Final Lab CCNA – Đề số 1

Sơ đồ:

Loopback0 Server
172.16.2.1/24
.2
.1 172.16.22.0/24
E0/2
E0/0 E0/1
.2 R2 .2
172.16.12.0/24 172.16.23.0/24

E0/1 .1 .3 E0/1

Loopback0 E0/2 172.16.13.0/24 E0/0 Loopback0

172.16.1.1/24 R1 .1 .3 R3 172.16.3.1/24
E0/0 200.0.0.x/24 E0/2

100.0.0.x/32

E0/0

E0/3 VLAN 10 200.0.0.254

SW1 Access Host1
E0/1 E0/2
172.16.10.2/24 ISP

E0/0 E0/0
SW3
SW2 E0/1 E0/1 E0/3

E0/2 E0/2

VLAN 20 Access Access VLAN 1

R4

Host2 Host3
172.16.20.2/24 172.16.11.2/24

Hình 1 – Sơ đồ bài lab.

Mô tả:
• Ngoại trừ router ISP, Router R4 và Server 172.16.22.2, học viên được quyền truy nhập
vào tất cả các thiết bị trên sơ đồ để thực hiện các thao tác cấu hình.
• Trong mỗi nhóm, cổng E0/2 của R3 được sử dụng để đấu nối đến router ISP. Học viên
thực hiện đặt địa chỉ IP trên cổng đấu nối này là 200.0.0.x/24, trong đó x là số hiệu của
nhóm lab mà học viên thao tác. Học viên phải thực hiện cấu hình Gateway Internet là
200.0.0.254.
• Nhóm x bên cạnh IP đấu nối, còn được ISP rót về một IP tĩnh 100.0.0.x/32.
• Tất cả các thiết bị đều đã được cấu hình sẵn hostname như trình bày trên sơ đồ.
• Các thiết bị Host1, Host2, Host3 và Server đã được thiết lập sẵn địa chỉ IP.
• Học viên phải tự cấu hình đặt địa chỉ IP cho các cổng của các router theo quy hoạch IP
trên sơ đồ hình 1.
• Lưu ý: Học viên lưu cấu hình thường xuyên trong quá trình làm bài. Các phần thi đã làm
nếu chưa lưu cấu hình sẽ không được tính điểm.
Yêu cầu:
1. Xây dựng mạng chuyển mạch lớp 2 (10đ):
• Cấu hình để tất cả các đường link đấu nối giữa các switch trở thành các đường trunking
Dot1q. (5đ)
• Xây dựng cấu hình VLAN trên các switch theo yêu cầu sau (5đ):
o Khai báo các VLAN 10 và 20 trên SW1.
o Các VLAN trên SW1 phải được tự động đồng bộ đến SW2 và SW3.
o Các thao tác can thiệp vào cấu hình VLAN trên SW2 và SW3 bị cấm.
2. Hiệu chỉnh đường đi layer 2 (10đ):
• Cấu hình đảm bảo kết quả hội tụ STP trên VLAN 10 như sau (5đ) (hình 2):
SW1

Chú thích: D Designated port

E0/1 E0/2
D D
R Root port
Blocking port

E0/0 R E0/0
R D
SW2 E0/1 E0/1
SW3

Hình 2 – Kết quả hội tụ STP trên VLAN 10.

Gợi ý cấu hình Sw 1 làm root Switch cho VLAN 10, sau đó chỉnh cost thích hợp.
• Cấu hình STP đảm bảo kết quả hội tụ STP trên VLAN 20 như sau (5đ) (hình 3):
SW1

Chú thích: D Designated port

E0/1 E0/2
R D R Root port
Blocking port

E0/0 D R E0/0
D
SW2 E0/1
SW3
E0/1

Hình 3 – Kết quả hội tụ STP trên VLAN 20.

