Chương 6

NỘI DUNG

1. Cisco Router và IOS

2. Định tuyến
3. ACL
4. NAT

2
 CÔNG CỤ HỌC TẬP

• Tài liệu:
– Todd Lammle, CCNA Study Guide, Sybex,2000.
– Wendell Odom, CCNA Intro Exam Certification
Guide, Cisco Press, 2004.
– Huỳnh Nguyên Chính, Mạng Máy Tính Nâng
Cao, ĐH SPKT Tp.HCM.
• Phần mềm:
– Cisco Packet Tracer

3
 1. CISCO ROUTER VÀ IOS

• Cisco router
– Cấu trúc ngoại
– Cấu trúc nội
– Quá trình khởi động
• IOS
– Các mode hoạt động
– Các cấu hình cơ bản
• Mô hình mạng 3 lớp Cisco
4
 1.1 Cisco Router

• Router trong mạng nội bộ:

mail server
to external
network web server
router

IP subnet

5
 1.1 Cisco Router

• Router trên hệ thống:

global ISP
 1.1 Cisco Router
1: Jack nguồn.
•2:Cấu
Công trúc ngoại:
tắt nguồn.
3,7: Khe cắm card mở rộng (option).
4: Cổng console
5: Cổng fast ethernet.
8: Khe cắm thẻ nhớ (flash).
12: Cổng AUX

7
 1.1 Cisco Router

• Cấu trúc nội:

8
 1.1 Cisco Router

• Cấu trúc nội:

– CPU:
• Khởi động hệ thống
• Định tuyến
• Điều khiển các cổng giao tiếp
– RAM:
• Cung cấp hàng đợi cho các gói dữ liệu
• Lưu bảng định tuyến
• Lưu tập tin cấu hình đang chạy (running –
config) 9
 1.1 Cisco Router

– NV-RAM (Non-Violate Ram):

• Lưu trữ tập tin cấu hình (startup – config)
• Không mất dữ liệu khi mất điện
– ROM:
• Chứa đoạn mã POST (Power On Self Test)
• Chứa chương trình BootTrap
• Chứa chương trình ROM Monitor
– FLASH:
• Lưu hệ điều hành (IOS)
10
 1.1 Cisco Router

• Quá trình khởi động:

11
 1.2 Cisco IOS

• Giới thiệu:
– Là hệ điều hành chạy trên các dòng router
và một số dòng switch (Catalyst) của Cisco
– Là hệ điều hành theo chế độ giao diện dòng
lệnh CLI (Command Line Interface)

12
 1.2 Cisco IOS

• Các mode hoạt động:

Router> User mode
Router# Privileged mode
Router(config) # Global configuration
Router(config –if)# Interface
Router(config –line)# Line
Router(config – router)# Route
13
 1.2 Cisco IOS

• Các lệnh cấu hình cơ bản:

– Cổng ethernet:
Router#config terminal
Router (config) #interface <tên cổng>
Router (config – if) #ip address <ip> <subnet>
Router (config – if) #duplex <auto/full/haft>
Router (config – if) #speed <auto/100/10>
Router (config – if) #no shutdown

14
 1.2 Cisco IOS

• Các lệnh cấu hình cơ bản:

– Cổng serial (DCE): phát xung clock
Router (config #interface <tên cổng>
Router (config – if) #ip address <ip> <subnet>
Router (config – if) #clock rate <tốc độ>
Router (config – if) #no shutdown
– Cổng serial (DTE): tương tự cổng DCE
nhưng không có câu lệnh #clock rate
– Kiểm tra thông tin cổng:
Router # show ip interface 15
 1.3 Mô hình mạng 3 lớp

• Là mô hình phân cấp cho các hệ thống

mạng do Cisco đề ra
• Giúp phân cấp các mạng phức tạp thành
hệ thống: dễ hiểu, dễ thiết kế và dễ quản
lý
• Bao gồm 3 lớp:
– Lớp Core
– Lớp Distribution
– Lớp Access 16
1.3 Mô hình mạng 3 lớp

