Bao Mat Mang Cisco

Bảo Mật Mạng Cisco.
GV: Từ Thanh Trí
Phần 1
Cisco IOS căn bản
Trường Trung Cấp Bách Khoa Sài Gòn Trang 1

Bảo Mật Mạng Cisco. GV: Từ Thanh Trí
Bài 1:
Đặt mật khẩu truy nhập cho Router
1. Giới thiệu :
Bảo mật là một yếu tố rất quan trọng trong network,vì thế nó rất đựơc quan tâm và
sử dụng mật khẩu là một trong những cách bảo mật rất hiệu quả.Sử dụng mật khẩu
trong router có thể giúp ta tránh được những sự tấn công router qua những phiên
Telnet hay những sự truy cập trục tiếp vào router để thay đổi cấu hình mà ta không
mong muốn từ người la.
2. Mục đích:
Cài đặt được mật khẩu cho router, khi đăng nhập vào, router phải kiểm tra các loại
mật khẩu cần thiết.
3. Mô tả bài lab và đồ hình :
Trong đồ hình trên, PC được nối với router bằng cáp console
4. Các cấp độ bảo mật của mật khẩu :

Cấp độ bảo mật của mật khẩu dựa vào cấp chế độ mã hoá của mật khẩu đó.các cấp
độ mã hóa của mật khẩu:
 Cấp độ 5 : mã hóa theo thuật toán MD5, đây là loại mã hóa 1 chiều,không thể
giải mã được(cấp độ này được dùng để mã hoá mặc định cho mật khẫu enable secret
gán cho router)
 Cấp độ 7 : mã hóa theo thuật toán MD7, đây là loại mã hóa 2 chiều,có thể giải
mã được(cấp độ này được dùng để mã hóa cho các loại password khác khi cần như:
enable password,line vty,line console…)
 Cấpđộ0 : đây là cấp độ không mã hóa.
5. Qui tắc đặt mật khẩu :

Mật khẩu truy nhập phân biệt chữ hoa,chữ thường,không quá 25 kí tự bao gồm
các kí số,khoảng trắng nhưng không được sử dụng khoảng trắng cho kí tự đầu tiên.
Router(config)#ena pass vsic-vsic-vsic-vsic-vsic-vsic-vsic

% Overly long Password truncated after 25 characters  mật khẩu được đặt với 26 kí
tự không được chấp nhận

6. Các loại mật khẩu cho Router :

 Enable secret : nếu đặt loai mật khẩu này cho Router,bạn sẽ cần phải khai báo
khi đăng nhập vào chế độ user mode ,đây là loại mật khẩu có hiệu lực cao nhất trong
Router,được mã hóa mặc định o cấp dộ 5.
 Enable password : đây là loại mật khẩu có chức năng tương tự như enable
secret nhưng có hiệu lực yếu hơn,loại password này không được mã hóa mặc
định,nếu yêu cầu mã hóa thì sẽ được mã hóa ở cấp độ 7.
 Line Vty : đây là dạng mật khẩu dùng để gán cho đường line Vty,mật khẩu này
sẽ được kiểm tra khi bạn đăng nhập vào Router qua đường Telnet.
 Line console : đây là loại mật khẩu được kiểm tra để cho phép bạn sử dụng
cổng Console để cấu hình cho Router.
 Lineaux : đây là loại mật khẩu được kiểm tra khi bạn sử dụng cổng aux.
7. Các bước đặt mật khẩu cho Router :

 Bước1 : khởi động Router , nhấn enter để vào chế độ user mode.
Từ chế độ user mode dùng lệnh enable để vào chế độ Privileged mode
Router con0 is now available
Press RETURN to get started.
Router>enable
Router#
 Bước 2 : Từ dấu nhắc chế độ Privileged mode vào mode cofigure để cấu hình
cho Router bằng lệnh configure terminal
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
 Bước3 : Cấu hình cho từng loại Password

Cấu hình cho mật khẩu enable secret
(Chú ý :mật khẩu có phân biệt chữ hoa và chữ thường)
Router(config)#enable secret vsic  Mật khẩu là vsic
Router(config)#exit
Cấu hình mật khẩu bằng lệnh enable password

Router(config)#ena pass cisco  Mật khẩu là cisco
Router(config)#exit
Lưu ý : khi ta cài đặt cùng lúc 2 loại mật khẩu enable secret và enable
password thì Router sẽ kiểm tra mật khẩu có hiệu lực mạnh hơn là enable secret. Khi
mật khẩu secret không còn thì lúc đó mật khẩu enable password sẽ được kiểm tra.
Cấu hình mật khẩu bằng lệnh Line
Mật khẩu cho đường Telnet (Line vty)
Router(config)#line vty 0 4
Router(config-line)#password class  password là class
Router(config-line)#login  mở chế độ cài đặt password
Router(config-line)#exit

Mật khẩu cho cổng console :

Router(config)#line console 0  mở đường Line Console
cổng Console thứ 0
Router(config-line)#password cert  password là cert
Router(config-line)#login  mở chế độ cài đặt password
Mật khẩu cho cổng aux:

Router(config)#line aux 0  Số 0 chỉ số thứ tự cổng aux được dùng
Router(config-line)#password router  password là router
Router(config-line)#login
Sau khi đặt xong mật khẩu,ta thoát ra ngoài chế độ Privileged mode, dùng lệnh Show
running-config để xem lại những password đã cấu hình :
Router#show running-config
Building configuration...
Current configuration : 550 bytes
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption  password cài đặt ở chế độ không mã hóa
hostname Router
enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o  password secret được
mã hóa mặc định ở cấp độ 5
enable password cisco
!
line con 0
password cert  password cho cổng Console là cert
login
line aux 0
password router  password cho cổng aux là router
login
line vty 0 4
password class  password cho đường vty là class
login
!
End
Dùng lệnh Show running-config ta sẽ thấy được các password đã cấu hình, nếu
muốn mã hóa tất cả các password ta dùng lệnh Service password-encryption trong
mode config.
Router(config)#service password-encryption
Router(config)#exit
Dùng lệnh show running-config để kiểm tra lại:

Router#show run

enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o/
enable password 7 094F471A1A0A  password đã được mã hóa ở cấp độ 7
line con 0
password 7 15110E1E10  password đã được mã hóa ở cấp độ 7
login
line aux 0
password 7 071D2E595A0C0B  password đã được mã hóa ở cấp độ 7
login
line vty 0 4
password 7 060503205F5D  password đã được mã hóa ở cấp độ 7
login
!
End
Chú ý : Ta không thể dùng lệnh no service password-encryption để bỏ chế độ mã hóa

cho mật khẩu,ta chỉ có thể bỏ chế độ mã hóa khi gán lại mật khẩu khác
Sau khi đặt mật khẩu xong, khi đăng nhập vào Router lại, mật khẩu sẽ được
kiểm tra:
Router con0 is now available
Press RETURN to get started.  nhấn enter
User Access Verification  mật khẩu line console sẽ được kiểm tra
Password:cert  khai báo mật khẩu console là : cert

Router>ena  enable dể vào mode Privileged
Password:vsic  Vì mật khẩu secret có hiệu lực cao hơn nên được kiểm tra
Router#
Các loại mật khẩu khác như Line Vty ,Line aux sẽ được kiểm tra khi sử dụng đến
chức năng đó
8. Gỡ bỏ mật khẩu cho router :

Nếu muốn gỡ bỏ mật khẩu truy cập cho loại mật khẩu nào ta dùng lệnh no ở trước
câu lệnh gán cho loại mật khẩu đó.
Vídụ : Muốn gỡ bỏ mật khẩu secret là vsic cho router
Router(config)#no enable secret vsic
Router(config)#exit
Bằng cách tương tự,ta có thể gỡ bỏ mật khẩu cho các loại mật khẩu khác.

Bài 2
Cisco Discovery Protocol (CDP)
1. Giới thiệu :
CDP(Cisco Discovery Protocol) là 1 giao thức của Cisco, giao thức này hoạt động
ở lớp 2(data link layer) trong mô hình OSI, nó có khả năng thu thập và chỉ ra các
thông tin của các thiết lân cận được kết nối trực tiếp, những thông tin này rất cần thiết
và hữu ích cho bạn trong quá trình xử lý sự cố mạng.
2. Mục đích:
Bài thực hành này giúp bạn hiểu rõ về giao thức CDP và các thông số liên quan,
nắm được chức năng của các lệnh trong giao thức này.
Đồ hình bài lab như hình vẽ, các router được nối với nhau bằng cáp serial.
4. Các bước thực hiện :

Trước tiên cấu hình cho các Router như sau(xem bằng lệnh Show run)
 Router Vsic1 :
!
version 12.2
no service password-encryption
!
hostname VSIC1
!
logging rate-limit console 10 except errors
!

ip subnet-zero
no ip finger

!
no ip dhcp-client network-discovery
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
!
interface Serial1
ip address 192.168.2.1 255.255.255.0
!
ip kerberos source-interface any
ip classless
ip http server
!
line con 0
transport input none
line aux 0
line vty 0 4
!
End

!
version 12.1
!
hostname VSIC2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address

shutdown
!
ip classless
no ip http server
!
line con 0
line aux 0
line vty 0 4
login
!
End
!
version 12.1
!
hostname Vsic3
!
ip subnet-zero
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
ip address 192.168.2.2 255.255.255.0
clockrate 56000
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End
Lưu ý : Vì CDP là 1 giao thức riêng của Cisco nên nó đươc mặc định khởi động, vì
vậy khi ta dùng lệnh Show run,những thông tin về giao thức này sẽ không được hiển
thị.Giao thức này có thể hoạt động trên cả Router và Switch
5. Các lệnh trong giao thức CDP :

 Lệnh Show CDP neighbors : dùng để xem thông tin của các thiết bị xung
quanh được liên kết trực tiếp(lệnh này sử dụng trong mode Privileged)

VSIC1#show cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID

Vsic3 Ser 1 149 R 2523 Ser 1
VSIC2 Ser 0 134 R 2500 Ser 0
 Lệnh Show CDP neighbors detail : dùng để xem chi tiết thông tin của các
thiết bị liên kết trực tiếp.
VSIC1#show cdp neighbors detail

-------------------------
Device ID: Vsic3  thiết bị liên kết trực tiếp là Vsic3
Entry address(es):
IP address: 192.168.2.2  địa chỉ cổng liên kết trực tiếp
Platform: cisco 2523, Capabilities: Router  loại thiết bị liên kết: Cisco Router 2523
Interface: Serial1, Port ID (outgoing port): Serial1  liên kết trực tiếp qua
cổng Serial1
Holdtime : 124 sec
Version :
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-I-L), Version 12.1(26), RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Sat 16-Oct-04 02:44 by cmong  Thông tin về hệ điều hành của
thiết bị liên kết
advertisement version: 2
-------------------------
Device ID: VSIC2  thiết bị liên kết trực tiếp là Vsic2
Entry address(es):
IP address: 192.168.1.1  địa chỉ cổng liên kết
Platform: cisco 2500, Capabilities: Router  loại thiết bị liên kết là Cisco
Router 2500
Interface: Serial0, Port ID (outgoing port): Serial0  liên kết qua cổng Serial 0
Holdtime : 168 sec  thời gian giữ gói tin là 168 sec
Version :
(fc1)
Compiled Sat 16-Oct-04 02:44 by cmong  Thông tin chi tiết về phiên bản và
hệ điều hành của thiết bị

 LệnhShow CDP : hiển thị thông tin CDP về timer và hold-time.
VSIC1#show cdp
Global CDP information:
Sending CDP packets every 60 seconds  gói cdp được gửi mổi 60 second
Sending a holdtime value of 180 seconds  thời gian giữ gói tin là 180 second
Sending CDPv2 advertisements is enabled
 Lệnh Show CDP interface : hiển thị thông tin CDP về từng cổng,cách đóng
gói và cả timer,hold-time.
VSIC1#show cdp int
Ethernet0 is administratively down, line protocol is down  cổng Ethernet0 down
do không có thiết bị liên kết trực tiếp
Encapsulation ARPA  cách đóng gói packet
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0 is up, line protocol is up  cổng Serial0 up do co thiết bị liên kết trực tiếp
Encapsulation HDLC  cách đóng gói packet
Serial1 is up, line protocol is up  cổng Serial1 up do có thiết bị liên kết trực tiếp
Encapsulation HDLC  cách đóng gói packet
Lưu ý : ta có thể dùng lệnh no cdp enable để tắt chế độ CDP trên các interface,và lúc
này lệnh show CDP interface sẽ không hiển thị thông tin CDP trên interface đó.Nếu
muốn bật lại chế độ CDP trên interface nào ta dùng lệnh CDP enable trên interface
đó.
VSIC1(config)#int s0
VSIC1(config-if)#no cdp enable  tắt chế độ CDP trên interface Serial0
VSIC1(config-if)#^Z
VSIC1#show cdp inter
01:32:44: %SYS-5-CONFIG_I: Configured from console by console
Ethernet0 is administratively down, line protocol is down
Encapsulation ARPA
Serial1 is up, line protocol is up
Encapsulation HDLC
Holdtime is 180 seconds  thông tin về cổng Seria0 không hiển thị sau khi
tắt chế độ cdp trên nó
Nếu muốn bật lại chế độ CDP trên interface nào ta dùng lệnh CDP enable trên
interface đó.
VSIC1(config)#int s0
VSIC1(config-if)#cdp ena

VSIC1(config-if)#exit
 LệnhShow CDP traffic : hiển thị bộ đếm CDP bao gồm số lượng gói packet
gửi, nhận và bị lổi.
VSIC1#show cdp traffic
CDP counters :
Total packets output: 128, Input: 115
Hdr syntax: 0, Chksum error: 0, Encaps failed: 9
No memory: 0, Invalid packet: 0, Fragmented: 0
CDP version 1 advertisements output: 0, Input: 0
CDP version 2 advertisements output: 128, Input: 115
 LệnhClear CDP couter : dùng để reset lai bộ đếm CDP.

 LệnhNo CDP run : để tắt hoàn toàn chế độ CDP trên Router
VSIC1(config)#no cdp run
VSIC1(config)#^Z
VSIC1#show cdp  lệnh show cdp không hợp lệ khi tắt chế độ cdp
% CDP is not enabled
 LệnhCDP run : dùng để mở lại chế độ CDP trên Router
VSIC1(config)#cdp run
VSIC1(config)#exit
VSIC1#show cdp
Global CDP information:
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Lưu ý: Giao thức CDP chỉ cho ta biết được thông tin của những thiết bị được liên kết
trực tiếp.
Vsic3#show cdp neighbors detail

-------------------------
Device ID: VSIC1
Entry address(es):
IP address: 192.168.2.1
Platform: cisco 2500, Capabilities: Router
Interface: Serial1, Port ID (outgoing port): Serial1
Holdtime : 138 sec
Version :
IOS (tm) 2500 Software (C2500-JK8OS-L), Version 12.2(1d), RELEASE
SOFTWARE (fc1)

Compiled Sun 03-Feb-02 22:01 by srani


Từ Router Vsic3 chỉ xem được thông tin của thiết bị nối trực tiếp là Router Athen1
Giả sử ta thay đổi địa chỉ IP của cổng Serial1 ở router Vsic3
Vsic3(config)#int s0
Vsic3(config-if)#ip add 192.168.3.2 255.255.255.0
Vsic3(config-if)#no shut
Vsic3(config-if)#clock rate 56000
Vsic3(config-if)#^Z
Dùng lệnh Ping từ Router Vsic3 để ping địa chỉ cổng Serial 1 của Router Vsic1:
Vsic3#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Sử dụng giao thức CDP từ Router Vsic3 xem thông tin về các thiết bị liên kết trực
tiếp:
Vsic3#show cdp neighbors detail
-------------------------
Device ID: VSIC1
Entry address(es):
IP address: 192.168.2.1
Platform: cisco 2500, Capabilities: Router
Interface: Serial1, Port ID (outgoing port): Serial1
Holdtime : 144 sec
Version :
SOFTWARE (fc1)

Bạn thấy rõ từ Router Vsic3 ta ping không thấy được Router Vsic1 nhưng dùng giao
thức CDP bạn vẫn nhận được thông tin của thiết bị liên kết. Đây là ưu điểm của giao
thức CDP. Ưu điểm này sẽ rất hữu ích cho bạn khi xử lý sự cố mạng.

Bài 3:Telnet
1. Giới thiệu :
Telnet là một giao thức đầu cuối ảo( Vitural terminal),là một phần của chồng giao
thức TCP/IP.Giao thức này cho phép tạo kết nối với một thiết bị từ xa.
2. Mục đích :
Bài thực hành này giúp bạn hiểu và thực hiện được những cấu hình cần thiết để có
thể thực hiện các phiên Telnet từ host vào Router hay từ Router vào Router.
Đồ hình bài lab như hình trên, các router được nối với nhau bằng cáp serial. Host1
nối với router Vsic1 bằng cắp chéo.

Cấu hình cho các router Vsic1, Vsic2 và Host 1 như sau :
 Host 1 :
IP:10.0.0.2
Subnetmask:255.255.255.0
Gateway:10.0.0.1
 Router vsic1
version 12.1
!
hostname vsic1
!
ip subnet-zero
!
interface Ethernet0

ip address 10.0.0.1 255.255.255.0

!
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 56000
!
end
 Router vsic2
!
version 12.2
!
hostname vsic2
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
!
end
Bạn phải chắn chắn rằng các kết nối vật lý đã thành công (kiểm tra bằng lệnh Ping)
 KiểmtrakếtnốiTelnet :
Từ Host ta thử telnet vào Router Vsic1 : C:\Documentsand
settings\Administrator>Telnet 10.0.0.1
Password required, but none set  đòi hỏi mật khẩu nhưng không được cài dặt
Connection to host lost  Kết nối thất bại
Từ Router vsic1 ta kết nối Telnet vào Router Vsic2

vsic1#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
Password required, but none set
[Connection to 192.168.1.2 closed by foreign host]
Thực hiện Telnet không thành công vì chức năng Telnet đòi hỏi bạn phải mở đường
line Vty và cài đặt mật khẩu cho nó.
 ĐặtmậtkhẩuVtychoRouterVsic1 :
vsic1#conf t

vsic1(config)#line Vty 0 4
vsic1(config-line)#pass vsic1

vsic1(config-line)#login
vsic1(config-line)#exit
 ĐặtmậtkhẩuVtychoRouterVsic2 :
vsic2#conf t
vsic2(config)#line vty 0 4
vsic2(config-line)#pass vsic2
vsic2(config-line)#login
vsic2(config-line)#exit
 LúcnàybạnthựchiệnTelnet : Từ Host bạn thực hiện Telnet vào Router Vsic1

C:\Documentsand settings\Administrator>Telnet 10.0.0.1
User Access Verification
Password:
Vsic1>ena
% No password set
Vsic1>
Tương tự bạn thực hiện hiện Telnet từ Router Vsic1 đến Router Vsic2:
vsic1#192.168.1.2
Trying 192.168.1.2 ... Open
Password:
vsic2>ena
% No password set
vsic2>
Lưu ý : Đối với thiết bị của Cisco, bạn chỉ cần đánh địa chỉ của nơi cần Telnet đến,
thiết bị sẽ tự hiểu và thực hiện kết nối Telnet.
Khi Telnet vào, bạn đang ở Mode User và giao thức này đòi hỏi bạn phải có cài đặt
mật khẩu để vào Privileged Mode.Thực hiện việc cài đặt mật khẩu:
Router Vsic1
vsic1(config)#ena pass cisco
vsic1(config)#exit
Router Vsic2
vsic2(config)#ena pass class
vsic2(config)#exit
Bạn thực hiện lại việc kết nối Telnet, từ Host vào Router Vsic1:
C:\Documentsand settings\Administrator>Telnet 10.0.0.1
Password: vsic1
Vsic1>ena
Password: cisco
Vsic1#

Từ Router Vsic1 vào Router Vsic2:

vsic1#192.168.1.2
Trying 192.168.1.2 ... Open
Password: vsic2
vsic2>ena
Password: class
vsic2#
Từ đây bạn có thể thực hiện việc thay đổi cấu hình cho các thiết bị mà không cần phải
thông qua cổng Console.
 KiểmtraviệcTelnetbằnglệnhShow line
vsic2#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 5 0 0/0 -
1 AUX 9600/9600 - - - - 0 0 0/0 -
* 2 VTY - - - - - 1 0 0/0 -
* 3 VTY - - - - - 7 0 0/0 -
* 4 VTY - - - - - 4 0 0/0 -
5 VTY - - - - - 1 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
Dấu * biểu thị những line bạn đang sử dụng Telnet,theo như bảng trên,bạng đang sử
dụng 3 dường line Telnet qua lại giữa 2 Router Vsic1 và Vsic2 qua các port 2,3,4.
Cột Uses chỉ số lần bạn đã sử dụng đường line đó.
Lưu ý : Bạn chỉ thực hiện được việc Telnet qua lại giữa các Router không quá 10 lần
cùng lúc (vì bạn chỉ có 5 line Vty từ 0 đến 4)
vsic1#192.168.1.2
Trying 192.168.1.2 ...
% Connection refused by remote host
Router báo lối khi bạn thực hiện phiên Telnet thứ 11.
Bạn cũng có thể thực hiện Telnet cùng lúc giữa các thiết bị bằng cách từ màn hình
telnet, bạn nhấn tổ hợp phím: Ctrl-Shift-6 sau đó nhấn phím X, lúc này bạn sẽ trở lại
màn hình gốc ban đầu và bạn có thể tiếp tục thực hiện các phiên Telnet vào các thiết
bị khác. Để trở về màn hình Telnet ban đầu bạn ấn phím enter 2 lần
 ThoátkhỏicácphiênTelnet : chúng ta sử dụng lệnh Exit hay lệnh Disconnect
 NgắtmộtkếtnốiTelnet : chúng ta sử dụng lệnh clear line

Bài 4
Khôi phục mật khẩu cho Cisco Router
(Recovery Password)
1. Giới thiệu :
Mật khẩu truy cập là rất hữu ích trong lĩnh vực bảo mật, tuy nhiên đôi khi nó cũng
đem lại phiền toái nếu chẳng may bạn quên mất mật khẩu truy nhập.Bài thực hành
khôi phục mật khẩu cho Cisco Router này giúp bạn khôi phục lại mật khẩu để đăng
nhập vào Router .
Lưu ý: Đặt mật khẩu cho Router có ý nghĩa rất lớn trong khía cạnh security,nó ngăn
cản được các phiên Telnet từ xa vào Router để thay đổi cấu hình hay thực hiện những
mục đích khác.Bạn nên tránh nhầm lẫn giữa hai khái niệm “bảo mật” và “khôi phục
mật khẩu”,bạn có thể khôi phục hay thay đổi được mật khẩu của Router không có
nghĩa là mức độ bảo mật của Router không cao vì để khôi phục mật khẩu cho Router,
điều kiện tiên quyết là bạn phải thao tác trực tiếp trên Router, điều này có nghĩa là
bạn phải được sự chấp nhận của Admin hay kỹ thuật viên quản lý Router.
Trong đồ hình trên PC nối với router bằng cáp console
3. Quá trình khởi động của Router :

Khi vừa bật nguồn, Router sẽ kiểm tra phần cứng, sau khi phần cứng đã được
kiểm tra hoàn tất, hệ điều hành sẽ được nạp từ Flash, tiếp đó Router sẽ nạp cấu hình
trong NVRAM bao gồm tất cả những nội dung đã cấu hình trước cho Router như các
thông tin về giao thức, địa chỉ các cổng và cả mật khẩu truy nhập.Vì vậy để Router
không kiểm tra mật khẩu khi đăng nhập, bạn phải ngăn không cho Router nạp dữ liệu
từ NVRAM.
Mỗi dòng Router có một kỹ thuật khôi phục mật khẩu khác nhau, tuy vậy để khôi
phục mật khẩu cho Router bạn phải qua các bước sau:
Bước 1 : Khới động Router,ngăn không cho Router nạp cấu hình trong
NVRAM. (bằng cách thay đổi thanh ghi từ 0x2102 sang thanh ghi 0x2142).
Bước 2 : Reset lại Router (lúc này Router sử dụng thanh 0x2142 để khởi
động).

