Thursday, December 4, 2008

10 viên gạch xây nên chiến lược cạnh tranh của Michael Porter

rong cuộc cạnh tranh khốc liệt hiện nay, các nhà quản lý phụ trách việc lập chiến lược của doanh nghiệp thường không có đủ hình dung thế nào là chiến lược và sự thành công của chiến lược thể hiện ở điểm nào. Theo Michael Porter – chuyên gia hàng đầu về chiến lược – có 10 yếu tố cơ bản để tạo nên một chiến lược thành công.

michael-porter.gif

1. Đừng cố vươn tới mục tiêu trở thành đơn vị số một trên thị trường mà hãy là đơn vị độc nhất vô nhị.

Sai lầm cơ bản và tệ hại nhất của cách chiến lược gia là cạnh tranh với đối thủ trong cùng một “hốc tường”. Việc bắt chước hoạt động của đối thủ cạnh tranh chính là sai lầm từ khía cạnh chiến lược.

Mục tiêu của bạn – đừng cố trở thành công ty số một hoặc số hai trong lĩnh vực của mình mà hãy trở thành đơn vị độc nhất vô nhị với những sản phẩm/dịch vụ độc đáo cùng các bước tiếp thị xuất sắc.

2. Mục tiêu chính của bạn – tỷ suất lợi nhuận từ đầu tư (ROIC) cao

Đây là mục tiêu cơ bản nhất, còn sự tăng trưởng của công ty mới là mục tiêu thứ hai và chỉ nên thực hiện mục tiêu thứ hai sau khi đã hoàn thành mục tiêu cơ bản.

Sự tập trung vào các mục tiêu này (tăng thị phần, tăng doanh số…) sẽ tạo ra những rủi ro nội bộ nghiêm trọng đối với chiến lược của công ty.

4. Lĩnh vực họat động là nền tảng cho việc phân tích chiến lược

Hiệu quả kinh tế của công ty có được là từ hai yếu tố: cấu trúc ngành (đưa ra những quy tắc cạnh tranh chung) và cấu trúc vị trí của công ty trên thị trường (nguồn gốc lợi thế cạnh tranh). Chiến lược bao gồm hai yếu tố. Việc so sánh chỉ số ROIC của các công ty từ nhiều lĩnh vực khác đơn giản sẽ chẳng có ý nghĩa gì.

Ví dụ, ROIC của công ty dược phẩm Pharmacia&Upjohn trong giai đoạn từ 1985-2002 trung bình là 19.55%, trong khi chỉ số này cùng kỳ của Southewest Airline chỉ 12.75%. Tuy nhiên, nếu nhìn vào chỉ số chung của ngành thì ROIC trong ngành công nghiệp dược phẩm là 28.14%, trong khi chì số này trong ngành công nghiệp hàng không lại thấp – 5.05%. Như vậy, việc tranh luận về sự thành công của doanh nghiệp trên thị trường nên được tiến hành theo vị trí và chỉ số của nó trong ngành.

3. Đừng ngại thỏa hiệp

Phần cơ bản của chiến lược – chọn lựa đúng khi hai vị trí chiến lược không tương hợp, nghĩa là phải xác định xem công ty nên thực hiện việc gì và không nên thực hiện việc gì.

Công ty Neutrogena Soap đã đạt được thành công trong năm 1990 khi lựa chọn lọai xà phòng mềm cho làn da nhạy cảm và dứt bỏ các loại sản phẩm tẩy rửa. Nhãn hiệu đã chiếm được vị trí hàng đầu dưới sự giới thiệu của các chuyên gia da liễu đồng thời chiếm được lòng tin của người tiêu dùng, bất chấp phân khúc thị trường cho sản phẩm này là tương đối hẹp. Tuy nhiên, sau đó, khi xây dựng lại chiến lược và tái định hướng vào sự tăng trưởng của côngt y cũng như việc xây dựng chiến lược quảng cáo đại chúng trên truyền hình với sự tham gia của các ngôi sao, công ty đã đánh mất lòng tin của người tiêu dùng và kết quả là thị phần của công ty đã không còn.

5. Chiến lược cần phải thành công trong từng mắt xích của chuỗi tạo dựng giá trị

Lợi thế cạnh tranh của doanh nghiệp không thể được tập trung vào một hoặc một số mắt xích của chuỗi tạo dựng giá trị.

Công ty Zara - từng chiếm được thị trường trong một thời gian ngắn – chính là một ví dụ điển hình của chiến lược thành công tại từng mắt xích của chuỗi tạo dựng giá trị. Zara tin vào việc thay đổi thường xuyên bộ sưu tập của mình – 15 lần/năm (trong khi các nhà sản xuất quần áo khác chỉ thay đổi bộ sưu tập của mình một lần trong một mùa). Hãng cũng tin rằng, sự khác biệt của họ chính là niềm tin vào xu hướng mốt với giá cả phải chăng, nguồn gốc hàng hóa phải là châu Âu thay vì Hồng Kông hoặc Trugn Quốc, vị trí cửa hàng phải là những nơi có nhiều người qua lại…Và Zara đã thành công. Đối thủ không thể bắt chước một trong nhiều mắt xích chiến lược của Zara.

6. Chiến lược phải bất biến và cố định

Sự bất biến trong chiến lược chính là điều đảm bảo cho sự ổn định của công ty. Không nên chiều theo nhu cầu của người tiêu dùng mà làm sai lệch chiến lược của công ty.

Việc thường xuyên tăng cường sự quan tâm tới đòi hỏi và cả sự than phiền của người tiêu dùng chính là mối đe dọa nghiêm trọng đối với sự thực thi trình tự chiếc lược mà doanh nghiệp đã lựa chọn.Đôi khi, bạn cũng nên khuyên khách hàng mua sản phẩm/dịch vụ của đối thủ cạnh tranh vì việc khiến cho một lớp khách hàng này không hài lòng với sản phẩm của bạn nhằm tạo ra sự thỏa mãn cho một lớp khách hàng khác ở mức độ cao hơn đôi khi được coi là một chiến lược tốt.

7. Phân khúc thị trường là phần quan trọng trong việc tạo dựng chiến lược

Bạn có thể lựa chọn bất cứ phân khúc người tiêu dùng nào, sản phẩm nào hay tạo động cơ mua sản phẩm hay dịch vụ, thậm chí nếu như phân khúc này có vẻ không đúng ngay từ cái nhìn ban đầu.

Điều cơ bản để khung phân khúc lựa chọn được rõ ràng và không xảy ra sự “xói mòn”, tất cả các mắt xích của chuỗi tạo dựng giá trị cần phải tương hợp với phân khúc này.

8. CEO không phải là người sử dụng chiến lược mà là động cơ của chiến lược

Vai trò người đứng đầu doanh nghiệp trong việc tạo dựng và thực thi chiến lược dẫn đến các chức năng sau:

* đặt ra các câu hỏi mà câu trả lời cần được thể hiện trong kế họach chiến lược.
* lựa chọn thành viên tham gia vào việc tạo dựng chiến lược.
* tham gia vào các giai đọan đầu tiên của việc phát triển chiến lược trong từng bộ phận kinh doanh của công ty.
* để HDQT của công ty biết các kế họach chiến lược cơ bản của công ty.
* thu hút các chuyên gia tư vấn bên ngoài công ty.

Cũng đừng quên rằng, chiến lược cần phải đụng chạm đến tất cả các thành viên tổ chức chứ không phải chỉ ban quản lý công ty. Nếu như nhân viên của công ty (bất cứ cấp nào) không tiếp nhận chiến lược đã lựa chọn thì điều này có nghĩa rằng, anh ta/cô ta KHÔNG THỂ tiếp tục làm việc trong tổ chức của bạn.

9. Chiến lược không phải là:

§ mục tiêu

§ tầm nhìn

§ tái cơ cấu

§ mua bán và sáp nhập

§ liên minh và hợp tác

§ công nghệ

§ đổi mới /cách tân

§ gia công bên ngoài (outsourcing)

§ đào tạo

10. Chiến lược là:

* đề xuất mang tính độc nhất vô nhị
* chuỗi tạo dựng giá trị khác biệt với đối thủ cạnh tranh
* thỏa hiệp rõ ràng và xác định việc gì cần làm, việc gì không
* tính bất biến trong định vị.

Nam Khánh dịch từ Mybiz - BwPortal VN

Wednesday, December 3, 2008

Never start a project unless all resources are available


























url: http://maratische.livejournal.com/102187.html

Friday, February 03, 2006

Never start a project unless all the resources are available

his is one of my bitter experiences to have witnessed in my career. It's not only about the number of resources, but also their skill sets. Always commit the estimate, after you have evaluated the skill levels of the resources available. Concrete estimates come only after all the requirements are freezed up.

It should not happen that requirement that is given to you initially, is just a tip of the iceberg. Later on, you may find yourself trapped in a soup fighting over the new requirements and time, all the way throughout the project development. Especially, when you are also fully involved in coding, testing and management. This won't leave you with enough time to manage as well as solve the problems/hurdles.

Development is not the only factor that should be considered, but also the environment under which the work is to be carried out, plays an important role. Due to lack of office space in small companies I have seen developers being made to sit parallel to the marketing and call support departments. Core development requires peaceful atmosphere where developers can concentrate writing creative lines of code. Given the nature of job for marketing department, they are the people of interactive personality and are in the habit of sharing unwanted stuff whenever they find time between marketing calls. This may frequently interrupt the development process. It is not to blame them, but is the requirement of their job profile. I mean interactivity and not bugging the the developers :-).

