Giáo trình cấu hình các thiết bị mạng (nghề quản trị mạng máy tính)

Cấu hình Hostname và đặt password cho cổng trên Router

Thông thường c các loại mật khẩu để bảo mật cho một Router Cisco như sau:

Mật khẩu đầu tiên là "enable", được sử dụng để vào chế độ enabled mode trên router Người dùng cần nhập mật khẩu này khi thực hiện lệnh "enable" từ user mode để chuyển sang chế độ enable mode Ba loại mật khẩu còn lại được áp dụng khi người dùng truy cập qua cổng console, cổng Aux hoặc Telnet.

Mật khẩu c phân biệt chữ hoa hay chữ thường (case sensitive), và không quá

25 ký tự bao gồm chữ hoa, chữ thường, số, dấu câu và khoảng cách, nhưng ký tự đầu tiên không được là dấu trắng.

Mật khẩu truy cập vào enable mode

– Hai loại enable mật khẩu trên router, đặt b ng các lệnh sau:

Router(config)#enable secret vip ơ mật khẩu là vip

Router(config)#enable password cisco ơ mật khẩu là cisco

Chế độ mặc định của router lưu trữ mật khẩu ở dạng rõ ràng (clear-text) trong file cấu hình Để bảo mật hơn, lệnh "enable secret" sẽ mã hóa các mật khẩu hiện có của router Nếu bạn thiết lập "enable secret", nó sẽ có hiệu lực mạnh hơn các mật khẩu khác.

Mật khẩu truy cập vào User Mode

1.1.1 Đặt mật h u cho user mode b ng lệnh line, xem x t các thông số theo sau b ng cách đánh dấu sau lệnh line.

2 aux Auxiliary line console Primary terminal line vty Virtual terminal

– aux đặt mật khẩu cho cổng aux, thường d ng khi cấu hình cho modem gắn router, quay số vào để cấu hình router

– console đặt mật khẩu trước khi vào user mode

Để thực hiện telnet vào router, việc đặt mật khẩu cho vty là cần thiết; nếu không có mật khẩu, bạn sẽ không thể truy cập Để cấu hình mật khẩu cho chế độ người dùng, cần xác định dòng cần cấu hình và sử dụng lệnh login để router yêu cầu nhập mật khẩu xác thực.

1.1.2 Đặt mật h u trên cổng aux của router:

Vào global config mode đánh lệnh line aux 0.

Ch ý r ng ch được chọn số 0 vì thông thường ch c một cổng auxilary trên router

Enter configuration commands, one per line End with CNTL/Z

Router(config-line)#password thegioimang

Câu lệnh login rất quan trọng, nếu không c lệnh này, router s không thông báo đòi h i chứng thực

1.1.3 Đặt mật h u truy cập cho cổng conso e trên router: d ng lệnh line console 0

1.1.4 Đặt mật h u te net: d ng ệnh ine vty

Router(config-line)#line vty 0 4

Sau khi router cấu hình địa ch IP, bạn c thể d ng chương trình Telnet để cấu hình và kiểm tra router thay vì sử dụng cáp console.

Kiểm tra lại các loại mật khẩu đ đặt b ng cách xem cấu hình hiện tại đang chạy, thực hiện lệnh show running-config:

! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption

! enable secret 5 $1$Y3Hx$iF7j2hPkFe6/hwJG.NZOg enable password cisco

! interface Ethernet0 no ip address shutdown

! interface Serial0 no ip address shutdown

! line con 0 password rrr login line aux 0 password vip login line vty 0 4 password RRR login

Trong cấu hình ta thấy enable secret password ở dạng m h a Các mật khẩu khác ở dạng không m h a Hệ điều hành Cisco IOS cho ph p m h a tất cả các

4 mật khẩu trong file cấu hình b ng lệnh service password-encryption tại global configuration mode:

Router(config)#service password-encryption

! enable secret 5 $1$Y3Hx$iF7j2hPkFe6/hwJG.NZOg enable password 7 01100F175804

! interface Ethernet0 no ip address shutdown

! interface Serial0 no ip address shutdown

! line con 0 password 7 111B0B17 login line aux 0 password 7 0312521B login line vty 0 4 password 7 1520393E login

Tất cả các mật khẩu đều được mã hóa Mật khẩu Enable secret được lưu trữ ở dạng mã hóa Mức độ mã hóa được hiển thị bằng chữ số đứng ngay trước mỗi mật khẩu, với các giá trị có thể của chữ số này là:

– : m t kh u đư c m h a theo thu t toán hai chi u MD mật khẩu dạng này c thể giải m được

– : m t kh u đư c m h a theo thu t toán m t chi u MD không thể giải m được dạng này.

– 0 : (ho c không c giá trị m t kh u đư c hi n thị ở ạng không m h a

Nếu tắt chế độ m h a với câu lệnh no service password-encryption, thì mật khẩu v n ở dạng m h a trừ khi đặt lại mật khẩu.

Cấu hình cổng FastEthernet, serial, loopback và default Gateway trên Router

Các cổng của Router

Bảng dưới đây s liệt kê những Interface được h trợ cho m i router và các cổng liên quan của ch ng trên thiết bị.

SWITCH và FE8–FE5 (top), FE x và FE4–FE1 (bottom)

Wireless LAN LEFT, RIGHT/PRIMARY

SWITCH and FE9–FE6 (top), FE x and FE5–FE2 (bottom)

Xe m cấu hình router Default Getway

Khi khởi động router Cisco lần đầu, bạn cần thực hiện một số cấu hình cơ bản, bao gồm việc tạo các giao diện LAN và WAN, cấu hình giao diện điều khiển và các cổng VTY, cũng như thiết lập giao diện bên trong cho Network Address Translation Để xem cấu hình ban đầu, bạn có thể sử dụng lệnh show running-config.

Lưu ý: Nếu bạn không thể xem cấu hình ban đầu và nhận được thông báo l i

No Password Set thì phải đặt lại mật khẩu ban đầu.

Ví dụ: Cấu hình mặc định của Cisco 1812 l c khởi động version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption

! boot-start-marker boot-end-marker

! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero

! ip ips po max-events 100 no ftp-server write-enable

! interface BRI0 no ip address shutdown

! interface FastEthernet0 no ip address shutdown duplex auto speed auto

! interface FastEthernet1 no ip address

8 shutdown duplex auto speed auto

! interface FastEthernet2 no ip address shutdown

! interface Vlan1 no ip address

! no ip http server no ip http secure-server

! line con 0 line aux 0 line vty 0 4

Cấu hình cổng serial

Ch ng ta c thẻ cấuhình cổng serial bẳng đường console hoặc vty Sau đây là các bước cần thực hiện khi câu hình c ng serial:

 Vào chế độ cấu hình toàn cục

 Vào chế độ cấu hình cổng serial

 Khai báo địa ch và subnet mask

 Đặt tốc độ clock nếu đầu cáp cắm vào cổng serial là DCE Nếu đầu cáp là DTE thì ch ng ta c thể b qua này

Mỗi cổng serial cần có một địa chỉ IP và subnet mask để có thể định tuyến các gói IP Để cấu hình địa chỉ IP, chúng ta sử dụng lệnh sau:

Router(config)#interface serial 0/0 Router(config)#ip address

Cổng serial yêu cầu tín hiệu clock để điều khiển thời gian thực hiện thông tin liên lạc, thường thì thiết bị DCE như CSU sẽ cung cấp tín hiệu này Mặc định, router Cisco hoạt động như thiết bị DTE, nhưng có thể được cấu hình thành thiết bị DCE.

Trong môi trường làm lab, các đường liên kết serial được kết nối trực tiếp với nhau, với một đầu là DCE để cung cấp tín hiệu clock Để cài đặt tốc độ clock, bạn cần sử dụng lệnh clockrate.

Tuy nhiên s c một số tốc độ bạn không sử dụng được tuỳ theo khả năng vật lý của từng cổng serial

Mặc định, các cổng giao tiếp trên router đều ở trạng thái tắt Để mở hoặc khởi động các cổng này, bạn cần sử dụng lệnh no shutdown, trong khi lệnh shutdown được dùng để tắt cổng nhằm bảo trì hoặc xử lý sự cố Trong môi trường lab, tốc độ clock thường được thiết lập là 56000 Dưới đây là các lệnh để cài đặt tốc độ clock và khởi động cổng serial.

Router(config)#interface serial 0/0 Router(config-if)#clock rate 56000

Router(config-if)#no shutdown

Cấu hình Fast Ethernet LAN Interface

Các Fast Ethernet LAN Interface trên router của bạn được tự động cấu hình như một phần của VLAN mặc định và do đ ch ng không được cấu hình

10 với các địa ch riêng lẻ Truy cập được cung cấp thông qua VLAN Bạn c thể gán các Interface cho các VLAN khác nếu muốn.

Cấu hình Loopback Interface

Loopback Interface đóng vai trò như một địa chỉ IP tĩnh và cung cấp thông tin định tuyến mặc định Để cấu hình Interface này, bạn cần thực hiện theo các bước hướng dẫn cụ thể.

Vào chế độ cấu hình Interface

2 ip address ip-address mask

Router(config-int)# ip address 10.108.1.1 255.255.255.0

Thiết lập địa ch IP và subnet mask cho Loopback Interface

Router(config-int)# exit Router(config)#

Thoát chế độ cấu hình Loopback Interface và trở về chế độ cấu hình Global.

