Báo cáo thực tập tuần 4

TRUNG TÂM ĐAO TAOQUAN TRI MANG & AN NINH MANG

QUÔC TÊ ATHENA

ĐỀ TÀI 10 NGHIÊN CƯU CƠ CHÊ ROUTING CUA CISCO,

MÔ PHONG TRÊN NÊN GNS3

Giảng viên hướng dẫn : Vo Đô ThăngSinh viên thực hiện : Trân Trong Thai

T2, 4, 6 (ca 10h-14h)

14/04/2014-30/5/2014

Bao cao thưc tâp GVHD: Vo Đô Thăng

1 Tim hiêu cach gia lâp router cisco trên nên GNS3.

1.1 Giơi thiêu.

- GNS3 là phần mềm dùng để giả lập cisco router do Cristophe Fillot viết ra, nó tương tự như VMWare. Tuy nhiên nó sử dụng IOS thực của Cisco để giả lập router.

- Phần mềm này được viết ra nhằm: + Giúp mọi người làm quen với thiết bị Cisco. + Kiểm tra và thử nghiệm những tính năng trong cisco IOS. + Test các mô hình mạng trước khi đi vào cấu hình thực tế.

- Để sử dụng GNS3,bạn có thể download tại đây: Download - GNS3...

1.2 Hương dân cai đăt GNS3.

- Kích đúp chuột vào file vừa download về ( version hiện tại là 0.8.3.1 ) và tiến hành cài đặt bình thường theo chế độ mặc định bằng cách nhấn Next.

SVTT: Trân Trong Thai Page 1


Hinh 1



Hinh 2

- Nhân I Agree.

Hinh 3

- Nhấn Next.



Hinh 4

- Các phần mềm kèm theo sẽ được cài mặc định. Nhấn Next.- .

Hinh 5

- Nhấn Install để bắt đầu cài đặt.



Hinh 6

- Qua trinh cai đăt băt đâu diên ra.



Hinh 7

- Nhân next.



Hinh 8

- Nhân Finish.

1.3 Cấu hình GNS3

Hinh 9



- Kiêm tra đương dân tơi Dynamic va thư muc lam viêc.

Hinh 10

- Chon đường dẫn đến thư mục Dynamips.(mặc định rồi!) --> nhấn Test để kiểm tra. ---> nhấn OK!.

1.4 Load IOS cho router



Hinh 11

- Vào Edit -> IOS images and hypervisors /IOS images.

Hinh 12



- Chọn đường dẫn đến thư mục chứa IOS, bằng cách kích vào images file. Vi du chon router c3725. Sau khi chọn đường dẫn đến IOS xong nhấn chon Save -> Close .

Hinh 13

- Tiếp theo kích chuột vào Router C3725 giữ và kéo thả vào ô bên cạnh. Lúc này ta sẽ thấy ở tab Topology Summary router sẽ báo mầu đỏ nghĩa là router đang chế độ Turn off.



Hinh 14

Hinh 15

- Ta bật lên bằng cách kích phải chuột vào router chon start, bạn sẽ thấy R1 báo màu xanh.



Hinh 16

- Khi Start lên vào Task manager sẽ thấy CPU là 100%.



Hinh 17

- Sư dung tinh năng Idle PC.

Hinh 18

- Chon muc đanh dâu sao.

Hinh 19

- CPU đa giam đi đang kê. Bây giơ ta chi cân tiên hanh câu hinh router.



2 Tim hiêu cac câu lênh câu hinh căn ban (cac mode dong lênh, cach gan IP vao interface, kiêm tra cac thông sô IP).

2.1 Cac mode config cua router.

Cisco router có nhiều chế độ (mode) khi config, mỗi chế độ có đặc điểm riêng, cung cấp một số các tính năng xác định để cấu hình router.

- User Mode hay User EXEC Mode: Đây là mode đầu tiên khi bạn bắt đầu một phiên làm việc với router (qua Console hay Telnet). Ở mode này ta chỉ có thể thực hiện được một số lệnh thông thường của router. Các lệnh này chỉ có tác dụng một lần như lệnh show hay lệnh clear một số các counter của router hay interface. Các lệnh này sẽ không được ghi vào file cấu hình của router và do đó không gây ảnh hưởng đến các lần khởi động sau của router.

- Privileged EXEC Mode: Để vào Privileged EXEC Mode, từ User EXEC mode gõ lệnh enable và password (nếu cần). Privileged EXEC Mode cung cấp các lệnh quan trọng để theo dõi hoạt động của router, truy cập vào các file cấu hình, IOS, đặt các password… Privileged EXEC Mode là chìa khóa để vào Configuration Mode, cho phép cấu hình tất cả các chức năng hoạt động của router.

- Configuration Mode: + Như đa noi trên, configuration mode cho phép cấu hình tất cả

các chức năng của Cisco router bao gồm các interface, các routing protocol, các line console, vty (telnet), tty (async connection). Các lệnh trong configuration mode sẽ ảnh hưởng trực tiếp đến cấu hình hiện hành của router chứa trong RAM (running-configuration). Nếu cấu hình này được ghi lại vào NVRAM, các lệnh này sẽ có tác dụng trong những lần khởi động sau của router.

+ Configurarion mode có nhiều mode nhỏ, ngoài cùng là global configuration mode, sau đó là các interface configration mode, line configuration mode, routing configuration mode.

+ ROM Mode : ROM mode dùng cho các tác vụ chuyên biệt, can thiệp trực tiếp vào phần cứng củarouter như Recovery password, maintenance. Thông thường ngoài các dòng lệnh do người sử dụng bắt buộc router vào ROM mode, router sẽ tự động chuyển vào ROM mode nếu không tìm thấy file IOS hay file IOS bị hỏng trong quá trình khởi động.



Hinh 10: Một số mode config của Cisco Router.

2.2 Các lệnh câu hinh căn bản trên Router.

2.2.1 C u hình đ t tên cho Router ấ ặ- Đâu tiên khi cấu hình router ta nên đặt tên cho router.

Router(config)#hostname ThaiR1 ThaiR1(config)#

- Ngay sau khi nhấn phím Enter để thực thi câu lệnh, dấu nhắc sẽ đổi từ tên mặc định (Router) sang tên vừa mới đặt.

2.2.2 C u hình đ t m t kh u cho Router .ấ ặ ậ ẩ- Đặt mật khẩu cho đường console.

ThaiR1(config)#line console 0 ThaiR1(config-line)#password <<password>> ThaiR1(config-line)#login

- Chúng ta cũng cần đặt mật khẩu cho một hoặc nhiều đương vty để kiểm soát các user truy nhập từ xa vào router và Telnet. Thông thường Cisco router có 5 đường vty với thứ tự từ 0 đến 4. Chúng ta thường sử dụng một mật khẩu cho tất cả các đường vty, nhưng đôi khi chúng ta nên đặt thêm mật khẩu riêng cho một đường để dự phòng khi cả 4 đường kia đều



đang được sủ dụng. Sau đây là các lệnh cần sử dụng để đặt mật khẩu cho đường vty:

ThaiR1(config)#line vty 0 4 ThaiR1(config-line)#password <<password>> ThaiR1(config-line)#login

- Mật khẩu enable và enable secret được sử dụng để hạn chế việc truy cập vào chế độ EXEC đặc quyền. Mật khẩu enable chỉ được sử dụng khi chúng ta cài đặt mật khẩu enable secret vì mật khẩu này được mã hoá còn mật khẩu enable thì không. Sau đây là các lệnh dùng để đặt mật khẩu enable secret:

ThaiR1(config)#enable password <<password>> ThaiR1(config)#enable secret <<password>>

Đôi khi ta sẽ thấy là rất không an toàn khi mật khẩu được hiển thị rõ ràng khi sử dụng lệnh show running-config hoặc show startup-config. Để tránh điều này ta nên dùng lệnh sau để mã hoá tất cả các mật khẩu hiển thị trên tập tin cấu hình của router:

ThaiR1(config)#service password-encryption

2.2.3 C u hình c ng Interface ấ ổ

- Chúng ta có thẻ cấu hình cổng interface bằng đường console hoặc vty. Mỗi một cổng đều phải có một địa chỉ IP và subnet mask để chúng có thể định tuyến các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:

ThaiR1(config)#interface serial 0/0 ThaiR1(config)#ip address 192.168.1.1 255.255.255.0

- Mặc định thì các cổng giao tiếp trên router đều đóng. Nếu muốn mở hay khởi động các cổng này thì ta phải dùng lệnh no shutdown. Nếu muốn đóng cổng lại để bảo trì hoặc xử lý sự cố thì dùng lệnh shutdown.

