báo cáo cuối kỳ - đề tài "nghiên cứu cơ chế routing của cisco mô phỏng...

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP.HCM

KHOA ĐIỆN TỬ VIỄN THÔNG

----------

BÁO CÁO ĐỀ TÀI THỰC TẬP

NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO MÔ

PHỎNG TRÊN NỀN GNS3

Đơn Vị Thực Tập:

TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH

MẠNG QUỐC TẾ ATHENA

Thời gian:

09/07/2014 – 09/09/2014

GVHD : VÕ ĐỖ THẮNG

SVTH : ĐÀM VĂN SÁNG

MSSV : 1120144

TP.HCM -Tháng 09/2014

i

SVTH: Đàm Văn Sáng

LỜI CẢM ƠN

Khoa Điện Tử - Viễn Thông

Em xin chân thành cảm ơn quý Thầy Cô Khoa Điện Tử Viễn Thông - Trường

Đại Học Khoa Học Tự Nhiên TP.HCM đã truyền đạt vốn kiến thức quý báu cho

em trong suốt thời gian học tập tại trường.

Bước đầu đi vào thực tế, tìm hiểu, kiến thức của em còn hạn chế và còn

nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, em rất

mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô để em có thể

hoàn thiện tốt hơn.

Sau cùng, em xin kính chúc quý Thầy Cô Khoa Điện Tử Viễn Thông -

Trường Đại Học Khoa Học Tự Nhiên TP.HCM thật dồi dào sức khỏe để có thể

hướng dẫn, truyền đạt kinh nghiệm quý báu, dẫn dắt đạt được những thành công

sau này cho chúng em.

Em xin chân thành cảm ơn!

Ngày……..tháng ……năm 2014

Sinh viên thực hiện

Đàm Văn Sáng

ii


LỜI CẢM ƠN

T.T Đào Tạo Quản Trị Mạng Và An Ninh Mạng Quốc Tế Athena

Em xin chân thành cảm ơn tới:

Thầy Võ Đỗ Thắng Giám đốc T.T Đào Tạo Quản Trị Mạng Và An Ninh

Mạng Quốc Tế Athena đã đồng ý tiếp nhận em thực tập tại T.T Đào Tạo Quản Trị

Mạng Và An Ninh Mạng Quốc Tế Athena.

Quý Thầy cô và các anh chị trong T.T Đào Tạo Quản Trị Mạng Và An Ninh

Mạng Quốc Tế Athena đã tận tình hướng dẫn em trong thời gian thực tập và hoàn

thành bài báo cáo này.

Ngày……tháng ……năm 2014

Sinh viên thực hiện

Đàm Văn Sáng

Thầy hướng dẫn và sinh viên thực tập.

iii


NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP

Họ và tên CBHD thực tập: ........................................................................................

Cơ quan thực tập: ......................................................................................................

Địa chỉ: ......................................................................................................................

Điện thoại: ............................................... Fax: ..........................................................

Email: .................................................... Website: ...................................................

Nhận xét báo cáo thực tập của học sinh/sinh viên: ...................................................

Lớp: .................................................... Khoa: ......................................................

Tên đề tài thực tập: ...................................................................................................

Thời gian thực tập: từ ngày .................... đến ngày ...................................................

Nội dung nhận xét: ...........................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

Điểm (số):

TP.Hồ Chí Minh ngày…..tháng…..năm 2014

Cán bộ hướng dẫn

(Ký tên và ghi họ tên)

VÕ ĐỖ THẮNG

iv


NHẬN XÉT CỦA CHỦ NHIỆM BỘ MÔN

Họ và tên giảng viên hướng dẫn: ..............................................................................

Nhận xét báo cáo thực tập của học sinh/sinh viên: ...................................................

Lớp: ........................................ Khoa: .....................................................................

Tên đề tài thực tập: ...................................................................................................

Nội dung nhận xét: ...........................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

.............................................................................................................................................

Điểm (số):

TP.Hồ Chí Minh ngày…..tháng…..năm 2014

Giảng viên hướng dẫn

(Ký tên và ghi họ tên)

ĐẶNG LÊ KHOA

LỜI NÓI ĐẦU

v


LỜI NÓI ĐẦU

Ngày nay, với sự phát triển của công nghệ Internet, nhu cầu về các sản phẩm

của Cisco bùng phát và nhanh chóng công ty Cisco trở nên thống trị thị trường

Internet. Bên cạnh đó thì Cisco cũng phát triển các cơ chế Routing đảm bảo cung

cấp cho người dùng thiết bị có một hệ thống mạng xuyên suốt, đảm bảo an toàn và

độ bảo mật cao. Đề tài “NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO MÔ

PHỎNG TRÊN GNS3” giúp chúng ta phần nào hiểu rõ hơn về cơ chế định tuyến

của cisco qua đó có thể áp dụng vào thực tế học tập cũng như làm việc sau này.