One more aspect of environment is your software system environment. This is where you will initiate coding. Ensure that system environment is all setup to the satisfaction. If not, also provide the estimate for the same. posted by Nehal Shah at 8:36 AM

url:http://nehalshah.blogspot.com/2006/02/never-start-project-unless-all.html

Tuesday, November 25, 2008

6 yếu tố cần tránh khi hợp tác kinh doanh

6 yếu tố cần tránh khi hợp tác kinh doanh
Cập nhật lúc: 15h 05.11.2008

Hợp tác giữa các công ty đã trở thành một phần quan trọng trong kinh doanh. Lý do thật đơn giản: đó là bổ sung kỹ năng cho nhau, chia sẻ công cụ, chi phí và ý tưởng để có thể hiện thực hóa một sáng kiến hay và các bên hợp tác sẽ cùng thu được lợi nhuận.
Nhưng cũng tương tự như một sự “hôn phối” giữa hai cá thể, bên trong mối quan hệ hợp tác thường có không ít rắc rối và thử thách liên quan đến vô số vấn đề như chi phí, thuê mướn nhân viên, chia sẻ lợi nhuận.
Vì thế, nếu đang nghĩ đến chuyện hợp tác cùng doanh nghiệp nào đó, bạn hãy cân nhắc đến những điều sau đây:
1. Không cân nhắc kỹ khi góp vốn

Bất cứ lúc nào nói đến việc phải sẻ chia một phần vốn của mình, như tiền bạc, nguyên liệu, thông tin và bất động sản, thì có nghĩa là bạn sẽ mất đi một phần khả năng nắm bắt sự nghiệp của mình.
Trong một thế giới hoàn hảo, người hợp tác cùng luôn có ý chí tốt, chính trực và không hề có ý tưởng chiếm đoạt phần tài sản ấy hay sử dụng chúng để kiếm tiền cho riêng mình, nhưng cuộc sống hiện nay không hoàn mỹ như thế.
Do đó, hãy luôn cẩn trọng, tính toán mọi chi phí hoạt động và lợi nhuận mà bạn chia sẻ theo một bản thỏa thuận hợp tác. Cũng đừng quên tạo ra một lối thoát dễ dàng cho mình nếu mọi chuyện trở nên không như ý muốn.
2. Hợp tác chỉ vì không đủ tiền thuê nhân công

Đây chính là liều thuốc giết chết sự hợp tác ngay khi mới bắt đầu. Hoàn cảnh thường rất quen thuộc: A có ý tưởng kinh doanh và B lại sở hữu kỹ năng kinh doanh, nhưng A không đủ khả năng thuê mướn B nên họ quyết định cùng chia sẻ công việc, chi phí và lợi nhuận.
Điều gì sẽ xảy ra nếu A và B cùng kết thúc mọi thứ trong tình trạng cả hai đối đầu với nhau và A chợt nhận ra rằng anh ta hoàn toàn lệ thuộc vào những điều lệ bắt buộc ghi trong hợp đồng hợp tác với B? Nếu bạn có được một ý tưởng và biết một ai đó có được một kỹ năng thì hãy thuê anh ta hoặc thực hiện một bản hợp đồng chấp thuận sự độc lập của mình.
3. Thiếu hợp đồng hợp tác

Trong sự hợp tác, mọi chi tiết và trách nhiệm đều phải được kê khai rõ ràng và viết ra giấy, và hợp thức hóa bằng hợp đồng có cả sự tham gia của luật sư hai bên. Bạn sẽ rất cần đến luật sư khi tình thế xấu đi.
4. Xem thường việc hợp tác hữu hạn

Một trong những nguyên nhân chính dẫn đến sự thất bại của hợp đồng hợp tác chính là việc hiểu nhầm về các điều lệ pháp lý mà các bên đặt ra cho nhau. Một điều đáng chú ý chính là chủ quan trong sự hợp tác hữu hạn, nghĩa là một bên không phải chịu trách nhiệm về những hành động hay bổn phận nào của bên kia. Hãy để luật sư xem xét kỹ vấn đề này trong bản thỏa thuận.
5. Thiếu hẳn một lối thoát

Trong bất kỳ thỏa thuận hợp tác nào, hãy xác định rõ các điều khoản cho phép bạn và đối tác có thể chấm dứt việc hợp tác hoặc những lựa chọn liên quan đến việc mua lại toàn bộ tài sản của đối tác. Đây thật sự là một công việc dễ dàng và minh bạch, cũng như không hề dính dáng đến sự thành công của việc kinh doanh chung.


Monday, November 10, 2008

IT Manager - job description

Brief Description :

• Overall responsible for the Information Technology Management.

• Other Responsibilities are:

- Overall responsibility for the maximum uptime and utilization of IT systems

- Project manage IT-related implementations

- Manage and develop training plans for IT Team

- Continuously review business processes with users to ensure that efficiency & quality of work are maximized through proper implementation of IT solutions.
Key Responsibilities :

 System and Project Management


- To lead overall planning and selection of IT technical, infrastructure solutions & business applications.

- To liaise with users to understand the business requirements and to source for the right solutions.

- To lead in the evaluation and selection of IT solutions and strategic implementation partners.

- To oversee planning, development and project management of IT projects.


 IT Management



- To prepare the annual IT Budget and Key Activities.

- To ensure that the IT costs are well managed.

- Provide timely reporting to management on IT project status and Service levels.


 IT System Services & Operations



- To work closely with NISAP Team in handling SAP related issues.

- Work with Corporate IS in planning and implementation of local infrastructure & technical projects

- Ensure minimal downtime in IT systems and proper backups are performed for critical systems.

- Manage IT Helpdesk support and ensure that network and messaging system service levels are met.

- Ensure environment has adequate security and protection in place such as virus mgmt, internet security mgmt, information security policies)

- Vendor management of local contracts and service agreements


 Business Process Review


- To recommend alternatives of performing daily tasks to reduce redundancy & manual work through IT solutions.

- To gather feedback from business users on their requirements for IT systems from time to time.

- To work closely with NISAP Team to ensure SAP functionalities are being extended to enhance business processes.


IT Staff Development

- To assist in IT staff recruitment and definition of job roles & responsibilities.

- To develop training & development plan and recommend appropriate training for IT staff

- To develop the performance appraisal guidelines and KPI measurements for inclusion to Performance Contracts

- To monitor overall performance of IT staff and provide direct assistance to team members in resolving work-related issues.

- To coach IT staff in effective problem resolution and decision making process.

- To motivate and supervise the IT staff to achieve the established key performance indicators.
Job Requirement:

IT technologies and devices are continual change therefore the jobholder needs to study and attend IT technology-training courses usually.

http://www.vipdatabase.com/index.php?act=viewjob&jobid=4658&mn=2

Thursday, October 16, 2008

Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS)

DHCP snooping is a DHCP security feature that provides security by filtering untrusted DHCP messages and by building and maintaining a DHCP snooping binding table. An untrusted DHCP message is a message that is received from outside the network or firewall causing denial of service attacks.

The DHCP snooping binding table contains the MAC address, IP address, lease time, binding type, VLAN number, and interface information that corresponds to the local untrusted interfaces of a switch. An untrusted interface is an interface that is configured to receive messages from outside the network or firewall. A trusted interface is an interface that is configured to receive only messages from within the network.

DHCP snooping can be enabled on the switch per vlan as it can intercept the DHCP messages at the layer2.

The following is a step by step procedure to enable and configure DHCP snooping in Cisco catalyst switches running Cisco IOS

Enable DHCP Snooping

ciscoswitch(config)# ip dhcp snooping

Enable DHCP Snooping on VLANs

DHCP snooping can be enabled on one or more VLANs or a range of VLANs

ciscoswitch(config)# ip dhcp snooping vlan number 100

The above enables dhcp snooping on VLAN 100

To enable on more VLANs

ciscoswitch(config)# ip dhcp snooping vlan number 10-15 100 110

where the DHCP snooping is enabled on VLAN 10-15, 100 and 110

Enable DHCP Option 82

This allows DHCP option 82 message insertions into the packets. Option 82 is the Relay Agent Information Option as described in RFC 3046

ciscoswitch(config)# ip dhcp snooping information option

Configure Trust Interface

Interface not explcicitly configured as a trust interface is treated as an untrusted interface.

ciscoswitch(config)# interface fa0/0

ciscoswitch(config-if)# ip dhcp snooping trust

DHCP Snooping Rate limiting (optional)

Rate limiting allows restricting the number of DHCP packets per second (pps) that an interface can receive

ciscoswitch(config-if)# ip dhcp snooping limit rate 202

Where "202" indicates that the interface can receive "202" messages per second

This should configure DHCP Snooping on Cisco IOS switches.

Display DHCP Snooping

ciscoswitch# show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
10-15 100 110
Insertion of option 82 information is enabled.
Interface Trusted Rate limit (pps)
——— ——- —————-
FastEthernet2/1 yes 10
FastEthernet2/2 yes none
FastEthernet3/1 no 20

Display DHCP Snooping Binding Table

ciscoswitch# show ip dhcp snooping binding
MacAddress IP Address Lease (seconds) Type VLAN Interface
———– ———– —————- —– —– ————
0000.0100.0201 10.0.0.1 1600 dynamic 100 FastEthernet2/1

2 Comments so far »

  1. by Tawfiq, on May 29 2008 @ 1:21 pm

    Thanks to him who is written this document -
    -he is describe easily here what is
    dhcp snooping and how to implement this security feature
    its a brilliant do doubt -

  2. by Cisco.zephyr, on July 29 2008 @ 10:52 am

    This was straight to the point and gave just enough references to follow up for my own reasoning and thoughts.
    Thank you for a (as the other person commented)Brilliant simplistic configuration.

How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS

How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS
Posted on Jul 01, 2008 under Cisco |

Tags:Cisco cisco-switch InterVLAn-Routing ios router switch vlan

VLAN Interfaces are required in network scenarios where you have different VLANs and need Inter-VLAN switching on Layer3 (Routing capable) switches. Every VLAN that needs to be routed should have a VLAN interface.

Let's say we have VLAN 10 which hosts the subnet 192.168.10.0 subnet, VLAN hosts 192.168.20.0 subnet and VLAN 30 hosts 192.168.30.0 subnet. For Inter-VLAN routing to work, we need to have a VLAN interface setup for each of these VLANs and configured with an IP address from the same subnet which will be the default Gateway for that subnet. Lets say, 192.168.10.254,192.168.20.254.192.168.30.254 are the IP addresses for VLAN Interfaces of VLAn 10,20,30 respectively.

Assuming the VLANs are configured already, let's proceed to get the VLAN interfaces created.

Enable Routing on the Switch

ciscoswitch# conf t

ciscoswitch(config)# ip routing

Add VLAN Interface

ciscoswitch(config)# interface vlan10

ciscoswitch(config-if)# no shut

ciscoswitch(config-if)# ip address 192.168.10.0 255.255.255.0

This configures a VLAN interface for VLAN 10.

Default Route on Switch

Add a default route on the Switch. This will forward all traffic from the different VLANs to the default router.

ciscoswitch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

Interface to the Router

If the switch cannot reach the default router through a VLAN then an interface that connects to the router which does these routing needs to configured as a routed interface and assigned with an IP address that is in the same subnet as that of the Default router.

ciscoswitch(config)# interface gi0/1

ciscoswitch(config-if)# no shut

ciscoswitch(config-if)# no switchport

ciscoswitch(config-if)# ip address 192.168.100.2 255.255.255.0

This makes the inerface as a routed interface and assigns an IP address in the same subnet as the default router.
Related Posts

* Unable to delete Stale/Obsolete statc routes in Cisco IOS (Jul 03, 2008)
* High CPU usage when SNMP is enabled in Cisco Routers (Jun 19, 2008)
* Configure MD5 encrypted passwords for users on Cisco IOS (May 20, 2008)
* Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS) (May 15, 2008)
* Allow user view Running/Startup-Config (red-only) in Cisco IOS (May 12, 2008)

url:http://www.itsyourip.com/cisco/how-to-create-vlan-interfaces-for-intervlan-routing-in-cisco-ios/

Configure Cisco Port Security on Switches and Router interface

Configure Cisco Port Security on Switches and Router interface
Posted on Dec 04, 2007 under Cisco, Security |

Tags:Cisco ios mac-address port-security router Security switch

Cisco Port Security is a features that can help secure access to the physical network. Any Network admins nightmare is an unauthorised device or a PC connecting to the network. This could be as simple as an innocent guest plugging his PC into a floor port hoping to get an internet connection or a malicious intruder connecting to the network trying to gain access to confidential information.