17
 1.3 Mô hình mạng 3 lớp

18
 1.3 Mô hình mạng 3 lớp

• Lớp Core:
– Vận chuyển các gói tin lớn một cách nhanh
chóng và an toàn.
– Độ tin cậy cao, tốc độ nhanh, sử dụng các
giao thức định tuyến có thời gian hội tụ
nhanh.
– Thường thực hiện: mã hóa dữ liệu, NAT
– Hạn chế mở rộng Core khi mở rộng mạng

19
 1.3 Mô hình mạng 3 lớp

• Lớp Distribution:
– Thực hiện chức năng lọc Access List
– Định tuyến và Redistribution thông tin giữa
các giao thức định tuyến
– Định tuyến giữa các VLANs
– Quy định các miền broadcast và multicast

20
 1.3 Mô hình mạng 3 lớp

• Lớp Access:
– Cung cấp khả năng truy cập vào lớp
Distribution cho các máy tính
– Phân vùng các miền đụng độ (Collision
Domain)

21
 2. ĐỊNH TUYẾN

• Định tuyến tĩnh

– Ưu nhược điểm
– Default routing
• Định tuyến động
– RIP
– OSPF
– EIGRP

22
 2.1 Định tuyến tĩnh

• Người quản trị tự cài đặt thông tin bảng

định tuyến cho các Router trên hệ thống
• Ưu điểm:
– CPU của router ít phải xử lý thông tin
– Không chiếm băng thông đường truyền
(cho việc thiết lập bảng định tuyến)
– Bảo mật

23
 2.1 Định tuyến tĩnh

• Nhược điểm:
– Người quản trị phải nắm rõ cấu trúc của
toàn hệ thống mạng
– Phức tạp khi mở rộng (thêm) mạng
– Không tự động cập nhật thông tin khi có sự
cố xảy ra trên hệ thống
=>Không thích hợp cho các mạng lớn và
phức tạp

24
 2.1 Định tuyến tĩnh

• Câu lệnh:
Router (config ) #ip route <destination net>
<subnet mask> <exit interface / next hop
add>
– Destination net: địa chỉ mạng đích
– Subnet mask: mặt nạ mạng đích
– Exit interface/next hop add: tên cổng ra/
địa chỉ IP của nút kế tiếp

25
 2.1 Định tuyến tĩnh

• Default routing:
– Dùng để định tuyến đường đi cho các gói
tin tới mạng không có trong bảng định
tuyến
– Thường dùng cho mạng chỉ có 1 ngõ ra
ngoài

26
 2.1 Định tuyến tĩnh

• Default routing:
– Cú pháp:
Router (config ) #ip route 0.0.0.0 0.0.0.0
<next hop add/exit interface>
– Ví dụ:

27
 2.2 Định tuyến động

• Router tự tìm thông tin, học và cập nhật

bảng định tuyến cho mình
• Ưu điểm:
– Dễ dàng cho người quản trị
– Linh động cập nhật thông tin: thích hợp
cho mạng lớn, có cấu trúc thường thay đổi
• Nhược điểm:
– CPU hoạt động nhiều
– Tốn băng thông mạng (học, cập nhật) 28
 2.2 Định tuyến động

• Phân loại: theo nhiều tiêu chí khác nhau

– Theo phân cấp (nội miền, liên miền)
– Theo thuật toán sử dụng ( Distance Vector,
Link State)
– Theo phân lớp mạng (classfull, classless)

29
 2.2 Định tuyến động

• Giao thức RIP v.1

– Sử dụng thuật toán Distance Vector
– Update thông tin: theo chu kỳ 30s
– Tiêu chí lựa chọn đường đi (metric): hop –
count (tối đa: 15)
– Không hỗ trợ VLSM (Variable Length
Subnet Mask) : classfull routing
– Hệ số ưu tiên (AD): 120
30
 2.2 Định tuyến động

