lab ccna ttg v3

2
Lab 1- Cấu hình Switch cơ bản...................................................................................Trang 4
Lab 2- Cấu hình Router Cơ bản .................................................................................Trang 13
Lab 3- Telnet và SSH..................................................................................................Trang 20
Lab 4- Hướng dẫn sử dụng GNS3 ..............................................................................Trang 26
Lab 5- Lab tổng hợp Switch, Router...........................................................................Trang 34
Lab 6- Wireless Lab....................................................................................................Trang 43
Lab 7- Cisco Security Manager (SDM)......................................................................Trang 51
Lab 8- DHCP, DHCP Relay .......................................................................................Trang 64
Lab 9- Định tuyến tĩnh (Static Route) ........................................................................Trang 78
Lab 10- RIPv2 (Routing Information Protocol)..........................................................Trang 88
Lab 11- CDP (Cisco Discovery Protocol) ..................................................................Trang 105
Lab 12- Sao lưu IOS, cấu hình Router........................................................................Trang 123
Lab 13- Khôi phục mật khẩu cho Router....................................................................Trang 125
Lab 14- Khôi phục mật khẩu cho Switch....................................................................Trang 129
Lab 15- Lab tổng hợp phần 1......................................................................................Trang 133
Lab 16- OSPF (Open Shortest Path First)...................................................................Trang 139
Lab 17- EIGRP (Enhanced Interior Gateway Routing Protocol) ...............................Trang 155
Lab 18- VTP, VLAN ..................................................................................................Trang 166
Lab 19- PVST+, PVRST ............................................................................................Trang 181
Lab 20- Định tuyến VLAN sử dụng Switch Layer3...................................................Trang 215
Lab 21- Standard ACL................................................................................................Trang 224
Lab 22- Extend ACL...................................................................................................Trang 232
Lab 23- NAT, PAT .....................................................................................................Trang 241
Lab 24- IPv6 .......................................................................................................Trang 256
Lab 25- PPP PAP, CHAP ...........................................................................................Trang 265

3
Lab 26- Frame Relay cơ bản.......................................................................................Trang 278
Lab 27- Frame Relay nâng cao ...................................................................................Trang 289

4
LAB 1: CẤU HÌNH SWITCH CƠ BẢN
I. Mục Tiêu :
- Giúp học viên bắt đầu làm quen với các lệnh cơ bản trên Cisco IOS
- Ôn tập lại các lệnh liên quan đến : đặt IP cho Switch, các loại mật khẩu,
Port-Security
II. Lab cấu hình Switch cơ bản:
Yêu cầu :
-Sử dụng Packet Tracer kết nối mô hình như trên
-Xóa toàn bộ cấu hình hiện tại của Swicth
-Các lệnh xem thông tin
-Câu hình hostname, địa chỉ IP
-Các loại mật khẩu
-Tốc độ và duplex
-Tính năng PortSecurity
1. Kết nối cáp và xóa cấu hình cho Switch:
- Sử dụng đúng cáp thẳng để kết nối từ PC đến Switch
- Sử dụng PC để kết nối vào cổng console của Switch hoặc vào tab CLI của thiết bị để tiến hành cấu hình
- Xóa cấu hình Switch

5
Switch> enable
Switch# erase startup-config
Switch# reload
2. Các lệnh kiểm tra thông tin :
- Xem cấu hình hiện tại của Switch cùng với tổng số lượng interface Fastethernet, GigabitEthernet, số line vty cho telnet…..
Switch#show running-config
- Trên tất cả SW Cisco đều có interface mặc định là VLAN1 dùng để quản lý SW từ xa thông qua việc đặt ip cho interface này, xem đặt điểm interface vlan 1
Switch#show interface vlan1
Ghi lại thông tin địa chỉ Ip, MAC, trạng thái up, down
Switch#show interface fa0/1  tình trạng interface fastethernet 0/1
- Xem thông tin về phiên bản hệ điều hành, dung lượng bộ nhớ RAM, NVRAM, Flash
Switch#show version
- Nội dung bộ nhớ Flash
Switch#show flash:
Hoặc
Switch#dir flash:
Switch#dir flash:
6 drwx 4480 Mar 1 1993 00:04:42 +00:00 html
618 -rwx 4671175 Mar 1 1993 00:06:06 +00:00 c2960-lanbase-mz.122-25.SEE3.bin
32514048 bytes total (24804864 bytes free)
- Xem cấu hình đang lưu trên Switch
Switch#show startup-configure
startup-config is not present
- Lý do hiện thông báo trên là do hiện tại chúng ta chưa lưu cấu hình, bây giờ thử đặt hostname cho thiêt bị sau đó lưu cấu hình

6
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#exit
S1#copy running-config startup-config
Destination filename [startup-config]? (enter)
Building configuration...
[OK]
S1#show startup-config
Using 1170 out of 65536 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname S1
!
<output omitted>
3. Các loại mật khẩu :
- Cấu hình mật khẩu cisco cho cổng Console
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
- Telnet là một dịch vụ giúp người quản trị có thể quản lý các thiết bị từ xa thông qua các line vty, trong trường hợp này mật khẩu line vty cho dịch vụ Telnet là Cisco
S1(config)#line vty 0 4
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
- Đặt mật khẩu nhảy từ mode User ( > ) sang Privileged ( #) là class
S1(config)#enable secret class

7
Mode Privileged có thể thay đổi tất cả cấu hình của thiết bị Cisco nên rất quan trong nên việc đặt mật khẩu cho mode này là cần thiết
4. Đặt IP cho Switch : Switch là một thiết bị ở lớp 2 nên các cổng của Switch ta không thể đặt IP được để có thể quản lý thiết bị từ xa, đối với Cisco Switch ta có thể làm được điều này bằng cách đặt ip thông qua 1 interface đặt biệt VLAN1 ( logical interface )
S1(config)#interface vlan 1
S1(config-if)#ip address 172.17.99.11 255.255.0.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#
- Để từ mạng khác vẫn có thể quản lý được switch cần khai báo thêm Gateway cho Switch :
S1(config)#ip default-gateway 172.17.99.1
Với 172.27.99.1 là địa chỉ của gateway
- Kiểm tra lại cấu hình interface Vlan 1
S1#show interface vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 001b.5302.4ec1 (bia 001b.5302.4ec1)
Internet address is 172.17.99.11/16
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:06, output 00:03:23, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops:0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
4 packets input, 1368 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

8
1 packets output, 64 bytes, 0 underruns
0 output errors, 0 interface resets
- Cấu hình địa chỉ IP cho PC1 với thông tin trên bài lab, trên PC vào Desktop -> IP Configuration
IP: 172.17.99.21
SM: 255.255.0.0
Gw: 172.17.99.1  hiện tại chưa có trong bài lab này
- Kiểm tra kết nối từ PC đến Switch :
PC vào Desktop -> Command prompt -> ping 172.17.99.11
- Thay đổi cấu hình duplex và tốc độ trên các cổng của Switch
S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#speed 100
S1(config-if)#duplex auto
S1(config-if)#end
- Kiểm tra lại interface
S1#show interface fastethernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is FastEthernet, address is 001b.5302.4e92 (bia 001b.5302.4e92)
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, media type is 10/100BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
- Lưu cấu hình
S1#copy running-config startup-config
Destination filename [startup-config]?[Enter] Building configuration...
[OK]
S1#
5. Quản lý bảng MAC table :

9
- Kiểm tra địa chỉ MAC của cá PC bằng lệnh ipconfig /all, ghi lại địa chỉ MAC và kiểm tra lại bảng địa chỉ MAC trên Switch và so sánh nội dung với địa chỉ MAC của PC
S1#show mac-address-table
6. Cấu hình tính năng Port Security :
- Tính năng Port Security có thể giúp ta quản lý việc truy cập vào từng cổng của Switch gồm: PC có MAC nào được lết nối đến cổng, tổng số MAC được kết nối
- Các bước cấu hình như sau
S1# configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#switchport mode access  port hoạt động ở mode access
S1(config-if)#switchport port-security bật tính năng port security
S1(config-if)#switchport port-security maximum 2  tối đa 2 MAC được kết nối đến cổng này
S1(config-if)#switchport port-security mac-address sticky  các địa chỉ MAC trên được học tự động từ 2 PC đầu tiên nối đến cổng
S1(config-if)#switchport port-security violation shutdown  Khi vượt quá số lượng cho phép cổng sẽ tự động shutdown
-Xem lại cấu hình bằng 2 lệnh
Switch#show running-configure
Switch#show port-security interface fa0/18
- Thử kiểm tra lại hoạt động của Port Security bằng cách lần lượt nối PC1, 2 vào cổng fa0/18 sau đó sử dụng lệnh show port-security address sẽ thấy chỉ có PC1, 2 mới được kết nối đến cổng fa0/18, bây giờ ta cắm thêm 1 PC thứ 3 vào cổng fa0/18 nữa sẽ thấy cổng tự động bị shutdown do đã vượt quá giới hạn cho phép của lệnh switchport port-security maximum 2
- Tiến hành lưu cấu hình và kết thúc bài Lab.
III. Các lệnh liên quan đến bài lab:
- Các câu lệnh trợ giúp
- Các câu lệnh kiểm tra
- Cấu hình tên switch
- Cấu hình password
- Cấu hình địa chỉ IP và default gateway

10
- Lab cấu hình switch cơ bản
1. Các lệnh trợ giúp:
Switch> ?
Phím ? được dùng làm phím trợ giúp
giống như router
Switch> enable
Là chế độ User
Switch#
Là chế độ Privileged
Switch# disable
Thoát khỏi chế độ privileged
Switch> exit
Thoát khỏi chế độ User
Cấu hình Hostname
2. Các câu lệnh kiểm tra :
Switch# show running-config
Hiển thị file cấu hình đang chạy trên RAM
Switch# show startup-config
Hiển thị file cấu hình đang chạy trên
NVRAM
Switch# show interfaces
Hiển thị thông tin cấu hình về các
interface có trên switch và trạng thái của
các interface đó.
Switch# show interface vlan 1
Hiển thị các thông số cấu hình của Interface VLAN 1, Vlan 1 là vlan mặc định trên tất cả các switch của cisco.
Switch# show version
Hiển thị thông tin về phần cứng và phần mềm của switch
Switch# show flash:
Hiển thị thông tin về bộ nhớ flash
Switch# show mac-address-table
Hiển thị bảng địa chỉ MAC hiện tại của switch
3. Cấu hình Hostname :
Switch# configure terminal
Chuyển cấu hình vào chế độ Global Configuration
Switch(config)# hostname 2960Switch
Đặt tên cho switch là 2960Switch. Câu lệnh đặt tên này thực thi giống trên router.

11
4. Các loại password
2960Switch(config)#enable password cisco
Cấu hình Password enable cho switch là Cisco
2960Switch(config)#enable secret class
Cấu hình Password enable được mã hóa là class
2960Switch(config)#line console 0
Vào chế độ cấu hình line console
2960Switch(config-line)#login
Cho phép switch kiểm tra password khi người dùng login vào switch thông qua console
2960Switch(config-line)#password cisco
Cấu hình password cho console là Cisco
2960Switch(config-line)#exit
Thoát khỏi chế độ cấu hình line console
2960Switch(config-line)#line vty 0 4
Vào chế độ cấu hình line vty
2960Switch(config-line)#login
Cho phép switch kiểm tra password khi người dùng login vào switch thông qua telnet
2960Switch(config-line)#password cisco
Cấu hình password cho phép telnet là Cisco
2960Switch(config-line)#exit
Thoát khỏi chế độ cấu hình của line vty
5. Cấu hình địa chỉ IP và default gateway
2960Switch(config)# Interface vlan 1
Vào chế độ cấu hình của interface vlan 1
2960Switch(config-if)# ip address 172.16.10.2 255.255.0.0
Gán địa chỉ ip và subnet mask để cho phép truy cập switch từ xa.
2960Switch(config)#ip default-gateway
172.16.10.1
Cấu hình địa chỉ default gateway cho
Switch
6. Cấu hình mô tả cho interface :
2960Switch(config)# interface fastethernet fa0/1
Vào chế độ cấu hình của interface fa0/1
2960Switch(config-if)# description FinaceVLAN
Thêm một đoạn mô tả cho interface này.
* Chú ý: Đối với dòng switch 2960 có 12 hoặc 24 Fast Ethernet port thì tên của các port đó

12
sẽ bắt đầu từ: fa0/1, fa0/2…. Fa0/24. Không có port Fa0/0.
7. Quản lý bảng địa chỉ MAC :
Switch# show mac address-table
Hiển thị nội dung bảng địa chỉ mac hiện thời của switch

13
LAB 2: CẤU HÌNH ROUTER CƠ BẢN
I. Giới thiệu :
Bảo mật là một yếu tố rất quan trọng trong network,vì thế nó rất đựơc quan tâm và sử dụng mật khẩu là một trong những cách bảo mật rất hiệu quả.Sử dụng mật khẩu trong router có thể giúp ta tránh được những sự tấn công router qua những phiên Telnet hay những sự truy cập trục tiếp vào router để thay đổi cấu hình mà ta không mong muốn từ người la.
II. Mục đích :
Cài đặt được mật khẩu cho router, khi đăng nhập vào, router phải kiểm tra các loại mật khẩu cần thiết.
III. Mô tả bài lab và đồ hình :
Trong đồ hình trên, PC được nối với router bằng cáp console
IV. Các cấp độ bảo mật của mật khẩu :
Cấp độ bảo mật của mật khẩu dựa vào cấp chế độ mã hoá của mật khẩu đó.các cấp độ mã hóa của mật khẩu:
• Cấp độ 5 : mã hóa theo thuật toán MD5, đây là loại mã hóa 1 chiều,không thể giải mã được(cấp độ này được dùng để mã hoá mặc định cho mật khẫu enable secret gán cho router)
• Cấp độ 7 : mã hóa theo thuật toán MD7, đây là loại mã hóa 2 chiều,có thể giải mã được(cấp độ này được dùng để mã hóa cho các loại password khác khi cần như: enable password,line vty,line console…)
• Cấp độ 0 : đây là cấp độ không mã hóa.
V. Qui tắc đặt mật khẩu :
Mật khẩu truy nhập phân biệt chữ hoa,chữ thường,không quá 25 kí tự bao gồm các kí số,khoảng trắng nhưng không được sử dụng khoảng trắng cho kí tự đầu tiên.
Router(config)#enable password TTG-TTG-TTG-TTG-TTG-TTG-TTG
% Overly long Password truncated after 25 characters ← mật khẩu được đặt với 26 kí

14
tự không được chấp nhận
VI. Các loại mật khẩu cho Router :
• Enable secret : nếu đặt loai mật khẩu này cho Router,bạn sẽ cần phải khai báo khi đăng nhập vào chế độ user mode ,đây là loại mật khẩu có hiệu lực cao nhất trong Router,được mã hóa mặc định o cấp dộ 5.
• Enable password : đây là loại mật khẩu có chức năng tương tự như enable secret nhưng có hiệu lực yếu hơn,loại password này không được mã hóa mặc định,nếu yêu cầu mã hóa thì sẽ được mã hóa ở cấp độ 7.
• Line Vty : đây là dạng mật khẩu dùng để gán cho đường line Vty,mật khẩu này sẽ được kiểm tra khi bạn đăng nhập vào Router qua đường Telnet.
• Line console : đây là loại mật khẩu được kiểm tra để cho phép bạn sử dụng cổng Console để cấu hình cho Router.
• Line aux : đây là loại mật khẩu được kiểm tra khi bạn sử dụng cổng aux.
VII. Các bước đặt mật khẩu cho Router :
• Bước 1 : khởi động Router , nhấn enter để vào chế độ user mode.
Từ chế độ user mode dùng lệnh enable để vào chế độ Privileged mode
Router con0 is now available
Press RETURN to get started.
Router>enable
Router#
• Bước 2 : Từ dấu nhắc chế độ Privileged mode vào mode cofigure để cấu hình cho Router bằng lệnh configure terminal
Router#configure terminal
Router(config)#
• Bước 3 : Cấu hình cho từng loại Password
 Cấu hình cho mật khẩu enable secret
(Chú ý :mật khẩu có phân biệt chữ hoa và chữ thường)
Router(config)#enable secret TTG ← Mật khẩu là TTG
Router(config)#exit
 Cấu hình mật khẩu bằng lệnh enable password
Router(config)#enable password cisco ← Mật khẩu là cisco

15
Router(config)#exit
Lưu ý : khi ta cài đặt cùng lúc 2 loại mật khẩu enable secret và enable password thì Router sẽ kiểm tra mật khẩu có hiệu lực mạnh hơn là enable secret. Khi mật khẩu secret không còn thì lúc đó mật khẩu enable password sẽ được kiểm tra, hãy thử kiểm tra lại bằng cách thoát ra lại mode User rồi vào lại mode Privileged bằng lệnh enable Router sẽ hỏi mật mẩu khai báo bằng lệnh enable secret
 Cấu hình mật khẩu bằng lệnh Line
 Mật khẩu cho đường Telnet (Line vty)
Router(config)#line vty 0 4
Router(config-line)#password class ← password là class
Router(config-line)#login ← mở chế độ cài đặt password
Router(config-line)#exit
 Mật khẩu cho cổng console :
Router(config)#line console 0 ← mở đường Line Console
cổng Console thứ 0
Router(config-line)#password cert ← password là cert
Router(config-line)#login ← mở chế độ cài đặt password
 Mật khẩu cho cổng aux:
Router(config)#line aux 0 ← Số 0 chỉ số thứ tự cổng aux được dùng
Router(config-line)#password router ← password là router
Router(config-line)#login
Sau khi đặt xong mật khẩu,ta thoát ra ngoài chế độ Privileged mode, dùng lệnh Show running- config để xem lại những password đã cấu hình :
Router#show running-config
Current configuration : 550 bytes
version 12.1
no service single-slot-reload-enable

16
no service password-encryption ← password cài đặt ở chế độ không mã hóa
hostname Router
enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o ← password secret được
mã hóa mặc định ở cấp độ 5
enable password cisco
!
line con 0
password cert ← password cho cổng Console là cert
login
line aux 0
password router ← password cho cổng aux là router
login
line vty 0 4
password class ← password cho đường vty là class
login
!
End
Dùng lệnh Show running-config ta sẽ thấy được các password đã cấu hình, nếu muốn mã hóa tất cả các password ta dùng lệnh Service password-encryption trong mode config.
Router(config)#service password-encryption
Router(config)#exit
Dùng lệnh show running-config để kiểm tra lại:
Router#show run

17
enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o/
enable password 7 094F471A1A0A ← password đã được mã hóa ở cấp độ 7
line con 0
password 7 15110E1E10 ← password đã được mã hóa ở cấp độ 7
login
line aux 0
password 7 071D2E595A0C0B ← password đã được mã hóa ở cấp độ 7
login
line vty 0 4
password 7 060503205F5D ← password đã được mã hóa ở cấp độ 7
login
!
End
Chú ý : Ta không thể dùng lệnh no service password-encryption để bỏ chế độ mã hóa cho mật khẩu,ta chỉ có thể bỏ chế độ mã hóa khi gán lại mật khẩu khác
Sau khi đặt mật khẩu xong, khi đăng nhập vào Router lại, mật khẩu sẽ được kiểm tra:
Router con0 is now available
Press RETURN to get started. ← nhấn enter
User Access Verification ← mật khẩu line console sẽ được kiểm tra
Password:cert ← khai báo mật khẩu console là : cert
Router>ena ← enable dể vào mode Privileged
Password:TTG ← Vì mật khẩu secret có hiệu lực cao hơn nên được kiểm tra
Router#
Các loại mật khẩu khác như Line Vty ,Line aux sẽ được kiểm tra khi sử dụng đến chức năng đó
VIII. Gỡ bỏ mật khẩu cho router :

18
Nếu muốn gỡ bỏ mật khẩu truy cập cho loại mật khẩu nào ta dùng lệnh no ở trước câu lệnh gán cho loại mật khẩu đó.
Ví dụ : Muốn gỡ bỏ mật khẩu secret cho router
Router(config)#no enable secret
Router(config)#exit
Bằng cách tương tự,ta có thể gỡ bỏ mật khẩu cho các loại mật khẩu khác.
IX. Phụ lục các lệnh liên quan đến bài lab :
1. Các chế độ cấu hình của router
Router>
Chế độ User.
Router#
Chế độ Privileged (cũng được gọi là chế độ EXEC)
Router(config)#
Chế độ Global Configuration
Router(config-if)#
Chế độ Interface Configuration
Router(config-subif)#
Chế độ Subinterface Configuration
Router(config-line)#
Chế độ cấu hình Line.
Router(config-router)#
Chế độ Router Configuration
2. Cấu hình các tham số cơ bản cho router :
2.1 Cấu hình Interface Serial :
Router(config)# interface s0/0/0
Chuyển vào chế độ cấu hình của
Interface S0/0/0.
Router(config-if)# description Link to
ISP
Lời mô tả cho Interface Serial này. (đây
là tùy chọn).
Router(config-if)# ip address
192.168.10.1 255.255.255.0
Gán một địa chỉ ip và subnet mask cho
interface Serial này.

19
Router(config-if)# clock rate 56000
Cấu hình giá trị Clock rate cho Interface
(Chỉ cấu hình câu lệnh này Khi interface
đó là DCE).
Router(config-if)# no shutdown
Bật Interface.
2.2 Cấu hình Interface Fast Ethernet
Router(config)# interface Fastethernet
0/0
Interface Fast Ethernet 0/0
Router(config-if)# description
Accounting LAN
Cấu hình lời mô tả cho Interface. (đây là
tùy chọn)
Router(config-if)# ip address
192.168.20.1 255.255.255.0
Gán một địa chỉ ip và subnet mask cho
Interface
Router(config-if)# no shutdown
Bật Interface
2.3 Câu lệnh logging synchronous :
Router(config)# line console 0
Chuyển cấu hình vào chế độ line.
Router(config-line)# logging
Synchronous
Bật tính năng synchronous logging.
Những thông tin hiển thị trên màn hình
console sẽ không ngắt câu lệnh mà bạn
đang gõ.

20
LAB 3: TELNET, SSH
I. Giới thiệu :
Telnet là một giao thức đầu cuối ảo( Vitural terminal),là một phần của chồng giao thức TCP/IP.Giao thức này cho phép tạo kết nối với một thiết bị từ xa và thông qua kết nối này, người sử dụng có thể cấu hình thiết bị mà mình kết nối vào.
II. Mục đích :
Bài thực hành này giúp bạn hiểu và thực hiện được những cấu hình cần thiết để có thể thực hiện các phiên Telnet từ host vào Router hay từ Router vào Router.
Đồ hình bài lab như hình trên, Host1 nối với router TTG1 bằng cáp chéo.
IV. Các bước thực hiện :
- Các bạn cần chú ý thêm STT đã được giáo viên phân vào địa chỉ IP để tránh việc trùng địa chỉ giữa các nhóm, trong bài Lab sẽ dùng X = 0. Cấu hình cho các router TTG1, Host 1 như sau:
• Host 1 :
IP:10.0.0.2
Subnetmask:255.0.0.0
Gateway:10.0.0.1
• Router TTG1:
Router> enable
Router# configure terminal
Router(config)# hostname TTG1

21
TTG1(config)# interface fa0/1
TTG1(config-if)# ip address 10.0.0.1 255.0.0.0
TTG1(config-if)#no shutdown
Phải chắn chắn rằng các kết nối vật lý đã thành công (kiểm tra bằng lệnh Ping từ PC đến TTG1)
• Kiểm tra kết nối Telnet :
Từ Host ta thử telnet vào Router TTG1 :
C:Documentsand settingsAdministrator>Telnet 10.0.0.1
Password required, but none set← đòi hỏi mật khẩu nhưng không được cài dặt
Connection to host lost ← Kết nối thất bại
Thực hiện Telnet không thành công vì chức năng Telnet đòi hỏi bạn phải mở đường line Vty và cài đặt mật khẩu cho nó.
• Đặt mật khẩu Vty cho Router TTG1 :
TTG1#configure terminal
TTG1(config)#line vty 0 4
TTG1(config-line)#pass TTG1
TTG1(config-line)#login
TTG1(config-line)#exit
• Lúc này thực hiện Telnet : Từ Host bạn thực hiện Telnet vào Router TTG1
User Access Verification
Password:
TTG1>ena
% No password set
TTG1>
Lưu ý : Đối với thiết bị của Cisco, bạn chỉ cần đánh địa chỉ của nơi cần Telnet đến, thiết bị sẽ tự hiểu và thực hiện kết nối Telnet.
Khi Telnet vào, bạn đang ở Mode User và giao thức này đòi hỏi bạn phải có cài đặt mật khẩu để vào Privileged Mode.Thực hiện việc cài đặt mật khẩu:
Router TTG1:
TTG1(config)#enable password cisco
TTG1(config)#exit
Bạn thực hiện lại việc kết nối Telnet, từ Host vào Router TTG1:
Password: TTG1

22
TTG1>ena
Password: cisco
TTG1#
Từ đây bạn có thể thực hiện việc thay đổi cấu hình cho các thiết bị mà không cần phải thông qua cổng Console.
• Kiểm tra việc Telnet bằng lệnh Show line
TTG1#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 5 0 0/0 -
1 AUX 9600/9600 - - - - 0 0 0/0 -
* 2 VTY - - - - - 1 0 0/0 -
* 3 VTY - - - - - 7 0 0/0 -
* 4 VTY - - - - - 4 0 0/0 -
5 VTY - - - - - 1 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
Dấu * biểu thị những line bạn đang sử dụng Telnet,theo như bảng trên,bạng đang sử dụng 3 dường line Telnet qua lại giữa 2 Router TTG1 qua các port 2,3,4.
Cột Uses chỉ số lần bạn đã sử dụng đường line đó.
• Thoát khỏi các phiên Telnet : chúng ta sử dụng lệnh Exit hay lệnh Disconnect
• Ngắt một kết nối Telnet : chúng ta sử dụng lệnh clear line
- Mặc dù Telnet giúp mình có thể quản lý thiết bị từ xa nhưng có khả năng lộ mật khẩu quản trị thiết bị do Telnet không mã hóa dữ liệu khi truyền ra bên ngoài, các bạn có thể tham khảo thêm video TelnetvsSsh tại địa chỉ http://www.mediafire.com/download.php?y2z4ghm0wmw để thấy rõ hơn
Vậy để an toàn hơn ta nên sử dụng dịch vụ SSH thay cho Telnet khi muốn cấu hình thiết bị từ xa, cách cấu hình như sau :
Cấu hình SSH :
- Tạo username/password để chứng thực trong phiên SSH, trong trường hợp này là TTG/123
TTG1(config)# username TTG password 123
- Khai báo domain name để tham gia vào quá trình tạo khóa mã hóa dữ liệu trong phiên SSH
TTG1(config)# ip domain-name truongtan.edu.vn
- Tạo khóa để mã hóa dữ liệu
TTG1(config)#crypto key generate rsa
- Chuyển sang sử dụng SSH version 2
TTG1(config)#ip ssh version 2

23
- Chuyển qua sử dụng SSH thay cho Telnet
TTG1(config-line)#login local  chuyển qua chứng thực bằng username/password
TTG1(config-line)#transport input ssh
- Từ PC tiến hành SSH lên router sử dụng phần mềm putty
- Lưu cấu hình của router và kết thúc bài lab
TTG1#copy run start
V. Phụ lục các lệnh liên quan bài lab :
1. Các câu lệnh Telnet :

24
1.1 Cấu hình line vty để thực hiện telnet
Router(config)# line vty 0 4
Router(config-line)# password telnet
Router(config-line)# login
Vào chế độ line vty để cho phép telnet
Cấu hình password để cho phép telnet
Cho phép kiểm tra password khi người
dùng telnet vào router
• Thực hiện phiên telnet
TTG1>telnet TTG2
Thực thi việc kết nối từ xa đến một router tên là TTG2 có địa chỉ IP là: 172.16.20.1
TTG1>telnet 172.16.20.1
TTG1>TTG2
TTG1>connect TTG2
TTG1>172.16.20.1
TTG2>exit
Kết thúc phiên telnet và trở về dấu nhắc
của router TTG1
TTG2>logout
TTG1>resume
Phục hồi lại kết nối đến router TTG2
TTG1>disconnect
Kết thúc phiên telnet đến router TTG2
• Quản lý các phiên telnet
TTG1#show sessions
Hiển thị những kết nối mà bạn đã mở
đến các router khác.
TTG1#show users
Hiển thị những người đang kết nối từ xa
đến router của bạn.
TTG1 (config)#line vty 0 4
Giới hạn số lượng kết nối đồng thời trên
một line vty vào router của bạn.
TTG1 (config-line)#no password
Các người dùng truy cập từ xa sẽ không
phải yêu cầu nhập mật khẩu khi thực
hiện telnet đến thiết bị.