Consequences could as bad as

* Virus, Spyware or malware infection from a PC unprotected PC
* A malicious hacker or an intruder gaining access to the network
* A malicous attacker launching a Denial of Service attack using MAC Address flooding

Cisco IOS has the port-security feature which can be used to restrict the MAC-Address of the devices that connects to each of the physical switchports.

Cisco Port-Security can help to

* restrict the MAC-address or addresses that can connect through a switchport [default: first connected device MAC Address]
* restrict the number of MAC-Addresses that can connect through a switchport [default is 1 and maximum is 128]
* set aging in minutes of the MAC Addresses registed
* Action to take when there is a violation detected (default is to disable the port and send an SNMP Trap message to the SNMP management server (if any))

For a switch port to be security enabled,

* the switchport cannot be a Trunk Port
* the switchport cannot be a destination port for a Switchport Analyzer (SPAN)
* the switchport cannot belong to an EtherChannel port-channel interface
* the switchport cannot be an 802.1X port

If you try to enable 802.1X on a secure port, an error message appears, and 802.1X is not enabled. If you try to change an 802.1X-enabled port to a secure port, an error message appears, and the security settings are not changed.

To enable Port Security on a Cisco Switch or router interface

Enter the interface config mode (say fa0/1)

Switch# conf t

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport mode access

This sets the switchport to access mode. Default mode of "Dynamic desirable" cannot be configured as a secure port

Switch(config-if)# switchport port-security

This enables the port security on the switchport with the defaults [1 MAC Address allowed, 1st connected MAC Address, disable port if there is a violation]

If you know the MAC Address of the device and that thats the only device that connects to the swicthport (for example, A server on a Serverfarm switch) then you can set the MAC-Address manually.

Switchport(config-if)# switchport port-security mac-address 1111.2222.3333

Where 1111.2222.3333 is the MAC Address of the server. This will disable the secure port, if any other device other than the one with the above MAC-Address connects to the switch port.

If there is a switch or a hub (say 12 port or a 24 port) that connects to the switchport which you want to secure then you can set the maximum number of MAC-Addresses that connects to the port and/or set the MAC-Address optionally.

Switchport(config-if)# switchport port-security max 12

This sets the maximum number of mac-address allowed on the secure port (default is 128).

One step further, if you want to manually add some or all of these MAC-Addresses then you can specify using the following command one for each MAC-Address

Switchport(config-if)# switchport port-security mac-address 0000.0000.0000

Switchport(config-if)# switchport port-security mac-address 0000.0000.1111

If now, you need to set the maximum number of MAC Addresses on the switchport but are aware that some or most of them are temporary ones (guest users or temporary workers) then you can set the aging time on the port-security which allows MAC-Addresses on the Secure switchport will be deleted after the set aging time. This helps to avoid a situation where obsolete MAC-Address occupy the table and saturates causing a violation (when the max number exceeds).

Switchport(config-if)# switchport port-security aging time 10

Where time is specified in minutes (10 mins in the above)

Now, you can set the action to be taken when there is a violation. The default is to shutdown the port and mark the port err-disabled.

For example,

Switchport(config-if)# switchport port-security violation protect

Where protect is the action taken when a violation event is triggered.

The actions are

protect — Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value.

restrict — Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value and causes the Security Violation counter to increment.

shutdown (default) — Puts the interface into the error-disabled state immediately and sends an SNMP trap notification.

To show the port-security,

Switch# show port-security interface fastethernet 0/1
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0

To display port-security info without any interface provided

Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
—————————————————————————-
Fa0/1 11 11 0 Shutdown
Fa0/2 15 5 0 Restrict
Fa0/3 5 4 0 Protect
—————————————————————————-
Total Addresses in System: 21
Max Addresses limit in System: 128

To display the security MAC-Address table

Switch# show port-security address
Secure Mac Address Table
——————————————————————-
Vlan Mac Address Type Ports Remaining Age
(mins)
—- ———– —- —– ————-
1 0001.0001.0001 SecureDynamic Fa0/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa0/1 15 (I)
1 0001.0001.0003 SecureConfigured Fa0/1 16 (I)
1 0001.0001.0004 SecureConfigured Fa0/1 -
1 0001.0001.0005 SecureConfigured Fa0/1 -
1 0005.0005.0006 SecureConfigured Fa0/5 23
1 0005.0005.0007 SecureConfigured Fa0/5 23
1 0005.0005.0008 SecureConfigured Fa0/5 23
1 0011.0011.0009 SecureConfigured Fa0/11 25 (I)
1 0011.0011.0010 SecureConfigured Fa0/11 25 (I)
——————————————————————-
Total Addresses in System: 10
Max Addresses limit in System: 128

For more information, check this Cisco documentation

If you're new here, you may want to subscribe to my RSS feed. Thanks for visiting!
Related Posts

* Unable to delete Stale/Obsolete statc routes in Cisco IOS (Jul 03, 2008)
* How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS (Jul 01, 2008)
* High CPU usage when SNMP is enabled in Cisco Routers (Jun 19, 2008)
* Configure MD5 encrypted passwords for users on Cisco IOS (May 20, 2008)
* Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS) (May 15, 2008)

Tuesday, October 7, 2008

Adding a Cisco switch to a VTP domain

Adding a Cisco switch to a VTP domain
By James on October 16, 2007
757 views
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...
Categories: Cisco Tags: IOS

Adding a switch to a VTP domain is fairly easy to do, but done incorrectly, can bring down a whole network. Fortunatly I have not had this happen to me, but I have heard horror stories. There are a few simple steps to take to make sure everything stays running smoothly.

The very first step to complete as soon as you are ready to put a new switch on a network and join it to the domain, is to make sure that the vtp mode is set to transparent. Setting the mode to transparent ensures that the “Configuration Revision” is set to 0. If the switch has been used in a lab and has vlans configured and a configuration revision that is higher than the domain server, even if the switch being added is in client mode, it will overwrite the server and propagate all of it’s vlans across the network.


This is directly taken from Cisco’s website:

A recently added switch can cause problems in the network. It can be a switch that was previously used in the lab, and a good VTP domain name was entered. The switch was configured as a VTP client and was connected to the rest of the network. Then, you brought the trunk link up to the rest of the network. In just a few seconds, the whole network can go down.

If the configuration revision number of the switch that you inserted is higher than the configuration revision number of the VTP domain, it propagates its VLAN database through the VTP domain.

This occurs whether the switch is a VTP client or a VTP server. A VTP client can erase VLAN information on a VTP server. You can tell this has occurred when many of the ports in your network go into the Inactive state but continue to assign to a nonexistent VLAN.

To make sure this does not happen, before you connect the switch to the network, make sure to set the vtp mode to transparent.
C3750-Client(config)#vtp mode transparent
C3750-Client(config)#exit
C3750-Client#show vtp status
C3750-Client#sh vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
VTP Operating Mode : Transparent
VTP Domain Name :
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0×18 0×17 0xE9 0×22 0×49 0×96 0×0C 0×7E
Configuration last modified by 10.10.10.20 at 3-1-93 00:03:25

Now that this switch won’t overwrite the server, configure the vtp domain and password, and then change the mode to client.
C3750-Client(config)#vtp domain Test
Changing VTP domain name from NULL to Test
C3750-Client(config)#vtp password Testpassword
C3750-Client(config)#vtp mode client
Setting device to VTP CLIENT mode

Show the vtp status to confirm.
C3750-Client#show vtp status
VTP Version : 2
Configuration Revision : 62
Maximum VLANs supported locally : 1005
Number of existing VLANs : 38
VTP Operating Mode : Client
VTP Domain Name : Test
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xCD 0×9D 0xFF 0xC3 0×6F 0×63 0×5F 0xF5
Configuration last modified by 10.10.10.2 at 10-16-07 22:16:43

And then a show vlan and check the output to make sure all the vlans have propagated.
C3750-Client#show vlan

The only rule you really need when adding switches is to make sure the switch is in TRANSPARENT mode first.


url:http://jklogic.net/adding-a-cisco-switch-to-a-vtp-domain/

Monday, October 6, 2008

How to configure a Cisco Catalyst switch to act as a DHCP relay agent

How to configure a Cisco Catalyst switch to act as a DHCP relay agent
How to configure a Cisco Catalyst switch to act as a DHCP relay agent in the following Cisco Catalyst switches:
2940 - 2970 - 3550 - 3560 - 3750 - 4000 - 4500 - 6000 - 6500
Relay agents are used to forward requests and replies between clients and servers when they are not on the same physical subnet.
Relay agent forwarding is distinct from the normal forwarding of an IP router, where IP datagrams are switched between networks somewhat transparently.
Relay agents receive Dynamic Host Configuration Protocol (DHCP) messages and then generate a new DHCP message to send out on another interface.
The 2900XL, 2950 and 3500XL switches cannot be configured as a DHCP helper, or DHCP relay.
This requires a router or a switch with a Layer 3 capability that can do InterVLAN routing.
These switches are Layer 2 devices, which can only do DHCP snooping.
The ip helper-address command is present on a configurable Layer 3 interface.
The general rule is to configure the command on the Layer 3 interface closest to the client.
In order configure a Cisco Catalyst switch to act as a DHCP relay agent, issue the ip helper-address command in interface configuration mode and specify the IP address of the DHCP server on the remote subnet.
This ensures that all DHCP broadcasts are forwarded to that address.
More than one helper address can be configured per interface.
You may also wish to investigate:
Understanding and Troubleshooting DHCP in Catalyst Switch or Enterprise Networks

Thursday, October 2, 2008

Cách tấn công hệ thống Cisco!!!