ThaiR1(config)#interface serial 0/0 ThaiR1(config-if)#clock rate 56000 ThaiR1(config-if)#no shutdown

- Co rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trên router và để tìm ra sự cố. Trong cả hai chế độ EXEC đặc quyền và EXEC người dùng, khi gõ « show? » ta sẽ xem được danh sách các lệnh show. Đương nhiên là số lệnh show dùng được trong chế độ EXEC đặc quyền sẽ nhiều hơn trong chế độ EXEC người dùng.



- Show interface - hiển thị trạng thái của tất cả các cổng giao tiếp trên router. Để xem trạng thái của một cổng nào đó thì ta thêm tên và số thứ tự của cổng đó sau lệnh show interface. Ví dụ như:

ThaiR1#show interface serial 0/1

Ngoài ra còn các lệnh “show” khác: + Hiển thị tập tin cấu hình trên RAM.

ThaiR1#show startup-configuration

+ Hiển thị tập tin cấu hình đang chạy.

ThaiR1#show running-configuration

+ Hiển thị bảng định tuyến.

ThaiR1#show ip route

+ Hiển thị thông tin cơ bản về các interface .

ThaiR1#show ip interface brief

+ Hiên thi phương thức phân giải địa chỉ động.

ThaiR1#show ARP

+ Hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã được cấu hình giao thức lớp 3 .

ThaiR1#show protocol



3 Tim hiêu tông quan ly thuyêt vê đinh tuyên tinh, đinh tuyên đông.

3.1 Giới thiệu

- Định tuyến (Routing) là 1 quá trình mà Router thực thi để chuyển một gói tin (Packet) từ một địa chỉ nguồn (soucre) đến một đia chi đích(destination) trong mạng. Trong quá trình này Router phải dựa vào những thông tin định tuyến để đưa ra những quyết định nhằm chuyển gói tin đến những địa chỉ đích đã định trước.Có hai loại định tuyến cơ bản là Định tuyến tĩnh (Static Route) và Định tuyến động (Dynamic Route)

- Người quản trị mạng khi chọn lựa một giao thức định tuyến động cần cân nhắc một số yếu tố như: độ lớn của hệ thống mạng, băng thông các đường truyền, khả năng của router. Loại router và phiên bản router, các giao thức đang chạy trong hệ thống mạng.

3.2 Tông quan về giao thức định tuyến tĩnh.

Đối với định tuyến tĩnh, các thông tin về đường đi phải do người quản trị mạng nhập cho router .Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người quản trị mạng phải xoá hoặc thêm các thông tin về đường đi cho router. Những loại đường đi như vậy gọi là đường đi cố định .Đối với hệ thống mạng lớn thì công việc bảo trì mạng định tuyến cho router như trên tốn rất nhiều thời gian .Còn đối với hệ thống mạng nhỏ ,ít có thay đổi thì công việc này đỡ mất công hơn .Chính vì định tuyến tĩnh đòi hỏi người quản trị mạng phải cấu hình mọi thông tin về đường đi cho router nên nó không có được tính linh hoạt như định tuyến động .Trong những hệ thống mạng lớn ,định tuyến tĩnh thường được sử dụng kết hợp với giao thức định tuyến động cho một số mục đích đặc biệt.

3.2.1 Ho t đ ng c a đ nh tuy n tĩnh.ạ ộ ủ ị ế

Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau: - Đầu tiên ,người quản trị mạng cấu hình các đường cố định cho router - Router cài đặt các đường đi này vào bảng định tuyến .- Gói dữ liệu được định tuyến theo các đường cố định này.

3.2.2 Cu phap câu lênh câu hinh.

ThaiR1(config)# ip route <destination-network> <subnet-mask> <address | interface>

- Destination-network: la đia chi mang cân đi tơi.- Subnet-mask: Subnet-mask cua Destination-network.- Address: đai chi ip cua cua công trên router ma goi tin se đi ra hoăc

interface: công cua router ma goi tin se đi ra.



3.3 Tông quan vê đinh tuyên đông.

- Giao thức định tuyến khác với giao thức được định tuyến cả về chức năng và nhiệm vụ. Giao thức định tuyến được sử dụng để giao tiếp giữa các router với nhau.Giao thức định tuyến cho phép router này chia sẻ các thông tin định tuyến mà nó biết cho các router khác .Từ đó ,các router có thể xây dựng và bảo trì bảng định tuyến của nó.

- Sau đây là một số giao thức định tuyến :RIP, IGRP, EIGRP, OSPF... - Còn giao thức được định tuyến thì được sử dụng để định hướng cho dữ

liệu của người dùng. Một giao thức được định tuyến sẽ cung cấp đầy đủ thông tin về địa chỉ lớp mạng để gói dữ liệu có thể truyền đi từ host này đến host khác dựa trên cấu trúc địa chỉ đó .

- Sau đây là các giao thức được định tuyến:+ Internet Protocol (IP) + Internetwork Packet Exchange(IPX)

3.3.1 Autonmous sytem(AS) (H th ng t qu n)ệ ố ự ả

Hệ tự quản (AS) là một tập hợp các mạng hoạt động dưới cùng một cơ chế quản trị về định tuyến .Từ bên ngoài nhìn vào ,một AS được xem như một đơn vị .Tổ chức Đăng ký số Internet của Mỹ (ARIN-American Regitry of Internet Numbers) là nơi quản lý việc cấp số cho mỗi AS .Chỉ số này dài 16 bit .Một số giao thức định tuyến ,ví dụ như giao thức IRGP của Cisco,đòi hỏi phải có số AS xác định khi hoạt động .

Hinh 11



3.3.2 M c đích c a giao th c đ nh tuy n và h th ng t qu nụ ủ ứ ị ế ệ ố ự ả

- Mục đích của giao thức định tuyến là xây dựng và bảo trì bảng định tuyến .Bảng định tuyến này mang thông tin về các mạng khác và các cổng giao tiếp trên router đến các mạng này .Router sử dụng giao thức định tuyến để quản lý thông tin nhận được từ các router khác ,thông tin từ cấu hình của các cổng giao tiếp và thông tin cấu hình các đường cố định .

- Giao thức định tuyến cấp nhật về tất cả các đường ,chọn đường tốt nhất đặt vào bảng định tuyến và xoá đi khi đường đó không sử dụng được nữa .Còn router thì sử dụng thông tin trêng bảng định tuyến để chuyển gói dữ liệu của các giao thức được định tuyến .

- Định tuyến động hoạt động trên cơ sở các thuật toán định tuyến .Khi cấu trúc mạng có bất kỳ thay đổi nào như mở rộng thêm ,cấu hình lại ,hay bị trục trặc thì khi đó ta nói hệ thống mạng đã được hội tụ .Thời gian để các router đồng bộ với nhau càng ngắn càng tốt vì khi các router chưa đồng bộ với nhau về các thông tin trên mạng thì sẽ định tuyến sai.

- Với hệ thống tự quản (AS) ,toàn bộ hệ thống mạng toàn cầu được chia ra thành nhiều mạng nhỏ, dể quản lý hơn.Mỗi AS có một số AS riêng ,không trùng lặp với bất kỳ AS khác ,và mỗi AS có cơ chế quản trị riêng của mình .



4 Mô hinh lab static route.

4.1 Muc tiêu: Câu hinh static route đê pc1 ping thanh công tơi pc2 va ngươc lai.

Đăt ip interface công f0/0 trên R1

• Tương tư cho công f0/1.



• Công f0/0 cua R2.

• Cuôi cung la công f0/1.

Show cac ip v a câu hinh trên cac router.ư



• Như vây la minh đa câu hinh thanh công cac đia chi ip trên router

Tiên hanh show bang đinh tuyên cua 2 router xem no đa đ c đinh ươ tuyên nh thê nao.ư

• Cac đương mang co đanh chư C la cac mang kêt nôi trưc tiêp vơi router ma no hoc đươc trong bang đinh tuyên.

Ta ping th gi hai router R1 va R2.ư ư

• Tai R1 ping tơi R2 thông qua đương mang 10.10.10.0/24 thanh công.

• Đưng tai ThaiR1 ping tơi đia chi 192.168.1.1 tư xa cua R2 không thanh công do trong bang đinh tuyên cua R1 không co đương mang 192.168.1.0/24.



• Dung pc1 ping tơi đia chi 192.168.1.1 no đưa ra môt thông bao răng không biêt đia chi đich đê truyên tai dư liêu ping đên.

Câu hinh static route đê co thê chuy n m t gói tin t m t đ a ch ể ộ ừ ộ ị ỉngu n đ n m t đia chi đích trong m ng.ồ ế ộ ạ

• Tai R1 thưc thiên static route mang 192.168.1.0 gateway 255.255.255.0 thông qua công f0/0.