Loopback Interface trong cấu hình này hỗ trợ Network Address Translation (NAT) trên giao diện ảo Cụ thể, Loopback Interface được cấu hình trên Fast Ethernet với địa chỉ IP tĩnh 200.200.100.1/24, trong khi đó, nó kết nối về virtual-template1 với địa chỉ IP động.

! interface loopback 0 ip address 200.200.100.1 255.255.255.0 (static IP address) ip nat outside

! interface Virtual-Template1 ip unnumbered loopback0 no ip directed-broadcast

Để xác nhận cấu hình của Loopback Interface, hãy sử dụng lệnh "show interface" Kết quả trả về sẽ cho bạn thấy thông tin xác nhận tương tự như ví dụ dưới đây.

Loopback0 is up, line protocol is up

MTU 1514 bytes, BW 8000000 Kbit, DLY 5000 usec, reliability 255/255, txload 1/255, rxload 1/255

Encapsulation LOOPBACK, loopback not set

Last input never, output never, output hang never

Last clearing of "show interface" counters never

Output queue 0/0, 0 drops; input queue 0/75, 0 drops

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

0 output errors, 0 collisions, 0 interface resets

0 output buffer failures, 0 output buffers swapped out

Một cách khác để xác nhận Loopback Interface là ping n :

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 200.200.100.1, timeout is 2 seconds:

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Cấu hình trên Switch

Cấu hình Hostname

To enter Global Configuration mode on a switch, use the command `Switch# configure terminal` Next, assign a name to the switch by executing `Switch(config)# hostname 2960Switch`, which functions similarly to naming a router.

2960Switch(config)#enable password cisco: Cấu hình Password enable cho switch là Cisco

2960Switch(config)#enable secret class : Cấu hình Password enable được m hóa là class

2960Switch(config)#line console 0 : Vào chế độ cấu hình line console

2960Switch(config-line)#login : Cho ph p switch kiểm tra password khi người dùng login vào switch thông qua console

2960Switch(config-line)#password cisco : Cấu hình password cho console là Cisco

2960Switch(config-line)#exit :Thoát kh i chế độ cấu hình line console

2960Switch(config-line)#line vty 0 4 :Vào chế độ cấu hình line vty

2960Switch(config-line)#login : Cho ph p switch kiểm tra password khi người dùng login vào switch thông qua telnet

2960Switch(config-line)#password cisco : Cấu hình password cho ph p telnet là Cisco

2960Switch(config-line)#exit : Thoát kh i chế độ cấu hình của line vty

Cấu hình VLAN

 Cấu hình mật khẩu chế độ EXEC: class

 Cấu hình mật khẩu kết nối console: cisco

 Cấu hình mật khẩu kết nối vty: cisco

 S1(config-vlan)#name faculty/staff

Kiểm tra các VLANs đã t o trên switch S1:

Cấu hình và đặt tên các VLANs trên switch S2, S3 như S1.

Cấu hình các port trên switch S2, S3:

 S2: o S2(config)#interface range fa0/6, fa0/11, fa0/18

13 o S2(config-if-range)#switchport mode access o S2(config-if-range)#no shutdown

 S3: o S3(config)#interface range fa0/6, fa0/11, fa0/18 o S3(config-if-range)#switchport mode access o S3(config-if-range)#no shutdown

Gán các port đến các VLANs trên switch S2, S3:

To configure VLANs on a switch, access the interface range by entering the command `interface range fa0/6-11` and assign it to VLAN 30 with `switchport access vlan 30` Next, for the range `fa0/11-17`, set it to VLAN 10 using `switchport access vlan 10` For the interface range `fa0/18-24`, assign it to VLAN 20 with `switchport access vlan 20` After completing these configurations, exit the interface mode with the `end` command and save the changes by executing `copy running-config startup-config`.

Cấu hình tư ng tự trên S3

Gán VLAN management trên switch S1, S2, S3:

 S1: o S1(config)#interface vlan 99 o S1(config-if)#ip address 172.17.99.11 255.255.255.0 o S1(config-if)#no shutdown

Cấu hình trun ing và native VLAN cho các port trun ing trên các switch S1, S2, S3:

 S1: o S1(config)#interface range fa0/1-5 o S1(config-if-range)#switchport mode trunk o S1(config-if-range)#switchport trunk native vlan 99 o S1(config-if-range)#no shutdown o S1(config-if-range)#end

Cấu hình VTP

Đầu tiên ch ng ta cần show run 2 switch tương ứng với thông tin dưới đây

! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption

! interface FastEthernet0/1 shutdown encapsulation dot1q switchport mode trunk

! interface FastEthernet0/2 switchport access vlan 2

! interface FastEthernet0/3 switchport access vlan 3

!!!!! interface VLAN1 no ip directed-broadcast no ip route-cache

! line con 0 transport input none stopbits 1 line vty 5 15

16 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption

! spanning-tree extend system-id

! interface FastEthernet0/1 switchport mode trunk no ip address

! interface FastEthernet0/2 no ip address

! interface FastEthernet0/4 switchport access vlan 4 switchport mode access no ip address

! interface Vlan1 no ip address no ip route-cache shutdown

Các bước tiến hành cấu hình

Bước 1: Cấu hình đầu tiên cho VTP Domain Name và VTP Mật khẩu

Cấu hình dành cho Switch 1

Switch1(config)#vtp domain thegioimangcisco

Switch1(config)#vtp password thegioimangcisco

Cấu hình dành cho Switch2

Switch2(config)#vtp domain thegioimangcisco

Switch2(config)#vtp password thegioimangcisco2

Bước 2: Cấu hình Trunk yêu cầu phải chú ý đến VTP mật khẩu của hai switch khác nhau Nếu chúng ta cấu hình trunk ở cả hai đầu switch, đường trunk sẽ hoạt động, nhưng các VLAN vẫn không thể trao đổi thông tin với nhau.

Switch2(config-if)#switchport mode trunk

Switch2(config-if)#switchport trunk encapsulation dot1q

Vì các switch dòng 2900 series hoạt động encapsulation dot1q nên ta s không cần phải đánh lệnh switchport trunk encapsulation dot1q.

Bước 3: Tiến hành cấu hình tiếp các VLAN ở 2 đầu switch, ở bước này s chia thành 2 bước nh đ là

1/Tạo các Vlan ( VLAN Name

2/Gán Interface vào VLAN (Switchport Access VLAN Number )

Switch2(config-if)#switchport access vlan number

Bước 4: Kiểm tra lại thông tin VLAN b ng các lệnh: show vtp status , show vlan brief

1 default active Fa0/2, Fa0/3, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10

Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18

Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24

1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12

Đến bước này, chúng ta đã có một Switch 1 với số Revision Number cao hơn Khi đường Trunk hoạt động, Switch 1 sẽ cập nhật VLAN 2 và 3 cho Switch 2, trong khi VLAN 4 trên Switch 2 sẽ biến mất Điều này cho thấy tầm quan trọng của VTP Password, giúp ngăn chặn các switch lạ khi được kết nối vào hệ thống, gây ra sự xáo trộn các VLAN Bây giờ, chúng ta sẽ tiến hành cấu hình VTP Password là thegioimangcisco và bật debun sw-VLAN VTP event trên Switch 2.

Switch2#debug sw-vlan vtp event vtp events debugging is on

Switch2(config)#vtp pass thietbimangcisco

Setting device VLAN database password to thietbimangcisco

Bây giờ ch ng ta xem lại các vlan của Switch2, Switch c revision number b hơn

1 default active Fa0/2, Fa0/3, Fa0/5, Fa0/6

Như vậy Vlan 4 không còn Switch2 , l c này ta d ng lệnh show vtp status

Local updater ID is 0.0.0.0 (no valid interface found)

Ta thấy số revision number l c này của Switch2 b ng 2, b ng với số của Switch1

Cấu hình trên Access Point

Access Point là một thiết bị không dây, có chức năng nhận tín hiệu mạng từ Router qua cáp Ethernet và chuyển đổi thành tín hiệu Wi-Fi ở băng tần 2.4GHz hoặc 5GHz, nhằm phục vụ nhu cầu sử dụng mạng Wi-Fi trong khu vực lắp đặt.

Một số điều cần biết khi sử dụng Access Point

 Access Point hoạt động tương tự như chế độ Bridge (Bridge with AP) trên Router

 Access Point không cấp DHCP như Router

Access Point nhận địa chỉ IP từ Router trong mạng, cho phép các thiết bị người dùng cuối kết nối và nhận địa chỉ IP tương ứng từ Router.

Mô hình kết nối mạng cơ bản của một Access Point

Trong bài viết này, TOTOLINK giới thiệu mô hình kết nối mạng cơ bản nhất cho một Access Point, giúp người dùng có cái nhìn tổng quát hơn về việc lắp đặt thiết bị Access Point trong nhiều tình huống khác nhau.

Các bước cấu hình c bản cho thiết bị Access Point

Bước 1: Kết nối máy tính với thiết bị Access Point theo mô hình sau

Bước 2: Truy cập trang cấu hình của thiết bị

Cách dễ nhất để truy cập vào giao diện cấu hình của Access Point là sử dụng trình duyệt Web Mỗi thiết bị đều có một địa chỉ IP mặc định cho việc cấu hình Để tìm địa chỉ IP mặc định của Access Point, người dùng có thể xem thông tin được dán ở mặt sau của sản phẩm.

Để kết nối với Access Point, cần thiết lập địa chỉ IP tĩnh cho máy tính, vì thiết bị này không hỗ trợ tính năng cấp phát DHCP Địa chỉ IP tĩnh phải thuộc cùng một mạng với địa chỉ IP mặc định của Access Point, chẳng hạn như 192.168.0.30.