Tấn công hệ thống Cisco
Cảnh báo:
Đây là bài viết mục dích chỉ nhằm nghiên cứu và hoc tập
KHÔNG ĐƯỢC sử dụng tài liệu này để phá hoại các hệ thống cisco, hoặc thâm nhập bất hợp pháp vào hệ thống. Tài liệu này chỉ nhằm mục đích giáo dục. Chỉ sử dụng tài liệu này một cách hợp pháp (Wargames của các hacker chẳng hạn.), và không được phá hoại bất kì cái gì. Đây là một bài học dẫn dắt từng bước một về cách một những điểm yếu của cisco dẫn tới việc có thể bị truy nhập trái phép. Nếu bạn bị bắt quả tang đang đột nhập vào một bộ dẫn đường cisco, hoặc làm rối loạn hệ thống, bạn có thể làm gián đoạn hàng trăm người dùng internet, tốn kém hàng ngàn đôla, cho nên chỉ sử dụng tài liệu này khi bạn được cho phép ! Sử dụng sai tài liệu này sẽ làm cho bạn gặp rất nhiều rắc rối.

Chú ý: một số bài học được viết cho hệ Unix, và không được chuyển soạn cho
DOS/hay tương thích Windows, cho nên bạn sẽ phải xem tài liệu này bằng trình duyệt Web, hoặc Microsoft Word.
-------------------------------------

- Phần 1: Tại sao lại xâm nhập bộ dẫn đường cisco?

- Phần 2: Tìm một bộ dẫn đường cisco như thế nào ?

- Phần 3: Làm thế nào thâm nhập vào bộ dẫn đường cisco ?

- Phần 4: Phá mật khẩu như thế nào ?

- Phần 5: Sử dụng bộ dẫn đường như thế nào ?

-----------------------------------

Những thứ CẦN biết TRƯỚC khi bạn bắt đầu:

-----------------------------------
Địa chỉ IP là gì?
Địa chỉ IP là gì?

IP là từ viết tắt của Internet Protocol, địa chỉ IP được sử dụng bởi các máy tính khác nhau để nhận biết các máy tính kết nối giữa chúng. Đây là lí do tại sao bạn lại bị IRC cấm, và là cách người ta tìm ra ISP của bạn.
Địa chỉ IP có thể dễ dàng phát hiện ra, người ta có thể lấy được qua các cách sau :
- bạn lướt qua một trang web, IP của bạn bị ghi lại
- trên IRC, bất kì ai cũng có thể có IP của bạn
- trên ICQ, mọi người có thể biết IP của bạn, thậm chí bạn chọn "do not show ip" người ta vẫn lấy được nó
- nếu bạn kết nối với một ai đó, họ có thế gõ "systat", và biết được ai đang kết nối đên họ
- nếu ai đó gửi cho bạn một email với một đoạn mà java tóm IP, họ cũng có thể tóm được IP của bạn

Có rất nhiều cách tóm địa chỉ IP, bao gồm cả việc sử dụng các chương trình back-door như Sub7 hoặc NetBus.
Thế nào là một ISP?

ISP viết tắt cho Internet Service Provider, đó là những công ty mang internet đến cho bạn. Bạn kết nối đến họ mỗi khi bạn dial-up và tạo một kết nối. Mọi người có thế phát hiện ra ISP của bạn chỉ đơn giản bằng cách traceroute bạn (traceroute sẽ được giải thích sau). Nó sẽ trông như thế này:

tracert 222.222.22.22

Tracing route to [221.223.24.54]
over a maximum of 30 hops.
1 147ms 122ms 132ms your.isp [222.222.22.21]
2 122ms 143ms 123ms isp.firewall [222.222.22.20]
3 156ms 142MS 122ms aol.com [207.22.44.33]
4 * * * Request timed out
5 101ms 102ms 133ms cisco.router [194.33.44.33]
6 233ms 143ms 102ms something.ip [111.11.11.11]
7 222ms 123ms 213ms netcom.com [122.11.21.21]
8 152ms 211ms 212ms blahblah.tts.net [121.21.21.33]
9 122ms 223ms 243ms altavista.34.com [121.22.32.43] <<< target's isp
10 101ms 122ms 132ms 221.223.24.54.altavista.34.com [221.223.24.54]
Trace complete.
Gói tin TCP/IP là gì?

TCP/IP viết tắt cho Transmission Control Protocol and Internet Protocol, a Gói tin TCP/IP là một khối dữ liệu đã được nén, sau đó kèm thêm một header và gửi đến một máy tính khác. Đây là cách thức truyền tin của internet, bằng cách gửi các gói tin. Phần header trong một gói tin chứa địa chỉ IP của người gửi gói tin. Bạn có thể viết lại một gói tin và làm cho nó trong giống như đến từ một người káhc!! Bạn có thể dùng cách này để tìm cách truy nhập vào rất nhiều hệ thống mà không bị bắt. Bạn sẽ phải chạy trên Linux hoặc có một chương trình cho phép bạn làm điều này. Bài giảng này sẽ không đưa ra cách sử dụng biện pháp này trên bộ dẫn đường Cisco, những sẽ nằm trong tầm tay khi hack vào một hệ thống. Nếu gặp rắc rối khi bạn thử hack vào một hệ thống, sử dụng cách này...
Làm thế nào để giấi IP của bạn:

Tìm một chương trình như Genius 2 hoặc DC IS, chúng sẽ cho phép bạn chạy IdentD. Các chương trình này sẽ thay đổi phần đầu của IP máy tính của bạn ngay lập tức! Dùng cách này khi bạn bị đuổi ra khỏi IRC chat room.... bạn sẽ có thể quay lại ngay lập tức! Bạn cũng có thể sử dụng cách này khi bạn truy nhập vào một hệ thống khác và như thế nó sẽ log id sai
Sử dụng telnet :

Bạn mở telnet đơn giản băng cách chọn Start Menu rồi Run và gõ "telnet".

Một khi bạn đã mở được telnet, bạn sẽ muốn thay đổi một vài tính năng. Chọn Terminal>Preferences. Tại đây bạn có thể thay đổi kích thước vùng đệm font, và một cái thứ nữa. Bạn cũng có thể bật/tắt "local echo", nếu bạn bật,
máy tính sẽ hiển thị mọi thứ bạn gõ vào, và các máy tính khác cũng sẽ hiện cho bạn thấy.
Và bạn có thể sẽ nhận được những thông điệp tương tự như thế này.

bạn gõ "hello", và bạn nhận được
hhelelollo

Điều này xảy ra bởi vì thông tin đã phản hồi lại và những gì nhận được là những gì bạn đã gõ. Lí do duy nhất tôi dùng chương trình này bởi lẽ nó không trả về những gì bạn gõ
Mặc định, telnet sẽ kết nối với một hệ thống bằng cổng telnet, cổng số 23. Và từ bây giờ bạn sẽ không chỉ kết nối băng cổng 23, và khi bạn kết nối, bạn có thể chọn đổi sang dùng cổng 25 chẳng hạn, cổng này được dùng bởi các mail servers. Hoặc có thể là cổng 21, cho FTP. Có hàng nghì cổng, cho nên bạn phải chọn đúng cổng cần thiết
Sử dụng HyperTerminal:

HyperTerminal cho phép bạn thiết lập một "server" trên bất kì cổng nào của máy tính của bạn để thu nhận thông tin đến từ các máy tính nhất định. Để làm được điều này, chọn Start > Programs > Accessories > Communications > HyperTerminal.
Đầu tiên bạn cần phải lựa chọn kết nối, bấm "TCP/IP Winsock", và sau đó đặt vào máy tính mà bạn kết nối với, và số cổng. Bạn có thể sai khiến nó nghe ngóng đầu vào bằng cách chọn Call>Wait for Call. Và bây giờ các máy tính khác có thể kết nối với bạn bằng cổng đó, và bạn có thể chat hay truyền file.
Sử dụng Ping:

Ping thật dễ dàng, chỉ cần mở MS-DOS, và gõ "ping địa_chỉ_ip", mặc định sẽ ping 4 lần, nhưng bạn cũng có thể gõ

"ping ip.address -t"

Cách này sẽ làm máy ping mãi. Để thay đổi kích thước ping làm như sau:
"ping -l (size) địa_chỉ_ip "
Cái ping làm là gửi một gói tin đến một máy tính, sau đó xem xem mất bao lâu gói tin rồi xem xem sau bao lâu gói tin đó quay trở lại, cách này xác định được tốc độ của kết nối, và thời gian cần để một gói tin đi và quay trở lại và chia bốn (gọi là "trip time"). Ping cũng có thể được dùng để làm chậm đi hoặc đổ vỡ hệ thống bằng lụt ping. Windows 98 treo sau một phút lụt ping (Bộ đệm của kết nối bị tràn – có qua nhiều kết nối, nên Windows quyết định cho nó đi nghỉ một chút). Một cuộc tấn công “ping flood” sẽ chiếm rất nhiều băng thông của bạn, và bạn phải có băng thông lớn hơn đối phương ( trừ khi đối phương là một máy chạy Windows 98 và bạn có một modem trung bình, bằng cách đó bạn sẽ hạ gục đối phương sau xấp xỉ một phút lụt ping). Lụt Ping không hiệu quả lắm đổi với những đối phương mạnh hơn một chút. trừ khi bạn có nhiều đường và bạn kiểm soát một số lượng tương đối các máy chủ cùng ping mà tổng băng thông lơn hơn đối phương.
Chú ý: option –t của DOS không gây ra lụt ping, nó chỉ ping mục tiêu một cách liên tục, với những khoảng ngắt quãng giữa hai lần ping liên tiếp. Trong tất cả các hệ Unix hoặc Linux, bạn có thể dùng ping -f để gây ra lụt thực sự. Thực tế là phải ping -f nếu bạn dùng một bản tương thích POSIX (POSIX - Portable Operating System Interface dựa trên uniX), nếu không nó sẽ không phải là một bản Unix/Linux thực sự, bởi vậy nếu bạn dùng một hệ điều hành mà nó tự cho nó là Unix hay Linux, nó sẽ có tham số -f.

Sử dụng TraceRoute:

Để lần theo kết nối của bạn(và xem tất cả các máy tính nằm giữa bạn và mục tiêu), chỉ cần mở MS-DOS prompt, và gõ "tracert địa_chỉ_ip" và bạn sẽ thấy một danh sách các máy tính nằm trên đường giưa máy tính bạn và đối phương.

Bạn có thể dùng cách này để xác định xem liệu có firewalls chặn? Và cách này cũng cho phép xác định ISP của một ai đó (Internet Service Provider).

Để xác định ISP, chỉ việc đơn giản xem địa chỉ IP trước cái cuối cùng, đây chắc chắn là một trong các bộ dẫn đường của một ISP.