Bước 3 : Đăng nhập vào Router(lúc này Router không kiểm tra mật khẩu),
dùng các lệnh của Router để xem hay cài đặt lại mật khẩu (bạn chỉ xem được mật
khẩu khi mật khẩu được cài đặt ở chế độ không mã hóa)
Bước 4 : Thay đổi thanh ghi (từ 0x2142 sang 0x2102).
Bước 5 : Lưu lại cấu hình vừa cài đặt (lúc này mật khẩu đã biết).
4. Khôi phục mật khẩu cho Cisco Router 2500.

Giả sử khi bạn đăng nhập vào Router nhưng bạn quên mất mật khẩu.
vsic con0 is now available
vsic>enable
Password:
Password:
Password:
% Bad secrets
Bạn phải thực hiện việc khôi phục mật khẩu. Các bước thực hiện như sau:
 Bước 1 : bạn khởi động lại Router
System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE

Copyright (c) 1986-1995 by cisco Systems
2500 processor with 8192 Kbytes of main memory  ấn Ctrl Break không cho
Router nạp dữ liệu từ NVRAM
Abort at 0x103AA7E (PC)
>o/r 0x2142  Sử dụng lệnh này để thay đổi thanh ghi sang 0x2142
 Bước 2 : khởi động lại Router, lúc này Router sẽ nạp cấu hình từ thanh ghi
0x2142 (cấu hình trắng)
vsic>ena  password sẽ không yêu cầu kiểm tra khi đăng nhập
vsic#show start  dùng lệnh Show start xem cấu hình trong NVRAM
Using 456 out of 32762 bytes
!
version 12.1
!
hostname Router
!
enable secret 5 $1$AqeQ$yB00zFjHxIiVoHLnbLEhh1  password secret đã
được mã hoá
enable password cisco  mật khẩu enable password là cisco
!
end

 Bước 3 : Cấu hình lại mật khẩu cho Router:
vsic#config t
vsic(config)#ena secret Vsic  mật khẩu secret được cấu hình lại là Vsic
vsic(config)#exit
vsic#conf t
vsic(config)#ena pass class  mật khẩu enable password là class
vsic(config)#exit
 Bước 4 : Thay đổi thanh ghi hiện hành từ 0x2142 trở về 0x2102
Dùng lệnh Show version để xem thanh ghi hiện hành
vsic#show ver
(fc1)
Compiled Sat 16-Oct-04 02:44 by cmong
Image text-base: 0x03042000, data-base: 0x00001000
.
.
2 Serial network interface(s)

32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2142  Thanh ghi 0x2142 đang được sử dụng
Thayđổithanhghi:
vsic(config)#config-register 0x2102  dùng lệnh config-register
vsic(config)#exit
Xemlạithanhghihiệnhành:
vsic#show ver
(fc1)
.
Configuration register is 0x2142 (will be 0x2102 at next reload)  thanh ghi hiện
hành là 0x2102

 Bước 5 : lưu cấu hình đã thay đổi vào thanh ghi 0x2102
vsic#wr me
[OK]
Dùng lệnh show start để xem cấu hình khởi động trong NVRAM
vsic#show start
!
version 12.1
!
hostname vsic
!
enable secret 5 $1$49cD$jrvYyRSQhpTAHuDA1/R1v.
enable password class
!
!
!
End
Sau khi reload lại, đăng nhập vào Router,mật khẩu secret là Vsic sẽ được kiểm tra
vsic con0 is now available
vsic>ena
Password:  mật khẩu là Vsic sẽ đươc kiểm tra và chấp nhận
vsic#

Bài 5
Recovery Password cho Switch 2950
1. Giới thiệu :
Trong bài lab này chúng ta se thực hiện recovery password của một switch
Nối cáp console giữa PC với switch. Chúng ta sẽ tiến hành recovery password trên
switch 2950 trong bài lab này.
3. Thực hiện :
Để khảo sát việc recovery password rõ ràng hơn ,chúng ta sẽ cấu hình tên và
password cho switch trước khi tiến hành recovery password cho switch
Chúng ta cấu hình tên và password cho switch như sau :
Switch#conf t
Switch(config)#host Vsic
Vsic(config)#enable password cisco ← Đặt password cho switch
Vsic(config)#enable secret Vsic ← Đặt secret password cho switch
Sau khi cấu hình xong chúng ta lưu vào NVRAM và xem lại cấu hình trong NVRAM
đó trước khi tiến hành recovery password cho switch.
Vsic#copy run start
Destination filename [startup-config]?
Vsic#show start
Vsic#sh start
version 12.1
hostname Vsic
enable secret 5 $1$s22D$vCe6IFIeKLhUPZqgm6QZ6/
Chúng ta tiến hành recovery password theo cách bước sau :
 Bước1 : tắt nguồn switch, sau đó giữa nút MODE trên switch 2950 trong lúc
bật nguồn lại. Khi màn hình hiện những thông báo sau, ta nhả nút MODE ra.

IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA2, RELEASE
SOFTWARE (fc1)
Compiled Sun 07-Nov-04 23:14 by antonino

… (một số thông báo được lược bỏ) …
flash_init
load_helper
boot
 Bước 2: Chúng ta nhập flash_init đễ bắt đầu cấu hình cho các file của flash.
Nhập câu lệnh dir flash: để xem các file có chứa trong flash. Sau đó chúng ta đổi tên
file config.text thành config.bak (vì cấu hình của chúng ta đã lưu phần trước được
switch chứa trong file này) bằng câu lệnh sau : rename flash:config.text
flash:config.bak Sau đó chúng ta reload lại switch bằng câu lệnh boot
 Bước3 : Trong quá trình khởi động switch sẽ hỏi :

Continue with the configuration dialog? [yes/no] :
Chúng ta nhập vào NO, để bỏ qua cấu hình này. Sau khi khởi động xong chúng ta vào
mode privileged.
Switch>en
Switch#
Sau đó chúng ta chuyển tên file config.bak trong flash thành config.text bằng cách :
Switch#rename flash:config.bak flash:config.text
Rồi cấu hình NVRam vào RAM bằng câu lệnh sau :
Switch#copy flash:config.text system:running-config
 Bước4 : gở bỏ tất cả các loại password

Vsic#conf t
Vsic(config)#no enable password
Vsic(config)#no enable secret
 Bước5 : copy cấu hình từ RAM vào NVRam, rồi reload switch lại.
Vsic#copy run start
Destination filename [startup-config]? 
[OK]
Vsic#reload

Bài 6
Nạp IOS IMAGE từ TFTP SERVER
cho Cisco Router chạy từ Flash
1. Giới thiệu :
Flash là 1 bộ nhớ có thể xóa, được dùng để lưu trữ hệ điều hành và một số mã
lệnh.Bộ nhớ Flash cho phép cập nhật phần mềm mà không cần thay thế chip xử lý.Nội
dung Flash vẫn được giữ khi tắt nguồn.
Bài lab này gíup bạn thực hiện việc nạp IOS (Internetwork Operating System)
Image từ Flash trong Router Cisco vào TFTP server để tạo bản IOS Image dự phòng
và nạp lại IOS Image từ từ TFTP sever vào Cisco Router chạy từ Flash(khôi phục
phiên bản củ hay update phiên bản mới) thông qua giao thức truyền TFTP (Trivial file
transfer protocol)
Đồ hình bài lab như hình vẽ, PC nối với router bằng cáp chéo và một cáp console
(để điều khiển router).
3. Các bước thực hiện:
Chúng ta sẽ cấu hình cho router Vsic và PC (đóng vai trò như một TFTP server)
như sau :
 PC :
IP Address : 192.168.14.2
Subnetmask : 255.255.255.0
Gateway : 192.168.14.1
 Router Vsic :
hostname vsic
!

ip subnet-zero
no ip finger
!
interface Ethernet0
ip address 192.168.14.1 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
 Bạn thực hiện lệnh Ping để đảm bảo việc kết nối giữa Router và TFTP server
vsic#ping 192.168.14.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
 Dùng lệnh Show version để xem phiên bản IOS hiện hành:
vsic#show ver
SOFTWARE (fc1)  Router đang s ử d ụng IOS version 12.2(1d)

Image text-base: 0x0307EEE0, data-base: 0x00001000
ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c),
RELEASE SOFT
WARE (fc1)
vsic uptime is 15 minutes

System returned to ROM by bus error at PC 0x100D042, address 0xFFFFFFFC

System image file is "flash:/c2500-jk8os-l.122-1d.bin"  Tên tập tin IOS image
được nạp từ flash- loạI Cisco 2500 sử
dụng hệ điều hành phiên bản12.2(1d)
cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

 Router có 16MB RAM,14 MB dùng cho
bộ nhớ xử lý, 2 MB dùng cho bộ nhớ I/O
Processor board ID 08030632, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 Ethernet/IEEE 802.3 interface(s)
16384K bytes of processor board System flash (Read ONLY)  Router có 16 MB flash
Configuration register is 0x2102  Thanh ghi hiện hành
 Dùng lệnh Show Flash để xem bộ nhớ Flash
vsic#show flash
System flash directory:
File Length Name/status
1 16505800 /c2500-jk8os-l.122-1d.bin
[16505864 bytes used, 271352 available, 16777216 total]
 Ý nghĩa t ên File IOS Image:

c2500:loại thiết bị Cisco 2500
jk8os:các tính năng
j :enterprise subnet
k8 : reserved for huture encrytion capapilities
o : fire wall
s : suorce router switch
1.122 : lọai phiên bản IOS
 Bạn thực hiện việc nạp IOS image từ Flash vào TFTP server:
vsic#copy flash tftp

Source filename []? /c2500-jk8os-l.122-1d.bin
Address or name of remote host []? 192.168.14.2  địa chỉ TFTP server
Destination filename [c2500-jk8os-l.122-1d.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16505800 bytes copied in 232.724 secs (71145 bytes/sec)

Quá trình nạp thành công, file IOS image được lưu vào chương trình chứa TFTP
server
Bạn đã thực hiện xong việc nạp IOS từ Flash vào TFTP server, sau đây bạn thực hiện
lại việc nạp một IOS có sẵn từ TFTP server vào lại flash của một Router.
 Các bước thực hiện: Bạn cấu hình Router và Host như trên.chạy chương
trình TFTP từ PC.
Giả sử bạn có 2 file IOS có sẵn trong TFTP server

File IOS Image c2500-i-l.121-26.bin có dung lượng 7,85 MB.
File IOS Image c2500-jk80os-l.122-1d.bin có dung lượng 16MB
BạnthựchiệnkiểmtraFlash:
vsic#show flash
1 8039140 /c2500-i-l.121-26.bin
Nhận xét : Bộ nhớ Flash của bạn có dung lượng là 8 MB, bạn có thể lưu file IOS
image c2500-i-l.121-26.bin vào Flash
Thựchiênquátrìnhcopyflash
vsic#copy tftp flash
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
---- ******** ----
Proceed? [confirm]  xác nhận việc copy
Address or name of remote host []? 192.168.14.2  tên hay địa chỉ nơi lưu
Flash (TFTP Server)
Source filename []? c2500-i-l.121-26.bin  Tên file nguồn
Destination filename [c2500-i-l.121-26.bin]?  Tên file đích
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing tftp://192.168.14.2/c2500-i-l.121-26.bin...
Erase flash: before copying? [confirm]
00:09:43: %SYS-5-RELOAD: Reload requested

%SYS-4-CONFIG_NEWER: Configurations from version 12.1 may not be correctly
under
stood.
%FLH: c2500-i-l.121-26.bin from 192.168.14.2 to flash ...

1 8039140 /c2500-i-l.121-26.bin
Accessing file 'c2500-i-l.121-26.bin' on 192.168.14.2...
Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): ! [OK]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased  quá trình xóa flash

Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): !!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  quá trình nạp Flash
[OK - 8039140/8388608 bytes]

Verifying checksum... OK (0x9693)
Flash copy took 0:03:57 [hh:mm:ss]
%FLH: Re-booting system after download
F3: 7915484+123624+619980 at 0x3000060
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706

(fc1)

Bridging software.
Press RETURN to get started!
Sau khi nạp Flash hoàn thành, Router sẽ reset lại để thay đổi Flash mới, lúc này IOS
trong Flash sẽ là file IOS bạn vừa copy vào.
QuátrìnhnạpFlash trongTFTPserver

Lưu ý : là trong cả quá trình copy flash từ TFTP server vào Router hay từ Router vào
TFTP server bạn đều phải chạy chương trình TFTP server trên PC.

Bài 7
Nạp IOS image cho 2 Router
chạy từ Flash

Bài thực hành này gíup bạn thực hiện việc nạp IOS image từ Flash của Router
này sang Router kia.
Hai router được nối với nhau bằng cáp serial. Địa chỉ các interface được ghi trên hình.

Bạn cấu hình cho 2 Router như sau:
Vsic1#sh run

!
version 12.1
!
hostname Vsic1
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 10.0.0.1 255.0.0.0
clockrate 64000
!

interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Vsic2#sh run

!
version 12.1
!
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 10.0.0.2 255.0.0.0
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end

Chúng ta kiểm tra flash của hai router :
Vsic1#sh flash
1 8038440 /c2500-i-l.121-25.bin //T ên File IOS Image//
8192K bytes of processor board System flash (Read ONLY) //8MB flash//
Vsic2#sh flash
1 8039140 c2500-i-l.121-26.bin
Để thực hiện việc copy IOS image từ Router Vsic1 sang Router Vsic2, bạn phải mở
chế độ TFTP server cho Router Vsic1.
Vsic1(config)#tftp-server flash:
Vsic1(config)#tftp-server flash:c2500-i-l.121-26.bin
Vsic1(config)#^Z
Bạn thực hiện việc Copy IOS từ Router Vsic2

Vsic2#copy tftp flash:
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
---- ******** ----
Proceed? [confirm]
Address or name of remote host []? 10.0.0.1  Địa chỉ Router Vsic1(Serial0)
Source filename []? c2500-i-l.121-26.bin  Tên file IOS image
Destination filename [c2500-i-l.121-26.bin]?  Tên File đích trong Router Vsic2
Accessing tftp://10.0.0.1/c2500-i-l.121-26.bin...
Erase flash: before copying? [confirm]  Xác nhận việc copy

%SYS-4-CONFIG_NEWER: Configurations from version 12.1 may not be correctly
understood.
%FLH: c2500-i-l.121-26.bin from 10.0.0.1 to flash ...

1 8038440 /c2500-i-l.121-25.bin
Accessing file 'c2500-i-l.121-26.bin' on 10.0.0.1...
Loading c2500-i-l.121-26.bin from 10.0.0.1 (via Serial0): ! [OK]

Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased  Quá trình xoá Flash
Loading c2500-i-l.121-26.bin from 10.0.0.1 (via Serial0): Quá trình nạp IOS
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 8039140/8388608 bytes]
Verifying checksum... OK (0x9693)

Flash copy took 0:22:28 [hh:mm:ss]
%FLH: Re-booting system after download
F3: 7915484+123624+619980 at 0x3000060
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706

(fc1)

Bridging software.
Press RETURN to get started!  Router sẽ reset lại sau khi nạp IOS mới
00:00:05: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up

00:00:05: %LINK-3-UPDOWN: Interface Serial0, changed state to up
00:00:06: %LINK-3-UPDOWN: Interface Serial1, changed state to down
00:00:07: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed
state to up
00:00:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0,
changed state to down

00:00:16: %LINK-5-CHANGED: Interface Ethernet0, changed state to
administratively down
00:00:16: %SYS-5-CONFIG_I: Configured from memory by console
00:00:20: %LINK-5-CHANGED: Interface Serial1, changed state to administratively
down
state to up
state to down
00:01:00: %SYS-5-RESTART: System restarted --
(fc1)
Vsic2>
Bạn có thể kiểm tra Flash lại bằng lệnh show flash
Vsic2>sh flash
1 8039140 /c2500-i-l.121-26.bin
Lưu ý: Vì ở đây bạn sử dụng 2 Router có bộ nhớ Flash bằng nhau nên bắt buột bạn
phải thực hiện việc xóa Flash cũ trong quá trình thực hiện copy Flash mới, nhưng
trong trường hợp bạn sử dụng các loại Router có bộ nhớ Flash lớn, còn đủ bộ nhớ để
lưu thêm IOS image (bạn dùng lệnh Show Flash hay Show version để kiểm tra) thì
bạn không cần phải xóa Flash, điều này có nghĩa là bạn có thể lưu 2, 3 hay nhiều IOS
trên Flash tùy thuộc vào khả năng lưu trữ của Flash.Lúc này bạn phải khai báo cho
Router biết phải dùng IOS Image nào để khởi động, bạn dùng lệnh Boot System flash
trong mode config để thực hiện quá trình khai báo này .

Bài 8
Nạp IOS cho Switch
1. Giới thiệu chung về switch 2950 :
Hình ảnh mặt trước của switch 2950
 Nhìn vào hình bạn có thể thấy switch có 12 port FastEtheret.

 Hệ thống lưu trữ tập tin của switch 2950:
 NVRAM lưu startup-config.
 Flash lưu các tập tin : IOS image(thường có phần mở rộng là .bin),
vlan.dat(chứa các cấu hình của các VLAN), config.text,private-config.text.
 RAM chứa running-config.
 Quá trình khởi động sẽ load tập tin config.text vào startup-config chứa trong
NVRAM. Nếu xoá tập tin config.text, sau khi khởi động lại sẽ mất hết tất cả các cấu
hình.
2. Mục đích bài lab:

IOS image giống như là hệ điều hành đối với một máy tính bình thường. Theo
thời gian, thì IOS image sẽ có những phiên bản mới hơn so với phiên bản đang có
trong switch. Các phiên bản mới hơn được đưa ra nhằm: sửa những lỗi có thể mắc
phải trong phiên bản trước, cung cấp những tính năng mới cho các protocol đã có ,
hoặc là cập nhật những protocol mới. Vì vậy, bạn cần cập nhật phiên bản mới cho các
switch của bạn để nó hoạt động tốt và có thể tương thích với những switch mới sẽ
được thêm vào mạng sau này.
PC nối với Switch 2950 bằng một đường cáp thẳng và một cáp console. PC và siwtch
được có địa chỉ IP như trên hình.

 BƯỚC 1 :
Dùng cáp console kết nối máy tính với cổng console của switch. Cắm nguồn
cho switch, dùng chương trình Hyperterminal của hệ điều hành windows cung cấp để
kết nối đến switch, kết nối này sẽ giúp chúng ta thực hiện các cấu hình cơ bản cho
switch. Bạn phải thiết lập cấu hình cho kết nối là default. Dùng cáp thẳng, nối card
mạng của máy tính với 1 cổng FastEthernet ở mặt trước của switch để phục vụ cho
bài lab cập nhật IOS cho switch.
Xoá cấu hình hiện tại trên máy

Switch>enable
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [con
firm]y
Erase of nvram: complete
Switch#
00:04:57: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
Switch#
Xóa cấu hình vlan cũ:

Switch#delete vlan.dat
Switch#reload
Proceed with reload? [confirm]y
--output omitted—
Would you like to enter the initial configuration dialog? [yes/no]:n
--output omitted—
 BƯỚC 2 : Xem cấu hình mặc định của switch
Switch>
Switch>en
Switch#show running-config
--output omitted—
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
line con 0
line vty 5 15
!
--output omitted—

 BƯỚC 3 : Bước này thực hiện các cấu hình ban đầu và kiểm tra lại các cấu
hình này đã đúng chưa.
Trước tiên bạn phải cấu hình switch name, enable password, privileged password,
console password, và virtual terminal password. Cũng gần giống các lệnh trong
router.
Switch#configure terminal
Switch(config)#hostname vsic
Vsic(config)#enable password cisco
Vsic(config)#enable secret class
Vsic(config)#line con 0
Vsic(config-line)#password vsic
Vsic(config-line)#login
Vsic(config-line)#line vty 0 15
Vsic(config-line)#password cert
Vsic(config-line)#login
Vsic(config-line)#^Z
Vsic#
00:08:11: %SYS-5-CONFIG_I: Configured from console by console
Vsic#
Để thực hiện được bài lab này bạn phải cấp phát địa chỉ IP cho VLAN 1 để có thể kết
nối thành công với server, và cũng phải cấu hình default-gateway (bạn nên tập thói
quen cấu hình default-gateway mỗi khi cấu hình).
Vsic#configure terminal
Vsic(config)#interface vlan 1
Vsic(config-if)#ip address 10.1.1.251 255.255.255.0
Vsic(config-if)#no shutdown
Vsic(config-if)#
00:17:48: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
Vsic(config-if)#
Cần đảm bảo địa chỉ IP cấp phát cho VLAN là địa chỉ hợp lệ (nghĩa là nó thuộc về
subnet cấp phát cho VLAN đó)
Theo mặc định, tất cả các port đều thuộc về VLAN 1. Do đó, tất cả các thiết bị ở bất
cứ port nào cũng đều phải thuộc về cùng 1 subnet đã cấp phát cho VLAN 1 ở trên.
Bạn cấu hình cho máy tính của bạn địa chỉ IP và subnet mask như sau: 10.1.1.10
255.255.255.0
Kiểm tra lại kết nối có thành công hay không bằng cách gõ lệnh sau trên PC:
C:\>ping 10.1.1.251
Lưu ý : Nếu ping không thành công, có thể phải chờ vài phút để switch cập nhật lại
cấu hình, rồi ping lại. Nếu vẫn không thành công phải kiểm tra lại xem đã thực hiện
đúng các bước cấu hình như ở trên chưa.
Bây giờ bạn đã có thể đứng ở máy tính truy cập trên switch thông qua telnet hoặc là
web browser. Thực hiện telnet từ máy tính đến switch dùng địa chỉ IP của VLAN1
10.1.1.251, nhập vào mật mã là : cert khi được hỏi. Hoặc mở ra một web browser ,
nhập vào địa chỉ IP 10.1.1.251, nhập vào tên user là vsic, phải nhập mật mã là class.
 BƯỚC 4 :Xem sơ qua các tập tin hệ thống trên switch bằng lệnh sau:

vsic#show file systems
File Systems:
Size(b) Free(b) Type Flags Prefixes
* 7741440 3171840 flash rw flash:
- - opaque ro bs:
32768 31806 nvram rw nvram:
- - opaque rw null:
- - opaque rw system:
- - network rw tftp:
- - opaque ro xmodem:
- - opaque ro ymodem:
- - network rw rcp:
- - network rw ftp:
- - opaque ro cns:
vsic#
Trong số các tập tin trên switch được lưu lại cần chú ý : System Image (tập tin IOS
nằm trên vùng nhớ flash), tập tin cấu hình lúc startup nằm trên NVRAM của vùng
nhớ flash. Hệ điều hành của switch được load trên DRAM
Xem thông tin về các tập tin hệ thống của switch. Để biết được version hiện tại của
IOS gõ lệnh sau:
vsic#show version
OS (tm) C2950 Software (C2950-I6Q4L2-M), Version
12.1(22)EA2, RELEASE SOFTWARE
(fc1)
--output omitted--
vsic#dir
Directory of flash:/
2 -rwx 109 Mar 01 1993 00:20:34 +00:00

info
4 drwx 3968 Mar 01 1993 00:23:20 +00:00
html
5 -rwx 3086328 Mar 01 1993 00:22:37 +00:00
c2950-i6q4l2-mz.121-22.EA2
.bin
338 -rwx 109 Mar 01 1993 00:23:56 +00:00
info.ver
340 -rwx 283 Jan 01 1970 00:00:48 +00:00
env_vars
7741440 bytes total (3173376 bytes free)

vsic#
 BƯỚC 5 : Thực hiện sao chép IOS image giữa tftp server và switch.
a. Chép file IOS image từ switch lên tftp server (upload)
b. Chép file IOS image từ tftp server về lại switch (download)
Cú pháp căn bản của lệnh chép tập tin của switch: copy from “source” to “dest”. Để
biết thêm chi tiết của lệnh copy có thể sử dụng help của CLI như cách sau:
vsic#copy ?
/erase Erase destination file system.
/noverify Disable automatic image verification
after copy

bs: Copy from bs: file system
cns: Copy from cns: file system
flash: Copy from flash: file system
ftp: Copy from ftp: file system
null: Copy from null: file system
nvram: Copy from nvram: file system
rcp: Copy from rcp: file system
running-config Copy from current system configuration
startup-config Copy from startup configuration
system: Copy from system: file system
tftp: Copy from tftp: file system
xmodem: Copy from xmodem: file system
ymodem: Copy from ymodem: file system
vsic#copy
Upload tập tin IOS lên tftp server

vsic#copy flash:c2950-i6q4l2-mz.121-22.EA2.bin tftp
Address or name of remote host []? 10.1.1.10
Destination filename [c2950-i6q4l2-mz.121-22.EA2.bin]? c2950-i6q4l2-mz.121-
22.EA2.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!--output omitted--
vsic#
Download IOS image từ TFTP server vào Flash của switch, vì bạn sẽ down load về
tập tin vừa mới upload lên , dẫn đến bị trùng tên cho nên bạn sẽ được hỏi là có ghi đè
lên hay không, bạn phải trả lời là yes:
vsic#copy tftp flash:
Address or name of remote host []? 10.1.1.10
Source filename []? c2950-i6q4l2-mz.121-22.EA2.bin
Destination filename [c2950-i6q4l2-mz.121-22.EA2.bin]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]y
Accessing tftp://10.1.1.10/c2950-i6q4l2-mz.121-22.EA2.bin...
Loading c2950-i6q4l2-mz.121-22.EA2.bin from 10.1.1.10 (via Vlan1): !!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
--output omitted--
[OK - 3086328 bytes]
 BƯỚC 6 : Lưu lại các cấu hình :

vsic#copy running-config startup-config
MỞ RỘNG :
Bạn nên thử thiết lập kết nối 2 switch với nhau, cấu hình để 1 switch làm tftp server ,
còn switch kia phải cập nhật lại IOS image của mình từ switch.