Được sự hỗ trợ từ phía nhà trường – Đại Học Khoa Học Tự Nhiên Thành

Phố Hồ Chí Minh – và sự tiếp nhận của Trung tâm Đào Tạo Quản Trị Mạng Và An

Ninh Mạng Quốc Tế Athena để em được thực tập theo đúng chuyên ngành của

mình nhằm tìm hiểu kiến thức thực tế, bổ sung thêm kiến thức lý thuyết được học

tại trường.

Em cam kết bài báo này được hoàn thành trong thời gian thực tập tại Trung

tâm Đào Tạo Quản Trị Mạng Và An Ninh Mạng Quốc Tế Athena dưới sự hướng

dẫn, giúp đỡ của thầy Võ Đỗ Thắng, cùng các anh chị nhân viên tại Trung Tâm và

nội dung bài báo cáo hoàn toàn do em tự làm, không sao chép của bất cứ ai. Mặc

dù đã cố gắng nhưng không thể tránh khỏi sai sót. Em mong được sự hướng dẫn,

nhận xét từ quý thầy cô.

Em xin chân thành cảm ơn!

DANH SÁCH CLIP BÁO CÁO THỰC TẬP

vi


DANH SÁCH BÁO CÁO THỰC TẬP

Danh sách báo cáo hàng tuần bằng file word:

Tuần 1: Tìm hiểu cài đặt và cách sử dụng GNS3.

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-1-ti-athena-m-vn-sng

Tuần 2: Cấu hình định tuyến tĩnh (Static Route).


Tuần 3: Cấu hình RIPv2.

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-3-ti-athena-cu-hnh-rip-m-

vn-sng

Tuần 4: Cấu hình OSPF.

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-4-ospf-m-vn-sng

Tuần 5: Cấu hình EIGRP và ACL.

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-5-eigrp-v-acl-m-vn-sng

Tuần 6: Tìm hiểu VPN và cấu hình VPN client to Site


Tuần 7-8: Thực hiện cấu hình Trên môi trường Internet

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-7-8-ti-athena-m-vn-sng

Báo cáo cuối kỳ:

http://www.slideshare.net/mVnSng/bo-co-thc-tp-cui-k-m-vn-sng

Danh sách Clip báo cáo hàng tuần trên Youtube:

https://www.youtube.com/channel/UCRp3FghXzFW0mMUQFIJC28A/videos



http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-3-ti-athena-cu-hnh-rip-m-vn-sng

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-3-ti-athena-cu-hnh-rip-m-vn-sng

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-4-ospf-m-vn-sng

http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-5-eigrp-v-acl-m-vn-sng


http://www.slideshare.net/mVnSng/bo-co-thc-tp-tun-7-8-ti-athena-m-vn-sng

http://www.slideshare.net/mVnSng/bo-co-thc-tp-cui-k-m-vn-sng

https://www.youtube.com/channel/UCRp3FghXzFW0mMUQFIJC28A/videos

MỤC LỤC

vii


MỤC LỤC LỜI CẢM ƠN ......................................................................................................... i

NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP ........................................................... iii

NHẬN XÉT CỦA CHỦ NHIỆM BỘ MÔN ...................................................... iv

LỜI NÓI ĐẦU ....................................................................................................... v

DANH SÁCH BÁO CÁO THỰC TẬP .............................................................. vi

MỤC LỤC ........................................................................................................... vii