25
TTG1 (config-line)#no login
Người dùng truy cập từ xa sẽ được
chuyển thẳng vào chế độ user
2. Cấu hình SSH
TTG1(config)# username TTG password 123
Tạo username/password để chứng thực trong phiên SSH, trong trường hợp này là
TTG/123
TTG1(config)# ip domain-name truongtan.edu.vn
Khai báo domain name để tham gia vào quá trình tạo khóa mã hóa dữ liệu trong phiên
SSH
TTG1(config)#crypto key generate rsa
Tạo khóa để mã hóa dữ liệu
TTG1(config)#ip ssh version 2
Chuyển sang sử dụng SSH version 2
Chuyển qua sử dụng SSH thay cho Telnet
TTG1(config-line)#login local
TTG1(config-line)#transport input ssh

26
LAB 4: HƯỚNG DẪN SỬ DỤNG GNS3
GNS3 là 1 chương trình giả lập mạng có giao diện đồ họa cho phép bạn có thể giả lập các Cisco router sử dụng IOS thật ,ngoài ra còn có ATM/Frame Relay/Ethernet Switch ,Pix Firewall thậm chí kết nối vào hệ thống mạng thật
GNS3 được phát triển dựa trên Dynamips và Dynagen để mô phỏng các dòng router 1700,2600,3600,3700,7200 có thể sử để triển khai các bài lab của CCNA,CCNP,CCIE nhưng hiện tại vẫn chưa mô phỏng được Catalyst Switch (mặc dù có thể giả lập NM-16ESW)
1.Cài đặt GNS3 :
- Video tham khảo : http://www.mediafire.com/download.php?lqnj2nbuuhz
- GNS3 có thể chạy trên Windows,Linux và Mac OSX.Để cài đặt phần mềm trên Window dễ dàng chúng ta có thể sử dụng bộ cài đặt all-in-one cung cấp mọi thứ bạn cần để chạy được GNS3
Các bạn có thể download GNS3-0.5-win32-all-in-one.exe tại đây
http://www.gns3.net/download

28
- Giao diện GNS3 sau khi cài đặt xong
2.Cấu hình lần đầu tiên cho GNS3 :
- Vào Edit > Add IOS images and hypervisors chỉ đường dẫn đến các file IOS trong mục Setting

29
- Vào Edit > Preferences > Dynamips > Trong mục Excutable Path chọn đường dẫn đến tập tin dynamip-wxp.exe trong thư mục cài đặt GNS3 , sau đó bấm vào nút Test để kiểm tra lại hoạt động của Dynamip
- Kéo thả các router đã có IOS vào để triển khai 1 mô hình đơn giản

30
- Nhấn vào biểu tượng Play để bắt đầu giả lập :
3.Bắt đầu cấu hình :
Nhấn phải chuột lên thiết bị chon Console để bắt đầu cấu hình

31
4.Giao tiếp với mạng thật :
- GNS3 thông qua việc sử dụng Dynamips có thể tạo cầu nối giữa interface trên router ảo với interface trên máy thật ,cho phép mạng ảo giao tiếp được với mạng thật, Trên hệ thống Windows, thư viện Wincap được sử dụng đế tạo kết nối này .
- Để kết nối các router ảo trong GNS3 với hệ thống mạng thật ta dùng thiết bị “Cloud” ,giả sử ta cần kết nối từ router ảo đến card mạng tên là “Internal Lan” có địa chỉ là 192.168.1.2

32
- Click vào “Cloud”,tại ô Generic Ethernet NIO chọn card mạng router cần kết nối đến,nếu không rõ card nào có thể dùng Network device list.cmd để phát hiện,
- Sau khi đã chọn đúng card mạng thì phải nhấn vào Add để bắt đầu sử dụng

33
- Kết nối Fastethernet router ảo đến “Cloud” ,trong trương hợp nào là Fa0/0 .Cấu hình địa chỉ ip cho interface fa0/0 sao cho cung lớp mạng với card mạn “Internal Lan”
Router>enable
Router#config terminal
Router(config)#interface fa0/0
Router(config-if)#ip address 192.168.1.10 255.255.255.0
Router(config-if)#no shutdown
- Sau đó từ router thử ping đến PC và gateway của hệ thống mạng thật

34
LAB 5: LAB TỔNG HỢP SWITCH, ROUTER
I. YÊU CẦU
1. Sử dụng Packet Tracer để cấu hình bài Lab bên
2. Đặt mật khẩu Console là Cisco, dịch vụ Telnet,Enable Secret cho Center Router,SW1,SW2 là class
3. Sử dụng lệnh service password-encryption để mã hóa các loại mật khẩu không được mã hóa
4. Cấu hình địa chỉ IP như mô hình bên
5. Từ các PC thử telnet đến SW1,SW2,Router
6. Chuyển sang sử dụng SSH thay cho Telnet trên CenterRouter với username: TTG , password:cisco
7. Từ các PC thử ssh đến các router
8. Video tham khảo cấu hình : http://www.mediafire.com/download.php?zx2xmdeitmw
II. CÁC BƯỚC THỰC HIỆN:

35
1. Sử dụng Packet Tracer để cấu hình bài Lab bên :
Kết nối theo đúng mô hình trên sử dụng Switch 2960 và router 2811
2. Đặt mật khẩu Console là cisco, dịch vụ Telnet,Enable Secret cho Center Router,SW1,SW2 là class
- Center Router :
Router>enable
Router(config)#hostname CenterRouter
- Đặt mật khẩu cho cổng console
CenterRouter(config)#line console 0
CenterRouter(config-line)#login
CenterRouter(config-line)#password cisco
CenterRouter(config-line)#exit
- Đặt mật khẩu cho dịch vụ Telnet
CenterRouter(config)#line vty 0 4
CenterRouter(config-line)#login
CenterRouter(config-line)#password class
CenterRouter(config-line)#exit
- Đặt mật khẩu khi chuyển từ mode User sang Privilege
CenterRouter(config)#enable secrect class
*Chú ý : Để đặt mật khẩu chuyển từ mode User sang Privilege ta có thể sử dụng 2 lệnh là enable password và enable secret nhưng mật khẩu của enable secret thì được mã hóa trong cấu hình còn enable password thì không, ta có thể kiểm tra lại điều này bằng cách cấu hình cả đánh cả 2 lệnh này và kiểm tra lại bằng lệnh show running- configure
- SW1:
Switch>enable
Switch(config)#hostname SW1
SW1(config)#line console 0
SW1(config-line)#login
SW1(config-line)#password cisco
SW1(config-line)#exit
SW1(config)#line vty 0 4
SW1(config-line)#password class
SW1(config)#enable secrect class

36
- SW2:
Switch>enable
SW2(config-line)#password class
SW2(config)#enable secrect class
3. Sử dụng lệnh service password-encryption để mã hóa các loại mật khẩu không được mã hóa :
- Sử dụng lệnh show running-configure để xem lại thông tin các mật khẩu hiện tại
- Để mã hóa các mật khẩu không được mã hóa mặc định, ta có thể sử dụng lệnh service password-encryption để chuyển sang Type-7 password. Lần lượt trên Center Router, SW1, SW2 di chuyển sang mode config và nhập lệnh service password-encryption
CenterRouter(configure)# service password-encryption
SW1(configure)# service password-encryption
SW2(configure)# service password-encryption
- Sử dụng lại lệnh show running-configure và so sánh tình trạng các mật khẩu so với trước lúc đánh lệnh
CenterRouter#show running-config
Current configuration : 766 bytes
!
version 12.4
service password-encryption
!
hostname CenterRouter
!
!
!

37
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
!
interface FastEthernet0/0
duplex auto
speed auto
!
interface FastEthernet0/1
duplex auto
speed auto
!
i nterface Vlan1
no ip address
shutdown
!
i p classless
!
l ine con 0
password 7 0822404F1A0A
login
<output omit >
*Chú ý : Mật khẩu mã hóa bởi service password-encryption vẫn có thể bị giải mã với công cụ Cain

38
4. Cấu hình địa chỉ IP như mô hình bên :
- CenterRouter:
CenterRouter(config)#interface fa0/1
CenterRouter (config-if)#ip address 192.168.1.1 255.255.255.0
CenterRouter (config-if)#no shutdown
CenterRouter (config)#interface fa0/0
CenterRouter (config-if)#ip address 192.168.2.1 255.255.255.0
CenterRouter (config-if)#no shutdown
- SW1:
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.5 255.255.255.0
SW1(config-if)#exit
SW1(config)#ip default-gateway 192.168.1.1
- SW2:

39
SW2(config)#interface vlan 1
SW1(config-if)#exit
- Các PC trên SW2 sẽ nhận IP động từ DHCP Server lại địa chỉ 192.168.2.10
+ Cấu hình địa chỉ cho DHCP Server : Desktop  IP Configuration
+ Tiếp tục vào Config  DHCP để cấu hình dãy IP cấp phát cho mạng 192.168.2.0/24 với IP bắt đầu cấp phát là 192.168.2.100

40
5.Từ các PC thử telnet đến SW1,SW2,Router :
-Từ PC1 tiến hành Telnet đến CenterRouter bằng cách vào Desktop  Command Prompt
+ PC1>telnet 192.168.1.1
- PC1 thử telnet đến SW2
+ PC1>telnet 192.168.2.5

41
- Tương tự từ PC3 thử Telnet đến CenterRouter và SW2
6. Chuyển sang sử dụng SSH thay cho Telnet trên CenterRouter với username: TTG , password:cisco:
*Chú ý: Cần phải đổi tên của Router vì trong phiên SSH sẽ dùng hostname của Router và ip domain-name để tạo ra khóa mã hóa cho phiên SSH
- Tạo username và passworld cho CenterRouter dung để chứng thực trong phiên SSH
CenterRouter(config)#username TTG password cisco
- Cấu hình ip domain-name với tên domain công ty của mình
CenterRouter (config)#ip domain-name truongtan.edu.vn
- Tạo ra khóa (key) bằng cách kết hợp hostname và tên domain để tạo ra key mã hóa
CenterRouter (config)#crypto key generate rsa
The name for the keys will be: Centerrouter.truongtan.edu.vn
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 768

42
- Key mặc định được tạo ra bởi lệnh này để mã hóa dữ liệu có chiều dài là 512 bit, nếu các bạn sử dụng SSH version2 thì chiều dài key tối thiểu là 768 bit, trong trường hợp này ta sử dụng SSHv2 cho an toàn nên các bạn nhập vào là 768 và Enter
CenterRouter (config)#ip ssh version 2
CenterRouter (config)#line vty 0 4
- Đăng nhập bằng username và password tạo ra ở trên
CenterRouter (config-line)#login local
- Chuyển qua chế độ chứng thực chỉ sử dụng SSH thay cho telnet
CenterRouter (config-line)#transport input ssh
7.Từ các PC thử ssh đến các CenterRouter :
-Để thử SSH từ PC đến CenterRouter trên các PC các bạn sử dụng lệnh sau :
Ssh –L <tên user> <ip router>
PC1>ssh –L TTG 192.168.1.1
8. Video demo sự khác nhau giữa SSH và Telnet
- Telnet VS SSH : http://www.mediafire.com/download.php?zx2xmdeitmw

43
LAB 6: WIRELESS
I. Yêu cầu :
-Kết nối AP và bài BasicLab hoàn chỉnh theo 2 cách :
+Sử dụng cổng Ethernet
+Sử dụng cổng Internet
- Video tham khảo : http://www.mediafire.com/download.php?n2zzz0vrwn5
II. Các bước tiến hành :
1.Kết nối theo các sử dụng cổng Ethernet :
-Chạy file basiclab_completed.pkt để bắt cấu hình bài lab Wireless
-Kết nối thêm AP Linksys và 1 PC wireless vào hệ thống

44
-Sử dụng cáp chéo để kết nối từ 1 trong 4 cổng Ethernet trên AP đến SW2. Như vậy do mô hình là từ SW đến SW nên các Wireless PC và mạng LAN sẽ cùng 1 địa chỉ mạng 192.168.2.0/24
- Điều chỉnh một số tham số cơ bản trên AP :

45
+ Network Mode : do AP chuẩn G sẽ hỗ trợ ngược chuẩn B nên ở đây chúng ta có các lựa chọn
o Mix Mode : là chế độ mặc định hỗ trợ cả client ở chuẩn B và G
o B-Only : chỉ hỗ trợ client chuẩn B
o G-Only : chỉ hỗ trợ client chuẩn G
+ SSID : tên của mạng wireless
+ Kênh hoạt động nằm trong khoảng 1 đến 11 và phải đảm bảo không trùng với các AP xung quanh, để kiểm tra kênh hoạt động của các AP các bạn có thể sử dụng 1 số phần mềm như : NetStumbler , InSSIDer.

46
-Vô hiệu hóa dịch vụ DHCP trên AP vì đã có DHCP trong LAN cấp phát
-Kiểm tra lại IP cấp phát cho Wireless PC

47
-Thử kêt nối từ PC Wireless đến mạng LAN bên trong
2.Kết nối theo các sử dụng cổng Internet :

48
-Bỏ kết nối từ AP đến SW trong lab 1, sử dụng cáp thẳng kết nối từ cổng Internet của AP đến SW2, cổng Internet sẽ nhận Ip thừ DHCP trong LAN
-Bật lại DHCP trên AP và đảm bảo lớp mạng cấp phát không được trùng với mạng LAN trong trường hợp này AP sẽ cấp phát IP trong mạng 192.168.0.0/24 khác với mạng LAN là 192.168.2.0/24

49
-Kiểm tra lại IP cấp phát trên Wireless PC
-Ping từ Wirless PC vào mạng LAN

51
LAB 7: SECURITY DEVICE MANAGER (SDM)
I. Giới thiệu :
SDM( Cisco Rotuer and Device Manager) là 1 công cụ để quản lý thiết bị Router thông qua công nghệ Java, giao diện của SDM rất dễ sử dụng, giúp chúng ta có thể cấu hình LAN, WAN và các tính năng bảo mật khác của router. SDM được thiết kế cho người quản trị mạng hay reseller SMB mà không yêu cầu người sử dụng có kinh nghiệm nhiều trong việc cấu hình router.
II. Mô tả bài lab:
Trong bài lab này, chúng ta cần phải có 2 PC và 2 Router, Trên PC phải có phần mềm cài đặt SDM cho Router và hệ điều hành của Router phải hỗ trợ việc cài đặt và cấu hình bằng SDM. Để kiểm tra hệ điều hành ta đánh lệnh show version hay show flash để kiểm tra tên của hệ điều hành và phần cứng, sau đó tham khảo link sau:
http://www.cisco.com/en/US/products/sw/secursw/ps5318/prod_installation_guide09186a00803e4727.html
Nếu hệ điều hành không hỗ trợ ta phải cài đặt hệ điều hành khác cho router.
Trong bài lab có sử dụng các interface loopback ,là các interface logic ,để giả lập các mạng kết vào 2 router

52
III. Cấu hình :
Ta cấu hình các bước như sau trên 2 router DN và HCM:
Bước 1 : Cấu hình cho phép truy cập http và https
Router# configure terminal
-Bật 1 trong 2 dịch vụ HTTP hoặc HTTPS
HTTP :
Router(config)# ip http server
Hoặc HTTPS :

53
Router(config)# ip http secure-server
-Sau đó cấu hình chứng thực cho dịch vụ HTTP hoặc HTTPS bằng lệnh
Router(config)# ip http authentication local
Bước 2 : Tạo username và password với quyền hạn privilege 15 để login và router
Router(config)# username TTG privilege 15 password cisco.
Bước 3 : Cấu hình cho phép telnet và ssh thông qua các line
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input telnet ssh
Router(config-line)# exit
Bước 4 : Lần lượt cấu hình ip address cho interface Fa0/1 ( Interface kết nối đến PC ) của router DN và HCM
ĐN:
Router#conf terminal
Router(config)#hostname DN
DN(config)#interface fa0/1
DN(config-if)#ip address 172.16.1.1 255.255.255.0
DN (config-if)#no shutdown
HCM :
Router(config)#hostname HCM
HCM(config)#interface fa0/1
HCM(config-if)#ip address 172.16.3.1 255.255.255.0
HCM(config-if)#no shutdown
- Sau khi hoàn thành xong việc cấu hình Router, ta tiến hành thay đổi địa chỉ IP và kiểm tra kết nối từ PC đến router

54
Bước 5 : Bây giờ ta sử dụng phần mềm cài đặt SDM tại PC.

55
- Click và next. Chọn Cisco Router để cài đặt vào Router.
- Nhập địa chỉ của Router và username, password vừa được cấu hình tại bước 2 và nhấn vào Next.Chọn Install SDM và SDM express cho Router cần cài đặt.

56
- Sau đó nếu phần mềm cài đặt báo Finish là quá trình cài đặt đã xong.
- Tạm thời tắt chức năng chặn Pop-up Blocker trên trình duyệt bằng cách vào Tool  Pop-up Blocker  Turn-Off Pop-Up Blocker
- Bây giờ trên PC ta truy cập vào Web https://172.16.1.1 để login vào giao diện Web của Router. Ta nhập username và password của bước 2 để chứng thực,sau khi chứng thực thành công ta được giao diện của SDM như sau :

57
- Tiếp theo ta vào Edit > Preferences > chọn Preview commands before delivering to router như vậy ta có thể xem trước các lệnh SDM sắp chuyển xuống router để cấu hình
Bước 6: Tao các interface loopback trên router DN
Interface Loopback trên Router là các interface logic .Trong bài lab sử dụng các interface này để giả lập các mạng kết nối vào router HCM và ĐN
Configure > Interfaces and Connections >EditInterface/Connection

58
- Sau đó nhập thông tin về Ip > OK
- Lặp lại bước 6 đối với interface loopback còn lại trên router DN và HCM
Bước 7 : Thiết lập kết nối giữa interface Fa0/0 từ DN đến HCM
Interfaces and Connections > Create Connection > Ethernet LAN > Create New Connection

59
Next
Nhập thông tin về Ip cho interface Fa0/0

61
Bước 8 : Cấu hình RIPv2 để định tuyến giữa 2 router
-Mục đích cấu hình giao thức định tuyến RIP là để 2 router quảng bá những mạng mình biết cho các router hàng xóm ,và ngược lại (chú ý các mạng được quảng bá trong RIP phải là các mạng Classfull theo lớp A,B,C) .Trong bài lab cụ thể
+Router ĐN cần quảng bá 3 mạng: 192.168.3.0,192.168.4.0 và 172.(15+X).0.0

62
+Router HCM cần quảng bá 3 mạng: 192.168.1.0,192.168.2.0 và 172.(15+X).0.0
Vào Routing > RIP > Edit ,sau đó add các network cần quảng bá trên mỗi router vào :
(Chọn interface fa0/1 là Passive vì để tránh quảng bá thông tin định tuyến nhầm sang nhóm khác)
Sau đó lặp lại bước 8 trên router HCM
III. Bài tập làm thêm :
- Các bạn có thể thực hành thêm bài lab này ở nhà bằng phần mềm GNS3
- Video hướng dẫn các setup SDM trên GNS3 : http://www.mediafire.com/?dmqwlmfjywi
IV. Phụ lục các lệnh liên quan đến bài lab :
Router(config)# ip http server
Bật dịch vụ HTTP trên Router

63
Router(config)# ip http secure-server
Bật dịch vụ HTTPS trên Router
Router(config)# ip http authentication local
Cấu hình chứng thực cho dịch vụ HTTP hoặc HTTPS
Router(config)# username TTG privilege 15 password cisco
Tạo username và password với quyền hạn privilege 15 để login và router

64
LAB 8: DHCP, DHCP RELAY
I. Giới thiệu giao thức DHCP: Dịch vụ DHCP làm giảm bớt công việc quản trị mạng thông qua việc hạn chế bớt công việc gán hoặc thay đổi địa chỉ IP cho các clients. DHCP cũng lấy lại những địa chỉ IP không còn được sử dụng nếu thời hạn thuê bao IP của các clients đã hết hạn và không được đăng ký mới trở lại. Những địa chỉ này sau đó có thể cấp phát cho các clients khác. DHCP cũng dễ dàng đánh số lại nếu ISP có sự thay đổi. -Quá trình cấp phát IP cho client được thực hiện qua các bước sau: 1.Client phải được cấu hình ở chể độ nhận ip động từ DHCP server, đầu tiên Client sẽ gởi gói DHCPDISCOVER dưới dạng broadcast trên mạng của mình để yêu cầu DHCP server cấp phát IP 2.DHCP server khi nhận được gói DHCPDISCOVER sẽ tìm 1 ip chưa được sử dụng trong range IP cấp phát của mình để cấp phát cho Client thông qua gói DHCPOFFER gởi unicast 3.Client khi nhận được DHCPOFFER sẽ đánh giá tất cả các DHCPOFFER nhận được trong trường hợp có nhiều DHCP Server và sẽ yêu cầu một trong những DHCP cấp phát IP này cho mình thông qua gói DHCPREQUEST (thông thường Client sẽ gởi yêu cầu này đến DHCP Server nhận được DHCPOFFER đầu tiên) 4.DHCP server đồng ý cấp IP cho client thông qua gói unicast DHCPACK -Bốn yếu tố cơ bản mà 1 DHCP thông thường cấp phát cho Client • IP address • Gateway • Subnet mask • DNS server
II. DHCP Lab :

65
1. Cấu hình DNS server :
-DNS là dịch vụ dùng để phân giải từ tên miền sang địa chỉ IP và ngược lại, DHCP có khả năng cấp phát địa chỉ IP của DNS server tự động cho tất cả client trong hệ thống, trong trường hợp này ta sẽ cấu hình trrên DNS 2 domain sau :
+ Cisco.com có IP là 1.1.1.1
+ Truongtan.edu.vn có Ip là 2.2.2.2
Cấu hình trên PacketTracer như sau : click vào Server  Config  DNS và nhập vào thông tin cho 2 domain trên với loại Record là A Record
+ Cisco.com có IP là 1.1.1.1
+ Truongtan.edu.vn có Ip là 2.2.2.2

66
2.Cấu hình DHCP trên Cisco Router :
Router>enable
Router(config)#hostname DHCPServer
DHCPServer(config)#interface fa0/1
DHCPServer(config-if)#ip address 192.168.1.1 255.255.255.0
DHCPServer(config-if)#no shutdown
DHCPServer(config-if)#exit
-Cấu hình DHCP Pool để cấp phát Ip cho mạng 192.168.1.0/24
DHCPServer(config)#ip dhcp pool mang192
DHCPServer (dhcp-config)#network 192.168.1.0 255.255.255.0 *Địa chỉ mạng
DHCPServer(dhcp-config)#default-router 192.168.1.1 *Gateway
DHCPServer(dhcp-config)#dns-server 192.168.1.5 *DNS Server
DHCPServer(dhcp-config)#exit

67
-Thông thường khi cấp phát IP động ta thường dành riêng khoảng 10 IP đầu tiên không cấp phát trong DHCP dành cho các thiết bị, Server cần IP tĩnh, trong trường hợp này ta sẽ loại không cấp phát các IP từ 192.168.1.1 đến 192.168.1.10
DHCPServer(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10
3.Kiểm tra lại cấu hình DHCP trên PC :
-DHCP client sẽ cấu hình ở chế độ nhận IP động nếu thấy thông tin IP đang được cấp phát như bên dưới chứng tỏ DHCP đã hoạt động tốt
-Kiểm tra lại các IP đã được cấp phát trên DHCP server bằng lệnh show ip dhcp binding
DHCPServer# show ip dhcp binding
IP address Client-ID/ Lease expiration Type
Hardware address
192.168.1.11 0060.5C66.56B6 -- Automatic

68
-Như chúng ta thấy ngoài việc cấp phát tự động IP, DHCP còn có thể cấp phát địa chỉ DNS server, domain name … kiểm tra như sau :
+ DNS bằng lệnh nslookup
+Thông tin DNS, DHCP, Domain name : ipconfig /all
( hiện tại PacketTracer chưa hỗ trợ tốt những lệnh này )
DHCP RELAY
I. Giới thiệu : -Giao thức DHCP là 1 giao thức được sử dụng rất phổ biến trong việc cấp phát IP động cho các máy client, các bạn có thể xem lại cách cấu hình trên router Cisco tại đây -Như chúng ta đã biết để nhận được Ip từ DHCP Server các máy tính phải gởi broadcast gói tin DHCP Discovery trên mạng của mình, vậy điều gì xảy ra khi DHCP Server và Client không nằm cùng mạng vì mặc định router chặn dữ liệu dạng broadcast. Trong trường hợp này ta sẽ có 2 cách giải quyết: +Mỗi mạng sẽ được đặt một DHCP server : cách này không hiệu quả vì sẽ có quá nhiều DHCP server khi công ty triển khai nhiều mạng gây khó khăn trong việc quản lý và triển khai +Sử dụng một DHCP Server để cấp phát Ip động cho tất cả các mạng thông qua kỹ thuật DHCP Relay: cách này có nhiều ưu điểm hơn chỉ cần triển khai một DHCP cùng 1 lúc cấp phát ip cho nhiều mạng kết hợp với lệnh ip helper-address để bật dịch vụ DHCP Relay, khi cầu hình lệnh này Router khi nhận được dữ liệu UDP broadcast trên cổng của mình sẽ unicast đến một Ip định trước (IP cảu DHCP Server trong trường hợp này) Cách hoạt động của DHCP Relay:
1. Client Broadcasts gói tin DHCP Discover trong nội bộ mạng

69
2. DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast.
3. DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer
4. DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client

70
5. Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request.
6. DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast.

71
7. DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK.
8. DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client. Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay Agent.

72
II. Mô hình bài lab :
1. Cấu hình địa chỉ IP cho TTG và DHCP Router :

73
-Trên 2 router lưu cấu hình bằng lệnh copy run start sau đó tiến hành tắt router và gắn them module WIC-2T để bổ sung thêm cổng Serial cho router, sau đó sử dụng cáp Serial để kết nối theo đúng mô hình
DHCP Router :
DHCPServer(config)#interface s0/0/0
DHCPServer(config-if)#ip address 192.168.2.1 255.255.255.0
DHCPServer(config-if)#no shutdown
DHCPServer(config-if)#clock rate 64000 *Cấp xung đồng hồ cho DCE
DHCPServer(config-if)#exit
DHCPServer(config)#
TTG Router :
Router>
Router>enable
Router(config)#hostname TTGRouter
TTGRouter(config)#interface s0/0/0

74
TTGRouter(config-if)#ip address 192.168.2.2 255.255.255.0
TTGRouter(config-if)#no shutdown
TTGRouter(config-if)#clock rate 64000
TTGRouter(config-if)#exit
TTGRouter(config)#interface fa0/1
TTGRouter(config-if)#ip address 192.168.3.1 255.255.255.0
TTGRouter(config-if)#no shutdown
TTGRouter(config-if)#exit
TTGRouter(config)#
2. Định tuyến cho TTG và DHCP Router :
-Mặc định bảng định tuyến của router chỉ chứa các mạng kết nối trực tiếp còn để biết các mạng không kết nối trực tiếp các router phải được cấu hình các giao thức định tuyến để quảng bá các mạng đã biết cho nhau, trong trường hợp này là RIP
DHCPServer :
DHCPServer(config)#router rip
DHCPServer(config-router)#network 192.168.1.0
DHCPServer(config-router)#network 192.168.2.0
DHCPServer(config-router)#exit
DHCPServer(config)#
TTGRouter :
TTGRouter (config)#router rip
TTGRouter (config-router)#network 192.168.2.0
TTGRouter (config-router)#network 192.168.3.0
TTGRouter (config-router)#exit
TTGRouter (config)#
-Trên 2 Router kiểm tra bảng định tuyến bằng lệnh show ip route, các mạng mới học được sẽ có đánh dấu R ở đầu

75
3. Cấu hình DHCP Relay :
DHCPServer :
-Cấu hình thêm 1 DHCP pool để cấp phát cho mạng 192.168.3.0 bên TTG router
DHCPServer (dhcp-config)#network 192.168.3.0 255.255.255.0 *Địa chỉ mạng
DHCPServer(dhcp-config)#default-router 192.168.3.1 *Gateway
DHCPServer(dhcp-config)#dns-server 192.168.1.5 *DNS Server
DHCPServer(dhcp-config)#exit
-Loại 10 IP đầu tiên không cấp phát
DHCPServer(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10
-Cấu hình DHCP Relay trên interface fa0/1 của router TTG
TTGRouter(config-if)#ip helper-address 192.168.2.1 *IP của DHCPServer
-Kiểm tra lại việc nhận IP trên PC mạng 192.168.3.0

76
III. Thực hành thêm :
-Lớp thực hành thêm 2 bài lab này bằng cách cấu hình thông qua SDM trên phần mềm GNS3, tham khảo thêm video tại địa chỉ
IV. Phụ lục lệnh liên quan đến bài lab :
1. Cấu hình DHCP :
Cấu hình DHCP Pool để cấp phát IP động cho mạng
DHCPServer (dhcp-config)#network 192.168.1.0 255.255.255.0
Khai báo địa chỉ mạng cần cấp phát địa chỉ IP
DHCPServer(dhcp-config)#default-router 192.168.1.1
Cấu hình Gateway của DHCP Server
DHCPServer(dhcp-config)#dns-server 192.168.1.5
Khai báo DNS

77
DHCPServer(config)#ip dhcp excluded- address 192.168.1.1 192.168.1.10
Khai báo dãi IP không được cấp phát động
2. Cấu hình DHCP RELAY :
Cấu hình DHCP Relay trên interface fa0/1 của router TTG 192.168.2.1 là địa chỉ của DHCP Server
TTGRouter(config-if)#ip helper-address 192.168.2.1
3. Kiểm tra cấu hình DHCP :
DHCPServer#show ip dhcp
Cung câp thông tin về tất cả các địa chỉ được cấp từ DHCP
DHCPServer#show ip dhcp pool
Hiển thị thông tin trên tất cả các cấu hình hiện tại DHCP pool trên router