Để bắt đầu, người dùng cần mở một trình duyệt Web và nhập địa chỉ IP của Access Point vào thanh địa chỉ Sau khi nhấn Enter, bạn sẽ được chuyển đến trang cấu hình của thiết bị Cuối cùng, hãy nhập thông tin tài khoản quản trị để truy cập và tiến hành cấu hình cho thiết bị.

Bước 3: Cấu hình các chức năng cơ bản cho Access Point

Để gán IP tĩnh, bạn cần truy cập vào thẻ Cài đặt LAN (LAN Setting) Khi trang cài đặt LAN hiện ra, hãy chọn phương thức sử dụng IP là thủ công (Manual) và nhập địa chỉ IP tĩnh mà bạn muốn cấp cho thiết bị.

Lưu ý rằng địa chỉ IP của Access Point phải nằm trong cùng một mạng với Router cấp xuống, và người dùng cần đảm bảo rằng địa chỉ IP này không trùng với bất kỳ địa chỉ IP nào khác trong mạng.

Để bảo vệ hệ thống mạng của bạn, hãy thay đổi tên và mật khẩu Wi-Fi khi bắt đầu sử dụng thiết bị Access Point Việc này giúp ngăn chặn các xâm nhập trái phép và cải thiện độ ổn định của mạng.

Tùy thuộc vào loại chuẩn Wi-Fi mà thiết bị sử dụng, thiết bị có thể hỗ trợ một hoặc hai băng tần khác nhau Mặc dù cách cài đặt cho cả hai băng tần tương tự nhau, TOTOLINK sẽ hướng dẫn người dùng cài đặt trên một băng tần, trong khi băng tần còn lại sẽ được cài đặt theo cách tương tự.

Cấu hình Firewall

Truy cập Global Configuration Mode

Về cơ bản Firewall Cisco ASA c ng bao gồm các mode giống như trên các dòng switch hay router của Cisco, bao gồm: User EXEC mode, Privileged

EXEC mode, Global configuration mode và Sub-configuration mode Các bạn đăng nhập vào ASA với password để trống:

Cấu hình Hostname, Banner Motd, Password

Cấu hình hostname, domain name, enable password, banner mode:

27 ciscoasa(config)# hostname CNTTSHOP-FW

CNTTSHOP-FW(config)# domain-name cnttshop.vn

CNTTSHOP-FW(config)# enable password cnttshop@123

CNTTSHOP-FW(config)# banner motd - CNTTSHOP-FW(config)# banner motd Ban dang truy cap vao firewall cua cty CNTTSHOP

CNTTSHOP-FW(config)# banner motd - CNTTSHOP-FW(config)# banner motd

Ban dang truy cap vao firewall cua cty CNTTSHOP

Type help or '?' for a list of available commands

CNTTSHOP-FW(config)# show password encryption

Master key hash: Not set(saved)

CNTTSHOP-FW(config)# key config-key password-encryption cisco123

CNTTSHOP-FW(config)# password encryption aes

CNTTSHOP-FW(config)# show password encryption

On a Cisco ASA firewall, traffic flows are categorized into zones, typically consisting of three: outside (the interface connecting to the internet), inside (the internal LAN interface), and DMZ (the interface hosting public service servers) Each zone is assigned a nameif and varying security levels to enhance network security.

CNTTSHOP-FW(config)# interface vlan 1

CNTTSHOP-FW(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default

CNTTSHOP-FW(config-if)# security-level 100

CNTTSHOP-FW(config-if)# ip address 192.168.1.1 255.255.255.0

CNTTSHOP-FW(config-if)# exit

CNTTSHOP-FW(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default

CNTTSHOP-FW(config-if)# nameif dmz

INFO: Security level for "dmz" set to 50 by default

Gán Layer 2 Ports vào VLAN

Gán Cổng layer 2 vào vlan:

CNTTSHOP-FW(config-if)# switchport access vlan 2

CNTTSHOP-FW(config-if)# no shutdown

CNTTSHOP-FW(config-if)# switchport access vlan 3

CNTTSHOP-FW(config-if)# no shutdown

CNTTSHOP-FW(config)# interface range e0/2-7

CNTTSHOP-FW(config-if-range)# switchport access vlan 1

CNTTSHOP-FW(config-if-range)# no shutdown

CNTTSHOP-FW(config-if-range)# exit

Kiểm tra các port đ được gán vào VLAN

CNTTSHOP-FW#show switch vlan

Ports - Et0/2, Et0/3, Et0/4, Et0/5, Et0/6, Et0/7

CNTTSHOP-FW#show interface ip brief

IP-Address unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned 192.168.1.1 100.0.0.100 10.0.0.1 127.1.0.1

YES YES YES YES YES YES YES YES YES YES YES YES YES YES

Method unset unset unset unset unset unset unset unset unset unset manual manual manual unset

Status up up up up up up up up up up up up up up

Protocol up up up up up up up up up up up up up up Cấu hình Default Static Route trên Cisco ASA

CNTTSHOP-FW(config)# route outside 0.0.0.0 0.0.0.0 100.0.0.1

CNTTSHOP-FW(config)# show route | begin Gateway

Gateway of last resort is 100.0.0.1 to network 0.0.0.0

Cấu hình Telnet, SSH trên Cisco ASA

CNTTSHOP-FW(config)# password cisco

CNTTSHOP-FW(config)# telnet 192.168.1.3 255.255.255.255 inside

CNTTSHOP-FW(config)# telnet timeout 3

CNTTSHOP-FW(config)# show run telnet telnet 192.168.1.3 255.255.255.255 inside telnet timeout 3

CNTTSHOP-FW(config)# username admin password cnttshop@123

CNTTSHOP-FW(config)# aaa authentication ssh console LOCAL

CNTTSHOP-FW(config)# crypto key generate rsa modulus 2048

WARNING: You have a RSA keypair already defined named

Do you really want to replace them? [yes/no]: y

Keypair generation process begin Please wait

CNTTSHOP-FW(config)# ssh 192.168.1.3 255.255.255.255 inside

CNTTSHOP-FW(config)# ssh 192.168.1.4 255.255.255.255 inside

CNTTSHOP-FW(config)# ssh version 2

CNTTSHOP-FW(config)# show ssh

Cấu hình NTP trên Cisco ASA

CNTTSHOP-FW(config)# ntp authenticate

CNTTSHOP-FW(config)# ntp trusted-key 1

CNTTSHOP-FW(config)# ntp authentication-key 1 md5 cnttshop@123 CNTTSHOP-FW(config)# ntp server 192.168.1.254

Cấu hình DHCP Server trên Cisco ASA

CNTTSHOP-FW(config)# dhcpd address 192.168.1.10-192.168.1.200 inside

CNTTSHOP-FW(config)# dhcpd lease 1800

CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 inside

CNTTSHOP-FW(config)# dhcpd address 10.0.0.10-10.0.0.200 outside

CNTTSHOP-FW(config)# dhcpd lease 1800

CNTTSHOP-FW(config)# dhcpd dns 8.8.8.8 8.8.4.4 outside

Trong bài này mình ch hướng d n các cấu hình cơ bản trên các dòng firewall Cisco ASA thấp với các cổng mặc định ban đầu là layer2 như ASA5505,

ASA5506 Đối với các dòng Cisco ASA cao hơn thì các cổng mặc định là Layer 3 cấu hình s khác so với bài viết này.

Cấu hình Mesh Device

 Router: Bộ định tuyến c kết nối Internet.

 Central AP (CAP): Thiết bị điều khiển, đồng thời c ng là 1 điểm phát s ng mạng Mesh

 Mesh Repeater (MRE): Thiết bị thu s ng wifi từ CAP, mở rộng v ng phủ wifi tới vị trí mong muốn của người d ng.

 Thiết bị người d ng (điện thoại, máy tính,…) kết nối wifi với mạng Mesh để sử dụng dịch vụ.

1.6.2 HƯỚNG DẪN SỬ DỤNG NHANH

* Hướng Dẫn Thiết Lập M ng MESH

Bước 1 : Bật nguồn cho thiết bị

Ch ý : Sử dụng nguồn chính h ng dành cho thiết bị

- Chờ khoảng 2 phút cho đến khi đèn LED sáng đ trên tất cả các thiết bị thì mới thực hiện bước tiếp theo.

Bước 2 : Thiết ập m ng Mesh

Để thiết lập mạng Mesh, trước tiên, hãy chọn một thiết bị bất kỳ và bật nguồn, gọi thiết bị này là Node chính (CAP) Các thiết bị còn lại sẽ được coi là node phụ (MRE) Sau đó, lần lượt thực hiện các thao tác cần thiết để hoàn tất quá trình thiết lập.

Thao tác 1: Khởi tạo mạng Mesh

Kết nối cổng WAN của CAP với cổng LAN của Router bằng dây cáp Ethernet Đảm bảo đèn trên CAP sáng xanh trước khi thực hiện các thao tác tiếp theo.

Kết nối PC hoặc Laptop với WiFi của thiết bị đã được chọn làm CAP Tên mạng (SSID) và mật khẩu (Password) của WiFi được in trên tem ở mặt sau của thiết bị.