• Tương tư tai R2 thưc thiên static route mang 172.16.0.0 gateway 255.255.0.0 thông qua công f0/0.



• Luc nay khi show bang đinh tuyên cua 2 Router ta thây xuât hiên chư S (static) tưc la R1 va R2 đa hoc đươc cac đương mang mơi, cu thê la mang 172.16.1.0/16 va 192.168.1.0/24.

• Router ThaiR2 ping thư đên đia chi 172.16.1.1 thanh công.

• Bây giơ ta dung pc1 ping đên pc2, kêt qua goi tin gưi tư pc1 đa đên đươc pc2.

4.2 Kêt qua: Mô hinh static route đa đươc hôi tu. Ta co thê ping qua lai giưa cac đia chi trong mang.



5 Thưc hiên mô hinh cac mô hinh lab RIPv2, OSPF, EIGRP.

5.1 Mô hinh lab RIPv2 cơ ban.

5.1.1 Gi i thiêu.ơ

RIP (Routing Information Protocol) là một giao thức định tuyến theo vectơ khoảng cách được sử dụng rộng rãi trên thế giới. Mặc dù RIP không có những khả năng và đặc điểm như những giao thức định tuyến khác nhưng RIP dựa trên những chuẩn mở và sử dụng đơn giản nên vẫn được các nhà quản trị mạng ưa dùng. Do đó RIP là một giao thức tốt để người học về mạng bước đầu làm quen, sau đây là các đặc điểm chính của RIP:- Là giao thức định tuyến theo vectơ khoảng cách .- Sử dụng số lượng hop để làm thông số chọn đường đi .- Nếu số lượng hop để tới đích lớn hơn 15 thì gói dữ liệu sẽ bị huỷ bỏ .- Cập nhật theo định kỳ mặc định là 30 giây.

5.1.2 Ti n trình c a RIP.ế ủ

- RIP được phát triển trong nhiều năm bắt đầu từ phiên bản 1 (RIPv1). RIP chỉ là giao thức định tuyến theo lớp địa chỉ cho đến phiên bản 2(RIPv2).

- RIP trở thành giao thức định tuyến không theo lớp địa chỉ. RIPv2 có những ưu điểm hơn như sau:+ Cung cấp thêm nhiều thông tin định tuyến hơn. + Có cơ chế xác minh giữa các router khi cập nhật để bảo mật cho bảng định tuyến. + Có hỗ trợ VLSM (variable Length Subnet Masking-Subnet mask có chiều dài khác nhau).

- RIP tránh định tuyến lặp vòng đếm đến vô hạn bằng cách giới hạn số lượng hop tố đa cho phép từ máy gửi đến máy nhận, số lương hop tối đa cho mỗi con đường là 15. Đối với các con đường mà router nhân được từ thông tin cập nhật của router láng giềng, router sẽ tăng chỉ số hop lên 1 vì router xem bản thân nó cũng là 1 hop trên đường đi. Nếu sau khi tăng chỉ số hop lên 1 mà chỉ số này lớn hơn 15 thì router sẽ xem như mạng đích không tương ứng với con đương này không đến được. Ngoài ra, RIP cũng có những đặc tính tương tự như các giao thức định tuyến khác. Ví dụ như: RIP cũng có horizon và thời gian holddown để tránh cập nhật thông tin định tuyến không chính xác.

5.1.3 So sánh RIPv1 và RIPv2.

- RIP sử dụng thuật toán định tuyến theo vectơ khoảng cách. Nếu có nhiều đường đến cùng một đích thì RIP sẽ chọn đường có số hop ít nhất. Chinh vì chỉ dựa vào số lượng hop để chọn đường nên đôi khi con đường mà RIP chọn không phải là đường nhanh nhất đến đích.



- RIPv1 cho phép các router cập nhật bảng định tuyến của chúng theo chu kỳ mặc định là 30 giây. Việc gửi thông tin định tuyến cập nhật liên tục như vậy giúp cho topo mạng được xây dựng nhanh chóng. Để tránh bị lăp vòng vô tận, RIP giới hạn số hop tối đa để chuyển gói là 15 hop. Nếu một mạng đích xa hơn 15 router thì xem như mạng đích đó không thể tới được và gói dữ liệu. đó sẽ bị huỷ bỏ . Điều này làm giới hạn khả năng mở rộng của RIP , RIPv1 sử dụng cơ chế split horizon để chống lặp vòng. Với cơ chế này khi gửi thông tin định tuyến ra một cổng giao tiếp , RIPv1 router không gửi ngược trở lại các thông tin định tuyến mà nó học đước từ chính cổng dó, RIPv1 còn sử dụng thời gian holddown để chống lặp vòng. Khi nhận được một thông báo về một mạng đích bị sự cố, router sẽ khởi động thời gian holddown. Trong suốt khoảng thời gian holddown router sẽ không cập nhật tất cả các thông tin có thông số định tuyến xấu hơn về mạng đích đó.

- RIPv2 được phát triển từ RIPv1 nên nó cũng có các đặc tính như trên RIPv2 cũng là giao thức định tuyến theo vectơ khoảng cách sử dụng số lượng hop làm thông số định tuyến duy nhất . RIPv2 cũng sử dụng thời gian holddown và cơ chế split horizon để tránh lặp vòng. Sau đây là các điểm khác nhau giữa RIPv1 và RIPv2:

RIPv1 RIPv2Cấu hình đơn giản. Cấu hình đơn giản.Định tuyến theo lớp đia chỉ. Định tuyến không theo lớp đia chỉ.Không gửi thông tin về subnet mask trong thông tin định tuyến.

Gửi thông tin về subnet mask trong thông tin định tuyến.

Không hỗ trợ VLSM. Do đó tất cả các mạng trong hệ thống RIPv1phải có cùngsubnetmask.

Hỗ trợ VLSM. Các mạng trong hệ thống IPv2 có thể có chiều dài subnet mask khácnhau.

Không có cơ chế xác minh thông tin định tuyến.

Có cơ chế xác minh thông tin định tuyến.

Gửi quảng bá theo địa chỉ 255.255.255.255.

Gửi multicast theo via chỉ 224.0.0.9 nên hiệu quả hơn.



5.1.4 Muc tiêu: Qu ng bá thông tin v đ a ch mà mình mu n qu ng bá ả ề ị ỉ ố ảra bên ngoài và thu th p thông tin đ hình thành b ng đ nh tuy n ậ ể ả ị ế(Routing Table) cho Router đông th i PC1 co thê ping đên PC2.ơ

5.1.5 Mô hinh.

5.1.5.1 Tai router ThaiR1.

- Đăt ip cho cac công interface trên router.

ThaiR1(config)#interface s0/0ThaiR1(config-if)#ip address 1.1.1.1 255.255.255.0ThaiR1(config-if)#clock rate 64000ThaiR1(config-if)#no shutdown


ThaiR1(config)#interface f0/0ThaiR1(config-if)#ip address 172.16.0.1 255.255.0.0ThaiR1(config-if)#no shutdown

- Câu hinh giao thưc đinh tuyên RIPv2.

ThaiR1(config)#router rip - khởi động giao thức định tuyến RIP.ThaiR1(config-router)#version 2 - chạy phiên bản RIPv2.ThaiR1(config-router)#network 172.16.0.0 - khai báo các mạng kết nối với router để quảng bá.ThaiR1(config-router)#network 1.1.1.0ThaiR1(config-router)#network 4.4.4.0ThaiR1(config-router)#no auto-summary



- Hiển thị các giao thức định tuyến IP đang được chạy trên router.• Lệnh này cho thấy router được cấu hình với RIP không nhận được bất

kỳ thông tin cập nhật nào từ một router láng giềng trong 180 giây hoặc hơn thì những con đường học được từ router láng giềng đó sẽ được xem là không còn giá trị. Nếu vẫn không nhận thông tin cập nhật gì cả thì sau 240 giây, các con đường này sẽ bị xoá khỏi bảng định tuyến.

ThaiR1#show ip protocolsRouting Protocol is "rip" Sending updates every 30 seconds, next due in 10 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: rip Default version control: send version 2, receive version 2 Interface Send Recv Triggered RIP Key-chain FastEthernet0/0 2 2 Serial0/0 2 2 Serial0/1 2 2 Automatic network summarization is not in effect Maximum path: 4 Routing for Networks: 1.0.0.0 4.0.0.0 172.16.0.0 Routing Information Sources: Gateway Distance Last Update 1.1.1.2 120 00:00:06 4.4.4.1 120 00:00:26 Distance: (default is 120)

- Hiên thi những đường đi mà router học được tư giao thưc đinh tuyên RIPv2.