78
LAB 9: ĐỊNH TUYẾN TĨNH (STATIC ROUTE)
I. Giới thiệu :
Định tuyến (Routing) là 1 quá trình mà Router thực thi và sử để chuyển một gói tin(Packet) từ một địa chỉ nguồn (soucre)đến một địa chỉ đích(destination) trong mạng.Trong quá trình này Router phảI dựa vào những thông tin định tuyến để đưa ra những quyết định nhằm chuyển gói tin đến những địa chỉ đích đã định trước.Có hai loạI định tuyến cơ bản là Định tuyến tĩnh (Static Route) và Định tuyến động (Dynamic Route)
• Định tuyến tĩnh (Static Route) là 1 quá trình định tuyến mà để thực hiện bạn phảI cấu hình bằng tay(manually) từng địa chỉ đích cụ thể cho Router.
Một dạng mặc định của định tuyến tĩnh là Default Routes, dạng này được sử dụng cho các mạng cụt (Stub Network)
• Định tuyến động (Dynamic Route) đây mà một dạng định tuyến mà khi được cấu hình ở dạng này, Router sẽ sử dụng những giao thức định tuyến như RIP(Routing Information Protocol),OSPF(Open Shortest Path Frist),IGRP(Interior Gateway Routing Protocol)… để thực thi việc định tuyến một cách tự động (Automatically) mà bạn không phải cấu hình trực tiếp bằng tay.
II. Mô tả bài lab và đồ hình :
- Đồ hình bài lab như hình, PC nối với router bằng cáp chéo. Hai router nối với nhau bằng cáp serial. Địa chỉ IP của các interface và PC như hình vẽ.
- Bài lab này giúp bạn thực hiện cấu hình định tuyến tĩnh cho 2 router, làm cho 2 router có khả năng “nhìn thấy “được nhau và cả các mạng con trong nó.
2. Cấu hình Định tuyến tĩnh (Static Route)
Chúng ta cấu hình cho các router và PC như sau :
Router TTG1 :
Router>enable
Router(config)#hostname TTG1

79
TTG1(config)#interface fa0/0
TTG1(config-if)#ip address 10.0.0.1 255.255.255.0
TTG1(config-if)#exit
TTG1(config)#interface s0/0/0
Router TTG2 :
Router>enable
Host 1 :
IP 10.0.0.2
Subnetmask: 255.255.255.0
Gateway: 10.0.0.1
Host 2 :
IP: 10.0.1.2

80
Subnetmask: 255.255.255.0
Gateway:10.0.1.1
- Chúng ta tiến hành kiểm tra các kết nối bằng cách :
Ping từ Host1 sang địa chỉ 10.0.0.1
Ping từ Host 1 sang địa chỉ 192.168.0.1
- Mở chế độ debug tại Router TTG2
TTG2#debug ip packet
IP packet debugging is on
- Thực hiện lại lệnh ping trên ta thấy

81
TTG2#
00:33:59: IP: s=10.0.0.2 (Serial0/0/0), d=192.168.0.2 (Serial0/0/0), len 60, rcvd 3
00:33:59: IP: s=192.168.0.2 (local), d=10.0.0.2, len 60, unroutable
- Ping từ Host 1 sang địa chỉ 10.0.1.1
- Mở chế độ debug tại Router TTG1
- Thực hiện lại lệnh Ping:
TTG1#
00:36:41: IP: s=10.0.0.2 (Ethernet0), d=10.0.1.1, len 60, unroutable
00:36:41: IP: s=10.0.0.1 (local), d=10.0.0.2 (Ethernet0), len 56, sending

82
- Lệnh Ping ở trường hợp này không thực hiện thành công, ta dùng lệnh debug ip packet để mở chế độ debug tại 2 Router, ta thấy Router TTG 2 vẫn nhận được gói packet từ host1 khi ta ping địa chỉ 192.168.0.2, tuy nhiên do host 1 không liên kết trực tiếp với Router TTG 2 nên gói Packet ICMP trả về lệnh ping không có địa chỉ đích,do vậy gói Packet này bị hủy,điều này dẩn đến lệnh Ping không thành công. Ở trường hợp ta ping từ Host1 sang địa chỉ 10.0.1.1 gói packet bị mất ngay tại router TTG1 vì Router TTG1 không xác định được địa chỉ đích cần đến trong bảng định tuyến(địa chỉ này không liên kết trực tiếp với Router TTG1).Ta so sánh vị trí Unroutable trong kết quả debug packet ở 2 cấu lệnh ping trên để thấy được sự khác nhau.
- Để thực hiện thành công kết nối này,ta phải thực hiện cấu hình Static Route cho Router TTG1 và Router TTG2 như sau:
TTG1(config)#ip route 10.0.1.0 255.255.255.0 192.168.0.2
TTG1(config)#exit
- Bạn thực hiện lệnh Ping từ Host1 sang Host 2
- Bạn thực hiện lệnh Ping từ Router TTG2 sang Host1
TTG2#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
- Để thực hiện thành công lệnh Ping này bạn phải thực hiện cấu hình Static route cho Router TTG 2 như sau

83
- Lúc này từ Host2 bạn có thể Ping thấy các địa chỉ Trên Router TTG 1 và Host1
- Chúng ta kiểm tra bảng định tuyến của các router bằng lệnh show ip route
TTG1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.0.0 is directly connected, Ethernet0

84
S 10.0.1.0 is directly connected, Serial0/0/0
C 192.168.0.0/24 is directly connected, Serial0/0/0
S biểu thị những kết nối thông qua định tuyến tĩnh
C biểu thị những kết nối trực tiếp
TTG2#show ip route
S 10.0.0.0 is directly connected, Serial0/0/0
- Thực hiện lệnh Show run tại Router để xem lại cấu hình định tuyến:
TTG1#show run
ip kerberos source-interface any
ip classless
ip route 10.0.1.0 255.255.255.0 Serial0/0/0
ip http server
!

85
end
TTG2#show run
ip classless
ip route 10.0.0.0 255.255.255.0 Serial0/0/0
ip http server
- Bạn đã thực hiện thành công việc định tuyến cho 2 Router kết nối được với nhau cả các mạng con của chúng, bạn cũng có thể mở rộng đồ hình ra thêm với 3, 4 hay 5 hop để thực hành việc cấu hình định tuyến tĩnh tuy nhiên bạn thấy rõ việc cấu hình này tương đối rắc rối và dài dòng nhất là đối với môi trường Internet bên ngoài,vì vậy bạn sẽ phải thực hiện việc cấu hình định tuyến động cho Router ở bài sau.
III. Phụ lục các lệnh liên quan đến bài lab :
1. Cấu hình Static route trên Router :
Router(config)# ip route 172.16.20.0
255.255.255.0 172.16.10.2
Trong đó :
172.16.20.0 = mạng đích.
255.255.255.0 = subnet mask của mạng
đích.
Các bạn có thể hiểu câu lệnh đó như sau:
Để có thể đến được mạng đích là
172.16.20.0, với subnet mask của mạng
đó là 255.255.255.0, thì gửi tất cả dữ
liệu ra 172.16.10.2.
255.255.255.0 serial 0/0/0
Trong đó :
172.16.20.0 = mạng đích.

86
255.255.255.0 = subnet mask của mạng
đích.
Các bạn có thể hiểu câu lệnh đó như sau:
Để có thể đến được mạng đích là
172.16.20.0, với subnet mask của mạng
đó là 255.255.255.0, thì gửi tất cả dữ
liệu ra ngoài interface s0/0/0.
2. Cấu hình Default Route trên Router :
0.0.0.0 172.16.10.2
Khi router nhận được một gói dữ liệu mà
đích của gói dữ liệu này không có trong
bảng định tuyến thì sẽ gửi gói dữ liệu đó
ra 172.16.10.2
0.0.0.0 Serial 0/0/0
Khi router nhận được một gói dữ liệu mà
đích của gói dữ liệu này không có trong
bảng định tuyến thì sẽ gửi gói dữ liệu đó
ra interface s0/0/0
3. Kiểm tra static route :
Router# show ip route
Hiển thị nội dung của bảng định tuyến
Router #debug ip packet
Mở chế độ debug tại Router
Router #Show running-config
Xem lại cấu hình định tuyến

87
STATIC ROUTE TỔNG HỢP
YÊU CẦU
1)Sử dụng mạng 172.(15+X).0.0/16 để chia subnet với X là số thứ tự của nhóm
2)Sử dụng Static Route để định tuyến
3)Các PC phải đi được internet
4)Kiểm tra lại thông tin định tuyến bằng các lệnh
+ Show ip route
+ Ping ra internet
+ Từ PC dùng lệnh tracert ra internet để liệt kê đường đi

88
LAB 10 : RIPv2
I. Giới thiệu :
RIP (Routing Information Protocol) là một giao thức định tuyến dùng để quảng bá thông tin về địa chỉ mà mình muốn quảng bá ra bên ngoài và thu thập thông tin để hình thành bảng định tuyến (Routing Table)cho Router. Đây là loại giao thức Distance Vector sử dụng tiêu chí chọn đường chủ yếu là dựa vào số hop (hop count) và các địa chỉ mà Rip muốn quảng bá được gửi đi ở dạng Classful (đối với RIP verion 1) và Classless (đối với RIP version 2).
Vì sử dụng tiêu chí định tuyến là hop count và bị giới hạn ở số hop là 15 nên giao thức này chỉ được sử dụng trong các mạng nhỏ (dưới 15 hop).
- Các PC nối với Switch bằng cáp thẳng, hai router nối với nhau bằng cáp serial. Địa chỉ IP của các interface và PC như trên hình.
- Bài thực hành này giúp bạn thực hiện được việc cấu hình cho mạng có thể ien lạc được với nhau bằng giao thức RIP
III. Mục tiêu :

89
-Trước khi cấu hình định tuyến bằng RIPv2 cho 2 router chúng ta sẽ thấy ngồi từ PC1 không thể ping được đến router TTG2 vì lý do Router TTG2 thông tin về mạng 10.0.0.0/24 ( LAN1) nằm đâu
- Sauk hi cấu hình RIPv2 thì PC1 phải ping được đến TTG2
IV. Các bước cấu hình :
- Trước tiên bạn cấu hình cho các thiết bị như sau:
Router TTG1
Router>enable
TTG1(config)#interface serial 0/0/0
TTG1(config-if)#clock rate 64000
TTG1(config)#interface fastethernet 0/0
Router TTG2
Router>enable
TTG2(config)#interfacae fastethernet 0/0

90
Host1 :
IP 10.0.0.2
Subnet mask:255.255.255.0
Gateway:10.0.0.1
Host2 :
IP: 11.0.0.2
Gateway:11.0.0.1
- Bạn thực hiện việc kiểm tra các kết nối bằng lệnh Ping

91
- Đối với Host 1 bạn không thể Ping thấy địa chỉ 192.168.0.2
Bạn thực hiện việc kiểm tra tương tự ở Host 2
Ping địa chỉ 11.0.0.1

92
- Thực hiện các lệnh Ping từ Router TTG1:
TTG1#ping 192.168.0.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/35/36 ms
TTG1#ping 11.0.0.1
.....
- Thực hiện các lệnh Ping từ Router TTG2
TTG2#ping 192.168.0.1
!!!!!
TTG2#ping 10.0.0.1
.....

93
- Bạn xem bảng thông tin định tuyến của từng Router
TTG1#show ip route
TTG2#show ip route

94
Nhận xét : Bạn thấy rằng thông tin địa chỉ của các mạng mà bạn thực hiện lệnh Ping không thành công không được lưu trên bảng định tuyến
• Bạn thực hiện việc cấu hình RIP cho các Router như sau:
TTG1(config)#router rip
TTG1(config-router)#network 192.168.0.0
TTG1(config-router)#exit
- Bạn xem lại bảng thông tin định tuyến:
TTG1#show ip route
R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:00, Serial0/0/0
TTG2#show ip route

95
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:23, Serial0/0/0
Nhận xét : Bạn thấy rằng trên bảng thông tin định tuyến, Router TTG1 đã liên kết RIP với mạng 11.0.0.0/8 qua cổng Serial 0(192.168.0.2) và Router TTG2 đã liên kết với mạng 10.0.0.0/8 qua cổng Serial 0(192.168.0.1)
Chú ý: Vì Rip gửi điạ chỉ theo dạng classfull nên subnet mask sẽ được sử dụng defaul đối với các lớp mạng.
- Lúc này bạn thực hiện lại lệnh Ping giứa các Router và các Host:
Từ Host1 bạn thực hiện lệnh Ping:

96
Từ Host 2 bạn thực hiện lệnh Ping:

97
- Bạn thấy rằng các kết nối đã thành công. Đến đây bạn đã hoàn tất việc cấu hình RIP cho mạng trên có thể trao đổi thông tin với nhau.Nhưng để tìm hiểu rõ hơn về RIP bạn thực hiện tiếp tục các bước cấu hình như sau:
- Bạn giữ nguyên cấu hình của Router TTG 1 và thay đổi cấu hình của Router TTG 2 từ RIP version 1 sang RIP version 2 và kiểm tra :
TTG2(config-router)#version 2
- Bạn mở chế độ debug trên 2 Router để kiểm tra gói tin:
- Lúc này bạn thực hiện lệnh Ping từ Host 1 vào các địa chỉ không liên kết trực tiếp với nó đã được chạy RIP
TTG2#

98
TTG2#
01:55:30: IP: s=10.0.0.2 (Serial0/0/0), d=11.0.0.1, len 60, rcvd 4
- Những dữ liệu khi bạn mở chế độ debug cho thấy khi bạn thực hiện lệnh Ping từ Host1 đến các địa chỉ như:192.168.0.2 và 11.0.0.1 gói tin đều nhận được tại điểm đích,tuy nhiên gói tin trả về tại địa chỉ này đã không tìm được địa chỉ 10.0.0.2(Host1) từ bảng định tuyến của Router TTG 2(unroutable) do Router này đã được cấu hình RIP version 2
TTG2#show ip route

99
Nhận xét : Mạng 10.0.0.0 không còn tồn tại trong bảng định tuyến
Bạn thực hiện lệnh Ping từ Router TTG2 sang các địa chỉ của Router TTG1
TTG2#ping 10.0.0.2
.....
- Bạn thực hiện việc kiểm tra bằng lệnh Show ip route
TTG1#show ip route
01:46:50: IP: s=192.168.0.2 (Serial0/0/0), d=224.0.0.9, len 52, rcvd 2route

100
R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:05, Serial0/0/0
C 192.168.0.0/24 is directly connected, Serial0
- Bạn thấy tuy tại bảng định tuyến của Router TTG1 vẫn còn lưu lại địa chỉ của mạng 11.0.0.0 nhưng vì Router TTG2 không tìm thấy địa chỉ của mạng 10.0.0.0 nên gói tin không thực hiện gửi được. Điều này cho bạn thấy giao thức RIP Version 2 không hổ trợ tương thích ngược cho giao thức RIP Version 1.
- Như vậy để trao đổi thông tin định tuyến thành công bằng RIP thì đòi hỏi các Router phải cấu hình cùng version RIP, trong trường hợp nay ta tiếp tục cấu hình cho TTG1 chuyển qua sử dụng RIPv2
- Thử kiểm tra lại kết nối giữa 2 PC sau khi chuyển RIP version trên TTG1 bằng lệnh Ping và kết quả lệnh phải thành công
V. Phụ lục các lệnh liên quan đến bài lab :
1. Câu lệnh ip classless :
Router(config)# ip classess
Router khi nhận được gói dữ liệu mà đích
của gói dữ liệu không có trong bảng định
tuyến thì gói dữ liệu đó sẽ được định
tuyến đến default route.
Router(config)# no ip classess
Tắt tính năng của câu lệnh ip classess
2. Giao thức định tuyến RIP: Các câu lệnh bắt buộc :
Router(config)# router rip
Cho phép router sử dụng giao thức định
tuyến rip.

101
Router(config-router)# network w.x.y.z
Trong đó w.x.y.z là mạng đang kết nối
trực tiếp vào router của bạn mà bạn
đang muốn quảng bá.
3. Giao thức định tuyến RIP: Các câu lệnh tùy chọn :
Router(config)# no router rip
Tắt giao thức định tuyến hoạt động trên
router.
Router(config-router)# no network
w.x.y.z
Xóa bỏ mạng w.x.y.z khỏi quá trình định
tuyến của RIP.
Router(config-router)# version 2
Giao thức định tuyến được sử dụng để
nhận và gửi các gói tin Ripv2
Router(config-router)# version 1
Giao thức định tuyến được sử dụng để
nhận và gửi các gói tin Ripv1 duy nhất.
Router(config-if)# ip rip send version 1
Router sẽ chỉ gửi duy nhất các gói tin
Ripv1 qua interface này.
Router(config-if)# ip rip send version 2
Router sẽ chỉ gửi duy nhất các gói tin
Router(config-if)# ip rip send version 1 2
Router sẽ chỉ gửi các gói tin Ripv1 và Ripv2 qua interface này.
Router(config-if)# ip rip receive
version 1
Router sẽ chỉ nhận duy nhất các gói tin
version 2
Router sẽ chỉ nhận duy nhất các gói tin
Router sẽ nhận các gói tin Ripv1 và

102
version 1 2
Router(config-router)# no auto-
summary
Tắt tính năng tự động tổng hợp địa chỉ
của các mạng classful (chỉ có tác dụng
với Ripv2).
Router(config-router)# passive-
interface s0/0/0
Router sẽ không gửi các thông tin định
tuyến của rip ra ngoài interface này.
Router(config-router)# neighbor
a.b.c.d
Chỉ ra một neighbor để trao đổi thông tin
định tuyến
Router(config-router)# no ip split-
horizon
Tắt tính năng split horizon trên router
Router(config-router)# ip split-horizon
Enable tính năng split horizon trên
router.
Router(config-router)# timers basic 30
90 180 270 360
Thay đổi các tham số thời gian với RIP:
30 = thời gian Update
90 = Thời gian Invalid
180 = Thời gian hold-down
270 = Thời gian Flush
360 = Thời gian Sleep
Router(config-router)# maximum-
paths x
Giới hạn số đường đi cho cân bằng tải là
x (4 là mặc định, còn 6 sẽ là tối đa).
Router(config-router)# default-
information orginate
Cấu hình default route trong rip.
4. Xử lý lỗi với RIP :

103
Router#show ip route
Hiển thị nội dung của bảng định tuyến
Router# debug ip rip
Hiển thị tất cả các thông tin về rip đang
xử lý bởi router.
Router# show ip rip database
Hiển thị nội dung của RIP database.

104
RIPv2 Lab Tổng Hợp
YÊU CẦU
1) Học viên sẽ thực hành trên thiết bị Cisco 2801
2) Sử dụng mạng 172.(15+X).0.0/16 để chia subnet với X là số thứ tự của nhóm
3)Sử dụng RIPv2 để định tuyến
4)Các PC phải đi được internet
5)Sauk khi định tuyến xong, kiểm tra lại thông tin định tuyến bằng các lệnh :
+ Show ip route
+ Ping ra internet từ PC và router
+ Từ PC dùng lệnh tracert ra internet để liệt kê đường đi từ nguồn đến đích

105
LAB 11: CISCO DISCOVERY PROTOCOL (CDP)
I. Giới thiệu
CDP(Cisco Discovery Protocol) là 1 giao thức của Cisco, giao thức này hoạt động ở lớp 2(data link layer) trong mô hình OSI, nó có khả năng thu thập và chỉ ra các thông tin của các thiết lân cận được kết nối trực tiếp, những thông tin này rất cần thiết và hữu ích cho bạn trong quá trình xử lý sự cố mạng.
II. Mục đích
Bài thực hành này giúp bạn hiểu rõ về giao thức CDP và các thông số liên quan, nắm được chức năng của các lệnh trong giao thức này.
Chú ý: CDP chỉ cung cấp thông tin của thiết bị kết nối trực tiếp với nó, trái với các giao thức định tuyến. Giao thức định tuyến có thể cung cấp thông tin của các mạng ở xa, hay kết nối gián tiếp qua nhiều router.
III. Mô tả bài lab và đồ hình
Đồ hình bài lab như hình vẽ, các router được nối với nhau bằng cáp serial.
IV. Các bước thực hiện
Trước tiên cấu hình cho các Router như sau
• Router TTG1 :
Router> enable
Router<config>#hostname TTG1
TTG1<config>#interface serial 0/0/0
TTG1<config-if>#ip address 192.168.1.2 255.255.255.0

106
TTG1<config-if>#no shutdown
TTG1<config-if>#clock rate 64000
TTG1<config-if>#exit
TTG1<config>#
• Router TTG2 :
Router> enable
TTG2<config>#
• Router TTG3 :
Router> enable
TTG1<config>#
Lưu ý : Vì CDP là 1 giao thức riêng của Cisco nên nó đươc mặc định khởi động, vì vậy khi ta dùng lệnh Show run,những thông tin về giao thức này sẽ không được hiển thị.Giao thức này có thể hoạt động trên cả Router và Switch
V. Các lệnh trong giao thức CDP
• Lệnh Show CDP neighbors : dùng để xem thông tin của các thiết bị xung quanh được liên kết trực tiếp(lệnh này sử dụng trong mode Privileged)
TTG1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID

107
TTG3 Ser 0/0/1 149 R 2523 Ser 0/0/1
TTG2 Ser 0/0/0 134 R 2500 Ser 0/0/0
• Lệnh Show CDP neighbors detail : dùng để xem chi tiết thông tin của các thiết bị liên kết trực tiếp.
TTG1#show cdp neighbors detail
-------------------------
Device ID: TTG3(thiết bị liên kết trực tiếp là TTG3)
Entry address(es): IP address: 192.168.2.1(địa chỉ cổng liên kết trực tiếp)
Platform: cisco 2523, Capabilities: Router (loại thiết bị liên kết: Cisco Router 2523)
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1 (liên kết trực tiếp qua cổng Serial0/0/1)
Holdtime : 124 sec
Version :
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-I-L), Version 12.1(26), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Sat 16-Oct-04 02:44 by cmong (Thông tin về hệ điều hành của thiết bị liên kết)
advertisement version: 2
-------------------------
Device ID: TTG2(thiết bị liên kết trực tiếp là TTG2)
Entry address(es): IP address: 192.168.1.1(địa chỉ cổng liên kết)
Platform: cisco 2500, Capabilities: Router(loại thiết bị liên kết là Cisco Router 2500)
Interface: Serial0/0/0, Port ID (outgoing port): Serial0/0/0 (liên kết qua cổng Serial0/0/0)
Holdtime : 168 sec (thời gian giữ gói tin là 168 sec)
Version :
Compiled Sat 16-Oct-04 02:44 by cmong(Thông tin chi tiết về phiên bản và hệ điều
hành của thiết bị)
• Lệnh Show CDP : hiển thị thông tin CDP về timer và hold-time.
TTG1#show cdp
Global CDP information:
Sending CDP packets every 60 seconds(gói cdp được gửi mổi 60 second)
Sending a holdtime value of 180 seconds (thời gian giữ gói tin là 180 second)
Sending CDPv2 advertisements is enabled
• Lệnh Show CDP interface : hiển thị thông tin CDP về từng cổng,cách đóng gói và cả timer,hold-time.

108
TTG1#show cdp int
Ethernet0 is administratively down, line protocol is down (cổng Ethernet0 down do
không có thiết bị liên kết trực tiếp)
Encapsulation ARPA (cách đóng gói packet)
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0/0/0 is up, line protocol is up(cổng Serial0/0/0 up do co thiết bị liên kết trực tiếp)
Encapsulation HDLC (cách đóng gói packet)
Serial0/0/1 is up, line protocol is up (cổng Serial0/0/1 up do có thiết bị liên kết trực tiếp)
Encapsulation HDLC(cách đóng gói packet)
Lưu ý : ta có thể dùng lệnh no cdp enable để tắt chế độ CDP trên các interface,và lúc này lệnh show CDP interface sẽ không hiển thị thông tin CDP trên interface đó.Nếu muốn bật lại chế độ CDP trên interface nào ta dùng lệnh CDP enable trên interface đó.
TTG1(config-if)#no cdp enable (tắt chế độ CDP trên interface Serial0/0/0)
TTG1(config-if)#^Z
TTG1#show cdp inter
01:32:44: %SYS-5-CONFIG_I: Configured from console by console
Ethernet0 is administratively down, line protocol is down
Encapsulation ARPA
Serial0/0/1 is up, line protocol is up
Encapsulation HDLC
Holdtime is 180 seconds (thông tin về cổng Seria0/0/0 không hiển thị sau khi tắt chế độ cdp trên nó)
Nếu muốn bật lại chế độ CDP trên interface nào ta dùng lệnh CDP enable trên interface đó.
TTG1(config-if)#cdp enable
• Lệnh Show CDP traffic : hiển thị bộ đếm CDP bao gồm số lượng gói packet gửi, nhận và bị lổi.
TTG1#show cdp traffic
CDP counters :
Total packets output: 128, Input: 115

109
Hdr syntax: 0, Chksum error: 0, Encaps failed: 9
No memory: 0, Invalid packet: 0, Fragmented: 0
CDP version 1 advertisements output: 0, Input: 0
CDP version 2 advertisements output: 128, Input: 115
• Lệnh Clear CDP counter : dùng để reset lai bộ đếm CDP.
• Lệnh No CDP run : để tắt hoàn toàn chế độ CDP trên Router
TTG1(config)#no cdp run
TTG1(config)#^Z
TTG1#show cdp (lệnh show cdp không hợp lệ khi tắt chế độ cdp)
% CDP is not enabled
• Lệnh CDP run : dùng để mở lại chế độ CDP trên Router
TTG1(config)#cdp run
TTG1(config)#exit
TTG1#show cdp
Global CDP information:
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Lưu ý: Giao thức CDP chỉ cho ta biết được thông tin của những thiết bị được liên kết trực tiếp.
-------------------------
Device ID: TTG1
Entry address(es):
IP address: 192.168.2.2
Platform: cisco 2500, Capabilities: Router
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1
Holdtime : 138 sec
Version :
IOS (tm) 2500 Software (C2500-JK8OS-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)
Compiled Sun 03-Feb-02 22:01 by srani
- Từ Router TTG3 chỉ xem được thông tin của thiết bị nối trực tiếp là Router TTG1. Giả sử ta thay đổi địa chỉ IP của cổng Serial0/0/1 ở router TTG3
TTG3(config-if)#no shut
TTG3(config-if)#^Z
- Dùng lệnh Ping từ Router TTG3 để ping địa chỉ cổng Serial 0/01 của Router TTG1:

110
TTG3#ping 192.168.2.2
.....
- Sử dụng giao thức CDP từ Router TTG3 xem thông tin về các thiết bị liên kết trực tiếp:
-------------------------
Device ID: TTG1
Entry address(es):
IP address: 192.168.2.2
Platform: cisco 2500, Capabilities: Router
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1
Holdtime : 144 sec
Version :
IOS (tm) 2500 Software (C2500-JK8OS-L), Version 12.2(1d), RELEASE SOFTWARE (fc1)
- Bạn thấy rõ từ Router TTG3 ta ping không thấy được Router TTG1 nhưng dùng giao thức CDP bạn vẫn nhận được thông tin của thiết bị liên kết. Đây là ưu điểm của giao thức CDP. Ưu điểm này sẽ rất hữu ích cho bạn khi xử lý sự cố mạng.
VI. Phụ lục các lệnh liên quan đến bài lab :
Router#show cdp
Hiển thị thông tin của CDP như các tham
số thời gian.
Router#show cdp neighbors
Hiển thị thông tin về các thiết bị hàng
xóm.
Router#show cdp neighbors detail
Hiển thị thông tin chi tiết về các thiết bị
hàng xóm.
Router#show cdp entry word
Hiển thị thông tin về định danh các thiết
bị.
Router#show cdp entry *
Hiển thị thông tin về tất cả các thiết bị.
Router#show cdp interface
Hiển thị thông tin về tất cả những
interface đang chạy giao thức CDP.

111
Router#show cdp interface x
Hiển thị thông tin về một interface nào
đó được chỉ ra đang chạy giao thức CDP.
Router#show cdp traffic
Hiển thị thông tin về các lưu lượng được
đi và đến.
Router(config)#cdp holdtime x
Thay đổi thời gian mà các gói tin CDP
được giữ lại.
Router(config)#cdp timer x
Thay đổi thời gian các gói tin CDP được cập nhật
Router(config)#cdp run
Cho phép giao thức CDP được chạy trên
tất cả các interface (mặc định).
Router(config)#no cdp run
Tắt giao thức CDP chạy trên các interface
của thiết bị.
Router(config-if)#cdp enable
Cho phép giao thức CDP được chạy trên
một interface được chỉ ra.
Router(config-if)#no cdp enable
Tắt giao thức CDP trên interface được chỉ
ra.
Router#clear cdp counters
Khởi tạo lại bộ đếm lưu lượng dữ liệu trở
về 0
Router#clear cdp table
Xóa bảng CDP.
Router#debug cdp adjacency
Giám sát các thông tin CDP về các thiết
bị hàng xóm.
Router#debug cdp events
Giám sát tất cả các sự kiện của giao thức CDP
Router#debug cdp ip
Giám sát các sự kiện của CDP được chỉ ra
cho giao thức IP.