Phần 2
Cấu hình cho Switch

Bài 1
CẤU HÌNH VLAN TRÊN SWITCH 2950
1. Giới thiệu chung về VLAN:
Trước đây, các switch chỉ có chức năng ngăn cách các broadcast domain, cho nên
có thể xem các thiết bị được cắm trên cùng một switch là một LAN network. Điều đó
dẫn đến hạn chế không gian vật lý của 1 LAN chỉ có thể ở trong 1 căn phòng hoặc
cùng lắm là toà nhà. Với chức năng phân chia VLAN bạn có thể cấp một số port của
switch cho VLAN A, và các port khác cho VLAN B… Mỗi VLAN là một broadcast
domain và 2 thiết bị trên 2 VLAN khác nhau không thể liên lạc được nếu không có
thiết bị lớp 3 kết nối 2 VLAN lại với nhau. VLAN đem lại sự thuậ lợi trong việc chia
nhóm làm việc vì 1 VLAN có thể nằm ở nhiều switch khác nhau, miễn là các switch
có kết nối với nhau.
Các thiết bị cần có: 1 switch 2950, 2 PC, 2 cáp thẳng , 1 cáp console

 BƯỚC 1
Thiết lập các kết nối giống như trong hình.
Xoá cấu hình hiện tại trên switch 2950 : xoá startup-config, và vlan.dat
Switch>enable
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
[confirm]y
Erase of nvram: complete
Switch#
00:04:57: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
Switch#
Xóa cấu hình vlan cũ:

Switch#delete vlan.dat

Switch#reload
Proceed with reload? [confirm]y
--output omitted—
Would you like to enter the initial configuration dialog? [yes/no]:n
--output omitted—
 BƯỚC 2 : Xem qua cấu hình mặc định của switch:
Switch>
Switch>enable
Switch#show running-config
--output omitted—
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
line con 0
line vty 5 15
!
--output omitted—
Thực hiện các bước cấu hình cơ bản:

Switch#configure terminal
Switch(config)#hostname vsic
vsic(config)#enable password cisco
vsic(config)#enable secret class
vsic(config)#line con 0
vsic(config-line)#password vsic
vsic(config-line)#login
vsic(config-line)#line vty 0 15
vsic(config-line)#password cert
vsic(config-line)#login
vsic(config-line)#^Z
vsic#
Xem trạng thái các vlan mặc định có trong switch

vsic#show vlan
VLAN Name Status Ports

---- -------------------------------- -------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default act/unsup
--output omitted—
 BƯỚC 3 :
Các VLAN có thể được tạo ra bằng 1 trong 2 cách. Cách 1 là cấp phát 1 port
vào một vlan chưa tồn tại. Switch sẽ tự động tạo vlan cho port đã được cấp. Cách
khác là tạo các vlan trước, sau đó mới cấp phát port cho nó sau.
2950 switch có lệnh range cho phép việc cấu hình nhiều port (liên tục, hoặc
không liên tục) cho 1 số chức năng nào đó. Giả sử như bạn phải cấu hình nhiều lệnh
giống nhau cho nhiều port thì có thể dùng từ khóa range để cấu hình 1 lần cho nhiều
port.
Theo mặc định, VLAN 1 đã có sẵn và được gọi là management vlan, tất cả các
port đã nằm sẵn trong VLAN 1. Do đó không cần thiết phải cấp phát port cho vlan 1.
Bạn sẽ dùng lệnh range để cấp phát port 5 đến 8 cho vlan 10 theo cách tạo vlan thứ
nhất. Sau đó, tạo VLAN 20 theo cách thứ 2, cấp phát 1 port số 9 cho vlan 20, rồi cấp
phát port 10, 12 cho vlan 20 để bạn thấy được lệnh range có thể sử dụng cho các port
không liên tục.
vsic#configure terminal
vsic(config)#interface range fast 0/5 -8
vsic(config-if-range)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
vsic(config-if-range)#no shut
vsic(config-if-range)#^Z
Gõ lệnh show vlan để xem vlan 10 vừa mới tạo ra được hiển thị cụ thể trong output.
vsic#show vlan

---- -------------------------------- -------- -------------------------------
Fa0/9, Fa0/10, Fa0/11, Fa0/12
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
--output omitted--
Tạo VLAN 20 theo cách 2, và cấp phát port dùng lệnh range theo kiểu không liên tục.
vsic#vlan database
vsic(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
vsic(vlan)#exit
APPLY completed.
Exiting....
vsic#configure terminal
vsic(config)#interface fast 0/9
vsic(config-if)#switchport access vlan 20

vsic(config-if)#exit
vsic(config)#interface range fast 0/10 , fast 0/12
vsic(config-if-range)#switchport access vlan 20
vsic(config-if-range)#exit
vsic(config)#
Xem lại các cấu hình mới nhập vào bằng lệnh : show vlan
vsic#show vlan

---- -------------------------- ------- -------------------------------
Fa0/11
20 VLAN0020 active Fa0/9, Fa0/10, Fa0/12
--output omitted—
vsic#vlan database
vsic(vlan)#vlan 20 name accounting
VLAN 20 modified:
Name: accounting
vsic(vlan)#exit
APPLY completed.
Exiting....
Xem tên của vlan 20 bây giờ đã được đổi thành accouting chứ không còn là tên mặc
định: VLAN0020 như trước đây.
vsic#show vlan

---- ----------------- -------- --------------------------------------
Fa0/11
20 accounting active Fa0/9, Fa0/10, Fa0/12
--output omitted--
Bây giờ bạn đổi tên VLAN 10 thành engineering nhưng sau đó nhập vào lệnh abort,
tên của VLAN 10 vẫn không thay đổi, vì nó không được lưu lại. Lệnh abort sẽ huỷ tất
cả cấu hình trong phiên làm đăng nhập vào vlan database hiện hành.
vsic#vlan database
vsic(vlan)#vlan 10 name engineering
VLAN 10 modified:
Name: enginerring
vsic(vlan)#abort
Aborting....
vsic#

vsic#show vlan

---- -------------------------------- --------- -------------------------------
Fa0/11
20 accounting active Fa0/9, Fa0/10, Fa0/12
--output omitted—
 BƯỚC 4 : Nhập vào địa chỉ IP cho các VLAN interface
vsic(config)#interface vlan 1
vsic(config-if)#ip address 192.168.1.1 255.255.255.0
vsic(config-if)#no shut
vsic(config-if)#interface vlan 10
vsic(config-if)#interface vlan 20
Kiểm tra lại các địa chỉ IP đã nhập vào bằng lệnh sau:
vsic#show run
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
shutdown
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
no ip route-cache
shutdown
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
no ip route-cache
!
Lưu ý : chỉ có một vlan interface được phép up vào bất cứ lúc nào. Chẳng hạn
interface vlan 20 đang up, nếu bạn gõ lệnh no shut cho interface vlan 10 thì interface
vlan 20 tự động down.
 BƯỚC 5 : Để kiểm tra hoạt động của các VLAN , bạn có thể làm như sau:
a) Cấu hình cho PC 1 địa chỉ IP : 192.168.1.2 255.255.255.0. Dùng cáp thẳng nối
card mạng của PC1 với port 1 của switch. Đứng từ PC 1 bạn gõ lệnh: ping

192.168.1.1. Lệnh ping phải thành công. Nếu không, bạn phải kiểm tra lại toàn bộ cấu
hình.
b) Cấu hình cho PC1 địa chỉ IP: 192.168.10.2 255.255.255.0. Nối PC1 với port 5
của switch (VLAN 10). Đứng trên PC gõ lệnh: ping 192.168.10.1
c) Cấu hình cho PC1 địa chỉ IP: 192.168.20.2 255.255.255.0. Nối PC1 với port 9
của switch (VLAN 20). Gõ lệnh: ping 192.168.1.1. Lệnh ping phải thành công. Cấu
hình cho PC2 địa chỉ IP : 192.168.20.3 255.255.255.0, nối PC2 với port 10 trên
switch . Đứng trên PC1 gõ lệnh: ping 192.168.20.3. Lệnh ping phải thành công. Bây
giờ cấu hình cho PC2 địa chỉ IP: 192.168.10.2 255.255.255.0, nối PC2 với port 5 trên
switch (VLAN 10) Bây giờ bạn không thể ping từ PC1 đến PC2 được vì chúng ở trên
2 VLAN khác nhau.

Bài 2
Cấu hình VLAN TRUNK
1. Giới thiệu :
Trunk là một đường vật lý đồng thời của là một đường logic cho phép vlan
trên hai switch khác nhau trao đổi thông tin được với nhau. Thay vì vlan trên hai
switch muốn trao đổi thông tin với nhau chúng ta phải nối một port thuộc vlan đó trên
switch này với một port cũng thuộc vlan đó trên switch còn lại
thì trunk cho phép thực hiện điều đó chỉ bằng một đường vật lý. Trunk tạo ra nhiều
đường kết nối vlan ảo trên một đường vật lý. Từ đó vlan trên các switch khác có thể
liên lạc được với nhau.
Trunk có hai loại đóng gói là : dot1q và isl. Dot1q sử dụng các frame tagging để
truyền dữ liệu của vlan giữa hai switch khác nhau. Còn ISL sẽ đóng gói ethernet
frame bằng các gắn vào đầu fram giá trị VLAN ID.
Hai switch được nối với nhau bằng cáp chéo và được cấu hình cùng VTP domain.
3. Cấu hình cho các switch :

Chúng ta tạo vlan2, vlan4, vlan6 cho Vsic1; vlan3, vlan5, vlan7 cho Vsic2 và
cấu hình cho hai switch trong cùng một VTP domain.

Vsic1#vlan database
Vsic1(vlan)#vlan 2 name vlan2  Tạo vlan2 cho switch Vsic1
Vsic1(vlan)#vlan 4 name vlan4
Vsic1(vlan)#vtp domain name Vsic  Cấu hình cho Vsic1 thuộc
VTP domain Vsic
Vsic1(vlan)#apply Vsic2#vlan
database Vsic2(vlan)#vlan 3
name vlan3
Vsic2(vlan)#vtp domain name Vsic
Vsic2(vlan)#apply
Sau khi cấu hình Vlan xong chúng ta kiểm tra lại các vlan của Vsic1 và Vsic2 bằng
câu lệnh show vlan.
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5,
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Switch Vsic1 đã được tạo vlan2, vlan4, vlan6; switch Vsic2 có vlan3, vlan5, vlan6.
Bây giờ chúng ta sẽ cấu hình đường trunk cho hai switch bằng cách :
(Chúng ta chưa nối hai port fa0/1 của hai switch lại với nhau)
Vsic1#conf t
Vsic1(config)#in fa0/1
Vsic1(config-if)#switchport mode trunk  Cấu hình cho port Fa0/1 là trunk
Vsic2#conf t
Vsic2(config-if)#switchport mode trunk
Vsic2(config-if)#switchport trunk encapsulation dot1q ← sử dụng giao thức
đóng gói dot1q cho đường trunk

Lưuý : do switch 2950 chỉ hổ trợ dot1q nên chúng ta phải cấu hình cho switch Vsic2
(2900) sử dụng cùng giao thức đóng gói là dot1q. Không cấu hình ISL cho switch
Vsic2.
Bây giờ chúng ta sử dụng câu lệnh show vtp status để kiểm tra VTP :
Vsic1# sh vtp status
VTP Version :2
Configuration Revision :3
Maximum VLANs supported locally : 64
Number of existing VLANs :8
VTP Operating Mode : Server
VTP Domain Name : Vsic
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xEA 0xB0 0xB8 0x44 0xFF 0x84 0x8D 0xFD
Configuration last modified by 0.0.0.0 at 3-1-93 00:22:49
Vsic2#sh vtp status

VTP Version :2
Number of existing VLANs : 11
MD5 digest : 0xA6 0x13 0x28 0xD8 0x04 0xB8 0xAD 0x14
Chúng ta lưu ý là số configuration revision của VTP switch Vsic1 lớn hơn của Vsic2.
Hai switch có cùng VTP domain name là Vsic và cả hai là VTP server.
Bây giờ chúng ta nối hai port fa0/1 của hai switch lại với nhau và kiểm tra lại các
vlan.
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 vlan2 active
4 vlan4 active
6 vlan6 active
Nhậnxét : các vlan trên switch Vsic2 đã bị mất thay vào đó là các vlan của Vsic1. Do
Vsic1 có số configuration revision lớn hơn nên đã ập chồng tất cả vlan của mình lên
switch Vsic2.
Chúng ta có thể tăng số configuration cho switch bằng cách ra vào vlan datatbase và
apply nhiều lần. Cứ mỗi lần chúng ta vào vlan database apply một lần thì số
configuration sẽ tăng lên một lần.
Bây giờ chúng ta sẽ khảo sát nếu hai switch khác VTP domain thì sẽ hoạt động như
thế nào.
Chúng ta cấu hình cho switch Vsic1 có VTP domain là Vsic, còn switch Vsic2 là
Vsic1.
Do phần trên chúng ta đã cấu hình cho switch Vsic1 đã thuộc VTP domain Vsic và
các vlan của Vsic2 đã bị mất nên bây giờ chúng ta cấu hình Vsic2 thuộc VTP domain
Vsic1 và tạo lại các vlan3, vlan5, vlan7 cho Vsic2. (lưu ý chúng ta nên tháo cáp nối
hai port fa0/1 của hai switch trước khi thực hiện)
Vsic2#vlan database
Vsic2(vlan)#no vlan 2
Vsic2(vlan)#vtp domain name Vsic
Vsic2(vlan)#apply
Bây giờ chúng ta kiểm tra lại số configuration revision của hai switch và các vlan của
chúng.
Vsic1#sh vtp status
VTP Version :2
Vsic2#sh vtp status

VTP Version :2
Number of existing VLANs : 11
VTP Domain Name : Vsic1
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------

Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Bây giờ chúng ta nối cáp hai port fa0/1 lại. Kiểm tra lại các vlan chúng ta sẽ thấy
được là hai switch không trao thổi thông tin vlan với nhau (switch Vsic1 sẽ không ập
vlan lên switch Vsic2).
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Vậy nếu hai switch không cùng một VTP domain thì sẽ không trao đổi thông tin vlan
cho nhau.

Bài 3
Cấu hình VTP Password
1. Giới thiệu :
Trong VTP, nếu như ta nối hai switch cùng VTP domain với nhau, thì các
switch sẽ trao đổi thông tin Vlan với nhau. Nếu switch nào có số Configuration
Revision cao hơn sẽ chuyển hết tất cả các thông tin Vlan của mình cho switch kia.
Điều này có mặt lợi cũng như mặt hại. Trong trường hợp nếu như ta đã thiết lập một
mạng với nhiều Vlan đang hoạt động tốt, khi nâng cấp mạng bằng cách lắp thêm một
switch mới vào switch cũ và ta muốn switch này sẽ lấy những thông tin về các Vlan
đã có, nhưng không may switch này có số Configuration Revision nên đã chuyển hết
các thông tin vlan cho switch cũ. Điều này đồng nghĩa với chúng ta mất tất cả Vlan cũ
đang hoạt động (do switch mới chưa có vlan nào). VTP password giúp chúng ta khắc
phục được trường hợp không mong muốn này. Nếu hai switch cùng một VTP domain
nhưng khác VTP password thì sẽ không trao đổi thông tin Vlan với nhau qua đường
trunk.
2. Mô tả bài lab và đồ hình
Chúng ta sẽ cấu hình cho hai switch cùng VTP domain name là Vsic. Switch Vsic1 có
các Vlan là vlan2, vlan4, vlan6. Switch Vsic2 có các vlan3, vlan5, vlan7
3. Cấu hình switch :

Chúng ta cấu hình vlan2, vlan4, vlan6 cho switch Vsic1; vlan3, vlan5, vlan7
cho switch Vsic2.
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan

---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Chúng ta tiến hành cấu hình đường trunk cho hai switch Vsic1 và Vsic2 (không cắm
cáp chéo vào hai port fa0/1 của hai switch)
Vsic1#conf t
Vsic2#conf t
Vsic2(config-if)#switchport trunk encapsulation dot1q ← sử dụng giao thức
đóng gói dot1q cho đường trunk
Lưuý : switch 2950 sử dụng phương thức đóng gói là dot1q do đó chúng ta phải cấu
hình cho switch Vsic2 (switch 2900) sử dụng giao thức đóng gói này.
Bây giớ chúng ta sẽ xem số Configuration Revision của các switch bằng câu lệnh
show vtp status
Vsic1#sh vtp status
VTP Version :2
MD5 digest : 0x0E 0x36 0x79 0x87 0x0C 0x87 0x1E 0x4C
Local updater ID is 0.0.0.0 (no valid interface found)
Vsic2#sh vtp status

VTP Version :2

MD5 digest : 0xAB 0xF7 0xF9 0xCD 0x83 0xEB 0x42 0xE6
Trong trường hợp này số Configuration Revision của Vsic1 lớn hơn của Vsic2 do đó
khi ta nối đường trunk lại thì các vlan của Vsic2 sẽ bị mất và thay vào đó là các vlan
của Vsic1.
Bây giờ chúng ta cắm cáp chéo vào hai port fa0/1 của hai switch và kiểm tra lại vlan
trên switch Vsic1 và Vsic2
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Switch đã bị mất các vlan của mình, và thay vào đó là các vlan của switch Vsic1.
Trong trường hợp nếu như số Configuration Revision của Vsic2 lớn hơn Vsic1 thì sẽ
xảy ra ngược lại.
Chúng ta có thể tăng số configuration revision bằng cách vào vlan database apply
nhiều lần. Cứ mỗi lần apply thì số này sẽ tăng lên.
Bây giờ chúng ta tháo cáp thẳng nối hai port fa0/1 của hai switch ra rồi cấu hình vlan
lại cho Vsic1 giống như ban đầu (gồm vlan2, vlan4, vlan6) để khảo sát hoạt động của
VTP password.
Sau khi cấu hình vlan cho Vsic1 xong, chúng ta cấu hình VTP password bằng cách :
Vsic1#vlan database
Vsic1(vlan)#vtp password cisco ←Cấu hình VTP password
Vsic1(vlan)#apply
Vsic2#vlan database
Vsic2(vlan)#vtp password cisco1
Vsic2(vlan)#apply

Ở đây chúng ta cố tình cấu hình hai VTP password khác nhau để kiểm tra hoạt động
của VTP khi password khác nhau như thế nào.
Sau khi cấu hình VTP password xong, kiểm tra lại số configuration revision sau đó
nối cáp vào hai port fa0/1 và kiểm tra các vlan của cả hai.
Vsic1#sh vtp status
VTP Version :2
MD5 digest : 0xDC 0x72 0x0C 0xDF 0x21 0x03 0x77 0xE6
Vsic2#sh vtp status

VTP Version :2
MD5 digest : 0xEB 0x3F 0x54 0x2C 0x25 0x7B 0x0D 0x19
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active

5 Vlan5 active
7 Vlan7 active
Mặc dù switch Vsic2 có số configuration revision lớn hơn nhưng các vlan của Vsic1
vẫn không bị xóa và Vsic1 cũng không biết được các Vlan của Vsic2. Điều này đồng
nghĩa với hai switch không chuyển đổi thông tin vlan cho nhau. Do switch Vsic1 có
VTP password là cisco còn Vsic2 là cisco1.
Bây giờ chúng ta tháo cáp nối hai port fa0/1 của hai switch ra rồi vào switch Vsic2
cấu hình lại VTP password là cisco.
Sau khi cấu hình lại chúng ta kiểm tra số configuration revision của hai switch
Vsic1#sh vtp status

VTP Version :2
MD5 digest : 0xDC 0x72 0x0C 0xDF 0x21 0x03 0x77 0xE6
Vsic2#sh vtp status

VTP Version :2
MD5 digest : 0xD9 0xBA 0xC8 0x6A 0x7A 0x2C 0x1C 0xE6
Bây giờ chúng ta nối cáp giữa hai port fa0/1, kiểm tra lại vlan của cả hai switch
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
1 default active
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------

Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Các vlan của Vsic1 đã bị mất, thay vào đó là Vsic1 có các Vlan của Vsic2.
Từ các kết quả trên ta có thể thấy tác dụng của VTP password : nếu hai switch cùng
VTP domain nhưng khác password thì sẽ không truyền thông tin vlan cho nhau.