ThaiR1#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route

Gateway of last resort is not set



1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsR 2.2.2.0 [120/1] via 1.1.1.2, 00:00:03, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsR 3.3.3.0 [120/1] via 4.4.4.1, 00:00:27, Serial0/1 4.0.0.0/24 is subnetted, 1 subnetsR 192.168.1.0/24 [120/2] via 4.4.4.1, 00:00:20, Serial0/1 [120/2] via 1.1.1.2, 00:00:15, Serial0/0C 4.4.4.0 is directly connected, Serial0/1C 172.16.0.0/16 is directly connected, FastEthernet0/0

- Tai PC1 ping thanh công đên PC2.


- Đăt ip cho cac công interface trên router




ThaiR2(config)#router ripThaiR2(config-router)#version 2ThaiR2(config-router)#network 1.1.1.0ThaiR2(config-router)#network 2.2.2.0ThaiR2(config-router)#no auto-summary

ThaiR2#show ip routeGateway of last resort is not set



1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/1 3.0.0.0/24 is subnetted, 1 subnetsR 3.3.3.0 [120/1] via 2.2.2.2, 00:00:22, Serial0/1 4.0.0.0/24 is subnetted, 1 subnetsR 4.4.4.0 [120/1] via 1.1.1.1, 00:00:19, Serial0/0R 172.16.0.0/16 [120/1] via 1.1.1.1, 00:00:19, Serial0/0R 192.168.1.0/24 [120/1] via 2.2.2.2, 00:00:11, Serial0/1




ThaiR3(config)#interface s0/1ThaiR3(config-if)#ip address 3.3.3.1 255.255.255.0ThaiR3(config-if)#cloc rate 64000ThaiR3(config-if)#no shutdown



ThaiR3(config)#router ripThaiR3(config-router)#version 2ThaiR3(config-router)#network 2.2.2.0ThaiR3(config-router)#network 3.3.3.0ThaiR4(config-router)#network 192.168.1.0ThaiR3(config-router)#no auto-summary


1.0.0.0/24 is subnetted, 1 subnetsR 1.1.1.0 [120/1] via 2.2.2.1, 00:00:18, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/0



3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1 4.0.0.0/24 is subnetted, 1 subnetsR 4.4.4.0 [120/1] via 3.3.3.2, 00:00:22, Serial0/1R 172.16.0.0/16 [120/2] via 2.2.2.1, 00:00:18, Serial0/0 [120/2] via 3.3.3.2, 00:00:22, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/0


- Đăt ip cho cac công interface trên routerThaiR4(config)#interface s0/0ThaiR4(config-if)#ip address 3.3.3.2 255.255.255.0ThaiR4(config-if)#clock rate 64000ThaiR4(config-if)#no shutdown

ThaiR4(config)#interface s0/1ThaiR4(config-if)# ip address 4.4.4.1 255.255.255.0ThaiR4(config-if)#clock rate 64000ThaiR4(config-if)#no shutdown




1.0.0.0/24 is subnetted, 1 subnetsR 1.1.1.0 [120/1] via 4.4.4.2, 00:00:00, Serial0/1 2.0.0.0/24 is subnetted, 1 subnetsR 2.2.2.0 [120/1] via 3.3.3.1, 00:00:01, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/0 4.0.0.0/24 is subnetted, 1 subnetsC 4.4.4.0 is directly connected, Serial0/1R 172.16.0.0/16 [120/1] via 4.4.4.2, 00:00:00, Serial0/1R 192.168.1.0/24 [120/1] via 3.3.3.1, 00:00:19, Serial0/0

5.1.6 Kêt luân: Nh vây ta đa câu hinh c ban RIPv2 thanh công.ư ơ



5.2 Mô hinh lab EIGRP cơ ban.

- Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức định tuyến độc quyền của Cisco được phát triển từ Interior Gateway Routing Protocol (IGRP). Không giống như IGRP là một giao thức định tuyến theo lớp địa chỉ, EIGRP có hỗ trợ định tuyến liên miền không theo lớp địa chỉ (CIDR – Classless Interdomain Routing) và cho phép người thiết kế mạng tối ưu không gian sử dụng địa chỉ bằng VLSM. So với IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn và khả năng chống lặp vòng cao hơn.

- Hơn nữa, EIGRP còn thay thế được cho giao thức Novell Routing Information Protocol (Novell RIP) và Apple Talk Routing Table Maintenance Protocol (RTMP) để phục vụ hiệu quả cho cả hai mạng IPX và Apple Talk.

- EIGRP thường được xem là giao thức lai vì nó kết hợp các ưu điểm của cả giao thức định tuyến theo vectơ khoảng cách và giao thức định tuyến theo trạng thái đường liên kết.

- EIGRP là một giao thức định tuyến nâng cao hơn dựa trên các đặc điểm cả giao thức định tuyến theo trạng thái đường liên kết. Những ưu điểm tốt nhất của OSPF như thông tin cập nhật một phần, phát hiện router láng giềng…được đưa vào EIGRP. Tuy nhiên, cấu hình EIGRP dễ hơn cấu hình OSPF.

- EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được xây dựng dựa trên các Cisco router.

- Sau đây là các ưu điểm của EIGRP so với giao thức định tuyến theo vectơ khoảng cách thông thường: + Tốc độ hội tụ nhanh. + Sử dụng băng thông hiệu quả. + Có hỗ trợ VLSM (Variable – Length Subnet Mask) và CIDR

(Classless Interdomain Routing). Không giống như IGRP, EIGRP có trao đổi thông tin về subnet mask nên nó hỗ trợ được cho hệ thống IP không theo lớp.

+ Hỗ trợ nhiều giao thức mạng khác nhau. + Không phụ thuộc vào giao thức định tuyến. Nhờ cấu trúc từng phần

riêng biệt tương ứng với từng giao thức mà EIGRP không cần phải chỉnh sửa lâu. Ví dụ như khi phát triển để hỗ trợ một giao thức mới như IP chẳng hạn, EIGRP cần phải có thêm phần mới tương ứng cho IP nhưng hoàn toàn không cần phải viết lại EIGRP.

- EIGRP router hội tụ nhanh vì chúng sử dụng DUAL. DUAL bảo đảm hoạt động không bị lặp vòng khi tính toán đường đi, cho phép mọi router trong hệ thống mạng thực hiện đồng bộ cùng lúc khi có sự thay đổi xảy ra.

- EIGRP sử dụng băng thông hiệu quả vì nó chỉ gửi thông tin cập nhật một phần và giới hạn chứ không gửi toàn bộ bảng định tuyến. Nhờ vậy nó chỉ tốn một lượng băng thông tối thiểu khi hệ thống mạng đã ổn định. Điều này tương tự như hoạt động cập nhật của OSPF, nhưng không giống như router OSPF, router EIGRP chỉ gửi thông tin cập nhật một phần cho



router nào cần thông tin đó mà thôi, chứ không gửi cho mọi router khác trong vùng như OSPF. Chính vì vậy mà hoạt động cập nhật của EIGRP gọi là cập nhật giới hạn. Thay vì hoạt động cập nhật theo chu kỳ, các router EIGRP giữ liên lạc với nhau bằng các gói hello rất nhỏ. Việc trao đổi các gói hello theo định kỳ không chiếm nhiều băng thông đường truyền.

- EIGRP có thể hỗ trợ cho IP, IPX và Apple Talk nhờ có cấu trúc từng phần theo giao thức (PDMs – Protocol-dependent modules). EIGRP có thể phân phối thông tin của IPX RIP và SAP để cải tiến hoạt động toàn diện. Trên thực tế, EIGRP có thể điều khiển hai giao thức này. Router EIGRP nhận thông tin định tuyến và dịch vụ, chỉ cập nhật cho các router khác khi thông tin trong bảng định tuyến hay bảng SAP thay đổi.

- EIGRP còn có thể điều khiển giao thức Apple Talk Routing Table Maintenance Protocol (RTMP). RTMP sử dụng số lượng hop để chọn đường nên khả năng chọn đường không được tốt lắm. Do đó, EIGRP sử dụng thông số định tuyến tổng hợp cấu hình được để chọn đường tốt nhất cho mạng Apple Talk. Là một giao thức định tuyến theo vectơ khoảng cách, RTMP thực hiện trao đổi toàn bộ thông tin định tuyến theo chu kỳ. Để giảm bớt sự quá tải này, EIGRP thực hiện phân phối thông tin định tuyến Apple Talk khi có sự kiện thay đổi mà thôi. Tuy nhiên, Apple Talk client cũng muốn nhận thông tin RTMP từ các router nội bộ, do đó EIGRP dùng cho Apple Talk chỉ nên chạy trong mạng không có client, ví dụ như các liên kết WAN chẳng hạn.