Gợi ý cấu hình Sw 2 làm root switch cho VLAN 20, sau đó chỉnh cost thích hợp.
3. Định tuyến VLAN (5đ):
• Trên R1 thực hiện cấu hình định tuyến giữa các VLAN 1, 10 và 20 với các thông số như
sau (bảng 1):
Cổng Kết nối đến Địa chỉ IP
E0/0 VLAN 1 172.16.11.1/24
E0/0.10 VLAN 10 172.16.10.1/24
E0/0.20 VLAN 20 172.16.20.1/24
Bảng 1 – Thông số cấu hình định tuyến VLAN trên R1.
 • Sau khi cấu hình xong, kết quả kiểm tra phải đạt được như sau:
Host1> ping 172.16.11.2
84 bytes from 172.16.11.2 icmp_seq=1 ttl=63 time=2.463 ms
84 bytes from 172.16.11.2 icmp_seq=2 ttl=63 time=1.085 ms
Host1> ping 172.16.20.2
84 bytes from 172.16.20.2 icmp_seq=1 ttl=63 time=1.844 ms
84 bytes from 172.16.20.2 icmp_seq=2 ttl=63 time=1.007 ms
Host2> ping 172.16.10.1
84 bytes from 172.16.10.1 icmp_seq=1 ttl=63 time=1.318 ms
84 bytes from 172.16.10.1 icmp_seq=2 ttl=63 time=1.838 ms

4. Cấu hình định tuyến (10đ):

• Cấu hình định tuyến OSPF trên các router R1, R2 và R3 đảm bảo tất cả các subnet thuộc
dải IP 172.16.0.0/16 có thể đi đến được nhau.
• Lưu ý: R3 không được cho cổng nối đến ISP tham gia OSPF. Học viên sẽ bị trừ nửa số
điểm của câu 4 nếu vi phạm lỗi này.
5. Hiệu chỉnh định tuyến (15đ):
• Cấu hình hiệu chỉnh đảm bảo router – id của các router đạt giá trị như sau (5đ):
R1: 1.1.1.1; R2: 2.2.2.2; R3: 3.3.3.3.
• Hiệu chỉnh OSPF đảm bảo R1 và R3 đi đến loopback 0 của nhau bằng đường chính là
đường trung chuyển qua R2:
R1#show ip route 172.16.3.1
(…)
* 172.16.12.2, from 3.3.3.3, 00:00:21 ago, via Ethernet0/1
Route metric is 21, traffic share count is 1
R3#show ip route 172.16.1.1
(…)
* 172.16.23.2, from 1.1.1.1, 00:00:26 ago, via Ethernet0/1
Route metric is 21, traffic share count is 1
Đường link kết nối trực tiếp giữa R1 và R3 phải được sử dụng cho mục đích dự phòng và
sẽ chỉ được đưa vào bảng định tuyến khi đường chính ở trên bị down (ví dụ: khi một
trong hai cổng E0/1 nối đến R2 của R1 và R3 down). (10đ)
Gợi ý chỉnh cost trên các cổng thích hợp để đường đấu nối trực tiếp có cost lớn hơn
đường trung chuyển thì Router sẽ chọn đường trung chuyển làm đường chính.
6. DHCP (5đ):
• Cấu hình R2 làm DHCP server cấp IP cho các user thuộc VLAN 20.
• Sau khi cấu hình xong, thực hiện kiểm tra trên Host 2 phải nhận được IP thuộc dải IP quy
hoạch cho VLAN 20:
Host2> dhcp -x
Host2> dhcp -r
DDORA IP 172.16.20.2/24 GW 172.16.20.1
R2#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
172.16.20.2 0100.5079.6668.0a Aug 03 2016 04:44 PM Automatic

