Professional Documents
Culture Documents
2.Ch.6 Slide
2.Ch.6 Slide
NỘI DUNG
2
CÔNG CỤ HỌC TẬP
• Tài liệu:
– Todd Lammle, CCNA Study Guide, Sybex,2000.
– Wendell Odom, CCNA Intro Exam Certification
Guide, Cisco Press, 2004.
– Huỳnh Nguyên Chính, Mạng Máy Tính Nâng
Cao, ĐH SPKT Tp.HCM.
• Phần mềm:
– Cisco Packet Tracer
3
1. CISCO ROUTER VÀ IOS
• Cisco router
– Cấu trúc ngoại
– Cấu trúc nội
– Quá trình khởi động
• IOS
– Các mode hoạt động
– Các cấu hình cơ bản
• Mô hình mạng 3 lớp Cisco
4
1.1 Cisco Router
IP subnet
5
1.1 Cisco Router
7
1.1 Cisco Router
8
1.1 Cisco Router
11
1.2 Cisco IOS
• Giới thiệu:
– Là hệ điều hành chạy trên các dòng router
và một số dòng switch (Catalyst) của Cisco
– Là hệ điều hành theo chế độ giao diện dòng
lệnh CLI (Command Line Interface)
12
1.2 Cisco IOS
14
1.2 Cisco IOS
17
1.3 Mô hình mạng 3 lớp
18
1.3 Mô hình mạng 3 lớp
• Lớp Core:
– Vận chuyển các gói tin lớn một cách nhanh
chóng và an toàn.
– Độ tin cậy cao, tốc độ nhanh, sử dụng các
giao thức định tuyến có thời gian hội tụ
nhanh.
– Thường thực hiện: mã hóa dữ liệu, NAT
– Hạn chế mở rộng Core khi mở rộng mạng
19
1.3 Mô hình mạng 3 lớp
• Lớp Distribution:
– Thực hiện chức năng lọc Access List
– Định tuyến và Redistribution thông tin giữa
các giao thức định tuyến
– Định tuyến giữa các VLANs
– Quy định các miền broadcast và multicast
20
1.3 Mô hình mạng 3 lớp
• Lớp Access:
– Cung cấp khả năng truy cập vào lớp
Distribution cho các máy tính
– Phân vùng các miền đụng độ (Collision
Domain)
21
2. ĐỊNH TUYẾN
22
2.1 Định tuyến tĩnh
23
2.1 Định tuyến tĩnh
• Nhược điểm:
– Người quản trị phải nắm rõ cấu trúc của
toàn hệ thống mạng
– Phức tạp khi mở rộng (thêm) mạng
– Không tự động cập nhật thông tin khi có sự
cố xảy ra trên hệ thống
=>Không thích hợp cho các mạng lớn và
phức tạp
24
2.1 Định tuyến tĩnh
• Câu lệnh:
Router (config ) #ip route <destination net>
<subnet mask> <exit interface / next hop
add>
– Destination net: địa chỉ mạng đích
– Subnet mask: mặt nạ mạng đích
– Exit interface/next hop add: tên cổng ra/
địa chỉ IP của nút kế tiếp
25
2.1 Định tuyến tĩnh
• Default routing:
– Dùng để định tuyến đường đi cho các gói
tin tới mạng không có trong bảng định
tuyến
– Thường dùng cho mạng chỉ có 1 ngõ ra
ngoài
26
2.1 Định tuyến tĩnh
• Default routing:
– Cú pháp:
Router (config ) #ip route 0.0.0.0 0.0.0.0
<next hop add/exit interface>
– Ví dụ:
27
2.2 Định tuyến động
29
2.2 Định tuyến động
31
2.2 Định tuyến động
33
2.2 Định tuyến động
37
2.2 Định tuyến động
38
2.2 Định tuyến động
42
2.2 Định tuyến động
43
2.2 Định tuyến động
45
3. ACL
• Giới thiệu
• Hoạt động
• Standard ACLs
• Extended ACLs
46
3.1 Giới thiệu
47
3.1 Giới thiệu
50
3.1 Giới thiệu
51
3.2 Hoạt động
52
3.2 Hoạt động
53
3.3 Standard ACL
• Cấu hình:
– B1: định nghĩa ACL
Router#config t
Router(config) #access-list <number>
permit|deny <source_address> <wild_card>
– B2: áp dụng ACL vào interface
Router(config) #interface <tên_cổng>
Router(config-if) #ip access-group <number>
in|out
55
3.3 Standard ACL
– Trong đó:
• number: số thứ tự của ACL (1 – 99)
• permit : cho phép
• deny : cấm
• source_address: 1 Ip cụ thể hoặc địa chỉ mạng
• wild_card: nếu không có thì mặc định là 0.0.0.0
56
3.3 Standard ACL
• Ví dụ:
Router #config t
Router(config) #access-list 10 deny 172.16.40.0 0.0.0.255
Router(config) #access-list 10 deny 172.16.30.1 0.0.0.0
Router(config) #access-list 10 permit 0.0.0.0
255.255.255.255
Router(config) #access-list 10 permit any
Router(config) #interface e0
Router(config-if) #ip access-group 10 out
57
3.3 Standard ACL
58
3.4 Extended ACL
59