• Thuật toán định tuyến Distance Vector

– Mỗi router update thông tin thông qua láng
giềng
– Bảng định tuyến của mỗi router: chứa
thông tin về đường đi “tốt nhất” tới đích
thông qua router láng giềng
– Mỗi router KHÔNG biết được cấu trúc
toàn bộ hệ thống mạng

31
 2.2 Định tuyến động

• Giao thức RIP v.1

– Cấu hình:
Router (config ) #router rip
Router (config – router) #network <w.x.y.z>
Router (config – router) #exit
• w.x.y.z : mạng đang kết nối trực tiếp (mạng gốc)
– Xóa cấu hình RIP:
Router (config ) #no router rip
32
 2.2 Định tuyến động

• Giao thức RIP v.1

– Kiểm tra thông tin bảng định tuyến
Router #show ip route

33
 2.2 Định tuyến động

• Giao thức RIP v.2

– Có hỗ trợ VLSM : classless routing
– Cấu hình:
Router (config) #router rip
Router (config – router) #version 2
Router (config – router) #network <w.x.y.z>
Router (config – router) #no auto-summary
Router (config – router) #exit
• w.x.y.z : mạng đang kết nối trực tiếp (mạng gốc)34
 2.2 Định tuyến động

• Giao thức OSPF (Open Shortest Path

First)
– Sử dụng thuật toán Link State (Dijkstra)
– Update thông tin: khi có sự thay đổi trên hệ
thống
– Metric:căn cứ banwidth (cost = 108/BW )
– Tốc độ hội tụ (convergence) : nhanh
– Hỗ trợ VLSM : classless routing
– Hệ số ưu tiên (AD): 110 35
 2.2 Định tuyến động

• Giao thức OSPF (Open Shortest Path

First)
– Số nút mạng tối đa: không giới hạn
– Hỗ trợ phân cấp: chia mạng lớn ra thành
các mạng nhỏ hơn gọi là “vùng” (area):
• Tăng thời gian hội tụ
• Giảm lưu lượng thông tin cập nhật trên hệ
thống
• Giới hạn phạm vi ảnh hưởng của các “bất ổn”
trong hệ thống 36
 2.2 Định tuyến động

• Giao thức OSPF (Open Shortest Path

First)
– Thuật toán Link State (Dijkstra):
• Router sẽ trao đổi thông tin và xây dựng, duy
trì cơ sở dữ liệu về cả cấu trúc mạng
• Mỗi Router sẽ tính toán và lựa chọn đường đi
tốt nhất cho mình tới các mạng đích
• Sau khi hội tụ, các router chỉ update lại thông
tin khi có sự thay đổi trên hệ thống

37
 2.2 Định tuyến động

– Thuật toán Link State (Dijkstra):

38
 2.2 Định tuyến động

• Giao thức OSPF

– Cấu hình:
Router (config) #router ospf <process_id>
Router (config – router) #network <w.x.y.z>
<m.n.p.q> area <area_number>
Router (config) #exit
• process_id: số thứ tự của process đang xử lý
• w.x.y.z : địa chỉ mạng kết nối trực tiếp (mạng con)
• m.n.p.q: wildcard
39
• area_number: số thứ tự của “vùng” ( bắt đầu từ 0)
 2.2 Định tuyến động

• Giao thức OSPF

– Kiểm tra:
Router#show ip route
Router#show ip ospf
Router#show ip ospf database
Router#show ip ospf interface
Router#show ip ospf neighbor
Router#show ip ospf potocol
40
 2.2 Định tuyến động

• Giao thức EIGRP (Enhanced Interior

Gateway Routing Protocol)
– Được phát triển bởi Cisco
– Dùng thuật toán DUAL (Diffusing Update
Algorithm)
– Tốc độ hội tụ (convergence) : nhanh
– Hỗ trợ VLSM : classless routing
– Hệ số ưu tiên (AD): 90 (Internal EIGRP)
41
 2.2 Định tuyến động

• Giao thức EIGRP

– Metric: căn cứ vào : Bandwidth, Delay,
Reliability, Load, MTU. Mặc định được
tính toán dựa vào Bandwidth và Delay.
– Successor route : đường đi có metric tối ưu
nhất tới mạng đích
– Feasible successor route: đường dự phòng
cho đường successor.