Bản chất là gì? Đây là cách mà traceroute làm việc - một gói tin TCP/IP có một giá trị trong phần đầu (đó là phần IP. Nếu bạn không biết nó là gì, hãy bỏ qua vàthen ignore nó và đọc tiếp, điều đó không quan trọng) gọi là TTL, viết tăt cho Time To Live. Một khi gói tin đi qua một bộ dẫn đường thì TTL của nó bị trừ đi một. Đây là cách một bộ đếm chống lại khả năng xảy ra lỗi và một gói tin sẽ bắn ra khắp nơi trên mạng, và lãng phí băng thông.
Cho nên khi một TTL cua một gói tin bằng 0, nó sẽ chết và một lỗi ICMP được gửi trả về người gửi.
Bởi thế, đầu tiên traceroute gửi đi một gói tin có TTL bằng 1. Gói tin sẽ trở lại nhanh chóng, qua việc nhận biết địa chỉ người gử trong phần đầu của thông báo lỗi ICMP, traceroute biết gói tin đã ở đâu trong lần bắn đầu tiên. Sau đó nó gửi một gói tin với TTL có giá trị là 2, và nhận được kết quả trả về của lần bắn 2, mang theo định danh của máy. Và điều này xả ra cho đến khi gói tin đến đích.

Thật thú vị phải không? :-)

Sử dụng proxy server:

Hãy tìm một proxy server chạy trên một cổng mà bạn chọn. Một khi bạn tìm ra, kết nối đến nó bằng telnet hoặc hyperterminal và sau đó nối đến máy tính khác bằng proxy server. Bằng cách này máy tính ở đầu kia sẽ không biết được địa IP của bạn.
----------------------------------

Phần 1: Tại sao lại hack cisco router?

Có thể bạn thắc mắc.. tại sao lại hack cisco router?

Lí do là chúng thật là hữu ích để bẻ khoá các hệ thống khác...

Cisco routers rất nhanh, một số có tốc độ kết nối 18 T1 trên một hệ thống, và chúng rất linh hoạt và chúng có thể sử dụng cho các cuộc tấn công DoS hoặc hack vào các hệ thống khác bởi vì hầu hết chúng chạy telnet.

Có hàng nghìn gói tin chạy qua chúng một lúc, và ta có thể bắt và giải mã các gói tin... Rất nhiều cisco routers được tin cậy, và cho phép bạn truy nhập nhất định vào các máy tính khác trong mạng của nó.

----------------------------------
Phần 2: Tìm một cisco router

Tìm bộ dẫn đường Cisco là công việc tương đối dễ, hầu hế mỗi ISP đều dẫn qua ít nhất một cisco router. Cách dễ nhất để tìm ra một bộ dẫn đường Cisco là chạy traceroute từ dos (gõ "tracert" và địa chỉ IP của một máy tính khác), bạn có thể lần ra nhiều thông tin nhờ các máy tính mà nó hiện ra giữa máy tính bạn và máy tính của họ. Một trong số những hệ thống này có thể có cụm từ "cisco" trong tên của nó. Nếu bạn tìm thấy điều gì đó tương tự như vậy, hãy copy lại địa chỉ IP của nó.

Giờ đây bạn đã biết nơi có một cisco router, nhưng nó có thể được bảo vệ bởi firewall, bạn nên kiểm tra xem nó có được bảo vệ không bằng cách ping nó một vài lần, nếu bạn nhận được trả lời thì có thể là nó không bị khoá. Một cách làm khác là thử truy nhập vào một số cổng của cisco router, điều này được thực hiện dễ dàng bằng cách sử dụng telnet, và tạo một kết nối tới router bằng cổng 23.. Nếu nó đòi password, mà không hỏi username nghĩa là bạn đang kề bên router, nhưng nếu nó đòi username, thì có lẽ là đã bị firewall.
Thử tìm một router không có firewall, bởi lẽ bài giảng này tutorial là về routers chứ không phải về cách qua firewalls. Khi bạn đã tìm ra một hệ thống ổn định, bạn cần tìm một proxy server cho phép sử dụng cổng 23, bằng cách này IP của bạn sẽ không bị lưu lại bởi router.

---------------------------------
Phần 3: Đột nhập cisco router

Các Cisco router chạy phiên bản v4.1 (hiện còn rất phổ biến) có thể hạ gục dễ dàng. Bạn chỉ cần kết nối với router bằng cổng 23 qua proxy server, và nhập vào một chuỗi password KHỔNG LỒ, như là;

10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029384 7465qpwoeirutyalskdjfhgzmxncbv019
dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029 3847465qpwoeirutyalskdjfhgzmxncbv
019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1 0293847465qpwoeirutyalskdjfhgzmx
ncbv019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019 dsk10293847465qpwoeirutyalskdjfh
gzmxncbv019dsk

Chờ một chút, hệ thống cisco có thể sẽ khởi động lại, trong trường hợp đó bạn sẽ không hack được bởi vì chúng offline.. Nhưng chúng thường treo khoảng 2-10 phút, và bạn có thể thâm nhập được.

Nếu cả hai trường hợp đều không xảy ra, nghĩa là nó không chạy phần mềm ngon ăn, trong trường đó bạn có thể thử một vài kiểu tấn công DoS, giống như một lượng ping khổng lồ. Mở dos và gõ "ping -l 56550 cisco.router.ip -t", this will do the same trick for you.

Khi bị treo, mở một kết nối khác đến một vài proxy khác, và dùng password "admin", lí do vì đây là mật khẩu mặc định của router, và khi nó tạm thời bị ngắt nó sẽ chuyển sang chế độ mặc định.

Khi bạn đã đăng nhập, bạn cần giành lấy file password ! Các hệ thống chạy những phần mềm khác nhau nhưng đa số sẽ có lệnh "htl-textil" hoặc gì đó, bạn gõ "?" để hiện ra danh sách các lệnh, bạn sẽ thấy một danh sách khổng lồ các lệnh, ở đâu đó bạn sẽ thấy một lệnh chuyển đổi, dùng nó để lấy password file của admin (người dùng hiện tại) và gửi đến địa chỉ IP ở cổng 23. Nhưng trước khi làm vậy, hãy đặt HyperTerminal chờ thông tin từ cisco router. Một khi bạn gửi file file, HyperTerminal sẽ hỏi xem bạn có đồng ý nhận file này không, chọn đồng ý và lưu nó xuống đĩa. Thoát.

Bạn đã qua phần khó khăn nhất, nghỉ một chút và chuẩn bị phá password!

------------------------------
Phần 4: phá password

Giờ đây bạn đã có được file password, bạn cần phải bẻ khoá nó thì mới có thể truy nhập access router lần nữa. Để làm việc này cần chạy một chương trình đại loại như John the Ripper hoặc một chương trình nào khác để bẻ file password, và bạn có thể bẻ khoá được nó.

Đây là cách dễ nhất, và tôi khuyên bạn dùng cách này. Một cách có thể thử bẻ khoá chúng. Để làm vạy bạn cần một phần mềm giải mã, phải thật kiên nhẫn.

Để giải mã cisco password, bạn phải dịch đoạn mã sau trong linux:

#include
#include

char xlat[] = {
0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b, 0x66, 0x6f,
0x41, 0x2c, 0x2e, 0x69, 0x79, 0x65, 0x77, 0x72,
0x6b, 0x6c, 0x64, 0x4a, 0x4b, 0x44
};

char pw_str1[] = "password 7 ";
char pw_str2[] = "enable-password 7 ";

char *pname;

cdecrypt(enc_pw, dec_pw)
char *enc_pw;
char *dec_pw;
{
unsigned int seed, i, val = 0;

if(strlen(enc_pw) & 1)
return(-1);

seed = (enc_pw[0] - '0') * 10 + enc_pw[1] - '0';

if (seed > 15 || !isdigit(enc_pw[0]) || !isdigit(enc_pw[1]))
return(-1);

for (i = 2 ; i <= strlen(enc_pw); i++) {
if(i !=2 && !(i & 1)) {
dec_pw[i / 2 - 2] = val ^ xlat[seed++];
val = 0;
}

val *= 16;

if(isdigit(enc_pw[i] = toupper(enc_pw[i]))) {
val += enc_pw[i] - '0';
continue;
}

if(enc_pw[i] >= 'A' && enc_pw[i] <= 'F') {
val += enc_pw[i] - 'A' + 10;
continue;
}

if(strlen(enc_pw) != i)
return(-1);
}

dec_pw[++i / 2] = 0;

return(0);
}

usage()
{
fprintf(stdout, "Usage: %s -p \n", pname);
fprintf(stdout, " %s \n", pname);

return(0);
}

main(argc,argv)
int argc;
char **argv;

{
FILE *in = stdin, *out = stdout;
char line[257];
char passwd[65];
unsigned int i, pw_pos;

pname = argv[0];

if(argc > 1)
{
if(argc > 3) {
usage();
exit(1);
}

if(argv[1][0] == '-')
{
switch(argv[1][1]) {
case 'h':
usage();
break;

case 'p':
if(cdecrypt(argv[2], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
fprintf(stdout, "password: %s\n", passwd);
break;

default:
fprintf(stderr, "%s: unknow option.", pname);
}

return(0);
}

if((in = fopen(argv[1], "rt")) == NULL)
exit(1);
if(argc > 2)
if((out = fopen(argv[2], "wt")) == NULL)
exit(1);
}

while(1) {
for(i = 0; i < 256; i++) {
if((line[i] = fgetc(in)) == EOF) {
if(i)
break;

fclose(in);
fclose(out);
return(0);
}
if(line[i] == '\r')
i--;

if(line[i] == '\n')
break;
}
pw_pos = 0;
line[i] = 0;

if(!strncmp(line, pw_str1, strlen(pw_str1)))
pw_pos = strlen(pw_str1);

if(!strncmp(line, pw_str2, strlen(pw_str2)))
pw_pos = strlen(pw_str2);

if(!pw_pos) {
fprintf(stdout, "%s\n", line);
continue;
}

if(cdecrypt(&line[pw_pos], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
else {
if(pw_pos == strlen(pw_str1))
fprintf(out, "%s", pw_str1);
else
fprintf(out, "%s", pw_str2);

fprintf(out, "%s\n", passwd);
}
}
}

Nếu bạn không có Linux, chỉ còn nước bẻ password bằng cách tấn công từ điển hoặc brute-force file đó bằng John the Ripper hoặc một chương trình bẻ khoá khác.

-------------------------------
Phần 5: Sử dụng router

Để sử dụng thiết bị cao cấp tuyệt vời này, bạn phải kết nối tới chúng, sử dụng proxy nếu không muốn IP của bạn log. Khi đã đăng nhập, bạn nên tắt phần history để không ai có thể biết bạn đã làm gì, gõ vào "terminal history size 0". Và nó sẽ chẳng ghi lại gì! Gõ "?" để hiện một danh sách tất cả các lệnh của router, và bạn sẽ dùng được hầu hết trong số chúng.