5.2.1 Các đ c đi m c a EIGRPặ ể ủ

EIGRP hoạt động khác với IGRP. Về bản chất EIGRP là một giao thức định tuyến theo vectơ khoảng cách nâng cao nhưng khi cập nhật và bảo trì thông tin láng giềng và thông tin định tuyến thì nó làm việc giống như một giao thức định tuyến theo trạng thái đường liên kết.

5.2.2 Mô hinh.

5.2.3 Muc tiêu.



5.2.3.1 Trên router ThaiR1.




ThaiR1(config)#interface loopback 1ThaiR1(config-if)#ip address 10.0.0.10 255.0.0.0ThaiR1(config-if)#no shutdown

- Câu hinh đinh tuyên EIGRP trên Router ThaiR1 Cho phép giao thức định tuyến EIGRP chạy trên router với giá trị Autonomous System là 100. Tất cả các router hoạt động trong cùng một autonomous system sẽ phải cấu hình cùng giá trị AS..

ThaiR1(config)#router eigrp 100 100 la sô Autonomous.ThaiR1(config-router)#network 1.1.1.0 0.0.0.255 Quang ba mang 1.1.1.0ThaiR1(config-router)#network 2.2.2.0 0.0.0.255ThaiR1(config-router)#network 10.0.0.0 0.255.255.255ThaiR1(config-router)#no auto-summary

- Hiển thị các giao thức định tuyến IP đang được chạy trên router.



1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnets



C 2.2.2.0 is directly connected, Serial0/1 3.0.0.0/24 is subnetted, 1 subnetsD 3.3.3.0 [90/41024000] via 2.2.2.2, 00:18:12, Serial0/1 [90/41024000] via 1.1.1.1, 00:18:12, Serial0/0D 172.16.0.0/16 [90/3014400] via 1.1.1.1, 00:18:10, Serial0/0C 10.0.0.0/8 is directly connected, Loopback1D 192.168.1.0/24 [90/2172416] via 2.2.2.2, 00:18:13, Serial0/1






- Câu hinh giao thưc đinh tuyên EIGRP.

ThaiR2(config)#router eigrp 100ThaiR2(config-router)#network 1.1.1.0 0.0.0.255ThaiR2(config-router)#network 3.3.3.0 0.0.0.255ThaiR2(config-router)#network 172.16.0.0 0.0.255.255ThaiR2(config-router)#no auto-summary



1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsD 2.2.2.0 [90/2681856] via 1.1.1.2, 00:20:24, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1C 172.16.0.0/16 is directly connected, FastEthernet0/0



D 192.168.1.0/24 [90/2684416] via 1.1.1.2, 00:20:21, Serial0/0D 10.0.0.0/8 [90/2297856] via 1.1.1.2, 00:00:10, Serial0/0

- Tư PC1 ping thanh công đên đia chi cua PC2.






- Câu hinh giao thưc đinh tuyên EIGRP.

ThaiR3(config)#router eigrp 100ThaiR3(config-router)#network 2.2.2.0 0.0.0.255ThaiR3(config-router)#network 3.3.3.0 0.0.0.255ThaiR3(config-router)#network 192.168.1.0 0.0.0.255ThaiR3(config-router)#no auto-summary



1.0.0.0/24 is subnetted, 1 subnetsD 1.1.1.0 [90/3523840] via 2.2.2.1, 00:21:52, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/0 3.0.0.0/24 is subnetted, 1 subnets



C 3.3.3.0 is directly connected, Serial0/1D 172.16.0.0/16 [90/3526400] via 2.2.2.1, 00:21:52, Serial0/0D 10.0.0.0/8 [90/2297856] via 2.2.2.1, 00:01:33, Serial0/0C 192.168.1.0/24 is directly connected, FastEthernet0/0

5.2.4 Kêt luân: Trong bang đinh tuyên cua cac router đa hoc đ c cac ươ route cua nhau băng c chê đinh tuyên EIGRP va cac đia chi trong ơ mang co thê ping thanh công đên đia chi loopback cua router ThaiR1. Nh vây toan mang đa thông nhau.ư



5.3 Mô hinh lab OSPF cơ ban.

5.3.1 Gi i thiêu.ơ

- OSPF là giao thức đình tuyến theo trạng thái đường liên được triển khai dựa trên các chuẩn mở. OSPF đựơc mô tả trong nhiều chuẩn của IETF (Internet Engineering Task Force). Chuẩn mở ở đây có nghĩa là OSPF hoàn toàn mở đối với công cộng, không có tính độc quyền.

- Nếu so sánh với RIPv1 và v2 thí OSPF là một giao thức định tuyến nội vi IGP tốt hơn vì khả năng mở rộng của nó. RIP chỉ giới hạn trong 15 hop, hội tụ chậm và đôi khi chọn đường có tốc độ chậm vì khi quyết định chọn đường nó không quan tâm đến các yếu tố quan trọng khác như băng thông chẳng hạn. OSPF khắc phục được các nhược điểm của RIP và nó là một giao thức định tuyến mạnh, có khả năng mở rộng, phù hợp với các hệ thống mạng hiện đại. OSPF có thể được cấu hình đơn vùng để sử dụng cho các mạng nhỏ.

- Mạng OSPF lớn cần sử dụng thiết kế phân cấp và chia thành nhiều vùng. Các vùng này đều được kết nối vào cùng phân phối la vùng 0 hay còn gọi là vùng xương sống (backbone). Kiểu thiết kế này cho phép kiểm soát hoạt động cập nhật định tuyến. Việc phân vùng như vậy làm giảm tải của hoạt động định tuyến, tăng tốc độ hội tụ, giới hạn sự thay đổi của hệ thống mạng vào từng vùng và tăng hiệu suất hoạt động.

- Sau đây là các đặc điểm chính của OSPF: + Là giao thức định tuyến theo trạng thái đường liên kết. + Được định nghĩa trong RFC 2328. + Sử dụng thuật toán SPF để tính toán chọn đường đi tốt nhất. + Chỉ cập nhật khi cấu trúc mạng có sự thay đổi.

5.3.2 C ch ho t đ ng c a OSPF.ơ ế ạ ộ ủ

- OSPF thực hiện thu thập thông tin về trạng thái các đường liên kết từ các router láng giềng. Mỗi router OSPF quảng cáo trạng thái các đường liên kết của nó và chuyển tiếp các thông tin mà nó nhận được cho tất cả các láng giềng khác.

- Router xử lý các thông tin nhận được để xây dựng một cơ sở dữ liệu về trạng thái các đường liên kết trong một vùng. Mọi router trong cùng một vùng OSPF sẽ có cùng một cơ sở dữ liệu này. Do đó mọi router sẽ có thông tin giống nhau về trạng thái của các đường liên kết và láng giềng của các router khác.Mỗi router áp dụng thuật toán SPF và cơ sở dữ liệu của nó để tính toán chọn đường tốt nhất đến từng mạng đích. Thuật toán SPF tính toàn chi phí dựa trên băng thông của đường truyền. Đường nào có chi phí nhỏ nhất sẽ được chọn để đưa vào bảng định tuyến.

- Mỗi router giữ một danh sách các láng giềng thân mật, danh sách này gọi là cơ sở dữ liệu các láng giềng thân mật. Các láng giềng được gọi là thân mật là những láng giềng mà router có thiết lập mối quan hệ hai chiều.Một router có thể có nhiều láng giềng nhưng không phải láng giềng nào cũng



có mối quan hệ thân mật. Do đó chúng ta cần lưu ý mối quan hệ láng giềng khác với mối quan hệ láng giềng thân mật, hay gọi tắt là mối quan hệ thân mật. Đối với mỗi router danh sách láng giềng thân mật sẽ khác nhau.

- Để giảm bớt số lượng trao đổi thông tin định tuyến với nhiều router láng giềng trong cùng một mạng, các router OSPF bầu ra một router đại diện gọi là Designated router (DR) và một router đại diện dự phòng gọi là Backup Designated (BDR) làm điểm tập trung các thông tin định tuyến.

5.3.3 Các lo i gói tin OSPF ạ

OSPF co 5 loai goi tin la Hello, Database Description, Link State Request, Link Status Update, Link State Acknowledge.

- Hello: Goi tin Hello dung đê phat hiên trao đôi thông tin cua cac router cân kê.

