Post on 11-Aug-2015
BÁO CÁO THỰC TẬP
Đề tài:
Cán Bộ Hướng Dẫn: Võ Đỗ Thắng
Giảng Viên Hướng Dẫn: Th.s Mai Xuân Phú
Sinh viên thực hiện: PHAN HỮU LINH
Mã sinh viên: 11033051
Học kì II – Năm học: 2014 – 2015
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ
AN NINH MẠNG QUỐC
TẾ ATHENA
TRƯỜNG ĐẠI HỌC
CÔNG NGHIỆP THÀNH
PHỐ HỒ CHÍ MINH
KHOA CÔNG NGHỆ
THÔNG TIN
NGHIÊN CỨU CƠ CHẾ
ROUTING CỦA CISCO, MÔ
PHỎNG TRÊN NỀN GNS3
TP. Hồ Chí Minh, ngày 07 tháng 06 năm 2015
2
NHẬN XÉT CỦA CƠ QUAN THỰC TẬP
Họ và tên CBHD thực tập: Võ Đỗ Thắng
Cơ quan thực tập: Trung tâm đào tạo quản trị mạng và an ninh mạng quốc tế Athena
Địa chỉ: 92 Nguyễn Đình Chiểu, P. Đakao, Quận 1, TP. Hồ Chí Minh
Điện thoại: 0822103801
Email: tuvan@athena.edu.vn Website: www.athena.edu.vn
Nhận xét báo cáo thực tập của học sinh/sinh viên: Phan Hữu Linh
Lớp: DHTH7C Khoa: Công nghệ thông tin
Tên đề tài thực tập: Nghiên cứu cơ chế routing của Cisco, mô phỏng trên nền GNS3 & Tìm
hiểu và thực hành VPN Site to Site
Thời gian thực tập: Học kì II – năm 2014 – 2015
Nội dung nhận xét:
....................................................................................................................................................
....................................................................................................................................................
....................................................................................................................................................
....................................................................................................................................................
....................................................................................................................................................
....................................................................................................................................................
....................................................................................................................................................
Điểm số: ...........
TP.HCM, ngày … tháng … năm 2015
Cán bộ hướng dẫn
(Ký tên và ghi rõ họ tên)
VÕ ĐỖ THẮNG
3
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
TP.HCM, ngày … tháng … năm 2015
Giảng viên hướng dẫn
(Ký tên và ghi rõ họ tên)
MAI XUÂN PHÚ
4
Lời cảm ơn Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô khoa Công Nghệ Thông
Tin trường Đại học Công nghiệp TP.HCM đã dạy dỗ, truyền đạt những kiến thức quý
báu cho em trong suốt thời gian học tập và rèn luyện tại trường. Em xin cảm ơn thầy
Mai Xuân Phú, người đã nhiệt tình giúp em hoàn thành báo cáo thực tập này.
Em cũng xin chân thành cảm ơn ban lãnh đạo và các anh chị tại trung tâm đào tạo
quản trị mạng và an ninh mạng ATHENA đã tạo điều kiện thuận lợi cho em thực tập tại
trung tâm. Em cũng xin cảm ơn thầy Võ Đỗ Thắng đã hết lòng hướng dẫn, giúp em học
hỏi thêm kinh nghiệm và lấp đầy những kiến thức còn thiếu xót.
Sinh viên thực hiện:
Phan Hữu Linh
6
Lời mở đầu Trong thời đại công nghiệp hóa hiện đại hóa hiện nay, đi cùng với sự phát triển trên
toàn bộ các phương diện xã hội như kinh tế, chính trị, xã hội, khoa học nói chung và các
khối ngành công nghệ, viễn thông nói riêng. Việc ứng dụng các phần mềm giả lập và mô
phỏng nhằm tạo cho người nghiên cứu khả năng nghiên cứu, quan sát cũng như rút ra
nhận xét một cách nhanh gọn và trực quan nhất đã rất phổ biến và đa dạng.
Nhằm để đáp ứng nhu cầu đó, trung tâm đào tạo quản trị mạng và an ninh mạng quốc
tế ATHENA đã đưa ứng dụng chương trình GNS3 mô phỏng và lập trình router Cisco
để người tham gia học tập và nghiên cứu có những hiểu biết cơ bản và ngày càng chuyên
sâu về lập trình định tuyến chuyển mạch, các khái niệm, các mô hình định tuyến thường
gặp trong đời sống thực tế phần nào đó đáp ứng được nhu cầu của người học và tạo nền
tảng tốt cho những nghiên cứu chuyên sâu sau này.
Qua thời gian thực tập tại trung tâm đào tạo quản trị mạng và an ninh mạng quốc tế
ATHENA, em đã nhận được rất nhiều sự chỉ dẫn, giúp đỡ nhiệt tình từ trung tâm. Chính
nhờ điều đó đã giúp em tiến bộ rất nhiều trong quá trình thực tập và hiểu rõ hơn về mô
phỏng GNS3, học hỏi và tiếp thu nhiều kinh nghiệm của những anh chị đi trước.
Qua báo cáo thực tập này, em cũng xin gửi lời cảm ơn chân thành đến toàn thể Ban
lãnh đạo trung tâm ATHENA, đặc biệt là thầy Võ Đỗ Thắng đã giúp em hoàn thành
khóa thực tập này.
Với chỉ khoảng thời gian 2 tháng và kiến thức có hạn của em, sẽ không tránh khỏi
thiếu sót khi nghiên cứu tài liệu và thực hành. Em rất mong sự góp ý giúp đỡ từ các cán
bộ hướng dẫn để hoàn thiện tốt hơn kiến thức và kinh nghiệm của mình.
Một lần nữa xin gửi lời chúc sức khỏe tới toàn thể Ban lãnh đạo, cán bộ nhân viên tại
trung tâm ATHENA, xin chúc cho trung tâm ngày càng phát triển cả về quy mô và lĩnh
vực đào tạo, đáp ứng tốt nhu cầu nghiên cứu, học tập của xã hội.
Xin chân thành cảm ơn!
TP.Hồ Chí Minh, ngày 07 tháng 06 năm 2015
Người viết:
Phan Hữu Linh
7
Mục lục Trung tâm ATHENA ............................................................................................................. 9
1. Giới thiệu trung tâm ATHENA .................................................................................. 9
a. Lĩnh vực hoạt động chính: ...................................................................................... 9
b. Đội ngũ nhân sự: ..................................................................................................... 9
c. Cơ sở vật chất .......................................................................................................... 9
d. Dịch vụ hỗ trợ ....................................................................................................... 10
e. Thông tin và hình ảnh ........................................................................................... 11
Nội dung thực tập ................................................................................................................ 14
1. Tìm hiểu cách giả lập router cisco trên nền GNS3 và cài đặt .................................. 14
a. Giới thiệu phần mềm GNS3 .................................................................................. 14
b. Cài đặt GNS3 ........................................................................................................ 15
2. Tìm hiểu các câu lệnh cấu hình căn bản (các mode dòng lệnh, cách gán IP vào
interface, kiểm tra các thông số IP). .................................................................................. 29
a. Cấu trúc của Router............................................................................................... 29
b. Các mode config ................................................................................................... 30
c. Cấu hình cơ bản .................................................................................................... 31
3. Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động ......................... 33
a. Tổng quan về định tuyến ....................................................................................... 33
b. Định tuyến tĩnh...................................................................................................... 33
c. Định tuyến động .................................................................................................... 33
d. So sánh định tuyến tĩnh và định tuyến động ......................................................... 33
4. Mô hình lab static route ............................................................................................ 35
5. Tìm hiểu về các giao thức định tuyến động ............................................................. 38
a. Giao thức định tuyến động .................................................................................... 38
b. RIP (Routing Information Protocol) ..................................................................... 38
c. OSPF (Open Shortest Path First) .......................................................................... 39
d. EIGRP (Enhanced Internet Gateway Routing Protocol) ...................................... 39
6. Mô hình lab RIPv2 ................................................................................................... 41
7. Mô hình lab OSPF .................................................................................................... 44
8. Mô hình lab EIGRP .................................................................................................. 48
9. Các công cụ filter route ............................................................................................ 52
a. Access List ............................................................................................................ 52
b. Standard Access List ............................................................................................. 52
c. Extended Access List ............................................................................................ 52
10. Mô hình lab Access List ....................................................................................... 53
8
11. Mạng riêng ảo VPN (Virtual Private Network) .................................................... 57
a. Định nghĩa ............................................................................................................. 57
b. VPN Tunneling ..................................................................................................... 57
c. Phân loại VPN ....................................................................................................... 58
12. Mô hình VPN Site to Site ..................................................................................... 59
13. Tổng kết ................................................................................................................ 64
a. Thuận lợi – khó khăn của đề tài ............................................................................ 64
b. Kết quả đạt được ................................................................................................... 64
9
Trung tâm ATHENA
1. Giới thiệu trung tâm ATHENA
Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA được thành lập từ năm
2004, là một tổ chức quy tụ nhiều trí thức Việt Nam đầy năng động, nhiệt huyết và kinh nghiệm trong
lĩnh vực CNTT, với tâm huyết góp phần vào công cuộc thúc đẩy tiến trình đưa công nghệ thông tin là
ngành kinh tế mũi nhọn, góp phần phát triển nước nhà.
