Tấn công hệ thống Cisco
Cảnh báo:
Đây là bài viết mục dích chỉ nhằm nghiên cứu và hoc tập
KHÔNG ĐƯỢC sử dụng tài liệu này để phá hoại các hệ thống cisco, hoặc thâm nhập bất hợp pháp vào hệ thống. Tài liệu này chỉ nhằm mục đích giáo dục. Chỉ sử dụng tài liệu này một cách hợp pháp (Wargames của các hacker chẳng hạn.), và không được phá hoại bất kì cái gì. Đây là một bài học dẫn dắt từng bước một về cách một những điểm yếu của cisco dẫn tới việc có thể bị truy nhập trái phép. Nếu bạn bị bắt quả tang đang đột nhập vào một bộ dẫn đường cisco, hoặc làm rối loạn hệ thống, bạn có thể làm gián đoạn hàng trăm người dùng internet, tốn kém hàng ngàn đôla, cho nên chỉ sử dụng tài liệu này khi bạn được cho phép ! Sử dụng sai tài liệu này sẽ làm cho bạn gặp rất nhiều rắc rối.
Chú ý: một số bài học được viết cho hệ Unix, và không được chuyển soạn cho
DOS/hay tương thích Windows, cho nên bạn sẽ phải xem tài liệu này bằng trình duyệt Web, hoặc Microsoft Word.
-------------------------------------
- Phần 1: Tại sao lại xâm nhập bộ dẫn đường cisco?
- Phần 2: Tìm một bộ dẫn đường cisco như thế nào ?
- Phần 3: Làm thế nào thâm nhập vào bộ dẫn đường cisco ?
- Phần 4: Phá mật khẩu như thế nào ?
- Phần 5: Sử dụng bộ dẫn đường như thế nào ?
-----------------------------------
Những thứ CẦN biết TRƯỚC khi bạn bắt đầu:
-----------------------------------
Địa chỉ IP là gì?
Địa chỉ IP là gì?
IP là từ viết tắt của Internet Protocol, địa chỉ IP được sử dụng bởi các máy tính khác nhau để nhận biết các máy tính kết nối giữa chúng. Đây là lí do tại sao bạn lại bị IRC cấm, và là cách người ta tìm ra ISP của bạn.
Địa chỉ IP có thể dễ dàng phát hiện ra, người ta có thể lấy được qua các cách sau :
- bạn lướt qua một trang web, IP của bạn bị ghi lại
- trên IRC, bất kì ai cũng có thể có IP của bạn
- trên ICQ, mọi người có thể biết IP của bạn, thậm chí bạn chọn "do not show ip" người ta vẫn lấy được nó
- nếu bạn kết nối với một ai đó, họ có thế gõ "systat", và biết được ai đang kết nối đên họ
- nếu ai đó gửi cho bạn một email với một đoạn mà java tóm IP, họ cũng có thể tóm được IP của bạn
Có rất nhiều cách tóm địa chỉ IP, bao gồm cả việc sử dụng các chương trình back-door như Sub7 hoặc NetBus.
Thế nào là một ISP?
ISP viết tắt cho Internet Service Provider, đó là những công ty mang internet đến cho bạn. Bạn kết nối đến họ mỗi khi bạn dial-up và tạo một kết nối. Mọi người có thế phát hiện ra ISP của bạn chỉ đơn giản bằng cách traceroute bạn (traceroute sẽ được giải thích sau). Nó sẽ trông như thế này:
tracert 222.222.22.22
Tracing route to [221.223.24.54]
over a maximum of 30 hops.
1 147ms 122ms 132ms your.isp [222.222.22.21]
2 122ms 143ms 123ms isp.firewall [222.222.22.20]
3 156ms 142MS 122ms aol.com [207.22.44.33]
4 * * * Request timed out
5 101ms 102ms 133ms cisco.router [194.33.44.33]
6 233ms 143ms 102ms something.ip [111.11.11.11]
7 222ms 123ms 213ms netcom.com [122.11.21.21]
8 152ms 211ms 212ms blahblah.tts.net [121.21.21.33]
9 122ms 223ms 243ms altavista.34.com [121.22.32.43] <<< target's isp
10 101ms 122ms 132ms 221.223.24.54.altavista.34.com [221.223.24.54]
Trace complete.
Gói tin TCP/IP là gì?
TCP/IP viết tắt cho Transmission Control Protocol and Internet Protocol, a Gói tin TCP/IP là một khối dữ liệu đã được nén, sau đó kèm thêm một header và gửi đến một máy tính khác. Đây là cách thức truyền tin của internet, bằng cách gửi các gói tin. Phần header trong một gói tin chứa địa chỉ IP của người gửi gói tin. Bạn có thể viết lại một gói tin và làm cho nó trong giống như đến từ một người káhc!! Bạn có thể dùng cách này để tìm cách truy nhập vào rất nhiều hệ thống mà không bị bắt. Bạn sẽ phải chạy trên Linux hoặc có một chương trình cho phép bạn làm điều này. Bài giảng này sẽ không đưa ra cách sử dụng biện pháp này trên bộ dẫn đường Cisco, những sẽ nằm trong tầm tay khi hack vào một hệ thống. Nếu gặp rắc rối khi bạn thử hack vào một hệ thống, sử dụng cách này...
Làm thế nào để giấi IP của bạn:
Tìm một chương trình như Genius 2 hoặc DC IS, chúng sẽ cho phép bạn chạy IdentD. Các chương trình này sẽ thay đổi phần đầu của IP máy tính của bạn ngay lập tức! Dùng cách này khi bạn bị đuổi ra khỏi IRC chat room.... bạn sẽ có thể quay lại ngay lập tức! Bạn cũng có thể sử dụng cách này khi bạn truy nhập vào một hệ thống khác và như thế nó sẽ log id sai
Sử dụng telnet :
Bạn mở telnet đơn giản băng cách chọn Start Menu rồi Run và gõ "telnet".
Một khi bạn đã mở được telnet, bạn sẽ muốn thay đổi một vài tính năng. Chọn Terminal>Preferences. Tại đây bạn có thể thay đổi kích thước vùng đệm font, và một cái thứ nữa. Bạn cũng có thể bật/tắt "local echo", nếu bạn bật,
máy tính sẽ hiển thị mọi thứ bạn gõ vào, và các máy tính khác cũng sẽ hiện cho bạn thấy.
Và bạn có thể sẽ nhận được những thông điệp tương tự như thế này.
bạn gõ "hello", và bạn nhận được
hhelelollo
Điều này xảy ra bởi vì thông tin đã phản hồi lại và những gì nhận được là những gì bạn đã gõ. Lí do duy nhất tôi dùng chương trình này bởi lẽ nó không trả về những gì bạn gõ
Mặc định, telnet sẽ kết nối với một hệ thống bằng cổng telnet, cổng số 23. Và từ bây giờ bạn sẽ không chỉ kết nối băng cổng 23, và khi bạn kết nối, bạn có thể chọn đổi sang dùng cổng 25 chẳng hạn, cổng này được dùng bởi các mail servers. Hoặc có thể là cổng 21, cho FTP. Có hàng nghì cổng, cho nên bạn phải chọn đúng cổng cần thiết
Sử dụng HyperTerminal:
HyperTerminal cho phép bạn thiết lập một "server" trên bất kì cổng nào của máy tính của bạn để thu nhận thông tin đến từ các máy tính nhất định. Để làm được điều này, chọn Start > Programs > Accessories > Communications > HyperTerminal.
Đầu tiên bạn cần phải lựa chọn kết nối, bấm "TCP/IP Winsock", và sau đó đặt vào máy tính mà bạn kết nối với, và số cổng. Bạn có thể sai khiến nó nghe ngóng đầu vào bằng cách chọn Call>Wait for Call. Và bây giờ các máy tính khác có thể kết nối với bạn bằng cổng đó, và bạn có thể chat hay truyền file.
Sử dụng Ping:
Ping thật dễ dàng, chỉ cần mở MS-DOS, và gõ "ping địa_chỉ_ip", mặc định sẽ ping 4 lần, nhưng bạn cũng có thể gõ
"ping ip.address -t"
Cách này sẽ làm máy ping mãi. Để thay đổi kích thước ping làm như sau:
"ping -l (size) địa_chỉ_ip "
Cái ping làm là gửi một gói tin đến một máy tính, sau đó xem xem mất bao lâu gói tin rồi xem xem sau bao lâu gói tin đó quay trở lại, cách này xác định được tốc độ của kết nối, và thời gian cần để một gói tin đi và quay trở lại và chia bốn (gọi là "trip time"). Ping cũng có thể được dùng để làm chậm đi hoặc đổ vỡ hệ thống bằng lụt ping. Windows 98 treo sau một phút lụt ping (Bộ đệm của kết nối bị tràn – có qua nhiều kết nối, nên Windows quyết định cho nó đi nghỉ một chút). Một cuộc tấn công “ping flood” sẽ chiếm rất nhiều băng thông của bạn, và bạn phải có băng thông lớn hơn đối phương ( trừ khi đối phương là một máy chạy Windows 98 và bạn có một modem trung bình, bằng cách đó bạn sẽ hạ gục đối phương sau xấp xỉ một phút lụt ping). Lụt Ping không hiệu quả lắm đổi với những đối phương mạnh hơn một chút. trừ khi bạn có nhiều đường và bạn kiểm soát một số lượng tương đối các máy chủ cùng ping mà tổng băng thông lơn hơn đối phương.
Chú ý: option –t của DOS không gây ra lụt ping, nó chỉ ping mục tiêu một cách liên tục, với những khoảng ngắt quãng giữa hai lần ping liên tiếp. Trong tất cả các hệ Unix hoặc Linux, bạn có thể dùng ping -f để gây ra lụt thực sự. Thực tế là phải ping -f nếu bạn dùng một bản tương thích POSIX (POSIX - Portable Operating System Interface dựa trên uniX), nếu không nó sẽ không phải là một bản Unix/Linux thực sự, bởi vậy nếu bạn dùng một hệ điều hành mà nó tự cho nó là Unix hay Linux, nó sẽ có tham số -f.