112
Router#debug cdp packets
Giám sát các thông tin của CDP có liên
quan đến các gói tin.

113
LAB 12: SAO LƯU IOS, CẤU HÌNH ROUTER
I. Giới thiệu :
- Flash là 1 bộ nhớ có thể xóa, được dùng để lưu trữ hệ điều hành và một số mã lệnh.Bộ nhớ Flash cho phép cập nhật phần mềm mà không cần thay thế chip xử lý.Nội dung Flash vẫn được giữ khi tắt nguồn.
- Bài lab này giúp bạn thực hiện việc nạp IOS (Internetwork Operating System) Image từ Flash trong Router Cisco vào TFTP server để tạo bản IOS Image dự phòng và nạp lại IOS Image từ từ TFTP sever vào Cisco Router chạy từ Flash(khôi phục phiên bản củ hay update phiên bản mới) thông qua giao thức truyền TFTP (Trivial file transfer protocol)
- Đồ hình bài lab như hình vẽ, PC nối với router bằng cáp chéo
- PC hoạt động như 1 TFTP Server và được nối với Router thông qua môi trường Ethernet, lúc này Router hoạt động như là TFTP Client. IOS sẽ đươc copy từ Router lên Server ( trong tình huống backup IOS) hay từ Server vào Router( trong tình huống update hay cài đặt IOS mới). Đối

114
với trường hợp nạp IOS cho Router khi Flash Router bị xoá ta có thể vào mode ROMMON để cấu hình lấy IOS từ Server.
III. Các bước thực hiện :
Chúng ta sẽ cấu hình cho router TTG và PC (đóng vai trò như một TFTP server) như sau :
• PC :
IP Address : 10.1.0.2
Subnetmask : 255.0.0.0
Gateway : 10.1.0.1
• Router TTG :
Router>enable
Router(config)#hostname TTG
TTG(config)#interface fa0/1
TTG(config-if)#ip address 10.1.0.1 255.0.0.0
TTG(config-if)#no shutdown
TTG(config-if)#exit
• Bạn thực hiện lệnh Ping để đảm bảo việc kết nối giữa Router và TFTP server
TTG#ping 10.1.0.2
!!!!!
• Dùng lệnh Show version để xem phiên bản IOS hiện hành:
TTG#show version
IOS (tm) 2500 Software (C2500-JK8OS-L), Version 12.2(1d), RELEASE SOFTWARE (fc1) ← Router đang s ử d ụng IOS version 12.2(1d)

115
Image text-base: 0x0307EEE0, data-base: 0x00001000
ROM: System Bootstrap, Version 11.0(10c), SOFTWARE
BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c), RELEASE SOFT
WARE (fc1)
TTG uptime is 15 minutes
System returned to ROM by bus error at PC 0x100D042, address 0xFFFFFFFC
System image file is "flash:/c2500-jk8os-l.122-1d.bin"← Tên tập tin IOS image
được nạp từ flash- loạI Cisco 2500 sử
dụng hệ điều hành phiên bản12.2(1d)
cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory. ← Router có 16MB RAM,14 MB dùng cho
bộ nhớ xử lý, 2 MB dùng cho bộ nhớ I/O
Processor board ID 08030632, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 Ethernet/IEEE 802.3 interface(s)
2 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)← Router có 16 MB flash

116
Configuration register is 0x2102 ← Thanh ghi hiện hành
• Dùng lệnh Show Flash để xem bộ nhớ Flash và lưu tên file IOS lại để chuẩn bị copy xuống TFTP
TTG#show flash
System flash directory:
File Length Name/status
1 16505800 /c2500-jk8os-l.122-1d.bin
[16505864 bytes used, 271352 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
• Ý nghĩa tên File IOS Image:
 c2500:loại thiết bị Cisco 2500
 1.122 : lọai phiên bản IOS
• Bạn thực hiện việc nạp IOS image từ Flash vào TFTP server:
TTG#copy flash: tftp:
Source filename []? /c2500-jk8os-l.122-1d.bin
Address or name of remote host []? 10.1.0.2 ← địa chỉ TFTP server
Destination filename [c2500-jk8os-l.122-1d.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16505800 bytes copied in 232.724 secs (71145 bytes/sec)
- Quá trình nạp thành công, file IOS image được lưu vào chương trình chứa TFTP server

117
- Bạn đã thực hiện xong việc nạp IOS từ Flash vào TFTP server, sau đây bạn thực hiện lại việc nạp một IOS có sẵn từ TFTP server vào lại flash của một Router.
• Các bước thực hiện: Bạn cấu hình Router và Host như trên.chạy chương trình TFTP từ PC.
Giả sử bạn có 2 file IOS có sẵn trong TFTP server

118
File IOS Image c2500-i-l.121-26.bin có dung lượng 7,85 MB.
File IOS Image c2500-jk80os-l.122-1d.bin có dung lượng 16MB
 Bạn thực hiện kiểm tra Flash:
TTG#show flash
1 8039140 /c2500-i-l.121-26.bin
Nhận xét : Bộ nhớ Flash của bạn có dung lượng là 8 MB, bạn có thể lưu file IOS image c2500-i-l.121-26.bin vào Flash
 Thực hiên quá trình copy flash
TTG#copy tftp: flash:
Address or name of remote host []? 10.1.0.2 ← tên hay địa chỉ nơi lưu
Flash (TFTP Server)
Source filename []? c2500-i-l.121-26.bin ← Tên file nguồn
Destination filename [c2500-i-l.121-26.bin]? ← Tên file đích
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing tftp://192.168.14.2/c2500-i-l.121-26.bin...
Erase flash: before copying? [confirm]
00:09:43: %SYS-5-RELOAD: Reload requested
%SYS-4-CONFIG_NEWER: Configurations from version 12.1 may not be correctly understood.
%FLH: c2500-i-l.121-26.bin from 192.168.14.2 to flash ...

119
1 8039140 /c2500-i-l.121-26.bin
Accessing file 'c2500-i-l.121-26.bin' on 192.168.14.2...
Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): ! [OK]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased← quá trình xóa flash
Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): !!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ← quá trình nạp Flash
[OK - 8039140/8388608 bytes]
Verifying checksum... OK (0x9693)
Flash copy took 0:03:57 [hh:mm:ss]
%FLH: Re-booting system after download
F3: 7915484+123624+619980 at 0x3000060
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

120
Compiled Sat 16-Oct-04 02:44 by cmong
Image text-base: 0x03042000, data-base: 0x00001000
cisco 2500 (68030) processor (revision N) with 6144K/2048K bytes of memory.
Processor board ID 17553463, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
- Sau khi nạp Flash hoàn thành, Router sẽ reset lại để thay đổi Flash mới, lúc này IOS trong Flash sẽ là file IOS bạn vừa copy vào.
 Quá trình nạp Flash trong TFTP server
Lưu ý : là trong cả quá trình copy flash từ TFTP server vào Router hay từ Router vào TFTP server bạn đều phải chạy chương trình TFTP server trên PC.

121
IV. Phụ lục các lệnh liên quan đến bài lab :
1. Các câu lệnh Boot System :
Router(config)#boot system flash
imagename
Khởi động với phần mềm Cisco IOS bằng
một image-name từ Flash
Router(config)#boot system tftp
image-name 172.16.10.3
Khởi động với phần mềm Cisco IOS bằng
một image-name từ một TFTP server
Router(config)#boot system rom
Khởi động với phần mềm Cisco IOS từ
ROM.
2. Sao lưu phần mềm Cisco IOS vào một TFTP server :
Router #copy flash tftp
Copy IOS từ flash tới TFTP Server
Source filename [ ]? c2600-js-l_121-
3.bin
Nhập tên của phần mềm Cisco IOS.
Address or name of remote host [ ]?
192.168.119.20
Nhập địa chỉ IP của TFTP server.
Destination filename [c2600-js-l_121-
3.bin]?
Nhập tên của file mà bạn lưu ra TFTP
server.
3. Phục hồi hoặc nâng cấp phần mềm Cisco IOS từ một TFTP Server :
Router #copy tftp flash
Copy IOS từ TFTP Server tới flash
Address or name of remote host [ ]?
192.168.119.20
Nhập địa chỉ IP của TFTP server
Source filename [ ]? c2600-js-l_121-
3.bin
Nhập tên của file mà bạn lưu trên TFTP
server.

122
Destination filename [c2600-js-l_121-
3.bin]?
Nhập tên của file mà bạn lưu trên IOS
server.
Erase flash: before copying? [confirm]
Nếu bộ nhớ flash bị đầy, thì sẽ cần phải
xóa trước khi thực hiện việc copy.
4. Kiểm tra file IOS :
Router #show version
Kiểm tra xem phiên bản IOS hiện hành
Router #show flash
Xem bộ nhớ Flash và lưu tên file IOS lại để chuẩn bị copy xuống TFTP

123
LAB 13: KHÔI PHỤC MẬT KHẨU CHO CISCO ROUTER
I. Giới thiệu :
- Mật khẩu truy cập là rất hữu ích trong lĩnh vực bảo mật, tuy nhiên đôi khi nó cũng đem lại phiền toái nếu chẳng may bạn quên mất mật khẩu truy nhập.Bài thực hành khôi phục mật khẩu cho Cisco Router này giúp bạn khôi phục lại mật khẩu để đăng nhập vào Router .
Lưu ý: Đặt mật khẩu cho Router có ý nghĩa rất lớn trong khía cạnh security,nó ngăn cản được các phiên Telnet từ xa vào Router để thay đổi cấu hình hay thực hiện những mục đích khác.Bạn nên tránh nhầm lẫn giữa hai khái niệm “bảo mật” và “khôi phục mật khẩu”,bạn có thể khôi phục hay thay đổi được mật khẩu của Router không có nghĩa là mức độ bảo mật của Router không cao vì để khôi phục mật khẩu cho Router, điều kiện tiên quyết là bạn phải thao tác trực tiếp trên Router, điều này có nghĩa là bạn phải được sự chấp nhận của Admin hay kỹ thuật viên quản lý Router.
Trong đồ hình trên PC nối với router bằng cáp console
III. Quá trình khởi động của Router :
Khi vừa bật nguồn, Router sẽ kiểm tra phần cứng, sau khi phần cứng đã được kiểm tra hoàn tất, hệ điều hành sẽ được nạp từ Flash, tiếp đó Router sẽ nạp cấu hình trong NVRAM bao gồm tất cả những nội dung đã cấu hình trước cho Router như các thông tin về giao thức, địa chỉ các cổng và cả mật khẩu truy nhập.Vì vậy để Router không kiểm tra mật khẩu khi đăng nhập, bạn phải ngăn không cho Router nạp dữ liệu từ NVRAM.
Mỗi dòng Router có một kỹ thuật khôi phục mật khẩu khác nhau, tuy vậy để khôi phục mật khẩu cho Router bạn phải qua các bước sau:

124
 Bước 1 : Khới động Router,ngăn không cho Router nạp cấu hình trong NVRAM. (bằng cách thay đổi thanh ghi từ 0x2102 sang thanh ghi 0x2142).
 Bước 2 : Reset lại Router (lúc này Router sử dụng thanh 0x2142 để khởi động).
 Bước 3 : Đăng nhập vào Router(lúc này Router không kiểm tra mật khẩu), dùng các lệnh của Router để xem hay cài đặt lại mật khẩu (bạn chỉ xem được mật khẩu khi mật khẩu được cài đặt ở chế độ không mã hóa)
 Bước 4 : Thay đổi thanh ghi (từ 0x2142 sang 0x2102).
 Bước 5 : Lưu lại cấu hình vừa cài đặt (lúc này mật khẩu đã biết).
IV. Khôi phục mật khẩu cho Cisco Router 2500.
- Giả sử khi bạn đăng nhập vào Router nhưng bạn quên mất mật khẩu.
TTG con0 is now available
TTG>enable
Password:
Password:
Password:
% Bad secrets
- Bạn phải thực hiện việc khôi phục mật khẩu. Các bước thực hiện như sau:
• Bước 1 : bạn khởi động lại Router
System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE
Copyright (c) 1986-1995 by cisco Systems
2500 processor with 8192 Kbytes of main memory← ấn Ctrl Break không cho
Router nạp dữ liệu từ NVRAM
Abort at 0x103AA7E (PC)
romon> confreg 0x2142← Sử dụng lệnh này để thay đổi thanh ghi sang 0x2142
• Bước 2 : khởi động lại Router, lúc này Router sẽ nạp cấu hình từ thanh ghi 0x2142 (cấu hình trắng)
TTG>enable ← password sẽ không yêu cầu kiểm tra khi đăng nhập
TTG#show start ← dùng lệnh Show start xem cấu hình trong NVRAM

125
!
version 12.1
!
hostname Router
!
enable secret 5 $1$AqeQ$yB00zFjHxIiVoHLnbLEhh1 ← password secret đã
được mã hoá
enable password cisco ← mật khẩu enable password là cisco
!
end
• Bước 3 : Cấu hình lại mật khẩu cho Router:
TTG#configure terminal
TTG(config)#enable secret TTG ← mật khẩu secret được cấu hình lại là TTG
TTG(config)#exit
TTG#conf igure terminal
TTG(config)#enable password class ← mật khẩu enable password là class
TTG(config)#exit
• Bước 4 : Thay đổi thanh ghi hiện hành từ 0x2142 trở về 0x2102
Dùng lệnh Show version để xem thanh ghi hiện hành
TTG#show verion

126
Image text-base: 0x03042000, data-base: 0x00001000
Configuration register is 0x2142 ← Thanh ghi 0x2142 đang được sử dụng
 Thay đổi thanh ghi:
TTG(config)#config-register 0x2102 ← dùng lệnh config-register
TTG(config)#exit
 Xem lại thanh ghi hiện hành:
TTG#show version
Configuration register is 0x2142 (will be 0x2102 at next reload) ← thanh ghi hiện
hành là 0x2102
• Bước 5 : lưu cấu hình đã thay đổi vào thanh ghi 0x2102
TTG#copy run start
[OK]

127
- Dùng lệnh show start để xem cấu hình khởi động trong NVRAM
TTG#show start
!
version 12.1
!
hostname TTG
!
enable secret 5 $1$49cD$jrvYyRSQhpTAHuDA1/R1v.
enable password class
!
!
!
End
- Sau khi reload lại, đăng nhập vào Router,mật khẩu secret là TTG sẽ được kiểm tra
TTG con0 is now available
TTG>ena
Password: ← mật khẩu là TTG sẽ đươc kiểm tra và chấp nhận
TTG#
V. Phụ lục các lệnh liên quan đến bài lab :

128
Router #show version
Khi bạn sử dụng câu lệnh show version
thì dòng cuối cùng của phần hiển thị sẽ
thông báo cho bạn biết giá trị của
Configuration register.
Router (config)#config-register 0x2102
Thay đổi giá trị của Configuration
Register thành 2102
Rommon 1 > confreg 0x2142
Thay đổi giá trị thanh ghi trong chế độ Rommon thành 2142
Router #reload
Khởi động lại Router
Router #copy runningconfig startup- config
Copy file cấu hình vào NVRAM

129
Lab 14: RECOVERY PASSWORD SWITCH
I. Giới thiệu :
Trong bài lab này chúng ta se thực hiện recovery password của một switch
- Nối cáp console giữa PC với switch. Chúng ta sẽ tiến hành recovery password trên switch 2950 trong bài lab này.
III. Thực hiện :
- Để khảo sát việc recovery password rõ ràng hơn ,chúng ta sẽ cấu hình tên và password cho switch trước khi tiến hành recovery password cho switch
- Chúng ta cấu hình tên và password cho switch như sau :
Switch(config)#hostname TTG
TTG(config)#enable password cisco ← Đặt password cho switch
TTG(config)#enable secret TTG ← Đặt secret password cho switch
- Sau khi cấu hình xong chúng ta lưu vào NVRAM và xem lại cấu hình trong NVRAM đó trước khi tiến hành recovery password cho switch.
TTG#copy run start
Destination filename [startup-config]?

130
TTG#show start
TTG#sh start
version 12.1
hostname TTG
enable secret 5 $1$s22D$vCe6IFIeKLhUPZqgm6QZ6/
enable password cisco
Chúng ta tiến hành recovery password theo cách bước sau :
• Bước 1 : tắt nguồn switch, sau đó giữa nút MODE trên switch 2950 trong lúc bật nguồn lại. Khi màn hình hiện những thông báo sau, ta nhả nút MODE ra.
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA2, RELEASE SOFTWARE (fc1)
Compiled Sun 07-Nov-04 23:14 by antonino
… (một số thông báo được lược bỏ) …
flash_init
load_helper
boot
• Bước 2: Chúng ta nhập flash_init đễ bắt đầu cấu hình cho các file của flash. Nhập câu lệnh dir flash: để xem các file có chứa trong flash. Sau đó chúng ta đổi tên file config.text thành config.bak (vì cấu hình của chúng ta đã lưu phần trước được switch chứa trong file này) bằng câu lệnh sau : rename flash:config.text flash:config.bak Sau đó chúng ta reload lại switch bằng câu lệnh boot
• Bước 3 : Trong quá trình khởi động switch sẽ hỏi :
Continue with the configuration dialog? [yes/no] :
Chúng ta nhập vào NO, để bỏ qua cấu hình này. Sau khi khởi động xong chúng ta vào mode privileged.
Switch>en

131
Switch#
- Sau đó chúng ta chuyển tên file config.bak trong flash thành config.text bằng cách :
Switch#rename flash:config.bak flash:config.text
- Rồi cấu hình NVRam vào RAM bằng câu lệnh sau :
Switch#copy flash:config.text system:running-config
• Bước 4 : gở bỏ tất cả các loại password
TTG#conf t
TTG(config)#no enable password
TTG(config)#no enable secret
• Bước 5 : copy cấu hình từ RAM vào NVRam, rồi reload switch lại.
TTG#copy run start
Destination filename [startup-config]? ↵
[OK]
TTG#reload
IV. Phụ lục một số lệnh liên quan đến bài lab :
Switch: flash_init
Khởi tạo bộ nhớ flash
Switch: dir flash:
Hiển thị nội dung của bộ nhớ flash
Switch: rename flash:config.text flash:config.bak
Thực hiện đổi tên của file cấu hình. Vì file
cấu hình config.text có chứa mật khẩu.
switch: boot
Khởi động lại switch
Switch #rename flash:config.bak
flash:config.text
Đổi lại tên của file cấu hình trở về tên
mặc định.
Switch #copy flash:config.text
system:running-config
Copy file cấu hình trong bộ nhớ flash

132
Switch#copy running-config
startupconfig
Lưu file cấu hình đang chạy vào NVRAM
với mật khẩu mới đã được cấu hình.

133
LAB 15: LAB TỔNG HỢP PHẦN 1
I. Yêu Cầu :
1. Triên khai mô hình kết nối trên Cisco Lab
2. Sử dụng mạng 192.168.X.0/24 để chia subnet các mạng của router ĐN,HN,HCM :
3. Đặt mật khẩu cho line vty,console,enable secrect cho các router là TTG,
4. Sử dụng RIPv2 để định tuyến giữa router ĐN,HN,HCM :
5. Định tuyến các Router để kết nối đến Internet, Internet chỉ dụng Static route :
6. Các PC phải ping được đến các mạng của Internet :
7. Kiểm tra lại thông tin định tuyến bằng các lệnh :
8. Từ PC thử telnet ,ssh lên router và lưu cấu hình
9. Copy cấu hình, IOS từ các router đến lưu trên TFTP Server
II. Mục Tiêu :
- Giúp các học viên nắm rõ lại các kiến thức liên quan đến phần 1 của chương trình CCNA bao gồm các phần : địa chỉ IP, subnet, định tuyến tĩnh và động ( Static Route, RIPv2 ), các loại mật khẩu, sao lưu dự phòng cấu hình, IOS
III. Các Bước Cấu Hình :
1. Triên khai mô hình kết nối trên Cisco Lab
2. Sử dụng mạng 192.168.2.0/24 ( bài lab sử dụng X=2, các nhóm nhớ thay giá trị của X = STT mà giáo viên đã phân )để chia subnet các mạng của router ĐN,HN,HCM :
+Số subnet cần : 5 subnet

134
+Số bit mượn : 3 bit ( tổng cộng có 8 subnet)
+SubnetMask mới: 255.255.255.224
+Bước nhảy : 256 -224 = 32
+Liệt kê subnet IP dùng được
1-192.168.2.0/27 192.168.2.1 --- 192.168.2.30 ( LAN ĐN)
2-192.168.2.32/27 192.168.2.33 --- 192.168.2.62 (LAN HN)
3-192.168.2.64/27 192.168.2.65 --- 192.168.2.94 (LAN HCM)
4-192.168.2.96/27 192.168.2.97 --- 192.168.2.126 (ĐN-HN)
5-192.168.2.128/27 192.168.2.129 --- 192.168.2.158 (HN-HCM)
6-192.168.2.160/27 192.168.2.161 --- 192.168.2.190
7-192.168.2.192/27 192.168.2.193 --- 192.168.2.222
8-192.168.2.224/27 192.168.2.225--- 192.168.2.254
-Tiến hành đặt địa chỉ IP cho các Router,PC
3. Đặt mật khẩu cho line vty,console,enable secrect cho các router là TTG,
bật dịch vụ SSH sử dụng version2 :
-Mật khẩu line vty
Router(config)#line vty 0 4
Router(config-line)#password TTG
-Mật khẩu console
Router(config)#line console 0
Router(config-line)#password TTG
-Secrect password
Router(config)# enable secrect TTG

135
-Bật dịch vụ SSH
Router(config)#hostname DN  Đổi tên mặc định của router
DN(config)#username ttg password 123  Username và mật khẩu chứng thực trong SSH
DN(config)#ip domain-name truongtan.edu.vn  Đặt domain name cho router
DN(config)#crypto key generate rsa  Tạo ra khóa mã hóa dữ liệu trong phiên SSH
The name for the keys will be: DN.truongtan.edu.vn
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
DN(config)#ip ssh version 2
DN(config)#line vty 0 4
DN(config)#transport input ssh Chỉ cho phép SSH đến router
DN(config)#login local  Khi SSH đến router sẽ chứng thực bằng những username và mật khẩu đã tạo ra ở trên
- Lặp lại việc cấu hình các loại mật khẩu và SSH trên 3 router còn lại .
4. Sử dụng RIPv2 để định tuyến giữa router ĐN,HN,HCM :
- Do cả 3 router đều dùng các subnet của cùng network 192.168.2.0/24 nên khi cấu hình RIP cả 3 router đều giống nhau :
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 192.168.2.0
- Do các network được quảng bá trong RIP phải là các default network theo class A,B,C. Ví dụ router DN có 2 subnet cần quảng bá là 192.168.2.0/27 và 192.168.2.96/27 nhưng do 2 subnet này đều thuộc cùng network lớp C 192.168.2.0/24 nên khi cấu hình RIP chỉ cần quảng bá
DN(config-router)#network 192.168.2.0
- Tiến hành kiểm tra lại thông tin định tuyến của các router bằng lệnh :

136
Router#show ip route
Router#show ip protocols
- Từ các PC của HN, HCM, ĐN sử dụng lệnh ping để kiểm tra kết nối nếu không thành công trên các router thử sử dụng lệnh show ip interface brief để kiểm tra lại trạng thái vật lý và địa chỉ ip của các cổng
HN#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.2.33 YES manual up up
FastEthernet0/1 unassigned YES manual administratively down down
Serial0/0/0 192.168.2.97 YES manual up up
Serial0/1/1 unassigned YES manual administratively down down
5. Định tuyến các Router để kết nối đến Internet, Internet chỉ dụng Static route :
-Do đặc điểm các mạng ngoài Internet là rất nhiều không thể định tuyến bằng cách chỉ từng mạng được nên để các PC trong LAN của HCM, HN, ĐN có thể đi đến được tất cả các mạng ở Internet thì trên 3 router ta phải cấu hình thêm default route ( đường đi mặc định) , cụ thể như sau
+ĐN, HCM sẽ cấu hình đường đi mặc định đến HN
DN(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.97
HCM(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.129  Lệnh trên có ý nghĩa là đối với
router HCM,DN những network đích nào không biết thì sẽ được đẩy đến router HN
+ HN sẽ cấu hình đường đi mặc định đến Internet
HN(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1  Lệnh trên có ý nghĩa là đối với
router HN những network đích nào không biết thì sẽ được đẩy đến router Internet
- Còn đối với router Internet sẽ dùng static route đến 5 subnet mà hiện tại nó chưa biết đó là các subnet của các LAN và subnet dùng giữa các router ĐN,HN,HCM, lệnh cấu hình cụ thể như sau:
+ Internet(config)#ip route 192.168.2.0 255.255.255.224 192.168.1.2  next-hop là IP của HN

137
+ Internet(config)#ip route 192.168.2.32 255.255.255.224 192.168.1.2 (HN LAN)
+ Internet(config)#ip route 192.168.2.64 255.255.255.224 192.168.1.2 (DHCM LAN)
+ Internet(config)#ip route 192.168.2.96 255.255.255.224 192.168.1.2 (DN-HN)
+ Internet(config)#ip route 192.168.2.128 255.255.255.224 192.168.1.2 (HCM-HN)
- Nhưng do cả 5 subnet này đều thuộc network 192.168.2.0/24 nên thay vì đánh 5 lệnh route đến 5 subnet ta có thể sử dụng 1 lệnh route đến network chính. Như vậy 5 lệnh route trên có thể thay bằng 1 lệnh route sau :
+ Internet(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2
- Kiểm tra kết nối từ các PC đến các mạng ngoài Internet bằng lệnh ping,tracert
6. Các PC phải ping được đến Web, FTP Server:
- Sử dụng lệnh ping trên tất cả PC để kiểm tra kết nối đến các server tại router Internet, các lệnh ping đều phải thành công.
- Setup Web và FTP server, các bạn có thể tham khảo video tại địa chỉ http://www.mediafire.com/download.php?lhz4njdflyy
- Mở trình duyệt thử kết nối đến Webserver
7. Kiểm tra lại thông tin định tuyến bằng các lệnh :
Ping,Traceroute , Show ip route, Show ip protocols, Debug ip rip
8. Từ PC thử telnet ,ssh lên router,lưu cấu hình copy running-config startup-config
- Từ PC muốn telnet,ssh đển router vào Desktop Command Prompt sử dụng lệnh
telnet <ip của router>  Lệnh telnet sẽ không thành công do hiện tại ta đang dùng SSH
ssh -l <tên username đã tạo trên router> <ip của router>
- Tiến hành lưu cấu hình trên các router bằng lệnh
Router#copy running-config startup-config
Destination filename [startup-config]? <Enter>
9. Lưu cấu hình ,IOS của các router lên TFTP server :
- Trên LAN của ĐN tiến hành kết nối thêm 1 TFTP Server có địa chỉ 192.168.2.5 sau đó tiến hành copy cấu hình ( startup-config, running-config) và IOS lưu trên TFTP server

138
DN#copy run tftp
Address or name of remote host []? 192.168.2.5
Destination filename [DN-confg]? <Enter>
DN#copy start tftp
Address or name of remote host []? 192.168.2.5
Destination filename [DN-confg]? <Enter>
- Copy IOS lên lưu trên TFTP server, trước tiên ta phải sử dụng lệnh dir flash: hay show flash: ở mode privilege để xem thông tin về tên file IOS sau đó sử dụng lệnh
DN#copy flash: tftp:
10. Kết thúc bài lab,sử dụng lệnh erase startup-config để xóa cầu hình và reload để khởi động lại router

139
LAB 16: OSPF (OPEN SHORTEST PATH FIRST)
1. Giới thiệu :
Giao thức OSPF (Open Shortest Path First) thuộc loại link-state routing protocol và được hổ trợ bởi nhiều nhà sản xuất. OSPF sử dụng thuật toán SPF để tính toán ra đường đi ngắn nhất cho một route. Giao thức OSPF có thể được sử dụng cho mạng nhỏ cũng như một mạng lớn. Do các router sử dụng giao thức OSPF sử dụng thuật toán để tính metric cho các route rồi từ đó xây dựng nên đồ hình của mạng nên tốn rất nhiều bộ nhớ cũng như hoạt động của CPU router. Nếu như một mạng quá lớn thì việc này diễn ra rất lâu và tốn rất nhiều bộ nhớ. Để khắc phục tình trạng trên, giao thức OSPF cho phép chia một mạng ra thành nhiều area khác nhau. Các router trong cùng một area trao đổi thông tin với nhau, không trao đổi với các router khác vùng. Vì vậy, việc xây dựng đồ hình của router được giảm đi rất nhiều. Các vùng khác nhau muốn liên kết được với nhau phải nối với area 0 (còn được gọi là backbone) bằng một router biên.
Các router chạy giao thức OSPF giữ liên lạc với nhau bằng cách gửi các gói Hello cho nhau. Nếu router vẫn còn nhận được các gói Hello từ một router kết nối trực tiếp qua một đường kết nối thì nó biêt được rằng đường kết nối và router đầu xa vẫn hoạt động tốt. Nếu như router không nhận được gói hello trong một khoảng thời gian nhất định, được gọi là dead interval, thì router biết rằng router đầu xa đã bị down và khi đó router sẽ chạy thuật toán SPF để tính route mới.
Mỗi router sử dụng giao thức OSPF có một số ID để nhận dạng. Router sẽ sử dụng địa chỉ IP của interface loopback cao nhất (nếu có nhiều loopback) làm ID. Nếu không có loopback nào được cấu hình hình thì router sẽ sử dụng IP cao nhất của các interface vật lý.
OSPF có một số ứu điểm là : thời gian hội tụ nhanh, được hổ trợ bởi nhiều nhà sản xuất, hổ trở VLSM, có thể sử dụng trên một mạng lớn, có tính ổn định cao.
2. Các câu lệnh sử dụng trong bài lab :
• router ospf process-id
Cho phép giao thức OSPF
• network address wildcard-mask area area-id
Quảng bá một mạng thuộc một area nào đó
3. Mô tả bài lab và đồ hình :

140
- Đồ hình bài lab như hình vẽ. Các router được cấu hình các interface loopback 0. Địa chỉ IP của các interface được ghi trên hình. Lưu ý ở đây chúng ta sử dụng subnetmask của các mạng khác nhau.
4. Các bước thực hiện :
- Trước tiên ta cấu hình cho các Router như sau :
Router TTG1
Router>enable
TTG1(config)#interface s1/0

141
TTG1(config)#interface loopback 0
TTG1(config)#
Router TTG2
Router>enable
TTG2(config)# interface s1/1
TTG1(config)#interface E0

142
TTG2(config)#
Router TT3
Router>enable
TTG3(config)#
- Trước khi cấu hình OSPF mọi người cần chú ý đến giá trị WildcasdMask được tính theo các lấy 255.255.255.255 trừ cho giá trị SubnetMask của mạng cần tham gia vào quá trình quảng bá của OSPF. Ví dụ : cần cho mạng 192.168.1.0/24 được quảng bá trong OSPF:
+ Mạng 192.168.1.0/24 có Subnetmask là 255.255.255.0 nên giá trị WildcasdMask là :
255.255.255.255 – 255.255.255.0 = 0.0.0.255
- Sau khi cấu hình interface cho các router, ta tiến hành cấu hình OSPF như sau
Router TTG1:
TTG1(config)#router ospf 10
TTG1(config-router)#network 192.168.1.0 0.0.0.255 area 0
TTG1(config-router)# network 10.0.0.0 0.0.255.255 area 0
Router TTG2 :

143
TTG2(config-router )#network 192.168.1.0 0.0.0.255 area 0
Router TTG3 :
- Ngoài ra chúng ta có thể cấu hình OSPF cho cả ba router theo cách sau:
TTG1(config-router)# network 10.0.0.1 0.0.0.0 area 0
- Sau khi quảng bá các mạng của router xong chúng ta kiểm tra lại bảng định tuyến của các router bằng câu lệnh show ip route
TTG1#sh ip route

144
O 170.1.0.0/16 [110/128] via 192.168.1.2, 01:20:18, Serial1/0
O 15.0.0.0/8 [110/65] via 192.168.1.2, 00:20:18, Serial1/0
C 10.0.0.0 is directly connected, Loopback0
O 11.1.0.1 [110/65] via 192.168.1.2, 01:20:18, Serial1/0
O 12.1.0.1 [110/129] via 192.168.1.2, 01:20:18, Serial1/0
C 192.168.1.0/24 is directly connected, Serial1/0
TTG2#show ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 01:20:38, Serial1/0
C 11.0.0.0/8 is directly connected, Loopback0
O 12.1.0.1 [110/65] via 170.1.0.2, 01:20:38, Serial1/1
TTG3#show ip route
O 10.0.0.1 [110/129] via 170.1.0.1, 00:00:20, Serial1/0

145
O 11.1.0.1 [110/65] via 170.1.0.1, 00:00:20, Serial1/0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:00:20, Serial1/0
O 15.0.0.0/8 [110/65] via 192.168.1.2, 00:00:20, Serial1/0
Nhận xét : các router đã biết được tất cả các mạng trong đồ hình của chúng ta. Các route router biết được nhờ giao thức OSPF được đánh O ở đầu route. Trong kết quả trên các route đó được in đậm.
- Bây giờ chúng ta sẽ kiểm tra lại xem các mạng có thể liên lạc được với nhau hay chưa bằng cách lần lượt đứng trên từng router và ping đến các mạng không nối trực tiếp với nó.
TTG3#ping 11.1.0.1
!!!!!
TTG3#ping 10.0.0.1
!!!!!
- Các bạn làm tương tự cho các mạng khác để kiểm tra, và chắc chắn sẽ ping thấy!
 Cấu hình OSPF nhiều Area :
- Chúng ta sẽ khảo sát cách cấu hình các mạng được phân bố trong nhiều area khác nhau trong mục này.
- Trước hết, chúng ta khảo sát nếu cấu hình cho mạng 12.1.0.0/30 và interface S0 của TTG3 trong cùng area 1 còn các mạng khác vẫn trong area 0 thì toàn mạng của chúng ta có thể liên lạc được hay không ?
- Do phần trên chúng ta đã cấu hình OSPF cho cùng một vùng. Nên bây giờ chúng ta chỉ cần gở bỏ cấu hình OSPF cho router TTG3 và cấu hình lại cho nó như yêu cầu của câu hỏi đặt ra.