a. Lĩnh vực hoạt động chính:
Trung tâm ATHENA đã và đang tập trung chủ yếu vào đào tạo, tư vấn, cung cấp nhân lực chuyên
sâu trong lĩnh vực quản trị mạng, an ninh mạng, thương mại điện tử, truyền thông xã hội (Social
Network) theo các tiêu chuẩn quốc tế của các công ty, tập đoàn nổi tiếng như Microsoft, Cisco, Oracle,
Linux LPI, CEH, ... Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao cấp
dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An, ngân hàng, doanh
nghiệp SME, các cơ quan chính phủ, tổ chức tài chính.
Sau hơn 10 năm hoạt động, nhiều học viên tốt nghiệp trung tâm ATHENA đã là chuyên gia đảm
nhận công tác quản lý hệ thống mạng, an ninh mạng, quản lý hệ thống kinh doanh Online (Internet
Business) cho nhiều bộ ngành như Cục Công Nghệ Thông Tin - Bộ Quốc Phòng, Bộ Công An, Sở
Thông Tin Truyền Thông các tỉnh, Sở Thương Mại, doanh nghiệp SME.....
Bên cạnh đó, Trung tâm ATHENA còn có nhiều chương trình hợp tác và trao đổi công nghệ với
nhiều đại học lớn như đại học Bách Khoa Thành Phố Hồ Chí Minh, Học Viện An Ninh Nhân Dân (
Thủ Đức), Học Viện Bưu Chính Viễn Thông, Hiệp hội an toàn thông tin (VNISA), Viện Kỹ Thuật
Quân Sự, ...
Song song với các hoạt động đào tạo, Trung tâm ATHENA còn tham gia tư vấn ứng dụng công
nghệ vào nâng cao năng suất lao động và cung cấp nhân sự cho hàng ngàn doanh nghiệp SME (khối
doanh nghiệp vừa và nhỏ). Hoạt động này được cộng đồng doanh nghiệp đánh giá rất cao, mang lại lợi
ích thiết thực, doanh nghiệp vừa được tư vấn công nghệ vừa tìm được nguồn nhân lực phù hợp cho
hoạt động kinh doanh. Đây cũng là cơ sở để các học viên tốt nghiệp ATHENA luôn có việc làm theo
đúng yêu cầu xã hội.
b. Đội ngũ nhân sự:
Tất cả các giảng viên, chuyên viên trung tâm ATHENA đều là các chuyên gia trong lĩnh vực quản
trị mạng, an ninh mạng, phát triển thương mại điện tử, kinh doanh trên Internet với nhiều năm kinh
nghiệm. Bên cạnh công tác giảng dạy, các giảng viên thường xuyên tham gia các dự án tư vấn, triển
khai công nghệ tại doanh nghiệp với mục đích đưa kiến thức công nghệ vào phát triển kinh tế và cập
nhật những biến đổi thường xuyên của xã hội để đưa vào chương trình giảng dạy.
Phương châm hoạt động của đội ngũ giảng viên ATHENA là "Luôn Luôn Sáng Tạo Để Đáp Ứng
Nhu Cầu Xã Hội".
c. Cơ sở vật chất
Thiết bị đầy đủ và hiện đại.
Chương trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những công nghệ mới nhất.
10
d. Dịch vụ hỗ trợ
Đảm bảo việc làm cho học viên tốt nghiệp
Giới thiệu việc làm cho mọi học viên
Thực tập có lương cho học viên đáp ứng được yêu cầu
Ngoài giờ học chính thức, học viên được thực hành thêm miễn phí, không giới hạn thời gian
Hỗ trợ kỹ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính, mạng máy tính,
bảo mật mạng, phát triển Internet Business
Hỗ trợ thi Chứng chỉ Quốc tế
11
e. Thông tin và hình ảnh
Ông Võ Đỗ Thắng - Giám Đốc ATHENA
Trung tâm ATHENA - 92 Nguyễn Đình Chiểu , Phường ĐaKao. Q1 , TpHCM
12
Khóa học quản trị hệ thống mạng Cisco cho ngân hàng MHB Bank
Phát chứng chỉ cho các học viên hoàn thành khóa học
Tham khảo tại: http://www.athena.com.vn/trang-chu/gioi-thieu
13
Thông tin liên hệ với trung tâm ATHENA
TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH
MẠNG QUỐC TẾ ATHENA
Hotline: 094 320 00 88 - 094 323 00 99
Địa chỉ trung tâm ATHENA:
92 Nguyễn Đình Chiểu, phường Đa Kao, Quận1, Tp HCM. (Gần ngã tư Đinh Tiên Hoàng - Nguyễn Đình
Chiểu).
Điện thoại: 094 320 00 88 - 094 323 00 99-(08)38244041-(08)22103801
-Website: http://www.athena.edu.vn http://www.athena.com.vn
-E-mail: support@athena.edu.vn- tuvan@athena.edu.vn
-Facebook: http://www.facebook.com/trungtamathena
14
Nội dung thực tập Nội dung thực tập bao gồm:
Tìm hiểu cách giả lập router cisco trên nền GNS3 và cài đặt GNS3
Tìm hiểu các câu lệnh cấu hình căn bản (các mode dòng lệnh, cách gán IP vào interface, kiểm tra
các thông số IP)
Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động
Thực hiện các mô hình lab static route
Thực hiện các mô hình lab RIPv2, OSPF, EIGRP
Tìm hiểu các công cụ filter route
Cài đặt VPN site to site
1. Tìm hiểu cách giả lập router cisco trên nền GNS3 và cài đặt
Giới thiệu phần mềm GNS3
Cài đặt
a. Giới thiệu phần mềm GNS3
Trang chủ: http://www.gns3.com
Hình ảnh ba người đứng đầu của nhóm xây dựng GNS3
Từ trái qua: Stephen Guppy - Jeremy Grossmann - Mark Blackwell
GNS3 là một phần mềm thay thế hoặc hỗ trợ cho các phòng thí nghiệm sử dụng máy tính thực cho
các kỹ sư mạng máy tính, quản trị viên và học viên để hoàn thành các chứng chỉ Cisco như Cisco
CCNA, CCNP và CCIE cũng như Juniper JNCIA, JNCIS,JNCIE. Nó cũng có thể sử dụng để thử
nghiệm các tính năng hoặc kiểm tra các cấu hình mà trước khi triển khai trên các thiết bị thật. GNS3
cũng có những tính năng khác như kết nối mạng ảo đến các thiết bị thực, hay bắt các gói tin thông
qua WireShark. GNS3 cung cấp giao diện đồ họa người dùng để thiết kế và cấu hình những mạng
ảo, nó chạy trên những phần cứng máy tính truyền thống, thích hợp với nhiều hệ điều hành như
Windows, Linux và MAC OS.
Để cung cấp các mô phỏng đầy đủ và chính xác, GNS3 sử dụng những giả lập chạy hệ điều hành rất
gần với hệ thống thật như: Dynamips, giả lập IOS Cisco nổi tiếng.
Virtualbox, chạy những hệ điều hành của máy tính để bàn, server cũng như là Juniper Jun OS.
QEMU là một giả lập máy tính mã nguồn mở tổng quát, nó chạy Cisco ASA, PIX và IPS.
Tham khảo tại: http://en.wikipedia.org/wiki/GNS3
15
b. Cài đặt GNS3
Ta có thể download file cài đặt tại:
https://community.gns3.com/
Sau khi run file cài đặt sẽ có giao diện như sau
Chọn Next để tiếp tục
16
Chọn I Agree để đồng ý điều khoản
Lựa chọn thư mục Start Menu cho GNS3 rồi nhấn Next
Lựa chọn những thành phần cài thêm như WinPCAP hoặc Wireshark …
17
Lựa chọn thư mục chứa GNS3 rồi nhấn Install
Phần mềm sẽ tự động cài đặt WinPcap, nhấn Next để tiếp tục.