Gợi ý chọn helper-address trên cổng sub-interface thích hợp

7. DHCP Snooping (10đ):
• Trên DHCP Server tại R2 tạo thêm 1 pool cấp IP cho các Host thuộc VLAN 1. (5đ)
• R4 đang đóng vai trò là 1 DHCP giả mạo cấp IP cho Host thuộc VLAN 1
• Thực hiện cấu hình đảm bảo các Host thuộc VLAN 1 phải nhận IP từ DHCP trên R2 chứ
không nhận từ DHCP giả mạo tại R4. (5đ)
Gợi ý:
R2 tạo thêm 1 pool cấp IP cho Host thuộc VLAN 1, sau đó cấu hình helper-address trên các
cổng thích hợp
Sử dụng tính năng DHCP Snooping trên SW3 áp dụng cho VLAN 1, cấu hình Trust các cổng
thích hợp và tắt option 82 với DHCP Snooping trên SW3.
8. Port Security (5đ):
• Trên SW2 cấu hình tính năng Port Security sao cho các cổng đấu xuống end user chỉ cho
phép 1 thiết bị được sử dụng. Nếu có sự thay đổi địa chỉ MAC thì cổng sẽ không sử dụng
được, đồng thời thông báo vi phạm Port Security sẽ diễn ra.
Gợi ý: cấu hình Port Security trên SW2, sử dụng phương thức học MAC là “Sticky”, phương
thức xử lý vi phạm là “Restrict” và số lượng địa chỉ MAC tối đa là 1.
9. ACL (15đ):
• Sử dụng Standard ACL trên R2 cấm các IP thuộc dải IP của VLAN 10 telnet đến R2
nhưng cho phép mọi địa chỉ IP khác. Kết quả kiểm tra phải đạt như sau (5đ):
R1#telnet 172.16.2.1
Trying 172.16.2.1 ... Open
Password required, but none set
R1#telnet 172.16.2.1 /source-interface e0/0.10
Trying 172.16.2.1 ...
% Connection refused by remote host

• Sử dụng Extended ACL theo chiều out trên cổng E0/2 của R2 chỉ cho phép các user
thuộc VLAN 20 truy nhập web đến server 172.16.22.2, ngoài ra mọi lưu lượng khác đều
bị cấm (5đ):
Host2> ping 172.16.22.2 -P 6 -p 80 <- Host 2 truy nhập web thành công đến Server
Connect 80@172.16.22.2 seq=1 ttl=253 time=2.237 ms
SendData 80@172.16.22.2 seq=1 ttl=253 time=2.166 ms
Close 80@172.16.22.2 seq=1 ttl=253 time=3.254 ms
Host1> ping 172.16.22.2 <- Host 1 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.671 ms (ICMP type:3, code:13, Communication
administratively prohibited)
Host2> ping 172.16.22.2 <- Host 2 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.974 ms (ICMP type:3, code:13, Communication
administratively prohibited)
Host3> ping 172.16.22.2 <- Host 3 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.969 ms (ICMP type:3, code:13, Communication
administratively prohibited)

• Tiếp tục cấu hình bổ sung cho Extended ACL đã thực hiện ở trên cho phép server
172.16.22.2 ping được được Host 1 nhưng Host 1 không ping được server (5đ):
Host1> ping 172.16.22.2 <- Host 1 không ping được server
*172.16.12.2 icmp_seq=1 ttl=254 time=0.775 ms (ICMP type:3, code:13, Communication
administratively prohibited)
*172.16.12.2 icmp_seq=2 ttl=254 time=0.947 ms (ICMP type:3, code:13, Communication
administratively prohibited)
R2#telnet 172.16.22.2 <- Từ R2 telnet đến Server để thực hiện kiểm tra
Trying 172.16.22.2 ... Open
User Access Verification
Password: <- Nhập password là “vnpro”
Server>ping 172.16.10.2 <- Server ping được Host 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Gợi ý ping sử dụng icmp echo request ở lượt đi và icmp echo reply ở lượt về
10. Internet (10đ):
• Thực hiện cấu hình cho phép mọi user thuộc VLAN 1 và 20 có thể đi được Internet bằng
IP đấu nối 200.0.0.x trên cổng E0/2 của R3. Sau khi cấu hình xong, VLAN 1 và 20 phải
đi được Internet theo kết quả sau (5đ):
Host3> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=1.710 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=1.320 ms
Host2> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=253 time=1.212 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=253 time=1.409 ms

