.
Một tuyến đường mặc định có thể là một tuyến tĩnh hoặc học tự động từ một giao
thức định tuyến động. Một tuyến đường mặc định có mục nhập tuyến IPv4 là
0,0.0.0/0 hoặc mục nhập tuyến IPv6 của ::/0. Điều này có nghĩa là không hoặc
không có bit cần phải khớp giữa địa chỉ IP đích và tuyến mặc định.
Cấu trúc của bảng định tuyến IPv4
IPv4 đã được tiêu chuẩn hóa bằng cách sử dụng kiến trúc địa chỉ lớp đã lỗi thời.
Bảng định tuyến IPv4 được tổ chức bằng cách sử dụng cùng cấu trúc lớp này. Mặc
dù quá trình tra cứu không còn sử dụng các lớp, cấu trúc của bảng định tuyến IPv4
vẫn giữ được ở định dạng này.

Một mục được thụt vào được gọi là một tuyến đường trẻ em. Một mục nhập tuyến
được thụt vào nếu đó là mạng con của một địa chỉ lớp (mạng A, B hoặc C). Các
mạng được kết nối trực tiếp sẽ luôn được thụt vào (các tuyến đường con) vì địa chỉ
cục bộ của giao diện luôn được nhập vào bảng định tuyến dưới dạng A /32. Tuyến
đường trẻ em sẽ bao gồm nguồn tuyến đường và tất cả các thông tin chuyển tiếp
như địa chỉ hop tiếp theo. Địa chỉ mạng lớp của mạng con này sẽ được hiển thị
phía trên mục nhập tuyến đường, ít thụt vào và không có mã nguồn. Tuyến đường
đó được gọi là tuyến đường phụ huynh.
Cấu trúc của bảng định tuyến IPv4
Một mục được thụt vào được gọi là một tuyến đường trẻ em. Một mục nhập tuyến
được thụt vào nếu đó là mạng con của một địa chỉ lớp (mạng A, B hoặc C).
Các mạng được kết nối trực tiếp sẽ luôn được thụt vào (các tuyến đường con) vì
địa chỉ cục bộ của giao diện luôn được nhập vào bảng định tuyến dưới dạng A /32.
Tuyến đường trẻ em sẽ bao gồm nguồn tuyến đường và tất cả các thông tin chuyển
tiếp như địa chỉ hop tiếp theo.
Địa chỉ mạng lớp của mạng con này sẽ được hiển thị phía trên mục nhập tuyến
đường, ít thụt vào và không có mã nguồn. Tuyến đường đó được gọi là tuyến
đường phụ huynh.
Cấu trúc của bảng định tuyến IPv6
Khái niệm về địa chỉ lớp không bao giờ là một phần của IPv6, vì vậy cấu trúc của
bảng định tuyến IPv6 rất thẳng về phía trước. Mỗi mục nhập tuyến IPv6 được định
dạng và căn chỉnh theo cùng một cách.
Khoảng cách hành chính
Một mục nhập tuyến đường cho một địa chỉ mạng cụ thể (tiền tố và độ dài tiền tố)
chỉ có thể xuất hiện một lần trong bảng định tuyến. Tuy nhiên, có thể bảng định
tuyến tìm hiểu về cùng một địa chỉ mạng từ nhiều nguồn định tuyến. Ngoại trừ các
trường hợp rất cụ thể, chỉ nên thực hiện một giao thức định tuyến động trên bộ
 định tuyến. Mỗi giao thức định tuyến có thể quyết định một đường dẫn khác nhau
để đến đích dựa trên số liệu của giao thức định tuyến đó.

Điều này đặt ra một vài câu hỏi, chẳng hạn như sau:
Làm thế nào để bộ định tuyến biết nên sử dụng nguồn nào?
Nó nên cài đặt tuyến đường nào trong bảng định tuyến?

Cisco iOS sử dụng cái được gọi là Khoảng cách quản trị (AD) để xác định tuyến
đường để cài đặt vào bảng định tuyến IP. Quảng cáo đại diện cho "độ tin cậy" của
tuyến đường. Quảng cáo càng thấp, nguồn tuyến càng đáng tin cậy.