Sử dụng TraceRoute:
Để lần theo kết nối của bạn(và xem tất cả các máy tính nằm giữa bạn và mục tiêu), chỉ cần mở MS-DOS prompt, và gõ "tracert địa_chỉ_ip" và bạn sẽ thấy một danh sách các máy tính nằm trên đường giưa máy tính bạn và đối phương.
Bạn có thể dùng cách này để xác định xem liệu có firewalls chặn? Và cách này cũng cho phép xác định ISP của một ai đó (Internet Service Provider).
Để xác định ISP, chỉ việc đơn giản xem địa chỉ IP trước cái cuối cùng, đây chắc chắn là một trong các bộ dẫn đường của một ISP.
Bản chất là gì? Đây là cách mà traceroute làm việc - một gói tin TCP/IP có một giá trị trong phần đầu (đó là phần IP. Nếu bạn không biết nó là gì, hãy bỏ qua vàthen ignore nó và đọc tiếp, điều đó không quan trọng) gọi là TTL, viết tăt cho Time To Live. Một khi gói tin đi qua một bộ dẫn đường thì TTL của nó bị trừ đi một. Đây là cách một bộ đếm chống lại khả năng xảy ra lỗi và một gói tin sẽ bắn ra khắp nơi trên mạng, và lãng phí băng thông.
Cho nên khi một TTL cua một gói tin bằng 0, nó sẽ chết và một lỗi ICMP được gửi trả về người gửi.
Bởi thế, đầu tiên traceroute gửi đi một gói tin có TTL bằng 1. Gói tin sẽ trở lại nhanh chóng, qua việc nhận biết địa chỉ người gử trong phần đầu của thông báo lỗi ICMP, traceroute biết gói tin đã ở đâu trong lần bắn đầu tiên. Sau đó nó gửi một gói tin với TTL có giá trị là 2, và nhận được kết quả trả về của lần bắn 2, mang theo định danh của máy. Và điều này xả ra cho đến khi gói tin đến đích.
Thật thú vị phải không? :-)
Sử dụng proxy server:
Hãy tìm một proxy server chạy trên một cổng mà bạn chọn. Một khi bạn tìm ra, kết nối đến nó bằng telnet hoặc hyperterminal và sau đó nối đến máy tính khác bằng proxy server. Bằng cách này máy tính ở đầu kia sẽ không biết được địa IP của bạn.
----------------------------------
Phần 1: Tại sao lại hack cisco router?
Có thể bạn thắc mắc.. tại sao lại hack cisco router?
Lí do là chúng thật là hữu ích để bẻ khoá các hệ thống khác...
Cisco routers rất nhanh, một số có tốc độ kết nối 18 T1 trên một hệ thống, và chúng rất linh hoạt và chúng có thể sử dụng cho các cuộc tấn công DoS hoặc hack vào các hệ thống khác bởi vì hầu hết chúng chạy telnet.
Có hàng nghìn gói tin chạy qua chúng một lúc, và ta có thể bắt và giải mã các gói tin... Rất nhiều cisco routers được tin cậy, và cho phép bạn truy nhập nhất định vào các máy tính khác trong mạng của nó.
----------------------------------
Phần 2: Tìm một cisco router
Tìm bộ dẫn đường Cisco là công việc tương đối dễ, hầu hế mỗi ISP đều dẫn qua ít nhất một cisco router. Cách dễ nhất để tìm ra một bộ dẫn đường Cisco là chạy traceroute từ dos (gõ "tracert" và địa chỉ IP của một máy tính khác), bạn có thể lần ra nhiều thông tin nhờ các máy tính mà nó hiện ra giữa máy tính bạn và máy tính của họ. Một trong số những hệ thống này có thể có cụm từ "cisco" trong tên của nó. Nếu bạn tìm thấy điều gì đó tương tự như vậy, hãy copy lại địa chỉ IP của nó.
Giờ đây bạn đã biết nơi có một cisco router, nhưng nó có thể được bảo vệ bởi firewall, bạn nên kiểm tra xem nó có được bảo vệ không bằng cách ping nó một vài lần, nếu bạn nhận được trả lời thì có thể là nó không bị khoá. Một cách làm khác là thử truy nhập vào một số cổng của cisco router, điều này được thực hiện dễ dàng bằng cách sử dụng telnet, và tạo một kết nối tới router bằng cổng 23.. Nếu nó đòi password, mà không hỏi username nghĩa là bạn đang kề bên router, nhưng nếu nó đòi username, thì có lẽ là đã bị firewall.
Thử tìm một router không có firewall, bởi lẽ bài giảng này tutorial là về routers chứ không phải về cách qua firewalls. Khi bạn đã tìm ra một hệ thống ổn định, bạn cần tìm một proxy server cho phép sử dụng cổng 23, bằng cách này IP của bạn sẽ không bị lưu lại bởi router.
---------------------------------
Phần 3: Đột nhập cisco router
Các Cisco router chạy phiên bản v4.1 (hiện còn rất phổ biến) có thể hạ gục dễ dàng. Bạn chỉ cần kết nối với router bằng cổng 23 qua proxy server, và nhập vào một chuỗi password KHỔNG LỒ, như là;
10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029384 7465qpwoeirutyalskdjfhgzmxncbv019
dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029 3847465qpwoeirutyalskdjfhgzmxncbv
019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1 0293847465qpwoeirutyalskdjfhgzmx
ncbv019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019 dsk10293847465qpwoeirutyalskdjfh
gzmxncbv019dsk
Chờ một chút, hệ thống cisco có thể sẽ khởi động lại, trong trường hợp đó bạn sẽ không hack được bởi vì chúng offline.. Nhưng chúng thường treo khoảng 2-10 phút, và bạn có thể thâm nhập được.
Nếu cả hai trường hợp đều không xảy ra, nghĩa là nó không chạy phần mềm ngon ăn, trong trường đó bạn có thể thử một vài kiểu tấn công DoS, giống như một lượng ping khổng lồ. Mở dos và gõ "ping -l 56550 cisco.router.ip -t", this will do the same trick for you.
Khi bị treo, mở một kết nối khác đến một vài proxy khác, và dùng password "admin", lí do vì đây là mật khẩu mặc định của router, và khi nó tạm thời bị ngắt nó sẽ chuyển sang chế độ mặc định.
Khi bạn đã đăng nhập, bạn cần giành lấy file password ! Các hệ thống chạy những phần mềm khác nhau nhưng đa số sẽ có lệnh "htl-textil" hoặc gì đó, bạn gõ "?" để hiện ra danh sách các lệnh, bạn sẽ thấy một danh sách khổng lồ các lệnh, ở đâu đó bạn sẽ thấy một lệnh chuyển đổi, dùng nó để lấy password file của admin (người dùng hiện tại) và gửi đến địa chỉ IP ở cổng 23. Nhưng trước khi làm vậy, hãy đặt HyperTerminal chờ thông tin từ cisco router. Một khi bạn gửi file file, HyperTerminal sẽ hỏi xem bạn có đồng ý nhận file này không, chọn đồng ý và lưu nó xuống đĩa. Thoát.
Bạn đã qua phần khó khăn nhất, nghỉ một chút và chuẩn bị phá password!
------------------------------
Phần 4: phá password
Giờ đây bạn đã có được file password, bạn cần phải bẻ khoá nó thì mới có thể truy nhập access router lần nữa. Để làm việc này cần chạy một chương trình đại loại như John the Ripper hoặc một chương trình nào khác để bẻ file password, và bạn có thể bẻ khoá được nó.
Đây là cách dễ nhất, và tôi khuyên bạn dùng cách này. Một cách có thể thử bẻ khoá chúng. Để làm vạy bạn cần một phần mềm giải mã, phải thật kiên nhẫn.
Để giải mã cisco password, bạn phải dịch đoạn mã sau trong linux:
#include
#include
char xlat[] = {
0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b, 0x66, 0x6f,
0x41, 0x2c, 0x2e, 0x69, 0x79, 0x65, 0x77, 0x72,
0x6b, 0x6c, 0x64, 0x4a, 0x4b, 0x44
};
char pw_str1[] = "password 7 ";
char pw_str2[] = "enable-password 7 ";
char *pname;
cdecrypt(enc_pw, dec_pw)
char *enc_pw;
char *dec_pw;
{
unsigned int seed, i, val = 0;
if(strlen(enc_pw) & 1)
return(-1);
seed = (enc_pw[0] - '0') * 10 + enc_pw[1] - '0';
if (seed > 15 || !isdigit(enc_pw[0]) || !isdigit(enc_pw[1]))
return(-1);
for (i = 2 ; i <= strlen(enc_pw); i++) {
if(i !=2 && !(i & 1)) {
dec_pw[i / 2 - 2] = val ^ xlat[seed++];
val = 0;
}
val *= 16;
if(isdigit(enc_pw[i] = toupper(enc_pw[i]))) {
val += enc_pw[i] - '0';
continue;
}
if(enc_pw[i] >= 'A' && enc_pw[i] <= 'F') {
val += enc_pw[i] - 'A' + 10;
continue;
}
if(strlen(enc_pw) != i)
return(-1);
}
dec_pw[++i / 2] = 0;
return(0);
}
usage()
{
fprintf(stdout, "Usage: %s -p \n", pname);
fprintf(stdout, " %s \n", pname);
return(0);
}
main(argc,argv)
int argc;
char **argv;
{
FILE *in = stdin, *out = stdout;
char line[257];
char passwd[65];
unsigned int i, pw_pos;
pname = argv[0];
if(argc > 1)
{
if(argc > 3) {
usage();
exit(1);
}
if(argv[1][0] == '-')
{
switch(argv[1][1]) {
case 'h':
usage();
break;
case 'p':
if(cdecrypt(argv[2], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
fprintf(stdout, "password: %s\n", passwd);
break;
default:
fprintf(stderr, "%s: unknow option.", pname);
}
return(0);
}
if((in = fopen(argv[1], "rt")) == NULL)
exit(1);
if(argc > 2)
if((out = fopen(argv[2], "wt")) == NULL)
exit(1);
}
while(1) {
for(i = 0; i < 256; i++) {
if((line[i] = fgetc(in)) == EOF) {
if(i)
break;
fclose(in);
fclose(out);
return(0);
}
if(line[i] == '\r')
i--;
if(line[i] == '\n')
break;
}
pw_pos = 0;
line[i] = 0;
if(!strncmp(line, pw_str1, strlen(pw_str1)))
pw_pos = strlen(pw_str1);
if(!strncmp(line, pw_str2, strlen(pw_str2)))
pw_pos = strlen(pw_str2);
if(!pw_pos) {
fprintf(stdout, "%s\n", line);
continue;
}
if(cdecrypt(&line[pw_pos], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
else {
if(pw_pos == strlen(pw_str1))
fprintf(out, "%s", pw_str1);
else
fprintf(out, "%s", pw_str2);
fprintf(out, "%s\n", passwd);
}
}
}
Nếu bạn không có Linux, chỉ còn nước bẻ password bằng cách tấn công từ điển hoặc brute-force file đó bằng John the Ripper hoặc một chương trình bẻ khoá khác.