146
- Cách thực hiện như sau :
TTG3(config-router)#no network 170.1.0.0 0.0.255.255 area 0 ← gở bỏ cấu hình
cấu hình OSPF cũ
TTG3(config-router)#no network 12.1.0.0 0.0.0.3 area 0
TTG3(config-router)#network 170.1.0.0 0.0.255.255 area 1 ←Cấu hình cho interface S0 router TTG3 thuộc area 1
TTG3(config-router)#network 12.1.0.0 0.0.0.3 area 1 ← Cấu hình mạng 12.1.0.0/30 thuộc area 1
- Sau khi cấu hình xong chúng ta kiểm tra lại bảng định tuyến của các router :
TTG1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:00:53, Serial1/0
O 11.1.0.1 [110/65] via 192.168.1.2, 00:00:53, Serial1/0
O 15.0.0.0/8 [110/65] via 192.168.1.2, 00:00:53, Serial1/0
TTG2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 00:00:43, Serial1/0

147
TTG3#sh ip route
Nhận xét : router TTG1 và TTG2 biết được các mạng của nhau nhưng không biết được mạng của router TTG3. Ngược lại router TTG3, không biết được các mạng của router TTG1 và TTG2. Điều này chứng tỏ, các router trong cùng một area chỉ biết được các mạng trong area đó, các mạng trong area khác thì router không biết. (Trường hợp, router TTG1 thấy được mạng 170.1.0.0/16 là do router TTG2 quảng bá mạng đó thuộc area 0)
- Để liên kết được các mạng trong cùng các area khác nhau chúng ta phải có một router biên nối area đó về area 0 (backbone). Router này có một interface thuộc area đó và một interface thuộc area 0.
- Trong trường hợp bài lab, chúng ta có hai cách để giải quyết vấn đề này. Cách thứ nhất là cấu hình cho mạng của interface S0 của router TTG3 thuộc area 0. Lúc này, router TTG3 đóng vai trò là một router biên. Cách thứ hai là cấu hình cho mạng của interface S1 router TTG2 thuộc area 1, lúc này router TTG2 đóng vai trò là router biên.
- Chúng ta sẽ khảo sát cách 1 (cấu hình cho mạng interface S0 của TTG3 thuộc area0). Cách 2 được thực hiện tương tự

148
Cách cấu hình :
TTG3(config-router)#no network 170.1.0.0 0.0.255.255 area 1
- Sau khi cấu hình xong, chúng ta kiểm tra lại bảng định tuyến của các router :
• TTG1#show ip route
O 11.1.0.1 [110/65] via 192.168.1.2, 00:40:12, Serial1/0
O IA 12.1.0.1 [110/129] via 192.168.1.2, 00:38:16, Serial1/0
O 15.0.0.0/8 [110/65] via 192.168.1.2, 00:40:12, Serial1/0
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:40:12, Serial1/0

149
O 10.0.0.1 [110/65] via 192.168.1.1, 00:03:40, Serial1/0
O IA 12.1.0.1 [110/65] via 170.1.0.2, 00:02:06, Serial1/1
C 15.0.0.0/8 is directly connected, Ethernet0
O 10.0.0.1 [110/129] via 170.1.0.1, 00:06:27, Serial1/0
O 11.1.0.1 [110/65] via 170.1.0.1, 00:06:27, Serial1/0
O 15.0.0.0/8 [110/65] via 170.1.0.1, 00:06:27, Serial1/0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:06:27, Serial1/0
Nhận xét : các router đã thấy được các mạng của các router khác. Như vậy toàn mạng đã liên lạc được với nhau. Chúng ta có thể kiểm tra bằng cách ping đến từng mạng.
4.Cấu hình quá trình chứng thực trong OSPF :
- Các router mặc nhiên tin rằng những thông tin định tuyến mà nó nhận được là do đúng router tin cậy phát ra và những thông tin này không bị can thiệp dọc đường đi. Để đảm bảo điều này, các router trong một vùng cần được cấu hình để thực hiện chứng thực với nhau.

150
- Một một cổng OSPF trên router cần có một chìa khóa chứng thực để sử dụng khi gửi các thông tin OSPF cho các router khác cùng kết nối với cổng đó. Chìa khóa này sử dụng để tạo ra dữ liệu chứng thực (Authenticationg data) đặt trong phần header của gói OSPF. Mật mã này có thể dài đến 8 ký tự. Bạn cấu hình chứng thực như sau :
Router(config-if)#ip ospf authentication-key password
Router(config-if)#ip ospf authentication
Hoặc
Router(config-router)#area area-id authentication
Các lệnh thực hiện trong bài lab :
Router TTG1
TTG1>enable
TTG1(config-if)#ip ospf authentication-key plaint
TTG1(config-if)#ip ospf authentication
TTG1(config)#
Router TTG2
TTG2>enable
TTG2(config-if)#ip ospf authentication-key plaint
TTG2(config-if)#ip ospf authentication-key plaintpas

151
TTG2(config)#
Router TTG3
TTG3)enable
TTG3(config-if)#ip ospf authentication-key plaintpas
TTG3(config)#
- Cơ chế chứng thực PlainText không được an toàn do mật khẩu không được mã hóa trước khi gởi ra bên ngoài nên để an toàn hơn ta nên chuyển qua chế độ chứng thực bằng MD5, cách cấu hình như sau
Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key
Router(config-if)#ip ospf authentication message-digest
Hoặc
Router(config-router)#area area-id authentication message-digest
- Để chuyển qua chứng thực MD5 trước tiên ta cần bỏ chế độ chứng thực PlainText hiện tại trên các Router TTG1,2,3
TTG1(config-if)#no ip ospf authentication-key plaint
TTG1(config-if)#no ip ospf authentication
Tương tự cho các router còn lại
- Chuyển qua cấu hình chứng thực MD5
Router TTG1
TTG1>enable

152
TTG1(config-if)#ip ospf message-digest-key 1 md5 keymd5 mật khẩu
TTG1(config-if)#ip ospf authentication message-digest  cấu hình phương thức chứng
thực là MD5
TTG1(config)#
Router TTG2 :
TTG2>enable
TTG2(config-if)#ip ospf message-digest-key 1 md5 keymd51
TTG2(config-if)#ip ospf authentication message-digest
TTG2(config-if)# ip ospf message-digest-key 1 md5 keymd52
TTG2(config)#
Router TTG3
TTG3>enable
TTG3(config-if)# ip ospf message-digest-key 1 md5 keymd52

153
TTG3(config)#
- Các câu lệnh show dùng để kiểm tra cấu hình OSPF :
IV. Phụ lục một số lệnh liên quan đến bài lab :
Lệnh
Giải thích
Show ip protocol
Hiển thị các thông tin về thông số thời gian, thông số định tuyến, mạng định tuyến và nhiều thông tin khác của tất cả các giao thức định tuyến đang hoạt động trên router
Show ip route
Hiển thị bảng định tuyến của router, trong đó là danh sách các đường đi tốt nhất đến các mạng đích của bản thân router và cho biết router học được các đường đi này bằng cách nào.
Show ip ospf interface
Lệnh này cho biết cổng của router đã được cấu hình đúng với vùng của nó hay không. Nếu cổng loopback không được cấu hình thì ghi địa chỉ IP của cổng vật lý có giá trị lớn nhất sẽ được chọn làm router ID. Lệnh này cũng hiển thị các thông số của khoảng thời gian hello và khoảng thời gian bất động trên cổng đó, đồng thời cho biết các router láng giềng thân mật kết nối vào cổng.
Show ip ospf
Lệnh này cho biết số lần đã sử dụng thuật toán SPF, đồng thời cho biết khoảng thời gian cập nhật khi mạng không có gì thay đổi.
Show ip ospf neighbor detail
Liệt kê chi tiết các láng giềng, giá trị ưu tiên của chúng và trạng thái của chúng.
Show ip ospf database
Hiển thị nội dung của cơ sở dữ liệu về cấu trúc hệ thống mạng trên router, đồng thời cho biết router ID, ID của tiến trình OSPF.
- Các lệnh clear và debug dùng để kiểm tra hoạt động của OSPF
Lệnh
Giải thích
Clear ip route *
Xóa toàn bộ bảng định tuyến

154
Clear ip route a.b.c.d
Xóa đường a.b.c.d trong bảng định tuyến
Debug ip ospf events
Báo cáo mọi sự kiện của OSPF
Debug ip ospf adj
Báo cáo mọi sự kiện về hoạt động quan hệ thân mật của OSPF

155
LAB 17: EIGRP (ENHANCED INTERIOR GATEWAY ROUTING PROTOCOL)
1. Mô tả bài lab và đồ hình :
- Các PC nối với router bằng cáp chéo, hai router được nối với nhau bằng cáp serial. Địa chỉ IP của các interface và PC như hình vẽ.
- Trong bài lab này chúng ta sẽ tiến hành cấu hình giao thức EIGRP cho các router.
- EIGRP là giao thứ hỗ trợ VLSM, metric của EIGRP được tính mặc định dựa vào băng thông và độ trể
2. Cấu hình :
Chúng ta cấu hình cho các router TTG1 và TTG2 như sau :
• Router TTG1
Router>enable
TTG1(config)#interface S0

156
• Router TTG2
Router>enable
TTG2(config)#interface S0
TTG2(config)#
Sau khi cấu hình xong địa chỉ IP cho các interface của router TTG1, TTG2 chúng ta tiến hành cấu hình EIGRP cho các router như sau:
TTG1(config)#router eigrp 100 ← 100 là số Autonomus –system
TTG1(config-router)#network 10.1.0.0 0.0.255.255 ← quảng bá mạng 10.1.0.0/16
TTG1(config-router)#network 192.168.0.0 ← quảng bá mạng 192.168.0.0/24
TTG2(config)#router eigrp 100
TTG2(config-router)#network 11.0.0.0 0.0.255.255

157
Đặt IP cho các PC:
PC 1 PC 2
IP address : 10.1.0.2 IP address : 11.1.0.2
Subnet Mask : 255.255.0.0 Subnet Mask : 255.255.0.0
Gateway : 10.1.0.1 Gateway : 11.1.0.1
Bây giờ chúng ta tiến hành kiểm tra các kết nối trong mạng bằng cách :
PC1#ping 11.1.0.2
!!!!!
Chúng ta sử dụng câu lệnh show ip route để kiểm tra bảng định tuyến của hai router
TTG2#show ip route
D 10.0.0.0/8 [90/2195456] via 192.168.0.1, 00:11:35, Serial0
C 11.1.0.0/16 is directly connected, Ethernet0
Trong bảng định tuyến của router TTG2 đã có các route đến mạng của TTG1, và TTG1 ping thành công đến loopback của TTG2.
3. Cấu hình summary và chứng thực EIGRP :

158
Router TTG1
Router>enable

159
TTG1(config)#
Router TTG2
Router>enable
TTG2(config)#
Chúng ta cấu hình EIGRP cho các router như sau :

160
Router TTG1
TTG1(config)#
Router TTG2
TTG2(config)#network 11.0.0.0
TTG2(config)#
Cấu hình summary cho EIGRP :
Mặc định EIGRP bật tính năng auto-summary để tự động summary các subnet của cùng một network về địa chỉ network chính khi quảng bá. Ví dụ như bài Lab, TTG1 kết nối trực tiếp các mạng con 10.0.0.0/16, 10.1.0.0/16, 10.2.0.0/24, 10.3.0.0/16 nhưng khi quảng bá ra s0/0/0 EIGRP sẽ tự động summary lại thành 10.0.0.0/8. Trong hầu hết các trường hợp, việc tự động tổng hợp này có ưu điểm là giúp cho bảng định tuyến ngắn gọn.
Tuy nhiên, trong một số trường hợp không nên sử dụng chế độ tự động tổng hợp đường đi này. Ví dụ trong mạng không liên tục ( discontinuos network ) như mô hình trên thì chế độ này phải tắt đi để tránh gây ra lỗi về định tuyến.
Router(config-router)#no auto-sumary
- Bây giờ chúng ta xét bảng định tuyến của 2 Router sau khi tắt Auto-summary
Bảng định tuyến sau khi tắt Auto-Summary :
Router TTG1
TTG1(config-router)#no auto-summary

161
Router TTG2
TTG2(config-router)#no auto-summary
- Kiểm tra lại bảng định tuyến
TTG1#show ip route
D 11.4.0.0 [90/2297856] via 192.168.1.2, 00:00:06, Serial0/0/0
D 11.5.0.0 [90/2297856] via 192.168.1.2, 00:00:06, Serial0/0/0
D 11.6.0.0 [90/2297856] via 192.168.1.2, 00:00:06, Serial0/0/0
D 11.7.0.0 [90/2297856] via 192.168.1.2, 00:00:06, Serial0/0/0
TTG2#show ip route
D 10.0.0.0 [90/2297856] via 192.168.1.1, 00:00:22, Serial0/0/0
D 10.1.0.0 [90/2297856] via 192.168.1.1, 00:00:22, Serial0/0/0

162
D 10.2.0.0 [90/2297856] via 192.168.1.1, 00:00:22, Serial0/0/0
D 10.3.0.0 [90/2297856] via 192.168.1.1, 00:00:22, Serial0/0/0
- Với EIGRP, khi tắt auto-summary ta có thể chuyển sang sử dụng kỹ thuật summary bằng tay ( manual summary ) để làm gọn bảng định tuyến. Sau khi khai báo địa chỉ tổng hợp cho một cổng của router, router sẽ quảng bá ra cổng đó các địa chỉ được tổng hợp như một câu lệnh đã cài đặt. Địa chỉ tổng hợp được khi báo bằng câu lệnh như sau:
Router(config-if)#ip summary-address eigrp autonomous-system-number ip address Mask administrative-distance
- Cấu hình manual summary trên 2 router và kiểm tra lại bảng định tuyến
Router TTG1 :
TTG1(config-if)#ip summary-address eigrp 10 10.0.0.0 255.252.0.0
TTG1(config)#
Router TTG2 :
TTG2(config-if)# ip summary-address eigrp 10 11.4.0.0 255.252.0.0
TTG2(config)#
- Kiểm tra lại bảng định tuyến sau khi manual summary
TTG1#show ip route

163
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
D 10.0.0.0/14 is a summary, 00:01:50, Null0
D 11.4.0.0/12 [90/2297856] via 192.168.1.2, 00:00:21, Serial0/0/0
TTG2#show ip route
D 10.0.0.0/14 [90/2297856] via 192.168.1.1, 00:00:57, Serial0/0/0
11.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
D 11.0.0.0/14 is a summary, 00:01:00, Null0
Cấu hình chứng thực cho 2 router trong bài Lab :
EIGRP (Enhanced Interior Gateway Routing Protocol), là giao thức Distance Vector độc quyền, và chỉ chạy trên các thiết bị Cisco. Cấu hình chứng thực khi trao đổi thông tin định tuyến là yếu tố quan trọng giúp bảo vệ hệ thống khỏi sự tấn man in the midle. Cấu hình Authentication được thực hiện trên từng Interface tham gia vào quá trình trao đổi thông tin định tuyến, thường là các đường Serial nối giữa các Router. Sau khi Enalbe EIGRP trên các Router, ta cần xác định các cổng cần cấu hình Authentication như sau :

164
Các câu lệnh chứng thực trong bài Lab
Router TTG1:
TTG1(config)#interface s0
TTG1(config-if)#ip authentication mode eigrp 10 md5
TTG1(config-if)#ip authentication key-chain eigrp 10 truongtan
TTG1(config)#key chain truongtan
TTG1(config-keychain)#key 1
TTG1(config-keychain-key)#key-string ttg
TTG1(config-keychain-key)#accept-lifetime 06:30:00 May 20 2010 06:30:00 May 21 2010
TTG2(config-keychain-key)#send-lifetime 06:30:00 May 20 2010 06:30:00 May 21 2010
TTG1(config-keychain-key)#exit
TTG1(config)#exit
TTG1#copy running-config startup-config
Router TTG2:
TTG2(config)#interface s0
TTG2(config-if)#ip authentication mode eigrp 10 md5
TTG2(config-if)#ip authentication key-chain eigrp 10 truongtangroup
TTG2(config)#key chain truongtangroup
TTG2(config-keychain)#key 1
TTG2(config-keychain-key)#key-string ttgtc
TTG2(config-keychain-key)#accept-lifetime 06:30:00 May 20 2010 06:30:00 May 21 2010
TTG2(config-keychain-key)#send-lifetime 06:30:00 May 20 2010 06:30:00 May 21 2010
TTG2(config-keychain-key)#exit

165
TTG2(config)#exit
- Tiến hành lưu cấu hình trên 2 router
TTG2#copy running-config startup-config
V. Các lệnh liên quan đến bài lab :
Lệnh
Giải thích
Show ip eigrp neighbors
Hiển thị bảng neighbor
Show ip eigrp neighbors
Hiển thị chi tiết bảng neighbor
Show ip eigrp interface s0
Hiển thị thông tin về các interface đang chạy giao thức EIGRP (cụ thể trong bài lab với AS 10)
Show ip eigrp topology
Hiển thị bảng topology
Show ip eigrp trafic
Hiển thị số lượng gói tin và các loại gói tin đã được nhận và gửi
Show ip protocol
Hiển thị các thông tin về thông số thời gian, thông số định tuyến, mạng định tuyến và nhiều thông tin khác của tất cả các giao thức định tuyến đang hoạt động trên router
Show ip route eigrp
Hiển thị bảng định tuyến với các router xử lý bởi EIGRP
Kiểm tra hoạt động của EIGRP :
Lệnh
Giải thích
debug eigrp fsm
Hiển thị các sự kiện và hoạt động có liên quan đến EIGRP feasible successor metrics (FSM)
debug eigrp packet
Hiển thị các sự kiện và hoạt động có liên quan đến các gói tin của EIGRP
debug eigrp neighbor
Hiển thị các sự kiện và các hoạt động có liên quan đến EIGRP neighbors
debug eigrp notifications
Hiển thị các sự kiện cảnh báo của EIGRP

166
LAB 18: VTP, VLAN
I. Mô hình bài Lab :
II. Các bước thực hiện :
1. Cấu hình VTP trên các Switch :
- SW1 :
Switch> enable
Switch(config)#hostname SW1-VTPServer
SW1-VTPServer(config)#vtp domain TTG
SW1-VTPServer(config)#vtp password 123
SW1-VTPServer(config)#vtp version 2

167
SW1-VTPServer(config)#vtp mode server
- SW2 :
Switch> enable
Switch(config)#hostname SW2-VTPClient
SW2-VTPClient(config)#vtp domain TTG
SW2-VTPClient(config)#vtp password 123
SW2-VTPClient(config)#vtp version 2
SW2-VTPClient(config)#vtp mode client
- SW3 :
Switch> enable
Switch(config)#hostname SW3-VTPClient
SW3-VTPClient(config)#vtp domain TTG
SW3-VTPClient(config)#vtp password 123
SW3-VTPClient(config)#vtp version 2
SW3-VTPClient(config)#vtp mode client
2. Cấu hình Trunking giữa các Switch :
- SW1 :
SW1-VTPServer(config)#interface g1/1
SW1-VTPServer(config-if)#switchport mode trunk
SW1-VTPServer(config-if)#exit
SW1-VTPServer(config)#interface g1/2
SW1-VTPServer(config-if)#switchport mode trunk
SW1-VTPServer(config-if)#exit

168
- SW2 :
SW2-VTPClient(config)#interface g1/1
SW2-VTPClient(config-if)#switchport mode trunk
SW2-VTPClient(config-if)#exit
- SW3 :
SW3-VTPClient(config)#interface g1/2
SW3-VTPClient(config-if)#switchport mode trunk
SW3-VTPClient(config-if)#exit
3. Các lệnh kiểm tra cấu hình VTP, Trunking :
- SW1-VTPServer #show vtp password
VTP Password: 123
- SW1-VTPServer#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 255
Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : TTG
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x54 0xC1 0x71 0x3F 0x9B 0x83 0xAF 0x38
Configuration last modified by 0.0.0.0 at 3-1-93 01:44:06
- SW1-VTPServer#show interface trunk

169
Port Mode Encapsulation Status Native vlan
G1/1 on 802.1q trunking 1
G1/2 on 802.1q trunking 1
Port Vlans allowed on trunk
G1/1 1-1005
G1/2 1-1005
Port Vlans allowed and active in management domain
G1/1 1,2,3
G1/2 1,2,3
Port Vlans in spanning tree forwarding state and not pruned
G1/1 1,2,3
G1/2 1,2,3
4. Tạo VLAN trên SW1-VTPServer :
SW1-VTPServer(config)#vlan 2
SW1-VTPServer(config-vlan)#name KinhDoanh
SW1-VTPServer(config-vlan)#exit
SW1-VTPServer(config-vlan)#name KeToan
SW1-VTPServer(config-vlan)#name Giamdoc
SW1-VTPServer(config-vlan)#name IT

170
5. Kiểm tra lại thông tin VLAN trên các Switch VTP client :
- Switch# show vlan brief
- Switch# show vlan
6. Cấu hình các cổng thuộc VLAN theo yêu cầu :
- SW2 :
SW2-VTPClient(config)#interface range fa0/1 – 6
SW2-VTPClient (config-if-range)#switchport access vlan 2
SW2-VTPClient (config-if-range)#exit
- SW3 :

171
7. Tiến hành đặt địa chỉ IP cho các PC theo đúng lớp mạng của mình :
- Kết nối các PC vào đúng các port thuộc VLAN tương ứng trên SW1 và SW2
- Ví dụ trường hợp của VLAN 5, lớp mạng được phân là 192.168.5.0/24 nên IP dùng được là từ 192.168.5.1 đến 192.168.5.254, tương tự cho các VLAN khác
- Lưu cấu hình và kết thúc bài lab
II Một số lệnh liên quan đến bài lab :
1. Tạo VLAN
Switch(config)# vlan 3
Tạo VLAN 3 và chuyển vào chế độ cấu hình VLAN configuration
Switch(config-vlan)# name Engineering
Gán tên cho VLAN. Độ dài của tên vlan có thể từ 1 đến 32 ký tự
Switch(config-vlan)# exit
Những thay đổi về vlan sẽ được thực thi, và giá trị revision number sẽ được tăng thêm 1, và trở về chế độ global configuration
Switch#copy running-config startup-config
Lưu cấu hình VLAN
2. Gán port vào VLAN
Switch(config)# interface fastethernet 0/1
Chuyển cấu hình vào chế độ interface fa0/1
Switch(config-if)# switchport mode access
Cấu hình port fa0/1 hoạt động ở chế độ access
Switch(config-if)# switchport access vlan 10
Gán port Fa0/1 vào vlan 10

172
3. Kiểm tra thông tin VLAN
Switch# show vlan
Hiển thị thông tin vlan
Switch# show vlan brief
Hiển thị thông tin vlan ở dạng tổng quát
Switch# show vlan id 2
Hiển thị thông tin vlan 2
Switch# show vlan name marketing
Hiển thị thông tin vlan có tên là marketing
Switch# show interfaces vlan x
Hiển thị thông tin vlan được chỉ ra trong
câu lệnh.
4. Xóa cấu hình VLAN
Switch# delete flash:vlan.dat
Xóa toàn bộ thông tin vlan database từ
flash
Switch(config)# no vlan 5
Xóa VLAN 5 từ vlan database
5. Cấu hình VLAN Trunking Protocol
Switch(config)# interface fa0/1
interface fa0/1
Switch(config-if)#switchport mode trunk
Cho phép interface fa0/1 hoạt động ở chế
độ trunk cố định và đồng thời tự động
thương lượng để chuyển đổi trạng thái
của đường liên kết thành trạng thái
Trunk
Switch(config-if)#switchport trunk encapsulation isl
Cho phép dữ liệu khi được truyền trên
đường trunk sẽ được đóng gói theo chuẩn
của giao thức ISL ( chuẩn của Cisco )

173
Switch(config-if)#switchport trunk encapsulation dot1q
của giao thức 802.1q
Switch(config-if)#switchport trunk encapsulation negotiate
Cho phép interface sẽ tự động thương
lượng với các interface hàng xóm để sử
dụng chuẩn ISL hoặc 802.1q, phụ thuộc vào từng dòng sản phẩm hoặc cấu hình
trên các interface hàng xóm.
6. VLAN Trunking Protocol (VTP)
Switch(config)# vtp mode client
Thay đổi chế độ hoạt động của switch
thành chế độ VTP client
Switch(config)# vtp mode server
Thay đổi hoạt động của switch thành chế
độ VTP server. Theo mặc định, tất cả các Catalyst switch hoạt động ở chế độ VTP server
Switch(config)# vtp mode transparent
Thay đổi switch về chế độ hoạt động VTP
transparent.
Switch(config)# no vtp mode
Cho phép switch trở về chế độ hoạt động
mặc định là VTP server
Switch(config)# vtp domain domain-
name
Cấu hình tên cho VTP domain. Tên này có thể dài từ 1 đến 32 ký tự. Tất cả các switch hoạt động ở chế độ VTP server hoặc VTP client sẽ phải cùng tên domain
Switch(config)# vtp password password
Cấu hình một VTP password. Trong phiên
bản Cisco IOS 12.3 hoặc các phiên sau
này, thì password ở dạng mã ASCII có độ
dài từ 1 đến 32 ký tự. Nếu bạn sử dụng

174
một phiên bản Cisco IOS cũ hơn, thì
chiều dài của password là từ 8 đến 64 ký
tự.
* Chú ý: để có thể trao đổi thông tin vlan
với các switch khác, thì tất cả các switch
sẽ phải cấu hình cùng một VTP password.
Switch(config)# vtp pruing
Enable tính năng VTP pruning trên
switch.
* Chú ý: Theo mặc định, VTP pruning bị
disable. Bạn cần phải enable VTP pruning
trên một switch duy nhất hoạt động ở
chế độ VTP server.
7. Kiểm tra VTP
Switch# show vtp status
Hiển thị những thông tin cấu hình về VTP
Switch# show vtp counters
Hiển thị bộ đếm VTP của switch.
8. Inter-vlan Routing sử dụng Router
Router(config-if)#interface
fastethernet 0/0.1
Tạo một subinterface fa0/0.1 và đồng
thời chuyển vào chế độ cấu hình của
subinterface đó.
Router(config-subif)#encapsulation
dot1q 10
Gán VLAN 10 cho subinterface này.
Subinterface này sẽ sử dụng giao thức
802.1q Trunking
7. Tạo VLAN
7.1. Sử dụng chế độ VLAN Configuration