19
Nhấn Finish để hoàn tất việc cài đặt WinPcap. Phần mềm tự động cài đặt thêm Wireshark nếu bạn
lựa chọn cài đặt Wireshark
Nhấn Next để tiếp tục
22
Bạn đã cài đặt WinPcap nên không cần lựa chọn Install WinPcap nữa, nhấn Install
Nhấn Next để tiếp tục
23
Nhấn Finish để hoàn tất việc cài đặt. Sau khi hoàn tất cài đặt WireShark, phần mềm tiếp tục cài đặt
GNS3
Nhấn Next để tiếp tục
24
Điền địa chỉ E-mail để cập nhật thông tin mới nhất về GNS3
Nhấn Finish để hoàn tất việc cài đặt.
Giao diện của phần mềm như sau:
25
Ở lần khởi động đầu tiên, phần mềm sẽ yêu cầu bạn làm theo 3 bước để có thể thực hiện thiết lập
mạng ảo.
Cài đặt đường dẫn lưu Image
Kiểm tra Dynamips có hoạt động không bằng cách nhấn Test để kiểm tra
Thêm các IOS Image
Để thiết lập cho lần khởi động đầu tiên, ta lựa chọn bước 1
27
Tiếp tục lựa chọn bước 2
Lựa chọn đường dẫn đến Dynamips.exe, sau đó nhấn Test Settings. Nhận được thông báo Dynamips
community successfully started, tức là đã thành công.
28
Lựa chọn bước 3
Chọn Image file, sau đó nhấn Test Settings
Kết quả như trên là IOS của router này đã được cài đặt thành công. Nhấn Save để lưu lại.
Như vậy đã hoàn thành cài đặt GNS3.
29
2. Tìm hiểu các câu lệnh cấu hình căn bản (các mode dòng lệnh, cách
gán IP vào interface, kiểm tra các thông số IP).
Cấu trúc của Router
Các mode config
Cấu hình cơ bản
a. Cấu trúc của Router
Các thành phần chính của Router bao gồm:
CPU
NVRAM
Flash Memory
RAM
ROM
CPU (Central Processing Unit)
Nhiệm vụ: thực hiện các chỉ thị của hệ điều hành
Khởi tạo hệ thống
Định tuyến
Điều khiển các card mạng
Những con router lớn có thể có nhiều CPU
NVRAM (Nonvolatile ramdom-access memory)
Là loại RAM có thể lưu lại thông tin ngay cả không còn nguồn nuôi.
Nhiệm vụ: Chứa file startup-config lưu cấu hình của Router.
Flash memory:
Chức năng chứa Cisco IOS software image, chính là hệ điều hành của Router.
Bộ nhớ Flash có thể xóa, ghi đè, và không bị mất khi không còn nguồn nuôi.
RAM (Random-access Memory)
Được chia ra làm hai thành phần:
30
Main: Lưu file running-config, chứa bảng định tuyến …
Shared: là buffer cho những tiến trình đang xử lý
Dữ liệu bị mất khi không có nguồn nuôi
ROM (Read Only Memory)
ROM là bộ nhớ chỉ đọc. Thường được sử dụng để chứa:
Các chương trình kiểm tra phần cứng trên Router Power-on diagnostics
Chương trình bootstrap
Một hệ điều hành phụ
Chức năng: Kiểm tra phần cứng khi Router khởi động, load IOS từ Flash vào RAM
b. Các mode config
Cisco chia thành nhiều mode để phù hợp với mục đích của từng nhóm người sử dụng, cũng như để
bảo mật router khỏi các truy nhập trái phép và nhiều lý do khác.
User Mode (User EXEC Mode):
User mode cung cấp rất ít tính năng cho người sử dụng. Chủ yếu là để kiểm tra thông số cơ bản,
hoặc các thay đổi nhỏ, không ảnh hưởng đến lần khởi động tiếp theo của router.
Privileged Mode:
Để vào Privileged Mode, từ User Mode gõ enable rồi nhập password nếu cần.
Privileged Mode cung cấp các lệnh quan trọng để theo dõi hoạt động của router, truy cập vào các file
cấu hình, IOS, đặt các password, ping … Đồng thời, Privileged Mode cũng là chìa khóa để vào
Configuration Mode.
Configuratin Mode:
Mode này cho phép cấu hình tất cả các chức năng của router, bao gồm các Interface, các routing
protocol, các lineconsole, vty (telnet) … Các lệnh trong mode này sẽ ảnh hưởng đến cấu hình hiện
hành của router chứa trong RAM (running-configuration). Nếu cấu hình này được ghi lại vào
NVRAM, nó sẽ có hiệu lực ở cả những lần khởi động tiếp theo của router bằng lệnh:
User EXEC Mode
Privileged Mode
Configuration Mode
• Global Configuraton Mode
• Specific Configuraton Mode
31
copy running-config startup-config
Trong Configuration Mode lại chia thành 2 mode nhỏ:
Global Configuration Mode
Specific Configuration Mode: interface configuration mode, subinterface configuration mode,
controller configuration mode, line…
c. Cấu hình cơ bản
Chuyển đổi giữa các mode
Đặt tên cho router
Đặt mật khẩu cho router
Gán IP vào các interface
Kiểm tra các thông số
Chuyển đổi giữa các mode
Chuyển từ User Mode sang Privileged Mode, ta dùng lệnh: enable
Chuyển từ Privileged Mode sang User Mode, ta dùng lệnh: disable
Chuyển từ Privileged Mode sang Configuration Mode, ta dùng lệnh:
configure terminal
Chuyển từ Configuration Mode sang Privileged Mode, ta dùng lệnh:
exit
Đặt tên cho router
Cú pháp: Ở chế độ Configuration Mode, sau đó, gõ lệnh:
hostname <tên Router>
Ví dụ: ở đây mình đặt là Athena
Đặt mật khẩu cho router
Có 2 loại mật khẩu là:
Enable secret: mật khẩu này sẽ được yêu cầu khai báo khi đăng nhập vào User Mode, được mã hóa
cấp độ 5.
Enable password: là loại mật khẩu có chức năng tương tự như enable secret nhưng có hiệu lực yếu
hơn. Loại này không được mã hóa mặc định, nhưng khi được mã hóa, nó được mã hóa cấp độ 7.
Cú pháp: Ở chế độ Configuration, gõ lệnh
enable secret <mật khẩu>
enable password <mật khẩu>
Ví dụ:
32
enable secret: athena
enable password: athena123
Sử dụng lệnh show running-config để kiểm tra thông tin hiện hành, sẽ thấy thông tin password
được cài đặt:
Gán IP vào các interface
Để gán địa chỉ IP cho interface mong muốn, ta phải thêm slot cho router nếu chưa có.
Sau khi đã xác định được interface cần gán IP; từ chế độ Global Configuration Mode, đăng nhập vào
chế độ Interface Configuration Mode
Interface <tên interface>
Sau đó gán IP cho interface đó
Ip address <ip> <subnet mask>
Dùng lệnh show ip interface brief để kiểm tra
Lưu ý: Nếu interface đã có ip address. Ta có thể sử dụng no ip address để xóa ip cho interface đó.
Cũng có thể làm tương tự để xóa password bằng cách thêm từ no đằng trước loại password đó.
Kiểm tra thông số
Để kiểm tra thông số ta sử dụng các lệnh show, sau đây là một số lệnh show thường gặp
Show history Hiển thị lịch sử của phiên làm việc
Show ip protocol Hiển thịt thông tin của routing protocol
Show ip interface brief Hiển thị thông tin của interface
Show ip route Hiển thị thông tin bảng định tuyến
Show running-config Thông tin của cấu hình hiện hành
Show version Thông tin của version router
33
3. Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động
Tổng quan về định tuyến
Định tuyến tĩnh
Định tuyến động
So sánh định tuyến tĩnh và định tuyến động
a. Tổng quan về định tuyến
Định tuyến là quá trình chọn đường đi trên một mạng máy tính, từ một địa chỉ nguồn đến địa chỉ
đích.
Giao thức định tuyến được chia làm hai nhóm chính:
IGP (Interior Gateway Protocol): là nhóm giao thức định tuyến bên trong một vùng tự
trị (AS – Autonomous System).
EGP (Exterior Gateway Protocol): là nhóm giao thức định tuyến giữa các vùng tự trị
với nhau. Tiêu biểu là BGP (Border Gateway Protocol).