-------------------------------
Phần 5: Sử dụng router
Để sử dụng thiết bị cao cấp tuyệt vời này, bạn phải kết nối tới chúng, sử dụng proxy nếu không muốn IP của bạn log. Khi đã đăng nhập, bạn nên tắt phần history để không ai có thể biết bạn đã làm gì, gõ vào "terminal history size 0". Và nó sẽ chẳng ghi lại gì! Gõ "?" để hiện một danh sách tất cả các lệnh của router, và bạn sẽ dùng được hầu hết trong số chúng.
Các router thường có telnet, và bạn có thể dùng telnet để kết nối connect tới các hệ thống khác, (như một hệ unix) và hack chúng. Nó cũng được trang bị ping và traceroute-bạn có thể sử dụng chúng để theo dõi hệ thống hoặ tấn công DoS. Bạn còn có thể sử dụng nó để bắt các gói tin, nhưng tôi khuyên bạn không nên, bởi lẽ không phải lúc nào nó cũng hoạt động, và có thể làm cho bạn bị phát hiện...
(Sưu Tầm)
url:http://www.ddcntt.vn/forum/showthread.php?t=396
Showing posts with label Cisco Router. Show all posts
Showing posts with label Cisco Router. Show all posts
Thursday, October 2, 2008
Tất cả các lệnh cấu hình trong CCNA theo chuyên mục
Phần 1. Routing - Định Tuyến (Các giao thức phức tạp)
OSPF.
Note: Tất cả những router có cùng area phải cấu hình giống nhau tất cả các thông số thì khu vực đó mới hoạt động đúng chức năng được.
1. Cấu hình cơ bản
Router(config)#router ospf process ID
Router(config-router)#network Network_number Wildcard_mask area_ID
2. Cấu hình priority ở các interface để bầu DR và BDR
Priority càng lớn thì khả năng được bầu làm DR càng cao, ngược với bầu Root brige của Switch, càng nhỏ thì lại càng được bầu.
Router(config)#interface fastethernet 0/0
Router(config-int)#ip ospf priority 55
Sau khi cấu hình xong priority có thể kiểm tra bằng lệnh.
Router# show ip ospf interface f0/0
3. Chỉnh sửa lại OSPF cost metric trong mỗi interface
Cost càng nhỏ thì tuyến đó càng được coi là best path
Router(config-int)#ip ospf cost 1
4.Cấu hình OSPF Authentication ở các interface và áp dùng vào router
Authentication key được hiểu như là password để các router trong cùng một vùng chia sẻ với nhau.
a.Cấu hình authentication đơn giản
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area number authentication
b.Cấu hình authentication theo dạng mã hoá, bảo mật cao.
Router(config-if)ip ospf message-digest-key key ID md5 encryption-type key
Router(config-router)#area area ID authentication message-digest
5.Cấu hình OSPF timer trong các interface
Router(config-if)ip ospf hello-interval timer
Router(config-if)ip ospf dead-interval timer
6.Cấu hình quảng bá một tuyến mặc định trong OSPF
Router(config-router)#default-information originate
7.Quảng bà một tuyến khác (không phải là default)
Router(config-router)#redistribute protocols subnets
8.Các lệnh show dùng để kiểm tra cấu hình OSPF
show ip protocol
show ip route
show ip ospf
show ip ospf interface
show ip ospf database
show ip ospf neighbor detail
clear ip route *
debug ip ospf events
debug ip ospf adj
EIGRP
1.Cấu hình cơ bản.
Router(config)#router eigrp autonomous number
Router(config-router)#network network number
Router(config-router)#eigpr log-neighbor-changes (Không có cũng được)
Router(config-router)#no auto-summary
2.Thay đổi băng thông và tự tổng hợp tuyến trong interface
Router(config-if)#bandwidth kilobits
Router(config-if)#ip summary-address protocol AS network number subnets mask
3.Cân bằng tải trong EIGRP
Router(config-router)#variance number
4.Quảng bá default route
Cách 1:
Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static
Cách 2:
Router(config)#ip default-network network number
Cách 3:
Router(config-if)#ip summary-network eigrp AS number 0.0.0.0 0.0.0.0
5.Quảng bá các tuyến khác trong EIGRP (không phải là default)
Router(config-router)#redistribute protocol process ID metrics k1 k2 k3 k4 k5
Ex: Router(config-router)#redistribute ospf metrics 100 100 100 100 100
6.Chia sẻ traffic trong EIGRP
Router(config-router)#traffic share {balanced/min}
7.Các lệnh kiểm tra cấu hình EIGRP
- show ip eigrp neighbor
- show ip eigrp interface
- show ip eigrp topology
- show ip eigrp traffic
- debug eigrp fsm
- debug eigrp packet
Phần 2. Switching - Chuyển mạch
1.Cấu hình cơ bản chung cho một Switch
Reset tất cả cấu hình của Switch và reload lại.
Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload
2.Cấu hình về Security và management
Switch(config)#hostname tên switch
Switch(config)#line console 0
Switch(config-line)#password mật khẩu
Switch(config-line)#login
Switch(config)#line vty 0 4
Switch(config-line)#pass mật khẩu
Switch(config-line)#login
3.Thiết lập địa chỉ IP và default gateway cho Switch
Switch(config)#interface vlan1
Switch(config-int)#ip address địa chỉ subnetmask
Switch(config)#ip default-gateway địa chỉ
4.Thiết lập tốc độ và duplex của cổng
Switch(config-int)#speed tốc độ
Switch(config-int)#duplex full
5.Thiết lập dịch vụ HTTP và cổng
Switch(config)#ip http server
Switch(config)#ip http port 80
6.Thiết lập, quản lý địa chỉ MAC
Switch(config)#mac-address-table static địa chỉ MAC interface fastethernet số vlan
Switch#show mac-address-table
Switch#clear mac-address-table
7.Cấu hình bảo mật cho cổng
Switch(config-if)#switchport mode acess
Switch(config-if)#switchport port-security
Cấu hình Static: Switch(config-if)#switchport port-security mac-address địa chỉ Mac
Cấu hình Sticky: Switch(config-if)#switchport port-security mac-address sticky (thông dụng nhất)
Switch(config-if)#switchport port-security maximum value
Switch(config-if)#switchport port-security violation shutdown
8.Tạo Vlan
Cách 1.
Switch#vlan database
Switch(vlan)#vlan number
Cách 2. Khi gán các cổng vào vlan, dù vlan chưa tồn tại nhưng Switch vẫn tự tạo.
Switch(config)#interface fastethernet 0/0
Switch(config-int)#switchport access vlan vlan-id
Muốn xoá vlan ta làm như sau:
Switch(config-if)#no switchport access vlan vlan-id
Switch#clear vlan vlan_number (xoá toàn bộ vlan )
9.Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range
Đối với dãy cổng không liên tục.
Switch(config)#interface range cổng 1 , cổng 2 , cổng 3
Đối với một dãy liên tục.
Switch(config)#interface range cổng 1-n
Switch(config-range)#switchport access vlan vlan-id
Ví dụ:
Switch(config)#interface range f0/0 , f0/2 , f0/4
Switch(config)#interface range f0/0-10
Switch(config-range)#switchport access vlan 10
10.Cấu hình Trunk
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchpor trunk encapsulation encapsulation-type
Switch#show trunk
11.Cấu hình VTP
Switch#vlan database
Switch(vlan)#vtp v2-mode
Switch(vlan)#vtp domain tên domain
Switch(vlan)#vtp {server/client/transperant}
Switch(vlan)#vtp password password (Tạo pass cho domain)
Switch#show vtp status
12.Cấu hình Inter-Vlan trên Router
Router(config)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation type
Router(config-subif)#ip address địa chỉ subnetmask
Phần 3. Access-list và các cấu hình liên quan.
1.Nhắc lại về lý thuyết.
Có 2 loại access-list.
- Loại thứ nhất: Standard IP Access-list chỉ lọc dữ liệu dựa vào địa chỉ IP nguồn. Range của loại này là từ 1à 99. Nên được áp dụng với cổng gần đích nhất.
- Loại thứ hai: Extended IP Access-list lọc dữ liệu dựa vào
o Địa chỉ IP nguồn
o Địa chỉ IP đích
o Giao thức (TCP, UDP)
o Số cổng (HTTP, Telnet…)
o Và các thông số khác như Windcard mask
Range của loại này là từ 100 à199. Nên được áp dụng với cổng gần nguồn nhất.
Hai bước để cấu hình Access-list
- Bước 1: Tạo access-list trong chế độ cấu hình config.
- Bước 2: Áp dụng access-list cho từng cổng tuỳ theo yêu cầu ở chế độ cấu hình (config-if)
Lưu ý:
- Mặc định của tất cả Access-list là deny all, vì vậy trong tất cả các access-list tối thiểu phải có 1 lệnh permit. Nếu trong access-list có cả permit và deny thì nên để các dòng lệnh permit bên trên.