175
Switch(config)# vlan 3
Tạo VLAN 3 và chuyển vào chế độ cấu hình VLAN configuration
Switch(config-vlan)# name
Engineering
Gán tên cho VLAN. Độ dài của tên vlan có thể từ 1 đến 32 ký tự
Switch(config-vlan)# exit
Những thay đổi về vlan sẽ được thực thi, và giá trị revision number sẽ được tăng thêm 1, và trở về chế độ global configuration
Switch#copy running-config startup-config
Lưu cấu hình VLAN
7.2. Sử dụng chế độ VLAN database
Switch# vlan database
Chuyển cấu hình vào chế độ VLAN
database
Switch(vlan)# vlan 4 name Sales
Tạo vlan 4 và đặt tên cho Vlan 4 là Sales.
Độ dài tên của vlan có thể từ 1 đến 32 ký
tự.
Switch(vlan)# vlan 10
Tạo Vlan 10 và tên của vlan này sẽ là
VLAN0010 theo mặc định
Switch(vlan)# apply
Những thay đổi về VLAN sẽ được thực thi
và giá trị revision number sẽ tăng thêm 1.
8. Gán port vào VLAN
Switch(config)# interface fastethernet 0/1
Chuyển cấu hình vào chế độ interface fa0/1
Switch(config-if)# switchport mode
access
Cấu hình port fa0/1 hoạt động ở chế độ
access
Switch(config-if)# switchport access
Gán port Fa0/1 vào vlan 10

176
vlan 10
9. Kiểm tra thông tin VLAN
Switch# show vlan
Hiển thị thông tin vlan
Switch# show vlan brief
Hiển thị thông tin vlan ở dạng tổng quát
Switch# show vlan id 2
Hiển thị thông tin vlan 2
Switch# show vlan name marketing
Hiển thị thông tin vlan có tên là marketing
Switch# show interfaces vlan x
Hiển thị thông tin vlan được chỉ ra trong
câu lệnh.
10. Xóa cấu hình VLAN
Switch# delete flash:vlan.dat
Xóa toàn bộ thông tin vlan database từ
flash
Switch(config)# no vlan 5
Xóa VLAN 5 từ vlan database
Hoặc
database
Switch(vlan)# no vlan 5
Xóa vlan 5 từ vlan database
Switch(vlan)# exit
Thực thi những thay đổi, tăng giá trị
revision number nên 1, và thoát khỏi chế
độ VLAN databse.
11. Cấu hình VLAN Trunking Protocol
Switch(config)# interface fa0/1

177
interface fa0/1
Switch(config-if)#switchport mode trunk
Cho phép interface fa0/1 hoạt động ở chế
độ trunk cố định và đồng thời tự động
thương lượng để chuyển đổi trạng thái
của đường liên kết thành trạng thái
Trunk
Switch(config-if)#switchport trunk encapsulation isl
của giao thức ISL
Switch(config-if)#switchport trunk encapsulation dot1q
của giao thức 802.1q
Switch(config-if)#switchport trunk encapsulation negotiate
Cho phép interface sẽ tự động thương
lượng với các interface hàng xóm để sử
dụng chuẩn ISL hoặc 802.1q, phụ thuộc vào từng dòng sản phẩm hoặc cấu hình
trên các interface hàng xóm.
12. VLAN Trunking Protocol (VTP)
4.1 Sử dụng chế độ Global Configuration
Switch(config)# vtp mode client
thành chế độ VTP client
Switch(config)# vtp mode server
Thay đổi hoạt động của switch thành chế
độ VTP server. Theo mặc định, tất cả các Catalyst switch hoạt động ở chế độ VTP server

178
Switch(config)# vtp mode transparent
Thay đổi switch về chế độ hoạt động VTP
transparent.
Switch(config)# no vtp mode
Cho phép switch trở về chế độ hoạt động
mặc định là VTP server
Switch(config)# vtp domain domain-
name
Cấu hình tên cho VTP domain. Tên này có thể dài từ 1 đến 32 ký tự. Tất cả các switch hoạt động ở chế độ VTP server hoặc VTP client sẽ phải cùng tên domain
Switch(config)# vtp password password
Cấu hình một VTP password. Trong phiên
bản Cisco IOS 12.3 hoặc các phiên sau
tự.
Switch(config)# vtp pruing
switch.
4.2 Sử dụng chế độ VLAN Database

179
database
Switch(vlan)# vtp client
thành VTP client
Switch(vlan)# vtp server
thành VTP server
Switch(vlan)# vtp transparent
thành VTP transparent.
* Chú ý: Theo mặc định, tất cả các Catalyst switch hoạt động ở chế độ VTP server
Switch(vlan)#vtp domain domain-
name
Cấu hình tên cho VTP domain. Tên này có thể dài từ 1 đến 32 ký tự.
* Chú ý: tất cả các switch hoạt động ở
chế độ VTP server hoặc VTP client sẽ phải
cùng tên domain.
Switch(vlan)#vtp password password
Cấu hình một VTP password. Trong phiên bản Cisco IOS 12.3 hoặc các phiên sau
tự
Switch(vlan)#vtp pruning
switch.

180
Switch(vlan)#exit
Thực thi những thay đổi vào VLAN
database, đồng thời tăng giá trị revision
number lên 1, và thoát khỏi chế độ VLAN
database.
5. Kiểm tra VTP
Switch# show vtp status
Hiển thị những thông tin cấu hình về VTP
Switch# show vtp counters
Hiển thị bộ đếm VTP của switch.
6. Inter-vlan Routing sử dụng Router
Router(config-if)#interface
fastethernet 0/0.1
Tạo một subinterface fa0/0.1 và đồng
thời chuyển vào chế độ cấu hình của
subinterface đó.
Router(config-subif)#encapsulation
dot1q 10
Gán VLAN 10 cho subinterface này.
Subinterface này sẽ sử dụng giao thức
802.1q Trunking
Router(config-subif)# encapsulation
dot1q 1 native
Gán VLAN 1 cho subinterface này. VLAN 1 sẽ là native vlan. Subinterface này sẽ sử dụng giao thức 802.1q Trunking

181
LAB 19 : VTP, PVST+, PVRST
I. Mô hình bài lab :
II. Các bước cấu hình bài lab:
Bước 1: Bước 2:Cấu hình các loại mật khẩu cho cổng console,vty,mode priviliege
Bước 3 : Cấu hình VTP trên 3 Switch
Bước 4 : Cấu hình Trunking
Bước 5 : Tạo thông tin VLAN theo yêu cầu của bài lab trên VTP server (SW1)
Bước 6 : Gán các cổng trên SW2,SW3 vào các VLAN tương ứng theo yêu cầu
Bước 7 : Cấu hình địa chỉ IP cho các Switch để có thể quản lý từ xa
Bước 8 : SW1 là RootBridge

182
Bước 1: Xóa thông tin VLAN và VTP trên các Switch
- Kiểm tra switch đã có cấu hình hay chưa bằng các lệnh show start-up configure ,show vlan brief nếu có tiến hành xóa thông tin VLAN và cấu hình
Switch#delete vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
- Do thông tin VTP và VLAN nằm ở tập tin vlan.dat ở bộ nhớ Flash: nên lệnh này có tác dụng xóa thông tin VLAN và VTP trên switch
SW1#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Switch#reload
Proceed with reload? [confirm]
System configuration has been modified. Save? [yes/no]: n
Bước 2: Cấu hình mật khẩu cho cổng Console,line vty ,mode privilege
SW1>enable
SW1#config terminal
Enter configuration commands, one
SW1(config)#enable secret cisco

183
- Lặp lại bước 2 cho các switch còn lại và router
Bước 3: Cấu hình VTP trên 3 Switch
- Mặc định các Switch Cisco có cấu hình VTP như sau :
– VTP domain name: None
– VTP mode: Server mode
– VTP pruning: Enabled or disabled (model specific)
– VTP password: Null
– VTP version: Version 1
- Để đồng bộ được thông tin VTP thì đòi hỏi các switch phải giống nhau về VTP Domain, password
SW1:
Switch>enable
Switch#config terminal
SW1(config)#exit
- Xem thông tin VTP trên SW1 trước khi cấu hình bằng lệnh show vtp status
SW1#show vtp status
VTP Version : 2
VTP Domain Name :
VTP V2 Mode : Disabled

184
MD5 digest : 0x57 0xCD 0x40 0x65 0x63 0x59 0x47
Local updater ID is 0.0.0.0 (no valid interface found)
SW1(config)#vtp version 2
SW1(config)#vtp domain TTG
Changing VTP domain name from NULL to TTG
SW1(config)#vtp password cisco
Setting device VLAN database password to cisco
SW1(config)#vtp mode server
Device mode already VTP SERVER.
- Thông tin VTP trên SW1 sau khi cấu hình
SW1#show vtp status
VTP Version : 2
MD5 digest : 0x14 0x8E 0xDA 0xC9 0x0A 0x42 0xAF 0xE7

185
SW1#show vtp password
VTP Password: cisco
SW2:
Switch>enable
Setting device to VTP CLIENT mode.
SW2(config)#vtp mode client
- Kiểm tra lại thông tin VTP trên SW2
SW2#show vtp status
VTP Version : 2
VTP Operating Mode : Client

186
VTP Password: cisco
SW3:
Switch>enable
SW3(config)#vtp mode client
Setting device to VTP CLIENT mode.
SW3#show vtp status
VTP Version : 2

187
VTP Password: cisco
Bước 4: Cấu hình Trunking cho 3 switch SW1,SW2,SW3 và Router
Chú ý: Đối với Switch layer 3 do hổ trợ cả 2 chuẩn 802.1Q và ISL nên trước khi cấu hình Trunking cần thêm lệnh switchport trunk encapsulation dot1q ở mode interface ,Switch layer 2 thì chỉ hỗ trợ 802.1Q nên không cần nhập lệnh trên
- SW1:
SW1(config)#interface fa0/20
SW1(config-if)#switchport trunk encapsulation dot1q //chỉ dùng cho layer3 Switch
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport nonegotiate // vô hiệu hóa chức năng DTP
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport nonegotiate
SW1(config-if)#exit
SW1(config-if)#switchport trunk encapsulation dot1q
- SW2:

188
SW2(config-if)# switchport trunk encapsulation dot1q
- SW3:
- Sử dụng lệnh show interfaces trunk để kiểm tra lại cấu hình Trunking
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/20 1-4094
Fa0/22 1-4094
Fa0/23 1-4094
Port Vlans allowed and active in management domain
Fa0/20 1
Fa0/22 1

189
Fa0/23 1
Port Vlans in spanning tree forwarding state and not pruned
Fa0/20 none
Fa0/22 1
Fa0/23 1
Router:
Router#config terminal
Enter configuration commands, one per line. End with C
Router(config)#interface fa0/0
Router(config-if)#description Gateway cho VLAN1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fa0/0.2
Router(config-subif)#description Gateway cho VLAN2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0

190
Router#show ip interface brief
FastEthernet0/0 192.168.1.1 YES manual up up
FastEthernet0/0.2 192.168.2.1 YES manual up up
FastEthernet0/1 unassigned YES administratively down down
Serial0/1/0 unassigned YES administratively down down
Serial0/1/1 unassigned YES administratively down down
Bước 5: Tạo VLAN trên VTP server ở SW1
- Kiểm tra thông tin VLAN hiện tại trên SW1
SW1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11,Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/24, Gi0/1, Gi0/2
1002 fddi-default act/unsup

191
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup
- Tiến hành tạo VLAN
SW1(config)#vlan 2
SW1(config-vlan)#name Accounting_Network
SW1(config-vlan)#exit
SW1(config)#vlan 3
SW1(config-vlan)#name Engineering_Network
SW1(config)#vlan 4
SW1(config-vlan)#name Markeeting_Network
- Kiểm tra lai thông tin trên SW1,SW2,SW3 sau khi cấu hình để đảm bảo thông tin VLAN và VTP được đồng bộ
SW1#show vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/21
Fa0/24, Gi0/1, Gi0/2
2 Accounting_Network active
3 Engineering_Network active

192
4 Markeeting_Network active
SW1#show vtp status
VTP Version : 2
MD5 digest : 0x23 0x1C 0x6A 0xEB 0x65 0xD2 0xA5 0x51
SW2#show vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16

193
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/23, Fa0/24, Gi0/1
Gi0/2
SW2#show vtp status
VTP Version : 2
SW3#show vtp status
VTP Version : 2

194
SW3#show vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/23, Fa0/24, Gi0/1
Gi0/2

195
Bước 6: Gán các port trên từng Switch vào VLAN tương ứng
- SW1:
SW1(config)#interface range fa0/1 - 5
SW1(config-if-range)#switchport access vlan 2
SW1(config-if-range)#exit
- Lặp lại bước 6 trên các Switch còn lại
- Kiểm tra lại bằng lệnh show vlan trên cả 3 Switch
SW1#show vlan
---- -------------------------------- --------- ------------------------------
Fa0/21, Fa0/24, Gi0/1, Gi0/2
2 Accounting_Network active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5
3 Engineering_Network active Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10
4 Markeeting_Network active Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15

196
Bước 7 : Cấu hình địa chỉ IP cho các Switch để có thể quản lý từ xa
SW1(config)# interface VLAN1
SW1(config-if)#exit
SW1#show ip interface brief
Vlan1 192.168.1.11 YES manual up up
SW2(config-if)#exit
SW3(config-if)#exit

197
- Từ các Switch thử ping đến router
SW1#ping 192.168.1.1
!!!!!
SW1#ping 192.168.2.1
!!!!!
- Sau đó từ router thử telnet đến các Switch
Router#telnet 192.168.1.11
Trying 192.168.1.11 ... Open
Password:
SW1>enable
Password:
SW1#
Bước 8: Cấu hình cho SW1 là RootBrigde
- Tiến hành gắn thêm một đường kết nối giữa SW2 và SW3 như mô hình bên dưới

198
- Cấu hình đường kết nối giữa hai switch SW2 và SW3 là hoạt động ở chế độ Trunk
- SW2:
- SW3:

199
- Kiểm tra SW1 hiện tại có phải là rootbridge chưa bằn lệnh show spanning-tree
SW1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee (Giao thức chạy mặc định là PVST+)
Root ID Priority 32769 (Roo tBrigdeID)
Address 000a.b8f3.ec40
Cost 19
Port 22 (FastEthernet0/22) (Root Port của SW1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) (Priority mặc định của W1)
Address 0018.192e.ddc0
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Root FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0002
Spanning tree enabled protocol ieee
Root ID Priority 32770
Cost 19

200
Port 22 (FastEthernet0/22)
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Root FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0003
Cost 19
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------

201
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Root FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0004
Cost 19
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Root FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
- Để cấu hình cho SW1 là Root Bridge cho tất cả VLAN ta tiến hành thay đổi Priority của SW1 thành giá trị thấp hơn giá trị mặc định 32768 của các switch khác
Chú ý : Giá trị của Priority phải là bội số của 4096
SW1(config)#spanning-tree vlan 1-4 priority 4096
- Kiểm tra lại thông tin STP sau khi đổi Priority

202
VLAN0001
This bridge is the root
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0002
Aging Time 300

203
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0003
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0004

204
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
- Như chúng ta thấy hiện tại SW1 đã là Root Bridge cho cả 4 VLAN
Bước 9: Kiểm tra lại sự định tuyến giữa các VLAN
- Cấu hình Ip cho các PC như sau :
PC-VLAN1 :
IP : 192.168.1.10
SM : 255.255.255.0
GW : 192.168.1.1 (cổng Fa0/0 trên router TTG1)
Port : Fa0/16
PC-VLAN2 :
IP : 192.168.2.10
SM : 255.255.255.0
GW : 192.168.2.1 (cổng Fa0/0.2 trên router TTG1)
Port : Fa0/1
PC-VLAN3 :

205
IP : 192.168.3.10
SM : 255.255.255.0
Port : Fa0/6
PC-VLAN4 :
IP : 192.168.4.10
SM : 255.255.255.0
Port : Fa0/11
- Từ các PC của VLAN 1,2,3,4 phải ping được nhau ,có thể sử dụng thêm lệnh tracert để kiểm tra đường đi của gói tin từ VLAN này qua VLAN khác

206
Bước 10: Cấu hình PVRST+
Chuyển các Switch qua hoạt động ở mode PVRST+
- SW1:
SW1(config)#spanning-tree mode rapid-pvst
SW1(config)#spanning-tree vlan 1-2 root primary
SW1(config)#spanning-tree vlan 3-4 root secondary
- SW2:
SW2(config)#spanning-tree vlan 1-2 root secondary
SW2(config)#spanning-tree vlan 3-4 root primary

207
- SW1:
- Kiểm tra lại cấu hình PVRST+ trên SW1
VLAN0001
Spanning tree enabled protocol rstp
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0002

208
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0003
Address 000a.b8f3.ee00
Cost 19
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p

209
Fa0/23 Root FWD 19 128.23 P2p
VLAN0004
Cost 19
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.20 P2p
Fa0/22 Desg FWD 19 128.22 P2p
Fa0/23 Root FWD 19 128.23 P2p
- Như vậy hiện tại SW1 đang là Root Bridge cho VLAN 1 và 2
- Tương tự như vậy trên SW2
VLAN0001
Cost 19

210
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/21 Desg FWD 19 128.21 P2p
Fa0/23 Root FWD 19 128.23 P2p
VLAN0002
Cost 19
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/21 Desg FWD 19 128.21 P2p

211
Fa0/23 Root FWD 19 128.23 P2p
VLAN0003
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/6 Desg FWD 19 128.6 P2p
Fa0/21 Desg FWD 19 128.21 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VLAN0004

212
Aging Time 300
---------------- ---- --- --------- -------- --------------------------------
Fa0/21 Desg FWD 19 128.21 P2p
Fa0/23 Desg FWD 19 128.23 P2p
VI. Một số lệnh liên quan đến bài lab :
Enable STP
Switch(config)#spanning-tree vlan 5
Enable giao thức STP trên VLAN 5 của
switch
Switch(config)#no spanning-tree vlan 5
Disable giao thức STP trên VLAN 5 của switch
Cấu hình Root switch
Switch(config)#spanning-tree vlan 5 Root
Sửa đổi switch priority từ giá trị mặc định
là 32768 thành một giá trị thấp hơn để
cho phép switch có thể trở thành một
root switch trong vlan 5
* Chú ý: Nếu tất cả các switch khác đều có khả năng hỗ trợ System ID mở rộng,
thì switch được cấu hình bằng câu lệnh
trên sẽ khởi tạo lại giá trị priority là
24576. Nếu có một số switch có giá trị
priority được cấu hình thấp hơn 24576,
thì switch đó sẽ được gán giá trị priority
là 4096 là giá trị priority thấp nhất trong
số các switch.
Switch sẽ tính toán lại các tham số thời

213
root primary
gian với các giá trị prirority để cho phép
switch đó có thể trở thành root switch
cho VLAN 5.
* Chú ý: Thông thường root switch là
một switch nằm ở mạng backbone hoặc
distribution
root secondary
Switch sẽ thực hiện tính toán lại các
tham số thời gian với giá trị priority để
cho phép switch trở thành root switch
cho VLAN 5 khi mà root switch của VLAN 5 bị lỗi.
Cấu hình Path Cost
Switch(config)#interface
gigabitethernet 0/1
Chuyển cấu hình vào chế độ Interface
gi0/1
Switch(config-if)#spanning-tree cost
100000
Cấu hình giá trị Cost cho interface đang
hoạt động ở chế độ access
Switch(config-if)#spanning-tree vlan 5
cost 1000000
Cấu hình Giá trị Cost của VLAN cho một
interface đang hoạt động ở chế độ Trunk.
Cấu hình Switch Priority của một VLAN
Switch(config)# spanning-tree vlan 5
priority 12288
Cấu hình giá trị switch priority của VLAN
5 là 12288
Kiểm tra STP :
Switch#show spanning-tree
Hiển thị thông tin STP
Switch#show spanning-tree active
Hiển thị thông tin STP duy nhất trên các interface đang hoạt động.

214
Switch#show spanning-tree brief
Hiển thị trạng thái của STP
Switch#show spanning-tree detail
Hiển thị thông tin chi tiết của interface
Switch#show spanning-tree interface
gigabitethernet 0/1
Hiển thị thông tin STP cho interface gi0/1
Switch#show spanning-tree summary
Hiển thị trạng thái tổng quan của một
port
Switch#show spanning-tree summary totals
Hiển thị tổng số dòng của các phiên STP
Switch#show spanning-tree vlan 5
Hiển thị thông tin STP cho VLAN 5

215
LAB 20: Định Tuyến Sử Dụng Switch Layer3
I. Mô hình bài Lab :
II. Các bước thực hiện :
- Cấu hình trunking giữa các Switch
- Etherchannel để tăng băng thông và chia tải từ các Switch Access đến Layer3 Switch
- Sử dụng giao thức VTP để đồng bộ thông tin VLAN giữa các Switch
- Tạo thông tin VLAN trên switch VTP Server gồm 4 VLAN:
+VLAN 2 : Kế Toán sử dụng lớp mạng 192.168.2.0
+VLAN 3 : Kinh Doanh sử dụng lớp mạng 192.168.3.0
+VLAN 4 : Giám Đốc sử dụng lớp mạng 192.168.4.0
+VLAN 5 : IT sử dụng lớp mạng 192.168.5.0
- Trên các Switch Access lần lượt có các cổng thuộc VLAN như sau :
+fa0/5 đến fa0/9 thuộc VLAN 2

216
- Đảm bảo Layer3 Switch là RootBrdge trong STP
- Sử dụng các Layer3 Switch để định tuyến giữa các VLAN
- Định tuyến giữa Layer3 Switch và Router
1. Cấu hình trunking giữa các Switch
- Layer3SW:
Switch(config)#hostname Layer3SW
Layer3SW(config)#interface range fa0/1 - 4
Layer3SW(config-if-range)#switchport mode trunk
- AccessSW1:
Switch(config)#hostname AccessSW1
AccessSW1(config)#interface range fa0/1 - 2
AccessSW1(config-if-range)#switchport mode trunk
- AccessSW2:
Switch(config)#hostname AccessSW2
AccessSW2(config-if-range)#switchport mode trunk
2.Sử dụng Etherchannel để tăng băng thông và chia tải từ các Switch Access đến Layer3 Switch
- Layer3SW:
Layer3SW(config)#interface port-channel 1
Layer3SW(config-if)#exit
Layer3SW(config)#interface range fa0/1 – 2
Layer3SW(config-if-range)#channel-group 1 mode active

217
Layer3SW(config)#interface range fa0/3 – 4
- AccessSW1:
AccessSW1(config)#interface port-channel 1
AccessSW1(config-if)#exit
AccessSW1(config)#interface range fa0/1 – 2
AccessSW1(config-if-range)#channel-group 1 mode active
- AccessSW2:
AccessSW2(config)#interface port-channel 2
AccessSW2(config-if)#exit
AccessSW2(config-if-range)#channel-group 2 mode active
3. Sử dụng giao thức VTP để đồng bộ thông tin VLAN giữa các Switch:
- Layer3SW:
Layer3SW(config)#vtp domain TTG
Layer3SW(config)#vtp password 123
Layer3SW(config)#vtp mode server
- AccessSW1:
AccessSW1(config)#vtp domain TTG
AccessSW1(config)#vtp password 123
AccessSW1(config)#vtp mode client
- AccessSW2:

218
AccessSW2(config)#vtp domain TTG
AccessSW2(config)#vtp password 123
AccessSW2(config)#vtp mode client
4. Tạo thông tin VLAN trên switch VTP Server gồm 4 VLAN:
+VLAN 2 : Kế Toán sử dụng lớp mạng 192.168.2.0
+VLAN 3 : Kinh Doanh sử dụng lớp mạng 192.168.3.0
+VLAN 4 : Giám Đốc sử dụng lớp mạng 192.168.4.0
+VLAN 5 : IT sử dụng lớp mạng 192.168.5.0
Do chúng ta đang sử dụng giao thức VTP để đồng bộ thông tin VLAN cho toàn bộ Switch trong hệ thống nên để tạo thông tin VLAN bắt buộc phải làm trên Switch VTP Server trong trường hợp này Layer3SW
- Layer3SW :
Layer3SW(config)#vlan 2
Layer3SW(config-vlan)#name KeToan
Layer3SW(config-vlan)#exit
Layer3SW(config-vlan)#name KinhDoanh
Layer3SW(config-vlan)#name GiamDoc
Layer3SW(config-vlan)#name IT
Sau đó kiểm tra lại việc đồng bộ thông tin VLAN trên các AccessSW1 và AccessSW2 bằng lệnh show vlan brief để đảm bảo chắc chắn có thông tin về các VLAN mới tạo ở trên
5. Trên các Switch Access lần lượt có các cổng thuộc VLAN như sau :

219
- AccessSW1:
AccessSW1(config-if-range)#switchport access vlan 2
AccessSW1(config-if-range)#exit
- AccessSW2:
6. Đảm bảo Layer3 Switch là RootBrdge trong STP:

220
Layer3SW(config)#spanning-tree vlan 1-5 root primary
7. Sử dụng các Layer3 Switch để định tuyến giữa các VLAN:
Để định tuyến giữa các VLAN trên switch Layer3 ta sẽ đặt địa chỉ cho các interface VLAN 2,3,4,5 và dùng các interface này để làm gateway cho các PC bên dưới (các interface VLAN gọi là SVI: Switch Virtual Interface)
-Bật tính năng định tuyến
Layer3SW(config)#ip routing
-Đặt địa chỉ Ip cho các interface VLAN theo lớp mạng tương ứng đã phân ở trên, cụ thể như sau:
Layer3SW(config)#interface vlan 2
Layer3SW(config-if)#ip address 192.168.2.1 255.255.255.0
Layer3SW(config-if)#no shutdown
-Đặt địa chỉ Ip cho các PC để kiểm tra việc định tuyến giữa các VLAN đã thành công hay chưa:
PCVLAN2 :

221
Ip Address : 192.168.2.10
Subnet Mask: 255.255.255.0
Gateway : 192.168.2.1
PCVLAN3 :
Ip Address : 192.168.3.10
Subnet Mask: 255.255.255.0
Gateway : 192.168.3.1
PCVLAN4 :
Ip Address : 192.168.4.10
Subnet Mask: 255.255.255.0
Gateway : 192.168.4.1
PCVLAN5 :
Ip Address : 192.168.5.10
Subnet Mask: 255.255.255.0
Gateway : 192.168.5.1
- Sau đó từ các PC sử dụng lệnh Ping để kiểm tra quá trình định tuyến thành công hay không, kết quả các PC phải Ping được lẫn nhau
8.Định tuyến giữa Layer3 Switch và Router:
- Layer3SW:
Layer3SW(config)#interface fa0/5
Layer3SW(config-if)#no switchport
- Cấu hình giao thức định tuyến RIPv2
Layer3SW(config)#router rip

222
Layer3SW(config-router)#version 2
Layer3SW(config-router)#network 192.168.2.0
- Router DNG :
Router(config)#hostname DNG
DNG(config)#interface fa0/0
DNG(config-if)#ip address 192.168.6.2 255.255.255.0
DNG(config-if)#no shutdown
DNG(config-if)#exit
DNG(config)#router rip
DNG(config-router)#version 2
DNG(config-router)#network 192.168.6.0
- Kiểm tra bảng định tuyến của Router và Layer3Switch sử dụng lệnh show ip route
Một số lệnh liên quan đến bài Lab :
1. Cấu hình Port Channel
Layer3SW(config)#interface range fa0/1 - 4
Chuyển cấu hình vào chế độ interface
fa0/1 – 4 Layer3SW(config-if-range)#switchport mode trunk
Cấu hình dải interface này sẽ hoạt động
ở chế độ trunk.
Layer3SW (config-if)#switchport trunk
encapsulation dot1q
Cấu hình giao thức 802.1q sẽ được sử
dụng để đóng gói dữ liệu trên đường
trunk.

223
Tạo ra một channel logical interface
Layer3SW (config)#interface range
fastethernet 0/1 – 2
Chuyển cấu hình vào chế độ interface.
Tạo một Channel Group là 1 và đồng thời
gán hai interface fa0/1 và fa0/2 trở
thành thành viên của Channel Group
này.
2. Định tuyến giữa Layer3 Switch
Layer3SW(config)#ip routing
Bật tính năng định tuyến trên Switch Layer 3

224
STANDARD ACCESS LIST
I. Giới thiệu:
- Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực security là Access List. Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
- Access List có 2 loại là Standard Access List và Extended Access List.
+ Standard Access List: đậy là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập,Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn(Source Address)
+ Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại Standard,các yếu tố về địa chỉ nguồn, địa chỉ đích,giao thức,port..sẽ được kiểm tra trước khi Router cho phép việc truy nhập hay ngăn cản.
- Bài Lab này giúp bạn thực hiện việc cấu hình Standard Access List cho Cisco Router với mục đích ngăn không cho host truy cập đến router TTG2, ( X là số thứ tự của nhóm do giảng viên phân )
III. Cấu hình router :

225
- Router TTG1 :
Router> enable
TTG1(config-if)#ip address 10.X.0.1 255.255.255.0
- Router TTG2
Router> enable
- PC1:
IP Address:10.X.0.2

226
Gate way : 10.X.0.1
- PC2:
IP Address:11.X.0.2
Gate way : 11.X.0.1
- Bạn thực hiện việc định tuyến cho các Router như sau(Dùng giao thức RIP):
- Bạn thực hiện kiểm tra quá trình định tuyến:
TTG2#ping 192.168.1.1
!!!!!
TTG2#ping 11.X.0.1
!!!!!
TTG2#ping 11.X.0.2

227
!!!!!
- Sau quá trình định tuyến,kiểm tra chắc chắn rằng mạng đã được thông,bạn thực hiện việc tạo Access List Standard để ngăn không cho PC1 ping vào TTG2.
- Bạn thực hiện tạo Access List trên Router TTG2 như sau:
TTG2(config)#access-list 1 deny 11.X.0.2 0.0.0.0
//từ chối sự truy nhập của địa chỉ 11.0.0.2//
- Lúc này bạn thực hiện lệnh Ping từ Host1 đến TTG2
- Bạn thấy lệnh Ping thực hiện vẫn thành công, lý do là bạn chưa mở chế độ Access list trên interface s0/1/0 của router TTG2
TTG1(config-if)#ip access-group 1 in

228
- Sau khi apply access list vào interface s0/1/0, ta ping từ PC1 đến TTG2.
- Bây giờ ta đổi địa chỉ của PC thành 11.X.0.3, và thử ping lại 1 lần nữa.
- Bạn thấy lệnh Ping vẫn không thành cộng, lý do là khi không tìm thấy địa chỉ source (địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực hiện Deny any,vì vậy bạn phải thay đổi mặc định này. Sau đây là lệnh debug ip packet tại TTG2 khi thực hiện lệnh ping trên.