Vùng tự trị (AS): là tập hợp các mạng có cùng chính sách định tuyến, và thường thuộc
quyền quản lý, khai thác của một tổ chức.
Nếu có nhiều giao thức cùng được thiết lập trên một router, nó sẽ ưu tiên sử dụng giao thức nào có
chỉ số AD nhỏ hơn.
Administrative Distance (AD): là giá trị để đánh giá độ tin cậy của một giao thức định tuyến.
Nhóm giao thức định tuyến IGP được chia thành hai nhóm nhỏ là:
Định tuyến tĩnh (Static route)
Định tuyến động (Dynamic route)
b. Định tuyến tĩnh
Định tuyến tĩnh là loại định tuyến không thể thích ứng tự động khi có sự thay đổi trong mạng. Ta
phải cấu hình bằng tay để ép cứng cho router biết đường đi đến các mạng khác.
Kiểu định tuyến này dễ thực hiện đối với mạng nhỏ, đơn giản, ít hoặc không có sự thay đổi trong
mạng.
Cú pháp để thực hiện định tuyến tĩnh:
Ip route <mạng đích> <subnet mask> <gateway>
c. Định tuyến động
Định tuyến động là loại định tuyến mà router có thể thực hiện định tuyến một cách tư động dựa vào
các giao thức định tuyến như: RIP (Routing Information Protocol), OSPF (Open Shortest Path First),
IGRP (Interior Gateway Routing Protocol) …
Loại định tuyến hày có tính linh hoạt cao, phù hợp với những mô hình mạng lớn, phức tạp.
d. So sánh định tuyến tĩnh và định tuyến động
Định tuyến tĩnh Định tuyến động
34
Phương pháp thực hiện đơn giản, cú pháp
ngắn gọn dễ hiểu
Phương pháp thực hiện phức tạp hơn, yêu cầu
kiến thức và suy luận
Quản trị viên phải thực hiện cấu hình bằng tay
để cập nhật thông tin định tuyến cho router
Quản trị viên không phải tốn thời gian xây
dựng đường đi cố định cho router
Thông tin định tuyến không cần được tự động
cập nhật, nên băng thông không bị lãng phí
Thông tin định tuyến cần được cập nhật khi có
sự thay đổi, hoặc trong một khoảng thời gian
nhất định giữa các router, làm mất một phần
băng thông
Khi có sự thay đổi, quản trị viên phải tự cấu
hình lại bằng tay.
Tự động cập nhật, thích ứng với sự thay đổi
trong mô hình mạng
Phù hợp với các mô hình nhỏ, ít thay đổi Phù hợp với những mô hình lớn, có thể thích
ứng với những sự cố, hoặc thay đổi
Độ phức tạp tăng lên khi kích thước mạng
tăng lên
Kích thước mạng không ảnh hưởng nhiều đến
việc định tuyến
35
4. Mô hình lab static route
Mô hình Lab Static Route
Cấu hình cho R1
Cấu hình cho R2
Cấu hình cho 2 Host
Thực hiện static route
Kiểm tra
• Mô hình Lab Static Route
Mô hình như bên dưới.
Lúc chưa cấu hình Static route, C1 sẽ không ping được đến R2 và C2. Do R1 chưa có thông tin về
bảng định tuyến.
Nhiệm vu: Thực hiện Static Route để C1 ping được đến R2 và C2
Cấu hình cho R1
Đặt ip cho interface e0/0: 10.0.0.1 255.255.255.0 no shutdown
Đặt ip cho interface e1/0: 192.168.0.1 255.255.255.0 no shutdown
R1#conf t
R1(config)#int e1/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e0/0
36
R1(config-if)#ip add 10.0.0.1 255.255.255.0
R1(config-if)#no sh
Cấu hình cho R2
Đặt ip cho interface e0/0: 10.0.0.2 255.255.255.0 no shutdown
Đặt ip cho interface e1/0: 192.168.1.1 255.255.255.0 no shutdown
R2#conf t
R2(config)#int e0/0
R2(config-if)#ip add 10.0.0.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int e1/0
R2(config-if)#ip add 192.168.1.1 255.255.255.0
R2(config-if)#no sh
Cấu hình cho 2 Host
Sử dụng vpcs.exe để đặt địa chỉ IP cho 2 Host
VPCS[1]> ip 192.168.0.2 192.168.0.1 24
VPCS[2]> ip 192.168.1.2 192.168.1.1 24
Thực hiện static route
Do R1 đã học được 2 mạng là 192.168.0.0 và 10.0.0.0, nên ta chỉ cần dạy cho R1 mạng ở xa là 192.168.1.0.
Cú pháp:
R1(config)#ip route 192.168.1.0 255.255.255.0 e0/0
37
Tương tự cho R2. Nó đã học được 2 mạng nối trực tiếp với nó là 192.168.1.0 và 10.0.0.0. Để thông suốt
mạng của mô hình trên nó cần học thêm mạng thứ 3 là: 192.168.0.0. Cú pháp:
R2(config)#ip route 192.168.0.0 255.255.255.0 e0/0
Kiểm tra
Ta thực hiện ping từ Host 1 đến Host 2, nếu ping thành công thì chứng tỏ mạng đã thông suốt.
VPCS[1]> ping 192.168.1.2
38
5. Tìm hiểu về các giao thức định tuyến động
Định tuyến động
RIP
OSPF
EIGRP
a. Giao thức định tuyến động
Là giao thức định tuyến mà nó giúp các router tự động tìm đường đi cho gói tin và duy trì bảng định tuyến
một cách tự động. Nhóm giao thức định tuyến động được chia thành ba nhóm chính:
Distance Vector Routing Protocol: tiêu biểu là RIP
Link-State Routing Protocol: OSPF
Hybrid Routing Protocol: EIGRP
b. RIP (Routing Information Protocol)
Hoạt động
Mỗi router quảng bá thông tin địa chỉ cho những router lân cận,và nhận về thông tin quảng bá của những
router lân cận đó; từ đó, hình thành bảng định tuyến cho chính mình.
Nhóm giao thức
RIP thuộc nhóm giao thức Distance-vector.
Giải thuật sử dụng
RIP sử dụng giải thuật Bellman – Ford để xác định bảng định tuyến.
Metric
Hop count là số bước nhảy để tới địa chỉ đích mong muốn.
Infinity Metric
Metric = 16. Điều này có nghĩa là, nếu lớn hơn 15 hop, thì router sẽ coi mạng đó là unreachable. Do đó, giao
thức định tuyến này chỉ phù hợp với những mạng nhỏ.
Có hai phiên bản của RIP:
RIPv1: classfull, không hỗ trợ mạng VLSM và mạng gián đoạn
RIPv2: classless, hỗ trợ mạng VLSM và mạng gián đoạn.
Cấu hình
Router(config)# router rip – khởi động RIP
Router(config-router)# version 2 – chọn version 2
Router(config-router)# network <mạng> - quảng bá các mạng kết nối trực tiếp
với router
39
c. OSPF (Open Shortest Path First)
Hoạt động
Đặt Router ID: thiết lập ID dựa vào IP Loop back hoặc interface active có địa chỉ IP cao
nhất.
Thiết lập router láng giềng: mỗi router chạy ospf đơn vùng sẽ gửi qua các cổng chạy ospf
của nó một gói tin hello mỗi 10s. Chúng trở thành router láng giềng nếu khớp 5 yếu tố sau:
o Area ID: Mô hình ospf đơn vùng thì giá trị này là như nhau ở mọi router.
o Subnet/ subnet mask
o Giá trị hello/ dead timer: mặc định hello timer là 10s, dead timer là 40s.
o Authentication: mật khẩu giữa những interface
o Stub Area Flag
Trao đổi Cơ sở dữ liệu trạng thái đường link(LSDB): Do LSDB quá lớn nên các router chỉ
trao đổi LSA (Link-state Advertisement), những gói tin này được đóng gói vào LSU (Link-
state Update).
Xây dựng bảng định tuyến: dựa vào cơ sở dữ liệu trạng thái đường link, router sử dụng giải
thuật Dijkstra để xây dựng bảng định tuyến cho mình.