Phần 3
Định tuyến cho Router

Bài 1
Định tuyến tĩnh (Static route)
1. Giới thiệu :
Định tuyến (Routing) là 1 quá trình mà Router thực thi và sử để chuyển một gói
tin(Packet) từ một địa chỉ nguồn (soucre)đến một địa chỉ đích(destination) trong
mạng.Trong quá trình này Router phảI dựa vào những thông tin định tuyến để đưa ra
những quyết định nhằm chuyển gói tin đến những địa chỉ đích đã định trước.Có hai
loạI định tuyến cơ bản là Định tuyến tĩnh (Static Route) và Định tuyến động (Dynamic
Route)
 Định tuyến tĩnh (Static Route) là 1 quá trình định tuyến mà để thực hiện
bạn phảI cấu hình bằng tay(manually) từng địa chỉ đích cụ thể cho Router.
Một dạng mặc định của định tuyến tĩnh là Default Routes, dạng này được
sử dụng cho các mạng cụt (Stub Network)
 Định tuyến động (Dynamic Route) đây mà một dạng định tuyến mà khi
được cấu hình ở dạng này, Router sẽ sử dụng những giao thức định tuyến như
RIP(Routing Information Protocol),OSPF(Open Shortest Path Frist),IGRP(Interior
Gateway Routing Protocol)… để thực thi việc định tuyến một cách tự động
(Automatically) mà bạn không phải cấu hình trực tiếp bằng tay.
Đồ hình bài lab như hình, PC nối với router bằng cáp chéo. Hai router nối với nhau
bằng cáp serial. Địa chỉ IP của các interface và PC như hình vẽ.
Bài lab này giúp bạn thực hiện cấu hình định tuyến tĩnh cho 2 router, làm cho 2 router
có khả năng “nhìn thấy “được nhau và cả các mạng con trong nó.
3. Cấu hình Định tuyến tĩnh (Static Route)

Chúng ta cấu hình cho các router và PC như sau :
Router Vsic1
hostname Vsic1
!
!
ip subnet-zero
no ip finger
!
!

interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Router Vsic2
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.1.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Host 1 :
IP 10.0.0.2
Subnetmask: 255.255.255.0
Gateway: 10.0.0.1

Host 2 :
IP: 10.0.1.2
Subnetmask: 255.255.255.0
Gateway:10.0.1.1
Chúng ta tiến hành kiểm tra các kết nối bằng cách :
Ping từ Host1 sang địa chỉ 10.0.0.1
Ping từ Host 1 sang địa chỉ 192.168.0.1
Mở chế độ debug tại Router Vsic2

vsic2#debug ip packet
IP packet debugging is on
Thực hiện lại lệnh ping trên ta thấy

vsic2#
00:33:59: IP: s=10.0.0.2 (Serial0), d=192.168.0.2 (Serial0), len 60, rcvd 3
00:33:59: IP: s=192.168.0.2 (local), d=10.0.0.2, len 60, unroutable

Mở chế độ debug tại Router Vsic1

vsic1#debug ip packet
Thực hiện lại lệnh Ping:

vsic1#
00:36:41: IP: s=10.0.0.2 (Ethernet0), d=10.0.1.1, len 60, unroutable
00:36:41: IP: s=10.0.0.1 (local), d=10.0.0.2 (Ethernet0), len 56, sending
Lệnh Ping ở trường hợp này không thực hiện thành công, ta dùng lệnh debug ip
packet để mở chế độ debug tại 2 Router, ta thấy Router Vsic 2 vẫn nhận được gói
packet từ host1 khi ta ping địa chỉ 192.168.0.2, tuy nhiên do host 1 không liên kết
trực tiếp với Router Vsic 2 nên gói Packet ICMP trả về lệnh ping không có địa chỉ
đích,do vậy gói Packet này bị hủy,điều này dẩn đến lệnh Ping không thành công. Ở
trường hợp ta ping từ Host1 sang địa chỉ 10.0.1.1 gói packet bị mất ngay tại router
vsic1 vì Router vsic1 không xác định được địa chỉ đích cần đến trong bảng định
tuyến(địa chỉ này không liên kết trực tiếp với Router vsic1).Ta so sánh vị trí
Unroutable trong kết quả debug packet ở 2 cấu lệnh ping trên để thấy được sự khác
nhau.
Để thực hiện thành công kết nối này,ta phải thực hiện cấu hình Static Route cho
Router Vsic1 và Router Vsic2 như sau:
vsic1(config)#ip route 10.0.1.0 255.255.255.0 s0
vsic1(config)#exit

Bạn thực hiện lệnh Ping từ Host1 sang Host 2
Bạn thực hiện lệnh Ping từ Router Vsic2 sang Host1

vsic2#ping 10.0.0.2
.....
Để thực hiện thành công lệnh Ping này bạn phải thực hiện cấu hình Static route cho
Router vsic 2 như sau
Vsic2(config)#ip route 10.0.0.0 255.255.255.0 s0
Vsic2(config)#^Z
Lúc này từ Host2 bạn có thể Ping thấy các địa chỉ Trên Router Vsic 1 và Host1
Chúng ta kiểm tra bảng định tuyến của các router bằng lệnh show ip route
vsic1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets

C 10.0.0.0 is directly connected, Ethernet0
S 10.0.1.0 is directly connected, Serial0
C 192.168.0.0/24 is directly connected, Serial0
S biểu thị những kết nối thông qua định tuyến tĩnh
C biểu thị những kết nối trực tiếp
Vsic2#show ip route

S 10.0.0.0 is directly connected, Serial0
Thực hiện lệnh Show run tại Router để xem lại cấu hình định tuyến:
vsic1#show run
ip classless
ip route 10.0.1.0 255.255.255.0 Serial0
ip http server
!
end
vsic2#show run
ip classless
ip route 10.0.0.0 255.255.255.0 Serial0
ip http server
!
End
Bạn đã thực hiện thành công việc định tuyến cho 2 Router kết nối được với nhau cả
các mạng con của chúng, bạn cũng có thể mở rộng đồ hình ra thêm với 3, 4 hay 5 hop

để thực hành việc cấu hình định tuyến tĩnh tuy nhiên bạn thấy rõ việc cấu hình này
tương đối rắc rối và dài dòng nhất là đối với môi trường Internet bên ngoài,vì vậy bạn
sẽ phải thực hiện việc cấu hình định tuyến động cho Router ở bài sau.

Bài 2
RIP( Routing Information Protocol)
1. Giới thiệu :
RIP (Routing Information Protocol) là một giao thức định tuyến dùng để quảng bá
thông tin về địa chỉ mà mình muốn quảng bá ra bên ngoài và thu thập thông tin để
hình thành bảng định tuyến (Routing Table)cho Router. Đây là loại giao thức
Distance Vector sử dụng tiêu chí chọn đường chủ yếu là dựa vào số hop (hop count)
và các địa chỉ mà Rip muốn quảng bá được gửi đi ở dạng Classful (đối với RIP verion
1) và Classless (đối với RIP version 2).
Vì sử dụng tiêu chí định tuyến là hop count và bị giới hạn ở số hop là 15 nên giao
thức này chỉ được sử dụng trong các mạng nhỏ (dưới 15 hop).
Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ
IP của các interface và PC như trên hình.
Bài thực hành này giúp bạn thực hiện được việc cấu hình cho mạng có thể liên lạc
được với nhau bằng giao thức RIP
3. Cấu hình:
Trước tiên bạn cấu hình cho các thiết bị như sau:
Router Vsic1
Vsic1#show run
!
version 12.2
!
hostname Vsic1
!

!
ip subnet-zero
no ip finger
!
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.1 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End
Router Vsic2
Vsic2#show run

!
version 12.1
!
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.2 255.255.255.0

!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End
Host1 :
IP 10.0.0.2
Subnet mask:255.255.255.0
Gateway:10.0.0.1
Host2 :
IP: 11.0.0.2
Gateway:11.0.0.1
Bạn thực hiện việc kiểm tra các kết nối bằng lệnh Ping

Đối với Host 1 bạn không thể Ping thấy địa chỉ 192.168.0.2
Bạn thực hiện việc kiểm tra tương tự ở Host 2
Ping địa chỉ 11.0.0.1
Thực hiện các lệnh Ping từ Router Vsic1:

Vsic1#ping 192.168.0.2
!!!!!

Vsic1#ping 11.0.0.1
.....
Thực hiện các lệnh Ping từ Router Vsic2

Vsic2#ping 192.168.0.1
!!!!!
Vsic2#ping 10.0.0.1
.....
Bạn xem bảng thông tin định tuyến của từng Router (dùng lệnh Show ip route)
Vsic1#show ip route

Vsic2#show ip route

Nhậnxét : Bạn thấy rằng thông tin địa chỉ của các mạng mà bạn thực hiện lệnh Ping
không thành công không được lưu trên bảng định tuyến

 Bạn thực hiện việc cấu hình RIP cho các Router như sau:
Vsic1(config)#router rip
Vsic1(config-router)#network 192.168.0.0
Vsic1(config-router)#exit
Vsic2(config-router)#exit
Bạn xem lại bảng thông tin định tuyến:

Vsic1#show ip route

R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:00, Serial0
Vsic2#show ip route
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:23, Serial0

Nhận xét : Bạn thấy rằng trên bảng thông tin định tuyến, Router Vsic 1 đã liên kết
RIP với mạng 11.0.0.0/8 qua cổng Serial 0(192.168.0.2) và Router Vsic2 đã liên kết
với mạng 10.0.0.0/8 qua cổng Serial 0(192.168.0.1)
Chú ý: Vì Rip gửi điạ chỉ theo dạng classfull nên subnet mask sẽ được sử dụng defaul
đối với các lớp mạng.

Lúc này bạn thực hiện lại lệnh Ping giứa các Router và các Host:
Từ Host1 bạn thực hiện lệnh Ping:
Từ Host 2 bạn thực hiện lệnh Ping:

Bạn thấy rằng các kết nối đã thành công. Đến đây bạn đã hoàn tất việc cấu hình RIP
cho mạng trên có thể trao đổi thông tin với nhau.Nhưng để tìm hiểu rõ hơn về RIP
bạn thực hiện tiếp tục các bước cấu hình như sau:
Bạn giữ nguyên cấu hình của Router Vsic 1 và thay đổi cấu hình của Router Vsic 2
từ RIP version 1 sang RIP version 2 và kiểm tra :
Vsic2(config-router)#ver 2
Bạn mở chế độ debug trên 2 Router để kiểm tra gói tin:

Vsic1#debug ip packet
Vsic2#debug ip packet
Lúc này bạn thực hiện lệnh Ping từ Host 1 vào các địa chỉ không liên kết trực tiếp với
nó đã được chạy RIP
Vsic2#

Vsic2#
01:55:30: IP: s=10.0.0.2 (Serial0), d=11.0.0.1, len 60, rcvd 4
Những dữ liệu khi bạn mở chế độ debug cho thấy khi bạn thực hiện lệnh Ping từ
Host1 đến các địa chỉ như:192.168.0.2 và 11.0.0.1 gói tin đều nhận được tại điểm
đích,tuy nhiên gói tin trả về tại địa chỉ này đã không tìm được địa chỉ 10.0.0.2(Host1)
từ bảng định tuyến của Router Vsic 2(unroutable) do Router này đã được cấu hình
RIP version 2
Vsic2#show ip route
Nhậnxét : Mạng 10.0.0.0 không còn tồn tại trong bảng định tuyến
Bạn thực hiện lệnh Ping từ Router Vsic2 sang các địa chỉ của Router Vsic1
vsic2#ping 10.0.0.2
.....
Bạn thực hiện việc kiểm tra bằng lệnh Show ip route
Vsic1#show ip

01:46:50: IP: s=192.168.0.2 (Serial0), d=224.0.0.9, len 52, rcvd 2route

R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:05, Serial0
Bạn thấy tuy tại bảng định tuyến của Router Vsic1 vẫn còn lưu lại địa chỉ của mạng
11.0.0.0 nhưng vì Router Vsic2 không tìm thấy địa chỉ của mạng 10.0.0.0 nên gói tin
không thực hiện gửi được. Điều này cho bạn thấy giao thức RIP Version 2 không hổ
trợ tương thích ngược cho giao thức RIP Version 1.

Bài 2
Cấu Hình IGRP Timer
I/Mô tả bài lab :
Bài lab sau đây sử dụng lệnh để cấu hình 4 thông số của về timer của IGRP
bao gồm update, invalid,holddown và flus timers). Tùy thuộc vào sơ đồ mạng và băng
thông , môi trường mạng mà chúng ta cấu hình sao cho thông số này phù hợp nhất.
Lấy một ví dụ sau đây nếu sử dụng đường truyền 56Kbps, thì việc tạo ra những gói
tin update IGRP trong vòng 90 giây là không hợp lý, vì tốn nhiều tài nguyên băng
thông của hệ thống, giải pháp lúc này là tăng thời gian update lên tuy nhiên làm như
vậy sẽ ảnh hưởng đến thời gian hội tụ của hê thống.
Ngoài thời gian update(update timer) ra, trong IGRP còn có 3 khoảng thời
gian khác là invalid timer, holddown timer và flush timer. Cả 3 khoảng thời gian này
phụ thuộc vào thời gian update timer. Invalid timer, holddown timer có thời gian ít
nhất là gấp 3 lần so với thời gian update, flush timer có thời gian ít nhất bằng tổng
thời gian update và thời gian holddown.
Phụ thuộc vào mỗi lần route được cập nhập, invalid timer sẽ được khởi tạo lại,
vì nó xem trong mạng có route nào bị lỗi hay không. Theo cấu hình mặc định, thì nếu
như trong khoảng thời gian 270s mà không thấy thông tin gì về 1 route đang tồn tại
thì route đó được đẩy lên trạng thái holdown, trong thời gian này router vẫn sử dụng
route này nhưng không quản bá route này nữa, ví nó đang đợi thử xem route này có
phải là bị tắt thật hay không. Nếu thời gian expire hểt router sẽ không
Trong hình trên có 3 router gồm R1,R2,R3 được nối với nhau thông qua cáp
Serial. Sinh viên thực hành gán địa và cắm cáp, sau đó sẽ cấu hình giao thức định
tuyến IGRP như trên. Kiểm tra quá trình hoạt động giao thức bằng lệnh show ip route
và ping, sau đó bắt tay vào cấu hình các tham số timer( Cấu hình tại R1 trước và
không cấu hình tại R3,R5) và giám sát quá trình họat động trên các router. Cuối cùng
sẽ cấu hình các router R3,R5 có tham số giống như R1.( thêm vào)
Tham số cấu hình tại R1
 Update 5
 Invalid 15
 Holddown 15
 Flush 30
Khi xét các tham số này, việc thực hiện cập nhập sẽ thực hiện quảng bá trong
vòng 5s, và khi thông tin về route không được cập nhập trong vòng 15s thì
router sẽ công bố route đã bị lỗi.( thêm vào).

Cấu hình của router:
r1#show run

!
hostname r1
!
!
ip subnet-zero
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.1.1.1 255.255.255.0
no fair-queue
!
interface Serial1
no ip address
shutdown
!
router igrp 100
network 10.0.0.0
network 192.1.1.0
!
r5#show run

!
hostname r5
!
interface Serial0
ip address 192.1.1.2 255.255.255.0
no fair-queue
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
interface Serial2
ip address 193.1.1.1 255.255.255.0

!
interface Serial3
no ip address
shutdown
!
interface TokenRing0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
isdn x25 static-tei 0
cdapi buffers regular 0
cdapi buffers raw 0
cdapi buffers large 0
!
router igrp 100
network 192.1.1.0
network 193.1.1.0
!
ip classless
ip http server
!
!
!
line con 0
line aux 0
line vty 0 4
!
end
r3#show run

!
hostname r3
!
!
ip subnet-zero
no ip finger
!
interface Loopback0
ip address 152.1.1.1 255.255.255.0
!
interface Serial0

ip address 193.1.1.2 255.255.255.0
no fair-queue
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
router igrp 100
network 152.1.0.0
network 193.1.1.0
!
end
Bây giờ ta cấu hình timer cho r1 với các thông số như trên:
r1#conf t
r1(config)#router igrp 100
r1(config-router)#timer
r1(config-router)#timers basisc 5 15 15 30
Xem kết quả show ip route trên r1, ta thấy lúc có route của 2 r3,r5 lúc lại không có,
nguyên nhân là do quá trình khởi tạo update của r1 nhanh hơn r3,r5
r1#show ip route
I 152.1.0.0/16 [100/91456] via 192.1.1.2, 00:00:03, Serial0

C 10.1.1.0 is directly connected, Loopback0
I 193.1.1.0/24 [100/90956] via 192.1.1.2, 00:00:03, Serial0
r1#show ip route

r1#show ip route
I 152.1.0.0/16 [100/91456] via 192.1.1.2, 00:00:16, Serial0

I 193.1.1.0/24 [100/90956] via 192.1.1.2, 00:00:16, Serial0
Bây giờ ta thiết lập các tham số timer của r3,r5 giống như của r1, và sau đó ta thấy
giao thức hoạt động định tuyến trở lại bình thường.
r3#conf t
r3(config-router)#timer basic
r3(config-router)#timer basic 5 15 15 30
r5#conf t
r5(config-router)#timers basic 5 15 15 30
r3#ping 10.1.1.1

!!!!!

Bài 4
Cấu hình IGRP LOAD BALANCING
1. Giới thiệu :
Giao thức IGRP cho phép chúng ta chia tải khi có nhiều hơn một route đến cùng
một đích. Tiện ích này giúp chúng ta tạo ra một route dự phòng cho route đang sử
dụng.
IGRP cập nhập route vào bảng định tuyến (trong trường hờp có nhiều route đến
cùng một đích) dựa vào nguyên tắc : nếu route nào có metric nhỏ hơn hệ số nhân (của
câu lệnh variance (multiplier)) nhân với metric nhỏ nhất của các đường thì sẽ được
cập nhật; ngược lại, nếu lớn hơn thì sẽ không được cập nhật. Mặc định hệ số nhân này
được thiết lập bằng 1 do đó chỉ có duy nhất một route được cập nhật. (Các tính metric
của giao thức IGRP được đề cập ở mục 5)
Để thay đổi hệ số nhân, chúng ta sử dụng lệnh : variance (multiplier)
Đồ hình bài lab như hình trên. Các cổng serial nối với nhau bằng cáp serail,
cổng ethernet nối với nhau bằng cáp chéo. Hai router Vsic1 và Vsic3 được cấu hình
thêm interface loopback 0.
3. Mục tiêu của bài lab :
Phải cấu hình sao cho router Vsic1 có 2 route qua mạng 14.1.0.0 của router
Vsic3 và việc truyển dữ liệu qua mạng 14.1.0.0 phải được chia ra trên 2 route đó.
4. Cấu hình router :

Vsic1#sh run

version 12.2
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Ethernet0
ip address 12.1.0.1 255.255.255.0
interface Serial0
ip address 11.1.0.1 255.255.255.0
no fair-queue
clockrate 64000
router igrp 1
network 10.0.0.0
network 11.0.0.0
network 12.0.0.0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Ethernet0
ip address 12.1.0.2 255.255.255.0
interface Serial0
ip address 11.1.0.2 255.255.255.0
interface Serial1
ip address 13.1.0.1 255.255.255.0
router igrp 1
network 11.0.0.0
network 12.0.0.0
network 13.0.0.0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 14.1.0.1 255.255.255.0
interface Serial0
ip address 13.1.0.2 255.255.255.0
clockrate 64000
router igrp 1
network 13.0.0.0
network 14.0.0.0
end

Sau khi cấu hình các router ta kiểm tra bảng định tuyến của router Vsic1 được kết quả
:
Vsic1#sh ip route
C 11.1.0.0 is directly connected, Serial0
I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:01:01, Ethernet0
I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:01:01, Ethernet0
Router Vsic1 chỉ biết một đường duy nhất để đến được mạng 13.1.0.0/24 và mạng
14.1.0.0/24 là qua Ethernet0 mặc dù ta thực tế thì có đến hai đường đến các mạng đó
(qua S0 và E0). Nguyên nhân là hệ số variance mặc định là 1. Do đó để có được hai
đường, ta phải cấu hình lại hệ số variance như sau :
Vsic1#conf t
Vsic1(config)#router igrp 1
Vsic1(config-router)#variance 2
Kiểm tra lại bảng định tuyến của router Vsic1 :

Vsic1#sh ip route
I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:00:26, Ethernet0
[100/10476] via 11.1.0.2, 00:00:26, Serial0
I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:00:26, Ethernet0
[100/10976] via 11.1.0.2, 00:00:26, Serial0
Trong bảng định tuyến của router Vsic1 đã có được hai đường đến mạng 13.1.0.0/24
và hai đường đến mạng 14.1.0.0/24 (qua S0 và qua E0).
Nguyên nhân là do các route qua S0 của Vsic1 có metric nhỏ hơn variance nhân với
metric nhỏ nhất giữa hai đường. (Tham khảo mục Cách tính metric của giao thức
IGRP)
10476 < 8576*2 (= 17152)
10976 < 9076*2 (= 18152)
Bây giờ chúng ta sẽ kiểm tra việc chia tải của Vsic1. Chúng ta nhập lệnh sh ip route
14.1.0.1 để xem route đến host 14.1.0.1 :
Vsic1#sh ip route 14.1.0.1
Routing entry for 14.0.0.0/8
Known via "igrp 1", distance 100, metric 9076
Redistributing via igrp 1

Advertised by igrp 1 (self originated)
Last update from 11.1.0.2 on Serial0, 00:00:02 ago
Routing Descriptor Blocks:
* 12.1.0.2, from 12.1.0.2, 00:00:02 ago, via Ethernet0
Route metric is 9076, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 1544 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1
11.1.0.2, from 11.1.0.2, 00:00:02 ago, via Serial0
Route đến host 14.1.0.1 có hai đường (được tô đậm) và dấu * đánh dấu route sẽ sử
dụng cho lần gửi dữ liệu kế.
Từ router Vsic1, ta nhập lệnh ping 14.1.0.1
Vsic1#ping 14.1.0.1
!!!!!
Xem lại route đến host 14.1.0.1 bằng lệnh sh ip route 14.1.0.1. Lúc này ta thấy route
thứ hai đã được đánh dấu do router thực hiện việc chia tải qua hai đường đến mạng
14.1.0.0/24
Known via "igrp 1", distance 100, metric 9076
Redistributing via igrp 1
Advertised by igrp 1 (self originated)
Last update from 11.1.0.2 on Serial0, 00:00:17 ago
12.1.0.2, from 12.1.0.2, 00:00:18 ago, via Ethernet0
* 11.1.0.2, from 11.1.0.2, 00:00:17 ago, via Serial0
Bây giờ chúng ta sẽ khảo sát việc cập nhật route vào bảng định tuyến nếu như có
nhiều hơn route đến cùng một đích.
Chúng ta sẽ khảo sát bằng cách thay đổi metric của route qua S0. Cấu hình như sau :
Vsic1#conf t
Vsic1(config)#in s0

Vsic1(config-if)#bandwidth 56 ← Cấu hình bandwidth của S0
bằng 56 kbps
Xem lại bảng định tuyến của router Vsic1 :

Vsic1#sh ip route
I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:00:03, Ethernet0
I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:00:03, Ethernet0
Router Vsic1 giờ chỉ còn duy nhất một đường đến mạng 13.1.0.0/24 và một đường
đến mạng 14.1.0.0/24. Do lúc này route đến hai mạng đó qua S0 của Vsic1 có metric
lớn hơn variance nhân với metric nhỏ nhất giữa hai đường.
5. Cách tính metric của giao thức IGRP :
Metric = [K1 * Bandwidth + (K2 * Bandwidth)/(256−load) + K3*Delay] * [K5/(reliability + K4)]
K1 : ứng với Bandwidth K3 : ứng với Delay

Nếu K5 = 0 thì [K5/(reliability + K4)] không dùng trong công thức. Mặc định
K1 = K3 = 1 , K2 = K4 = K5 = 0. Khi đó công thức là :
Metric = Bandwidth + Delay
Xác định Bandwidth trong công thức trên, ta lấy 10000000 chia cho giá trị
bandwidth nhỏ nhất. Giá trị delay được xác định bằng cách lấy tổng giá trị delay chia
10. Giá trị bandwidth nhỏ nhất và tổng giá trị delay được tìm thấy trong kết quả của
các câu lệnh show ip interface và show ip route ip address
Ví dụ :
* 12.1.0.2, from 12.1.0.2, 00:00:02 ago, via Ethernet0 (1)
11.1.0.2, from 11.1.0.2, 00:00:02 ago, via Serial0 (2)
Kếtquả :
Metric của route (1) = 10000000/1544 + 26000/10 = 9076
Metric của route (2) = 10000000/1544 + 45000/10 = 10976

Bài tập thực hành Bảo Mật Mạng Cisco. GV: Từ Thanh Trí
Bài 5
DISCONTIGOUS NETWORKS
1. Giới thiệu :
 Discontigous network là một hệ thộng mạng có subnets giống như subnet của
các mạng khác , nhiều hệ thống mạng cùng subnet trong Rip thì không thể chạy
Rip được.
 Đây là lỗi trong Rip nếu cấu hình trùng Subnet trong hệ thông mạng .Vấn đề
này được giải quyết bằng cách cấu hình bằng EIGRP hoặc OSPF .
IP của các interface được cho trên hình vẽ. Hai router Vsic1, Vsic2 được cấu hình
interface loopback 0, loopback 1.
Đây là dạng mạng discontigous. Khi sử dụng giao thức classful (RIP, IGRP) thì hai
router sẽ không biết được mạng của các loopback của nhau. Do các giao thức classful
sử dụng default subnet mask để quảng bá mạng nên các router sẽ không phân biệt
được các mạng 12.1.2.0/24, 12.1.3.0/24, 12.1.0.0/24 và 12.1.1.0/24.
3. Cấu hình :
Chúng ta cấu hình cho các router như sau
Router Vsic1
!
version 12.1
hostname Vsic1
!
interface Loopback0
ip address 12.1.2.1 255.255.255.0
!
interface Loopback1
ip address 12.1.3.1 255.255.255.0
!
interface Serial0
ip address 11.1.0.2 255.255.255.0
!
router rip
network 11.0.0.0
network 12.0.0.0

end
Đường mạng của địa chỉ 12.1.2.1/24 & 12.1.3.1/24 thuộc lớp A nên được hiểu là
12.0.0.0, cũng vậy 11.1.0.2/24 cũng được hiểu là 11.0.0.0 nên chúng sẽ bị trùng lấp
địa chỉ mạng với nhau và đó là nghuyên nhân không thể hiểu nhau.
Router Vsic2

!
version 12.1
!
hostname Vsic2
!
interface Loopback0
ip address 12.1.0.1 255.255.255.0
interface Loopback1
ip address 12.1.1.1 255.255.255.0
!
interface Serial0
ip address 11.1.0.1 255.255.255.0
no fair-queue
clockrate 64000
!
router rip
network 11.0.0.0
network 12.0.0.0
!
end
Đường mạng của địa chỉ 12.1.2.1/24 & 12.13.1/24 thuộc lớp A nên được hiểu là
12.0.0.0 ,cũng vậy 11.1.0.2/24 cũng được hiểu là 11.0.0.0. Nên chúng sẽ bị trùng lấp
dịa chỉ mạng với nhau va đó là nghuyên nhân không thể hiểu nhau.
Chúng ta kiểm tra lại bảng định tuyến của các router bằng câu lệnh show ip route
Vsic2#sh ip route
Vsic1#sh ip route

Vsic1#debug ip rip
RIP event debugging is on
00:20:15: RIP: sending v1 update to 255.255.255.255 via Loopback0 (12.1.2.1)
00:20:15: RIP: Update contains 2 routes
00:20:15: RIP: Update queued
00:20:15: RIP: sending v1 update to 255.255.255.255 via Serial0 (11.1.0.2)
00:20:15: RIP: Update sent via Loopback0
00:20:15: RIP: Update sent via Serial0
00:20:27: RIP: received v1 update from 11.1.0.1 on Serial0
00:20:44: RIP: sending v1 update to 255.255.255.255 via Serial0 (11.1.0.2)
00:20:44: RIP: Update sent via Serial0
Vsic1#un all
All possible debugging has been turned off
Ngay tại Vsic1 ta ping qua địa chỉ 12.1.0.1 của Vsic2 sẽ không thể thấy được vì bản
thân nó cũng thuộc trùng subnet. Đây là hạn chế của giao thức Rip mà chỉ có thể giải
quyết được bằng cách dùng cấu hình OSPF, EIGRP .
Vsic1# ping 12.1.3.1
.....
Vsic1#ping 12.1.1.1
.....
Không thể thấy nhau là điều tất yếu. vì các địa chỉ mạng bị trùng lấp !
Giải pháp cho vấn đề này là thay đổi hai địa chỉ Loopback của Router Vsic1 lại thành
12.1.2.1/24 → 13.1.0.1/24 và 12.1.3.1/24  14.1.1.1/24

Ở đây để đơn giản bài lab cũng như để hiểu vấn đề dễ hơn, chúng ta sẽ cấu hình lại
bài như đồ hình sau :
Ở hai router Vsic1, Vsic2 chúng ta chỉ cấu hình interface loopback 0, không cấu hình
interface loopback1.
Router(config)#hostname Vsic2
Vsic2(config)#interface serial 0
Vsic2(config-if)#ip address 11.1.0.1 255.255.255.0
00:03:25: %LINK-3-UPDOWN: Interface Serial0, changed state to up
Vsic2(config-if)#
state to up
Vsic2 (config)#interface lo 0
00:09:11: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0,
changed state to up
Vsic2 (config)#router rip
Vsic2 (config-router)#network 12.1.3.0
Vsic1(config)#interface s0
Vsic1(config)#interface lo0
Vsic1(config-router)#net
Vsic1(config-router)#^Z

Vsic1 (config-if)#no shut
Vsic1#sh ip route

R 13.0.0.0/8 [120/1] via 11.1.0.2, 00:00:10, Serial0
Vsic1#ping 13.1.0.1
!!!!!
Vsic1#ping 12.1.3.1
!!!!!
Nhậnxét : toàn mạng lúc này đã liên lạc được với nhau.
Ngoài ra chúng ta có thể giải quyết vần đề trên bằng cách thay đổi địa chỉ IP của
Loopback 0 router Vsic2 tương tự như vậy.
Và bây giờ chúng ta có thể giải quyết được vấn đề của đồ hình lúc đầu bài lab một
cách dễ dàng chỉ đơn giản bằng thay đổi địa chỉ mạng của các loopback như ví dụ vừa
rồi!