Các router thường có telnet, và bạn có thể dùng telnet để kết nối connect tới các hệ thống khác, (như một hệ unix) và hack chúng. Nó cũng được trang bị ping và traceroute-bạn có thể sử dụng chúng để theo dõi hệ thống hoặ tấn công DoS. Bạn còn có thể sử dụng nó để bắt các gói tin, nhưng tôi khuyên bạn không nên, bởi lẽ không phải lúc nào nó cũng hoạt động, và có thể làm cho bạn bị phát hiện...


(Sưu Tầm)

url:http://www.ddcntt.vn/forum/showthread.php?t=396

Tất cả các lệnh cấu hình trong CCNA theo chuyên mục

Phần 1. Routing - Định Tuyến (Các giao thức phức tạp)
OSPF.

Note: Tất cả những router có cùng area phải cấu hình giống nhau tất cả các thông số thì khu vực đó mới hoạt động đúng chức năng được.

1. Cấu hình cơ bản

Router(config)#router ospf process ID
Router(config-router)#network Network_number Wildcard_mask area_ID

2. Cấu hình priority ở các interface để bầu DR và BDR

Priority càng lớn thì khả năng được bầu làm DR càng cao, ngược với bầu Root brige của Switch, càng nhỏ thì lại càng được bầu.

Router(config)#interface fastethernet 0/0
Router(config-int)#ip ospf priority 55

Sau khi cấu hình xong priority có thể kiểm tra bằng lệnh.

Router# show ip ospf interface f0/0

3. Chỉnh sửa lại OSPF cost metric trong mỗi interface

Cost càng nhỏ thì tuyến đó càng được coi là best path

Router(config-int)#ip ospf cost 1

4.Cấu hình OSPF Authentication ở các interface và áp dùng vào router

Authentication key được hiểu như là password để các router trong cùng một vùng chia sẻ với nhau.

a.Cấu hình authentication đơn giản

Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area number authentication

b.Cấu hình authentication theo dạng mã hoá, bảo mật cao.

Router(config-if)ip ospf message-digest-key key ID md5 encryption-type key
Router(config-router)#area area ID authentication message-digest

5.Cấu hình OSPF timer trong các interface

Router(config-if)ip ospf hello-interval timer
Router(config-if)ip ospf dead-interval timer

6.Cấu hình quảng bá một tuyến mặc định trong OSPF

Router(config-router)#default-information originate

7.Quảng bà một tuyến khác (không phải là default)

Router(config-router)#redistribute protocols subnets

8.Các lệnh show dùng để kiểm tra cấu hình OSPF

show ip protocol
show ip route
show ip ospf
show ip ospf interface
show ip ospf database
show ip ospf neighbor detail
clear ip route *
debug ip ospf events
debug ip ospf adj

EIGRP

1.Cấu hình cơ bản.

Router(config)#router eigrp autonomous number
Router(config-router)#network network number
Router(config-router)#eigpr log-neighbor-changes (Không có cũng được)
Router(config-router)#no auto-summary

2.Thay đổi băng thông và tự tổng hợp tuyến trong interface

Router(config-if)#bandwidth kilobits
Router(config-if)#ip summary-address protocol AS network number subnets mask

3.Cân bằng tải trong EIGRP

Router(config-router)#variance number

4.Quảng bá default route

Cách 1:
Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static

Cách 2:
Router(config)#ip default-network network number

Cách 3:
Router(config-if)#ip summary-network eigrp AS number 0.0.0.0 0.0.0.0

5.Quảng bá các tuyến khác trong EIGRP (không phải là default)

Router(config-router)#redistribute protocol process ID metrics k1 k2 k3 k4 k5
Ex: Router(config-router)#redistribute ospf metrics 100 100 100 100 100

6.Chia sẻ traffic trong EIGRP

Router(config-router)#traffic share {balanced/min}

7.Các lệnh kiểm tra cấu hình EIGRP

- show ip eigrp neighbor
- show ip eigrp interface
- show ip eigrp topology
- show ip eigrp traffic
- debug eigrp fsm
- debug eigrp packet

Phần 2. Switching - Chuyển mạch

1.Cấu hình cơ bản chung cho một Switch

Reset tất cả cấu hình của Switch và reload lại.

Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload

2.Cấu hình về Security và management

Switch(config)#hostname tên switch
Switch(config)#line console 0
Switch(config-line)#password mật khẩu
Switch(config-line)#login

Switch(config)#line vty 0 4
Switch(config-line)#pass mật khẩu
Switch(config-line)#login

3.Thiết lập địa chỉ IP và default gateway cho Switch

Switch(config)#interface vlan1
Switch(config-int)#ip address địa chỉ subnetmask
Switch(config)#ip default-gateway địa chỉ

4.Thiết lập tốc độ và duplex của cổng

Switch(config-int)#speed tốc độ
Switch(config-int)#duplex full

5.Thiết lập dịch vụ HTTP và cổng

Switch(config)#ip http server
Switch(config)#ip http port 80

6.Thiết lập, quản lý địa chỉ MAC

Switch(config)#mac-address-table static địa chỉ MAC interface fastethernet số vlan
Switch#show mac-address-table
Switch#clear mac-address-table

7.Cấu hình bảo mật cho cổng

Switch(config-if)#switchport mode acess
Switch(config-if)#switchport port-security

Cấu hình Static: Switch(config-if)#switchport port-security mac-address địa chỉ Mac

Cấu hình Sticky: Switch(config-if)#switchport port-security mac-address sticky (thông dụng nhất)

Switch(config-if)#switchport port-security maximum value
Switch(config-if)#switchport port-security violation shutdown

8.Tạo Vlan

Cách 1.

Switch#vlan database
Switch(vlan)#vlan number

Cách 2. Khi gán các cổng vào vlan, dù vlan chưa tồn tại nhưng Switch vẫn tự tạo.

Switch(config)#interface fastethernet 0/0
Switch(config-int)#switchport access vlan vlan-id

Muốn xoá vlan ta làm như sau:

Switch(config-if)#no switchport access vlan vlan-id
Switch#clear vlan vlan_number (xoá toàn bộ vlan )

9.Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range

Đối với dãy cổng không liên tục.
Switch(config)#interface range cổng 1 , cổng 2 , cổng 3

Đối với một dãy liên tục.
Switch(config)#interface range cổng 1-n
Switch(config-range)#switchport access vlan vlan-id


Ví dụ:
Switch(config)#interface range f0/0 , f0/2 , f0/4
Switch(config)#interface range f0/0-10
Switch(config-range)#switchport access vlan 10

10.Cấu hình Trunk

Switch(config-if)#switchport mode trunk
Switch(config-if)#switchpor trunk encapsulation encapsulation-type
Switch#show trunk

11.Cấu hình VTP

Switch#vlan database
Switch(vlan)#vtp v2-mode
Switch(vlan)#vtp domain tên domain
Switch(vlan)#vtp {server/client/transperant}
Switch(vlan)#vtp password password (Tạo pass cho domain)
Switch#show vtp status

12.Cấu hình Inter-Vlan trên Router

Router(config)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation type
Router(config-subif)#ip address địa chỉ subnetmask

Phần 3. Access-list và các cấu hình liên quan.

1.Nhắc lại về lý thuyết.

Có 2 loại access-list.

- Loại thứ nhất: Standard IP Access-list chỉ lọc dữ liệu dựa vào địa chỉ IP nguồn. Range của loại này là từ 1à 99. Nên được áp dụng với cổng gần đích nhất.

- Loại thứ hai: Extended IP Access-list lọc dữ liệu dựa vào
o Địa chỉ IP nguồn
o Địa chỉ IP đích
o Giao thức (TCP, UDP)
o Số cổng (HTTP, Telnet…)
o Và các thông số khác như Windcard mask
Range của loại này là từ 100 à199. Nên được áp dụng với cổng gần nguồn nhất.

Hai bước để cấu hình Access-list
- Bước 1: Tạo access-list trong chế độ cấu hình config.
- Bước 2: Áp dụng access-list cho từng cổng tuỳ theo yêu cầu ở chế độ cấu hình (config-if)

Lưu ý:
- Mặc định của tất cả Access-list là deny all, vì vậy trong tất cả các access-list tối thiểu phải có 1 lệnh permit. Nếu trong access-list có cả permit và deny thì nên để các dòng lệnh permit bên trên.
- Về hướng của access-list (In/Out) khi áp dụng vào cổng có thể hiểu đơn giản là: In là từ host, Out là tới host hay In vào trong Router, còn Out là ra khỏi Router.
- Đối với IN router kiểm tra gói tin trước khi nó được đưa tới bảng xử lý. Đối vơi OUT, router kiểm tra gói tin sau khi nó vào bảng xử lý.
- Windcard mask được tính bằng công thức:
WM = 255.255.255.255 – Subnet mask (Áp dụng cho cả Classful và Classless addreess)
- 0.0.0.0 255.255.255.255 = any.
- Ip address 0.0.0.0 = host ip address (chỉ định từng host một )

2.Cấu hình Standard Access-list (Ví dụ)

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in

3.Cấu hình Extended Access-list (Ví dụ)

Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out

4.Cấu hình named ACL thay cho các số hiệu.

Router(config)#ip access-list extended server-access (tên của access-list)
Router(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group server-access out

5.Permit hoặc Deny Telnet sử dụng Standard Acl (Ví dụ)

Router(config)#access-list 2 permit 172.16.0.0 0.0.255.255
Router(config)#access-list 2 deny any
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#ip access-class 2 in

6.Xoá và kiểm tra Access-list

Muốn xoá thì ta dùng lệnh sau:
Router(config)# no ip access-list số hiệu

Kiểm tra Acl ta dùng các lệnh sau:

- show access-list
- show running-config
- show ip interface

Phần 4. NAT – PPP – Frame Relay

I.Cấu hình NAT

* Cấu hình Static NAT

Cấu hình NAT trong chế độ Router(config). Các lệnh như sau

Router(config)#ip nat inside source static [inside local address] [inside global address]
Ví dụ:
R(config)#ip nat inside source statice 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router)

Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out

Router(config)#interface ethernet 0
Router(config-if)#ip nat inside

Router(config)#interface serial 0
Router(config-if)#ip nat outside

* Cấu hình Dynamic NAT

Router(config)#ip nat pool [ tên pool] [A.B.C.D A1.B1.C1.D1] netmask [mặt nạ]
Router(config)#ip nat inside source list [số hiệu ACL] pool [tên pool]
Router(config)#access-list [số hiệu ACL] permit A.B.C.D windcard masks

Ví dụ:
R(config)#ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
R(config)#ip nat inside source list 1 pool nat-pool1
R(config)#access-list 1 permit 10.1.0.0 0.0.0.255

Sau đó áp vào cổng In và Out như Static NAT

Note: Giải địa chỉ inside local address và inside global address phải nằm trong giải cho phép của ACL

* Cấu hình PAT overload

*
o Cấu hình overload với 1 địa chỉ IP cụ thể.