- Về hướng của access-list (In/Out) khi áp dụng vào cổng có thể hiểu đơn giản là: In là từ host, Out là tới host hay In vào trong Router, còn Out là ra khỏi Router.
- Đối với IN router kiểm tra gói tin trước khi nó được đưa tới bảng xử lý. Đối vơi OUT, router kiểm tra gói tin sau khi nó vào bảng xử lý.
- Windcard mask được tính bằng công thức:
WM = 255.255.255.255 – Subnet mask (Áp dụng cho cả Classful và Classless addreess)
- 0.0.0.0 255.255.255.255 = any.
- Ip address 0.0.0.0 = host ip address (chỉ định từng host một )
2.Cấu hình Standard Access-list (Ví dụ)
Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in
3.Cấu hình Extended Access-list (Ví dụ)
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out
4.Cấu hình named ACL thay cho các số hiệu.
Router(config)#ip access-list extended server-access (tên của access-list)
Router(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group server-access out
5.Permit hoặc Deny Telnet sử dụng Standard Acl (Ví dụ)
Router(config)#access-list 2 permit 172.16.0.0 0.0.255.255
Router(config)#access-list 2 deny any
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#ip access-class 2 in
6.Xoá và kiểm tra Access-list
Muốn xoá thì ta dùng lệnh sau:
Router(config)# no ip access-list số hiệu
Kiểm tra Acl ta dùng các lệnh sau:
- show access-list
- show running-config
- show ip interface
Phần 4. NAT – PPP – Frame Relay
I.Cấu hình NAT
* Cấu hình Static NAT
Cấu hình NAT trong chế độ Router(config). Các lệnh như sau
Router(config)#ip nat inside source static [inside local address] [inside global address]
Ví dụ:
R(config)#ip nat inside source statice 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router)
Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out
Router(config)#interface ethernet 0
Router(config-if)#ip nat inside
Router(config)#interface serial 0
Router(config-if)#ip nat outside
* Cấu hình Dynamic NAT
Router(config)#ip nat pool [ tên pool] [A.B.C.D A1.B1.C1.D1] netmask [mặt nạ]
Router(config)#ip nat inside source list [số hiệu ACL] pool [tên pool]
Router(config)#access-list [số hiệu ACL] permit A.B.C.D windcard masks
Ví dụ:
R(config)#ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
R(config)#ip nat inside source list 1 pool nat-pool1
R(config)#access-list 1 permit 10.1.0.0 0.0.0.255
Sau đó áp vào cổng In và Out như Static NAT
Note: Giải địa chỉ inside local address và inside global address phải nằm trong giải cho phép của ACL
* Cấu hình PAT overload
*
o Cấu hình overload với 1 địa chỉ IP cụ thể.
Router(config)#ip nat pool [tên pool] [ip global inside] [subnet mask]
Router(config)#ip nat inside source list [tên số hiệu ACL] pool [tên pool] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]
Ví dụ:
R(config)#access-list 2 permit 10.0.0.0 0.0.0.255
R(config)#ip nat pool nat-pool2 179.9.8.20 255.255.255.240
R(config)#ip nat inside source list 2 nat-pool2 overload
*
o Cấu hình overload dùng địa chỉ của cổng ra.(Thường xuyên được dung hơn là trường hợp trên)
Router(config)#ip nat inside source list [tên số hiệu ACL] interface [cổng ra] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]
Ví dụ:
R(config)#ip nat inside source list 3 interface serial 0 overload
R(config)#access-list 3 permit 10.0.0.0 0.0.0.255
* Các lệnh Clear NAT/PAT
Lệnh xóa tất cả dynamic nat trên toàn bộ các interface.
Router#clear ip nat translation *
Lệnh xóa các single nat trên từng interface
Router#clear ip nat translation [inside/outside] [global ip - local ip]
Lệnh xóa các extended nat trên từng interface
Router#clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]
* Kiểm tra và Debug các NAT và PAT
Router#show ip nat translation
Router#show ip nat statics
Router#debug ip nat
* Cấu hình DHCP
Router(config)#ip dhcp excluded-address ip-address (end-ip-address)
Router(config)#ip dhcp pool [tên pool]
Router(dhcp-config)#network addess subnetmask
Router(dhcp-config)#default-router address
Router(dhcp-config)#dns-server address
Router(dhcp-config)#netbios-name-server address
Router(dhcp-config)#domain-name tên domain
Router(dhcp-config)#lease ngày/giờ/phút
* Kiểm tra và troubleshoot cấu hình DHCP
Router#show ip dhcp binding
Router#debug ip dhcp server events
* Trong trường hợp DHCP server không nằm cùng mạng với host
Note: khi DHCP server không cùng mạng với host thì ta phải dùng lệnh ip helper-address giúp host đến DHCP server.
Router(config)#interface [cổng nằm cùng mạng với host]
Router(config-if)#ip helper-address [địa chỉ của DHCP server]
Note: Trong trường hợp muốn gói tin của host được broadcast ở mạng chứa DHCP thì ta dùng thêm lệnh ip directed-broadcast ở cổng cùng mạng với DHCP server
Router(config)#interface [cổng nằm cùng mạng với dhcp]
Router(config-ì)#ip directed-broadcast
II. Cấu hình PPP
1. Cấu hình cơ bản:
R(config)#interface serial 0/0
R(config-if)#encapsulation ppp
2. Cấu hình PAP
Cấu hình PAP không yêu cầu hai Router giống nhau về password nhưng CHAP thì phải có.
(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 321
RA(config-if)#encapsulation ppp
RA(config-if)#ppp authentication pap
RA(config-if)#ppp pap sent-username RA password 123
(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication pap
RB(config-if)#ppp pap sent-username RB password 321
3. Cấu hình CHAP. (yêu cầu phải giống nhau về password)
(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 123
RA(config-if)encapsulation ppp
RA(config-if)ppp authentication chap
(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)encapsulation ppp
RB(config-if)ppp authentication chap
4. Các cấu hình khác của PPP
a. Cấu hình Multilink
R(config-if)#encapsulation ppp
R(config-if)#ppp multilink
b. Cấu hình Compression
R(config-if)#encapsulation ppp
R(config-if)#compress [predictor/stac/mppc]
c. Cấu hình Error detection
R(config-if)#encapsulation ppp
R(config-if)#ppp quality [phần trăm]
5. Các lệnh kiểm tra cấu hình PPP
R#show interface (xem encapsulation)
R#debug ppp negotiation (Xem quá trình kết nối giữa 2 node)
R#debug ppp authentication (Xem quá trình xác thực giữa 2 node)
III. Cấu hình Frame-Relay
1. Cấu hình đơn giản
R(config-if)#encapsulation frame-relay {ciso| ietf} (mặc định là cisco)
Khi lệnh này được thực thi, DLCI sẽ được Inverse ARP tự động map, người dùng không cần phải làm gì cả.
* Nhưng Inverse ARP không làm việc với các kết nối Hub-and-Spoke
2. Cấu hình Frame-relay static map
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip remote–ip-address local-dlci [broadcast] [cisco| ietf]
(ip address trong dòng lệnh trên chỉ lấy làm minh họa bởi nó rất phổ biến, chính xác phải là remote–protocol–address)
Broadcast trong câu lệnh trên có 2 chức năng:
§ Forward broadcast khi multicast không được khởi động.
§ Đơn giản hóa cấu hình OSPF cho mạng nonbroadcast sử dụng FRelay.
Ví dụ:
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip 192.168.2.1 100 broadcast
3. Cấu hình FR trong mạng None Broadcast MutiAccess
- Trong mạng Broadcast khi 1 máy tính truyền frame tất cả các node lắng nghe frame nhưng chỉ có node cần nhận mới nhận được.
- Trong mạng None Broadcast khi 1 máy tính truyền frame thì chỉ có node cần nhận mới lắng nghe và nhận được frame đó, các node còn lại thì không. Frame được truyền qua 1 virtual Circuit hoặc 1 thiết bị chuyển mạch.
- Star topology có thể được coi như là 1 mạng Hub and Spoke.
4. Giải quyết vấn đề với Routing Updates mà không disable Split Horizal
Giải pháp dùng Sub-interface
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)interface s0/0.1 [multipoint| point-to-point]
- point-to-point: Mỗi subinterface có subnet riêng của mình. Broadcast và Split horizol không là vấn đề.
- Multi-point: Tất cả các subinterface liên quan phải cùng chung 1 subnet và như vậy Broadcast và Split horizol sẽ có vấn đề.
Ví dụ:
(Point-to-point)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.1 point-to-point
R(config-subif)#frame-relay interface-dlci 18
(Multipoint)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.2 multipoint
R(config-subif)#frame-relay interface-dlci 19
R(config-subif)#frame-relay interface-dlci 20
5. Cấu hình trên Frame-relay Switching (ví dụ)
R(config)#frame-relay switching
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay intf-type dce
R(config-if)#frame-relay route 103interface serial 0/1 301
(Theo [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] Moderator)
OSPF.
Note: Tất cả những router có cùng area phải cấu hình giống nhau tất cả các thông số thì khu vực đó mới hoạt động đúng chức năng được.
1. Cấu hình cơ bản
Router(config)#router ospf process ID
Router(config-router)#network Network_number Wildcard_mask area_ID
2. Cấu hình priority ở các interface để bầu DR và BDR
Priority càng lớn thì khả năng được bầu làm DR càng cao, ngược với bầu Root brige của Switch, càng nhỏ thì lại càng được bầu.
Router(config)#interface fastethernet 0/0
Router(config-int)#ip ospf priority 55
Sau khi cấu hình xong priority có thể kiểm tra bằng lệnh.
Router# show ip ospf interface f0/0
3. Chỉnh sửa lại OSPF cost metric trong mỗi interface
Cost càng nhỏ thì tuyến đó càng được coi là best path
Router(config-int)#ip ospf cost 1
4.Cấu hình OSPF Authentication ở các interface và áp dùng vào router
Authentication key được hiểu như là password để các router trong cùng một vùng chia sẻ với nhau.
a.Cấu hình authentication đơn giản
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area number authentication
b.Cấu hình authentication theo dạng mã hoá, bảo mật cao.