Bài 6
Redistribute giữa RIP và IGRP
1. Giới thiệu :
Trong bài lab này, chúng ta sẽ cấu hình để hai mạng - một sử dụng RIP version 1,
một sửng dụng IGRP - liên lạc được với nhau bằng cách phân phối các route qua lại
giữa các giao thức.
RIP version 1 và IGRP cả hai đều là loại DISTANCE VECTOR.
Tuy nhiên hai giao thức này có nhiều điểm khác nhau như :
RIP IGRP
Thời gian Update 30 giây 90 giây
Tính metric dựa vào Hop count Băng thông (bandwidth), độ trễ (delay), độ
tin cậy (reliability), đường tải (load), MTU
Giá trị Infinite-Metric 16 4294967295
2. Các lệnh sử dụng trong bài :
 default−metric bandwidth delay reliability loading mtu
Cấu hình giá trị metric cho tất cả các route được phân phối vào IGRP, EIGRP,
OSPF, BGP, EGP
 redistribute protocol [process−id] {level−1 | level−1−2 | level−2} [metric
metric−value]
Phân phối các route từ một giao thức vào một giao thức khác
 route-map map-tag [permit | deny] [sequence-number]
Định nghĩa điều kiện để phân phối route từ một giao thức vào giao thức khác
 match ip address {access-list-number [access-list-number... | access-list-
name...]|access-list-name [access-list-number...| access-list-name] | prefix-list
prefix-list-name [prefix-list-name...]}
Phân phối các route cho phép bởi standard access-list, extended access-list
3. Mô tả bài Lab và đồ hình :

Đồ hình bài lab như hình trên, địa chỉ IP của các cổng được cho trong bảng. Hai
router Vsic1 và Vsic4 được tạo interface Loopback Lo0. Mạng 1 và mạng 2 sử dụng
hai giao thức truyền dẫn khác nhau. Mạng 1 gồm router Vsic1 và Vsic2 sử dụng RIP,
mạng 2 gồm router Vsic4 sử dụng IGRP. Riêng router Vsic3, mạng của cổng S1 sử
dụng RIP, mạng của cổng S0 sử dụng IGRP.
4. Mục tiêu của bài lab :

Mục tiêu của bài là tất cả các mạng con của hai mạng 1 và 2 phải liên lạc được với
nhau.
5. Cấu hình router : Chúng ta cấu hình cho các router như sau :
Vsic1#sh run
version 12.2
hostname Vsic1
interface Loopback0
ip address 1.1.1.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 64000
router rip
network 1.0.0.0
network 192.168.1.0
End
Vsic2#sh run
version 12.1
hostname Vsic2
interface Serial0
ip address 192.168.1.2 255.255.255.0
interface Serial1
ip address 192.168.2.1 255.255.255.0
router rip
network 192.168.1.0
network 192.168.2.0
End
Vsic3#sh run
version 12.1
hostname Vsic3
interface Serial0
ip address 192.168.3.1 255.255.255.0

no fair-queue
clockrate 64000
interface Serial1
ip address 192.168.2.2 255.255.255.0
clockrate 64000
router rip
network 192.168.2.0
router igrp 1
network 192.168.3.0
End
Vsic4#sh run
version 12.1
hostname Vsic4
interface Loopback0
ip address 2.2.2.2 255.255.255.0
interface Serial0
ip address 192.168.3.2 255.255.255.0
no fair-queue
router igrp 1
network 2.0.0.0
network 192.168.3.0
End
Sau khi cấu hình như trên, ta đánh lệnh show ip route lần lượt trên bốn router để xem
bảng định tuyến :
Vsic1#sh ip route
R 192.168.2.0/24 [120/1] via 192.168.1.2, 00:00:23, Serial0
Vsic2#sh ip route

R 1.0.0.0/8 [120/1] via 192.168.1.1, 00:00:20, Serial0
Vsic3#sh ip route
R 1.0.0.0/8 [120/2] via 192.168.2.1, 00:00:25, Serial1
I 2.0.0.0/8 [100/8976] via 192.168.3.2, 00:00:08, Serial0
R 192.168.1.0/24 [120/1] via 192.168.2.1, 00:00:25, Serial1
Vsic4#sh ip route
Trong bảng định tuyến của router Vsic1 và Vsic2 chỉ có những route chạy RIP trong
Mạng 1, không có các route chạy IGRP của Mạng 2 (cụ thể là không thấy được các
mạng 192.168.3.0 va 2.0.0.0). Tương tự, bảng định tuyến của Vsic4 không có các
route chạy RIP của Mạng 1. Nguyên nhân là giữa router Vsic2 và router Vsic3 chạy
RIP; ngược lại giữa Vsic3 và Vsic4 chạy IGRP.
Để router Vsic4 biết được các route của Mạng 1 (sử dụng giao thức RIP), chúng ta
cần sử dụng lệnh redistribute. Câu lệnh này được dùng để phân phối các route của
một giao thức vào một giao thức khác (ở đây là từ RIP vào IGRP).
Ở router Vsic3, ta phân phối các route của Mạng 1 (sử dụng RIP) vào Mạng 2 (sử
dụng IGRP) như sau :
Vsic3(config-router)#redistribute rip
Vsic4#sh ip route

I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:01:06, Serial0
Nhận xét : router Vsic4 nhận được route của mạng 192.168.2.0 nhưng còn hai mạng
192.168.1.0 và 1.0.0.0 thì không nhận được.Ta nhập lệnh :
Vsic4#debug ip igrp transactions
sau một khoảng thời gian ta nhận được thông báo sau :
00:40:20: IGRP: received update from 192.168.3.1 on Serial0

00:40:20: network 1.0.0.0, metric 4294967295 (inaccessible)
00:40:20: network 192.168.1.0, metric 4294967295 (inaccessible)
00:40:20: network 192.168.2.0, metric 10476 (neighbor 8476)
Mặc dù router Vsic4 nhận được update của hai route 1.0.0.0 và 192.168.1.0 nhưng bị
đánh dấu là inaccessible. Nguyên nhân của lỗi trên là cách tính metric của giao thức
RIP và IGRP khác nhau. Như phần giới thiệu đã đề cập đến, RIP sử dụng hop count
để tính metric; còn IGRP sử dụng băng thông, độ trễ, độ tin cậy, đường tải và MTU
để tính metric. Do đó, để giải quyết lỗi này chúng ta phải cấu hình cách tính metric
cho router Vsic3 khi phân phối route từ RIP sang IGRP.
(Tham khảo phần Cách tính metric của giao thức IGRP trong bài Cấu hình IGRP
load balancing để biết tính metric)
Cisco cung cấp cho ta ba cách thực hiện :
 Cách1 : cấu hình metric cho tất các các route của bất kỳ giao thức nào được
phân phối.
Cấu hình như sau :
Vsic3(config-router)#default-metric 1540 100 255 1 1500
Xem lại bảng định tuyến của router Vsic4 :
Vsic4#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile,
I 1.0.0.0/8 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.1.0/24 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:00:00, Serial0

Nhậnxét :
Hai route 1.0.0.0 và 192.168.1.0 đã được update vào bảng định tuyến
của router Vsic4
Metric của cả hai route bằng nhau (8593)
Khuyết điểm của cách cấu hình này là tất cả các route của bất kỳ một giao thức nào
được phân phối đều có giá trị metric bằng nhau không cần biết được route đó gần hay
xa. Do đó ta không có được một giá trị metric chính xác được.
Thực hiện thêm các lệnh sau :
Vsic3(config-router)#no default-metric 1540 100 255 1 1500
Vsic3(config-router)#no redistribute rip
để gở bỏ default-metric và redistribute rip trước khi ta khảo sát cách 2.
 Cách2 : cấu hình metric cho từng giao thức

Cách cấu hình :
Vsic3(config-router)#redistribute rip metric 1540 100 255 1 1500
Kiểm tra lai bảng định tuyến của router Vsic4 ta được kết quả như sau :
Vsic4#sh ip route
I 1.0.0.0/8 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.1.0/24 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:00:00, Serial0
Nhận xét : router Vsic4 vẫn nhận được kết quả như cách 1 nhưng với cách này ta có
thể linh hoạt hơn trong việc cấu hình metric cho từng giao thức cụ thể.
 Cách3 : cấu hình metric cho từng route.

Cách cấu hình :
Tạo access-list 1 cho phép mạng 1.0.0.0, access-list 2 cho phép mạng
192.168.1.0
Vsic3(config)#access-list 1 permit 1.0.0.0
Vsic3(config)#access-list 2 permit 192.168.1.0
Cấu hình một route map có tên là rip_to_igrp cho phép thiết lập bandwidth, delay,
realibility, load và MTU (để tính metric của IGRP) theo các điều kiện sau :
Route thỏa điều kiện của access-list 1 thì các giá trị là “56 100 255 1 1500”
Vsic3(config)#route-map rip_to_igrp 10
Vsic3(config-route-map)#match ip address 1
Vsic3(config-route-map)#set metric 56 100 255 1 1500

Vsic3(config-route-map)#exit
Route thỏa điều kiện của access-list 2 thì các giá trị là “1000 100 255 1 1500”
Vsic3(config-route-map)#match ip address 2
Route không thỏa hai điều kiện trên thì giá trị là “10000 100 255 1 1500”
Sử dụng route map cho tất cả các route được phân phối từ RIP sang IGRP
Vsic3(config-router)#redistribute rip route-map rip_to igrp
Vsic4#sh ip route
I 1.0.0.0/8 [100/180671] via 192.168.3.1, 00:00:17, Serial0
I 192.168.1.0/24 [100/12100] via 192.168.3.1, 00:00:17, Serial0
I 192.168.2.0/24 [100/8576] via 192.168.3.1, 00:00:17, Serial0
Trên đây, ta chỉ phân phối route của RIP vào IGRP. Để router Vsic1 và Vsic2 có được
các route trong Mạng 2, ta cần phải phân phối các route của IGRP vào RIP.
Để phân phối route từ IGRP vào RIP, ta cấu hình như sau :
Vsic3#conf t
Vsic3(config-router)#redistribute igrp 1 metric 2
Kiểm tra bảng định tuyến của router Vsic1 và Vsic2 :
Vsic1#sh ip route
R 2.0.0.0/8 [120/3] via 192.168.1.2, 00:00:04, Serial0
R 192.168.2.0/24 [120/1] via 192.168.1.2, 00:00:05, Serial0

R 192.168.3.0/24 [120/3] via 192.168.1.2, 00:00:05, Serial0
Vsic2#sh ip route
R 1.0.0.0/8 [120/1] via 192.168.1.1, 00:00:25, Serial0
R 2.0.0.0/8 [120/2] via 192.168.2.2, 00:00:19, Serial1
R 192.168.3.0/24 [120/2] via 192.168.2.2, 00:00:19, Serial1
Cả hai router đã cập nhật được các route của Mạng 2 (2.0.0.0 và 192.168.3.0). Lúc
này tất cả các mạng hoàn toàn liên lạc được với nhau.

Bài 7
Cấu hình OSPF cơ bản
1. Giới thiệu :
Giao thức OSPF (Open Shortest Path First) thuộc loại link-state routing protocol
và được hổ trợ bởi nhiều nhà sản xuất. OSPF sử dụng thuật toán SPF để tính toán ra đường
đi ngắn nhất cho một route. Giao thức OSPF có thể được sử dụng cho mạng nhỏ cũng
như một mạng lớn. Do các router sử dụng giao thức OSPF sử dụng thuật toán để tính
metric cho các route rồi từ đó xây dựng nên đồ hình của mạng nên tốn rất nhiều bộ nhớ
cũng như hoạt động của CPU router. Nếu như một mạng quá lớn thì việc này diễn ra
rất lâu và tốn rất nhiều bộ nhớ. Để khắc phục tình trạng trên, giao thức OSPF cho phép
chia một mạng ra thành nhiều area khác nhau. Các router trong cùng một area trao đổi
thông tin với nhau, không trao đổi với các router khác vùng. Vì vậy, việc xây dựng đồ hình
của router được giảm đi rất nhiều. Các vùng khác nhau muốn liên kết được với nhau phải
nối với area 0 (còn được gọi là backbone) bằng một router biên.
Các router chạy giao thức OSPF giữ liên lạc với nhau bằng cách gửi các gói Hello
cho nhau. Nếu router vẫn còn nhận được các gói Hello từ một router kết nối trực tiếp qua
một đường kết nối thì nó biêt được rằng đường kết nối và router đầu xa vẫn hoạt động tốt.
Nếu như router không nhận được gói hello trong một khoảng thời gian nhất định, được gọi là
dead interval, thì router biết rằng router đầu xa đã bị down và khi đó router sẽ chạy thuật
toán SPF để tính route mới.
Mỗi router sử dụng giao thức OSPF có một số ID để nhận dạng. Router sẽ sử
dụng địa chỉ IP của interface loopback cao nhất (nếu có nhiều loopback) làm ID. Nếu không
có loopback nào được cấu hình hình thì router sẽ sử dụng IP cao nhất của các interface vật
lý.
OSPF có một số ứu điểm là : thời gian hội tụ nhanh, được hổ trợ bởi nhiều nhà sản
xuất, hổ trở VLSM, có thể sử dụng trên một mạng lớn, có tính ổn định cao.
2. Các câu lệnh sử dụng trong bài lab :

 router ospf process-id
Cho phép giao thức OSPF
 network address wildcard-mask area area-id
Quảng bá một mạng thuộc một area nào đó

Đồ hình bài lab như hình vẽ. Các router được cấu hình các interface loopback 0. Địa
chỉ IP của các interface được ghi trên hình. Lưu ý ở đây chúng ta sử dụng subnetmask
của các mạng khác nhau.

Chúng ta cấu hình các interface cho các router như sau :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.0.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.0.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 170.1.0.1 255.255.0.0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 12.1.0.1 255.255.255.252
interface Serial0
ip address 170.1.0.2 255.255.0.0
end
Sau khi cấu hình interface cho các router, chúng ta tiến hành cấu hình OSPF cho
chúng như sau :
Vsic1(config)#router ospf 1
Vsic1(config-router)#net 192.168.1.0 0.0.0.255 area 0

Chúng ta cấu hình OSPF cho cả ba router trong cùng một area 0 (backbone). Ngoài ra
chúng ta có thể cấu hình OSPF cho cả ba router theo cách sau :
Khi quảng bá cho OSPF chúng ta có thể quảng bá theo hai cách : quảng bá đường
mạng (cách đầu) hoặc quảng bá chính interface đó (cách sau). Nếu quảng bá chính
interface thì wildcard mask phải là 0.0.0.0
Sau khi quảng bá các mạng của các router xong chúng ta kiểm tra lại bảng định tuyến
của các router bằng câu lệnh show ip route
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 01:20:18, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 01:20:18, Serial0
O 12.1.0.1 [110/129] via 192.168.1.2, 01:20:18, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 01:20:38, Serial0
C 11.0.0.0/8 is directly connected, Loopback0
O 12.1.0.1 [110/65] via 170.1.0.2, 01:20:38, Serial1
Vsic3#sh ip route

O 10.0.0.1 [110/129] via 170.1.0.1, 00:00:20, Serial0
O 11.1.0.1 [110/65] via 170.1.0.1, 00:00:20, Serial0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:00:20, Serial0
Nhận xét : các router đã biết được tất cả các mạng trong đồ hình của chúng ta. Các
route router biết được nhờ giao thức OSPF được đánh O ở đầu route. Trong kết quả
trên các route đó được in đậm.
Bây giờ chúng ta sẽ kiểm tra lại xem các mạng có thể liên lạc được với nhau hay chưa
bằng cách lần lượt đứng trên từng router và ping đến các mạng không nối trực tiếp với
nó.
Vsic3#ping 11.1.0.1
!!!!!
Vsic3#ping 10.0.0.1
!!!!!
Các bạn làm tương tự cho các mạng khác để kiểm tra, và chắc chắn sẽ ping thấy!
Cấu hình các mạng trong các area khác nhau :

Chúng ta sẽ khảo sát cách cấu hình các mạng được phân bố trong nhiều area khác
nhau trong mục này.
Trước hết, chúng ta khảo sát nếu cấu hình cho mạng 12.1.0.0/30 và interface S0 của
Vsic3 trong cùng area 1 còn các mạng khác vẫn trong area 0 thì toàn mạng của
chúng ta có thể liên lạc được hay không ?
Do phần trên chúng ta đã cấu hình OSPF cho cùng một vùng. Nên bây giờ chúng ta
chỉ cần gở bỏ cấu hình OSPF cho router Vsic3 và cấu hình lại cho nó như yêu cầu của
câu hỏi đặt ra.
Cách thực hiện như sau :
Vsic3(config-router)#no net 170.1.0.0 0.0.255.255 area 0  gở bỏ cấu hình
cấu hình OSPF cũ
Vsic3(config-router)#no net 12.1.0.0 0.0.0.3 area 0
Vsic3(config-router)#net 170.1.0.0 0.0.255.255 area 1  Cấu hình cho interface
S0 router Vsic3 thuộc
area 1
Vsic3(config-router)#net 12.1.0.0 0.0.0.3 area 1  Cấu hình mạng 12.1.0.0/30
thuộc area 1

Sau khi cấu hình xong chúng ta kiểm tra lại bảng định tuyến của các router :
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:00:53, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 00:00:53, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 00:00:43, Serial0
Vsic3#sh ip route
Nhậnxét : router Vsic1 và Vsic2 biết được các mạng của nhau nhưng không biết được
mạng của router Vsic3. Ngược lại router Vsic3, không biết được các mạng của router
Vsic1 và Vsic2. Điều này chứng tỏ, các router trong cùng một area chỉ biết được các
mạng trong area đó, các mạng trong area khác thì router không biết. (Trường hợp,
router Vsic1 thấy được mạng 170.1.0.0/16 là do router Vsic2 quảng bá mạng đó thuộc
area 0)
Để liên kết được các mạng trong cùng các area khác nhau chúng ta phải có một router
biên nối area đó về area 0 (backbone). Router này có một interface thuộc area đó và
một interface thuộc area 0.
AREA0
AREA1 AREA2 AREA3
Trong trường hợp bài lab, chúng ta có hai cách để giải quyết vấn đề này. Cách thứ
nhất là cấu hình cho mạng của interface S0 của router Vsic3 thuộc area 0. Lúc này,
router Vsic3 đóng vai trò là một router biên. Cách thứ hai là cấu hình cho mạng của
interface S1 router Vsic2 thuộc area 1, lúc này router Vsic2 đóng vai trò là router
biên.

Chúng ta sẽ khảo sát cách 1 (cấu hình cho mạng interface S0 của Athea3 thuộc
area0). Cách 2 được thực hiện tương tự
Cách cấu hình :

Vsic3(config-router)#no net 170.1.0.0 0.0.255.255 area 1
Sau khi cấu hình xong, chúng ta kiểm tra lại bảng định tuyến của các router :
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:01:30, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 00:01:30, Serial0
O IA 12.1.0.1 [110/129] via 192.168.1.2, 00:01:30, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 00:01:07, Serial0
O IA 12.1.0.1 [110/65] via 170.1.0.2, 00:01:07, Serial1

Vsic3#sh ip route
O 10.0.0.1 [110/129] via 170.1.0.1, 00:00:06, Serial0
O 11.1.0.1 [110/65] via 170.1.0.1, 00:00:06, Serial0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:00:06, Serial0
Nhậnxét : các router đã thấy được các mạng của các router khác. Như vậy toàn mạng
đã liên lạc được với nhau. Chúng ta có thể kiểm tra bằng cách ping đến từng mạng.

Bài 8
Cấu hình EIGRP
Các PC nối với router bằng cáp chéo, hai router được nối với nhau bằng cáp serial.
Địa chỉ IP của các interface và PC như hình vẽ.
Trong bài lab này chúng ta sẽ tiến hành cấu hình giao thức EIGRP cho các router.
2. Cấu hình :
Chúng ta cấu hình cho các router Vsic1 và Vsic2 như sau :
Vsic1#sh run
!
version 12.1
!
hostname Vsic1
!
interface Ethernet0
ip address 10.1.0.1 255.255.0.0
!
interface Serial1
ip address 192.168.0.1 255.255.255.0
clockrate 64000
!
end
Vsic2#sh run

!
version 12.1
!
hostname Vsic2
!

interface Ethernet0
ip address 11.1.0.1 255.255.0.0
!
interface Serial1
ip address 192.168.0.2 255.255.255.0
!
end
Sau khi cấu hình xong địa chỉ IP cho các interface của router Vsic1, Vsic2 chúng ta
tiến hành cấu hình EIGRP cho các router như sau:
Vsic1(config)#router eigrp 100  100 là số Autonomus –system
Vsic1(config-router)#network 10.1.0.0  quảng bá mạng 10.1.0.0
Vsic1(config-router)#network 192.168.0.0  quảng bá mạng 192.168.0.0
Vsic2(config)#router eigrp 100

Bây giờ chúng ta tiến hành kiểm tra các kết nối trong mạng bằng cách :
Vsic1#ping 11.1.0.2
!!!!!
Vsic1#
Chúng ta sử dụng câu lệnh show ip route để kiểm tra bảng định tuyến của hai router
Vsic2#show ip route
D 10.0.0.0/8 [90/2195456] via 192.168.0.1, 00:11:35, Serial1

C 11.1.0.0/16 is directly connected, Ethernet0
Trong bảng định tuyến của router Vsic2 đã có các route đến mạng của Vsic1, và
Vsic1 ping thành công đến loopback của Vsic2. Như vậy, toàn mạng chúng ta đã
thông nhau.