42
 2.2 Định tuyến động

• Giao thức EIGRP

– Vd:

43
 2.2 Định tuyến động

• Giao thức EIGRP

– Cấu hình:
Router(config)#router eigrp <AS_number>
Router(config-router)#network <w.x.y.z>
Router(config-router)#no auto-summary
Router(config-router)#exit
• AS_number: chỉ số của miền tự quản (giống
nhau ở các Router cùng miền)
• w.x.y.z : địa chỉ mạng (gốc) kết nối trực tiếp với
Router 44
 2.2 Định tuyến động

• Giao thức EIGRP

– Kiểm tra:
Router#show ip route eigrp
Router#show ip eigrp neighbors
Router#show ip eigrp topology
Router#debug eigrp packet

45
 3. ACL

• Giới thiệu
• Hoạt động
• Standard ACLs
• Extended ACLs

46
 3.1 Giới thiệu

• ACL: Access Control List

• Là một danh sách các điều kiện áp dụng
để “lọc” luồng dữ liệu vào/ra ở cổng của
Router:
– Chấp nhận và chuyển tiếp gói tin
– Loại bỏ gói tin

47
 3.1 Giới thiệu

• Vì sao sử dụng ACL? 48

 3.1 Giới thiệu

• Vì sao sử dụng ACL?

– Quản trị luồng dữ liệu vào/ra:
• Cho phép loại dữ liệu nào được phép lưu thông
trên mạng
• Có thể ngăn chặn các gói tin update của các
giao thức định tuyến
• Tăng hiệu suất mạng
– Bảo mật ở mức cơ bản cho hệ thống mạng:
• Quản lý các “vùng” có thể truy cập của các
client trong mạng
49
• Quản lý các gói tin từ một máy tính cụ thể
 3.1 Giới thiệu

• Cơ sở “lọc” của ACL?

50
 3.1 Giới thiệu

• Có thể áp dụng cho luồng dữ liệu vào

(inbound) hoặc ra (outbound) ở mỗi
cổng Router
• Phân loại: 2 loại
– Standard ACLs
– Extended ACLs

51
 3.2 Hoạt động

• Router kiểm tra gói tin và so sánh với

các điều kiện trong ACLs

52
 3.2 Hoạt động

• Các điều kiện được kiểm tra theo thứ tự

của lệnh cấu hình trong ACLs)
• Khi có một điều kiện trùng “khớp”, các
điều kiện còn lại sẽ không còn được
kiểm tra
• Nếu không có điều kiện nào “khớp”,
mặc định gói tin sẽ bị loại bỏ

53
 3.3 Standard ACL

• Căn cứ thông tin source address để lọc

– source address : địa chỉ host hoặc network
• Thường được sử dụng khi:
– Ngăn chặn/cho phép tất cả các gói tin từ
một mạng xác định
– Ngăn chặn/cho phép tất cả các gói tin từ
một máy xác định
– Ngăn chặn toàn bộ gói tin của một giao
thức
54
 3.3 Standard ACL

• Cấu hình:
– B1: định nghĩa ACL
Router#config t
Router(config) #access-list <number>
permit|deny <source_address> <wild_card>
– B2: áp dụng ACL vào interface
Router(config) #interface <tên_cổng>
Router(config-if) #ip access-group <number>
in|out
55
 3.3 Standard ACL

– Trong đó:
• number: số thứ tự của ACL (1 – 99)
• permit : cho phép
• deny : cấm
• source_address: 1 Ip cụ thể hoặc địa chỉ mạng
• wild_card: nếu không có thì mặc định là 0.0.0.0