Nhóm giao thức
Giao thức này thuộc nhón giao thức Link-State
Giải thuật sử dụng
OSPF sử dụng giải thuật Dijkstra để tìm đường đi đến toàn bộ mạng
Metric
Cost = 108/ BW(bps)
Cấu hình
Router(config)# router ospf <process id> - khởi động ospf
Router(config-router)# network <ip address > <wildcard mask> area <area-id>
d. EIGRP (Enhanced Internet Gateway Routing Protocol)
Đặc điểm
EIGRP (Enhanced Internet Gateway Routing Protocol)
Là giao thức advanced distance vector
Tốc độ hội tụ nhanh
Classless
Cấu hình đơn giản
Cân bằng tải qua những đường không đều nhau
Thiết kế mạng linh hoạt
Hỗ trợ VLSM và mạng gián đoạn
Hoạt động
Sử dụng ba bảng:
Neighbor: liệt kê tất cả láng giềng của Router hiện hành
Topology: danh sách tất cả những đường đi học được từ các con Router láng giềng
Routing: danh sách những đường đi tối ưu nhất để định tuyến.
1. Xác định neighbor: thỏa mãn các tiêu chí
40
Cùng AS
Cùng subnet
Authentication
Cùng cách tính metric
2. Trao đổi bảng định tuyến giữa những router láng giềng, cập nhật vào bảng topology.
3. Tính toán tìm đường đi tối ưu nhất đưa vào bảng Routing Table
Feasible Distance (FD): metric từ router đến mạng đích
Advertised Distance (AD): metric từ router next hop đếnmạng đích
Trong tất cả những đường đi đến mạng đích, đường đi nào có FD nhỏ nhất được gọi là đường
Successor.
Trong tất cả những đường còn lại, đường nòa có AD nhỏ hơn FD nhỏ nhất, đường đó được gọi
là Feasible Successor.
Đường Successor được chọn là đường đi chính thức đưa vào bảng Routing Table. Đường
Feasible Successor được chọn làm đường back-up cho đường Successor.
Nhóm giao thức
Giao thức này thuộc nhón giao thức Hybrid
Giải thuật sử dụng
OSPF sử dụng giải thuật Dual để tìm đường đi đến toàn bộ mạng.
Metric
Metric = f(bandwith, delay, reliabitily, load)
Cấu hình
Router(config)# router eigrp <autonomous-system>
Router(config-router)# network <ip network>
Chặn auto-summary
Router(config-router)# no auto-summary
41
6. Mô hình lab RIPv2
Cấu hình cho R1
Thiết lập IP Address
R1#conf t
R1(config)#int s0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 10.0.0.1 255.255.255.0
R1(config-if)#no sh
Kết quả
Cài đặt RIPv2 trên R1
R1(config)#router rip
R1(config-router)#version 2
42
R1(config-router)#network 10.0.0.0
R1(config-router)#network 192.168.0.0
Kết quả
Cấu hình cho R2
Thiết lập IP Address
R2#conf t
R2(config)#int s0/0
R2(config-if)#ip add 192.168.0.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config-if)#int e1/0
R2(config-if)#ip add 10.0.1.1 255.255.255.0
R2(config-if)#no sh
Kết quả
Cài đặt RIPv2 trên R2
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 10.0.0.0
R2(config-router)#network 192.168.0.0
Kết quả
43
Cấu hình cho 2 Host
Kiểm tra
Như vậy ta thấy router R1 đã học được mạng 10.0.1.0/24. Do đó, Host 1 mới có thể ping đến Host 2 thông
qua R1 và R2.
44
7. Mô hình lab OSPF
Cấu hình cho R1
Thiết lập địa chỉ IP
R1#conf t
R1(config)#int e1/0
R1(config-if)#ip add 10.0.0.1 255.255.0.0
R1(config-if)#no sh
R1(config-if)#int s0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
Kết quả
Cấu hình OSPF
R1(config)#router ospf 1
45
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.0.255.255 area 0
Kết quả
Cấu hình cho R2
Thiết lập địa chỉ IP
R2#conf t
R2(config)#int e1/0
R2(config-if)#ip add 11.1.0.1 255.0.0.0
R2(config-if)#no sh
R2(config-if)#int s1/0
R2(config-if)#ip add 172.1.0.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
Kết quả
Cấu hình OSPF
46
R2(config)#router ospf 1
R2(config-router)#network 192.168.1.0 0.0.0.255 area 1
R2(config-router)#network 11.1.0.0 0.255.255.255 area 1
Kết quả
Cấu hình cho R3
Thiết lập địa chỉ IP
R3#conf t
R3(config-if)#int s0/0
R3(config-if)#ip add 192.168.0.2 255.255.0.0
R3(config-if)#clock rate 64000
R3(config-if)#no sh
R3(config-if)#int s1/0
R3(config-if)#ip add 172.1.0.1 255.255.0.0
R3(config-if)#no sh
Kết quả
47
Cấu hình OSPF
R3(config)#router ospf 1
R3(config-router)#network 192.168.0.0 0.0.255.255 area 0
R3(config-router)#network 11.1.0.0 0.0.0.255 area 1
Kết quả
Cấu hình cho 2 Host
Kiểm tra
Như vậy ta thấy router R1 đã học được mạng 11.1.0.0/8. Do đó, Host 1 mới có thể ping đến Host 2 thông
qua R1, R2 và R3.
48
8. Mô hình lab EIGRP
Cấu hình cho R1
Thiết lập IP address
R1#conf t
R1(config)#int s0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 10.0.0.1 255.255.0.0
R1(config-if)#no sh
Kết quả
Cấu hình EIGRP
R1(config)#router eigrp 100
R1(config-router)#network 10.0.0.0
R1(config-router)#network 192.168.0.0
49
Kết quả
Cấu hình cho R2
Thiết lập IP address
R2#conf t
R2(config)#int s0/0
R2(config-if)#ip add 192.168.0.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config-if)#int e1/0
R2(config-if)#ip add 11.0.0.1 255.255.0.0
R2(config-if)#no sh
Kết quả
50
Cấu hình EIGRP
R2(config)#router eigrp 100
R2(config-router)#network 11.0.0.0
R2(config-router)#network 192.168.0.0
Kết quả
Cấu hình cho 2 Host
52
9. Các công cụ filter route
Filter Route là cơ chế để lọc những đường đi dựa trên những tiêu chí khác nhau, phục vụ cho nhiều mục đích
khác nhau như mục đích bảo mật, mục đích quản lý lưu lượng trong mạng ... Có rất nhiều loại filter route:
Access List
Distribute List
Filter List
Prefix List
Route Map
Phần này đề cập đến một cơ chế tiêu biểu là Acess List, hay còn được gọi là Access Control List.
a. Access List
ACL là một tính năng giúp cấu hình trực tiếp trên Router nhằm lọc ra danh sách những route được chấp nhận
hoặc bị từ chối dựa trên những tiêu chí mà người quản trị quy định. Các tiêu chí đó có thể là: địa chỉ IP
nguồn, địa chỉ IP đích, giao thức sử dụng …
Access – list thường được sử dụng cho hai mục đích:
Lọc lưu lượng (traffic filtering): Điều này được thực hiện bằng cách áp access – list lên một
cổng của router theo chiều in hoặc chiều out. Nếu đặt theo chiều in, ACL sẽ thực hiện lọc
lưu lượng đi vào cổng, và nếu đặt theo chiều out, ACL sẽ lọc lưu lượng đi ra khỏi cổng.
Việc lọc bỏ hay cho qua lưu lượng trên một acces – list sẽ được căn cứ vào các từ khóa
permit hoặc deny trên từng dòng của access – list ấy.
Phân loại dữ liệu (data classification): Trong trường hợp này, ACL được sử dụng để phân
loại dữ liệu. ACL sẽ được cấu hình để chỉ ra những đối tượng nào được tham gia và những
đối tượng nào không được tham gia vào một tiến trình hay một hoạt động nào đấy của router
(ví dụ: distribute – list, NAT, VPN,…).
Có hai loại Access List là Standard Access List và Extended Access List.
b. Standard Access List
Thông tin
Standard Access List là cơ chế Access Filter chuẩn, nó chỉ đơn giản là kiểm tra địa chỉ IP nguồn.
Thông qua đó, xác định gói tin có được phép hay bị từ chối.
Cấu hình
Router(config)# access-list access-list-number {deny | permit} source [source -
wildcard]
c. Extended Access List
Thông tin
Như cái tên của nó, cơ chế này được mở rộng hơn so với Standard Access List. Các tiêu chí của nó
không chỉ là địa chỉ nguồn, người quản trị còn có thêm các tiêu chí để lọc khác như địa chỉ đích, giao
thức sử dụng, port sử dụng ... Các tiêu chí này sẽ được kiểm tra trước khi Router cho phép truy cập
hoặc ngăn cản.