- Database Description: goi tin nay dung đê chon lưa router nao se đươc quyên trao đôi thông tin trươc (master/slave).

- Link State Request: gói tin này dùng để chỉ định loại LSA dùng trong tiến trình trao đổi các gói tin DBD.

- Link State Update: gói tin này dùng để gửi các gói tin LSA đến router cận kề yêu cầu gói tin này khi nhận thông điệp Request.

- Link State Acknowledge: gói tin này dùng để báo hiệu đã nhận gói tin Update.

- Link State Acknowledge: Goi tin nay dung đê bao hiêu đa nhân goi tin Update.

5.3.4 Mô hinh OSPF đ n vung.ơ

5.3.4.1 Trên Router ThaiR1.


ThaiR1(config)#interface s0/0ThaiR1(config-if)#ip address 1.1.1.2 255.255.255.0ThaiR1(config-if)#clock rate 64000



ThaiR1(config-if)#no shutdown


- Câu hinh đinh tuyên OSPF trên Router ThaiR1 co cung môt area 0 vơi 2 router con lai .

ThaiR1(config)#router ospf 100 Chỉ số xác định tiến trình địng tuyến OSPF trên router vơi Process-id la 100.ThaiR1(config-router)#network 1.1.1.0 0.0.0.255 area 0 Quang ba mang 1.1.1.0/24 thuôc vung area 0.ThaiR1(config-router)#network 2.2.2.0 0.0.0.255 area 0

- Kiêm tra bang đinh tuyên cua router băng câu lênh #show ip route.



1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/1 3.0.0.0/24 is subnetted, 1 subnetsO 3.3.3.0 [110/128] via 1.1.1.1, 01:26:51, Serial0/0 [110/128] via 2.2.2.2, 01:26:51, Serial0/1 4.0.0.0/32 is subnetted, 1 subnetsC 4.4.4.10 is directly connected, Loopback0O 172.16.0.0/16 [110/65] via 1.1.1.1, 01:26:51, Serial0/0O 192.168.1.0/24 [110/65] via 2.2.2.2, 01:26:53, Serial0/1





ThaiR2(config-if)#ip address 1.1.1.1 255.255.255.0ThaiR2(config-if)#clock rate 64000ThaiR2(config-if)#no shutdown

ThaiR2(config)#interface s0/1ThaiR2(config-if)#ip address 3.3.3.2 255.255.255.0ThaiR2(config-if)#cloc rate 64000ThaiR2(config-if)#no shutdown


Câu hinh đinh tuyên OSPF trên Router ThaiR2 co cung môt area 0 vơi 2 router con lai .

ThaiR2(config)#router ospf 100ThaiR2(config-router)#network 1.1.1.0 0.0.0.255 area 0ThaiR2(config-router)#network 3.3.3.0 0.0.0.255 area 0ThaiR2(config-router)#network 172.16.0.0 0.0.255.255 area 0

- Kiêm tra bang đinh tuyên cua router.


1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsO 2.2.2.0 [110/128] via 3.3.3.1, 01:30:33, Serial0/1 [110/128] via 1.1.1.2, 01:30:33, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1 6.0.0.0/32 is subnetted, 1 subnetsC 6.6.6.10 is directly connected, Loopback0C 172.16.0.0/16 is directly connected, FastEthernet0/0O 192.168.1.0/24 [110/65] via 3.3.3.1, 01:30:35, Serial0/1

- Tai PC1 ping đên đia chi PC2 thanh công.






ThaiR3(config)#interface s0/1ThaiR3(config-if)#ip address 3.3.3.1 255.255.255.0ThaiR3(config-if)#clo rate 64000ThaiR3(config-if)#no shutdown


Câu hinh đinh tuyên OSPF trên Router ThaiR3 co cung môt area 0 vơi 2 router con lai .


- Kiêm tra bang đinh tuyên cua router.


1.0.0.0/24 is subnetted, 1 subnetsO 1.1.1.0 [110/128] via 3.3.3.2, 01:31:59, Serial0/1 [110/128] via 2.2.2.1, 01:31:59, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1 5.0.0.0/32 is subnetted, 1 subnetsC 5.5.5.10 is directly connected, Loopback0O 172.16.0.0/16 [110/65] via 3.3.3.2, 01:31:59, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/0



5.3.5 Nhân xet: Cac router đa biêt đ c tât ca cac mang trong s đô ươ ơtrên nh giao th c đinh tuyên OSPF.ơ ư

5.3.6 Mô hinh OSPF đa vung.


- Đăt ip cho cac công interface trên router tương tư như mô hinh OSPF đơn vung.

- Câu hinh đinh tuyên OSPF trên Router ThaiR1 vơi area 0.

ThaiR1(config)#router ospf 100 Chỉ số xác định tiến trình địng tuyến OSPF trên router vơi Process-id la 100.ThaiR1(config-router)#network 1.1.1.0 0.0.0.255 area 0 Quang ba mang 1.1.1.0/24 thuôc vung area 0.ThaiR1(config-router)#network 2.2.2.0 0.0.0.255 area 0




1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnets



C 2.2.2.0 is directly connected, Serial0/1 3.0.0.0/24 is subnetted, 1 subnetsO 3.3.3.0 [110/128] via 1.1.1.1, 00:03:21, Serial0/0 [110/128] via 2.2.2.2, 00:03:21, Serial0/1 4.0.0.0/32 is subnetted, 1 subnetsC 4.4.4.10 is directly connected, Loopback0O 172.16.0.0/16 [110/65] via 1.1.1.1, 00:03:21, Serial0/0O IA 192.168.1.0/24 [110/65] via 2.2.2.2, 00:03:18, Serial0/1



- Câu hinh đinh tuyên OSPF trên Router ThaiR2 vơi area 0.





1.0.0.0/24 is subnetted, 1 subnetsC 1.1.1.0 is directly connected, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsO 2.2.2.0 [110/128] via 3.3.3.1, 00:04:39, Serial0/1 [110/128] via 1.1.1.2, 00:04:39, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1 6.0.0.0/32 is subnetted, 1 subnetsC 6.6.6.10 is directly connected, Loopback0C 172.16.0.0/16 is directly connected, FastEthernet0/0O IA 192.168.1.0/24 [110/65] via 3.3.3.1, 00:04:36, Serial0/1





- Câu hinh đinh tuyên OSPF trên Router ThaiR3 vơi interface s0/0 va s0/1 thuôc area 0 con interface thuôc f0/0 thuôc area 1 .




1.0.0.0/24 is subnetted, 1 subnetsO 1.1.1.0 [110/128] via 3.3.3.2, 00:05:54, Serial0/1 [110/128] via 2.2.2.1, 00:05:54, Serial0/0 2.0.0.0/24 is subnetted, 1 subnetsC 2.2.2.0 is directly connected, Serial0/0 3.0.0.0/24 is subnetted, 1 subnetsC 3.3.3.0 is directly connected, Serial0/1 5.0.0.0/32 is subnetted, 1 subnetsC 5.5.5.10 is directly connected, Loopback0O 172.16.0.0/16 [110/65] via 3.3.3.2, 00:05:54, Serial0/1C 192.168.1.0/24 is directly connected, FastEthernet0/0

- Tai PC2 ping thanh công đên PC1

5.3.7 Nhân xet: Router ThaiR1 va ThaiR2 đa biêt đ c cac mang cua ươ router ThaiR3 thuôc 2 vung khac nhau.



6 Tin hiêu cac công cu filter route.

6.1 1. Khái niệm về Access – list.ACLs(Access Control Lists) là một danh sách các chính sách được áp dụng vào các cổng (interface) của một router. Danh sách này chỉ ra cho router biết gói tin (packet) nào được cho phép đi qua (permit), hay gói tin nào bị hủy bỏ (deny). Sự chấp nhận hay hủy bỏ này có thể dựa trên dựa vào địa chỉ nguồn (source address), địa chỉ đích (destination address), chỉ số cổng (socket).

6.2 2. Tại sao phải sử dụng Access – list. - Quản lý traffic qua cổng của router- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở tính năng lọc gói tin qua router.

6.3 3. Phân loại Access – list.ACLs được phân thành 2 loại chính: Standard ACLs và Extented ACLs

- Standard ACLs: là loại ACLs đơn giản, hoạt động lọc gói tin dựa vào địa chỉ nguồn của gói tin

- Extended ACLs : hoạt động lọc gói tin ngoài dựa vào địa chỉ nguồn còn có thể dựa vào địa chỉ đích, chỉ số cổng nguồn, chỉ số cổng đích của gói tin. Vì vậy Extended ACLs có thể lọc gói tin linh hoạt hơn.