Router(config)#ip nat pool [tên pool] [ip global inside] [subnet mask]
Router(config)#ip nat inside source list [tên số hiệu ACL] pool [tên pool] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]

Ví dụ:
R(config)#access-list 2 permit 10.0.0.0 0.0.0.255
R(config)#ip nat pool nat-pool2 179.9.8.20 255.255.255.240
R(config)#ip nat inside source list 2 nat-pool2 overload

*
o Cấu hình overload dùng địa chỉ của cổng ra.(Thường xuyên được dung hơn là trường hợp trên)

Router(config)#ip nat inside source list [tên số hiệu ACL] interface [cổng ra] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]

Ví dụ:
R(config)#ip nat inside source list 3 interface serial 0 overload
R(config)#access-list 3 permit 10.0.0.0 0.0.0.255

* Các lệnh Clear NAT/PAT

Lệnh xóa tất cả dynamic nat trên toàn bộ các interface.
Router#clear ip nat translation *

Lệnh xóa các single nat trên từng interface
Router#clear ip nat translation [inside/outside] [global ip - local ip]

Lệnh xóa các extended nat trên từng interface
Router#clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]

* Kiểm tra và Debug các NAT và PAT

Router#show ip nat translation
Router#show ip nat statics
Router#debug ip nat

* Cấu hình DHCP

Router(config)#ip dhcp excluded-address ip-address (end-ip-address)
Router(config)#ip dhcp pool [tên pool]
Router(dhcp-config)#network addess subnetmask
Router(dhcp-config)#default-router address
Router(dhcp-config)#dns-server address
Router(dhcp-config)#netbios-name-server address
Router(dhcp-config)#domain-name tên domain
Router(dhcp-config)#lease ngày/giờ/phút

* Kiểm tra và troubleshoot cấu hình DHCP

Router#show ip dhcp binding
Router#debug ip dhcp server events

* Trong trường hợp DHCP server không nằm cùng mạng với host

Note: khi DHCP server không cùng mạng với host thì ta phải dùng lệnh ip helper-address giúp host đến DHCP server.

Router(config)#interface [cổng nằm cùng mạng với host]
Router(config-if)#ip helper-address [địa chỉ của DHCP server]

Note: Trong trường hợp muốn gói tin của host được broadcast ở mạng chứa DHCP thì ta dùng thêm lệnh ip directed-broadcast ở cổng cùng mạng với DHCP server

Router(config)#interface [cổng nằm cùng mạng với dhcp]
Router(config-ì)#ip directed-broadcast

II. Cấu hình PPP

1. Cấu hình cơ bản:

R(config)#interface serial 0/0
R(config-if)#encapsulation ppp

2. Cấu hình PAP

Cấu hình PAP không yêu cầu hai Router giống nhau về password nhưng CHAP thì phải có.

(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 321
RA(config-if)#encapsulation ppp
RA(config-if)#ppp authentication pap
RA(config-if)#ppp pap sent-username RA password 123

(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication pap
RB(config-if)#ppp pap sent-username RB password 321

3. Cấu hình CHAP. (yêu cầu phải giống nhau về password)

(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 123
RA(config-if)encapsulation ppp
RA(config-if)ppp authentication chap

(Cấu hình trên RB)

R(config)#host RB
RB(config)#username RA password 123
RB(config-if)encapsulation ppp
RB(config-if)ppp authentication chap


4. Các cấu hình khác của PPP

a. Cấu hình Multilink

R(config-if)#encapsulation ppp
R(config-if)#ppp multilink

b. Cấu hình Compression

R(config-if)#encapsulation ppp
R(config-if)#compress [predictor/stac/mppc]

c. Cấu hình Error detection

R(config-if)#encapsulation ppp
R(config-if)#ppp quality [phần trăm]

5. Các lệnh kiểm tra cấu hình PPP

R#show interface (xem encapsulation)
R#debug ppp negotiation (Xem quá trình kết nối giữa 2 node)
R#debug ppp authentication (Xem quá trình xác thực giữa 2 node)


III. Cấu hình Frame-Relay

1. Cấu hình đơn giản

R(config-if)#encapsulation frame-relay {ciso| ietf} (mặc định là cisco)

Khi lệnh này được thực thi, DLCI sẽ được Inverse ARP tự động map, người dùng không cần phải làm gì cả.

* Nhưng Inverse ARP không làm việc với các kết nối Hub-and-Spoke

2. Cấu hình Frame-relay static map

R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip remote–ip-address local-dlci [broadcast] [cisco| ietf]
(ip address trong dòng lệnh trên chỉ lấy làm minh họa bởi nó rất phổ biến, chính xác phải là remote–protocol–address)
Broadcast trong câu lệnh trên có 2 chức năng:
§ Forward broadcast khi multicast không được khởi động.
§ Đơn giản hóa cấu hình OSPF cho mạng nonbroadcast sử dụng FRelay.
Ví dụ:

R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip 192.168.2.1 100 broadcast


3. Cấu hình FR trong mạng None Broadcast MutiAccess

- Trong mạng Broadcast khi 1 máy tính truyền frame tất cả các node lắng nghe frame nhưng chỉ có node cần nhận mới nhận được.
- Trong mạng None Broadcast khi 1 máy tính truyền frame thì chỉ có node cần nhận mới lắng nghe và nhận được frame đó, các node còn lại thì không. Frame được truyền qua 1 virtual Circuit hoặc 1 thiết bị chuyển mạch.
- Star topology có thể được coi như là 1 mạng Hub and Spoke.

4. Giải quyết vấn đề với Routing Updates mà không disable Split Horizal

Giải pháp dùng Sub-interface

R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)interface s0/0.1 [multipoint| point-to-point]

- point-to-point: Mỗi subinterface có subnet riêng của mình. Broadcast và Split horizol không là vấn đề.
- Multi-point: Tất cả các subinterface liên quan phải cùng chung 1 subnet và như vậy Broadcast và Split horizol sẽ có vấn đề.

Ví dụ:
(Point-to-point)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.1 point-to-point
R(config-subif)#frame-relay interface-dlci 18

(Multipoint)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.2 multipoint
R(config-subif)#frame-relay interface-dlci 19
R(config-subif)#frame-relay interface-dlci 20

5. Cấu hình trên Frame-relay Switching (ví dụ)

R(config)#frame-relay switching
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay intf-type dce
R(config-if)#frame-relay route 103interface serial 0/1 301


(Theo [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] Moderator)

Cấu hình switch cơ bản

Cấu hình switch cơ bản
Lab 1-1: Cấu hình switch cơ bản

Mô tả



Cấu hình các thông số cơ bản cho Catalys Switch với giao diện dòng lệnh CLI. Các tác vụ cần thực hiện bao gồm đặt tên cho switch, cấu hình các interface vlan, cấu hình để telnet vào switch….Dùng máy trạm kết nối với switch qua kết nối console, giao diện tương tác người dùng sử dụng trình HyperTerminal. Đây là một công cụ đuợc MS Windows hỗ trợ.

Thực hiện

1. Khởi động nguồn của switch. Trên giao diện Hyper Terminal hiện ra các thông số khởi tạo trong quá trình khởi động Switch.
% Please answer 'yes' or 'no'.
Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
00:04:13: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down
00:04:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
Người dùng sẽ được hỏi nếu muốn vào các hộp thoại để cấu hình tự động, trả lời NO (vì mục đích của người dùng là muốn vào chế độ CLI (command line interface).

2. Vào enable mode xem cấu hình mặc định của switch

Switch>enable
Switch#show running-config
Building configuration...
Current configuration : 1473 bytes
!
version 12.1
!
hostname Switch
!
ip subnet-zero
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
!
interface FastEthernet0/5
no ip address
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
!
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
no ip address
!
interface FastEthernet0/10
no ip address
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line vty 5 15
!
end

3. Thiết lập các thông số cho switch như hostname, enable password, console password và virtual terminal password. Các loại password sử dụng có phân biệt chữ thường và chữ hoa. Do đó người dùng cần phân biết các ký tự sử dụng chữ viết hoa khác với chữ viêt thường. Ví dụ Cisco khác với cisco.

Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname Vnpro
Vnpro(config)#enable password cisco
Vnpro(config)#enable secret class
Vnpro(config)#line console 0
Vnpro(config-line)#password console
Vnpro(config-line)#login
Vnpro(config-line)#^Z

Switch hỗ trợ các Virtual Line dùng cho các phiên telnet. Cần cấu hình password cho các line này mới có thể telnet vào Switch (trình tự cấu hình hỗ trợ telnet sẽ trình bày sau). Để xem thông tin về các Virtual Line trên Switch: dùng lệnh “show line”.

Vnpro#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 VTY - - - - - 0 0 0/0 -
2 VTY - - - - - 0 0 0/0 -
3 VTY - - - - - 0 0 0/0 -
4 VTY - - - - - 0 0 0/0 -
5 VTY - - - - - 0 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
7 VTY - - - - - 0 0 0/0 -
8 VTY - - - - - 0 0 0/0 -
9 VTY - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
15 VTY - - - - - 0 0 0/0 -
16 VTY - - - - - 0 0 0/0 -

Cấu hình password cho các line vty
Vnpro#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#line vty 0 4
Vnpro(config-line)#password cisco
Vnpro(config-line)#login

Cấu hình trên thiết bị Cisco, mỗi dòng lệnh do người dùng gõ vào. Sau khi nhấn phím “enter” cấu hình hệ thống sẽ lập tức thay đổi. Vì vậy, đối với các hệ thống mạng thật, trước khi thay đổi một thông số nào đó của thiết bị, cần phải sao lưu lại cấu hình ban đầu để có thể khôi phục lại khi cần thiết.