R3#sh ip nat translations

Pro Inside global Inside local Outside local Outside global
icmp 200.0.0.x:51994 172.16.11.2:51994 8.8.8.8:51994 8.8.8.8:51994
icmp 200.0.0.x:54298 172.16.20.2:54298 8.8.8.8:54298 8.8.8.8:54298
 • Host 1 hiện đang sử dụng địa chỉ IP private 172.16.10.2. Thực hiện public host này lên
Internet bằng địa chỉ 100.0.0.x được cấp phát bởi ISP. Sau khi thực hiện thành công, kết
quả kiểm tra phải đạt được như sau (5đ):
Host1> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=252 time=2.422 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=252 time=3.139 ms
R3#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 100.0.0.x:34075 172.16.10.2:34075 8.8.8.8:34075 8.8.8.8:34075
icmp 100.0.0.x:34331 172.16.10.2:34331 8.8.8.8:34331 8.8.8.8:34331
--- 100.0.0.x 172.16.10.2 --- ---

• Lưu ý: Học viên được phép cấu hình một và chỉ một static default – route trên R3 cho
hoạt động đi Internet. Nếu cấu hình nhiều hơn một static default – route trên R3, học viên
sẽ bị trừ nửa số điểm của câu 8.
Gợi ý R3 dùng static default-route trỏ đến địa chỉ của ISP, sau đó R3 dùng OSPF quảng
bá default-route của mình cho R1 và R2.
11. Yêu cầu khác (20đ):
• Trên R1 và R3 thực hiện cấu hình thích hợp để xây dựng thêm sơ đồ kết nối giữa hai thiết
bị này như sau (hình 4) (5đ):

Loopback1 E0/2.13 VLAN 13 E0/0.13 Loopback1

192.168.1.1/24 .1 192.168.13.0/24 .3 192.168.3.1/24
R1 R3

Loopback2 Loopback2
192.168.11.1/24 192.168.33.1/24

Hình 4 – Kết nối tạo thêm giữa R1 và R3.

• Cấu hình định tuyến tĩnh (static route) trên sơ đồ hình 4 đảm bảo hai router R1 và R3 có
thể đi đến được các loopback 1 và loopback 2 của nhau. Kết quả kiểm tra phải đạt được
như sau (10đ):
R1#ping 192.168.3.1 <- R1 ping thành công loopback 1 của R3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#ping 192.168.33.1 <- R1 ping thành công loopback 2 của R3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.33.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#show ip arp | inc 0/2.13 <- Bảng ARP của R1
Internet 192.168.13.1 - aabb.cc00.0120 ARPA Ethernet0/2.13
Internet 192.168.13.3 0 aabb.cc00.0300 ARPA Ethernet0/2.13
======================================================================================
R3#ping 192.168.1.1 <- R3 ping thành công loopback 1 của R1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R3#ping 192.168.11.1 <- R3 ping thành công loopback 2 của R1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R3#show ip arp | inc 0/0.13 <- Bảng ARP của R3
Internet 192.168.1.1 1 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.11.1 1 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.13.1 3 aabb.cc00.0120 ARPA Ethernet0/0.13
Internet 192.168.13.3 - aabb.cc00.0300 ARPA Ethernet0/0.13

Gợi ý bảng ARP của R1 chỉ xuất hiện 1 dòng địa chỉ MAC của 192.168.13.3 (IP next-
hop) là R1 đã có thể đi đến được tất cả các mạng bên R3.
Bảng ARP của R3 xuất hiện nhiều dòng địa chỉ MAC của các IP tương ứng trong lệnh
Ping, do R3 không biết địa chỉ next-hop trong bảng định tuyến.
• Thực hiện thiết lập sơ đồ IPv6 giữa R1 và R3 như hình 5. Sử dụng một hình thức định
tuyến IPv6 bất kỳ đảm bảo mọi địa chỉ IPv6 trên sơ đồ thấy nhau. (5đ)

Loopback1 E0/2.13 VLAN 13 E0/0.13 Loopback1

2016:1::1/64 R1 2016:13::1/64 2016:13::3/64 R3 2016:3::1/64

Hình 5 – Sơ đồ IPv6.
12. Automation (5đ):
• Hãy dùng phần mềm POSTMAN để lấy token từ APIC-EM với IP 10.215.26.9. Sau đó
dùng Token đó để liệt kê thiết bị có trong APIC-EM này.

*** GOOD LUCK ! ***