Standard ACLs filter IP Packets based on the source address only.

access-list 10 permit 192.168.30.0 0.0.0.255

Extended ACLs filter IP packets based on several attribute, including the fllowing:

• source and destination ip address• source and destination tcp and udp ports• protocol type (IP, ICMP, UDP, TCP, or protocol number)

access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80

6.4 3. Nguyên tắc hoạt động của danh sách truy cập.

- Danh sách truy cập diễn tả một danh sách các qui luật mà nó cho phép thêm vào các điều khiển các gói tin đi vào một giao diện của router, các gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện của router.

- Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ router đang xét.

- Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự. Chúng đánh giá các gói tin từ trên xuống. Nếu tiêu đề của một gói tin và một lệnh trong danh sách truy cập khớp với nhau, gói tin sẽ bỏ qua các lệnh còn lại. Nếu một điều kiện được thỏa mãn, gói tin sẽ được cấp phép hay



bị từ chối. Chỉ cho phép một danh sách trên một giao thức trên một giao diện.

6.5 Câu hinh Standard Access List.

6.5.1 Mô hinh.

6.5.2 Muc tiêu:



THAIR1(config)#interface s0/0THAIR1(config-if)#ip address 172.16.0.1 255.255.0.0THAIR1(config-if)#clock rate 64000THAIR1(config-if)#no shutdown

THAIR1(config)#interface e1/0THAIR1(config-if)#ip address 192.168.1.1 255.255.255.0THAIR1(config-if)#no shutdown

- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac router.

THAIR1(config)#router ripTHAIR1(config-router)#version 2THAIR1(config-router)#network 192.168.1.0THAIR1(config-router)#network 172.16.0.0THAIR1(config-router)#no auto-summary


THAIR1#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route


C 172.16.0.0/16 is directly connected, Serial0/0C 192.168.1.0/24 is directly connected, Ethernet1/0



- Qua trinh đinh tuyên thanh công.

- Tao Standard access list ngăn không cho router ThaiR2 ping vao host.

THAIR1(config)#access-list 1 deny 172.16.0.2 0.0.0.0 tư chôi sư truy câp cua đia chi 172.16.0.2

THAIR1(config)#interface s0/0THAIR1(config-if)#ip access-group 1 in ngăn can đương vao cua công s0/0 theo access group 1.

- Kêt qua đưng tai router THAIR2 ping không thanh công đên PC1.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)

- Thưc hiên đôi đia chi cua router.


- Thưc hiên lai viêc đinh tuyên.

THAIR1(config)#router ripTHAIR1(config-router)#version 2THAIR1(config-router)#no network 172.16.0.0THAIR1(config-router)#network 192.168.15.0THAIR1(config-router)#network 192.168.1.0THAIR1(config-router)#no auto-summary

- Lênh ping vân không thanh công, ly do la khi không tim thây đia chi source (đia chi la) trong danh sach Access list, router se măc đinh thưc hiên Deny any, vi vây ban phai thay đôi măc đinh nay.

THAIR1(config)#access-list 1 permit any

- Luc nay tai router THAIR2 đa co thê ping đên PC1.



THAIR2#ping 192.168.1.2

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/76/208 ms


- Đăt ip cho công interface s0/0 trên router.



THAIR2(config)#router ripTHAIR2(config-router)#version 2THAIR2(config-router)#network 172.16.0.0THAIR2(config-router)#no auto-summary


THAIR2#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route


C 172.16.0.0/16 is directly connected, Serial0/0R 192.168.1.0/24 [120/1] via 172.16.0.1, 00:00:13, Serial0/0

- Thưc hiên đôi đia chi cua router.

THAIR2(config)#interface s0/0THAIR2(config-if)#ip address 192.168.15.2 255.255.255.0THAIR2(config-if)#clock rate 64000



THAIR2(config-if)#no shutdown

- Thưc hiên lai viêc đinh tuyên.

THAIR2(config)#router ripTHAIR2(config-router)#version 2THAIR2(config-router)#no network 172.16.0.0THAIR2(config-router)#network 192.168.15.0THAIR2(config-router)#no auto-summary

6.6 Câu hinh Extended Access List.

6.6.1 Mô hinh.

6.6.2 Muc tiêu: Câu hinh Extended access list sao cho PC1 không thê Telnet vao router ThaiR2 nh ng vân co thê duyêt web qua router ư ThaiR2.




ThaiR1(config)#interface e1/0ThaiR1(config-if)#ip address 10.0.0.1 255.0.0.0ThaiR1(config-if)#no shutdown

- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac router.




- Tai PC1 ping thanh công đên PC2.

- Sau đo Telnet va duyêt web tư PC1 vao router ThaiR2 vơi mât khâu cisco.


- Đăt Mật khẩu truy câp vao enable mode.

ThaiR2(config)#enable secret router

- Đăt mật khẩu telnet.

ThaiR2(config)#line vty 0 4ThaiR2(config-line)#loginThaiR2(config-line)#password cisco



ThaiR2(config)#interface e1/0ThaiR2(config-if)#ip address 192.168.1.1 255.255.255.0ThaiR2(config-if)#no shutdown


ThaiR2(config)#router ripThaiR2(config-router)#version 2ThaiR2(config-router)#network 172.16.0.0ThaiR2(config-router)#network 192.168.1.0



ThaiR2(config-router)#no auto-summary

- Tiên hanh gia môt http server trên Router.ThaiR2(config)#ip http server

- Thưc hiên câu hinh Access list.

ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2 0.0.0.0 eq telnetThaiR2(config)#interface s0/0ThaiR2(config-if)#ip access-group 101 in

- Ta nhân thây qua trinh Telnet không thanh công nhưng duyêt web cung không thanh công.

- Đê duyêt web thanh công cân thưc hiên thay đôi câu lênh Deny any măc đinh cua Access list.

ThaiR2(config)#access-list 101 permit ip any any

6.6.3 Kêt luân: Nh vây ta đa thanh công viêc câu hinh cho Extended ư Access List v i muc đich ngăn câm viêc Telnet vao router va cho ơ phep qua trinh duyêt web vao router.



7 VPN trên Cisco.

7.1 Tông quan vê VPN.

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.

7.2 Đinh nghia VPN.

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách



nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel).

7.3 Lơi ich cua VPN.

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng mạng leased-line.Những lợi ích đầu tiên bao gồm:

- Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%.

- Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối mở rộng. Theo cách này VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phòng, những vị trí ngoài quốc tế,những người truyền thông, những người dùng điện thoại di động, những người hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi.

- Đơn giản hóa những gánh nặng.- Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử

dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Rely và ATM.

- Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập.

- Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như TCP/IP.- Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã

hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.

7.4 Các thành phần cần thiết để tạo kết nối VPN:- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho

phép người dùng hợp lệ kết nối và truy cập hệ thống VPN. - Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau

khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

7.5 Các giao thức VPN:



7.6 Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và IPSec.

7.6.1 L2TP:

- Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2 Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN.

- L2TP ra đời sau với những tính năng được tích hợp từ L2F. L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản WindowNT và 2000

- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network). L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty.

- L2TP không cung cấp mã hóa.- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức

L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những ngườI sử dụng từ xa.

7.6.2 GRE:

- Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel)

- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra

- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP.

7.6.3 IPSec:

- IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu.

- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec.



7.6.4 Point to Point Tunneling Protocol (PPTP):

- Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows 95+ . Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN. Giống như giao thức NETBEUI và IPX trong một packet gửI lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit.

- Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó không cung cấp sự mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này thì được dùng tốt trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec.

7.7 Thiêt lâp môt kêt nôi VPN.

- Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet.

- Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới.- Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho

kết nối.- Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty.

7.8 Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS.

Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:- Chuẩn bị cho IKE và IPSec.- Cấu hình cho IKE.- Cấu hình cho IPSec.

• Cấu hình dạng mã hóa cho gói dữ liệu.Crypto ipsec transform-set

• Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác.Crypto ipsec sercurity-association lifetime

• Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access List) Crypto map.

• Cấu hình IPSec crypto maps.• Áp dụng các crypto maps vào các cổng giao tiếp (interfaces).

Crypto map map-name- Kiểm tra lại việc thực hiện IPSec.



A. Cấu hình cho mã hóa dữ liệu:

- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách bảo mật IPSec (transform set).

- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách bảo mật lưu thông trên mạng. Trong suốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của mình trên đường truyền. Transform set là sự kết hợp của các nhân tố sau:

• Cơ chế cho việc chứng thực: chính sách AH.• Cơ chế cho việc mã hóa: chính sách ESP.• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo

mật).- Transform set bằng với việc kết hợp các AH transform, ESP transform

và chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông). Transform set giới hạn từ một cho tới hai ESP transform và một AH transform. Định nghĩa Transform set bằng câu lệnh cryto ipsec transform-set ở chế độ gobal mode. Và để xoá các cài đặt transform set dùng lệnh dạng no.