DANH MỤC HÌNH ẢNH .................................................................................... x

GIỚI THIỆU T.T ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH MẠNG

QUỐC TẾ ATHENA ............................................................................................ 1

TRỤ SỞ CHÍNH VÀ CÁC CHI NHÁNH ........................................................... 2

NHIỆM VỤ CHỨC NĂNG HOẠT ĐỘNG ......................................................... 3

CÁC SẢN PHẨM ................................................................................................ 3

CƠ CẤU TỔ CHỨC ............................................................................................. 6

CHƯƠNG 1: NỘI DUNG ĐỀ TÀI THỰC TẬP .......................................... 7

1.1. Nội dung để tài thực tập................................................................................ 7

CHƯƠNG 2: CÁCH CÀI ĐẶT GNS3 VÀ GIẢ LẬP ROUTER ................ 8

2.1. Giới thiệu về GNS3 và cách download phần mềm GNS3 ........................... 8

2.1.1. Giới thiệu về GNS3 ................................................................................. 8

2.1.2. Cách download phần mềm GNS3 ........................................................... 9

2.2. Hướng dẫn cài đặt GNS3 ............................................................................ 10

2.3. Cấu hình GNS3 ........................................................................................... 14

2.3.1. Test Dynamic ......................................................................................... 15

2.3.2. Load file IOS ......................................................................................... 15

2.4. Giả lập Router Cisco trên GNS3 ................................................................ 17

CHƯƠNG 3: CÁC CÂU LỆNH CẤU HÌNH CƠ BẢN ............................ 18

3.1. Tổng quan hệ điều hành CISCO IOS ......................................................... 18

3.1.1. Kiến trúc hệ thống ................................................................................. 18

3.1.2. Các loại bộ nhớ của Router Cisco ......................................................... 18

3.2. Các câu lệnh cơ bản .................................................................................... 20

3.2.1. Các mode dòng lệnh .............................................................................. 20

3.2.2. Đặt mật khẩu truy nhập cho Router ....................................................... 21

3.2.3. Lệnh cơ bản Router Cisco ..................................................................... 25

CHƯƠNG 4: ĐỊNH TUYẾN TĨNH (STATIC ROUTE) .......................... 27

4.1. Giới thiệu về Static Route ........................................................................... 27

4.2. Phân loại Static route .................................................................................. 27

4.2.1. Standard Static route .............................................................................. 27

4.2.2. Default Static route ................................................................................ 28

4.2.3. Summary Static route ............................................................................ 29

4.2.4. Floating Static route .............................................................................. 30

MỤC LỤC

viii


4.3. Thực hành cấu hình định tuyến tĩnh (static route) ...................................... 31

4.3.1. Mô hình thực hành ................................................................................. 31

4.3.2. Yêu cầu bài thực hành ........................................................................... 31

4.3.3. Các bước thực hành cấu hình Static Route ............................................ 32

CHƯƠNG 5: ĐỊNH TUYẾN ĐỘNG (DYNAMIC ROUTE) .................... 34

5.1. Giới thiệu định tuyến động ......................................................................... 34

5.2. Giao thức RIP (routing information protocol) ............................................ 34

5.2.1. Định nghĩa ............................................................................................. 34

5.2.2. Hoạt động của RIP ................................................................................. 35

5.2.3. RIPv2 ..................................................................................................... 35

5.2.4. Thực hành cấu hình RIPv2 .................................................................... 36

5.3. Giao thức định tuyến EIGRP và ACL ........................................................ 41

5.3.1. Định nghĩa giao thức EIGRP ................................................................. 41

5.3.2. Đặc điểm giao thức EIGRP ................................................................... 41

5.3.3. Thiết lập quan hệ láng giềng trong EIGRP ........................................... 42

5.3.4. Tính toán metric với EIGRP .................................................................. 42

5.3.5. Xác thực MD5 với EIGRP .................................................................... 43

5.3.6. Định nghĩa về ACL ............................................................................... 44

5.3.7. Phân loại ACL. ...................................................................................... 44

5.3.8. Thực hành Cấu hình EIGRP và ACL .................................................... 45

5.4. Giao thức định tuyến OSPF ........................................................................ 51

5.4.1. Định nghĩa giao thức OSPF ................................................................... 51