 Sử dụng trình duyệt Internet trên PC/Laptop, truy cập WebGUI qua địa ch 192.168.88.1 như hình sau:

 Nhập username: root, password: VNPT Nhấn vào n t Login

 Trên WebGUI của thiết bị, vào trang Mesh, chọn Create Mesh Network, nhập tên WiFi và Password mới cho mạng Mesh, sau đ bấm n t Create (Apply)

 WebGUI hiển thị thông báo, chọn OK để bắt đầu khởi tạo mạng Mesh Đèn LED trên thiết bị nháy đ

L c này đèn Led trên thiết bị nháy cam, chờ cho đến khi đèn Led trên thiết bị sáng xanh thì tiếp tục thực hiện thao tác tiếp theo.

 Sử dụng PC/Laptop kết nối lại tới mạng Mesh vừa khởi tạo.

 Sử dụng trình duyệt Internet trên PC/Laptop, truy cập WebGUI qua địa ch 192.168.88.1, sử dụng username/password: root/VNPT để đăng nhập như thao tác 1

 Trên WebGUI, vào trang Mesh, chọn Add Node

 Đảm bảo các thiết bị MRE đ được bật nguồn trước đ rồi bấm Next

Lưu ý rằng trước khi mở hộp, các thiết bị MRE cần được đặt ở trạng thái mặc định Nếu không, người dùng nên thực hiện việc reset Factory bằng cách nhấn và giữ nút RESET cho đến khi đèn LED nháy, sau đó thả ra Thiết bị sẽ tự động reset và khởi động lại.

 Khi tất cả MRE đ ở trạng thái mặc định, bấm n t Scan New Nodes để thực hiện tìm kiếm.

Sau khi hoàn tất quá trình tìm kiếm, hãy chọn địa chỉ MAC của các MRE cần bổ sung vào mạng (địa chỉ MAC có thể tìm thấy trên nhãn ở mặt sau của thiết bị) Tiếp theo, nhấn nút "Add".

Node để tiến hành thêm MRE Đèn LED trên CAP và MRE nháy cam báo hiệu các thiết bị đang kết nối với nhau.

Sau khoảng 2 phút, hệ thống Mesh đã thêm MRE thành công, với đèn LED trên các thiết bị sáng xanh Trang Home WebGUI hiển thị Topology của mạng Mesh, trong đó CAP có màu xanh dương, MRE màu xanh lá, và các thiết bị kết nối đến mạng Mesh có màu vàng.

Vậy là ch ng ta đ hoàn thành việc thiết lập mạng Mesh và c thể kết nối để sử dụng dịch vụ

1.6.3 Các tính năng thường d ng hác

Hướng dẫn đổi tên m ng MESH

Nếu người d ng muốn đổi tên mạng Mesh, thực hiện lần lượt các bước sau:

Bước 1: Kết nối WiFi vào mạng Mesh đ thiết lập như trên

Bước 2: Sử dụng trình duyệt Internet trên thiết bị người d ng, truy cập địa ch 192.168.88.1 như hình sau:

Bước 3: Nhập username: root, password: VNPT Nhấn vào n t Login

Bước 4: Vào mục Settings > Wireless, chọn mục SSID

Bước 5: Thay đổi tên mạng Mesh (SSID) mới và đặt mẩu khẩu (WPA Passphrase)

 Tên mạng Mesh (SSID) và mật khẩu không được ph p c các kí tự sau: ' '' &

 Không cần thay đổi thông tin mục Wireless Security

Bước 6: Nhấn n t Apply chờ khoảng 2-3 ph t cho tới khi LED chuyển từ nháy cam sang sáng xanh

Trong quá trình áp dụng cấu hình, nếu thiết bị ngắt kết nối wifi, trình duyệt sẽ hiển thị thông báo “Please reconnect wifi” Người dùng cần chờ cho đến khi quá trình hoàn tất và đèn LED sáng xanh, sau đó có thể kết nối lại wifi bằng tên và mật khẩu đã thiết lập để sử dụng dịch vụ.

Hướng dẫn đặt tên thiết bị trong m ng MESH

Để đổi tên các thiết bị trong hệ thống mạng Mesh nhằm thuận tiện cho việc quản trị và kiểm soát vị trí, người dùng cần thực hiện các bước sau đây một cách lần lượt.

 Truy cập WebGui qua địa ch 192.168.88.1, tại trang Home, ấn vào hình ảnh thiết bị

 Bảng Device Name hiện ra, người d ng c thể đặt tên thiết bị tại ô Device

Name và vị trí thiết bị tại ô Devcie Location sau đ ấn Save Ví dụ như sau:

Để lấy thông tin địa chỉ IP của MRE, người dùng cần truy cập vào WebGUI Trên trang chính, di chuột vào MRE mà bạn muốn đổi tên để xem thông tin IP Ví dụ, MRE có địa chỉ IP là 192.168.88.124.

 Đổi tên MRE: Truy cập WebGui của MRE qua địa ch 192.168.88.142 và đăng nhập với username/password: root/VNPT Trên trang Home, ấn vào hình ảnh thiết bị

Người dùng có thể đặt tên thiết bị trong ô Device Name và xác định vị trí thiết bị tại ô Device Location, sau đó nhấn Save để lưu lại.

Bước 3: Làm tương tự bước 2 để đổi tên các MRE còn lại Sau khi đổi tên xong Topology hiển thị trên WebGUI s được như ví dụ sau:

Bảo mật mạng

Wifi đã trở thành một phần thiết yếu trong cuộc sống hiện đại, nhưng nó cũng tiềm ẩn nhiều rủi ro về bảo mật Mạng không dây tại nhà có thể là kết nối Internet dễ bị tấn công nhất, không chỉ từ các mối đe dọa trên Internet mà còn từ những kẻ xâm nhập ngay trong khu vực lân cận.

Mặc dù không có biện pháp bảo mật nào hoàn hảo, bạn có thể thực hiện một số bước đơn giản để nâng cao tính bảo mật cho mạng không dây gia đình Những biện pháp này sẽ giúp ngăn chặn kẻ tấn công truy cập vào mạng của bạn một cách dễ dàng hơn.

4 bước thiếtlập mạng không dây gia đình

Làm thế nào đểbiết ai đang "dùng chùa" Wifi nhà bạn hay không?

Luôn truy cập bảng điều khiển admin b ng Ethernet

Để truy cập bảng điều khiển admin của router qua Ethernet, bạn chỉ cần mở trình duyệt web và nhập địa chỉ IP hoặc URL, sau đó điền tên người dùng và mật khẩu admin Tuy nhiên, cần lưu ý không thực hiện thao tác này trên kết nối không dây để đảm bảo an toàn.

Khi đăng nhập vào bảng quản trị admin qua mạng không dây, thông tin đăng nhập có thể bị chặn trong quá trình truyền tải Tuy nhiên, nếu bạn sử dụng kết nối Ethernet để đăng nhập, bạn có thể giảm thiểu rủi ro này.

Để bảo mật tốt hơn, bạn nên tắt hoàn toàn quyền truy cập từ xa và yêu cầu kết nối có dây để quản lý mọi thứ Nhờ đó, ngay cả khi tin tặc xâm nhập vào kết nối không dây và phá vỡ mật khẩu, họ cũng không thể thay đổi bất kỳ cài đặt nào.

Thay đổi tên m ng (SSID)

Thay đổi tên mạng mặc định là một biện pháp đơn giản nhưng hiệu quả để bảo vệ bộ định tuyến của bạn Kẻ tấn công thường biết tên mặc định mà các nhà sản xuất và ISP sử dụng, từ đó dễ dàng xác định loại bộ định tuyến bạn đang sử dụng Bằng cách này, họ có thể tấn công vào bộ định tuyến của bạn một cách nhanh chóng và dễ dàng, tiết kiệm thời gian và công sức cho họ.

Thông tin này tạo điều kiện cho các cuộc tấn công tinh vi hơn, đặc biệt là nhắm vào firmware của bộ định tuyến Nếu kẻ tấn công có thể khai thác firmware và tìm ra mật khẩu của bạn, họ sẽ có quyền truy cập sâu hơn và kín đáo hơn vào hệ thống của bạn.

Thay đổi tên người d ng và mật h u

C ng tương tự như cách bảo mật ở trên, bạn cần thay đổi tên người d ng và mật khẩu của người d ng quản trị mạng.

Kẻ tấn công có thể dễ dàng biết được tên và mật khẩu mặc định, vì vậy việc chỉ thay đổi mật khẩu bằng cách thay một ký tự là không đủ an toàn Họ sử dụng công cụ chuyên dụng để kiểm tra hàng nghìn kết hợp mật khẩu và tên người dùng một cách nhanh chóng Để bảo vệ tài khoản của bạn, hãy sử dụng mật khẩu mạnh và không dễ đoán.

Để tăng cường bảo mật, hãy thay đổi tên người dùng quản trị thành một cái gì đó khó đoán Mật khẩu của bạn nên là một cụm mật mã, tức là một cụm từ chứa ít nhất một từ ngẫu nhiên Ngoài ra, hãy sử dụng chữ viết hoa, số và một số ký tự đặc biệt để làm cho mật khẩu trở nên mạnh mẽ hơn.

Sử dụng mã hóa m nh

MHA là tính năng thiết yếu trên tất cả các router, tương tự như việc để mọi cửa ra vào và cửa sổ trong nhà luôn mở Điều này có nghĩa là mọi hành động và thông tin bạn chia sẻ đều có thể bị nhìn thấy và nghe thấy bởi bất kỳ ai.

Nếu bạn không sử dụng mật khẩu cho mạng không dây của mình, bạn đang mắc một sai lầm nghiêm trọng Thực tế, ngay cả khi bạn đã sử dụng mật khẩu, bạn vẫn có thể gặp rủi ro Không phải tất cả mật khẩu đều giống nhau, vì vậy hãy chắc chắn rằng bạn đã chọn cài đặt đúng để bảo vệ mạng của mình.