- Cú pháp của lệnh và các tham số truyền vào như sau:crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform set trong mục crypto map. Định nghĩa các transform set trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được đinh nghĩa bởi ACL của mục crypto map. Trong suốt quá trình trao đổi, cả hai bên sẽ tìm kiếm các transform set giống nhau ở cả hai phiá. Khi mà các transform set được tìm thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec Sa ở cả 2 phía.

- Khi mà ISAKMP không được sử dụng để thiết lập các Sa, một transform set riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đổi.

- Thay đổi cấu hình Transform set:B1: Xóa các tranform set từ crypto map.B2: Xóa các transform set trong chế độ cấu hình gobal mode.B3: Cấu hình lại transform set với những thay đổi.B4: Gán transform set với crypto map.B5: Xóa cơ sở dữ liệu SA (SA database).B6: Theo dõi các trao đổi SA và chắc chắn nó họat động tốt.

- Cấu hình cho việc trao đổi transform:



- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE Phase 2 là những các transform set mà bạn cấu hình ưu tiên sử dụng. Bạn có thể cấu hình nhiều transform set và có thể chỉ ra một hay nhiều transform set trong mục crypto map. Cấu hình transform set từ những bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật của bạn. Những transform set được định nghĩa trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục crypto map.

- Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống nhau ở cả hai bên như minh họa ở hình trên. Các transform set của Router A được so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A transform set 10, 20, 30 được so sánh với transform set 40 của Router B. Nếu mà không trả vể kết quả đúng thì tất cả các transform set của Router A sau đó sẽ được so sánh với transform set tiếp theo của Router B. Cuối cùng transform set 30 của Router A giống với transform set 60 của Router B. Khi mà transform set được tìm thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần của IPSec SA của cả hai phía. IPSec ở mỗi bên sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA.

B. Cấu hình thời gian tồn tại của IPSec trong quá trình trao đổi:

- IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi thực hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời gian tồn tại có thể áp dụng lên tất cả các crypto map. Giá trị của global lifetime có thể được ghi đè với những mục trong crypto map.

- Bạn có thể thay đổi giá trị thời gian tồn tại của IPSec SA bằng câu lệnh crypto ipsec security-association lifetime ở chế độ global configuration mode. Để trả về giá trị mặc định ban đầu sử dụng dạng câu lệnh no. Cấu trúc và các tham số của câu lệnh được định nghĩa như sau:cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}

- Cisco khuyến cáo bạn nên sử dụng các giá trị mặc định. Bản thân thời gian tồn tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng crypto map.

- Định nghĩa Crypto Access Lists:- Crypto access list (Crypto ACLs) được sử dụng để định nghĩa những

lưu thông (traffic) nào được sử dụng hay kho sử dụng IPSec.- Crypto ACLs thực hiện các chức năng sau:

• Outbound: Chọn những traffic được bảo vệ bởi IPSec. Những traffic còn lại sẽ được gửi ở dạng không mã hóa.

• Inbound: Nếu có yêu cầu thì inbound access list có thể tạo để lọc ra và lọai bỏ những traffic kho được bảo vệ bởi IPSec.



C. Tạo cryto ACLs bằng danh sách truy cập mở rộng (Extends access list):

- Cryto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải trên mạng. Danh sach truy cập mở rộng (Extended IP ACLs) sẽ chọn những luồng dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền tải (protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và cổng dịch vụ (port). Mặc dù cú pháp ACL và extended IP ACLs là giống nhau, nghĩa là chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép (permit) chỉ những gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny) với những gói dữ liệu được đánh dấu mới không được mã hóa. Crypto ACLs họat động tương tự như extendeds IP ACL đó là chỉ áp dụng trên những luồng dữ liệu đi ra (outbound traffic) trên một interface.

D. Cấu hình IPSec crypto maps:E. Áp dụng các crypto maps vào các cổng giao tiếp (interfaces):

7.9 Câu hinh Ipsec VPN site to site.



7.9.1 Mô hinh.

7.9.2 Muc tiêu: Cấu hình VPN cho phép 2 LAN ở router ThaiR1 và router ThaiR2 liên lạc được với nhau.







- cấu hình default route.

ThaiR1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

- Tạo Internet Key Exchange (IKE) key policy.

ThaiR1(config)#crypto isakmp policy 9ThaiR1(config-isakmp)#hash md5ThaiR1(config-isakmp)#authentication pre-share

- Tạo shared key để sử dụng cho kết nối VPN.

ThaiR1(config)#crypto isakmp key cisco address 2.2.2.2

- Quy định lifetime.

ThaiR1(config)#crypto ipsec security-association lifetime seconds 86400

- Cấu hình ACL dãy IP có thể VPN.

access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255

- Define the transformations set that will be used for this VPN --connection.

crypto ipsec transform-set athena esp-3des esp-md5-hmac

- Tạo cypto-map cho các transform, setname.

ThaiR1(config)#crypto map mapathena 10 ipsec-isakmpThaiR1(config-crypto-map)#set peer 2.2.2.2ThaiR1(config-crypto-map)#set transform-set athenaThaiR1(config-crypto-map)#match address 100

- Gán vào interface.

ThaiR1(config)#interface s0/0ThaiR1(config-if)#crypto map mapathena



- show crypto ipsec transform-set để hiển thị cấu hình các IPsec policy trong transform set.

Transform set athena: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, },

- show crypto map để hiển thị các crypto map sẽ áp dụng trong router.

ThaiR1#show crypto mapCrypto Map "mapathena" 10 ipsec-isakmp Peer = 2.2.2.2 Extended IP access list 100 access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 Current peer: 2.2.2.2 Security association lifetime: 4608000 kilobytes/86400 seconds PFS (Y/N): N Transform sets={ athena, } Interfaces using crypto map mapathena: Serial0/0

- show crypto isakmp sa để hiện thị các SA IKE.

ThaiR1#show crypto isakmp sadst src state conn-id slot status2.2.2.2 1.1.1.1 QM_IDLE 1 0 ACTIVE

- Sử dụng lệnh show crypto ipsec sa để hiển thị bảng thông tin về các gói tin SA giữa ThaiR1 và ThaiR3.

ThaiR1#show crypto ipsec sa

interface: Serial0/0 Crypto map tag: mapathena, local addr 1.1.1.1

protected vrf: (none) local ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 2.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8 #pkts compressed: 0, #pkts decompressed: 0



#pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0

local crypto endpt.: 1.1.1.1, remote crypto endpt.: 2.2.2.2 path mtu 1500, ip mtu 1500 current outbound spi: 0xBF7A80FE(3212476670)

inbound esp sas: spi: 0xC390A31D(3281036061) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86139) IV size: 8 bytes replay detection support: Y Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xBF7A80FE(3212476670) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86135) IV size: 8 bytes replay detection support: Y Status: ACTIVE

outbound ah sas:

outbound pcp sas:

- Đưng tư PC1 ping thanh công đên PC2.











- cấu hình default route.

ThaiR3(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1

- Tạo Internet Key Exchange (IKE) key policy.

ThaiR3(config)#crypto isakmp policy 9ThaiR3(config-isakmp)#hash md5ThaiR3(config-isakmp)#authentication pre-share

- Tạo shared key để sử dụng cho kết nối VPN.

ThaiR3(config)#crypto isakmp key cisco address 1.1.1.1

- Quy định lifetime.

ThaiR3(config)#crypto ipsec security-association lifetime seconds 86400



- Cấu hình ACL dãy IP có thể VPN.

access-list 100 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255

- Define the transformations set that will be used for this VPN --connection.

ThaiR3(config)#crypto ipsec transform-set athena esp-3des esp-md5-hmac

- Tạo cypto-map cho các transform, setname.

ThaiR3(config)#crypto map mapathena 10 ipsec-isakmpThaiR3(config-crypto-map)#set peer 1.1.1.1ThaiR3(config-crypto-map)#set transform-set athenaThaiR3(config-crypto-map)#match address 100

- Gán vào interface.

ThaiR3(config)#interface s0/0ThaiR3(config-if)#crypto map mapathena

7.9.3 Kêt luân: ping từ LAN 10.0.0.0/8 sang LAN 192.168.1.0/24 đã thành công.


Báo cáo thực tập tuần 4

Documents

Transcript of Báo cáo thực tập tuần 4