229
TTG1(config)#access-list 1 permit any
- Lúc này bạn thực hiện lại lệnh Ping từ PC1 đến TTG2
- Bạn thấy lệnh Ping đã thành công, đến đây bạn đã cấu hình xong Standard Access List.
Một số lệnh liên quan đến bài lab :
1. Tạo ACL Standard

230
Router(config)#access-list 10 permit
172.16.0.0 0.0.255.255
Tất cả các gói tin có địa chỉ IP nguồn là
172.16.x.x sẽ được phép truyền tiếp.
10 : Chỉ số nằm trong khoảng từ 1 đến 99, hoặc 1300 đến 1999, được sử dụng cho ACL standard.
Router(config)#access-list 10 deny host 172.17.0.1
Tất cả các gói tin có địa chỉ IP nguồn là
172.17.0.1 sẽ được phép truyền tiếp.
Router(config)#access-list 10 permit any
Tất cả các gói tin của tất cả các mạng sẽ
được phép truyền tiếp.
2. Gán ACL Standard cho một interface
Router(config)#interface fastethernet 0/0
fa0/0.
Router(config-if)#ip access-group 10 in
Câu lệnh này được sử dụng để gán ACL
10 vào interface fa0/0. Những gói tin đi
vào router thông qua interface fa0/0 sẽ
được kiểm tra.
Router(config-if)#ip access-group 10 out
Câu lệnh này được sử dụng để gán ACL
10 vào interface fa0/0. Những gói tin đi
ra router thông qua interface fa0/0 sẽ
được kiểm tra.
* Chú ý : Mỗi Interface chỉ được gán 1 chiều in hoặc out
3. Kiểm tra ACL
Router#show ip interface
Hiển thị tất cả các ACL được gán vào
interface.
Router#show access-lists
Hiển thị nội dung của tất cả các ACL trên

231
router.
Router#show access-list access-list-
number
Hiển thị nội dung của ACL có chỉ số được
chỉ ra trong câu lệnh.
Router#show access-list name
Hiển thị nội dung của ACL có tên được chỉ
ra trong câu lệnh.
4. Xóa ACL
Router(config)#no access-list 10
Xóa bỏ ACL có chỉ số là 10.

232
EXTENDED ACCESS LIST
I. Giới thiệu :
-Ở bài trước bạn đã thực hiện việc cấu hình Standard Access List, bài Lab này bạn sẽ tiếp tục tìm hiểu sâu hơn về Extended Access List. Đây là mở rộng của Standard Access List, trong quá trình kiểm tra, Router sẽ kiểm tra các yếu tố về địa chỉ nguồn, đích,giao thức và port…
- Mục đích của bài Lab:Bạn thực hiện cấu hình Extended Access List sao cho PC1 không thể Telnet vào Router TTG2 nhưng vẫn có thể duyệt web qua Router TTG2
- Bạn thực hiện việc cấu hình cho Router và Host như đồ hình trên:
III. Cấu hình router :

233
PC1:
IP Address:10.X.0.2
Gateway:10.X.0.1
PC2:
IP Address:11.X.0.2
Gateway:11.X.0.1
Router TTG1:
Router> enable
Router TTG2 :
Router> enable

234
-Cấu hình định tuyến cho 2 router bằng OSPF
Router TTG1 :
TTG1(config-router)#network 10.X.0.0 0.255.255.255 area 0
Router TTG2 :
TTG1(config-router)#network 11.X.0.0 0.255.255.255 area 0
- Bạn thực hiện lệnh Ping để kiểm tra quá trình định tuyến.Sau khi chắc chắn rằng quá trình định tuyến đã thành công.
- Tại Router TTG2 bạn thực hiện câu lệnh:
TTG2(config)#ip http server //Câu lệnh này dùng để giả một http server trên Router//
- Tạo username và password dùng để chứng thực cho Web Server
TTG2(config)#username TTG2 password cisco
- Lúc này Router sẽ đóng vai trò như một Web Server
- Sau khi quá trình định tuyến đã thành công,bạn thực hiện các bước Telnet và duyệt Web từ PC1 vào Router TTG2.
- Chú ý :để thành công việc Telnet bạn phải Login cho đường line vty và đặt mật khẩu cho đường này(ở đây là Cisco)

235
TTG2(config-line)#login
TTG2(config-line)#password cisco
Telnet :
Duyệt web :

236
- Bạn nhập vào User Name và Password
User name: TTG2
Password : cisco
- Các bước trên đã thành công,bạn thực hiện việc cấu hình Access list
TTG2(config)#access-list 101 deny tcp 11.X.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
TTG2(config-if)#ip access-group 101 in
- Bạn thực hiện lại việc Telnet như trên,bạn nhận thấy quá trình Telnet không thành công nhưng bước duyệt Web của bạn cũng không thành công.
- Theo yêu cầu bạn chỉ ngăn cấm Telnet nhưng cho phép quá trình duyệt Web
Telnet :

237
Duyệt Web :
- Để thành công bước duyệt Web,bạn thực hiện câu lệnh thay đổi việc Deny any mặc định của Access List.
TTG2(config)#access-list 101 permit ip any any
- Bạn chú ý rằng các câu lệnh trong Access List extended không giống như trong Access List Standard vì trong Access List Extended,Router sẽ kiểm tra cả địa chỉ nguồn,đích,giao thức và port..Permit ip any any có nghĩa là cho phép tất cả các địa chỉ nguồn và đích khác(không tìm thấy trong danh sách Access List) chạy trên nền giao thức IP đi qua.
Lúc này bạn thực hiện lại quá trình duyệt web

238
Bạn nhập vào User Name và Password
User name :TTG2
Password : Cisco
-Đến đây bạn đã thành công việc cấu hình cho Extended Access List,bạn đã thực hiện được yêu cầu tạo Access List cho Router với mục đích ngăn cấm việc Telnet vào Router và cho phép quá trình duyệt Web vào Router.Bạn cũng có thể mở rộng thêm đồ hình với nhiều Router để thực tập việc cấu hình Access List cho Router với những yêu cầu bảo mật khác nhau.
1. Tạo ACL Extended
Router(config)#access-list 110 permit
tcp 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 80
Các gói tin HTTP có địa chỉ IP nguồn là 172.16.0.x sẽ được cho phép truyền đến
mạng đích là 192.168.100.x

239
110 : Chỉ số nằm trong khoảng từ 100 đến 199, hoặc từ 2000 đến 2699 sẽ được sử
dụng để tạo ACL extended IP
Router(config)#access-list 110 deny
tcp any 192.168.100.7 0.0.0.0 eq 23
Các gói tin Telnet có địa chỉ IP nguồn sẽ
bị chặn lại nếu chúng truy cập đến đích
là 192.168.100.7
2. Gán ACL extended cho một interface
Router(config)#interface fastethernet 0/0
fa0/0.
Router(config-if)#ip access-group 110
out
Đồng thời gán ACL 110 vào interface
theo chiều out. Những gói tin đi ra khỏi
interface fa0/0 sẽ được kiểm tra.

241
CẤU HÌNH NAT STATIC
I. Giới thiệu :
Nat (Network Address Translation) là một giao thức dùng để cung cấp sự chuyển đổi IP trong 1 miền để đưa ra một môi trường khác thông qua một IP đã được đăng ký để chuyển đổi thông tin giũa 2 môi trường (either Local or Global) .
Ưu điểm của NAT( Network Nat Translation ) là chuyển đổi các IP adress riêng trong mạng đến IP adress inside được Cung cấp khi đã đăng ký .
Các loại địa chỉ :
• Inside Local : là các địa chỉ bên trong mạng nội bộ ( gateway)
• Inside Global :là các địa chỉ ngoài cổng GATEWAY , đó là địa chỉ Nat đã được đăng ký. Trong bài nay là :172.17.0.1/24
• Outside Global : là các hệ thống mạng bên ngoài các môi trường
Cách thức chuyển đổi một IP public và một IP private sẽ không có hiệu quả khi chúng ta triển khai rộng cho tất cả các host trong mạng, bởi vì khi làm như vậy ta sẽ không có đủ địa chỉ để cung cấp. Nat tĩnh thường được áp dụng khi ta sử dụng địa chỉ public làm WebServer hay FTP Server,v.v.
- Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ IP của các interface và PC được cho trên hình vẽ
- Trong bài lab này, router TTG2 được cấu hình như một ISP, router TTG1 đươc cấu hình như một Gateway, mục tiêu bài lab là cấu hình Static NAT cho PC1 sao cho khi chạy ra khỏi TTG1 sẽ được chuyển thành 172.17.0.1
- Sauk hi Static NAT PC2 muốn kết nối đến PC1 phải thông qua địa chỉ 172.17.0.1
III. Cấu hình :
- Chúng ta cấu hình cho các router như sau :

242
Router TTG2 :
Router#conf igure terminal
TTG2(config)#enable password cisco
TTG2 (config)#hostname TTG2
TTG2config)#interface s0/1/0
TTG2 (config-if)#ip address 192.168.0.2 255.255.255.0
TTG2 (config-if)# no shutdown
TTG2 (config-if)#clock rate 64000
TTG2 (config)#interface fa0/1
TTG2 (config-if)#ip address 11.1.0.1 255.255.255.0
TTG2 (config-if)#no shutdown
Router TTG1 :
TTG1(configure-if)#clockrate 64000
TTG1(config)#ip nat outside ← cấu hình interface S0/1/0là interface outside
TTG1(config-if)#ip nat intside ← Cấu hình interface Fa0/0 là interface inside
- Chúng ta tiến hành cấu hình Static NAT cho TTG1 bằng câu lệnh :
TTG1(config)#ip nat inside source static 10.1.0.2 172.17.0.1
Câu lệnh trên có ý nghĩa là : các gói tin xuất phát từ PC1 khi qua router ( vào từ interface Fa0/1) TTG1 ra ngoài( ra khỏi interface S0/1/0) sẽ được đổi địa chỉ IP source từ 10.1.0.2 thành địa chỉ 172.17.0.1 (đây là địa chỉ đã được đăng ký với ISP)
- Chúng ta tiến hành đặt Static Route cho 2 Router TTG2 và TTG1.

243
- Địa chỉ 172.17.0.1 là Address đã được đăng ký. Trên thực tế ISP chỉ route xuống user bằng địa chỉ đã đăng ký này.
- Để kiểm tra việc NAT của router TTG1 như thế nào chúng ta sử dụng câu lệnh sau:
TTG1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 172.17.0.1 10.1.0.2 --- ---
- Để kiểm tra router TTG1 chuyển đổi địa chỉ như thế nào chúng ta sử dụng câu lệnh debug ip nat trên router TTG1 và và ping từ PC1 đến địa chỉ 11.1.0.1

244
- Từ ngoài ISP ( TTG2 ) muốn ping vào PC1 hay các server bên trong mạng LAN của khách hàng bằng cách ping vào địa chỉ publish đang được NAT trên TTG1 vì bên ngoài internet chỉ kết nối được đến IP này
- Như vậy ở bên ngoài muốn tương tác được với Server ở bên trong phải truy cập vào địa chỉ IP là 172.17.0.1

245
1. Cấu hình Nat static
Router (config)#ip nat inside source static 172.16.10.5 64.64.64.65
Thực hiện chuyển đổi cố định địa chỉ IP bên trong 172.16.10.5 thành một địa
chỉ IP Public 64.64.64.65. Bạn sẽ phải sử dụng câu lệnh cho mỗi một địa chỉ
IP Private mà bạn muốn ánh xạ tĩnh với một địa chỉ IP Public.
Router (config-if)#ip nat inside
Định nghĩa ra những interface có vai trò
là interface inside
Router (config-if)#ip nat outside
Định nghĩa interface có vai trò là outside.
2. Kiểm tra cấu hình NAT
Router#show ip nat translations
Hiển thị bảng chuyển đổi
Router#show ip nat statistics
Hiển thị những thông tin của NAT.
Router#clear ip nat translations*
Xóa toàn bộ bảng chuyển đổi trước khi
thông tin đó bị time out.
3. Xử lý lỗi với cấu hình NAT
Router#debug ip nat
Hiển thị thông tin về những gói tin đã
được chuyển đổi.

246
CẤU HÌNH NAT OVERLOAD (PAT)
I. Giới thiệu :
NAT (Network Address Translation) dùng để chuyển đổi các private address thành địa chỉ public address. Các gói tin từ mạng nội bộ của user gửi ra ngoài, khi đến router biên địa chỉ IP source sẽ được chuyển đổi thành địa chỉ public mà user đã đăng ký với ISP. Điều này cho phép các gói tin từ mạng nội bộ có thể được gửi ra mạng ngoài (Internet).
NAT có các loại : NAT static, NAT pool, NAT overload.
NAT static cho phép chuyển đổi một địa chỉ nội bộ thành một địa chỉ public.
NAT pool cho phép chuyển đổi các địa chỉ nội bộ thành một trong dãy địa chỉ public.
NAT overload cho phép chuyển đổi các địa chỉ nội bộ thành một địa chỉ public
Trong kỹ thuật NAT overload, router sẽ sử dụng thêm các port cho các địa chỉ khi chuyển đổi.
II. Các câu lệnh sử dụng trong bài lab :
• ip nat {inside | outside}
Cấu hình interface là inside hay outside
• ip nat inside source {list {access−list−number | name} pool name [overload] | static local−ip global−ip}
Cho phép chuyển địa chỉ nội bộ thành địa chỉ public
• ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length} [type rotary]
Tạo NAT pool
• show ip nat translations
Xem các thông tin về NAT
• debug ip nat
Xem hoạt động của NAT

247
- Đồ hình bài lab như hình trên. Router TTG1 được cấu hình inteface loopback 0, loopback 1, loopback 2. Router TTG2 được cấu hình interface loopback 0. Hai router được nối với nhau bằng cáp Serial. Ta giả lập 3 lớp mạng lo0, lo1, lo2 là những mạng bên trong, khi các traffic ở bên trong mạng này đi ra ngoài ( ra khỏi S0/1/0) tất cả sẽ được chuyển đổi địa chỉ thành 192.168.1.1
IV. Cấu hình router :
Hai router được cấu hình các interface như sau :
Router TTG1 :
Router>enable
Router(configure)# hostname TTG1
TTG1(configure)# interface Loopback0
TTG1(configure-if)# ip address 10.1.0.1 255.255.0.0
TTG1(configure-if)#exit
TTG1(configure)#interface Serial0/1/0

248
Router TTG2 :
Router>enable
Router(configure)# hostname TTG1
TTG1(configure)#interface Serial0/1/0
- Chúng ta cấu hình NAT trên router TTG1 theo các bước sau :
• Bước 1 : Cấu hình các interface inside và outside
Trong bài lab này, chúng ta cấu hình cho các interface loopback của TTG1 là inside còn interface serial 0 là out side.
TTG1(config-if)#ip nat inside
TTG1(config)#in loopback 1
TTG1(config-if)#interface loopback 2
TTG1(config-if)#interface s0/0/0
TTG1(config-if)#ip nat outside

249
• Bước 2 : Tạo access list cho phép mạng nào được NAT.
Chúng ta cấu hình cho phép mạng 10.1.0.0/16 và mạng 11.1.0.0/16 được cho phép, cấm mạng 12.1.0.0/16
TTG1(config)# access-list 1 deny 12.1.0.0 0.0.255.255
TTG1(config)#access-list 1 permit any
• Bước 3 : Tạo NAT pool cho router TTG1
Cấu hình NAT pool tên TTG1 có địa chỉ từ 172.1.1.1/24 đến 172.1.1.5/24
TTG1(config)#ip nat pool TTG1 172.1.1.1 172.1.1.5 netmask 255.255.255.0
• Bước 4 : Cấu hình NAT cho router
TTG1(config)#ip nat inside source list 1 pool TTG1 overload
Câu lệnh trên cấu hình overload cho NAT pool
• Bước 5 : Định tuyến cho router
Lưu ý : đối với router TTG2, nếu ta định tuyến theo dạng :
thì chúng ta có thể ping thấy được các mạng ở trong router TTG1 (10.1.0.0/16, 11.1.0.0/16). Nhưng thực tế, ISP chỉ định tuyến xuống cho user bằng địa chỉ mà user đã đăng ký (Inside global address).
• Bước 6 : Kiểm tra hoạt động của NAT
Chúng ta sẽ kiểm tra NAT bằng câu lệnh debug ip nat
TTG1#debug ip nat
IP NAT debugging is on
- Sau khi bật debug NAT, chúng ta sẽ ping đến loopback0 của TTG2 từ loopback0 của TTG1. Ta giả lập traffic từ host 10.1.0.1 đến mạng 13.1.0.1. Lúc này khi traffic của 10.1.0.1 qua S0 sẽ chuyển đổi địa chỉ.
TTG1#ping
Protocol [ip]:

250
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
!!!!!
TTG1#
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [190]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [190]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [191]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [191]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [192]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [192]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [193]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [193]

251
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [194]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [194]
- Từ kết quả trên ta thấy được, các gói tin từ mạng 10.1.0.1 đã được đổi source IP thành 171.1.1.1.
- Sử dụng câu lệnh show ip nat translations để xem các thông về NAT
TTG1#show ip nat translations
icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459
icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460
icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461
icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462
icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463
- Các số được in đậm là port NAT sử dụng cho địa chỉ 10.1.0.1.
- Lập lại các bước trên để kiểm tra NAT cho loopback 1, loopback 2 của router TTG1
TTG1#ping
Protocol [ip]:
Repeat count [5]:

252
!!!!!
TTG1#
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [210]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [210]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [211]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [211]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [212]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [212]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [213]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [213]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [214]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [214]
- TTG1#show ip nat translations
icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407
icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408
icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409
icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410
icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411
TTG1#ping

253
Protocol [ip]:
Repeat count [5]:
…..
- Đối với 12.1.0.1, chúng ta không ping ra ngoài được vì mạng 12.1.0.0/16 đã bị cấm trong access list 1.
- Đứng ở router TTG2, chúng ta ping xuống các loopback của router TTG1
TTG2#ping 10.1.0.1
.....
TTG2#ping 11.1.0.1

254
.....
TTG2#ping 12.1.0.1
.....
- Nhận xét : tất cả đều không thành công Nguyên nhân là router TTG2 không có route nào đến các loopback của router TTG1. Trong thực tế, ta cũng có kết quả tương tự do ISP chỉ định tuyến xuống địa chỉ mà user đăng ký, còn các địa chỉ mạng bên trong của user thì không được ISP định tuyến.
1. Cấu hình các interface inside và outside
Router (config)#interface loopback 0
Cấu hình interface loopback 0 là interface inside
Router (config-if)#ip nat inside
Router (config-if)#interface s0/0/0
Cấu hình interface loopback 0 là interface outside
Router (config-if)#ip nat outside
2. Tạo access list cho phép mạng nào được NAT
Router (config)# access-list 1 deny 12.1.0.0 0.0.255.255
Tạo một ACL để cho phép mạng 12.1.0.0/16 có thể được NAT.
Router (config)#access-list 1 permit any
Cấu hình Access-list để cho phép tất cả các mạng còn lại
3. Tạo NAT pool cho router
Router (config)#ip nat pool TTG1 172.1.1.1
Cấu hình NAT pool tên TTG1 có địa chỉ từ

255
172.1.1.5 netmask 255.255.255.0
172.1.1.1/24 đến 172.1.1.5/24
Router (config)#ip nat inside source list 1 pool TTG1 overload
Tạo NAT bằng cách gán list 1 với pool tên là TTG1. Phương pháp Overloading sẽ
được thực thi.
Router (config)#ip nat inside source list 1 interface s0/0/0 overload
Tạo NAT bằng cách gán list 1 dùng chung ip của interface s0/0/0

256
IPv6 Lab
- Trên cả 4 router sử dụng lệnh sau đển enable IPv6 stack
Router(config)# ipv6 unicast-routing
1.Cấu hình thông tin IPv6 cho từng Router
INTERNET:
Internet(config)#interface s0/1/1
Internet(config-if)#ipv6 address 2001:db8:1:6::2/64
Internet(config)#interface loopback 1
Internet(config-if)#ipv6 address 2001:db8:1:7::/64 eui-64
HN:

257
HN(config-if)#interface s0/2/1
HN(config-if)#ipv6 address 2001:db8:1:6::1/64
HN(config)#interface s0/1/1
HN(config)#interface loopback 1
HN(config-if)#ipv6 address 2001:db8:1:2::/64 eui-64
DN:
DN(config)#interface s0/1/1
DN(config-if)#ipv6 address 2001:db8:1:4::2/64
DN(config)#interface loopback 1
DN(config-if)#ipv6 address 2001:db8:1:1::/64 eui-64
HCM:
HCM(config)#interface s0/1/1
HCM(config-if)#ipv6 address 2001:db8:1:5::2/64
HCM(config)#interface loopback 1
HCM(config-if)#ipv6 address 2001:db8:1:3::/64 eui-64
2.Kiểm tra lại cấu hình ipv6 trên 4 router:
Sử dụng các lệnh show ipv6 interface,show ipv6 interface brief
HCM#show ipv6 interface brief
FastEthernet0/0 [administratively down/down]
unassigned
FastEthernet0/1 [up/up]
unassigned

258
Serial0/1/0 [administratively down/down]
unassigned
Serial0/1/1 [up/up]
FE80::20A:B8FF:FE21:738C  Link local address, địa chỉ này do router tự động
tạo ra và chỉ sử dụng được trong mạng
2001:DB8:1:5::2  Địa chỉ này do mình khai báo bằng lệnh
ipv6 address
Loopback1 [up/up]
FE80::20A:B8FF:FE21:738C
2001:DB8:1:3:20A:B8FF:FE21:738C  EUI-64 address, 64 bit cuối tự động sinh ra bằng
cách kết hợp với địa chỉ MAC
HCM#show ipv6 interface
IPv6 is enabled, link-local address is FE80::20A:B8FF:FE21:738C
Global unicast address(es):
2001:DB8:1:5::2, subnet is 2001:DB8:1:5::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:2
FF02::1:FF21:738C
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent

259
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
Hosts use stateless autoconfig for addresses.
Loopback1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20A:B8FF:FE21:738C
Global unicast address(es):
2001:DB8:1:3:20A:B8FF:FE21:738C, subnet is 2001:DB8:1:3::/64 [EUI]
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF21:738C
MTU is 1514 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is not supported
ND reachable time is 30000 milliseconds
Hosts use stateless autoconfig for addresses.
3.Sử dụng lệnh Ping để kiểm tra lại đặt ipv6 giữa các router
- Trước khi ping các bạn có thể sử dụng lại lệnh show ipv6 route
HN#ping 2001:db8:1:5::2
Sending 5, 100-byte ICMP Echos to 2001:DB8:1:5::2, timeout is 2 seconds:
!!!!!

260
HN#ping 2001:db8:1:4::2
!!!!!
HN#ping 2001:db8:1:6::2
!!!!!
4.Cấu hình RIPng trên các router:
INTERNET:
Internet(config)#ipv6 router rip TTG
Internet(config)#interface s0/1/1
Internet(config-if)#ipv6 rip TTG enable
Internet(config)#interface loopback 1
Internet(config-if)#ipv6 rip TTG enable
HN:
HN(config)#ipv6 router rip TTG // TTG là rip tag
HN(config-if)#ipv6 rip TTG enable

261
HN(config)#interface loopback 1
DN:
DN(config)#ipv6 router rip TTG
DN(config)#interface s0/1/1
DN(config-if)#ipv6 rip TTG enable
DN(config)#interface loopback 1
DN(config-if)#ipv6 rip TTG enable
HCM:
HCM(config)#ipv6 router rip TTG
HCM(config)#interface s0/1/1
HCM(config-if)#ipv6 rip TTG enable
HCM(config)#interface loopback 1
HCM(config-if)#ipv6 rip TTG enable
5.Sử dụng các lênhh show ipv6 rip và show ipv6 route rip để kiểm tra lại cấu hình RIPng
HN#show ipv6 route
IPv6 Routing Table - 12 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
R 2001:DB8:1:1::/64 [120/2]
via FE80::218:73FF:FE1D:138E, Serial0/1/1

262
C 2001:DB8:1:2::/64 [0/0]
via ::, Loopback1
L 2001:DB8:1:2:218:73FF:FE1C:379E/128 [0/0]
via ::, Loopback1
R 2001:DB8:1:3::/64 [120/2]
via FE80::20A:B8FF:FE21:738C, Serial0/2/0
C 2001:DB8:1:4::/64 [0/0]
via ::, Serial0/1/1
L 2001:DB8:1:4::1/128 [0/0]
via ::, Serial0/1/1
C 2001:DB8:1:5::/64 [0/0]
via ::, Serial0/2/0
L 2001:DB8:1:5::1/128 [0/0]
via ::, Serial0/2/0
C 2001:DB8:1:6::/64 [0/0]
via ::, Serial0/2/1
R 2001:DB8:1:7::/64 [120/2]
via FE80::218:73FF:FE1C:2DCA, Serial0/2/1
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
6.Từ router DN và HCM thử ping đến Internet
DN#ping 2001:db8:1:6::2

263
!!!!!
HCM#ping 2001:db8:1:6::2
!!!!!
1. Gán địa chỉ Ipv6 cho interface
Router(config)#ipv6 unicast-routing
Bật tính năng chuyển tiếp các gói tin
Ipv6 unicast ở chế độ global trên router
Router(config)#interface
fastethernet 0/0
fa0/0
Router(config-if)#ipv6 enable
Tự động cấu hình một địa chỉ Ipv6 link-
local trên interface và cho phép các tiến
trình xử lý Ipv6 trên interface.
* Chú ý: Địa chỉ Link-local được cấu hình
bằng câu lệnh ipv6 enable có thể được
sử dụng duy nhất để giao tiếp với những
máy trên cùng một liên kết.
Router(config-if)#ipv6 address 3000::1/64
Cấu hình một địa chỉ Ipv6 global trên interface và cho phép Ipv6 có thể được
xử lý trên router.
2. Cấu hình RIPng trên các router

264
Router (config)#ipv6 router rip TTG
Tạo một tiến trình định tuyến của RIPng tên là TTG nếu nó chưa thực sự được
tạo, và chuyển vào chế độ cấu hình
router.
Router (config)#interface s0/1/1
Chuyển cấu hình vào chế độ interface.
Router (config-if)#ipv6 rip TTG enable
Tạo một tiến trình xử lý của RIPng là
TTG và cho phép RIPng hoạt động trên
interface
3. Kiểm tra cấu hình IPv6
Router#show ipv6 interface brief
Hiển thị trạng thái tổng quát của những
interface đã được cấu hình cho Ipv6.
Router #show ipv6 interface
Hiển thị trạng thái của các interface đã
được cấu hình cho Ipv6.
Router #show ipv6 rip
Hiển thị thông tin về trạng thái hiện tại
của tiến trình xử lý Ipv6 RIP.
Router #show ipv6 route
Hiển thị bảng định tuyến Ipv6 hiện tại.