Bài 8
Cấu hình OSPF giữa
Windows Server 2003 và router
1. Giới thiệu :
Trong bài lab này chúng ta sẽ khảo sát cấu hình OSPF giữa một máy Server sử
dụng Windows 2003 và router
Đồ hình bài lab như hình vẽ, chúng ta sẽ cấu hình loopback 0 cho các router. Địa chỉ
IP của các interface được ghi trên hình. Lưu ý, khi cấu hình IP cho server, chúng ta
không cấu hình default gateway.
3. Cấu hình cho các router :

Chúng ta cấu hình cho cho các router như sau :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.0.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
router ospf 1
log-adjacency-changes

network 10.0.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.0.0.0
interface Ethernet0
ip address 15.1.0.1 255.0.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 170.1.0.1 255.255.0.0
router ospf 1
network 11.1.0.0 0.255.255.255 area 0
network 15.0.0.0 0.255.255.255 area 0
network 170.1.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 12.1.0.1 255.255.255.252
interface Serial0
ip address 170.1.0.2 255.255.0.0
clockrate 64000
router ospf 1
network 12.1.0.0 0.0.0.3 area 0
network 170.1.0.0 0.0.255.255 area 0
end
4. Cấu hình cho server :

Chúng ta vào Start  Program  Administrative Tools  Routing And Remote
Access. Sau đó chọn PC chúng ta muốn cấu hình rồi nhấp chuột phải chọn Configure
and Enable Routing and Remote Access.

Rồi nhấn Next  chọn Custom Configuration  Next  chọn Lan routing  Next
 Finish  Yes.
Click vào IP routing, bên ô cửa sổ bên phải chúng ta nhấp chuột phải vào General rồi
chọn New Routing Protocol …
Chọn Open Shortest Path Frist (OSPF)  OK

Nhấp chuột phải vào OSPF (trong IP routing) chọn New Interface. Trong ô cửa sổ
hiện ra chọn Local Area Connection  OK
Trong cửa sổ hiện ra, đánh dấu chọn Enable OSPF for this address, trong phần
Network Type, ta chọn mục Broadcast. Sau đó nhấn OK.

Chúng ta có thể set cost cho route này bằng cách nhập giá trị vàp ô Cost, và độ ưu tiên
cho router bằng cách nhập giá trị vào ô Router priority. Router nào có độ ưu tiên cao
nhất sẽ là designated router.
Nhấp chuột phải vào OSPF chọn Properties. Trong cửa sổ hiện ra chọn Enable
antonomous system boundary router.
Click vào tab Areas, chọn 0.0.0.0  nhấn Edit

Trong cửa sổ vừa hiện ra, bỏ Enable plaintext password  OK
Chúng ta nhấn chuột phải vào OSPF chọn Show Link-state Database. Trong cửa sổ
hiện ra chúng ta sẽ thất được các mạng của router Vsic1, Vsic2, Vsic3.

Bây giờ chúng ta sẽ ping tới các mạng của ba router để kiểm tra.
Chúng ta ping thành công mạng 10.0.0.0 của Vsic1, các bạn tiếp tục ping tới các
mạng khác để kiểm tra và chắc chắn sẽ thành công. Như vậy toàn mạng đã liên lạc
được với nhau. Việc chạy OSPF giữa Winserver 2003 và router đã thành công.

Phần 4
Access List và NAT

BÀI 20: STANDAR ACCESS LIST
1. Giới thiệu:
-Ngày nay cùng với sự tiến bộ của khoa học và công nghệ, Network là một giải
pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu,và vì vậy bảo mật trong
network là một vấn đề đang được quan tâm. Một trong những công cụ rất quan trọng
trong Cisco Router được dùng trong lĩnh vực security là Access List. Đây là một tính
năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ
mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
-Access List có 2 loại là Standard Access List và Extended Access List.
-Standard Access List: đậy là loại danh sách truy cập mà khi cho phép
hay ngăn cản việc truy cập,Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ
nguồn(Source Address)
-Extended Access List: đây là loại danh sách truy cập mở rộng hơn so
với loại Stanhdar,các yếu tố về địa chỉ nguồn, địa chỉ đích,giao thức,port..sẽ được kiểm
tra trước khi Router cho phép việc truy nhập hay ngăn cản.
-Bài Lab này giúp bạn thực hiện việc cấu hình Standard Access List cho Cisco
Router với mục đích ngăn không cho Router Vsic2 trao đổi thông tin với Host.
Router Vsic1
vsic1#show run

Current configuration:
!
version 12.0
!
hostname vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
no ip directed-broadcast
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2
vsic2#show run
!
version 12.1
!
hostname vsic2
!
ip subnet-zero
!
interface Ethernet0
no ip address

shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Host:
IP Address:11.0.0.2
Gate way:11.0.0.1
-Bạn thực hiện việc định tuyến cho các Router như sau(Dùng giao thức
RIP):
vsic1(config)#router rip
vsic1(config-router)#net 192.168.1.0
-Bạn thực hiện kiểm tra quá trình định tuyến:
vsic2#ping 192.168.1.1

!!!!!
vsic2#ping 11.0.0.1

!!!!!
vsic2#ping 11.0.0.2


!!!!!
-Sau quá trình định tuyến,kiểm tra chắc chắn rằng mạng đã được thông,bạn thực
hiện việc tạo Access List Standar để ngăn không cho Router Vsic 2 ping vào Host.
-Vì khi lưu thông,gói tin muốn đến được địa chỉ của Host bắt buột phải đi qua
Router Vsic1.
-Bạn thực hiện tạo Access List trên Router Vsic 1 như sau:
vsic1#conf t
vsic1(config)#access-list 1 deny 192.168.1.2 0.0.0.0
//từ chối sự truy nhập của địa chỉ 192.168.1.2//
-Lúc này bạn thực hiện lệnh Ping từ Router Vsic2 vào Host
vsic2#ping 11.0.0.2

!!!!!
-Bạn thấy lệnh Ping thực hiện vẫn thành công, lý do là bạn chưa mở chế
độ Access list trên interface serial0 của router vsic1
vsic2(config)#int s0
vsic2(config-if)#ip access-group 1 in
//ngăn cản đường vào của serial 0 theo access group 1//
vsic2#ping 11.0.0.2

U.U.U
-Bạn thực hiện việc đổi địa chỉ của Router
Router Vsic2
!
interface Serial0
ip address 192.168.15.2 255.255.255.0
line vty 0 4
!
end
Router Vsic1
!
interface Serial0
ip address 192.168.15.1 255.255.255.0

Bạn thực hiện lại việc định tuyến:
-Bạn thực hiện lại lệnh Ping
vsic2#ping 11.0.0.2

U.U.U
-Bạn thấy lệnh Ping vẫn không thành cộng, lý do là khi không tìm thấy địa chỉ
source (địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực hiện Deny any,vì
vậy bạn phải thay đổi mặc định này.
vsic1(config)#access-list 1 permit any
-Lúc này bạn thực hiện lại lệnh Ping:
vsic2#ping 11.0.0.2

!!!!!
-Bạn thấy lệnh Ping đã thành công, đến đây bạn đã cấu hình xong Standard
Access List

B ÀI 21: EXTENDED ACCESS LIST
6. Giới thiệu :
-Ở bài trước bạn đã thực hiện việc cấu hình Standard Access List, bài Lab này bạn sẽ tiếp
tục tìm hiểu sâu hơn về Extended Access List. Đây là mở rộng của Standard Access List, trong
quá trình kiểm tra, Router sẽ kiểm tra các yếu tố về địa chỉ nguồn, đích,giao thức và port…
-Mục đích của bài Lab:Bạn thực hiện cấu hình Extended Access List sao cho
Host1 không thể Telnet vào Router Vsic 2 nhưng vẫn có thể duyệt web qua Router
Vsic2
Bạn thực hiện đồ hình như sau:
Bạn thực hiện việc cấu hình cho Router và Host như đồ hình trên:
Host1:
IP Address:11.0.0.2
Gateway:11.0.0.1
Host2:
IP Address:10.0.0.2

Gateway:10.0.0.1
Router Vsic1:
vsic1#show run
!
version 12.0
!
hostname vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2
!
version 12.1
!
hostname vsic2
!

enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //mật khẩu secret l à
Router//
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
-Bạn thực hiện việc định tuyến(sử dụng Rip)
vsic1(config)#router rip vsic1(config-

router)#net 11.0.0.0 vsic1(config-
router)#net 192.168.1.0
vsic2(config)#router rip vsic2(config-

router)#net 10.0.0.0 vsic2(config-
router)#net 192.168.1.0
-Bạn thực hiện lệnh Ping để kiểm tra quá trình định tuyến.Sau khi chắc chắn rằng
quá trình định tuyến đã thành công.
-Tại Router Vsic2 bạn thực hiện câu lệnh:
vsic2(config)#ip http server //Câu lệnh này dùng để giả một http server trên
Router//
-Lúc này Router sẽ đóng vai trò như một Web Server
-Sau khi quá trình định tuyến đã thành công,bạn thực hiện các bước Telnet và
duyệt Web từ Host 1 vào Router Vsic2.
-Chú ý :để thành công việc Telnet bạn phải Login cho đường line vty và đặt
mật khẩu cho đường này(ở đây là Cisco)
Telnet:

Duyệt web
Bạn nhập vào User Name và Password

User name:Vsic2
Password:Router
-Các bước trên đã thành công,bạn thực hiện việc cấu hình Access list
vsic2#conf t
vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq
telnet
vsic2(config)#int s0
vsic2(config-if)#ip access-group 101 in
-Bạn thực hiện lại việc Telnet như trên,bạn nhận thấy quá trình Telnet không
thành công nhưng bước duyệt W eb của bạn cũng không thành công.
-Theo yêu cầu bạn chỉ ngăn cấm Telnet nhưng cho phép quá trình duyệt Web
Telnet
Duyệt Web

-Để thành công bước duyệt Web,bạn thực hiện câu lệnh thay đổi việc Deny any
mặc định của Access List.
vsic2(config)#access-list 101 permit ip any any
-Bạn chú ý rằng các câu lệnh trong Access List extended không giống như trong
Access List Standard vì trong Access List Extended,Router sẽ kiểm tra cả địa chỉ
nguồn,đích,giao thức và port..Permit ip any any có nghĩa là cho phép tất cả các địa chỉ
nguồn và đích khác(không tìm thấy trong danh sách Access List) chạy trên nền giao thức
IP đi qua.
Lúc này bạn thực hiện lại quá trình duyệt web

Bạn nhập vào User Name và Password
User name:Vsic2
Password:Router
-Đến đây bạn đã thành công việc cấu hình cho Extended Access List,bạn đã thực
hiện được yêu cầu tạo Access List cho Router với mục đích ngăn cấm việc Telnet vào
Router và cho phép quá trình duyệt Web vào Router.Bạn cũng có thể mở rộng thêm đồ
hình với nhiều Router để thực tập việc cấu hình Access List cho Router với những yêu
cầu bảo mật khác nhau.

Bài 3
Tấn công router bằng flood
1. Mô tả bài lab và cấu hình :
Đồ hình bài lab trên hình trên, chúng ta sẽ bật http server trên router Vsic2 và Deny
Service này bằng DoS trên S0 của router Vsic2 địa chỉ là 192.168.1.2, ta cấu hình
access-list 101 áp vào interface S0, nội dung của access-list 101 này là cấm tất cả các
gói đi vào interface này (sử dụng để Defense).
2. Cấu hình của Router :

Cấu hình của các router :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Ethernet0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
no fair-queue
clockrate 64000
router rip
network 10.0.0.0
network 192.168.1.0
end

Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip
network 11.0.0.0
network 192.168.1.0
ip http server
access-list 101 deny tcp any 10.1.0.0 0.0.0.255
access-list 101 permit ip any any
end
Chúng ta bật http server trên router Vsic2 bằng cách :
Vsic2(config)#ip http server
3. Thực thi DoS :

Sau khi cấu hình xong, ta chạy thử Web Service trên router 2501 bằng vào
Internet explorer browser, và nhập vào khung Address : http://192.168.3.1/ và chắc
chắn Service này sẽ chạy.
Bây giờ, chúng ta vào command prompt khởi động chương trình bonk (http://www.packetstorm.net/)
Chương trình này sẽ gởi packet liên tục đến địa chỉ mà chúng ta nhập vào (Interface
S0 của Vsic2). Lúc này tạo router Vsic2 chúng ta đã cấu hình access-list là deny tất cả
các gói đến địa chỉ 192.168.1.2 (interface S0 của Vsic2). Chúng ta có thể xem quá
trình đầu tiên là khi mới bắt đầu gởi gói từ phần mềm file chạy bonk, những gói từ
phần mềm này gởi bị deny : (sử dụng câu lệnh debug ip packet detail để hiện thị
thông tin về các gói trên Vsic2)

01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied

Tuy nhiên trong quá trình deny router Vsic2 phải đưa gói vào dữ liệu của mình để
phân tích. Trong khi file chạy bonk gởi gói một cách liên tục, nên chưa đầy 2 phút sau
thì interface serial 0 của Vsic2 bị down và service http của nó vì vậy cũng sẽ bị down
luôn. Chúng ta không thể duyệt web lúc này.
01:35:31: IP: s=192.168.1.2 (local), d=190.191.154.23, len 56,unroutable
01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
changed state to down
01:35:32: IP: s=192.168.1.2 (local), d=68.190.155.4, len 56, unroutable.
Sau khi down một thời gian, router sẽ tự động up interface S0 lên lại. Nếu không còn
ghẽn nữa thì sẽ hoạt động bình thường.
01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
changed state to up

Bài 4
Cấu hình NAT Static
1. Giới thiệu :
Nat (Network Address Translation) là một giao thức dùng để cung cấp sự chuyển
đổi IP trong 1 miền để đưa ra một môi trường khác thông qua một IP đã được đăng
ký để chuyển đổi thông tin giũa 2 môi trường (either Local or Global) .
Ưu điểm của NAT( Network Nat Translation ) là chuyển đổi các IP adress riêng
trong mạng đến IP adress inside được Cung cấp khi đã đăng ký .
Các loại địa chỉ :
 Inside Local : là các địa chỉ bên trong mạng nội bộ ( gateway)
 Inside Global :là các địa chỉ ngoài cổng GATEWAY , đó là địa chỉ Nat đã được
đăng ký. Trong bài nay là :172.17.0.1/24
 Outside Global : là các hệ thống mạng bên ngoài các môi trường
IP của các interface và PC được cho trên hình vẽ
Trong bài lab này, router Vsic1 được cấu hình như một ISP, router Vsic2 đươc cấu
hình như một gateway
3. Cấu hình :
Chúng ta cấu hình cho các router như sau :
Router#conf t
Vsic1(config)#enable password cisco
Route r(config)#hostname Vsic1
Vsic1(config-if)# no shut
Vsic1(config)#interface ethernet 0
Vsic2(config)#ip nat outside  cấu hình interface S1 là interface outside
Vsic2(config)#interface ethernet 0

Vsic2(config)#ip nat intside  Cấu hình interface E0 là interface inside
Chúng ta tiến hành cấu hình Static NAT cho Vsic2 bằng câu lệnh :
Vsic2(config)#ip nat inside source static 11.1.0.2 172.17.0.1
Câu lệnh trên có ý nghĩa là : các gói tin xuất phát từ PC2 khi qua router Vsic2 ra
ngoài sẽ được đổi địa chỉ IP source từ 11.1.0.2 thành địa chỉ 172.17.0.1 (đây là địa chỉ
đã được đăng ký với ISP)
Chúng ta tiến hành đặt Static Route cho 2 Router Vsic1 và Vsic2.
Vsic2(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

Địa chỉ 172.17.0.1 là Address đã được đăng ký. Trên thực tế ISP chỉ route xuống user
bằng địa chỉ đã đăng ký này.
Để kiểm tra việc NAT của router Vsic2 như thế nào chúng ta sử dụng câu lệnh sau:
Vsic2#sh ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 172.17.0.1 11.1.0.2 --- ---
Để kiểm tra router Vsic2 chuyển đổi địa chỉ như thế nào chúng ta sử dụng câu lệnh
Vsic2#debug ip nat
Từ router Vsic2, ta ping interface serial 0 của Vsic1.
Vsic2#ping 192.168.0.1
!!!!!
Khi đó sẽ xuất hiện trên màn hình Hyber Terminal của router Vsic2 những thông báo
sau :
00:52:46: NAT*: s=11.1.0.2->172.17.0.1, d=192.168.0.1 [267]
00:52:46: NAT*: s=192.168.0.1, d=172.17.0.1->11.1.0.2 [267]
00:52:47: NAT*: s=11.1.0.2->172.17.0.1, d=192.168.0.1 [268]
00:52:47: NAT*: s=192.168.0.1, d=172.17.0.1->11.1.0.2 [268]
00:52:48: NAT*: s=11.1.0.2->172.17.0.1, d=192.168.0.1 [269]
00:52:48: NAT*: s=192.168.0.1, d=172.17.0.1->11.1.0.2 [269]
00:52:49: NAT*: s=11.1.0.2->172.17.0.1, d=192.168.0.1 [270]
00:52:49: NAT*: s=192.168.0.1, d=172.17.0.1->11.1.0.2 [270]
Địa chỉ 11.1.0.2 được chuyển thành địa chỉ 172.17.0.1 và địa chỉ đích là 192.168.0.1.
Và gói ICMP reply được gửi trả lại cũng được chuyển địa chỉ đích từ 172.17.0.1
thành 11.1.0.2.
Các số 267, 268,269, 270 là các phiên trong quá trình NAT

Bài 5
Cấu hình NAT Overload
1. Giới thiệu :
NAT (Network Address Translation) dùng để chuyển đổi các private address
thành địa chỉ public address. Các gói tin từ mạng nội bộ của user gửi ra ngoài, khi đến
router biên địa chỉ IP source sẽ được chuyển đổi thành địa chỉ public mà user đã đăng
ký với ISP. Điều này cho phép các gói tin từ mạng nội bộ có thể được gửi ra mạng
ngoài (Internet).
NAT có các loại : NAT static, NAT pool, NAT overload.
NAT static cho phép chuyển đổi một địa chỉ nội bộ thành một địa chỉ public.
NAT pool cho phép chuyển đổi các địa chỉ nội bộ thành một trong dãy địa chỉ
public.
NAT overload cho phép chuyển đổi các địa chỉ nội bộ thành một địa chỉ public
Trong kỹ thuật NAT overload, router sẽ sử dụng thêm các port cho các địa chỉ khi
chuyển đổi.

 ip nat {inside | outside}
Cấu hình interface là inside hay outside
 ip nat inside source {list {access−list−number | name} pool name [overload]
| static local−ip global−ip}
Cho phép chuyển địa chỉ nội bộ thành địa chỉ public
 ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length}
[type rotary]
Tạo NAT pool
 show ip nat translations
Xem các thông tin về NAT
 debug ip nat
Xem hoạt động của NAT
Đồ hình bài lab như hình trên. Router Vsic1 được cấu hình inteface loopback 0,
loopback 1, loopback 2. Router Vsic2 được cấu hình interface loopback 0. Hai router
được nối với nhau bằng cáp Serial.

Hai router được cấu hình các interface như sau :
Vsic1#sh run
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.0.0
interface Loopback1
ip address 11.1.0.1 255.255.0.0
interface Loopback2
ip address 12.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end
Vsic2#sh run
hostname Vsic2
interface Loopback0
ip address 13.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
end
Chúng ta cấu hình NAT trên router Vsic1 theo các bước sau :
 Bước1 : Cấu hình các interface inside và outside
Trong bài lab này, chúng ta cấu hình cho các interface loopback của Vsic1 là
inside còn interface serial 0 là out side.
Vsic1(config)#in lo0
Vsic1(config-if)#ip nat inside
Vsic1(config)#in lo1
Vsic1(config-if)#in lo2
Vsic1(config-if)#in s0
Vsic1(config-if)#ip nat outside
Vsic1(config-if)#exit
 Bước2 : Tạo access list cho phép mạng nào được NAT.
Chúng ta cấu hình cho phép mạng 10.1.0.0/16 và mạng 11.1.0.0/16 được cho
phép, cấm mạng 12.1.0.0/16
Vsic1(config)# access-list 1 deny 12.1.0.0 0.0.255.255
Vsic1(config)#access-list 1 permit any

 Bước3 : Tạo NAT pool cho router Vsic1
Cấu hình NAT pool tên Vsic1 có địa chỉ từ 172.1.1.1/24 đến 172.1.1.5/24
Vsic1(config)#ip nat pool Vsic1 172.1.1.1 172.1.1.5 netmask 255.255.255.0
 Bước4 : Cấu hình NAT cho router

Vsic1(config)#ip nat inside source list 1 pool Vsic1 overload
Câu lệnh trên cấu hình overload cho NAT pool
 Bước5 : Định tuyến cho router

Lưuý : đối với router Vsic2, nếu ta định tuyến theo dạng :
thì chúng ta có thể ping thấy được các mạng ở trong router Vsic1 (10.1.0.0/16,
11.1.0.0/16). Nhưng thực tế, ISP chỉ định tuyến xuống cho user bằng địa chỉ mà user
đã đăng ký (Inside global address).
 Bước6 : Kiểm tra hoạt động của NAT

Chúng ta sẽ kiểm tra NAT bằng câu lệnh debug ip nat
Vsic1#debug ip nat
IP NAT debugging is on
Sau khi bật debug NAT, chúng ta sẽ ping đến loopback0 của Vsic2 từ loopback0 của
Vsic1
Vsic1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
!!!!!
Vsic1#
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [190]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [190]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [191]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [191]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [192]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [192]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [193]

00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [193]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [194]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [194]
Từ kết quả trên ta thấy được, các gói tin từ mạng 10.1.0.1 đã được đổi source IP thành
171.1.1.1.
Sử dụng câu lệnh show ip nat translations để xem các thông về NAT
Vsic1#sh ip nat translations
icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459
icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460
icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461
icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462
icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463
Các số được in đậm là port NAT sử dụng cho địa chỉ 10.1.0.1.
Lập lại các bước trên để kiểm tra NAT cho loopback 1, loopback 2 của router Vsic1
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
!!!!!
Vsic1#
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [210]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [210]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [211]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [211]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [212]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [212]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [213]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [213]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [214]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [214]
Vsic1#sh ip nat translations

icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407
icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408
icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409

icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410
icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
…..
Đối với 12.1.0.1, chúng ta không ping ra ngoài được vì mạng 12.1.0.0/16 đã bị cấm
trong access list 1.
Đứng ở router Vsic2, chúng ta ping xuống các loopback của router Vsic1
Vsic2#ping 10.1.0.1
.....
Vsic2#ping 11.1.0.1
.....
Vsic2#ping 12.1.0.1
.....
Nhận xét : tất cả đều không thành công Nguyên nhân là router Vsic2 không có route
nào đến các loopback của router Vsic1. Trong thực tế, ta cũng có kết quả tương tự do
ISP chỉ định tuyến xuống địa chỉ mà user đăng ký, còn các địa chỉ mạng bên trong của
user thì không được ISP định tuyến.