Để kích hoạt mã hóa trong cài đặt router, bạn chỉ cần khoảng 30 giây Hãy đảm bảo sử dụng chế độ WPA2 nếu có sẵn, hoặc ít nhất là WPA Personal Tuyệt đối không sử dụng mã hóa WEP, vì nó yếu và dễ bị bẻ khóa.

Chọn "WPA2 Personal" cho mạng của bạn là một lựa chọn tốt, mặc dù phiên bản doanh nghiệp cũng có ưu điểm nhưng yêu cầu kinh nghiệm nhất định Đối với thuật toán mã hóa, hãy chọn AES thay vì TKIP, vì AES cung cấp mức độ bảo mật cao hơn và khó bị khai thác TKIP chỉ nên được sử dụng khi cần tương thích ngược, và nếu bạn vẫn cần TKIP, hãy đảm bảo cập nhật thiết bị của mình.

Mật khẩu đăng nhập vào mạng cần phải mạnh mẽ và khác biệt so với mật khẩu tài khoản quản trị viên Hãy chọn mật khẩu dài ít nhất 15 ký tự, bao gồm ít nhất một từ hiếm, số và các ký tự đặc biệt để tăng cường bảo mật.

Dù mật khẩu Wi-Fi của bạn rất mạnh, việc thay đổi nó định kỳ là cần thiết Giống như bất kỳ mật khẩu nào khác, bạn nên thường xuyên cập nhật cụm từ mới Không cần phải thay đổi mật khẩu hàng ngày, nhưng việc thực hiện điều này vài tháng một lần là một ý tưởng tốt.

Vô hiệu hoá m ng hách

CẤU HÌNH NÂNG CAO TRÊN ROUTER VÀ THIẾT BỊ KHÁC

Cấu hình InterVlan

Mô hình mạng trên gồm có:

Bảng quy hoạchđịa ch IP:

PC: Pc đượcđặt IP tư ngứngvới Vlan

Mục tiêu của bài viết là cấu hình định tuyến Intervlan cho các thiết bị trong VLAN 10, 20, 30, và 40, nhằm đảm bảo chúng có thể giao tiếp với nhau Việc cấu hình Intervlan trên Switch layer 3 cho phép các VLAN trong hệ thống mạng tương tác và trao đổi traffic một cách hiệu quả.

Switch(config)#vlan 10 ##Tạo Vlan 10

Switch(config-if)#ip address 192.168.10.1 255.255.255.0 ##Đặt ip cho vlan 10 Switch(config-if)#exit

Switch(config-if)#ip address 192.168.20.1 255.255.255.0 ##Đặt ip cho vlan 20

Switch(config-if)#ip address 192.168.30.1 255.255.255.0 ##Đặt ip cho vlan 30

Switch(config-if)#ip address 192.168.40.1 255.255.255.0 ##Đặt ip cho vlan 40 Switch(config-if)#exit

Cấu hình cổng GE1/0/2, GE1/0/3, GE1/0/4, GE1/0/5 là mode Trunk

Switch(config)#int range GE1/0/2-5

Switch(config-if)#Switchport mode trunk

Switch(config-if)#Switchport trunk encapsulation dot1q

Cấu hình định tuyến giữa các Vlan

Cấu hình các cổngkếtnốitới Switch Layer 3 là cổng trunk

Switch(config-if)#Switchport mode trunk

Gán các cổngkếtnốivới PC vào Vlan tương ứng Switch(config)#int fa0/1

Switch(config-if)#Switchport mode access

Switch(config-if)#Switch access vlan 10

Tạo Các vlan tương tự như Switch layer 3

2.1.3 Show iểm tra cấu hình thiếtbị

Kiểm tra cấu hình của Switch layer 3

Các c ổ ng k ế t n ố i t ớ i Switch layer 2 c ấ u hình Trunk

Các c ổ ng k ế t n ố i t ớ i Switch layer 3 c ấ u hình Trunk, gán port k ế t n ố i t ớ i PC tương ứ ng vào Vlan

2.1.4 Ping iểm tra ết nối các Vlan

PC 1 Vlan 10 ping tới PC 2 Vlan 20

PC 1 Vlan 10 ping tới PC 3 vlan 30

PC 2 vlan 20 ping tới PC 4 vlan 40

Trong mạng LAN, các VLAN mặc định không thể kết nối với nhau Bài viết này hướng dẫn bạn cách cấu hình một hệ thống mạng với các Switch Layer 3, Switch Access Layer 2 và 4 PC nằm trong 4 VLAN khác nhau, cho phép chúng có thể ping thông qua phương thức "Inter-VLAN" hay còn gọi là "VLAN Routing" Hy vọng rằng hướng dẫn này sẽ giúp bạn thực hiện cấu hình "Inter-VLAN" trên thiết bị Cisco một cách hiệu quả.

Cấu hình định tuyến Static

Định tuyến tĩnh cung cấp các đường dẫn cố định trên mạng và được cấu hình thủ công trên router Khi topo mạng thay đổi, định tuyến tĩnh cần được cập nhật để phù hợp với cấu hình mới Đây là các định tuyến riêng biệt, trừ khi được phân phối lại thông qua giao thức định tuyến Việc cấu hình định tuyến tĩnh trên router Cisco 1800 series không bắt buộc Để cấu hình, bạn cần thực hiện theo các bước từ chế độ cấu hình Global.

1 ip route prefix mask { ip- address| interface- type interface- number [ ip-address ]}

Ch định định tuyến tĩnh cho các gói IP

Thoát chế độ cấu hình định tuyến tĩnh, vào chế độ Privileged EXEC

In this example, the static route sends all packets with a destination IP of 192.168.1.1 and a subnet mask of 255.255.255.0 through the Fast Ethernet interface to the IP address 10.10.10.2 Specifically, the packets are directed to a configured PVC.

Bạn không cần nhập các lệnh được đánh dấu "default" vì chúng tự động xuất hiện trong file cấu hình khi bạn sử dụng lệnh show running-config.

! ip classless (default) ip route 192.168.1.0 255.255.255.0 10.10.10.2!

Để xác nhận cấu hình static route, bạn hãy nhập lệnh "show ip route" và tìm các static route được biểu thị bằng ký hiệu "S" Kết quả xác nhận sẽ hiển thị như sau:

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

OSPF external type 1 (E1) and external type 2 (E2) routes, along with IS-IS (Intermediate System to Intermediate System) routes identified as i for standard, su for summary, L1 for level-1, L2 for level-2, and ia for inter-area, play crucial roles in network routing Additionally, candidate default routes are marked with an asterisk (*), while U denotes per-user static routes, o represents ODR (On-Demand Routing), and P indicates periodically downloaded static routes Understanding these route types is essential for effective network management and optimization.

Gateway of last resort is not set

Cấu hình định tuyến Dynamic

Trong định tuyến động, giao thức mạng tự động điều chỉnh đường dẫn dựa trên lưu lượng mạng và cấu trúc topologie Những thay đổi này được chia sẻ với các router khác trong mạng Các router Cisco có thể sử dụng các giao thức định tuyến IP như Routing Information Protocol (RIP) hoặc Enhanced Interior Gateway Routing Protocol (EIGRP) để thực hiện định tuyến động Người dùng cũng có thể cấu hình nhiều giao thức định tuyến trên router của mình.

2.3.1 Cấu hình RIP Để cấu hình RIP bạn thực hiện các bước sau, bắt đầu từ chế độ cấu hình Global:

Vào chế độ cấu hình router và bật RIP trên router

Router(config- router)# version 2 Router(config- router)#

Ch định xem sử dụng RIP phiên bản 1 hay 2.

Router(config- router)# network 192.168.1.1 Router(config- router)# network 10.10.7.1

Ch định danh sách các mạng mà RIP được áp dụng trên đ , sử dụng địa ch mạng của các mạng kết nối trực tiếp.

Router(config- router)# no auto- summary

Tắt tính năng tự động thu gọn các định tuyến con thành định tuyến theo cấp độ mạng để cho phép thông tin định tuyến subprefix đi qua các mạng classful.

Router(config- router)# end Router#

Thoát chế độ cấu hình router, vào chế độ Privileged EXEC.

Cấu hình này bật RIP phiên bản 2 trên mạng IP 10.0.0.0 và 192.168.1.0 Thực hiện lệnh show running-config từ chế độ Privileged EXEC để xem cấu hình này

! router rip version 2 network 10.0.0.0 network 192.168.1.0 no auto-summary

Để xác nhận cấu hình RIP, hãy nhập lệnh "show ip route" và tìm định tuyến được đánh dấu là "R" Kết quả xác nhận sẽ hiển thị như sau:

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

OSPF (Open Shortest Path First) includes external types such as E1 and E2, while IS-IS (Intermediate System to Intermediate System) features levels like L1 and L2, along with inter-area (ia) and summary (su) routes Additionally, routing types include candidate defaults (*), per-user static routes (U), and ODR (On-Demand Routing), as well as periodically downloaded static routes (P).

Gateway of last resort is not set

R1(config)#router rip Khai báo giao thức RIP trên R1

R1(config-router)#version 1 Khai báo theo RIPv1 (không có câu lệnh version, mặc địnhchạy Ripv1)

Khai báo địa chỉ mạng kết nối trực tiếp vào R1 mà không cần subnet mask, R1 sẽ gửi thông tin này trong bản tin cập nhật định tuyến RIP Chỉ cần khai báo địa chỉ mạng theo classful subnet mask là đủ.