3. Trình bày định tuyến tĩnh và động (14.5)

Các tuyến tĩnh thường được sử dụng trong các kịch bản sau:
Là một gói chuyển tiếp theo tuyến đường mặc định đến nhà cung cấp dịch vụ
Đối với các tuyến bên ngoài miền định tuyến và không được học bởi giao thức
định tuyến động
Khi quản trị viên mạng muốn xác định rõ ràng đường dẫn cho một mạng cụ thể
Để định tuyến giữa các mạng lưới cuống
Các tuyến tĩnh rất hữu ích cho các mạng nhỏ hơn chỉ có một đường dẫn đến mạng
bên ngoài. Họ cũng cung cấp bảo mật trong một mạng lớn hơn cho một số loại lưu
lượng truy cập hoặc liên kết đến các mạng khác cần kiểm soát nhiều hơn.

Các giao thức định tuyến động được triển khai trong bất kỳ loại mạng nào bao
gồm nhiều hơn chỉ một vài bộ định tuyến. Các giao thức định tuyến động có khả
năng mở rộng và tự động xác định các tuyến đường tốt hơn nếu có sự thay đổi
trong cấu trúc liên kết.
Các giao thức định tuyến động thường được sử dụng trong các kịch bản sau:
Trong các mạng bao gồm nhiều hơn một vài bộ định tuyến
Khi thay đổi cấu trúc liên kết mạng yêu cầu mạng tự động xác định đường dẫn
khác
Cho khả năng mở rộng. Khi mạng phát triển, giao thức định tuyến động tự động
tìm hiểu về bất kỳ mạng mới nào.
Tính năng Định tuyến động Định tuyến tĩnh
 Độ phức tạp cấu hình Độc lập với kích thước Tăng theo kích thước
mạng mạng

Thay đổi cấu trúc liên Tự động thích nghi với Cần can thiệp quản trị
kết các thay đổi cấu trúc liên viên
kết

Khả năng mở rộng Thích hợp cho các cấu Thích hợp cho các cấu
trúc liên kết mạng đơn trúc liên kết đơn giản
giản đến phức tạp

Bảo vệ Bảo mật phải được cấu Bảo mật là vốn có

hình

Sử dụng tài nguyên Sử dụng CPU, bộ nhớ và Không cần thêm tài
băng thông liên kết nguyên

Dự đoán đường dẫn Tuyến đường phụ thuộc Được xác định rõ ràng
vào cấu trúc liên kết và bởi quản trị viên
giao thức định tuyến
được sử dụng

M15
1. Static routes (types, next-hop, các lệnh định tuyến tĩnh trên IPv4 & IPv6, kỹ thuật
Dual-stack)  (15.1)
TYPES:
Các tuyến tĩnh có thể được cấu hình cho IPv4 và IPv6. Cả hai giao thức đều hỗ trợ
các loại tuyến tĩnh sau:
Tuyến tĩnh tiêu chuẩn
Tuyến đường tĩnh mặc định
Tuyến tĩnh nổi
Tóm tắt tuyến tĩnh
Next-hop
 Khi định cấu hình tuyến tĩnh, hop tiếp theo có thể được xác định bởi một địa chỉ
IP, giao diện thoát hoặc cả hai. Cách điểm đích được chỉ định tạo ra một trong ba
loại tuyến tĩnh sau:
Tuyến đường tiếp theo-Chỉ có địa chỉ IP tiếp theo được chỉ định
Tuyến tĩnh được kết nối trực tiếp - Chỉ có giao diện thoát bộ định tuyến được chỉ
định
Tuyến tĩnh được chỉ định đầy đủ - Địa chỉ IP và giao diện thoát tiếp theo được chỉ
định
Lệnh định tuyến tĩnh trên IPv4 & IPv6

kỹ thuật Dual-stack

Hình vẽ cho thấy một cấu trúc liên kết mạng kép. Hiện tại, không có tuyến tĩnh
nào được cấu hình cho IPv4 hoặc IPv6.