Bước 4: cấu hình Vlan.
Kiếm tra cấu hình Vlan mặc định trên Switch
Vnpro#show vlan
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Mặc định trên Switch chỉ có Vlan 1 với tất cả các port đều nằm trong Vlan này, Vlan 1002 dành riêng cho FDDI, Vlan 1003 dành riêng cho TOKEN-RING…Có hai cách tạo thêm Vlan
Cách 1:Thao tác trên Vlan database
Vnpro#vlan database
Vnpro(vlan)#vtp domain Chuyenviet
Changing VTP domain name from NULL to Chuyenviet
Vnpro(vlan)#vtp server
Setting device to VTP SERVER mode.
Vnpro(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
Vnpro(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
Vnpro(vlan)#apply
APPLY completed.
Vnpro(vlan)#exit
APPLY completed.
Exiting....
Cách 2: Tưong tác trực tiếp đến Vlan cần tạo ra
Vnpro(config)#interface vlan 10
Vnpro(config-if)#exit
Vnpro(config)#
Vnpro(config)#interface vlan 20
Vnpro(config-if)#exit
Vnpro(config)#
Để gán các port vào các Vlan, thực hiện các bước sau:
Ví dụ ta cần gán các port fastethernet 2 vào Vlan 10, port fastetehnet 3 vào Vlan 20
Vnpro(config)#interface fastethernet0/2
Vnpro(config-if-range)#switchport access vlan 10
Vnpro(config-if-range)#exit
Vnpro(config)#interface fastethernet0/3
Vnpro(config-if-range)#switchport access vlan 20
Vnpro(config-if-range)#exit
Kiểm tra lại cấu hình Vlan
Vnpro#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Admin active Fa0/2
20 User active Fa0/3
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Cấu hình IP cho interface Vlan: các interface Vlan được cấu hình IP chỉ mang tính chất luận lý. IP này phục vụ cho việc quản lý, địa chỉ IP luận lý này còn có thể dùng để telnet vào Switch từ xa và chạy các ứng dụng SNMP.
Vnpro#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#interface vlan 10
Vnpro(config-if)#ip address 10.0.0.1 255.255.255.0
Vnpro(config-if)#no shutdown
Vnpro(config-if)#^Z
00:14:43: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
00:14:43: %SYS-5-CONFIG_I: Configured from console by console
Lưu cấu hình vào NVRAM
Vnpro#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Cần chú ý gán default-gateway cho switch bằng câu lệnh
VnPro#ip default-gateway 10.0.0.100
Địa chỉ 10.0.0.100 có thể dùng là địa chỉ của PC được dùng để telnet vào switch.

url:http://vnpro.org/forum/showthread.php?t=5560

Wednesday, October 1, 2008

Lab 6-1: Cấu hình vlan và trunk

Lab 6-1: Cấu hình vlan và trunk

MultiLayer Sitching & InterVlan Routing

http://vnpro.org/forum/files/labswitching/lab61/lab61-1.JPG

Mô tả đặc tính hoạt động đa lớp (Multilayer) của dòng sản phẩm Catalyst 3550 của Cisco Access Layer Switch (ALSwitch). Chia switch thành các Vlan1, Vlan 10, Vlan 20 phân phối cho từng nhóm người dùng. Thông thường các Vlan hoạt động ở lớp liên kết dữ liệu (Data-link Layer). Các Vlan này xem như thuộc các Broadcast Domain khác nhau, không thể nói chuyện với nhau được (mặc dù cùng kết nối vật lý đến ALSwitch). Các Vlan muốn nói chuyện với nhau phải thông qua một External Router có chức năng định tuyến. Trong phạm vi bài Lab này, sử dụng khả năng Multilayer Switching của Catalyst 3550 để định tuyến giữa các vlan cũng như giữa các Vlan với Remote office kết nối bởi Remote router. Trong trường hợp này Catalyst 3550 có khả năng hoạt động như một External Router.
Yêu cầu thiết bị: Remote router: Cisco 2600 (có cổng FastEthernet). Distribute Layer Switch (DLSwitch): Catalyst 3550. Access Layer Switch (ALSwitch): Catalyst 2900 trở lên (vì cấu hình Trunking đòi hỏi thiết bị hỗ trợ FastEthernet). Các máy trạm kết nối vào các Vlan phục vụ việc kiểm tra cấu hình và các tính năng định tuyến.
Để triển khai tính năng MultiLayer Switching (MLS):
Giai đoạn 1: Thiết lập các cấu hình cơ sở bao gồm: chia Vlan, Trunking giữa các switch.
Giai đoạn 2: Cấu hình cho Catalyst 3550 (DLSwitch) hoạt động ở chế độ MLS, cấu hình các giao thức định tuyến trên Router. Trong phạm vi bài Lab này, dùng giao thức định tuyến OSPF. Trước khi triền khai bài Lab, nên xoá tất cả cấu hình cũ trên Switch và Router để tránh các ảnh hưởng đến hoạt động của hệ thống
Tiến hành giai đoạn:
DLSwitch và ALSwitch kết nối với nhau qua đường Trunk. Hai Switch này cùng một VTP domain, chia thành các Vlan gồm: Vlan 1 (Native), Vlan 10 (Admin), Vlan 20 (User).
Cấu hình trên DLSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname DLSwitch
DLSwitch(config)#enable password cisco
DLSwitch(config)#enable secret vnpro
DLSwitch(config)#line vty 0 15
DLSwitch(config-line)#password cisco
DLSwitch(config-line)#login
DLSwitch(config-line)#^Z
00:15:08: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking:
DLSwitch#vlan database
DLSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
DLSwitch(vlan)#vtp server
Device mode already VTP SERVER.
DLSwitch(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
DLSwitch(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
DLSwitch(vlan)#apply
APPLY completed.
DLSwitch(vlan)#exit
APPLY completed.
Exiting....
DLSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
DLSwitch(config)#interface vlan 1
DLSwitch(config-if)#ip address 192.168.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
DLSwitch(config-if)#exit
00:17:26: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
DLSwitch(config)#interface vlan 10
DLSwitch(config-if)#ip address 192.168.10.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface vlan 20
DLSwitch(config-if)#ip address 192.168.20.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:19:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface FastEthernet 0/1
DLSwitch(config-if)#switchport trunk encapsulation dot1q
DLSwitch(config-if)#switchport mode trunk
DLSwitch(config-if)#^Z
00:20:11: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan mới:
DLSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/1
Gi0/2
10 Admin active
20 User active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Cấu hình trên ALSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname ALSwitch
ALSwitch(config)#enable password cisco
ALSwitch(config)#enable secret vnpro
ALSwitch(config)#line vty 0 4
ALSwitch(config-line)#password cisco
ALSwitch(config-line)#login
ALSwitch(config-line)#^Z
00:07:40: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking
Chỉ cần cấu hình Trunking, sau đó đưa ALSwitch vào cùng VTP domain Vnpro ở mode client, ALSwitch sẽ tự động học thông tin Vlan từ VTP server (DLSwitch).
ALSwitch#vlan database
ALSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
ALSwitch(vlan)#vtp client
Setting device to VTP CLIENT mode.
ALSwitch(vlan)#exit
In CLIENT state, no apply attempted.
Exiting....
ALSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
ALSwitch(config)#interface FastEthernet 0/1
ALSwitch(config-if)#switchport trunk encapsulation dot1q
ALSwitch(config-if)#switchport mode trunk
ALSwitch(config-if)#exit
ALSwitch(config)#interface range FastEthernet0/4 - 8
ALSwitch(config-if)#switchport access vlan 10
ALSwitch(config-if)#exit
ALSwitch(config)#interface FastEthernet0/9 - 12
ALSwitch(config-if)#switchport access vlan 20
ALSwitch(config-if)#exit
ALSwitch(config)#^Z
ALSwitch#
00:13:00: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan trên ALSwitch:
ALSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3
10 Admin active Fa0/4, Fa0/5, Fa0/6, Fa0/7,
Fa0/8
20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - 0 - - - 0 0
1003 tr 101003 1500 - 0 - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
ALSwitch#
Tiến hành giai đoạn 2:
DLSwitch(config)#interface FastEthernet 0/2
DLSwitch(config-if)#no switchport
DLSwitch(config-if)#ip address 10.200.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:14:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downxit
Lệnh “no switchport” kích hoạt tính năng hoạt động ở lớp 3 cho Catalyst 3550. Lúc này port FastEthernet 0/2 có khả năng hoạt động như một cổng trên Router. Tuy nhiên kết nối giữa DLSwitch và Remote Router qua port này vẫn sử dụng Straight Cable, kết nối giữa DLSwitch và ALSwitch qua port FastEthernet 0/1 dùng Cross Cable. Cấu hình định tuyến:
DLSwitch(config)#ip routing
DLSwitch(config-router)#router ospf 0
DLSwitch(config-router)#network 10.200.0.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.1.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.10.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.20.0 0.0.0.255 area 0
DLSwitch(config-router)#^z
Cấu hình trên Remote Router
Cấu hình các thông số cơ bản:
Router>enable
Router#config terminal
Router(config)#hostname Remote
Remote(config)#enable password cisco
Remote(config)#enable secret vnpro
Remote(config)#line vty 0 4
Remote(config-line)#password cisco
Remote(config-line)#login
Remote(config-line)#exit
Remote(config)#interface interface ethernet0/0
Remote(config-if)#ip address 10.200.1.2 255.255.255.0
Remote(config-if)#no shut
Remote(config-if)#
*Mar 1 00:10:39.175: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
Remote(config-if)#exit
Remote(config)#interface loopback 0
Remote(config-if)#ip address 172.168.0.1 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit
*Mar 1 00:11:26.749: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Remote(config)#router ospf 1
Remote(config-router)#network 172.168.0.0 0.0.0.255 area 0
Remote(config-router)#network 10.200.1.0 0.0.0.255 area 0
Remote(config-router)#^Z
Mar 1 00:13:35.347: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình các interface và cấu hình định tuyến
Xem thông tin định tuyến trên DLSwitch
DLSwitch>enable
DLSwitch#show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
172.168.0.0/32 is subnetted, 1 subnets
O 172.168.0.1 [110/11] via 10.200.0.2, 00:22:50, FastEthernet0/2
C 192.168.20.0/24 is directly connected, Vlan20
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, FastEthernet0/2
C 192.168.1.0/24 is directly connected, Vlan1
Xem thông tin bản định tuyến trên Remote router:
DLSwitch#telnet 10.200.0.2
Trying 10.200.0.2 ... Open
User Access Verification
Password: cisco
Remote>enable
Password: vnpro
Remote#show ip route
Gateway of last resort is not set
O 192.168.10.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
172.168.0.0/24 is subnetted, 1 subnets
C 172.168.0.0 is directly connected, Loopback0
O 192.168.20.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, Ethernet0/0
O 192.168.1.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
Kiểm tra tính kết nối bằng cách dùng một máy trạm nối vào một Vlan bất kỳ. Ping thấy

http://vnpro.org/forum/files/labswitching/lab61/lab61-2.JPG

interface Looback 0 trên Remote Router. Work Station có địa chỉ truộc về Vlan 10. Với Default Gateway là Mangement IP của Vlan 10. Dùng WorkStation trên Vlan 10 có địa chỉ như trên ping đến Looback 0 trên Remote Router và ghi nhậm kết quả. Kiểm tra khả năng InterVlan Routing bằng cách dùng một Work Station trên Vlan 20 ping dến Work Station trên Vlan 10 và ghi nhận kết quả

http://vnpro.org/forum/files/labswitching/lab61/lab61-3.JPG


http://vnpro.org/forum/files/labswitching/lab61/lab61-4.JPG


url:http://vnpro.org/forum/archive/index.php?t-5642.html