Nếu bạn quảng bá một subnet, thì bạn s không nhận được một thông điệp báo l i, bởi vì router s tự độngchuyển subnet đ về địa ch mạng classfull

* Các câu ệnh nâng cao

R1(config-router)# passive-interface fa0/0 không cho quảng bá bản tin RIP vào cổng fa0/0

R1(config-router)#redistribute static Lệnh quảng bá tuyến Static trong bản tin RIP

R1(config-router)# default-information originate Lệnh quảng bá tuyến default route trong bản tin RIP

* Các câu ệnh xem, iểm tra cấu hình RIP

R1#show ip protocols Hiển thị thông số của giao thức RIP, các đồng hồ thời gian

R1#debug ip rip xem quá trình cập nhật bản tin định tuyến RIP theo thời gian thực

R1# show ip route Xem bảngđịnhtuyếnđ được xây dựng

R1# show ip rip database Hiểnthị nội dung của RIP database

* RIPv2 (Routing Information Protocol version 2)

- Metric = hop count (tối đa = 16)

- H trợ chứng thực, mạng gián đoạn

- C thể cấu hình RIPv2 theo các bước sau:

• Bước 1: Bật Rip version 2 ciscoasa(config)# router rip ciscoasa(config-router)# version 2

Mặc định summary được bật, để tắt ta sử dụng lệnh: ciscoasa(config-router)# no auto-summary

Phân phối thông tin định tuyến ciscoasa(config-router)# default-information originate

• Bước 2: Xác định mạng, là mạng chính của mạng đ ciscoasa(config-router)# network ip-address

• Bướ c 3: Chặn không cho thông tin định tuyến gởi qua interface nhưng v n nhận được thông tin từ interface này ciscoasa(config-router)# passive-interface

Bước 4: Bộ lọc thông tin định tuyến cho RIPv2 có thể được thực hiện trên ASA bằng cách áp dụng danh sách phân phối Để bắt đầu, bạn cần tạo danh sách bằng lệnh ciscoasa(config)# access-list acl-id standard.

{permit | deny} ip-address mask

To authenticate RIPv2 on the ASA interface, configure the authentication mode using the command: `ciscoasa(config-if)# rip authentication mode {text | md5}` Then, set the authentication key with the command: `ciscoasa(config-if)# rip authentication key key-string key_id id`.

Xem thông tin định tuyến ciscoasa# show rip database

OSPF (Open Shortest Path First) là giao thức định tuyến link-state phổ biến trong các mạng doanh nghiệp lớn Mỗi router sử dụng OSPF sẽ gửi trạng thái đường link đến tất cả các router trong cùng một vùng (area) Sau quá trình trao đổi thông tin, các router sẽ đồng bộ hóa bảng cơ sở dữ liệu trạng thái đường link (Link State Database - LSDB) và tạo ra bản đồ mạng chung Từ đó, mỗi router áp dụng thuật toán Dijkstra để tính toán cây đường đi ngắn nhất (Shortest Path Tree), từ đó xây dựng bảng định tuyến hiệu quả.

* Ho t động của OSPF 2.1 Chọn Router – id:

Khi router chạy OSPF, cần có một giá trị duy nhất để định danh cho router trong cộng đồng OSPF, gọi là Router-ID Router-ID có định dạng giống địa chỉ IP Mặc định, OSPF sẽ tự động chọn Router-ID là địa chỉ IP cao nhất trong các interface đang hoạt động, ưu tiên cổng loopback Để thay đổi Router-ID, cần khởi động lại router hoặc gỡ bỏ tiến trình OSPF và cấu hình lại, khi đó tiến trình sẽ bầu chọn lại Router-ID từ các interface hiện có Ngoài ra, có thể thiết lập Router-ID bằng lệnh “router-id” trong chế độ cấu hình: Router (config) # router ospf 1 Router (config-router).

To apply a new router ID in OSPF, it's essential to restart the OSPF process if it was previously running with a different router ID This can be accomplished using the command "clear ip ospf process," which prompts for confirmation to reset all OSPF processes.

* Thiết lập quan hệ láng giềng (neighbor)

Router chạy OSPF gửi gói tin hello đến tất cả các cổng OSPF với tần suất mặc định là 10 giây một lần Gói tin này được phát đến địa chỉ multicast 224.0.0.5, nhằm kết nối với tất cả các router OSPF khác trong cùng một phân đoạn mạng.

Mục đích của g i tin hello là gi p cho router tìm kiếm láng giềng, thiết lập và duy trì mối quan hệ này

LSDB là bản đồ mạng giúp các router tính toán định tuyến, và nó phải đồng nhất giữa các router trong cùng một vùng Thay vì trao đổi toàn bộ bảng LSDB, các router chỉ chia sẻ thông tin qua các đơn vị gọi là LSA (Link State Advertisement) Những thông tin này được đóng gói trong các gói tin cụ thể được gọi là LSU (Link State Update) mà các router thực sự trao đổi với nhau.

* Tính toán xây dựng bảng định tuyến

Metric = cost = 108/Bandwidth (đơn vị bps) Ethernet (BW = 10Mbps) → cost = 10 Fast Ethernet (BW = 100Mbps) → cost = 1 Serial (BW 1.544Mbps) → cost = 64 (b phần thập phân trong ph p chia)

To configure OSPF on routers, use the command: Router (config) # router ospf process-id followed by Router (config-router) # network IP_address wildcard_mask area area_id The process-id represents the OSPF process on the router and is locally significant To include an interface in OSPF, specify the network address of that interface OSPF requires a wildcard mask for precise subnet routing; calculate the wildcard mask by subtracting the subnet mask (e.g., 255.255.255.0) from 255.255.255.255 for each octet This method is suitable for a contiguous IP range but may not apply universally For example, to configure router R1 with OSPF, use R1(config)#router ospf 1, R1(config-router)#network 192.168.1.0 0.0.0.255 area 0, and R1(config-router)#network 192.168.3.0 0.0.0.255 area 0 Similarly, configure router R2 with R2(config)#router ospf 1, R2(config-router)#network 192.168.2.0 0.0.0.255 area 0, and R2(config-router)#network 192.168.3.0 0.0.0.255 area 0.

Thực hiện các bước dưới đây để cấu hình EIGRP, bắt đầu trong chế độ cấu hình toàn cục Global:

Để cấu hình router, bạn cần bật EIGRP và chỉ định số hiệu mạng ASN, giúp nhận diện định tuyến đến các router EIGRP khác và gắn thẻ thông tin EIGRP.

Ch định một danh sách các mạng mà EIGRP được áp dụng, sử dụng địa ch IP của các mạng được kết nối trực tiếp.

Thoát chế độ cấu hình router, vào chế độ Privileged EXEC.

EIGRP được kích hoạt trên địa chỉ mạng 192.145.1.0 và 10.10.12.115, với số hiệu mạng là 109 Để xem cấu hình này, hãy sử dụng lệnh show running-config từ chế độ Privileged EXEC.

Cấu hình PPP

Hai giao thức liên kết dữ liệu (data link) WAN sử dụng trong mạng WAN kết nối Serial Point-to-Point được d ng phổ biến là HDLC và PPP.

PPP là một giao thức thường được chọn để triển khai trên một kết nối WAN nối tiếp PPP c h trợ quá trình xác thực PAP và CHAP

Quá trình chứng thực trong PPP

PPP tổ chức gồm 2 giao thức sau:

 Link Control Protocol (LCP): sử dụng cho việc thiết lập, cấu hình và kiểm tra kết nối ở tầng liên kết dữ liệu.

 Network Control Protocol (NCP): sử dụng cho việc thiết lập và cấu hình các giao thức tầng mạng khác nhau

Quá trình thiết ập ết nối PPP

Quá trình thiết lập kết nối PPP diễn ra qua bốn bước chính: đầu tiên là thiết lập kết nối và thương lượng cấu hình; tiếp theo là quyết định chất lượng kết nối; sau đó là thương lượng cấu hình cho giao thức tầng mạng; và cuối cùng là kết thúc kết nối.

Thiết ập ết nối và cấu hình

Thiết bị PPP sử dụng thông điệp LCP để cấu hình và thiết lập kết nối ở tầng liên kết dữ liệu Thông điệp LCP bao gồm các trường như “MTU”, “nén” và giao thức xác thực kết nối Kết nối được mở ra thông qua LCP đầu tiên, trong đó các tham số cấu hình được thương lượng Giai đoạn này hoàn tất khi thông điệp xác nhận cấu hình (ACK) được gửi và nhận.

Quyết định chất ượng ết nối

Liên kết được kiểm tra để xác định khả năng chuyển giao các giao thức lên tầng mạng Sau khi kiểm tra, client sẽ trải qua quá trình chứng thực, diễn ra trước khi cấu hình giao thức tầng mạng PPP hỗ trợ hai giao thức chứng thực chính là PAP và CHAP.

Thư ng ượng cấu hình tầng m ng

Các thiết bị PPP gửi gói tin NCP để chọn và cấu hình một hoặc nhiều giao thức tầng mạng, chẳng hạn như IP Khi giao thức tầng mạng được cấu hình thành công, các gói tin từ giao thức này có thể được truyền qua liên kết Nếu LCP hoàn tất kết nối, quá trình thiết lập sẽ được hoàn tất.