Cấu hình
Router(config)# access-list access-list-number {deny | permit} protocol ip-source
[source-wildcard] ip-destination [destination wildcard] [ep/lt/gt] [destination-port]
53
10. Mô hình lab Access List
Cấu hình OSPF cho mạng
R1#conf t
R1(config)#int s0/0
R1(config-if)#ip add 10.0.0.1 255.0.0.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e2/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e3/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no sh
54
R1(config)#router ospf 1
R1(config-router)#network 192.168.0.0 0.0.0.255 area 0
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.255.255.255 area 0
R2(config)#int s0/0
R2(config-if)#ip add 10.0.0.2 255.0.0.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config-if)#int e1/0
R2(config-if)#ip add 192.168.3.1 255.255.255.0
R2(config-if)#no sh
55
R2(config)#router ospf 1
R2(config-router)#network 192.168.3.0 0.0.0.255 area 0
R2(config-router)#network 10.0.0.0 0.255.255.255 area 0
Kết quả
Thiết lập Standard Access List không cho các host thuộc mạng 192.168.3.0/24 truy cập đến host 192.168.0.2
R2(config)#access-list 1 deny host 192.168.0.2
R2(config)#access-list 1 permit any
R2(config)#int e1/0
R2(config-if)#ip access-group 1 out
Kết quả
56
Kiểm tra
Thiết lập Extended Acess List cấm host 192.168.0.2 và host 192.168.1.2 truy cập đến host 192.168.3.2 nhưng
cho phép host 192.168.2.2 truy cập đến host 192.168.3.2
R2(config)#access-list 100 deny ip host 192.168.3.2 host 192.168.0.2
R2(config)#access-list 100 deny ip host 192.168.3.2 host 192.168.1.2
R2(config)#access-list 100 permit ip host 192.168.3.2 host 192.168.2.2
R2(config)#int e1/0
R2(config-if)#ip access-group 100 in
Kết quả
Kiểm tra
57
11. Mạng riêng ảo VPN (Virtual Private Network)
a. Định nghĩa
Mạng riêng ảo (VPN) là một mạng dành riêng để kết nối các máy tính của một nhóm người sử dụng thông
qua mạng Internet công cộng. VPN là một cải tiến từ mạng WAN, bằng cách sử dụng các kết nối ảo được
bảo mật thông qua mạng Internet, thay cho việc thuê các đường kết nối chuyên dụng như Leased Line, ATM,
…
VPN hiện nay được sử dụng rất nhiều ở các doanh nghiệp. Bởi vì chi phí không cao mà vẫn đảm bảo tính
bảo mật, an toàn. Ngoài ra, VPN còn có ưu điểm về sự linh hoạt, ta có thể dễ dàng mở rộng mạng VPN một
cách đơn giản. Đồng thời, VPN còn hỗ trợ kết nối giữa những chi nhánh hoặc người dùng từ xa, có thể sử
dụng để truy cập tài nguyên trung tâm như đang sử dụng mạng cục bộ của trung tâm, hoặc dùng để tạo kênh
giao tiếp với khách hàng mà vẫn đảm bảo tính bảo mật, an toàn của thông tin nhờ sử dụng bộ IPSec. Chung
quy lại, công nghệ VPN có ba mục đích chính:
Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi
Kết nối các chi nhánh văn phòng với nhau
Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài
nguyên của tổ chức
b. VPN Tunneling
Đây chính là điểm khác biệt cơ bản nhất của VPN so với mạng LAN thông thường. Nó có dạng như một
đường hầm riêng biệt, mà ở đó, dữ liệu được truyền đi trong mạng VPN.
Khi người dùng khởi tạo kết nối hoặc gửi dữ liệu qua VPN, giao thức Tunneling sẽ được sử dụng bởi mạng
VPN (ví dụ như PPTP, L2TP, IPSec... ) sẽ đóng gói toàn bộ lượng thông tin này vào 1 package khác, sau đó
mã hóa chúng và tiến hành gửi qua tunnel. Ở những điểm cuối cùng của địa chỉ nhận, các giao thức hoạt
động tương ứng của tunneling sẽ giải mã những package này, say đó lọc nội dung nguyên bản, kiểm tra
nguồn gốc của gói tin cũng như các thông tin, dữ liệu đã được phân loại khác.
Một số dịch vụ mà VPN tunneling cung cấp là:
Bảo mật dữ liệu: các thông tin được mã hóa trước khi truyền qua môi trường công cộng. Sau
đó, thông tin lại được giải mã ở nơi nhận.
Toàn vẹn dữ liệu: thông tin được kiểm tra xem có sự thay đổi nào trong khi truyền qua môi
trường internet hay không.
Xác thực nguồn gốc: nơi nhận có thể xác thực nguồn gốc của gói tin.
58
c. Phân loại VPN
VPN Remote Access (Truy cập từ xa)
Cho phép người sử dụng truy cập vào mạng private bất kỳ lúc nào, bằng nhiều loại thiết bị khác nhau. Rất
hữu ích cho những người dùng thường xuyên phải di chuyển, ở xa trung tâm.
VPN Site To Site (Điểm nối điểm)
Là dạng VPN kết nối nhiều mạng LAN với nhau thôn gqua những giao thức chuyên dùng để truyền dữ liệu
qua Internet. Bộ giao thức được dùng phổ biến cho VPN site to site là IPSec.
Để triển khai một hệ thống VPN, ta cần có những thành phần cơ bản sau:
User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp
lệ kết nối và truy cập hệ thống VPN
Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống
VPN để có thể truy cập tài nguyên trên mạng nội bộ
Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm
tính riêng tư và toàn vẹn dữ liệu
Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải
mã dữ liệu
59
12. Mô hình VPN Site to Site
Các bước cấu hình VPN site to site
Tạo internet key exchange (IKE) key policy
Tạo share key để sử dụng cho kết nối VPN
Quy định Lifetime
Cấu hình ACL dãy IP có thể sử dụng cho VPN
Cấu hình transform-set Ipsec
Tạo crypto-map cho các transform, setname
Gán vào interface
Cấu hình cho R1
Gán IP cho các interface
R1(config)#int s0/0
R1(config-if)#ip add 172.16.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#clock rate 64000
R1(config)#int s0/1
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no sh
Kết quả
60
Cấu hình cho R2
Gán IP cho các interface
R2(config)#int s0/0
R2(config-if)#ip add 172.16.1.2 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no sh
R2(config-if)#int e0/0
R2(config-if)#ip add 192.168.1.254 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
Kết quả
Cấu hình VPN
R2(config)#crypto isakmp policy 5
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#exit
R2(config)#crypto isakmp key 0 LINHVPN address 172.16.2.2
R2(config)#crypto ipsec security-association lifetime seconds 86400
R2(config)#$ 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R2(config)#crypto ipsec transform-set LINHTRANS esp-3des esp-md5-hmac
R2(cfg-crypto-trans)#exit
R2(config)#crypto map LINHMAP 5 ipsec-isakmp
61
R2(config-crypto-map)#set peer 172.16.2.2
R2(config-crypto-map)#set transform-set LINHTRANS
R2(config-crypto-map)#match address 100
R2(config-crypto-map)#int s0/0
R2(config-if)#crypto map LINHMAP
Kết quả
Cấu hình cho R3
Gán IP cho các interface
R3(config)#int s0/1
R3(config-if)#ip add 172.16.2.2 255.255.255.0
R3(config-if)#no sh
R3(config-if)#clock rate 64000
R3(config-if)#int e1/0
R3(config-if)#ip add 192.168.2.254 255.255.255.0
R3(config-if)#no sh
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.1
Kết quả
62
Cấu hình VPN
R3(config)#crypto isakmp policy 5
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#exit
R3(config)#crypto isakmp key 0 LINHVPN address 172.16.1.2
R3(config)#crypto ipsec security-association lifetime seconds 86400
R3(config)#$ 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
R3(config)#crypto ipsec transform-set LINHTRANS esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#exit
R3(config)#crypto map LINHMAP 5 ipsec-isakmp
R3(config-crypto-map)#set peer 172.16.1.2
R3(config-crypto-map)#set transform-set LINHTRANS
R3(config-crypto-map)#match address 100
R3(config-crypto-map)#int s0/1
R3(config-if)#crypto map LINHMAP
Kết quả
64
13. Tổng kết
a. Thuận lợi – khó khăn của đề tài
Thuận lợi
Nói về đề tài nghiên cứu cơ chế routing của cisco, mô phỏng trên nền gns3. Đề tài này khá gần với những gì
em đã được học trên trường, nên việc tiếp cận và tìm hiểu rất dễ dàng. Hơn nữa, đề tài lại được thực hiện
trên GNS3, cái mà em cũng đã được làm quen thông qua môn Định tuyến chuyển mạch, do đó, việc thực
hiện các bài lap cũng trở nên đơn giản hơn. Ngoài ra, đối với một số đề tài khác yêu cầu phải bỏ một khoản
nhỏ để thuê host, hay các thiết bị, sản phẩm, nhưng với đề tài này thì hoàn toàn không mất bất kỳ khoản chi
phí nào cho việc đầu tư thiết bị. Ngoài việc cho sinh viên đi thực tập, trung tâm còn mở khóa học System
hacking miễn phí, để sinh viên có được cái nhìn cơ bản về hacking, những ưu nhược điểm, và làm sao sử
dụng các công cụ hack một cách đúng đắn, đúng với đạo đức nghề nghiệp. Không những thế, trung tâm còn
tổ chức các chuyến đi tham quan thực tế tại Công viên phần mềm Quang Trung, để sinh viên có trải nghiệm
về công việc thực tế, những yêu cầu của phía doanh nghiệp, từ đó, củng cố kiến thức, bù đắp những lỗ hổng,
học hỏi những cái mới, đáp ứng được nhu cầu thực tế của doanh nghiệp. Một điều đặc biệt nữa là trung tâm
yêu cầu sinh viên phải quay clip thực hiện, điều này giúp sinh viên chứng minh, ghi lại những kết quả đạt
được trong quá trình thực tập, cũng như rèn luyện cho sinh viên các kỹ năng mềm như kỹ năng thuyết trình,
rèn luyện sự tự tin. Ngoài ra, sau quá trình thực tập 2 tháng tại trung tâm, sinh viên còn có thể tiếp tục tham
gia thực tập nội trú tại trung tâm, với những công việc vừa sức tại các công ty để tích lũy kinh nghiệm thực
tế. Cùng với đó là sự giúp đỡ, hướng dẫn tận tình của Thầy Võ Đỗ Thắng cũng như những nhân viên và các
bạn đi trước tại trung tâm, đã giúp em giải đáp các thắc mắc và làm quen với môi trường tại trung tâm nhanh
hơn.