Phần 5
Mạng WAN

Bài 1
Cấu hình PPP PAP và CHAP
1. Giới thiệu :
PPP (Point-to-Point Protocol) là giao thức đóng gói được sử dụng để thực hiện
kết nối trong mạng WAN. PPP bao gồm LCP (Link Control Protocol) và NCP
(Network Control Protocol). LCP được dùng để thiết lập kết nối point-to-point, NCP
dùng để cấu hình cho các giao thức lớp mạng khác nhau.
PPP có thể được cấu hình trên các interface vật lý sau :
Asynchronous serial : cồng serial bất đồng bộ
Synchronous serial : cổng serial đồng bộ
High-Speed Serial Interface (HSSI) : cổng serial tốc độ cao
Integrated Services Digital Network (ISDN)
Quá trình tạo session của PPP gồm ba giai đoạn (phase):
Link-establishment phase
Authentication phase (tùy chọn)
Network layer protocol phase
Tùy chọn xác nhận (authentication) giúp cho việc quản lý mạng dễ dàng hơn. PPP
sử dụng hai cách xác nhận là PAP (Password Authentication Protocol) và CHAP
(Challenge Handshake Authentication Protocol).
PAP là dạng xác nhận two-way handshake. Sau khi tạo liên kết node đầu xa sẽ gửi
usename và password lặp đi lặp lại cho đến khi nhận được thông báo chấp nhận hoặc
từ chối. Password trong PAP được gửi đi ở dạng clear text (không mã hóa).
CHAP là dạng xác nhận three-way handshake. Sau khi tạo liên kết, router sẽ gửi
thông điệp “challenge” cho router đầu xa. Router đầu xa sẽ gửi lại một giá trị được
tính toán dựa trên password và thông điệp “challenge” cho router. Khi nhận được giá
trị này, router sẽ kiểm tra lại xem có giống với giá trị của nó đã tính hay không. Nếu
đúng, thì router xem gủi xác nhận đúng và kết nối được thiết lập; ngược lại, kết nối sẽ
bị ngắt ngay lặp tức.

 username name password password
Cấu hình tên và password cho CHAP và PAP. Tên và password này phải
giống với router đầu xa.
 encapsulation ppp
Cấu hình cho interface sử dụng giao thức PPP
 ppp authentication (chap  chap pap  pap chap  pap)
Cấu hình cho interface sử dụng PAP, CHAP, hoặc cả hai. Trong trường hợp cả
hai được sử dụng, giao thức đầu tiên được sử dụng trong quá trình xác nhận;
nếu như giao thức đầu bị từ chối hoặc router đầu xa yêu cầu dùng giao thức
thứ hai thì giao thức thứ hai được dùng.
 ppp pap sent-username username password password
Cấu hình username và password cho PAP
 debug ppp authentication

Xem trình tự xác nhận của PAP và CHAP
Đồ hình bài lab như hình vẽ. Hai router được đặt tên là Vsic, Vsic2 và được nối
với nhau bằng cáp serial. Địa chỉ IP của các interface như hình trên.

a) Bước1 : Đặt tên và địa chỉ cho các interface
Vsic1#sh run
version 12.1
hostname Vsic1
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 64000
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Serial0
ip address 192.168.1.2 255.255.255.0
end
Chúng ta sẽ kiểm tra trạng thái của các cổng bằng câu lệnh show ip interface brief
Vsic2#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.2 YES manual up up
Serial1 unassigned YES unset administratively down down
Cổng serial của router Vsic2 đã up. Làm tương tự để kiểm tra trạng thái các cổng của
router Vsic1.

Chúng ta sử dụng câu lệnh show interfaces serial để biết được các thông số của
interface serial các router
Vsic2#sh interfaces serial 0
Hardware is HD64570
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:02, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
15 packets input, 846 bytes, 0 no buffer
Received 15 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
19 packets output, 1708 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Vsic1#sh int s 0
Hardware is HD64570
Encapsulation HDLC, loopback not set
Last clearing of "show interface" counters 00:11:35
Queueing strategy: fifo
Output queue :0/40 (size/max)

Cả hai cổng serial của hai router đều sử dụng giao thức đóng gói là HDLC và trạng
thái của cả hai đều là up
b) Bước2 : Cấu hình PPP PAP, CHAP

 CấuhìnhPPP PAP
Đứng ở router Vsic1, chúng ta sẽ cấu hình PPP cho interface serial 0 bằng câu
lệnh encapsulation ppp
Vsic1(config)#in s0
Vsic1(config-if)#encapsulation ppp
Kiểm tra trạng thái interface serial 0 của router Vsic1
Vsic1#sh ip int brie
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.1 YES manual up down
Vsic1#sh int s 0
Serial0 is up, line protocol is down
Hardware is HD64570
Encapsulation PPP, loopback not set
LCP REQsent
Closed: IPCP, CDPCP
Queueing strategy: fifo
Output queue :0/40 (size/max)
Nhận xét : interface serial 0 của router Vsic1 đã bị down, đồng nghĩa với interface
serial 0 của router Vsic2 cũng bị down. Nguyên nhân là hai interface này sử dụng giao
thức đóng gói khác nhau. (Interface serial 0 của router Vsic1 sử dụng PPP còn Vsic2
sử dụng HDLC).
Ví vậy chúng ta phải cấu hình cho interface serial 0 của router Vsic2 cũng sử dụng
giao thức PPP.
Vsic2(config)#in s0

Bây giờ chúng ta sẽ kiểm tra trạng thái của các interface
Vsic2#sh int s0
Hardware is HD64570
LCP Open
Open: IPCP, CDPCP
Cả hai interface của hai router đã up trở lại. Do cả hai đã được cấu hình sử dụng cùng
giao thức đóng gói là PPP.
Trước khi cấu hình PAP cho hai interface chúng ta sử dụng câu lệnh debug ppp
authentication để xem trình tự trao đổi thông tin của PAP.
Vsic2#debug ppp authentication
PPP authentication debugging is on
Chúng ta sẽ cấu hình PAP cho cả hai interface serial 0 như sau :
Vsic1(config)#username Vsic1 password cisco
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication pap
Vsic1(config-if)#ppp pap sent-username Vsic1 password cisco

Vsic2(config)#in s0
Vsic2(config-if)#ppp authentication pap
Vsic2(config-if)#ppp pap sent-username Vsic2 password cisco
Lưuý:
Trong câu lệnh username name password password , name và password phải trùng
với name và password của router đầu xa.
Còn trong câu lệnh ppp pap sent-username name password password , name và
password là của chính router chúng ta cấu hình

Sau khi chúng ta cấu hình PAP xong trên route Vsic2, thì màn hình sẽ xuất hiện trình
tự của PAP
00:09:49: Se0 PPP: Phase is AUTHENTICATING, by both
00:09:49: Se0 PAP: O AUTH-REQ id 1 len 18 from "Vsic2"
00:09:49: Se0 PAP: I AUTH-REQ id 1 len 18 from "Vsic1"
00:09:49: Se0 PAP: Authenticating peer Vsic1
00:09:49: Se0 PAP: O AUTH-ACK id 1 len 5
00:09:49: Se0 PAP: I AUTH-ACK id 1 len 5
state to up
Ý nghĩa của các thông báo :

Dòng thông báo 1 : PPP thực hiện xác nhận hai chiều
Dòng thông báo 2 : Vsic2 gửi yêu cầu xác nhận
Dòng thông báo 3 : Nhận yêu cầu xác nhận từ Vsic1
Dòng thông báo 4 : Nhận xác nhận của Vsic1
Dòng thông báo 5 : Gửi xác nhận đúng đến Vsic1
Dòng thông báo 6 : Nhận xác nhận đúng từ Vsic1
Dòng thông báo 7 : Trạng thái của interface được chuyển sang UP
Như vậy hai interface của router Vsic1 và Vsic2 đã up. Chúng ta đứng ở router Vsic2
ping interface serial 0 của router Vsic1 để kiểm tra.
Vsic2#ping 192.168.1.1
!!!!!
 CấuhìnhPPP CHAP
Trước khi cấu hình PPP CHAP cho hai interface chúng ta gở bỏ PAP ở cả hai
router
Vsic1(config)#in s0
Vsic1(config-if)#no ppp authentication pap
Vsic1(config-if)#no ppp pap sent-username Vsic1 password cisco
Vsic2(config)#in s0
Vsic2(config-if)#no ppp authentication pap
Vsic2(config-if)#no ppp pap sent-username Vsic2 password cisco
Bây giờ chúng ta sẽ cấu hình CHAP bằng câu lệnh ppp authentication chap
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication chap
Vsic2(config)#in s0
Lưuý : khi cấu hình PPP CHAP chúng ta vẫn phải cấu hình cho interface serial đó sử
dụng giao thức đóng gói PPP bằng câu lệnh encapsulation ppp và cũng phải sử dụng
câu lệnh username name password password để cấu hình name và password cho giao
thức CHAP thực hiện xác nhận. Ở đây, chúng ta không thực hiện lại các câu lệnh đó
vì ở bước cấu hình PAP chúng ta đã thực hiện rồi.

Do chúng ta đã sử dụng câu lệnh debug ppp authentication ở router Vsic2, nên khi
cấu hình CHAP xong ở hai router thì màn hình sẽ hiện thông báo như sau : (console
được nối với router Vsic2)
00:15:08: Se0 CHAP: O CHALLENGE id 1 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I CHALLENGE id 2 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O RESPONSE id 2 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I RESPONSE id 1 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O SUCCESS id 1 len 4
00:15:08: Se0 CHAP: I SUCCESS id 2 len 4
state to up
Ý nghĩa của các câu thông báo :
Dòng thông báo 1 : Vsic2 gửi thông báo “challenge” đến router Vsic1
Dòng thông báo 2 : Vsic2 nhận thông báo “challenge” từ router Vsic1
Dòng thông báo 3 : Vsic2 gửi response đến router Vsic1
Dòng thông báo 4 : Vsic2 nhận response từ router Vsic1
Dòng thông báo 5 : Vsic2 gửi xác nhận thành công đến Vsic1
Dòng thông báo 6 : Vsic2 nhận xác nhận thành công từ Vsic1
Dòng thông báo 7 : Trạng thái của interface serial được chuyển sang UP
Hai interface serial của router Vsic1 và Vsic2 đã UP, chúng ta đứng ở router Vsic2
ping đến interface serial 0 của router Vsic1 để kiểm tra
Vsic2#ping 192.168.1.1
!!!!!
Nếu như name và password trong câu lệnh username name password password không
đúng thì trạng thái của interface sẽ bị down. Do quá trình xác nhận giữa hai interface
sẽ sử dụng name và password này. Nếu như không khớp thì kết nối sẽ bị hủy.

Bài 2
Cấu hình ISDN Basic
1. Giới thiệu :
 ISDN (Integrated Services Digital Network) là một công nghệ truyền dẫn tốc
độ cao và quay số được sử dụng rộng rãi .Hệ thống mạng này được tạo ra cach đây
20 năm và đươc ứng dụng rộng rãi tại U.S.A đầu năm 1990.
 ISDN l à mạng phục vụ cho viêc truyền dẫn dữ liệu số một mạng ISDN
BRI đạt tiêu chuẩn có thể đạt tới tốc độ 128Kbps.
 Dữ liệu được up lên sau mỗi 10 giây mạng ISDN cho phép truyền dẫn các tín
hiệu số,các kênh số đồng thời trên dây điện thoại analog thông thường và đầu bên kia được
giải mã qua modem hay các thiết bị khác .
Trong bài này chúng ta sẽ sử dụng một thiết bị mô phỏng ISDN. Chúng ta sẽ nối hai
router vào thiết bị đó bằng cáp thẳng.
3. Cấu hình :
a. Cấu hình cho router Vsic2:
Router#conf t
Vsic2(config)#isdn switch-type basic-ni  cấu hình loại ISDN switch
Vsic2(config)#dialer-list 1 protocol ip permit
Vsic2(config)#interface bri 0
Vsic2(config-if)#encapsulation ppp  cầu hình giao thức đóng gói là PPP
Vsic2(config-if)#isdn spid1 21 21  Số SPID number 21 –phone numbers 21
Vsic2(config-if)#dialer-group 1
Vsic2(config-if)#dialer map ip 200.10.1.1 name Vsic1 broadcast 11  cấu hình
số của router đầu xa để Ahena2 thực hiện cuộc gọi
Vsic2(config-if)#ppp authentication chap  cấu hình PPP CHAP

Vsic2(config-if)#
b. Cấu hình cho router Vsic1 :

Vsic1(config)#isdn switch-type basic-ni
Vsic1(config)#dialer-list 1 protocol ip permit
Vsic1(config)#interface bri 0
Vsic1(config-if)#
Vsic1(config-if)#isdn spid1 11 11
Vsic1(config-if)#dialer map ip 200.10.1.2 name Vsic2 broadcast 21
Sau khi cấu hình xong chúng ta kiểm tra lại bằng cách :
Vsic2#sh run
!
version 12.1
!
hostname Vsic2
!
username Vsic1 password 0 cisco
!
ip subnet-zero
!
isdn switch-type basic-ni
!
interface BRI0
ip address 200.10.1.2 255.255.255.0
encapsulation ppp
dialer map ip 200.10.1.1 name Vsic1 broadcast 11
dialer-group 1
isdn switch-type basic-ni
isdn spid1 21
ppp authentication chap
!
dialer-list 1 protocol ip permit
end
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI

Last input never, output 00:00:22, output hang never
Chúng ta kiểm tra trạng thái kết nối của liên kết ISDN bằng câu lệnh sau :
Vsic1#sh isdn status
Global ISDN Switchtype = basic-net3
ISDN BRI0 interface
dsl 0, interface ISDN Switchtype = basic-net3
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Active dsl 0 CCBs = 0
The Free Channel Mask: 0x80000003
Number of L2 Discards = 0, L2 Session ID = 13
Total Allocated ISDN CCBs = 0

ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED

Đứng ở router Vsic2, chúng ta ping địa chỉ 200.10.1.1 để kiểm tra kết nối :
Vsic2#ping 200.10.1.1
!!!!!
Nhậnxét : ping thành công và router Vsic2 thực hiện kết nối với router Vsic1 sử dùng
interface dialer 0
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Lệnh show dialer dùng để chỉ trạng thái kênh B sẽ ngắt, sụt giảm (drop) sau 120 giây
inactive.
Trạng thái giao tiếp BRI của router Athen2 được xác định với trạng thái của router
Athnena1.Cổng giao tiếp BRI0 được chỉ dẫn đến kênh D của mạng trong trang thái
này là UP/UP (spoofing state) chứng tỏ rằng kênh D đã hoạt động
Vsic2#sh dialer
BRI0 - dialer type = ISDN

Dial String Successes Failures Last DNIS Last status
11 1 0 01:31:13 successful
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.
BRI0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)

Dialer state is idle

Vsic1#show dialer
BRI0 - dialer type = ISDN
Dial String Successes Failures Last DNIS Last status
21 0 1 00:01:43 failed
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.


Bây giờ nếu như đổi số số SPID hay là số Phone numbers thì trạng thái sẽ thay đổi,
hệ thống đương nhiên là sẽ không thể kết nối được.
Vsic2(config)#interface bri0
Vsic2(config-if)#no isdn spid1 21 21
Vsic2(config-if)#
02:16:31: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BRI0, TEI 70 changed to
down
Vsic2(config-if)#dialer idle-timeout 20  cấu hình thời gian idle-timeout là 20s
Vsic2(config-if)#^Z
Vsic2#
Vsic1#ping 200.10.1.2
.....

Bài 3
Cấu hình ISDN DDR
1. Giới thiệu :
ISDN (Integrated Services Digital Network) là mạng số tích hợp đa dịch vụ, cung
cấp cho chúng ta nhiều loại hình dịch vụ số khác nhau, bao gồm : data và thoại. ISDN
cho phép truyền các kênh số đồng thời trên dây điện thoại thông thường.
Kỹ thuật dial-on-demand routing (DDR) được phát triển bởi Cisco cho phép
chúng ta sử dụng đường dây điện thoại để tạo thành một mạng WAN. DDR cho phép
router thực hiện kết nối khi có traffic được gửi và ngắt kết nối khi không cần đến.
Điều này giúp chúng ta tiết kiệm được chi phí rất nhiều.
Trong kỹ thuật DDR, chỉ khi gặp interesting traffic router mới thực hiện kết nối,
ngoài ra thì không. Điều này giúp chúng ta quản lý được mạng tốt hơn.
Ngoài ra, DDR sử dụng idle timeout để xác định thời gian để router ngắt kết nối
nếu như không có interesting traffic nào được gửi.

 isdn switch-type switch-type
Cấu hình loại của ISDN switch
 isdn spid1 spid−number [ldn]
Cấu hình số SPID và ldn
 dialer-list dialer-group-num protocol protocol-name {permit | deny | list
access-list-number}
Tạo dialer list để định nghĩa intersting traffic cho router.
 dialer-group group-number
Nhúng dialer list vào một interface
 dialer idle-timeout seconds
Cấu hình thời gian idle-timeout
 dialer pool−member number
Tạo dialer pool
 dialer pool number
Nhúng một dialer interface vào dialer pool
 dialer remote−name username
Cấu hình tên của router đầu xa
 dialer string dial−string
Cấu hình số để quay kết nối với router đầu xa

Trong bài Lab này chúng ta sử dụng hai router có cổng BRI và thiết bị mô
phỏng môi trường ISDN. Cáp nối từ cổng BRI của router đến thiết bị mô phỏng môi
trường BRI là cáp thằng.
Chúng ta khởi tạo Loopback 0, Loopback 1, Loopback 2 ở cả hai router. Địa
chỉ các cổng được chú thích ngay trên đồ hình. Password của cả hai router là : cisco
4. Mục tiêu bài lab :

Cấu hình kết nối giữa hai router thông qua môi trường ISDN trong chế dộ Dial-
on-demand routing (DDR) sử dụng interface dialer.

 Bước1: cấu hình tên router, các interface loopback và mở đường telnet ở hai
router
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
line con 0
line aux 0 line
vty 0 4
password cisco
login
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1

ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
 Bước2: Cấu hình loại ISDN Switch sử dụng và số SPID và ldn.

Số SPID và ldn được cung cấp bởi nhà cung cấp dịch vụ ISDN.
Vsic1#conf t
Vsic1(config)#isdn switch-type basic-net3  Cấu hình loại ISDN witch
Vsic1(config)# in bri0
Vsic1(config-if)#isdn spid1 21 21  Cấu hình số SPID và ldn
Vsic2#conf t
Vsic2(config)#isdn switch-type basic-net3
Vsic2(config)# in bri0
 Bước3 : Định tuyến cho các router

Ở đây chúng ta dùng Static route để định tuyến cho các router chứ không
dùng các giao thức định tuyến động như RIP, IGRP … Lý do ta phải dùng static route
se được giải thích ở mục Nguyên nhân không nên dùng các giao thức định tuyến
động trong cấu hình ISDN DDR
Vsic1#conf t
Vsic2#conf t
 Bước4 : Cấu hình interesting traffic

Router chỉ thực hiện kết nối khi và chỉ khi gặp các interesting traffic; ngoài ra,
router sẽ không kết nối. Interesting traffic được định nghĩa cho router bằng : loại
traffic, nguồn hoặc đích đến của một gói tin. (thông qua access list).
Interesting traffic được cấu hình bằng câu lệnh dialer-list.
Trong bài này, đối với router Vsic1, chúng ta cấu hình interesting traffic là tất cả các
traffic khác traffic telnet đến mạng 14.1.0.0/24. Chúng ta dùng Extended access list để
cấu hình.
Vsic1#conf t
Vsic1(config)#access-list 101 deny tcp any 14.1.0.0 0.0.0.255 eq telnet
Vsic1(config)#access-list 101 permit ip any any
Vsic1(config)#dialer-list 1 protocol ip list 1

Đối với router Vsic2, cấu hình các traffic của mạng 13.1.0.0/24 và 14.1.0.0/24 là
interesting traffic. Chúng ta dùng Standard access list để cấu hình.
Vsic2#conf t
Vsic2(config)#access-list 1 permit 13.1.0.0 0.0.0.255
Vsic2(config)#access-list 1 permit 14.1.0.0 0.0.0.255
Vsic2(config)#dialer-list 1 protocol ip list 1
 Bước5 : Cấu hình interface dialer cho router

Trong bài chúng ta sử dụng PPP thay cho HDLC vì PPP có tính bảo mật cao.
Mặc định của router Cisco sử dụng HDLC.
Vsic1(config-if)#in bri0
Vsic1(config-if)#dialer pool-member 1  Cấu hình interface BRI0 thuộc
dialer pool 1
Vsic1(config)#in dialer 1
Vsic1(config-if)# ip address 192.168.0.1 255.255.255.0
Vsic1(config-if)#dialer remote-name Vsic2  Cấu hình tên router kết nối
Vsic1(config-if)#dialer string 11  Cấu hình số để gọi cho router đó
Vsic1(config-if)#dialer pool 1  Cấu hình interface dialer 1 thuộc pool 1
Vsic1(config-if)#dialer idle-timeout 180  Router sẽ ngắt kết nối nếu như
không có traffic nào truyền trong
khoảng thời gian cấu hình
Vsic1(config-if)#dialer-group 1  Sử dụng dialer list 1 cho interface này
Cấu hình tương tự cho router Vsic2

Vsic2(config-if)#in bri0
Vsic2(config-if)#dialer pool-member 1
Vsic2(config)#in dialer 0
Vsic2(config-if)# ip address 192.168.0.2 255.255.255.0
Vsic2(config-if)#dialer remote-name Vsic1
Vsic2(config-if)#dialer string 21
Vsic2(config-if)#dialer pool 1
Vsic2(config-if)#dialer idle-timeout 180

6. Kiểm tra kết quả :

 Kiểmtratrạng tháikếtnốicủainterfaceBRI0
ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
CCB:callid=8004, sapi=0, ces=1, B-chan=1, calltype=DATA
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED.
 Kiểmtracácinterestingtraffic.
Đứng ở router Vsic2, chúng ta ping từ interface loopback 1 (14.1.0.1) đến
interface loopback 2 (12.1.0.1) của router Vsic1
Vsic2#ping
Protocol [ip]:
Repeat count [5]:
00:30:15: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

00:30:15: %DIALER-6-BIND: Interface BR0:1 bound to profile Di0.!!!!
00:30:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1,
changed state to up
00:30:21: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 21
Vsic1

Nhậnxét : ping thành công và router Vsic2 thực hiện kết nối với router Vsic1 sử dùng
interface dialer 0
Chúng ta dùng câu lệnh show isdn active để xem những thông tin về cuộc kết nối hiện
hành
Vsic2#sh isdn active

ISDN ACTIVE
Call Calling Called Remote Seconds Seconds Seconds Charges
Type Number Number Name Used Left Idle Units/currency
Out 21 Vsic1 14 167 12 0
Còn 167 giây nữa thì router sẽ ngắt kết nối nếu như không có interesting traffic nào
gửi qua đường kết nối.
Chúng ta chờ khoảng 180 giây nữa để kiểm tra việc router ngắt kết nối tự động (Lưu
ý : không ping bất cứ mạng nào!)
Sau 180 giây chúng ta sẽ được kết quả như sau :
Vsic2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 Vsic1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:33:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed
state to down
Router đã ngắt tự động ngắt kết nối khi không có interesting traffic nào được gửi qua
đường truyền.
Làm lại các bước trên để kiểm tra các interesting traffic còn lại của router Vsic2.
Vsic2#ping
Protocol [ip]:
Repeat count [5]:
changed state to up

Vsic1
và sau 180 giây, ta được :

Vsic2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 Vsic1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:33:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed
state to down
Khi ta thực hiện ping một mạng nào đó của router Vsic1 từ interface loopback 2
(15.1.0.1) thì router sẽ không kết nối. Do các gói tin từ mạng 15.1.0.0/24 không phải
là interesting traffic.
Vsic2#ping
Protocol [ip]:
Repeat count [5]:
.....

ISDN ACTIVE
Bây giờ chúng ta se kiểm tra interesting traffic của router Vsic1. Đứng ở router Vsic1,
chúng ta ping đến 14.1.0.1 từ một interface loopback bất kỳ.
Vsic1#ping
Protocol [ip]:
Repeat count [5]:

Vsic1#
changed state to up
Vsic1#
Vsic2
Nhậnxét : router thực hiện kết nối với router Vsic2, và gói tin được truyền đi.
Chờ sau 180 giây để router tự động ngắt kết nối. Sau đó chúng ta thực hiện telnet đến
14.1.0.1.
Vsic1#telnet 14.1.0.1
Trying 14.1.0.1 ...
% Connection timed out; remote host not responding
Nhậnxét : chúng ta không thể telnet được. Nguyên nhân là do chúng ta đã cấm telnet
đến mạng 14.1.0.0 từ bất kỳ một mạng nào(access-list 101 deny tcp any 14.1.0.0
0.0.0.255 eq telnet). Do đó, traffic telnet đến 14.1.0.1 không phải là interesting traffic
nên router không thực hiện kết nối.
Chúng ta telnet đến 13.1.0.1 :
Vsic1#telnet 13.1.0.1
Trying 13.1.0.1 ...
00:42:30: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 open
changed state to up
Vsic2
Password: cisco  Chúng ta nhập password là cisco để telnet vào Vsic2
Vsic2>
Nhận xét : router thực hiện kết nối. Do chúng ta telnet vào mạng 13.1.0.0/24 chứ
không phải mạng 14.1.0.0. Đây là một interesting traffic.
7. Nguyên nhân không nên dùng các giao thức định tuyến động trong cấu hình
ISDN DDR
Để thấy được nguyên nhân chúng ta sẽ cấu hình giao thức RIP trên cả 2 router
thay cho static route.