64 nối, n cung cấp các giao thức tầng mạng để c thể c những hành động ph hợp

Kết nối LCP có thể được thiết lập bất cứ lúc nào theo yêu cầu của người dùng Tuy nhiên, việc kết nối này cũng có thể bị ngắt do sự cố vật lý, chẳng hạn như mất kết nối hoặc vượt quá thời gian quy định (timeout).

Giao thức chứng thực PAP và CHAP

Chứng thực PPP bằng PAP

PAP (Password Authentication Protocol) hoạt động dựa trên cơ chế xác thực hai bước Đầu tiên, Client gửi tên người dùng và mật khẩu đến Server để xác thực Nếu Server kiểm tra thành công, nó sẽ thiết lập kết nối; ngược lại, kết nối sẽ không được thiết lập với Client.

Password được gửi dưới dạng không được m h a (clear – text) và username/password được gửi đi kiểm tra một lần trước khi thiết lập kết nối

Chứng thực PPP bằng CHAP

Kỹ thuật 3 bước bắt tay (three-way handshake) là một quy trình quan trọng trong việc thiết lập kết nối, được thực hiện ngay từ đầu và liên tục lặp lại trong suốt quá trình duy trì kết nối.

Client muốn thiết lập kết nối với Server, Server gửi một thông điệp

“challenge” yêu cầu Client gửi giá trị để Server chứng thực Thông điệp gửi từ Server c chứa số ng u nhiên d ng làm đầu vào cho thuật toán “hash”.

Client nhận được thông điệp yêu cầu Server N s sử đụng thuật toán

“hash” với đầu vào là hostname, password và ng u nhiên vừa nhận được và tính toán ra một giá trị nào đ và gửi giá trị này qua cho Server

Server s kiểm tra danh sách “username” (nếu cấu hình nhiều username) để tìm ra “username” nào giống với hostname của Client Sau khi tìm được

"Username" sử dụng thuật toán "hash" để mã hóa mật khẩu tương ứng và ngẫu nhiên trong thông điệp "challenge" ban đầu gửi cho Client, nhằm tính toán một giá trị cụ thể Giá trị này sẽ được so sánh với giá trị mà Client gửi lại.

65 giống nhau thì xác thực thành công; nếu không thành công thì kết nối s bị x a ngay

Sau khi cấu hình CHAP, cần lưu ý rằng mỗi đầu kết nối phải khai báo username và password Username trên R1 phải trùng với hostname của R2, trong khi username trên R2 phải trùng với hostname của R1 Đồng thời, password của cả hai bên cũng phải giống nhau để đảm bảo kết nối thành công.

Router (config-if) # encapsulation ppp

Cấu hình chứng thực PPP PAP

Bước 1: Tạo username và password tren Server

Router (config) # username password

Router (config-if) # encapsulation ppp

Bước 3: Cấu hình xác thực

Router (config-if) # ppp authentication {pap|chap|pap-chap|chap-pap}

Bước 4: PAP phải được enable trên interface b ng lệnh

Router (config-if) # ppp pap sent-username password Cấu hình PPP chứng thực b ng PAP

Router R2 s chứng thực cho Router R1 b ng giao thức PAP

Cấu hình chứng thực CHAP

R2(config-if) # ppp authentication chap

Cấu hình định tuyến: t y chọn giao thức

Kiểm tra ệnh cấu hình

Sử dụng các lệnh sau:

Trường hợp 2: Các router gửi username & password bất kỳ

Router R2 chứng thực cho router R1 b ng giao thức CHAP Trường hợp gửi hostname và password được ch ra

Cấu hình chứng thực CHAP

R1(config-if) # ppp chap hostname totolink

R1(config-if) # ppp chap password totolink

R2(config) # username totolink password totolink

R2(config-if) # ppp authentication chap

Cấu hình định tuyến: t y chọn giao thức

Trong môi trường WAN, hai giao thức chứng thực chính được sử dụng trên PPP là PAP và CHAP PAP có độ bảo mật kém hơn vì nó gửi tên người dùng và mật khẩu dưới dạng không mã hóa và chỉ thực hiện chứng thực một lần Ngược lại, CHAP gửi thông tin chứng thực dưới dạng mã hóa và thực hiện chứng thực lặp lại trong suốt quá trình kết nối, giúp tăng cường bảo mật.

Cấu hình PAP

Cấu hình chứng thực PAP

R1(config-if) # ppp pap sent-username totolink password totolink

R2(config-if) # username totolink password totolink

R2(config-if) # ppp authentication pap

Cấu hình định tuyến: T y chọn giao thức

Cấu hình chứng thực PPP CHAP

Trường hợp 1: Các router d ng hostname để chứng thực

Router R2 chứng thực cho router R1 b ng giao thức CHAP Trường hợp mặc định, router gửi hostname để chứng thực.

Cấu hình Redistribute

Redistribute là phương pháp phân phối lại một Route từ giao thức định tuyến này sang giao thức định tuyến khác Thao tác này thường được thực hiện trên Router biên giới (ASBR) để kết nối hai giao thức định tuyến khác nhau.

Để thực hiện quá trình phân phối lại (redistribute), router cần chạy đồng thời hai giao thức định tuyến Mỗi giao thức sẽ đưa các tuyến đường mà nó học được vào bảng định tuyến của router Sau đó, mỗi giao thức có khả năng lấy một phần hoặc toàn bộ các tuyến đường từ giao thức khác và quảng bá chúng ra bên ngoài.

Redistribute trong OSPF, đặc biệt là Multi-Area OSPF, là một kỹ thuật quen thuộc, thường được sử dụng để phân phối Default Route cho các Router nội bộ truy cập Internet Tuy nhiên, việc Redistribute không phải lúc nào cũng hoạt động hiệu quả như mong muốn; trong một số trường hợp, nó có thể dẫn đến định tuyến sai Route, định tuyến không tối ưu và thậm chí gây ra Loop mạng.

* Khi nào cần sử dụng Redistribute:

Khi một hệ thống mạng sử dụng nhiều giao thức định tuyến, quản trị viên cần các phương pháp để chuyển giao các route từ giao thức này sang giao thức khác, quá trình này được gọi là redistribution Việc tồn tại nhiều giao thức định tuyến trong cùng một công ty là một tình huống phổ biến.

 Công ty đang trong quá trình chuyển từ một giao thức định tuyến này sang một giao thức định tuyến khác.

 Do yếu tố lịch sử, tổ chức c rất nhiều mạng con Các mạng con d ng các giao thức định tuyến khác nhau.

 Sau khi 2 công ty được hợp nhất.

 Các nhà quản trị mạng khác nhau c các tư tưởng khác nhau

Trong một môi trường rất lớn, những v ng khác nhau c những yêu cầu khác nhau, do đ một giải pháp đơn lẻ là không hiệu quả.

Redistribution thường được áp dụng trong mạng như một giải pháp tạm thời do các giao thức định tuyến khác nhau có cách tính metric và phương thức hoạt động không đồng nhất Vì vậy, việc sử dụng redistribution có thể gây ra sự không ổn định giữa các hệ thống.

Redistribution gặp phải nhiều vấn đề do sự khác biệt trong các giao thức định tuyến, bao gồm cách tính metric và tính chất classful hoặc classless Những đặc trưng này dẫn đến những khó khăn trong việc học các route trao đổi và có thể gây ra hiện tượng loop trong mạng.

Metric và classful hay classless

Các giao thức định tuyến M i sử dụng các cách tính metric khác nhau, như RIP tính metric theo hop-count với giá trị tối đa là 15, OSPF dựa vào băng thông, và EIGRP sử dụng bộ 5 giá trị k để tính metric Do đó, trong quá trình redistribution, nếu không chú ý đến cách tính metric, có thể dẫn đến việc không trao đổi được các route.

Như hình trên, ta thấy

Kỹ thuật redistribution cho phép chuyển đổi các route từ OSPF sang RIP và EIGRP Để thực hiện điều này, người quản trị cần sử dụng các lệnh trong quá trình redistribution Tuy nhiên, nếu không chú ý đến metric khi thực hiện lệnh, có thể dẫn đến việc các route không được trao đổi thành công.

Ví dụ : Redistribute RIP, đưa OSPF vào RIP, nếu k c metric thì RIP s không hiểu được OSPF vì ch số metric của RIP tối đa ch tới 15.

Cấu hình NAT

Bài viết sau s giới thiệu đến bạn đọc một số lệnh cơ bản thông dụng, thường hay d ng khi cấu hình NAT trên thiết bị Router Cisco

Router(config) # ip nat inside source static [inside_local_address] [inside_global_address]

Router(config) # ip nat inside source static [protocol] [inside_local_address port] [inside_global_address port]

Router(config) # ip nat inside source static 10.0.0.1 202.103.2.1 (Địa ch 10.10.0.1 s được chuyển thành 202.103.2.1 khi đi ra kh i Router)

Router(config) # ip nat inside source static tcp 10.0.0.1 8080 202.103.2.1

80 (Địa ch 10.10.0.1:8080 s được chuyển thành 202.103.2.1:80 khi đi ra kh i Router)

Sau khi hoàn tất cấu hình, cần áp dụng vào cổng in và cổng out Trong ví dụ dưới đây, cổng Ethernet được sử dụng làm cổng in, trong khi cổng Serial là cổng out.