3.4 Extended ACL
• Cấu hình:
– B1: định nghĩa ACL
Router#config t
Router(config) #access-list <number>
permit|deny <protocol> <source_add>
<wildcard> <destination_add> <wildcard>
<operator> <operand>
– B2: áp dụng ACL vào cổng: tương tự như
standard ACL
60
3.4 Extended ACL
– Trong đó:
• number: số thứ tự ACL (100 – 199)
• protocol: giao thức cần kiểm tra (tcp,udp, ip,
eigrp, ospf, icmp…)
• source_add, destination_add: địa chỉ nguồn, đích
(nếu không sử dụng thì dùng từ khóa any)
• operator: toán tử kiểm tra thông tin port (eq,
neq, gt, lt …)
• operand: chỉ số port hoặc tên ứng dụng (80 hoặc
www, 25 hoặc smtp, 23 hoặc telnet …)
61
3.4 Extended ACL
• Ví dụ:
Router #config t
Router(config) #access-list 110 deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 eq 25
Router(config) #access-list 110 deny tcp 172.16.4.0
0.0.0.255 any eq 80
Router(config) #access – list 110 permit ip any any
Router(config) #interface e0
Router(config-if) #ip access-group 110 out
62
3.4 Extended ACL
63
3.5 Lưu ý
65
4. NAT
• Giới thiệu
• Static NAT
• Dynamic NAT
• PAT
66
4.1 Giới thiệu
67
4.1 Giới thiệu
Public IP
Private IP
68
4.1 Giới thiệu
69
4.1 Giới thiệu
• Hoạt động:
70
NAT: network address translation
NAT translation table 1: host 10.0.0.1
2: NAT router WAN side addr LAN side addr
changes datagram sends datagram to
source addr from 138.76.29.7, 5001 10.0.0.1, 3345 128.119.40.186, 80
10.0.0.1, 3345 to …… ……
138.76.29.7, 5001,
updates table S: 10.0.0.1, 3345
D: 128.119.40.186, 80
10.0.0.1
1
S: 138.76.29.7, 5001
2 D: 128.119.40.186, 80 10.0.0.4
10.0.0.2
138.76.29.7 S: 128.119.40.186, 80
D: 10.0.0.1, 3345
4
S: 128.119.40.186, 80
D: 138.76.29.7, 5001 3 10.0.0.3
4: NAT router
3: reply arrives changes datagram
dest. address: dest addr from
138.76.29.7, 5001 138.76.29.7, 5001 to 10.0.0.1, 3345
Network Layer 4-71
4.1 Giới thiệu
72
4.1 Giới thiệu
• Phân loại:
– Static NAT: chuyển đổi 1 local IP sang 1
globle IP
– Dynamic NAT: chuyển đổi nhiều local IP
sang nhiều globe IP
– Overload NAT (PAT): chuyển đổi nhiều
local IP sang 1 globle IP
73
4.2 Static NAT
74
4.2 Static NAT
• Cấu hình:
– B1: thiết lập ánh xạ local global
Router(config)# ip nat inside source static
<inside_local> <inside_global>
– B2: xác định cổng nối với vùng inside
Router(config)# interface <tên_cổng>
Router(config-if)# ip nat inside
– B3: xác định cổng nối với vùng outside
Router(config)# interface <tên_cổng>
Router(config-if)# ip nat outside 75
4.2 Static NAT
• Ví dụ:
Router#config t
Router(config)# ip nat inside source static
192.168.1.2 200.0.1.1
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside
76
4.3 Dynamic NAT
77
4.3 Dynamic NAT
• Cấu hình:
– B1: tạo dải (pool) địa chỉ inside global
Router(config)#ip nat pool <pool_name>
<starting_add> <ending_add> netmask <mask>
– B2: tạo ACL cho phép các dải địa chỉ inside local sẽ
được NAT
Router(config)# access-list <list_number> permit
<address> <wild_card>
– B3: tạo ánh xạ local global
Router(config)# ip nat inside soure list <list_number>
pool <pool_name>
– B4: xác định cổng nối với vùng inside và outside 78
4.3 Dynamic NAT
• Ví dụ:
Router#conf ig t
Router(config)# ip nat pool globalnet 200.0.1.1 200.0.1.15
netmask 255.255.255.0
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool globalnet
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside
79
4.4 PAT
80
4.4 PAT
• Ví dụ:
Router#config t
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface fa0/1
overload
Router(config)# interface fa0/0
Router(config-if)#ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside
82
4.5 Kiểm tra
83