5.4.2. Area-id ................................................................................................... 52

5.4.3. Tính toán metric với OSPF .................................................................... 53

5.4.4. Lệnh trong cấu hình OSPF .................................................................... 53

5.4.5. Thực hành cấu hình định tuyến OSPFv2 ............................................... 54

CHƯƠNG 6: MẠNG RIÊNG ẢO (VIRTUAL PRIVATE NETWORK) 59

6.1. Khái niệm mạng riêng ảo VPN................................................................... 59

6.2. Phân loại mạng riêng ảo VPN .................................................................... 59

6.2.1. VPN Remote-Access ............................................................................. 59

6.2.2. VPN Site-to-Site .................................................................................... 60

6.3. Lợi ích của VPN ......................................................................................... 61

6.4. Các thành phần cần thiết để tạo kết nối VPN ............................................. 61

6.5. Thực hành cấu hình mô hình VPN Client to Site ....................................... 62

6.5.1. Mô hình cấu hình VPN Client to Site .................................................... 62

6.5.2. Yêu cầu thực hành ................................................................................. 62

6.5.3. Cấu hình VPN Client to Sites ................................................................ 63

MỤC LỤC

ix


CHƯƠNG 7: THỰC HIỆN TRÊN MÔI TRƯỜNG INTERNET............ 70

7.1. Mô hình thực hiện ....................................................................................... 70

7.2. Yêu cầu cấu hình trên internet .................................................................... 70

7.3. Cấu hình trên môi trường Internet .............................................................. 71

7.3.1. Tạo FTP server ...................................................................................... 71

7.3.2. Tạo Web server ...................................................................................... 72

7.3.3. Cài đặt File server .................................................................................. 73

7.3.4. Cấu hình ................................................................................................. 74

7.4. Kiểm tra thực hiện cấu hình trên môi trường Internet ................................ 76

7.4.1. Kết nối giữa các máy và mạng Internet ................................................. 76

7.4.2. Kiểm tra các yêu cầu cấu hình ............................................................... 77

DANH MỤC TÀI LIỆU THAM KHẢO .......................................................... 79

DANH MỤC HÌNH ẢNH

x



Hình i: Ảnh Trung Tâm Athena .............................................................................. 1

Hình ii: Cơ cấu tổ chức .......................................................................................... 6

Hình 2.1: Phần mềm GNS3 .................................................................................. 10

Hình 2.2: Chấp nhận cài đặt GNS3. .................................................................... 10

Hình 2.3: Thư mục cài đặt. .................................................................................. 11

Hình 2.4: Các phần mềm cài đặt GNS3. .............................................................. 11

Hình 2.5: Vị trí lưu phần mềm GNS3. .................................................................. 12

Hình 2.6: Cài đặt WinPcap. ................................................................................. 12

Hình 2.7: Cài đặt Wireshark. ............................................................................... 13

Hình 2.8: Hoàn tất cài đặt GNS3. ........................................................................ 13

Hình 2.9: Giao diện cấu hình GNS3. ................................................................... 14

Hình 2.10: Kiểm tra Dynamips. ........................................................................... 15

Hình 2.11: Load file IOS. ..................................................................................... 15

Hình 2.12: Vị trí lưu file IOS (tùy vào từng vị trí mà ta lưu ISO). ...................... 16

Hình 2.13: Lưu cấu hình file IOS. ........................................................................ 16

Hình 2.14: Giả lập Router Cisco trên GNS3. ...................................................... 17

Hình 2.15: Cài đặt Idle PC. ................................................................................. 17

Hình 4.1: Standard static route ............................................................................ 27

Hình 4.2: Default static route .............................................................................. 28

Hình 4.3: Summary static routing ........................................................................ 29


xi


Hình 4.4: Floating static route ............................................................................ 30

Hình 4.5: Cấu hình Static route ........................................................................... 31

Hình 5.1: Quá trình hoạt động của RIP ............................................................... 35

Hình 5.2: Mô hình thực hành RIPv2 .................................................................... 36

Hinh 5.3: Kết quả ping từ PC1 đến PC2 (RIPv2) ................................................ 40

Hinh 5.4: Kết quả ping từ PC1 đến PC3 (RIPv2) ................................................ 40

Hình 5.5: Mô hình thực hành cấu hình EIGRP và ACL ...................................... 45

Hình 5.6: Kết quả ping từ PC1 đến PC4 (EIGRP) .............................................. 50

Hình 5.7: Kết quả ping từ PC1 sang PC4 sau khi cấu hình ACL. ....................... 50

Hình 5.8: Area-id ................................................................................................. 52

Hình 5.9: Mô hình Lab cấu hình OSPF. .............................................................. 54

Hình 5.10: Kết quả Ping đến PC2 sau khi cấu hình OSPFv2. ............................ 58

Hình 5.11: Kết quả ping đến PC ISP sau khi cấu hình OSPFv2 ......................... 58

Hình 6.1: Remote User Access ............................................................................. 59

Hình 6.2: VPN Site -to -Site ................................................................................. 60

Hình 6.3: Mô hình VPN Client to Site ................................................................. 62

Hình 6.4: Tạo kết nối VPN sử dụng phần mềm VPN client ................................. 68

Hình 6.5: Tạo kết nối VPN thành công ................................................................ 69