Router(config-if) # ip nat inside

Router(config-if) # ip nat outside

Router(config) # ip nat pool [tên pool] [start_IP end_IP] netmask [subnet mask]

Router(config) # ip nat inside source list [#ACL] pool [tên pool]

Router(config) # access-list [#ACL] permit [IP] [wildcard mask]

Router(config) # ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0

Router(config) # ip nat inside source list 1 pool nat-pool1

Router(config) # access-list 1 permit 10.1.0.0 0.0.0.255

+Sau đ áp vào cổng In và Out như Static NAT

Router(config-if) # ip nat inside

Router(config-if) # ip nat outside

Note: Giải địa ch inside local address và inside global address phải n m trong giải cho ph p của ACL

2.9.3 Cấu hình NAT over oad

- Cấu hình overload với 1 địa ch IP cụ thể

Router(config) # ip nat pool [tên_pool] [ip_global_inside] [subnet mask]

Router(config) # ip nat inside source list [# ACL] pool [tên_pool] overload

Router(config) # access-list [#ACL] permit [IP] [wildcard mask]

Router(config) # ip nat pool nat-pool2 179.9.8.20 255.255.255.240

Router(config) # ip nat inside source list 2 pool nat-pool2 overload

- Cấu hình overload d ng địa ch của cổng ra (Thường xuyên được d ng hơn là trường hợp trên)

Router(config # ip nat insi e source list [#ACL] interface [cổng_ra] overloa Router(config) # access-list [#ACL] permit [IP] [wildcard mask]

Router(config) # ip nat inside source list 3 interface serial 0 overload

2.9.4 Các ệnh C ear NAT/PAT

Router # clear ip nat translation {* | [inside global-ip local-ip] [outside local-ip global-ip]}

Router # clear ip nat translation protocol {[inside global-ip global-port local-ip local-port] | [outside local-ip global-ip]}

- Lệnh x a tất cả dynamic nat trên toàn bộ các interface.

Router # clear ip nat translation *

- Lệnh x a các single nat trên từng interface

Router # clear ip nat translation [inside/outside] [global ip - local ip]

- Lệnh x a các extended nat trên từng interface

Router # clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]

2.9.5 Kiểm tra và Debug các NAT và PAT

Router # show ip nat translation

Router # show ip nat statistics

Cấu hình ACL

Access-list là danh sách các lệnh được áp dụng trên các cổng interface của router hoặc switch Cisco, giúp xác định loại packet nào được chấp nhận hoặc từ chối Việc chấp nhận hay từ chối packet dựa vào các yếu tố như địa chỉ nguồn, địa chỉ đích và số cổng (port).

Phân loại Access-list và cách cấu hình ch ng

2.10.1 Standard IP Access-list (Standard ACLs) Đây là dòng access list ch lọc dữ liệu dựa vào địa ch IP nguồn, giá trị range của dòng này từ 1-99 Nên được áp dụng với cổng đích gần nhất, c 2 bước để cấu hình và tạo ACLs Standard:

Bước 1: Đầu tiên cần phải định nghĩa i danh sách các ACLs để tiền hành đặt vào interface

(config)#access-list [#number] [permit | deny] [wildcard mask] [log]

(config)#access-list [#number] [permit | deny] [host | any]

Bước 2: Tiến hành đặt danh sách ACLs vào interface trên Router-Switch mà mục đích ta muốn chặn gói tin ngay t i điểm đó

(config-if)#ip access-group [#number] [in | out]

(config)#access-list 1 permit any

(config-if)#ip access-group 1 in

2.10.2 Extended IP Access - List Đây là loại ACLs lọc dữ liệu dựa vào địa ch IP nguồn, đích, giao thức TCP số cổng HTTP và các thông số windcard mask Ch số range của loại ACLS nào từ khoảng 100-199, nên áp dụng cài đặt với cổng gần nguồn nhất.

Ch ng ta s c 2 bước để cấu hình Extended IP ACLs

Bước 1: T o ACLs trong chế độ cấu hình config router(config)#access-list [#number] [permit | deny] [protocol] [wildcard mask] [source port] [destination address] [wildcard mask] [destination port] [log]

Bước 2: Áp dụng ALCs cho từng cổng theo yêu cầu ở chế độ cấu hình config-if

(config-if)#ip access-group [#number] [in | out]

Một số chú ý trong quá trình này:

Chế độ mặc định của tất cả các ACLs là Deny All, vì vậy mỗi ACL cần ít nhất một lệnh permit Nếu trong ACLs có cả lệnh permit và deny, các dòng lệnh permit nên được ưu tiên đặt ở trên.

Khi áp dụng ACLS vào cổng, có thể ghi nhớ một cách đơn giản rằng "In" là từ host vào router, trong khi "Out" là từ router ra tới host.

Trong trường hợp xuất hiện In router, cần kiểm tra kỹ gói tin trước khi đưa vào bảng xử lý; đối với Out router, việc kiểm tra nên được thực hiện sau khi gói tin đã vào bảng xử lý.

- Thông tin wildcard mask s được tính b ng công thức wildcark mask%5.255.255.255-subnet mask

- Địa ch IP 0.0.0.0 = host ip_address (ch định cho từng host 1)

(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq tel net

(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp (config)#access-list 101 permit any any

(config-if)#ip access-group 101 out

2.10.3 Cấu hình tên access- ist (named ACLs) thay cho các số hiệu

(config)#ip access-list extended tgm-access (tên của access-list)

(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet

(config-if)#ip access-group tgm-access out

2.10.4 Permit hoặc Deny Telnet sử dụng Standard Acl

(config)#access-list 2 deny any

(config-line)#ip access-class 2 in

2.10.5 Kiểm tra và xoá Access-list (ACLs)

- Hiển thị tất cả ACLs đang sử dụng

- Xem ACLs hoạt động trên interface nào đ

- Xem việc đặt và hướng đi của ip ACLs

(config)#show ip interfaces [#number]

- Xem những câu lệnh ACLs

(config)#show access-list [#number]

- Hiển thị tất cả ip ACLs

- X a bộ đếm (to clear the counters use)

(config)#show access-list [#number]

(config)#clear access-list counter [#number]

(config)#no ip access-list [standard-extended][#number]

(config-if)#no access-list [#number] [permit deny] [wildcard mask]

2.10.6 Một số port thông dụng

Port Number ——-TCP port names —-UDP port names

Cấu hình Frame Relay

2.11.1 Mô hình và yêu cầu:

 Cấu hình định tuyến EIGRP trên các Router

 Encapsulation Frame Relay trên các interface Serial

 Cấu hình Router làm Frame Relay Switch

* Cấu hình IP và định tuyến trên các Router

 Cổng Serial ở trạng thái Shutdown cho đến khi Frame Relay Switch đư c cấu hình

R1(config-router)#no auto-summary

R2(config-router)#no auto-summary

2 Cấu hình Frame-Relay Switch

- Cấu hình Router làm Frame Re ay Switch và t o 1 PVC giữa R1 và R2

 Giả lập Router thành Frame Relay Switch để cho ph p chuyển tiếp Frame dựa trên DLCI

FR_Switch(config)#frame-relay switching

- Cấu hình Frame Re ay trên Interface Seria S1/0

 Thay đổi Encapsulation interface Serial mặc định HDLC thành Frame Relay

FR_Switch(config)#interface serial 1/0

FR_Switch(config-if)#clock 64000

FR_Switch(config-if)#encapsulation frame-relay

 Thay đổi loại Interface của Frame Relay Switch thành DCE để cho ph p Router gửi LMI Keepalive(Ta không thể thiết lập Frame Relay router giữa

FR_Switch(config-if)#frame-relay intf-type dce

 Thiết lập PVC: Cấu hình chuyển lưu lượng từ interface S1/0(DCLI 102) đến s1/1(DLCI 201)

FR_Switch(config-if)#frame-relay route 102 interface serial 1/1 201

FR_Switch(config-if)#no shutdown

- Cấu hình tư ng tự trên interface s1/1

FR_Switch(config)#frame-relay switching

FR_Switch(config)#interface serial 1/0

FR_Switch(config-if)#clock 64000

FR_Switch(config-if)#encapsulation frame-relay

FR_Switch(config-if)#frame-relay intf-type dce

FR_Switch(config-if)#frame-relay route 201 interface s1/0 102

FR_Switch(config-if)#no shutdown

 Kiểm tra các Router mà Frame Relay Switch đ thiết lập

FR_Switch#sh frame-relay route

 Kiểm tra trạng thái của PVC Trạng thái các PVC là Inactive là do các đầu cuối R1 và R2 cấu hình chưa đ ng

FR_Switch#sh frame-relay pvc

* Cấu hình Frame re ay trên Router

Trên R1, cần tắt tính năng Inverse ARP để router tự xây dựng bản đồ Frame Relay, vì không phải lúc nào Inverse ARP cũng đáng tin cậy Thay vào đó, chúng ta sẽ sử dụng bản đồ tĩnh giữa địa chỉ IP của R2 (10.1.1.2) và DLCI cục bộ của R1 (102).

R1(config-if)#encapsulation frame-relay

R1(config-if)#no frame-relay inverse-arp

R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast

Từ kh a "Broadcast" gi p router c thể gửi lưu lượng Multicast hay Broadcast qua PVC

 Trên R2: Cấu hình tương tự.

R2(config-if)#encapsulation frame-relay

R2(config-if)#no frame-relay inverse-arp

R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast

 Ngay khi cấu hình xong thì R1 s trở thành Neighbor của R2

* Kiểm tra cấu hình a Ping giữa R1 và R2 b Xem thông tin PVC

 D ng ệnh sau để xem

Router#show frame-relay pvc

 Trên Frame Relay Switch c Kiểm tra Frame Re ay Mapping

Router#show frame-relay map

Định dạng
Số trang	86
Dung lượng	2,85 MB