Router(config-if)ip ospf message-digest-key key ID md5 encryption-type key
Router(config-router)#area area ID authentication message-digest
5.Cấu hình OSPF timer trong các interface
Router(config-if)ip ospf hello-interval timer
Router(config-if)ip ospf dead-interval timer
6.Cấu hình quảng bá một tuyến mặc định trong OSPF
Router(config-router)#default-information originate
7.Quảng bà một tuyến khác (không phải là default)
Router(config-router)#redistribute protocols subnets
8.Các lệnh show dùng để kiểm tra cấu hình OSPF
show ip protocol
show ip route
show ip ospf
show ip ospf interface
show ip ospf database
show ip ospf neighbor detail
clear ip route *
debug ip ospf events
debug ip ospf adj
EIGRP
1.Cấu hình cơ bản.
Router(config)#router eigrp autonomous number
Router(config-router)#network network number
Router(config-router)#eigpr log-neighbor-changes (Không có cũng được)
Router(config-router)#no auto-summary
2.Thay đổi băng thông và tự tổng hợp tuyến trong interface
Router(config-if)#bandwidth kilobits
Router(config-if)#ip summary-address protocol AS network number subnets mask
3.Cân bằng tải trong EIGRP
Router(config-router)#variance number
4.Quảng bá default route
Cách 1:
Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static
Cách 2:
Router(config)#ip default-network network number
Cách 3:
Router(config-if)#ip summary-network eigrp AS number 0.0.0.0 0.0.0.0
5.Quảng bá các tuyến khác trong EIGRP (không phải là default)
Router(config-router)#redistribute protocol process ID metrics k1 k2 k3 k4 k5
Ex: Router(config-router)#redistribute ospf metrics 100 100 100 100 100
6.Chia sẻ traffic trong EIGRP
Router(config-router)#traffic share {balanced/min}
7.Các lệnh kiểm tra cấu hình EIGRP
- show ip eigrp neighbor
- show ip eigrp interface
- show ip eigrp topology
- show ip eigrp traffic
- debug eigrp fsm
- debug eigrp packet
Phần 2. Switching - Chuyển mạch
1.Cấu hình cơ bản chung cho một Switch
Reset tất cả cấu hình của Switch và reload lại.
Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload
2.Cấu hình về Security và management
Switch(config)#hostname tên switch
Switch(config)#line console 0
Switch(config-line)#password mật khẩu
Switch(config-line)#login
Switch(config)#line vty 0 4
Switch(config-line)#pass mật khẩu
Switch(config-line)#login
3.Thiết lập địa chỉ IP và default gateway cho Switch
Switch(config)#interface vlan1
Switch(config-int)#ip address địa chỉ subnetmask
Switch(config)#ip default-gateway địa chỉ
4.Thiết lập tốc độ và duplex của cổng
Switch(config-int)#speed tốc độ
Switch(config-int)#duplex full
5.Thiết lập dịch vụ HTTP và cổng
Switch(config)#ip http server
Switch(config)#ip http port 80
6.Thiết lập, quản lý địa chỉ MAC
Switch(config)#mac-address-table static địa chỉ MAC interface fastethernet số vlan
Switch#show mac-address-table
Switch#clear mac-address-table
7.Cấu hình bảo mật cho cổng
Switch(config-if)#switchport mode acess
Switch(config-if)#switchport port-security
Cấu hình Static: Switch(config-if)#switchport port-security mac-address địa chỉ Mac
Cấu hình Sticky: Switch(config-if)#switchport port-security mac-address sticky (thông dụng nhất)
Switch(config-if)#switchport port-security maximum value
Switch(config-if)#switchport port-security violation shutdown
8.Tạo Vlan
Cách 1.
Switch#vlan database
Switch(vlan)#vlan number
Cách 2. Khi gán các cổng vào vlan, dù vlan chưa tồn tại nhưng Switch vẫn tự tạo.
Switch(config)#interface fastethernet 0/0
Switch(config-int)#switchport access vlan vlan-id
Muốn xoá vlan ta làm như sau:
Switch(config-if)#no switchport access vlan vlan-id
Switch#clear vlan vlan_number (xoá toàn bộ vlan )
9.Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range
Đối với dãy cổng không liên tục.
Switch(config)#interface range cổng 1 , cổng 2 , cổng 3
Đối với một dãy liên tục.
Switch(config)#interface range cổng 1-n
Switch(config-range)#switchport access vlan vlan-id
Ví dụ:
Switch(config)#interface range f0/0 , f0/2 , f0/4
Switch(config)#interface range f0/0-10
Switch(config-range)#switchport access vlan 10
10.Cấu hình Trunk
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchpor trunk encapsulation encapsulation-type
Switch#show trunk
11.Cấu hình VTP
Switch#vlan database
Switch(vlan)#vtp v2-mode
Switch(vlan)#vtp domain tên domain
Switch(vlan)#vtp {server/client/transperant}
Switch(vlan)#vtp password password (Tạo pass cho domain)
Switch#show vtp status
12.Cấu hình Inter-Vlan trên Router
Router(config)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation type
Router(config-subif)#ip address địa chỉ subnetmask
Phần 3. Access-list và các cấu hình liên quan.
1.Nhắc lại về lý thuyết.
Có 2 loại access-list.
- Loại thứ nhất: Standard IP Access-list chỉ lọc dữ liệu dựa vào địa chỉ IP nguồn. Range của loại này là từ 1à 99. Nên được áp dụng với cổng gần đích nhất.
- Loại thứ hai: Extended IP Access-list lọc dữ liệu dựa vào
o Địa chỉ IP nguồn
o Địa chỉ IP đích
o Giao thức (TCP, UDP)
o Số cổng (HTTP, Telnet…)
o Và các thông số khác như Windcard mask
Range của loại này là từ 100 à199. Nên được áp dụng với cổng gần nguồn nhất.
Hai bước để cấu hình Access-list
- Bước 1: Tạo access-list trong chế độ cấu hình config.
- Bước 2: Áp dụng access-list cho từng cổng tuỳ theo yêu cầu ở chế độ cấu hình (config-if)
Lưu ý:
- Mặc định của tất cả Access-list là deny all, vì vậy trong tất cả các access-list tối thiểu phải có 1 lệnh permit. Nếu trong access-list có cả permit và deny thì nên để các dòng lệnh permit bên trên.
- Về hướng của access-list (In/Out) khi áp dụng vào cổng có thể hiểu đơn giản là: In là từ host, Out là tới host hay In vào trong Router, còn Out là ra khỏi Router.
- Đối với IN router kiểm tra gói tin trước khi nó được đưa tới bảng xử lý. Đối vơi OUT, router kiểm tra gói tin sau khi nó vào bảng xử lý.
- Windcard mask được tính bằng công thức:
WM = 255.255.255.255 – Subnet mask (Áp dụng cho cả Classful và Classless addreess)
- 0.0.0.0 255.255.255.255 = any.
- Ip address 0.0.0.0 = host ip address (chỉ định từng host một )
2.Cấu hình Standard Access-list (Ví dụ)
Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in
3.Cấu hình Extended Access-list (Ví dụ)
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out
4.Cấu hình named ACL thay cho các số hiệu.
Router(config)#ip access-list extended server-access (tên của access-list)
Router(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group server-access out
5.Permit hoặc Deny Telnet sử dụng Standard Acl (Ví dụ)
Router(config)#access-list 2 permit 172.16.0.0 0.0.255.255
Router(config)#access-list 2 deny any
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#ip access-class 2 in
6.Xoá và kiểm tra Access-list
Muốn xoá thì ta dùng lệnh sau:
Router(config)# no ip access-list số hiệu
Kiểm tra Acl ta dùng các lệnh sau:
- show access-list
- show running-config
- show ip interface
Phần 4. NAT – PPP – Frame Relay
I.Cấu hình NAT
* Cấu hình Static NAT
Cấu hình NAT trong chế độ Router(config). Các lệnh như sau
Router(config)#ip nat inside source static [inside local address] [inside global address]
Ví dụ:
R(config)#ip nat inside source statice 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router)
Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out
Router(config)#interface ethernet 0
Router(config-if)#ip nat inside
Router(config)#interface serial 0
Router(config-if)#ip nat outside
* Cấu hình Dynamic NAT
Router(config)#ip nat pool [ tên pool] [A.B.C.D A1.B1.C1.D1] netmask [mặt nạ]
Router(config)#ip nat inside source list [số hiệu ACL] pool [tên pool]
Router(config)#access-list [số hiệu ACL] permit A.B.C.D windcard masks
Ví dụ:
R(config)#ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
R(config)#ip nat inside source list 1 pool nat-pool1
R(config)#access-list 1 permit 10.1.0.0 0.0.0.255
Sau đó áp vào cổng In và Out như Static NAT
Note: Giải địa chỉ inside local address và inside global address phải nằm trong giải cho phép của ACL
* Cấu hình PAT overload
*
o Cấu hình overload với 1 địa chỉ IP cụ thể.
Router(config)#ip nat pool [tên pool] [ip global inside] [subnet mask]
Router(config)#ip nat inside source list [tên số hiệu ACL] pool [tên pool] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]
Ví dụ:
R(config)#access-list 2 permit 10.0.0.0 0.0.0.255
R(config)#ip nat pool nat-pool2 179.9.8.20 255.255.255.240
R(config)#ip nat inside source list 2 nat-pool2 overload
*
o Cấu hình overload dùng địa chỉ của cổng ra.(Thường xuyên được dung hơn là trường hợp trên)
Router(config)#ip nat inside source list [tên số hiệu ACL] interface [cổng ra] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]
Ví dụ:
R(config)#ip nat inside source list 3 interface serial 0 overload
R(config)#access-list 3 permit 10.0.0.0 0.0.0.255
* Các lệnh Clear NAT/PAT
Lệnh xóa tất cả dynamic nat trên toàn bộ các interface.