56
 3.3 Standard ACL

• Ví dụ:
Router #config t
Router(config) #access-list 10 deny 172.16.40.0 0.0.0.255
Router(config) #access-list 10 deny 172.16.30.1 0.0.0.0
Router(config) #access-list 10 permit 0.0.0.0
255.255.255.255
Router(config) #access-list 10 permit any
Router(config) #interface e0
Router(config-if) #ip access-group 10 out

57
 3.3 Standard ACL

• Ví dụ: cấm Sales truy cập vào Finace

58
 3.4 Extended ACL

• Căn cứ để lọc gói tin:

– source address
– destination address
– giao thức của tầng internet và giao vận
– port
• Được dùng khi cần kiểm soát chi tiết
luồng dữ liệu ra/vào các interface

59
 3.4 Extended ACL

• Cấu hình:
– B1: định nghĩa ACL
Router#config t
Router(config) #access-list <number>
permit|deny <protocol> <source_add>
<wildcard> <destination_add> <wildcard>
<operator> <operand>
– B2: áp dụng ACL vào cổng: tương tự như
standard ACL
60
 3.4 Extended ACL

– Trong đó:
• number: số thứ tự ACL (100 – 199)
• protocol: giao thức cần kiểm tra (tcp,udp, ip,
eigrp, ospf, icmp…)
• source_add, destination_add: địa chỉ nguồn, đích
(nếu không sử dụng thì dùng từ khóa any)
• operator: toán tử kiểm tra thông tin port (eq,
neq, gt, lt …)
• operand: chỉ số port hoặc tên ứng dụng (80 hoặc
www, 25 hoặc smtp, 23 hoặc telnet …)
61
 3.4 Extended ACL

• Ví dụ:
Router #config t
Router(config) #access-list 110 deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 eq 25
Router(config) #access-list 110 deny tcp 172.16.4.0
0.0.0.255 any eq 80
Router(config) #access – list 110 permit ip any any
Router(config) #interface e0
Router(config-if) #ip access-group 110 out

62
 3.4 Extended ACL

• Ví dụ: cấm các máy trong Sales truy

xuất tới Server trong Finace bằng FTP

63
 3.5 Lưu ý

• Các câu lệnh trong ACL nên đặt theo từ

chi tiết đến tổng quát theo thứ tự từ trên
xuống
• Trong một ACL phải có tối thiểu 1 câu
lệnh permit
• Mỗi chiều (in, out) của 1 interface chỉ
cho phép có 1 ACL
• Standard ACL nên đặt gần đích,
Extended ACL đặt gần nguồn cần deny 64
 3.6 Kiểm tra

Router #show access-list

Router #show ip access-list
Router #show access-list <number>
Router #show ip interface

65
 4. NAT

• Giới thiệu
• Static NAT
• Dynamic NAT
• PAT

66
 4.1 Giới thiệu

• Phân loại địa chỉ IP:

67
 4.1 Giới thiệu

• NAT: Network Address Translation

• Chuyển đổi từ địa chỉ IP này thành IP
khác

Public IP

Private IP
68
 4.1 Giới thiệu

• Tại sao sử dụng?

– Các máy tính trong mạng nội bộ (Lan) có
thể truy cập internet
– Thay đổi ISP: không ảnh hưởng đến địa chỉ
IP nội bộ
– Liên kết các mạng nội bộ có dải địa chỉ IP
trùng nhau.