Khó khăn
Bên cạnh những thuận lợi mà em có được từ đề tài, thì em cũng gặp phải những khó khăn trong quá trình
thực hiện. Trước tiên, đề tài này được thực hiện hoàn toàn trên môi trường giả lập, mặc dù sử dụng hệ điều
hành của Cisco, khá giống với thiết bị thật nhưng dù sao được tiếp xúc, thực hiện trên thiết bị thật sẽ giúp em
tích lũy thêm kinh nghiệm, cũng như giải quyết được các vấn đề mà chỉ nảy sinh khi làm với thiết bị thật. Do
đó, nếu sau này đi làm việc, sẽ cần phải có thêm thời gian để làm quen, tích lũy kinh nghiệm khi làm việc
trên những thiết bị thật. Đề tài này khá hẹp, chỉ gói gọn trong việc cấu hình các routing protocol, filter route,
VPN… mà yêu cầu thực sự của công việc thì nhiều hơn thế, đồng thời, việc em đã được học những kiến thức
này ở trường, nên kiến thức trau dồi thêm là không nhiều. Ngoài ra, thời gian cũng là một vấn đề, khi em chỉ
được tham gia thực tập trong vòng 2 tháng, thời gian này không đủ dài để nghiên cứu chuyên sâu về những
vấn đề mà đề tài nêu lên. Ngoài những khó khăn về đề tài, em còn gặp khó khăn về khoảng cách địa lý, việc
đi thực tập tại trung tâm khá xa, cùng với đó là thời gian bắt đầu thực tập lại trùng với thời gian đi làm của
nhân viên, do đó, tình trạng kẹt xe là khó tránh khỏi. Hơn nữa, ngoài việc thực tập ở trung tâm, em vẫn còn
tham gia học tại trường nên không thể dành tất cả thời gian cho việc nghiên cứ đề tài thực tập, do đó, không
thể tìm hiểu chuyên sâu về những vấn đề của đề tài nêu ra được.
b. Kết quả đạt được
Sau quá trình thực tập 2 tháng tại trung tâm Đào tạo và quản trị mạng quốc tế ATHENA, em đã đạt được
những thành tựu nhất định.
Trong thời gian này, em đã củng cố lại những kiến thức về routing, bù đắp những lỗ hổng kiến thức thông
qua quá trình thực tập tại trung tâm. Việc nắm vững, hiểu rõ những kiến thức cơ bản là chìa khóa để phát
triển, học hỏi công nghệ mới sau này.
Hơn nữa, việc quay những video giới thiệu bản thân, các video báo cáo thực tập… đã giúp em rất nhiều
trong việc rèn luyện các kỹ năng mềm như kỹ năng thuyết trình, khả năng tự tin mặc dù vẫn còn rất yếu.
65
Nhờ có các chuyến đi tham quan thực tế tại công viên phần mềm Quang Trung, em nhận thức được tầm quan
trọng của việc học, biết được những yêu cầu và kỳ vọng của phía doanh nghiệp đối với nhân viên của họ,
phát hiện những lỗ hổng kiến thức, phát triển những thiết mạnh có sẵn. Ngoài những yêu cầu về kỹ năng,
kiến thức chuyên ngành, thì kỹ năng mềm, chỉ số EQ là đặc biệt quan trọng, cái mà đa số sinh viên ngành kỹ
thuật không mấy quan tâm.
Ngoài việc cho sinh viên đi thực tập, trung tâm còn mở khóa học System hacking miễn phí, để sinh viên có
được cái nhìn cơ bản về hacking, những ưu nhược điểm, và làm sao sử dụng các công cụ hack một cách
đúng đắn, đúng với đạo đức nghề nghiệp.
Ngoài những vấn đề về chuyên môn, em còn học được cách ứng xử trong trung tâm, trong môi trường làm
việc chuyên nghiệp, đưa mình vào khuôn khổ, với những kỷ luật và quy định mà trung tâm đã đặt ra. Tiếp
cận với văn hóa trong doanh nghiệp, học các kỹ năng giao tiếp, làm việc nhóm …
66
PHỤ LỤC
Phụ lục 1: Danh sách link video báo cáo
[Thực tập Athena - Tuần 1] Cài đặt GNS3
https://www.youtube.com/watch?v=axfbxHH4XAY
[Thực tập Athena - Tuần 2] Các cấu hình cơ bản
https://www.youtube.com/watch?v=Q9deQjdxB-o
[Thực tập Athena - Tuần 3] Cấu hình Static Route
https://www.youtube.com/watch?v=WNnY1DLnSJQ
[Thực tập Athena - Tuần 4] Lý thuyết định tuyến động
https://www.youtube.com/watch?v=znhBCueLtF8
[Thực tập Athena - Tuần 5] Thực hành định tuyến động RIPv2
https://www.youtube.com/watch?v=aUquEmEfi44
[Thực tập Athena - Tuần 5] Thực hành định tuyến động OSPF
https://www.youtube.com/watch?v=cqhFnBKgHcA
[Thực tập Athena - Tuần 5] Thực hành định tuyến động EIGRP
https://www.youtube.com/watch?v=ygATOieuMTo
[Thực tập Athena - Tuần 6] Lý thuyết Access List
https://www.youtube.com/watch?v=I2fPzCZC2rI
[Thực tập Athena - Tuần 6] Thực hành Accesslist
https://www.youtube.com/watch?v=KaffkKfAFew
[Thực tập Athena - Tuần 7] VPN
https://www.youtube.com/watch?v=seI3KA_EfRk
[Thực tập Athena] Giới thiệu bản thân
https://www.youtube.com/watch?v=fJk9mFr23bg
[Thực tập Athena] Thuận lợi khó khăn và kết quả đạt được
https://www.youtube.com/watch?v=e98YRkv2tzY
Facebook cá nhân: https://www.facebook.com/huulinh.phan.3
67
Phụ lục 2: Danh sách link slide trên slideshare Báo cáo thực tập tuần 1
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-1-nghin-cu-c-ch-
routing-ca-cisco-m-phng-trn-nn-gns3-48957118
Báo cáo thực tập tuần 2
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-2-nghin-cu-c-ch-
routing-ca-cisco-m-phng-trn-nn-gns3-48957277
Báo cáo thực tập tuần 3
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-3-cu-hnh-static-
route-48957368
Báo cáo thực tập tuần 4
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-4-nh-tuyn-ng-
48957409
Báo cáo thực tập tuần 6
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-6-access-list
Báo cáo thực tập tuần 7
http://www.slideshare.net/LinhPhan31/thc-tp-athena-bo-co-tun-7-vpn
68
Phụ lục 3: Danh sách hình ảnh Hình 1: Hình ảnh kỉ niệm với Thầy Võ Đỗ Thắng .................................................................. 5
Hình 2: Ông Võ Đỗ Thắng - Giám Đốc ATHENA .............................................................. 11
Hình 3: Trung tâm ATHENA - 92 Nguyễn Đình Chiểu , Phường ĐaKao, Q1, Tp. HCM ... 11
Hình 4: Khóa học quản trị hệ thống mạng Cisco cho ngân hàng MHB Bank ...................... 12
Hình 5: Phát chứng chỉ cho các học viên hoàn thành khóa học ........................................... 12
Hình 6: Địa chỉ trung tâm Athena ......................................................................................... 13
Hình 7: Từ trái qua: Stephen Guppy - Jeremy Grossmann - Mark Blackwell ...................... 14
Hình 8: Bước 1 cài đặt GNS3 ................................................................................................ 15
Hình 9: Bước 2 cài đặt GNS3 ................................................................................................ 15
Hình 10: Bước 3 cài đặt GNS3 .............................................................................................. 16
Hình 11: Bước 4 cài đặt GNS3 .............................................................................................. 16
Hình 12: Bước 5 cài đặt GNS3 .............................................................................................. 17
Hình 13: Bước 6 cài đặt GNS3 .............................................................................................. 17
Hình 14: Bước 7 cài đặt GNS3 .............................................................................................. 18
Hình 15: Bước 8 cài đặt GNS3 .............................................................................................. 18
Hình 16: Bước 9 cài đặt GNS3 .............................................................................................. 19
Hình 17: Bước 10 cài đặt GNS3 ............................................................................................ 19
Hình 18: Bước 11 cài đặt GNS3 ............................................................................................ 20
Hình 19: Bước 12 cài đặt GNS3 ............................................................................................ 20
Hình 20: Bước 13 cài đặt GNS3 ............................................................................................ 21
Hình 21: Bước 14 cài đặt GNS3 ............................................................................................ 21
Hình 22: Bước 15 cài đặt GNS3 ............................................................................................ 22
Hình 23: Bước 16 cài đặt GNS3 ............................................................................................ 23
Hình 24: Bước 17 cài đặt GNS3 ............................................................................................ 23