Router#clear ip nat translation *
Lệnh xóa các single nat trên từng interface
Router#clear ip nat translation [inside/outside] [global ip - local ip]
Lệnh xóa các extended nat trên từng interface
Router#clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]
* Kiểm tra và Debug các NAT và PAT
Router#show ip nat translation
Router#show ip nat statics
Router#debug ip nat
* Cấu hình DHCP
Router(config)#ip dhcp excluded-address ip-address (end-ip-address)
Router(config)#ip dhcp pool [tên pool]
Router(dhcp-config)#network addess subnetmask
Router(dhcp-config)#default-router address
Router(dhcp-config)#dns-server address
Router(dhcp-config)#netbios-name-server address
Router(dhcp-config)#domain-name tên domain
Router(dhcp-config)#lease ngày/giờ/phút
* Kiểm tra và troubleshoot cấu hình DHCP
Router#show ip dhcp binding
Router#debug ip dhcp server events
* Trong trường hợp DHCP server không nằm cùng mạng với host
Note: khi DHCP server không cùng mạng với host thì ta phải dùng lệnh ip helper-address giúp host đến DHCP server.
Router(config)#interface [cổng nằm cùng mạng với host]
Router(config-if)#ip helper-address [địa chỉ của DHCP server]
Note: Trong trường hợp muốn gói tin của host được broadcast ở mạng chứa DHCP thì ta dùng thêm lệnh ip directed-broadcast ở cổng cùng mạng với DHCP server
Router(config)#interface [cổng nằm cùng mạng với dhcp]
Router(config-ì)#ip directed-broadcast
II. Cấu hình PPP
1. Cấu hình cơ bản:
R(config)#interface serial 0/0
R(config-if)#encapsulation ppp
2. Cấu hình PAP
Cấu hình PAP không yêu cầu hai Router giống nhau về password nhưng CHAP thì phải có.
(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 321
RA(config-if)#encapsulation ppp
RA(config-if)#ppp authentication pap
RA(config-if)#ppp pap sent-username RA password 123
(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication pap
RB(config-if)#ppp pap sent-username RB password 321
3. Cấu hình CHAP. (yêu cầu phải giống nhau về password)
(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 123
RA(config-if)encapsulation ppp
RA(config-if)ppp authentication chap
(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)encapsulation ppp
RB(config-if)ppp authentication chap
4. Các cấu hình khác của PPP
a. Cấu hình Multilink
R(config-if)#encapsulation ppp
R(config-if)#ppp multilink
b. Cấu hình Compression
R(config-if)#encapsulation ppp
R(config-if)#compress [predictor/stac/mppc]
c. Cấu hình Error detection
R(config-if)#encapsulation ppp
R(config-if)#ppp quality [phần trăm]
5. Các lệnh kiểm tra cấu hình PPP
R#show interface (xem encapsulation)
R#debug ppp negotiation (Xem quá trình kết nối giữa 2 node)
R#debug ppp authentication (Xem quá trình xác thực giữa 2 node)
III. Cấu hình Frame-Relay
1. Cấu hình đơn giản
R(config-if)#encapsulation frame-relay {ciso| ietf} (mặc định là cisco)
Khi lệnh này được thực thi, DLCI sẽ được Inverse ARP tự động map, người dùng không cần phải làm gì cả.
* Nhưng Inverse ARP không làm việc với các kết nối Hub-and-Spoke
2. Cấu hình Frame-relay static map
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip remote–ip-address local-dlci [broadcast] [cisco| ietf]
(ip address trong dòng lệnh trên chỉ lấy làm minh họa bởi nó rất phổ biến, chính xác phải là remote–protocol–address)
Broadcast trong câu lệnh trên có 2 chức năng:
§ Forward broadcast khi multicast không được khởi động.
§ Đơn giản hóa cấu hình OSPF cho mạng nonbroadcast sử dụng FRelay.
Ví dụ:
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip 192.168.2.1 100 broadcast
3. Cấu hình FR trong mạng None Broadcast MutiAccess
- Trong mạng Broadcast khi 1 máy tính truyền frame tất cả các node lắng nghe frame nhưng chỉ có node cần nhận mới nhận được.
- Trong mạng None Broadcast khi 1 máy tính truyền frame thì chỉ có node cần nhận mới lắng nghe và nhận được frame đó, các node còn lại thì không. Frame được truyền qua 1 virtual Circuit hoặc 1 thiết bị chuyển mạch.
- Star topology có thể được coi như là 1 mạng Hub and Spoke.
4. Giải quyết vấn đề với Routing Updates mà không disable Split Horizal
Giải pháp dùng Sub-interface
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)interface s0/0.1 [multipoint| point-to-point]
- point-to-point: Mỗi subinterface có subnet riêng của mình. Broadcast và Split horizol không là vấn đề.
- Multi-point: Tất cả các subinterface liên quan phải cùng chung 1 subnet và như vậy Broadcast và Split horizol sẽ có vấn đề.
Ví dụ:
(Point-to-point)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.1 point-to-point
R(config-subif)#frame-relay interface-dlci 18
(Multipoint)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.2 multipoint
R(config-subif)#frame-relay interface-dlci 19
R(config-subif)#frame-relay interface-dlci 20
5. Cấu hình trên Frame-relay Switching (ví dụ)
R(config)#frame-relay switching
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay intf-type dce
R(config-if)#frame-relay route 103interface serial 0/1 301
(Theo [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] Moderator
Wednesday, October 1, 2008
Lab 6-1: Cấu hình vlan và trunk
Lab 6-1: Cấu hình vlan và trunk
MultiLayer Sitching & InterVlan Routing
http://vnpro.org/forum/files/labswitching/lab61/lab61-1.JPG
Mô tả đặc tính hoạt động đa lớp (Multilayer) của dòng sản phẩm Catalyst 3550 của Cisco Access Layer Switch (ALSwitch). Chia switch thành các Vlan1, Vlan 10, Vlan 20 phân phối cho từng nhóm người dùng. Thông thường các Vlan hoạt động ở lớp liên kết dữ liệu (Data-link Layer). Các Vlan này xem như thuộc các Broadcast Domain khác nhau, không thể nói chuyện với nhau được (mặc dù cùng kết nối vật lý đến ALSwitch). Các Vlan muốn nói chuyện với nhau phải thông qua một External Router có chức năng định tuyến. Trong phạm vi bài Lab này, sử dụng khả năng Multilayer Switching của Catalyst 3550 để định tuyến giữa các vlan cũng như giữa các Vlan với Remote office kết nối bởi Remote router. Trong trường hợp này Catalyst 3550 có khả năng hoạt động như một External Router.
Yêu cầu thiết bị: Remote router: Cisco 2600 (có cổng FastEthernet). Distribute Layer Switch (DLSwitch): Catalyst 3550. Access Layer Switch (ALSwitch): Catalyst 2900 trở lên (vì cấu hình Trunking đòi hỏi thiết bị hỗ trợ FastEthernet). Các máy trạm kết nối vào các Vlan phục vụ việc kiểm tra cấu hình và các tính năng định tuyến.
Để triển khai tính năng MultiLayer Switching (MLS):
Giai đoạn 1: Thiết lập các cấu hình cơ sở bao gồm: chia Vlan, Trunking giữa các switch.
Giai đoạn 2: Cấu hình cho Catalyst 3550 (DLSwitch) hoạt động ở chế độ MLS, cấu hình các giao thức định tuyến trên Router. Trong phạm vi bài Lab này, dùng giao thức định tuyến OSPF. Trước khi triền khai bài Lab, nên xoá tất cả cấu hình cũ trên Switch và Router để tránh các ảnh hưởng đến hoạt động của hệ thống
Tiến hành giai đoạn:
DLSwitch và ALSwitch kết nối với nhau qua đường Trunk. Hai Switch này cùng một VTP domain, chia thành các Vlan gồm: Vlan 1 (Native), Vlan 10 (Admin), Vlan 20 (User).
Cấu hình trên DLSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname DLSwitch
DLSwitch(config)#enable password cisco
DLSwitch(config)#enable secret vnpro
DLSwitch(config)#line vty 0 15
DLSwitch(config-line)#password cisco
DLSwitch(config-line)#login
DLSwitch(config-line)#^Z
00:15:08: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking:
DLSwitch#vlan database
DLSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
DLSwitch(vlan)#vtp server
Device mode already VTP SERVER.
DLSwitch(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
DLSwitch(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
DLSwitch(vlan)#apply
APPLY completed.
DLSwitch(vlan)#exit
APPLY completed.
Exiting....
DLSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
DLSwitch(config)#interface vlan 1
DLSwitch(config-if)#ip address 192.168.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
DLSwitch(config-if)#exit
00:17:26: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
DLSwitch(config)#interface vlan 10
DLSwitch(config-if)#ip address 192.168.10.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface vlan 20
DLSwitch(config-if)#ip address 192.168.20.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:19:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface FastEthernet 0/1
DLSwitch(config-if)#switchport trunk encapsulation dot1q
DLSwitch(config-if)#switchport mode trunk
DLSwitch(config-if)#^Z
00:20:11: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan mới:
DLSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/1
Gi0/2
10 Admin active
20 User active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Cấu hình trên ALSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname ALSwitch
ALSwitch(config)#enable password cisco
ALSwitch(config)#enable secret vnpro
ALSwitch(config)#line vty 0 4
ALSwitch(config-line)#password cisco
ALSwitch(config-line)#login
ALSwitch(config-line)#^Z
00:07:40: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking
Chỉ cần cấu hình Trunking, sau đó đưa ALSwitch vào cùng VTP domain Vnpro ở mode client, ALSwitch sẽ tự động học thông tin Vlan từ VTP server (DLSwitch).
ALSwitch#vlan database
ALSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
ALSwitch(vlan)#vtp client
Setting device to VTP CLIENT mode.
ALSwitch(vlan)#exit
In CLIENT state, no apply attempted.
Exiting....
ALSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
ALSwitch(config)#interface FastEthernet 0/1
ALSwitch(config-if)#switchport trunk encapsulation dot1q
ALSwitch(config-if)#switchport mode trunk
ALSwitch(config-if)#exit
ALSwitch(config)#interface range FastEthernet0/4 - 8
ALSwitch(config-if)#switchport access vlan 10
ALSwitch(config-if)#exit
ALSwitch(config)#interface FastEthernet0/9 - 12
ALSwitch(config-if)#switchport access vlan 20
ALSwitch(config-if)#exit
ALSwitch(config)#^Z
ALSwitch#
00:13:00: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan trên ALSwitch:
ALSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3
10 Admin active Fa0/4, Fa0/5, Fa0/6, Fa0/7,
Fa0/8
20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - 0 - - - 0 0
1003 tr 101003 1500 - 0 - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
ALSwitch#
Tiến hành giai đoạn 2:
DLSwitch(config)#interface FastEthernet 0/2
DLSwitch(config-if)#no switchport
DLSwitch(config-if)#ip address 10.200.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:14:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downxit
Lệnh “no switchport” kích hoạt tính năng hoạt động ở lớp 3 cho Catalyst 3550. Lúc này port FastEthernet 0/2 có khả năng hoạt động như một cổng trên Router. Tuy nhiên kết nối giữa DLSwitch và Remote Router qua port này vẫn sử dụng Straight Cable, kết nối giữa DLSwitch và ALSwitch qua port FastEthernet 0/1 dùng Cross Cable. Cấu hình định tuyến:
DLSwitch(config)#ip routing
DLSwitch(config-router)#router ospf 0
DLSwitch(config-router)#network 10.200.0.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.1.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.10.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.20.0 0.0.0.255 area 0
DLSwitch(config-router)#^z
Cấu hình trên Remote Router
Cấu hình các thông số cơ bản:
Router>enable
Router#config terminal
Router(config)#hostname Remote
Remote(config)#enable password cisco
Remote(config)#enable secret vnpro
Remote(config)#line vty 0 4
Remote(config-line)#password cisco
Remote(config-line)#login
Remote(config-line)#exit
Remote(config)#interface interface ethernet0/0
Remote(config-if)#ip address 10.200.1.2 255.255.255.0
Remote(config-if)#no shut
Remote(config-if)#
*Mar 1 00:10:39.175: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
Remote(config-if)#exit
Remote(config)#interface loopback 0
Remote(config-if)#ip address 172.168.0.1 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit
*Mar 1 00:11:26.749: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Remote(config)#router ospf 1
Remote(config-router)#network 172.168.0.0 0.0.0.255 area 0
Remote(config-router)#network 10.200.1.0 0.0.0.255 area 0
Remote(config-router)#^Z
Mar 1 00:13:35.347: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình các interface và cấu hình định tuyến
Xem thông tin định tuyến trên DLSwitch
DLSwitch>enable
DLSwitch#show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
172.168.0.0/32 is subnetted, 1 subnets
O 172.168.0.1 [110/11] via 10.200.0.2, 00:22:50, FastEthernet0/2
C 192.168.20.0/24 is directly connected, Vlan20
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, FastEthernet0/2
C 192.168.1.0/24 is directly connected, Vlan1
Xem thông tin bản định tuyến trên Remote router:
DLSwitch#telnet 10.200.0.2
Trying 10.200.0.2 ... Open
User Access Verification
Password: cisco
Remote>enable
Password: vnpro
Remote#show ip route
Gateway of last resort is not set
O 192.168.10.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
172.168.0.0/24 is subnetted, 1 subnets
C 172.168.0.0 is directly connected, Loopback0
O 192.168.20.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, Ethernet0/0
O 192.168.1.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
Kiểm tra tính kết nối bằng cách dùng một máy trạm nối vào một Vlan bất kỳ. Ping thấy
http://vnpro.org/forum/files/labswitching/lab61/lab61-2.JPG
interface Looback 0 trên Remote Router. Work Station có địa chỉ truộc về Vlan 10. Với Default Gateway là Mangement IP của Vlan 10. Dùng WorkStation trên Vlan 10 có địa chỉ như trên ping đến Looback 0 trên Remote Router và ghi nhậm kết quả. Kiểm tra khả năng InterVlan Routing bằng cách dùng một Work Station trên Vlan 20 ping dến Work Station trên Vlan 10 và ghi nhận kết quả
http://vnpro.org/forum/files/labswitching/lab61/lab61-3.JPG
http://vnpro.org/forum/files/labswitching/lab61/lab61-4.JPG
url:http://vnpro.org/forum/archive/index.php?t-5642.html
MultiLayer Sitching & InterVlan Routing
http://vnpro.org/forum/files/labswitching/lab61/lab61-1.JPG
Mô tả đặc tính hoạt động đa lớp (Multilayer) của dòng sản phẩm Catalyst 3550 của Cisco Access Layer Switch (ALSwitch). Chia switch thành các Vlan1, Vlan 10, Vlan 20 phân phối cho từng nhóm người dùng. Thông thường các Vlan hoạt động ở lớp liên kết dữ liệu (Data-link Layer). Các Vlan này xem như thuộc các Broadcast Domain khác nhau, không thể nói chuyện với nhau được (mặc dù cùng kết nối vật lý đến ALSwitch). Các Vlan muốn nói chuyện với nhau phải thông qua một External Router có chức năng định tuyến. Trong phạm vi bài Lab này, sử dụng khả năng Multilayer Switching của Catalyst 3550 để định tuyến giữa các vlan cũng như giữa các Vlan với Remote office kết nối bởi Remote router. Trong trường hợp này Catalyst 3550 có khả năng hoạt động như một External Router.
Yêu cầu thiết bị: Remote router: Cisco 2600 (có cổng FastEthernet). Distribute Layer Switch (DLSwitch): Catalyst 3550. Access Layer Switch (ALSwitch): Catalyst 2900 trở lên (vì cấu hình Trunking đòi hỏi thiết bị hỗ trợ FastEthernet). Các máy trạm kết nối vào các Vlan phục vụ việc kiểm tra cấu hình và các tính năng định tuyến.
Để triển khai tính năng MultiLayer Switching (MLS):
Giai đoạn 1: Thiết lập các cấu hình cơ sở bao gồm: chia Vlan, Trunking giữa các switch.
Giai đoạn 2: Cấu hình cho Catalyst 3550 (DLSwitch) hoạt động ở chế độ MLS, cấu hình các giao thức định tuyến trên Router. Trong phạm vi bài Lab này, dùng giao thức định tuyến OSPF. Trước khi triền khai bài Lab, nên xoá tất cả cấu hình cũ trên Switch và Router để tránh các ảnh hưởng đến hoạt động của hệ thống
Tiến hành giai đoạn:
DLSwitch và ALSwitch kết nối với nhau qua đường Trunk. Hai Switch này cùng một VTP domain, chia thành các Vlan gồm: Vlan 1 (Native), Vlan 10 (Admin), Vlan 20 (User).
Cấu hình trên DLSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname DLSwitch
DLSwitch(config)#enable password cisco
DLSwitch(config)#enable secret vnpro
DLSwitch(config)#line vty 0 15
DLSwitch(config-line)#password cisco
DLSwitch(config-line)#login
DLSwitch(config-line)#^Z
00:15:08: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking:
DLSwitch#vlan database
DLSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
DLSwitch(vlan)#vtp server
Device mode already VTP SERVER.
DLSwitch(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
DLSwitch(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
DLSwitch(vlan)#apply
APPLY completed.
DLSwitch(vlan)#exit
APPLY completed.
Exiting....
DLSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
DLSwitch(config)#interface vlan 1
DLSwitch(config-if)#ip address 192.168.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
DLSwitch(config-if)#exit
00:17:26: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
DLSwitch(config)#interface vlan 10
DLSwitch(config-if)#ip address 192.168.10.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface vlan 20
DLSwitch(config-if)#ip address 192.168.20.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:19:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface FastEthernet 0/1
DLSwitch(config-if)#switchport trunk encapsulation dot1q
DLSwitch(config-if)#switchport mode trunk
DLSwitch(config-if)#^Z
00:20:11: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan mới:
DLSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/1
Gi0/2
10 Admin active
20 User active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Cấu hình trên ALSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname ALSwitch
ALSwitch(config)#enable password cisco
ALSwitch(config)#enable secret vnpro
ALSwitch(config)#line vty 0 4
ALSwitch(config-line)#password cisco
ALSwitch(config-line)#login
ALSwitch(config-line)#^Z
00:07:40: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking
Chỉ cần cấu hình Trunking, sau đó đưa ALSwitch vào cùng VTP domain Vnpro ở mode client, ALSwitch sẽ tự động học thông tin Vlan từ VTP server (DLSwitch).
ALSwitch#vlan database
ALSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
ALSwitch(vlan)#vtp client
Setting device to VTP CLIENT mode.
ALSwitch(vlan)#exit
In CLIENT state, no apply attempted.
Exiting....
ALSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
ALSwitch(config)#interface FastEthernet 0/1
ALSwitch(config-if)#switchport trunk encapsulation dot1q
ALSwitch(config-if)#switchport mode trunk
ALSwitch(config-if)#exit
ALSwitch(config)#interface range FastEthernet0/4 - 8
ALSwitch(config-if)#switchport access vlan 10
ALSwitch(config-if)#exit
ALSwitch(config)#interface FastEthernet0/9 - 12
ALSwitch(config-if)#switchport access vlan 20
ALSwitch(config-if)#exit
ALSwitch(config)#^Z
ALSwitch#
00:13:00: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan trên ALSwitch:
ALSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3
10 Admin active Fa0/4, Fa0/5, Fa0/6, Fa0/7,
Fa0/8
20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - 0 - - - 0 0
1003 tr 101003 1500 - 0 - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
ALSwitch#
Tiến hành giai đoạn 2:
DLSwitch(config)#interface FastEthernet 0/2
DLSwitch(config-if)#no switchport
DLSwitch(config-if)#ip address 10.200.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:14:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downxit
Lệnh “no switchport” kích hoạt tính năng hoạt động ở lớp 3 cho Catalyst 3550. Lúc này port FastEthernet 0/2 có khả năng hoạt động như một cổng trên Router. Tuy nhiên kết nối giữa DLSwitch và Remote Router qua port này vẫn sử dụng Straight Cable, kết nối giữa DLSwitch và ALSwitch qua port FastEthernet 0/1 dùng Cross Cable. Cấu hình định tuyến:
DLSwitch(config)#ip routing
DLSwitch(config-router)#router ospf 0
DLSwitch(config-router)#network 10.200.0.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.1.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.10.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.20.0 0.0.0.255 area 0
DLSwitch(config-router)#^z
Cấu hình trên Remote Router
Cấu hình các thông số cơ bản:
Router>enable
Router#config terminal
Router(config)#hostname Remote
Remote(config)#enable password cisco
Remote(config)#enable secret vnpro
Remote(config)#line vty 0 4
Remote(config-line)#password cisco
Remote(config-line)#login
Remote(config-line)#exit
Remote(config)#interface interface ethernet0/0
Remote(config-if)#ip address 10.200.1.2 255.255.255.0
Remote(config-if)#no shut
Remote(config-if)#
*Mar 1 00:10:39.175: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
Remote(config-if)#exit
Remote(config)#interface loopback 0
Remote(config-if)#ip address 172.168.0.1 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit
*Mar 1 00:11:26.749: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Remote(config)#router ospf 1
Remote(config-router)#network 172.168.0.0 0.0.0.255 area 0
Remote(config-router)#network 10.200.1.0 0.0.0.255 area 0
Remote(config-router)#^Z
Mar 1 00:13:35.347: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình các interface và cấu hình định tuyến
Xem thông tin định tuyến trên DLSwitch
DLSwitch>enable
DLSwitch#show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
172.168.0.0/32 is subnetted, 1 subnets
O 172.168.0.1 [110/11] via 10.200.0.2, 00:22:50, FastEthernet0/2
C 192.168.20.0/24 is directly connected, Vlan20
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, FastEthernet0/2
C 192.168.1.0/24 is directly connected, Vlan1
Xem thông tin bản định tuyến trên Remote router:
DLSwitch#telnet 10.200.0.2
Trying 10.200.0.2 ... Open
User Access Verification
Password: cisco
Remote>enable
Password: vnpro
Remote#show ip route
Gateway of last resort is not set
O 192.168.10.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
172.168.0.0/24 is subnetted, 1 subnets
C 172.168.0.0 is directly connected, Loopback0
O 192.168.20.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, Ethernet0/0
O 192.168.1.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
Kiểm tra tính kết nối bằng cách dùng một máy trạm nối vào một Vlan bất kỳ. Ping thấy
http://vnpro.org/forum/files/labswitching/lab61/lab61-2.JPG
interface Looback 0 trên Remote Router. Work Station có địa chỉ truộc về Vlan 10. Với Default Gateway là Mangement IP của Vlan 10. Dùng WorkStation trên Vlan 10 có địa chỉ như trên ping đến Looback 0 trên Remote Router và ghi nhậm kết quả. Kiểm tra khả năng InterVlan Routing bằng cách dùng một Work Station trên Vlan 20 ping dến Work Station trên Vlan 10 và ghi nhận kết quả
http://vnpro.org/forum/files/labswitching/lab61/lab61-3.JPG
http://vnpro.org/forum/files/labswitching/lab61/lab61-4.JPG
url:http://vnpro.org/forum/archive/index.php?t-5642.html
Cisco Routers - Basic notes
Cisco Routers - Basic notes
I am playing with Cisco routers now, this are be my notes:
Internal Components:
* RAM. Random access memory. This is the working buffer memory.
* ROM. Read only memory. contains bootstrap process and basic (most of times) IOS for basic functionality (as recover password)
* FLASH MEMORY. Stores full image of IOS.--
* NVRAN. non valitle RAM. Does not loose power when turn off.
* - start up configuration file
Boot process:
* a. Power on
* b. Power on Self Test (POST) (check memory, and cards).
* c. bootstrap from ROM
* d. looks in FLASH for IOS
* e. loads the IOS into RAM from FLASH
* f. IOS looks for configuration in NVRAM
* f.1 If found it load the IOS into FLASH Memory
* f.2 If not found executes teh auto setup mode (menu driven system).
Contexts:
router> ----> user mode (show config, telnet, basic)
router# ----> priviliged mode (show commands, pings, save config, backup)
router(config)# ----> global configuraiton mode (configuration interfaces, security, hostname)
Control - Z is to move from global configuration mode to priviliged mode.
Conectivity:
console port password -----> line con 0
auxiliary port password ---> line aux 0
telnet password -----------> line vty 0 4
Set up a passwords:
On the glboal configuration mode run the following commands to set up a password for the enable command:
router(config)# enable password xxxxxxxxxxx (sets the password but it is shown on screen)
router(config)# enable secret xxxxxxxxxxxxx (sets an encrypted enable password, once secret is enabled password by itself don't work anymore)
To set up password for different access:
router#
router(config)#line console 0 | line auxiliary 0 | line vty 0 4
router(config-line)# login (to ask for prompt)
router(config-line)# password xxxxxxxxxxxxx (to set up the passwod)
control-Z
To encrypt all passwords runt the following command:
router(config)service password-encryption
To set up a banner:
router(config)#banner motd $ message message message $
(Note $ is the delimeter and can be anything, just check to have spaces at the end and beginning)
Setting up an IP on an ehternet port:
A show running-config shows that I have one fastethernet port not configured, set as:
interface FastEthernet0
no ip address
shutdown
speed auto
To do this run:
1721-router#config t ---------> to enter global configuraiton mode
Enter configuration commands, one per line. End with CNTL/Z.
1721-router(config)#interface f0 ----> to enter configuration of fastethernet 0
1721-router(config-if)#ip address 192.168.1.3 255.255.255.0
1721-router(config-if)#no shutdown ----> to activate
1721-router(config-if)#
*Mar 1 07:56:30.838: %LINK-3-UPDOWN: Interface FastEthernet0, changed state top ----> that means I have physical connectivity
*Mar 1 07:56:31.838: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEther,change to up ------> shows I have encapsulation. Connections to another host.
1721-router#ping 192.168.1.1 ----> to test that is working I ping a pc on the network
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
1721-router#
To save the configuration:
router#copy running-config start-config ----> for IOS version 12 and above
router#write memmory ---------> before IOS version 12
Example:
1721-router#copy run star
Destination filename [startup-config]?
Building configuration...
[OK]
1721-router#
To backup config:
router#copy run tftp --> this copy the running configuration TO the tftp server (will ask for details)
router#copy tftp run/start --> this copy the running configuration FROM the tftp server (will ask for details)
(NOT TESTED YET)
my passwords:
enable password/secret
console console
aux aux
telnet1-4 telnet
telnet0 telnet0
I am playing with Cisco routers now, this are be my notes:
Internal Components:
* RAM. Random access memory. This is the working buffer memory.
* ROM. Read only memory. contains bootstrap process and basic (most of times) IOS for basic functionality (as recover password)
* FLASH MEMORY. Stores full image of IOS.--
* NVRAN. non valitle RAM. Does not loose power when turn off.
* - start up configuration file
Boot process:
* a. Power on
* b. Power on Self Test (POST) (check memory, and cards).
* c. bootstrap from ROM
* d. looks in FLASH for IOS
* e. loads the IOS into RAM from FLASH
* f. IOS looks for configuration in NVRAM
* f.1 If found it load the IOS into FLASH Memory
* f.2 If not found executes teh auto setup mode (menu driven system).
Contexts:
router> ----> user mode (show config, telnet, basic)
router# ----> priviliged mode (show commands, pings, save config, backup)
router(config)# ----> global configuraiton mode (configuration interfaces, security, hostname)
Control - Z is to move from global configuration mode to priviliged mode.
Conectivity:
console port password -----> line con 0
auxiliary port password ---> line aux 0
telnet password -----------> line vty 0 4
Set up a passwords:
On the glboal configuration mode run the following commands to set up a password for the enable command:
router(config)# enable password xxxxxxxxxxx (sets the password but it is shown on screen)
router(config)# enable secret xxxxxxxxxxxxx (sets an encrypted enable password, once secret is enabled password by itself don't work anymore)
To set up password for different access:
router#
router(config)#line console 0 | line auxiliary 0 | line vty 0 4
router(config-line)# login (to ask for prompt)
router(config-line)# password xxxxxxxxxxxxx (to set up the passwod)
control-Z
To encrypt all passwords runt the following command:
router(config)service password-encryption
To set up a banner:
router(config)#banner motd $ message message message $
(Note $ is the delimeter and can be anything, just check to have spaces at the end and beginning)
Setting up an IP on an ehternet port:
A show running-config shows that I have one fastethernet port not configured, set as:
interface FastEthernet0
no ip address
shutdown
speed auto
To do this run:
1721-router#config t ---------> to enter global configuraiton mode
Enter configuration commands, one per line. End with CNTL/Z.
1721-router(config)#interface f0 ----> to enter configuration of fastethernet 0
1721-router(config-if)#ip address 192.168.1.3 255.255.255.0
1721-router(config-if)#no shutdown ----> to activate
1721-router(config-if)#
*Mar 1 07:56:30.838: %LINK-3-UPDOWN: Interface FastEthernet0, changed state top ----> that means I have physical connectivity
*Mar 1 07:56:31.838: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEther,change to up ------> shows I have encapsulation. Connections to another host.
1721-router#ping 192.168.1.1 ----> to test that is working I ping a pc on the network
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
1721-router#
To save the configuration:
router#copy running-config start-config ----> for IOS version 12 and above
router#write memmory ---------> before IOS version 12
Example:
1721-router#copy run star
Destination filename [startup-config]?
Building configuration...
[OK]
1721-router#
To backup config:
router#copy run tftp --> this copy the running configuration TO the tftp server (will ask for details)
router#copy tftp run/start --> this copy the running configuration FROM the tftp server (will ask for details)
(NOT TESTED YET)
my passwords:
enable password/secret
console console
aux aux
telnet1-4 telnet
telnet0 telnet0
Subscribe to:
Posts (Atom)