2. Mô tả cấu hình định tuyến IP Static (15.2)

Ipv4 next-hop
IPv4 Directly Connected:
Khi định cấu hình tuyến tĩnh, một tùy chọn khác là sử dụng giao diện thoát để chỉ
định địa chỉ hop tiếp theo. Ba tuyến tĩnh IPv4 được kết nối trực tiếp được cấu hình
trên R1 bằng giao diện thoát.
3. Mô tả cấu hình định tuyến IP Default Static (15.3)
Tuyến đường tĩnh mặc định
Một tuyến đường mặc định là một tuyến tĩnh phù hợp với tất cả các gói. Một tuyến
mặc định duy nhất đại diện cho bất kỳ mạng nào không có trong bảng định tuyến.
Bộ định tuyến thường sử dụng các tuyến mặc định được cấu hình cục bộ hoặc học
từ một bộ định tuyến khác. Tuyến đường mặc định được sử dụng làm cổng của
cuối cùng.
Các tuyến tĩnh mặc định thường được sử dụng khi kết nối bộ định tuyến cạnh với
mạng nhà cung cấp dịch vụ hoặc bộ định tuyến sơ khai (bộ định tuyến chỉ có một
bộ định tuyến hàng xóm ngược dòng).
IPv4 Tuyến tĩnh mặc định: Cú pháp lệnh cho tuyến tĩnh mặc định IPv4 tương tự
như bất kỳ tuyến tĩnh IPv4 nào khác, ngoại trừ địa chỉ mạng là 0,0.0.0 và mặt nạ
mạng con là 0,0.0.0. 0,0.0.0 0,0.0.0 trong tuyến sẽ khớp với bất kỳ địa chỉ mạng
nào.
Lưu ý: Một tuyến tĩnh mặc định IPv4 thường được gọi là tuyến tứ giác.
Cú pháp lệnh cơ bản cho tuyến tĩnh mặc định IPv4 như sau:

IPv6 Tuyến tĩnh mặc định: Cú pháp lệnh cho tuyến tĩnh mặc định IPv6 tương tự
như bất kỳ tuyến tĩnh IPv6 nào khác, ngoại trừ độ dài tiền tố IPv6-Prefix/Tiền tố là
::/0, phù hợp với tất cả các tuyến.

Cú pháp lệnh cơ bản cho tuyến tĩnh mặc định IPv6 như sau:
M16
1. Xử lý sự cố trên định tuyến Staic và Default
Thay đổi mạng
Mạng không thành công vì một số lý do:
Một giao diện có thể không thành công
Nhà cung cấp dịch vụ giảm kết nối
Liên kết có thể trở nên quá bão hòa
Quản trị viên có thể nhập một cấu hình sai.
Quản trị viên mạng chịu trách nhiệm xác định chính xác và giải quyết vấn đề.
Để tìm thấy và giải quyết các vấn đề này một cách hiệu quả, việc quen thuộc với các
công cụ một cách hữu ích với các công cụ để cô lập các vấn đề định tuyến là thuận lợi.

Các lệnh khắc phục sự cố phổ biến

Lệnh miêu tả
ping Xác minh kết nối Lớp 3 đến đích.
Ping mở rộng cung cấp các tùy chọn bổ
sung.

traceroute Xác minh đường dẫn đến mạng đích.

Nó sử dụng các tin nhắn trả lời Echo
ICMP để xác định bước nhảy đến đích.
 show ip route Hiển thị bảng định tuyến.
Được sử dụng để xác minh các mục nhập
tuyến cho địa chỉ IP đích.

show ip interface brief Hiển thị trạng thái của giao diện thiết bị.
Được sử dụng để xác minh trạng thái hoạt
động và địa chỉ IP của giao diện.

show cdp neighbors Hiển thị danh sách các thiết bị Cisco được
kết nối trực tiếp.
Cũng được sử dụng để xác nhận kết nối
lớp 1 và 2.

Giải quyết vấn đề kết nối

Kết nối từ PC1 đến PC3 không thành công.
Pings mở rộng từ giao diện R1 G0/0/0 sang PC3 Fail.
Ping từ R1 (tức là, giao diện S0/1/0) đến R2 thành công.
Ping từ R1 (tức là, giao diện S0/1/0) đến R3 thành công.
Bảng định tuyến R2 cho thấy vấn đề và tuyến tĩnh không chính xác được gỡ bỏ.
Một tuyến đường tĩnh mới giải quyết vấn đề.
Tuyến IP 172.16.3.0 255.255.255.0 172.16.2.1