Hình 25: Bước 18 cài đặt GNS3 ............................................................................................ 24
Hình 26: Bước 19 cài đặt GNS3 ............................................................................................ 24
Hình 27: Bước 20 cài đặt GNS3 ............................................................................................ 25
69
Hình 28: Bước 21 cài đặt GNS3 ............................................................................................ 26
Hình 29: Bước 22 cài đặt GNS3 ............................................................................................ 27
Hình 30: Bước 23 cài đặt GNS3 ............................................................................................ 28
Hình 31: Bước 24 cài đặt GNS3 ............................................................................................ 28
Hình 32: Cấu trúc của Router ............................................................................................... 29
Hình 33: Các mode config ..................................................................................................... 30
Hình 34: Đặt tên cho router .................................................................................................. 31
Hình 35: Đặt mật khẩu cho router ........................................................................................ 32
Hình 36: Xem thông tin mật khẩu ......................................................................................... 32
Hình 37: Gán IP vào interface .............................................................................................. 32
Hình 38: Kiểm tra thông số ................................................................................................... 32
Hình 39: Mô hình lab Static Route ........................................................................................ 35
Hình 40: Kiểm tra các thông số của router R1 mô hình lab Static Route............................. 36
Hình 41: Kiểm tra các thông số của router R2 mô hình lab Static Route............................. 36
Hình 42: Cấu hình cho Host 1 mô hình lab Static Route ...................................................... 36
Hình 43: Cấu hình cho Host 2 mô hình lab Static Route ...................................................... 36
Hình 44: Ping từ Host 1 sang Host 2 .................................................................................... 37
Hình 45: Mô hình lab RIPv2 ................................................................................................. 41
Hình 46: Kiểm tra các thông số của router R1 mô hình lab RIPv2 ...................................... 41
Hình 47: Kiểm tra cấu hình RIPv2 trên router R1 ................................................................ 42
Hình 48: Kiểm tra các thông số của router R2 mô hình lab RIPv2 ...................................... 42
Hình 49: Kiểm tra cấu hình RIPv2 trên router R2 ................................................................ 42
Hình 50: Cấu hình cho 2 Host ............................................................................................... 43
Hình 51: Ping từ Host 1 sang Host 2 và ngược lại ............................................................... 43
Hình 52: Mô hình lab OSPF ................................................................................................. 44
Hình 53: Kiểm tra các thông số của router R1 mô hình lab OSPF ...................................... 44
Hình 54: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 45
Hình 55: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 45
70
Hình 56: Kiểm tra các thông số của router R2 mô hình lab OSPF ...................................... 45
Hình 57: Kiểm tra cấu hình OSPF trên router R2 ................................................................ 46
Hình 58: Kiểm tra cấu hình OSPF trên router R2 ................................................................ 46
Hình 59: Kiểm tra các thông số của router R3 mô hình lab OSPF ...................................... 46
Hình 60: Kiểm tra cấu hình OSPF trên router R3 ................................................................ 47
Hình 61: Kiểm tra cấu hình OSPF trên router R3 ................................................................ 47
Hình 62: Cấu hình cho 2 Host ............................................................................................... 47
Hình 63: Ping từ Host 1 sang Host 2 và ngược lại ............................................................... 47
Hình 64: Mô hình lab EIGRP ................................................................................................ 48
Hình 65: Kiểm tra các thông số của router R1 mô hình lab EIGRP .................................... 48
Hình 66: Kiểm tra cấu hình EIGRP trên router R1 .............................................................. 49
Hình 67: Kiểm tra cấu hình EIGRP trên router R1 .............................................................. 49
Hình 68: Kiểm tra các thông số của router R2 mô hình lab EIGRP .................................... 50
Hình 69: Kiểm tra cấu hình EIGRP trên router R2 .............................................................. 50
Hình 70: Kiểm tra cấu hình EIGRP trên router R2 .............................................................. 50
Hình 71: Cấu hình cho 2 Host ............................................................................................... 50
Hình 72: Ping từ Host 1 sang Host 2 và ngược lại ............................................................... 51
Hình 73: Mô hình lab Access List ......................................................................................... 53
Hình 74: Kiểm tra các thông số của router R1 mô hình lab Access List .............................. 54
Hình 75: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 54
Hình 76: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 54
Hình 77: Kiểm tra các thông số của router R1 mô hình lab Access List .............................. 55
Hình 78: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 55
Hình 79: Kiểm tra cấu hình OSPF trên router R1 ................................................................ 55
Hình 80: Cấu hình Standard Access List trển router R2 ...................................................... 55
Hình 81: Ping từ Host 4 sang các Host khác để kiểm tra ..................................................... 56
Hình 82: Cấu hình Extended Access List trển router R2 ...................................................... 56
Hình 83: Ping các Host với nhau để kiểm tra ....................................................................... 56
71
Hình 84: Mạng riêng ảo ........................................................................................................ 57
Hình 85: Mô hình lab VPN Site To Site ................................................................................ 59
Hình 86: Kiểm tra các thông số của router R1 mô hình lab VPN Site To Site ..................... 59
Hình 87: Kiểm tra các thông số của router R2 mô hình lab VPN Site To Site ..................... 60
Hình 88: Kiểm tra cấu hình định tuyến router trên R2 mô hình lab VPN Site To Site ......... 60
Hình 89: Kiểm tra cấu hình VPN Site To Site trên router trên R2 ........................................ 61
Hình 90: Kiểm tra cấu hình VPN Site To Site trên router trên R2 ........................................ 61
Hình 91: Kiểm tra các thông số của router R3 mô hình lab VPN Site To Site ..................... 62
Hình 92: Kiểm tra cấu hình định tuyến trên R3 mô hình lab VPN Site To Site .................... 62
Hình 93: Kiểm tra cấu hình VPN Site To Site trên router trên R3 ........................................ 62
Hình 94: Kiểm tra cấu hình VPN Site To Site trên router trên R3 ........................................ 63
Hình 95: Ping từ Host 1 sang Host 2 và ngược lại ............................................................... 63