265
CẤU HÌNH PPP PAP VÀ CHAP
I. Giới thiệu :
PPP (Point-to-Point Protocol) là giao thức đóng gói được sử dụng để thực hiện kết nối trong mạng WAN. PPP bao gồm LCP (Link Control Protocol) và NCP (Network Control Protocol). LCP được dùng để thiết lập kết nối point-to-point, NCP dùng để cấu hình cho các giao thức lớp mạng khác nhau.
PPP có thể được cấu hình trên các interface vật lý sau :
Asynchronous serial : cồng serial bất đồng bộ
Synchronous serial : cổng serial đồng bộ
High-Speed Serial Interface (HSSI) : cổng serial tốc độ cao
Integrated Services Digital Network (ISDN)
Quá trình tạo session của PPP gồm ba giai đoạn (phase):
Link-establishment phase
Authentication phase (tùy chọn)
Network layer protocol phase
Tùy chọn xác nhận (authentication) giúp cho việc quản lý mạng dễ dàng hơn. PPP sử dụng hai cách xác nhận là PAP (Password Authentication Protocol) và CHAP (Challenge Handshake Authentication Protocol).
PAP là dạng xác nhận two-way handshake. Sau khi tạo liên kết node đầu xa sẽ gửi usename và password lặp đi lặp lại cho đến khi nhận được thông báo chấp nhận hoặc từ chối. Password trong PAP được gửi đi ở dạng clear text (không mã hóa).
CHAP là dạng xác nhận three-way handshake. Sau khi tạo liên kết, router sẽ gửi thông điệp “challenge” cho router đầu xa. Router đầu xa sẽ gửi lại một giá trị được tính toán dựa trên password và thông điệp “challenge” cho router. Khi nhận được giá trị này, router sẽ kiểm tra lại xem có giống với giá trị của nó đã tính hay không. Nếu đúng, thì router xem gủi xác nhận đúng và kết nối được thiết lập; ngược lại, kết nối sẽ bị ngắt ngay lặp tức.
• username name password password
Cấu hình tên và password cho CHAP và PAP. Tên và password này phải giống với router đầu xa.
• encapsulation ppp
Cấu hình cho interface sử dụng giao thức PPP

266
• ppp authentication (chap  chap pap  pap chap  pap)
Cấu hình cho interface sử dụng PAP, CHAP, hoặc cả hai. Trong trường hợp cả hai được sử dụng, giao thức đầu tiên được sử dụng trong quá trình xác nhận; nếu như giao thức đầu bị từ chối hoặc router đầu xa yêu cầu dùng giao thức thứ hai thì giao thức thứ hai được dùng.
• ppp pap sent-username username password password
Cấu hình username và password cho PAP
• debug ppp authentication
Xem trình tự xác nhận của PAP và CHAP
- Đồ hình bài lab như hình vẽ. Hai router được đặt tên là TTG, TTG2 và được nối với nhau bằng cáp serial. Địa chỉ IP của các interface như hình trên.
- Yêu cầu bài Lab :
+ Thay đổi chuẩn đóng gói của 2 router sang PPP
+ Triển khai chứng thực trong PPP bằng PAP
+ Triển khai chứng thực trong PPP bằng CHAP
a) Bước 1 : Đặt tên và địa chỉ cho các interface
Router TTG1 :
Router>enable
TTG1(configure)#interface s0/1/0
TTG1(configure-if)#ip address 192.168.1.1 255.255.255.0
Router TTG2 :
Router>enable

267
TTG2(configure)#interface s0/1/0
TTG2(configure-if)#ip address 192.168.1.2 255.255.255.0
- Chúng ta sẽ kiểm tra trạng thái của các cổng bằng câu lệnh show ip interface brief
TTG2#sh ip interface brief
Fastethernet0/0 unassigned YES unset administratively down down
Serial0/1/1 unassigned YES unset administratively down down
- Cổng serial của router TTG2 đã up. Làm tương tự để kiểm tra trạng thái các cổng của router TTG1.
- Chúng ta sử dụng câu lệnh show interfaces serial để biết được các thông số của interface serial các router
TTG2#sh interfaces serial 0/1/0
Hardware is HD64570
Encapsulation HDLC, loopback not set
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair

268
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Received 15 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 output errors, 0 collisions, 2 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
TTG1#show interface s0/1/0
Hardware is HD64570
Encapsulation HDLC, loopback not set
Last clearing of "show interface" counters 00:11:35

269
Output queue :0/40 (size/max)
- Cả hai cổng serial của hai router đều sử dụng giao thức đóng gói là HDLC và trạng thái của cả hai đều là up
b) Bước 2 : Cấu hình PPP PAP, CHAP
• Cấu hình PPP PAP
Đứng ở router TTG1, chúng ta sẽ cấu hình PPP cho interface serial 0 bằng câu lệnh encapsulation ppp
TTG1(config-if)#encapsulation ppp
- Kiểm tra trạng thái interface serial0/1/0 của router TTG1
TTG1#show ip interface brief
FastEthernet0/0 unassigned YES unset administratively down down
Serial0/1/0 192.168.1.1 YES manual up down
TTG1#show interface s0/1/0

270
Serial0/1/0 is up, line protocol is down
Hardware is HD64570
Encapsulation PPP, loopback not set
LCP REQsent
Closed: IPCP, CDPCP
Output queue :0/40 (size/max)

271
- Nhận xét : interface serial0/1/0 của router TTG1 đã bị down, đồng nghĩa với interface serial 0/1/0 của router TTG2 cũng bị down. Nguyên nhân là hai interface này sử dụng giao thức đóng gói khác nhau. (Interface serial 0 của router TTG1 sử dụng PPP còn TTG2 sử dụng HDLC).
Ví vậy chúng ta phải cấu hình cho interface serial 0 của router TTG2 cũng sử dụng giao thức PPP.
TTG2(config-if)#encapsulation ppp
- Bây giờ chúng ta sẽ kiểm tra trạng thái của các interface
TTG2# interface s0/1/0
Hardware is HD64570
Encapsulation PPP, loopback not set
LCP Open
Open: IPCP, CDPCP
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)

272
- Cả hai interface của hai router đã up trở lại. Do cả hai đã được cấu hình sử dụng cùng giao thức đóng gói là PPP.
- Trước khi cấu hình PAP cho hai interface chúng ta sử dụng câu lệnh debug ppp authentication để xem trình tự trao đổi thông tin của PAP.
TTG2#debug ppp authentication
PPP authentication debugging is on
Chúng ta sẽ cấu hình PAP cho cả hai interface serial 0 như sau :
TTG1(config-if)#ppp authentication pap
TTG1(config-if)#ppp pap sent-username TTG1 password cisco
TTG2(config)# interface s0/1/0
TTG2(config-if)#ppp authentication pap
TTG2(config-if)#ppp pap sent-username TTG2 password cisco
Lưu ý :
- Trong câu lệnh username name password password , name phải trùng với router đầu xa và ngược lại còn password thì phải giống nhau

273
- Còn trong câu lệnh ppp pap sent-username name password password , name và password là của chính router chúng ta cấu hình
- Sau khi chúng ta cấu hình PAP xong trên route TTG2, thì màn hình sẽ xuất hiện trình tự của PAP
00:09:49: Se0 PPP: Phase is AUTHENTICATING, by both
00:09:49: Se0 PAP: O AUTH-REQ id 1 len 18 from "TTG2"
00:09:49: Se0 PAP: I AUTH-REQ id 1 len 18 from "TTG1"
00:09:49: Se0 PAP: Authenticating peer TTG1
00:09:49: Se0 PAP: O AUTH-ACK id 1 len 5
00:09:49: Se0 PAP: I AUTH-ACK id 1 len 5
00:09:50: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0, changed state to up
Ý nghĩa của các thông báo :
Dòng thông báo 1 : PPP thực hiện xác nhận hai chiều
Dòng thông báo 2 : TTG2 gửi yêu cầu xác nhận
Dòng thông báo 3 : Nhận yêu cầu xác nhận từ TTG1
Dòng thông báo 4 : Nhận xác nhận của TTG1
Dòng thông báo 5 : Gửi xác nhận đúng đến TTG1
Dòng thông báo 6 : Nhận xác nhận đúng từ TTG1
Dòng thông báo 7 : Trạng thái của interface được chuyển sang UP
- Như vậy hai interface của router TTG1 và TTG2 đã up. Chúng ta đứng ở router TTG2 ping interface serial 0/1/0 của router TTG1 để kiểm tra.
TTG2#ping 192.168.1.1
!!!!!

274
• Cấu hình PPP CHAP
Trước khi cấu hình PPP CHAP cho hai interface chúng ta gở bỏ PAP ở cả hai router
TTG1(config-if)#no ppp authentication pap
TTG1(config-if)#no ppp pap sent-username TTG1 password cisco
TTG2(config-if)#no ppp authentication pap
TTG2(config-if)#no ppp pap sent-username TTG2 password cisco
- Bây giờ chúng ta sẽ cấu hình CHAP bằng câu lệnh ppp authentication chap
TTG1(config-if)#ppp authentication chap
TTG2(config-if)#ppp authentication chap
Lưu ý : khi cấu hình PPP CHAP chúng ta vẫn phải cấu hình cho interface serial đó sử dụng giao thức đóng gói PPP bằng câu lệnh encapsulation ppp và cũng phải sử dụng câu lệnh username name password password để cấu hình name và password cho giao thức CHAP thực hiện xác nhận. Ở đây, chúng ta không thực hiện lại các câu lệnh đó vì ở bước cấu hình PAP chúng ta đã thực hiện rồi.
Do chúng ta đã sử dụng câu lệnh debug ppp authentication ở router TTG2, nên khi cấu hình CHAP xong ở hai router thì màn hình sẽ hiện thông báo như sau : (console được nối với router TTG2)
00:15:08: Se0 CHAP: O CHALLENGE id 1 len 28 from "TTG2"
00:15:08: Se0 CHAP: I CHALLENGE id 2 len 28 from "TTG1"
00:15:08: Se0 CHAP: O RESPONSE id 2 len 28 from "TTG2"
00:15:08: Se0 CHAP: I RESPONSE id 1 len 28 from "TTG1"
00:15:08: Se0 CHAP: O SUCCESS id 1 len 4
00:15:08: Se0 CHAP: I SUCCESS id 2 len 4
00:15:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up

275
- Ý nghĩa của các câu thông báo :
Dòng thông báo 1 : TTG2 gửi thông báo “challenge” đến router TTG1
Dòng thông báo 2 : TTG2 nhận thông báo “challenge” từ router TTG1
Dòng thông báo 3 : TTG2 gửi response đến router TTG1
Dòng thông báo 4 : TTG2 nhận response từ router TTG1
Dòng thông báo 5 : TTG2 gửi xác nhận thành công đến TTG1
Dòng thông báo 6 : TTG2 nhận xác nhận thành công từ TTG1
Dòng thông báo 7 : Trạng thái của interface serial được chuyển sang UP
- Hai interface serial của router TTG1 và TTG2 đã UP, chúng ta đứng ở router TTG2 ping đến interface serial 0/1/0 của router TTG1 để kiểm tra
TTG2#ping 192.168.1.1
!!!!!
- Nếu như name và password trong câu lệnh username name password password không đúng thì trạng thái của interface sẽ bị down. Do quá trình xác nhận giữa hai interface sẽ sử dụng name và password này. Nếu như không khớp thì kết nối sẽ bị hủy
1. Cấu hình PPP PAP và CHAP
Router(config)#interface serial
0/0/0
Chuyển cấu hình vào chế độ Interface
s0/0/0.
Router(config-if)#encapsulation ppp
Thay đổi giao thức đóng gói dữ liệu từ mặc định là HDLC thành PPP.
Router(config)#username routerb
password cisco
Cấu hình tên và password cho CHAP và PAP. Tên phải trùng với hostname router đầu xa và password này phải giống nhau

276
Router(config-if)#ppp
authentication pap
Bật phương pháp xác thực Password
Authenticaiton Protocol (PAP) duy nhất
authentication chap
Bật phương pháp xác thực Challenge
Handshake Authentication Protocol
(CHAP) duy nhất.
authentication pap chap
Cho phép đường liên kết serial sẽ sử
dụng PAP để xác thực, nhưng CHAP sẽ
được sử dụng nếu PAP bị lỗi hoặc không
xác thực thành công.
Router(config-if)#ppp authentication chap pap
Cho phép đường liên kết serial sẽ sử dụng CHAP để xác thực, nhưng PAP sẽ
được sử dụng nếu PAP bị lỗi hoặc không
xác thực thành công.
2. Kiểm tra cấu hình PAP và CHAP
Router#debug ppp authentication
Hiển thị các gói tin có liên quan đến quá trình xác thực của liên kết PPP.
Router#debug ppp
Hiển thị các lưu lượng có liên quan đến
giao thức PPP

278
CẤU HÌNH FRAME RELAY CĂN BẢN
I. Giới thiệu :
Frame Relay là kỹ thuật mở rộng của kỹ thuật ISDN. Frame relay sử dụng kỹ thuât chuyển mạch gói để thiết lập một mạng WAN. Frame Relay tạo ra những đường kết nối ảo để nối các mạng LAN lại với nhau tạo thành một mạng WAN. Mạng Frame Relay sử dụng các switch để kết nối các mạng lại với nhau. Kỹ thuật Frame Relay được sử dụng rộng rãi ngày nay, do có giá thành rẻ hơn rất nhiều so với leased line.
Frame Relay hoạt động ở lớp Data link trong OSI và sử dụng giao thức LAPF (Link Access Procedure for Frame Relay). Frame Relay sử dụng các frame để chuyển dữ liệu qua lại giữa các thiết bị đầu cuối của user (DTE) thông qua các thiết bị DCE của mạng Frame Relay.
Đường kết nối giữa hai DTE thông qua mạng Frame Relay được gọi là một mạch ảo (VC : Virtual Circuit). Các VC được thiết lập bằng cách gửi các thông điệp báo hiệu (signaling message) đến mạng; được gọi là switched virtual circuits (SVCs). Nhưng ngày nay, người ta thường sử dụng permanent virtual circuits (PVCs) để tạo kết nối. PVC là các đường kết nối được cấu hình trước bởi các Frame Relay Switch và các thông tin chuyển mạch của gói được lưu trong switch.
Trong Frame Relay, nếu một frame bị lỗi thì sẽ bị hủy ngay mà không có một thông báo nào.
Các router nối với mạng Frame Relay có thể có nhiều đường kết nối ảo đến nhiều mạng khác nhau. Do đó, Frame Relay giúp chúng ta tiết kiệm rất nhiều vì không cần các mạng phải liên kết trực tiếp với nhau.
Các đường kết nối ảo (VC) có các DLCI (Data Link Channel Identifier) của riêng nó. DLCI được chứa trong các frame khi nó được chuyển đi trong mạng Frame Relay.
Trong Frame Relay, người ta thường sử dụng mạng hình sao để kết nối các mạng LAN với nhau hình thành một mạng WAN (được gọi là hub and spoke topology)

279
trong đồ hình này, mạng trung tâm được gọi là hub, các mạng remote1, remote2, remote3, remote4 và remote5 được gọi là spoke. Mỗi spoke nối với hub bằng một đường kết nối ảo (VC). Trong đồ hình trên nếu ta muốn các spoke có thể liên lạc được với nhau thì chỉ cần tạo ra các VC giữa các spoke với nhau. Đồ hình này giúp ta tạo ra một mạng WAN có giá thành rẻ hơn rất nhiều so với sử dụng leased line, do các mạng chỉ cần một đường nối với mạng Frame Relay.
Frame Relay sử dụng split horizon để chống lặp. Split horizon không cho phép routing update trả ngược về interface gửi. Vì trong frame relay, chúng ta có thể tạo nhiều đường PVC trên một interface vật lý, do đó sẽ bị lặp nếu không có split horizon.
Trong mạng WAN sử dụng leased line, các DTE được nối trực tiếp với nhau nhưng trong mạng sử dụng Frame Relay, các DTE được nối với nhau thông qua một mạng Frame Relay gồm nhiều Switch. Do đó chúng ta phải map địa chỉ lớp mạng Frame Relay với địa chỉ IP của DTE đầu xa. Chúng ta có thể map bằng cách sử dụng các câu lệnh. Nhưng việc này có thể được thực hiện tự động bằng LMI và Inverse ARP. LMI (Local Management Interface) được trao đổi giữa DTE và DCE (Frame Relay switch), được dùng để kiểm tra hoạt động và thông báo tình trạng của VC, điều khiển luồng, và cung cấp số DLCI cho DTE. LMI có nhiều loại là : cisco (chuẩn riêng của Cisco), ansi (theo chuẩn ANSI Annex D) và q933a (theo chuẩn ITU q933 Annex A). Khi router mới được nối với mạng Frame Relay, router sẽ gửi LMI đến mạng để hỏi tình trạng. Sau đó mạng sẽ gửi lại router một thông điệp LMI với các thông số của đường VC đã được cấu hình. Khi router muốn map một VC với địa chỉ lớp mạng, router sẽ gửi thông điệp Inverse ARP bao gồm địa chỉ lớp mạng (IP) của router trên đường VC đó đến với DTE đầu xa. DTE đầu xa sẽ gửi lại một Inverse ARP bao gồm địa chỉ lớp mạng của nó, từ đó router map địa chỉ này với số DLCI của VC.
• encapsulation frame−relay [cisco | ietf]
Cấu hình giao thức đóng gói Frame Relay cho interface. Router hổ trợ hai loại đóng gói Frame Relay là Cisco và ietf.

280
• frame−relay intf−type [dce | dte | nni]
Cấu hình cho loại Frame Relay switch cho interface. Sử dụng cho router đóng vai trò là một frame relay switch.
• frame−relay lmi−type {ansi | cisco | q933a}
Cấu hình loại LMI sử dụng cho router
• frame−relay route in−dlci out−interface out−dlci
Tạo PVC giữa các interface trên router đóng vai trò là một frame relay switch
• frame−relay switching
Cấu hình cho router hoạt động như một frame relay switch
• show frame−relay pvc [type number [dlci]]
Xem thông số của các đường PVC được cấu hình trêm router
• show frame−relay route
Xem tình trạng cũng như thông số đã được cấu hình cho các đường PVC. Câu lệnh này được sử dụng cho router đóng vai trò là frame relay switch
• show frame−relay map
Xem các thông số về map giữa DLCI đầu gần với IP đầu xa
• show frame−relay lmi [type number]
Xem các thông số của LMI giữa router với Frame relay switch.
Đồ hình bài lab như hình trên. Router FrameSwitch được cấu hình là một frame relay switch. Hai đầu cáp serial nối với router FrameSwitch là DCE.
Router TTG1 và TTG2 sử dụng giao thức RIP.
- Chúng ta cấu hình cho các interface của router TTG1 và TTG2 như sau :

281
Router TTG1 :
Router>enable
TTG1(config)#interface Loopback0
TTG1(config-if)#interface Serial0/1/0
TTG1(config-router)# network 192.168.1.0
Router TTG2 :
Router>enable
TTG2(config)#interface Loopback0
TTG2(config-if)#interface Serial0/1/0

282
- Chúng ta tiến hành cấu hình frame realy cho hai router TTG1 và TTG2
TTG1(config)#interfae s0/1/0
TTG1(config-if)#encapsulation frame-relay ← Sử dụng giao thức đóng gói
Frame Relay cho interface S0/1/0
TTG1(config-if)#frame-relay lmi-type ansi ← Cấu hình kiểu của LMI là ANSI
TTG2(config-if)#encapsulation frame-relay
TTG2(config-if)#frame-relay lmi-type ansi
- Sau khi cấu hình frame relay cho router TTG1 và TTG2, chúng ta sẽ cấu hình cho router FrameSwitch trở thành một frame relay switch như sau :
FrameSwitch(config)#frame-relay switching ← Cấu hình cho router trở thành một Frame Relay Switch
FrameSwitch(config)#interface s0/1/0
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce ← Cấu hình interface serial 0
là Frame Relay DCE
FrameSwitch(config-if)#clock rate 64000 ← Cung cấp xung clock 64000 bps
FrameSwitch(config-if)#frame-relay route 102 interface s0/1/1 201
FrameSwitch(config-if)#no shutdown
FrameSwitch(config)#in s0/1/1
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce

283
FrameSwitch(config-if)#clock rate 64000
FrameSwitch(config-if)#frame-relay route 201 interface s0/1/0 102
FrameSwitch(config-if)#no shutdown
- Câu lệnh frame-relay route 102 interface s0/1/1 201 có ý nghĩa : bất kỳ một frame relay traffic nào có DLCI là 102 đến interface serial0/1/0 của router sẽ được gửi ra interface serial0/1/1 với DLCI là 201. Tương tự cho câu lệnh frame-relay route 201 interface s0/1/0 102 : bất kỳ frame relay traffic nào có DCLI là 201 đến interface serial0/1/1 sẽ được gửi ra serial0/1/0 với DLCI là 102. Hai câu lệnh trên được sử dụng để tạo ra một PVC giữa S0/1/0 và S0/1/1.
- Để kiểm tra xem router FrameSwitch có hoạt động như một frame relay switch hay chưa chúng ta sử dụng câu lệnh show frame-relay pvc
FrameSwitch#show frame-relay pvc
PVC Statistics for interface Serial0/1/0 (Frame Relay DCE)
Active Inactive Deleted Static
Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0
DLCI=102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0
input pkts 3 output pkts 3 in bytes 186
out bytes 166 dropped pkts 1 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0 Num Pkts Switched 3
pvc create time 00:01:04, last time pvc status changed 00:00:40
PVC Statistics for interface Serial1 (Frame Relay DCE)
Local 0 0 0 0
Switched 1 0 0 0

284
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE = Serial0/1/1
DLCI USAGE chỉ cho ta biết hai interface S0/1/0, S0/1/1 hoạt động ở chế độ frame relay switch và đã ACTIVE. Đồng thời thông báo của câu lệnh còn cho ta biết được số gói đã được chuyển mạch qua interface (Num Pkts Switched 3).
- Như vậy, từ kết quả trên ta biết được rằng router FrameSwitch đang hoạt động như một Frame Relay Switch.
- Chúng ta sẽ kiểm tra tình trạng của LMI giữa router FrameSwitch và hai router TTG1, TTG2 bằng câu lệnh show frame lmi
FrameSwitch#show frame lmi
LMI Statistics for interface Serial0/1/0 (Frame Relay DCE) LMI TYPE = ANSI
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Rcvd 20 Num Status msgs Sent 20
Num Update Status Sent 0 Num St Enq. Timeouts 0
LMI Statistics for interface Serial0/1/1 (Frame Relay DCE) LMI TYPE = ANSI

285
Num Status Enq. Rcvd 16 Num Status msgs Sent 16
Num Update Status Sent 0 Num St Enq. Timeouts 0
- Câu lệnh cho ta biết được thông tin của tất cả các interface của router hoạt động ở chế độ Frame relay. (Ở đây là interface S0/1/0và S0/1/1)
- Bây giờ chúng ta sẽ kiểm tra các frame relay route trên router Frameswitch bằng câu lệnh show frame route
FrameSwitch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
Serial0/1/0 102 Serial0/1/1 201 active
Serial0/1/1 201 Serial0/1/0 102 active
- Kết quả câu lệnh cho chúng ta biết rằng traffic đến interface serial0/1/0 với DLCI 102sẽ được chuyển mạch qua serial0/1/1 với DLCI 201; ngược lại, traffic đến serial0/1/1 với DLCI 201 sẽ được chuyển mạch qua serial0/1/0 với DLCI 102. Đồng thời câu lệnh cũng chỉ ra là cả hai DLCI đều hoạt động.
- Chuyển sang router TTG1, chúng ta sẽ kiểm tra xem DLCI 102 trên interface serial0/0/0 có hoạt động hay chưa bằng cách :
TTG1#sh frame-relay pvc
PVC Statistics for interface Serial0/0/0 (Frame Relay DTE)
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0

286
out bcast pkts 7 out bcast bytes 570
- Nhận xét : Interface serial0/0/0 của router TTG1 hoạt động như một frame relay DTE, và DLCI 102 đã hoạt động.
- Mặc định Cisco sử dụng Inverse ARP để map địa chỉ IP đầu xa của PVC với DLCI của interface đầu gần. Do đó chúng ta không cần phải thực hiện thêm bước này. Để kiểm tra việc này chúng ta sử dụng câu lệnh show frame-relay map
TTG1#sh frame-relay map
Serial0/1/0 (up): ip 192.168.1.2 dlci 102(0xC9,0x3090), dynamic,
broadcast, status defined, active
- Kết quả câu lệnh cho ta biết, DLCI 102 hoạt động trên interface serial0/0/0 và được map với địa chỉ IP 102.168.1.2 của router TTG2, và việc map này là tự động.
- Lặp lại các bước tương tự để kiểm tra cho router TTG2
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0

287
TTG2#show frame-relay map
Serial0/0/0 (up): ip 192.168.1.1 dlci 201(0xC9,0x3090), dynamic,
broadcast,, status defined, active
- Nhận xét : DLCI 201 hoạt động trên interface serial0/0/0 của TTG2 và được map với địa chỉ IP 192.168.1.1
- Bây giờ chúng ta sẽ kiểm tra các mạng có thể liên lạc được với nhau chưa bằng cách lần lượt đứng ở hai router và ping đến các interface loopback của router đầu xa.
TTG1#ping 11.1.0.1
!!!!!
TTG2#ping 10.1.0.1
!!!!!
- Như vậy, các mạng đã có thể liên lạc được với nhau. Và router FrameSwitch đã thực hiện tốt chức năng frame relay switch.
1. Cấu hình giao thức đóng gói của Frame Relay

288
Router(config)#interface serial
0/0/0
s0/0/0.
Router(config-if)#encapsulation
frame-relay
Cho phép sử dụng Frame Relay để đóng
gói dữ liệu với giao thức đóng gói mặc định của cisco.
Router(config-if)#encapsulation
frame-relay ietf
Cho phép sử dụng Frame Relay để đóng
gói dữ liệu với giao thức đóng gói là ietf (RFC 1490). Sử dụng giao thức đóng gói IETF trong trường hợp kết nối đến một router không phải là của Cisco
Router(config-if)#frame-relay
lmitype {ansi | cisco | q933a}
Phụ thuộc vào tùy chọn mà bạn lựa chọn
cấu hình, câu lệnh được sử dụng để cấu
hình loại LMI là chuẩn ANSI, chuẩn Cisco, hoặc chuẩn ITU-T Q.933 Annex A.
Router(config-if)#frame−relay intf−type [dce | dte | nni]
Cấu hình cho loại Frame Relay switch cho interface. Sử dụng cho router đóng vai trò là một frame relay switch.
Router(config-if)#frame−relay route in−dlci out−interface out−dlci
Tạo PVC giữa các interface trên router đóng vai trò là một frame relay switch
Router(config)# frame−relay switching
Cấu hình cho router hoạt động như một frame relay switch
2. Kiểm tra cấu hình Frame Relay
Router#show frame-relay map
Xem các thông số về map giữa DLCI đầu gần với IP đầu xa
Router#show frame−relay lmi [type number]
Xem các thông số của LMI giữa router với Frame relay switch.

289
CẤU HÌNH FRAME RELAY NÂNG CAO
I. Giới thiệu :
- Fame relay hầu như rất phổ biến trong công nghệ WAN .Frame Relay cung cấp nhiều hơn các đặc tính và các lợi nhuận việc kết nối point -to- point WAN .
- Trong môi trường Frame Relay hoạt động để đảm bảo việc kết nối làm việc thì 2 đầu thiết bị bên ngoài Frane Relay phải là Data Terminal Equipment (DTE) và môi trường Frame relay switch bên trong phải là Data Communication Equipmet (DCE) . Subinterface hoạt động giống như lease lines mỗi point-to-point subinterface đòi hỏi phải được các subnet riêng biệt Trong bài thực hành ta sử dụng mô hình Hub và Spoke. Trong đó Router TTG là HUB và các Spoke là router TTG và TTG2.
III. Cấu hình :

290
FR-SWITCHING :
Router>enable
Router(config)#hostname FRSwitch
FRSwitch(config)#interface s0/1/0
FRSwitch(config-if)# encapsulation frame-relay
FRSwitch(config-if)# clockrate 64000
FRSwitch(config-if)#frame-relay intf-type dce
FRSwitch(config-if)# frame-relay route 102 interface Serial0/1/1 201 ← thực hiện route cho các PVC, lệnh này khi thấy DLCI đến S0/1/0 là 102 sẽ đẩy frame này ra S0/1/1 và đổi thành DLCI 201
FRSwitch(config-if)# frame-relay route 103 interface Serial0/2/0 301
FRSwitch(config-if)#exit
FRSwitch(config-if)#encapsulation frame-relay
FRSwitch(config-if)#exit
FRSwitch(config-if)#encapsulation frame-relay
Router TTG1:
Router>enable

291
TTG1(config)#interface Serial0/1/0.102 point-to-point
TTG1(config-if)# frame-relay interface-dlci 102
TTG1(config-if)#frame-relay interface-dlci 103
Router TTG2 :
Router>enable
TTG2(config-if)#interface Loopback0
TTG2(config)#interface Serial0/1/0

292
Router TTG3 :
Router>enable

293
- Chúng kiểm tra route map của các router bằng câu lệnh sau :
Serial0/1/0.103 (up): point-to-point dlci, dlci 103(0x35,0xC50), broadcast
status defined, active
- Sử dụng câu lệnh show frame-relay pvc để kiểm tra các đường PVC
- Chúng ta sử dụng câu lệnh sau để xem thông tin về LMI
TTG1#sh frame-relay lmi
LMI Statistics for interface Serial0/1/0 (Frame Relay DTE) LMI TYPE = ANSI

294
Num Status Enq. Sent 74 Num Status msgs Rcvd 37
Num Update Status Rcvd 0 Num Status Timeouts 37
FRSwitch#show frame-relay pvc
input pkts17 output pkts 16 in bytes 1620
- Đối với lệnh show frame pvc ta cần chú ý các chế độ sau của PVC status :
ACTIVE : Cả 2 đầu của Frame relay PVC ở trạng thái hoạt động

295
INACTIVE : Đầu Frame relay của đầu bên kia của router đang có vấn đề về cấu hình, nhưng tại đầu Frame Relay hiện tại router đã hoạt động tốt.
DELETED : Vấn đề xảy ra với Router hiện tại. LMI chưa hoạt động.
- Bây giờ chúng ta sẽ kiểm tra trạng thái của các cổng:
TTG2#show ip interface brief
Loopback0 192.168.2.1 YES manual up up
Serial0/1/0 unassigned YES unset up up
Serial0/1/0.201 192.168.4.2 YES manual up up
- Chúng ta kiểm tra lại bảng định tuyến của các router:
TTG2#sh ip route
D - IGRP, EX - IGRP external, O - OSPF, IA - OSPF inter area
C 192.168.4.0/24 is directly connected, Serial0/1/0.201
D 192.168.5.0/24 [90/10476] via 192.168.4.1, 00:00:25, Serial0/1/0.201
D 192.168.1.0/24 [90/8976] via 192.168.4.1, 00:00:25, Serial0/1/0.201

296
D 192.168.3.0/24 [90/10976] via 192.168.4.1, 00:00:25, Serial0/1/0.201
TTG2#ping 192.168.4.2
!!!!!
TTG2#ping 192.168.4.1
!!!!!
TTG3#ping 192.168.5.1
!!!!!
- TTG2#ping 192.168.3.1
!!!!!
- Như vậy ta đã hoàn thành việc định tuyến trên mạng Frame Relay
Router (config)#interface Serial0/1/0.102
Tạo một subinterface point-to-point có

297
point-to-point
chỉ số là 103
Router (config-if)# ip address 192.168.4.2 255.255.255.0
Gán địa chỉ IP và subnet mask cho
subinterface.
Router (config-if)# frame-relay interface-dlci 102
Gán một giá trị DLCI cho subinterface này

lab ccna ttg v3

More Related Content

What's hot (20)

Viewers also liked (12)

Similar to lab ccna ttg v3 (20)

Recently uploaded (14)

lab ccna ttg v3