69
 4.1 Giới thiệu

• Hoạt động:

70
 NAT: network address translation
NAT translation table 1: host 10.0.0.1
2: NAT router WAN side addr LAN side addr
changes datagram sends datagram to
source addr from 138.76.29.7, 5001 10.0.0.1, 3345 128.119.40.186, 80
10.0.0.1, 3345 to …… ……
138.76.29.7, 5001,
updates table S: 10.0.0.1, 3345
D: 128.119.40.186, 80
10.0.0.1
1
S: 138.76.29.7, 5001
2 D: 128.119.40.186, 80 10.0.0.4
10.0.0.2
138.76.29.7 S: 128.119.40.186, 80
D: 10.0.0.1, 3345
4
S: 128.119.40.186, 80
D: 138.76.29.7, 5001 3 10.0.0.3
4: NAT router
3: reply arrives changes datagram
dest. address: dest addr from
138.76.29.7, 5001 138.76.29.7, 5001 to 10.0.0.1, 3345
Network Layer 4-71
 4.1 Giới thiệu

• Các khái niệm IP được sử dụng:

Inside Local Inside Globle

Outside Local Outside Globle

72
 4.1 Giới thiệu

• Phân loại:
– Static NAT: chuyển đổi 1 local IP sang 1
globle IP
– Dynamic NAT: chuyển đổi nhiều local IP
sang nhiều globe IP
– Overload NAT (PAT): chuyển đổi nhiều
local IP sang 1 globle IP

73
 4.2 Static NAT

• Ánh xạ 1 local   1 globle IP

• Mỗi host trong Lan sẽ có 1 globle IP
• Ít sử dụng, thường dùng cho các internal
server

74
 4.2 Static NAT

• Cấu hình:
– B1: thiết lập ánh xạ local  global
Router(config)# ip nat inside source static
<inside_local> <inside_global>
– B2: xác định cổng nối với vùng inside
Router(config)# interface <tên_cổng>
Router(config-if)# ip nat inside
– B3: xác định cổng nối với vùng outside
Router(config)# interface <tên_cổng>
Router(config-if)# ip nat outside 75
 4.2 Static NAT

• Ví dụ:
Router#config t
Router(config)# ip nat inside source static
192.168.1.2 200.0.1.1
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside

76
 4.3 Dynamic NAT

• Ánh xạ nhiều local   nhiều globle IP

• Các ánh xạ được tạo ra một cách tự
động
• Đòi hỏi phải có nhiều globle IP

77
 4.3 Dynamic NAT
• Cấu hình:
– B1: tạo dải (pool) địa chỉ inside global
Router(config)#ip nat pool <pool_name>
<starting_add> <ending_add> netmask <mask>
– B2: tạo ACL cho phép các dải địa chỉ inside local sẽ
được NAT
Router(config)# access-list <list_number> permit
<address> <wild_card>
– B3: tạo ánh xạ local  global
Router(config)# ip nat inside soure list <list_number>
pool <pool_name>
– B4: xác định cổng nối với vùng inside và outside 78
 4.3 Dynamic NAT

• Ví dụ:
Router#conf ig t
Router(config)# ip nat pool globalnet 200.0.1.1 200.0.1.15
netmask 255.255.255.0
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 pool globalnet
Router(config)# interface fa0/0
Router(config-if)# ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside
79
 4.4 PAT

• PAT (Port Address Translation): NAT

overload
• Ánh xạ nhiều local   1 globle IP
• Sử dụng thêm thông tin port cho các ánh
xạ

80
 4.4 PAT

• Cấu hình: cách 1

– B1: tạo ACL cho phép các dải địa chỉ inside local
sẽ được NAT
Router(config)# access-list <list_number> permit
<address> <wild_card>
– B2: tạo ánh xạ ACL interface đang kết nối với
vùng global
Router(config)# ip nat inside soure list
<list_number> interface <interface_name>
overload
– B3: xác định cổng nối với vùng inside và outside 81
 4.4 PAT

• Ví dụ:
Router#config t
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface fa0/1
overload
Router(config)# interface fa0/0
Router(config-if)#ip nat inside
Router(config)# interface fa0/1
Router(config-if)# ip nat outside

82
 4.5 Kiểm tra

Router#show ip nat translation

Router#show ip nat statistics
Router#debug ip nat

83