192.168.0.2/24
192.168.0.1/24
ISDN
Vsic1 Vsic2
BRI0 BRI0
SPID : 21 SPID : 11
Lo0 : 10.1.0.1/24 Lo0 : 13.1.0.1/24
Lo1 : 11.1.0.1/24 Lo1 : 14.1.0.1/24
Lo2 : 12.1.0.1/24
RIP Lo2 : 15.1.0.1/24
Chúng ta xóa NVRAM, reload cả hai route trước khi cấu hình lại các router như
sau :
Vsic1#sh run
version 12.1
hostname Vsic1
username Vsic2 password cisco
isdn switch-type basic-net3
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
interface BRI0 no ip
address encapsulation
ppp dialer pool-
member 1
isdn spid1 21 21
interface Dialer1
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name Vsic2
dialer idle-timeout 180
dialer string 11

dialer-group 1
access-list 1 permit any

dialer-list 1 protocol ip list 1
router rip network

10.0.0.0 network
11.0.0.0 network
12.0.0.0 network
192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
Vsic2#sh run
version 12.1
hostname Vsic2
username Vsic1 password cisco
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1
ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn spid1 11 11
interface Dialer0
ip address 192.168.0.2 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name Vsic1
dialer idle-timeout 180
dialer string 21
dialer-group 1

access-list 1 permit any
dialer-list 1 protocol ip list 1
router rip network

13.0.0.0 network
14.0.0.0 network
15.0.0.0 network
192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
Sử dụng câu lệnh show ip route để kiểm tra lại bảng định tuyến của các router :
Vsic2#sh ip
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
R 11.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, Dialer0
C 192.168.0.1/32 is directly connected, Dialer0
R 12.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
Kiểm tra lại kết nối hiện hành bằng lệnh show isdn active (lúc này hai router đã kết
nối với nhau, do ta cấu hình tất cả các gói tin đều là interesting traffic : access-list 1
permit any nên khi RIP gửi các gói routing update thì router tự động kết nối).
ISDN ACTIVE
Out 11 Vsic2 350 152 27 0
Cứ sau khoảng 30 giây chúng ta lập lại câu lệnh show isdn active để kiểm tra thời gian
còn lại để router ngắt kết nối (Lưu ý : không truyền bất kỳ một traffic nào qua lại
giữa hai router để ta có được kết quả chính xác)

ISDN ACTIVE
Out 11 Vsic2 359 171 8 0

ISDN ACTIVE
Out 11 Vsic2 375 154 25 0

ISDN ACTIVE
Out 11 Vsic2 377 179 0 0
Nhận xét : thời gian còn lại để router tự động ngắt kết nối (idle-timeout) không bao
giờ xuống được 0. Do giao thức RIP cứ 30 giây gửi update một lần. Tương tự cho các
giao thức định tuyến động khác.
Trong trường hợp thời gian idle-timeout nhỏ hơn 30 giây thì router sẽ đóng ngắt kết
nối liên tục.
Vì vậy chúng ta không nên sử dụng định tuyến động trong cấu hình ISDN DDR. Sử
dụng static route sẽ cho hiệu quả cao hơn.

Bài 4
Cấu hình Frame Relay căn bản
1. Giới thiệu :
Frame Relay là kỹ thuật mở rộng của kỹ thuật ISDN. Frame relay sử dụng kỹ
thuât chuyển mạch gói để thiết lập một mạng WAN. Frame Relay tạo ra những đường
kết nối ảo để nối các mạng LAN lại với nhau tạo thành một mạng WAN. Mạng Frame
Relay sử dụng các switch để kết nối các mạng lại với nhau. Kỹ thuật Frame Relay
được sử dụng rộng rãi ngày nay, do có giá thành rẻ hơn rất nhiều so với leased line.
Frame Relay hoạt động ở lớp Data link trong OSI và sử dụng giao thức LAPF
(Link Access Procedure for Frame Relay). Frame Relay sử dụng các frame để chuyển
dữ liệu qua lại giữa các thiết bị đầu cuối của user (DTE) thông qua các thiết bị DCE
của mạng Frame Relay.
Đường kết nối giữa hai DTE thông qua mạng Frame Relay được gọi là một mạch
ảo (VC : Virtual Circuit). Các VC được thiết lập bằng cách gửi các thông điệp báo
hiệu (signaling message) đến mạng; được gọi là switched virtual circuits (SVCs).
Nhưng ngày nay, người ta thường sử dụng permanent virtual circuits (PVCs) để tạo
kết nối. PVC là các đường kết nối được cấu hình trước bởi các Frame Relay Switch
và các thông tin chuyển mạch của gói được lưu trong switch.
Trong Frame Relay, nếu một frame bị lỗi thì sẽ bị hủy ngay mà không có một
thông báo nào.
Các router nối với mạng Frame Relay có thể có nhiều đường kết nối ảo đến nhiều
mạng khác nhau. Do đó, Frame Relay giúp chúng ta tiết kiệm rất nhiều vì không cần
các mạng phải liên kết trực tiếp với nhau.
Các đường kết nối ảo (VC) có các DLCI (Data Link Channel Identifier) của riêng
nó. DLCI được chứa trong các frame khi nó được chuyển đi trong mạng Frame Relay.
Trong Frame Relay, người ta thường sử dụng mạng hình sao để kết nối các mạng
LAN với nhau hình thành một mạng WAN (được gọi là hub and spoke topology)

Remote4
Remote5 Remote3
Center
Remote1 Remote2
trong đồ hình này, mạng trung tâm được gọi là hub, các mạng remote1, remote2,
remote3, remote4 và remote5 được gọi là spoke. Mỗi spoke nối với hub bằng một
đường kết nối ảo (VC). Trong đồ hình trên nếu ta muốn các spoke có thể liên lạc được
với nhau thì chỉ cần tạo ra các VC giữa các spoke với nhau. Đồ hình này giúp ta tạo ra
một mạng WAN có giá thành rẻ hơn rất nhiều so với sử dụng leased line, do các mạng
chỉ cần một đường nối với mạng Frame Relay.
Frame Relay sử dụng split horizon để chống lặp. Split horizon không cho phép
routing update trả ngược về interface gửi. Vì trong frame relay, chúng ta có thể tạo
nhiều đường PVC trên một interface vật lý, do đó sẽ bị lặp nếu không có split horizon.
Trong mạng WAN sử dụng leased line, các DTE được nối trực tiếp với nhau nhưng
trong mạng sử dụng Frame Relay, các DTE được nối với nhau thông qua một mạng
Frame Relay gồm nhiều Switch. Do đó chúng ta phải map địa chỉ lớp mạng Frame
Relay với địa chỉ IP của DTE đầu xa. Chúng ta có thể map bằng cách sử dụng các câu
lệnh. Nhưng việc này có thể được thực hiện tự động bằng LMI và Inverse ARP. LMI
(Local Management Interface) được trao đổi giữa DTE và DCE (Frame Relay
switch), được dùng để kiểm tra hoạt động và thông báo tình trạng của VC, điều khiển
luồng, và cung cấp số DLCI cho DTE. LMI có nhiều loại là : cisco (chuẩn riêng của
Cisco), ansi (theo chuẩn ANSI Annex D) và q933a (theo chuẩn ITU q933 Annex A).
Khi router mới được nối với mạng Frame Relay, router sẽ gửi LMI đến mạng để hỏi
tình trạng. Sau đó mạng sẽ gửi lại router một thông điệp LMI với các thông số của
đường VC đã được cấu hình. Khi router muốn map một VC với địa chỉ lớp mạng,
router sẽ gửi thông điệp Inverse ARP bao gồm địa chỉ lớp mạng (IP) của router trên
đường VC đó đến với DTE đầu xa. DTE đầu xa sẽ gửi lại một Inverse ARP bao gồm
địa chỉ lớp mạng của nó, từ đó router map địa chỉ này với số DLCI của VC.

 encapsulation frame−relay [cisco | ietf]
Cấu hình giao thức đóng gói Frame Relay cho interface. Router hổ trợ hai loại
đóng gói Frame Relay là Cisco và ietf.
 frame−relay intf−type [dce | dte | nni]
Cấu hình cho loại Frame Relay switch cho interface. Sử dụng cho router đóng
vai trò là một frame relay switch.
 frame−relay lmi−type {ansi | cisco | q933a}
Cấu hình loại LMI sử dụng cho router

 frame−relay route in−dlci out−interface out−dlci
Tạo PVC giữa các interface trên router đóng vai trò là một frame relay switch
 frame−relay switching
Cấu hình cho router hoạt động như một frame relay switch
 show frame−relay pvc [type number [dlci]]
Xem thông số của các đường PVC được cấu hình trêm router
 show frame−relay route
Xem tình trạng cũng như thông số đã được cấu hình cho các đường PVC. Câu
lệnh này được sử dụng cho router đóng vai trò là frame relay switch
 show frame−relay map
Xem các thông số về map giữa DLCI đầu gần với IP đầu xa
 show frame−relay lmi [type number]
Xem các thông số của LMI giữa router với Frame relay switch.
Đồ hình bài lab như hình trên. Router FrameSwitch được cấu hình là một
frame relay switch. Hai đầu cáp serial nối với router FrameSwitch là DCE.
Router Vsic1 và Vsic2 sử dụng giao thức RIP.

Chúng ta cấu hình cho các interface của router Vsic1 và Vsic2 như sau :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
router rip

network 10.0.0.0
network 192.168.1.0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip
network 11.0.0.0
network 192.168.1.0
end
Chúng ta tiến hành cấu hình frame realy cho hai router Vsic1 và Vsic2
Vsic1(config)#in s0
Vsic1(config-if)#encapsulation frame-relay  Sử dụng giao thức đóng gói
Frame Relay cho interface S0
Vsic1(config-if)#frame-relay lmi-type ansi  Cấu hình kiểu của LMI là ANSI
Vsic2(config)#in s0
Vsic2(config-if)#encapsulation frame-relay
Vsic2(config-if)#frame-relay lmi-type ansi
Sau khi cấu hình frame relay cho router Vsic1 và Vsic2, chúng ta sẽ cấu hình cho
router FrameSwitch trở thành một frame relay switch như sau :
FrameSwitch(config)#frame-relay switching  Cấu hình cho router trở thành
một Frame Relay Switch
FrameSwitch(config)#in s0
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce  Cấu hình interface serial 0
là Frame Relay DCE
FrameSwitch(config-if)#clock rate 64000  Cung cấp xung clock 64000 bps
cho DTE
FrameSwitch(config-if)#frame-relay route 102 interface s1 201
FrameSwitch(config-if)#no shut
FrameSwitch(config)#in s1
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce
FrameSwitch(config-if)#clock rate 64000
FrameSwitch(config-if)#frame-relay route 201 interface s0 102
FrameSwitch(config-if)#no shut

Câu lệnh frame-relay route 102 interface s1 201 có ý nghĩa : bất kỳ một frame relay
traffic nào có DLCI là 102 đến interface serial 0 của router sẽ được gửi ra interface
serial 1 với DLCI là 201. Tương tự cho câu lệnh frame-relay route 201 interface s0
102 : bất kỳ frame relay traffic nào có DCLI là 201 đến interface serial 1 sẽ được gửi
ra serial 0 với DLCI là 102. Hai câu lệnh trên được sử dụng để tạo ra một PVC giữa
S0 và S1.
Để kiểm tra xem router FrameSwitch có hoạt động như một frame relay switch hay
chưa chúng ta sử dụng câu lệnh show frame-relay pvc
FrameSwitch#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DCE)
Active Inactive Deleted Static
Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0
input pkts 3 output pkts 3 in bytes 186

out bytes 166 dropped pkts 1 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0 Num Pkts Switched 3
pvc create time 00:01:04, last time pvc status changed 00:00:40

Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial1

DLCI USAGE chỉ cho ta biết hai interface S0, S1 hoạt động ở chế độ frame relay
switch và đã ACTIVE. Đồng thời thông báo của câu lệnh còn cho ta biết được số gói
đã được chuyển mạch qua interface (Num Pkts Switched 3).
Như vậy, từ kết quả trên ta biết được rằng router FrameSwitch đang hoạt động như
một Frame Relay Switch.
Chúng ta sẽ kiểm tra tình trạng của LMI giữa router FrameSwitch và hai router Vsic1,
Vsic2 bằng câu lệnh show frame lmi
FrameSwitch#show frame lmi

LMI Statistics for interface Serial0 (Frame Relay DCE) LMI TYPE = ANSI
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Rcvd 20 Num Status msgs Sent 20
Num Update Status Sent 0 Num St Enq. Timeouts 0
LMI Statistics for interface Serial1 (Frame Relay DCE) LMI TYPE = ANSI
Num Status Enq. Rcvd 16 Num Status msgs Sent 16
Num Update Status Sent 0 Num St Enq. Timeouts 0
Câu lệnh cho ta biết được thông tin của tất cả các interface của router hoạt động ở chế
độ Frame relay. (Ở đây là interface S0 và S1)
Bây giờ chúng ta sẽ kiểm tra các frame relay route trên router Frameswitch bằng câu
lệnh show frame route
FrameSwitch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
Serial0 102 Serial1 201 active
Serial1 201 Serial0 102 active
Kết quả câu lệnh cho chúng ta biết rằng traffic đến interface serial 0 với DLCI 102sẽ
được chuyển mạch qua serial 1 với DLCI 201; ngược lại, traffic đến serial 1 với DLCI
201 sẽ được chuyển mạch qua serial 0 với DLCI 102. Đồng thời câu lệnh cũng chỉ ra
là cả hai DLCI đều hoạt động.
Chuyển sang router Vsic1, chúng ta sẽ kiểm tra xem DLCI 102 trên interface serial 0
có hoạt động hay chưa bằng cách :
Vsic1#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DTE)

Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0

out bcast pkts 7 out bcast bytes 570

Nhậnxét : Interface serial 0 của router Vsic1 hoạt động như một frame relay DTE, và
DLCI 102 đã hoạt
động.
Mặc định Cisco sử dụng Inverse ARP để map địa chỉ IP đầu xa của PVC với
DLCI của interface đầu gần. Do đó chúng ta không cần phải thực hiện thêm bước
này. Để kiểm tra việc này chúng ta sử dụng câu lệnh show frame-relay map
Vsic1#sh frame-relay map
Serial0 (up): ip 192.168.1.2 dlci 102(0xC9,0x3090),
dynamic, broadcast, status defined, active
Kết quả câu lệnh cho ta biết, DLCI 102 hoạt động trên interface serial 0 và được
map với địa chỉ IP 102.168.1.2 của interface serial 0 Vsic2, và việc map này là tự
động.
Lặp lại các bước tương tự để kiểm tra cho router
Vsic2
PVC Statistics for interface Serial0 (Frame Relay
DTE)
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =

Serial0 input pkts 10 output pkts 11 in bytes 858
in BECN pkts 0 out FECN pkts 0 out BECN pkts
0 in DE pkts 0 out DE pkts 0

Serial0 (up): ip 192.168.1.1 dlci 201(0xC9,0x3090),
dynamic, broadcast,, status defined, active
Nhậnxét : DLCI 201 hoạt động trên interface serial 0 của Vsic2 và được map với địa
chỉ IP 192.168.1.1
Bây giờ chúng ta sẽ kiểm tra các mạng có thể liên lạc được với nhau chưa bằng
cách lần lượt đứng ở hai router và ping đến các interface loopback của router đầu xa.
Vsic1#ping 11.1.0.1
!!!!!
Vsic2#ping 10.1.0.1
!!!!!
Như vậy, các mạng đã có thể liên lạc được với nhau. Và router FrameSwitch đã

thực hiện tốt chức năng frame relay switch.

Bài 5
Cấu hình Frame Relay Subinterfaces
1. Giới thiệu :
Fame relay hầu như rất phổ biến trong công nghệ WAN .Frame Relay cung cấp nhiều
hơn các đặc tính và các lợi nhuận việc kết nối point –to- point WAN .
Trong môi trường Frame Relay hoạt động để đảm bảo việc kết nối làm việc thì 2 đầu
thiết bị bên ngoài Frane Relay phải là data terminal equepment (DTE) và môi trường
Frame relay switch bên trong phải là data communication equepmet(DCE)
Suninterface hoạt động giống như lease lines
mỗi point-to-point suninterface đòi hỏi phải chính subnet của no. Cấu hình này được
dùng trong ứng dụng đến Hub và Spoke
3. Cấu hình :
a) Cấuhìnhchorouter FR-SWITCHING
!
version 12.1
hostname switch
!
frame-relay switching
!
interface Serial0 no ip
frame-relay no fair-queue

clockrate 64000
frame-relay lmi-type ansi  dùng kiểu frame relay ansi
frame-relay intf-type dce
frame-relay route 52 interface Serial1 51  thực hiện route cho các PVC
frame-relay route 53 interface Serial2 51
!
frame-relay clockrate
64000
frame-relay lmi-type ansi
!
frame-relay clockrate
64000
!
interface Serial3
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
ip classless
ip http server
line con 0
line aux 0
line vty 0 4
!
end
b) Cấuhìnhchorouter Vsic3:
!
version 12.1
hostname Vsic3
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0
!
frame-relay

!
interface Serial0.301 point-to-point
ip address 192.168.5.2 255.255.255.0
frame-relay interface-dlci 51
!
router igrp 100
network 192.168.3.0
network 192.168.5.0
!
end
c) Cấuhìnhchorouter Vsic1:
version 12.1
hostname Vsic1
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
frame-relay no fair-queue
!
ip address 192.168.4.1 255.255.255.0
!
ip address 192.168.5.1 255.255.255.0
!
d) Xâydựngcấuhìnhchorouter Vsic2
!
version 12.1
hostname Vsic2
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
frame-relay frame-relay
lmi-type ansi
!

ip address 192.168.4.2 255.255.255.0
router igrp 100

network 192.168.2.0
network 192.168.4.0
end
Chúng kiểm tra route map của các router bằng câu lệnh sau :
Serial0.103 (up): point-to-point dlci, dlci 53(0x35,0xC50), broadcast
status defined, active
Sử dụng câu lệnh show frame-relay pvc để kiểm tra các đường PVC
PVC Statistics for interface Serial0 (Frame Relay DTE)
DLCI = 51, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0.52

Chúng ta sử dụng câu lệnh sau để xem thông tin về LMI

Vsic1#sh frame-relay lmi
LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = ANSI
Num Status Enq. Sent 74 Num Status msgs Rcvd 37
Num Update Status Rcvd 0 Num Status Timeouts 37
switch#show frame-relay pvc

DLCI = 52, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE
= Serial0


= Serial0
input pkts17 output pkts 16 in bytes 1620

= Serial1
Bây giờ chúng ta sẽ kiểm tra trạng thái của các cổng BRI
Vsic2#sh ip int brief
Interface IP-Address OK? Method Status Prot
ocol
Loopback0 192.168.2.1 YES manual up up
Serial0 unassigned YES unset up up
Serial0.201 192.168.4.2 YES manual up up
TokenRing0 unassigned YES unset administratively down down

Chúng ta kiểm tra lại bảng định tuyến của các router:
Vsic2#sh ip route
C 192.168.4.0/24 is directly connected, Serial0.201

I 192.168.5.0/24 [100/10476] via 192.168.4.1, 00:00:25, Serial0.201
I 192.168.1.0/24 [100/8976] via 192.168.4.1, 00:00:25, Serial0.201

I 192.168.3.0/24 [100/10976] via 192.168.4.1, 00:00:25, Serial0.201
Vsic2#ping 192.168.4.2
!!!!!
Vsic2#ping 192.168.4.1
!!!!!
Vsic3#ping 192.168.5.1
!!!!!
Vsic2#ping 192.168.3.1
!!!!!

Bao Mat Mang Cisco

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bao Mat Mang Cisco

Uploaded by

Copyright:

Available Formats

Bảo Mật Mạng Cisco.

GV: Từ Thanh Trí

Cisco IOS căn bản

Trường Trung Cấp Bách Khoa Sài Gòn Trang 1

3. Mô tả bài lab và đồ hình :

4. Các cấp độ bảo mật của mật khẩu :

5. Qui tắc đặt mật khẩu :

Router(config)#ena pass vsic-vsic-vsic-vsic-vsic-vsic-vsic

Trường Trung Cấp Bách Khoa Sài Gòn Trang 2

6. Các loại mật khẩu cho Router :

7. Các bước đặt mật khẩu cho Router :

 Bước3 : Cấu hình cho từng loại Password

Cấu hình mật khẩu bằng lệnh enable password

Trường Trung Cấp Bách Khoa Sài Gòn Trang 3

Mật khẩu cho cổng console :

Mật khẩu cho cổng aux:

Dùng lệnh show running-config để kiểm tra lại:

Trường Trung Cấp Bách Khoa Sài Gòn Trang 4

Trường Trung Cấp Bách Khoa Sài Gòn Trang 5

Chú ý : Ta không thể dùng lệnh no service password-encryption để bỏ chế độ mã hóa

Router con0 is now available

Press RETURN to get started.  nhấn enter

Password:cert  khai báo mật khẩu console là : cert

8. Gỡ bỏ mật khẩu cho router :

Trường Trung Cấp Bách Khoa Sài Gòn Trang 6

3. Mô tả bài lab và đồ hình :

4. Các bước thực hiện :

Trường Trung Cấp Bách Khoa Sài Gòn Trang 7

Trường Trung Cấp Bách Khoa Sài Gòn Trang 8

Current configuration : 450 bytes

Trường Trung Cấp Bách Khoa Sài Gòn Trang 10

5. Các lệnh trong giao thức CDP :

Trường Trung Cấp Bách Khoa Sài Gòn Trang 11

Trường Trung Cấp Bách Khoa Sài Gòn Trang 12

VSIC1#show cdp neighbors

Device ID Local Intrfce Holdtme Capability Platform Port ID

VSIC1#show cdp neighbors detail

Trường Trung Cấp Bách Khoa Sài Gòn Trang 13

 LệnhShow CDP : hiển thị thông tin CDP về timer và hold-time.

Trường Trung Cấp Bách Khoa Sài Gòn Trang 15

 LệnhClear CDP couter : dùng để reset lai bộ đếm CDP.

 LệnhCDP run : dùng để mở lại chế độ CDP trên Router

Vsic3#show cdp neighbors detail

Copyright (c) 1986-2002 by cisco Systems, Inc.

Trường Trung Cấp Bách Khoa Sài Gòn Trang 16

Trường Trung Cấp Bách Khoa Sài Gòn Trang 17

Copyright (c) 1986-2002 by cisco Systems, Inc.

Trường Trung Cấp Bách Khoa Sài Gòn Trang 18

3. Mô tả bài lab và đồ hình :

4. Các bước thực hiện :

Trường Trung Cấp Bách Khoa Sài Gòn Trang 19

ip address 10.0.0.1 255.255.255.0

Từ Router vsic1 ta kết nối Telnet vào Router Vsic2

Password required, but none set

[Connection to 192.168.1.2 closed by foreign host]

Trường Trung Cấp Bách Khoa Sài Gòn Trang 20

Trường Trung Cấp Bách Khoa Sài Gòn Trang 21

 LúcnàybạnthựchiệnTelnet : Từ Host bạn thực hiện Telnet vào Router Vsic1

Trường Trung Cấp Bách Khoa Sài Gòn Trang 22

Từ Router Vsic1 vào Router Vsic2:

Trường Trung Cấp Bách Khoa Sài Gòn Trang 23

Trường Trung Cấp Bách Khoa Sài Gòn Trang 24

2. Mô tả bài lab và đồ hình :

Trong đồ hình trên PC nối với router bằng cáp console