Hình 6.6: Kết quả ping giữa máy May-Client và máy May-XP ........................... 69

Hình 7.1: Mô hình thực hiện trên internet ........................................................... 70

Hình 7.2: Cài đặt FTP server ............................................................................... 71


xii


Hình 7.3: Cài đặt Web server .............................................................................. 72

Hình 7.4: Manage Your Server ............................................................................ 73

Hình 7.5: Tạo file server ...................................................................................... 73

Hình 7.6: Quản lý file server ............................................................................... 73

Hình 7.7: Kết quả Kết nối giữa các máy .............................................................. 76

Hình 7.8: Kết quả Kết nối giữa các máy và mạng Iternet ................................... 76

Hình 7.9: Kết quả máy VM1 truy cập Web server ............................................... 77

Hình 7.10: Kết quả máy VM1 truy cập FTP server ............................................. 77

Hình 7.11: Kết quả máy VM1 truy cập File server .............................................. 77

Hình 7.12: Kết quả máy VM2 truy cập Web server ............................................. 78

Hình 7.13: Máy VM2 bị chặn truy cập FTP server ............................................. 78

GIỚI THIỆU T.T ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ

ATHENA

1


GIỚI THIỆU T.T ĐÀO TẠO QUẢN TRỊ MẠNG VÀ AN NINH

MẠNG QUỐC TẾ ATHENA

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA,

tiền thân là Công ty TNHH Tư vấn và Đào tạo quản trị mạng Việt Năng, (tên thương

hiệu viết tắt là TRUNG TÂM ĐÀO TẠO ATHENA), được chính thức thành lập

theo giấy phép kinh doanh số 4104006757 của Sở Kế Hoạch Đầu Tư Tp Hồ Chí

Minh cấp ngày 04 tháng 11 năm 2008.

Hình i: Ảnh Trung Tâm Athena

Tên giao dịch nước ngoài: ATHENA ADVICE TRAINING NETWORK

SECURITY COMPANY LIMITED.

ATHENA là một tổ chức quy tụ nhiều trí thức trẻ Việt Nam đầy năng động,

nhiệt huyết và kinh nghiệm trong lĩnh vực công nghệ thông tin. Với quyết tâm góp

phần vào công cuộc thúc đẩy tiến trình tin học hóa của nước nhà.


ATHENA

2


TRỤ SỞ CHÍNH VÀ CÁC CHI NHÁNH

Trụ sở chính

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA.

Số 2 Bis Đinh Tiên Hoàng, Phường Đa Kao, Tp Hồ Chí Minh, Việt Nam.

Điện thoại: (84-8) 3824 4041.

Hotline: 094 323 00 99.

Cơ sở 2 tại TP Hồ Chí Minh

Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA

92 Nguyễn Đình Chiểu, Phường Đa Kao, Quận 1, Tp Hồ Chí Minh, Việt

Nam.

Website: www.Athena.Edu.Vn

Điện thoại: (84-8) 2210 3801.

Hotline: 094 320 00 88.

http://www.athena.edu.vn/


ATHENA

3


NHIỆM VỤ CHỨC NĂNG HOẠT ĐỘNG

Trung tâm Athena đã và đang tập trung chủ yếu vào đào tạo chuyên sâu quản

trị mạng, an ninh mạng, thương mại điện tử theo các tiêu chuẩn quốc tế của các

hãng nổi tiếng như Microsoft, Cisco, Oracle, Linux LPI, CEH,...Song song đó,

Trung tâm Athena còn có những chương trình đào tạo cao cấp và cung cấp nhân sự

CNTT, quản trị mạng, an ninh mạng chất lượng cao theo đơn đặt hàng của các đơn

vị như Bộ Quốc Phòng, Bộ Công An, ngân hàng, doanh nghiệp, các cơ quan chính

phủ, tổ chức,…

Ngoài chương trình đào tạo, Trung tâm Athena còn có nhiều chương trình

hợp tác và trao đổi công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành

Phố Hồ Chí Minh, Học Viện An Ninh Nhân Dân (Thủ Đức), Học Viện Bưu Chính

Viễn Thông, Hiệp hội an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự,......

CÁC SẢN PHẨM

Các khóa học dài hạn:

Chương trình đào tạo chuyên gia an ninh mạng, (AN2S) Athena network

security specialist.

Chương trình Quản trị viên an ninh mạng, (ANST) Athena network security

Technician.

Chuyên viên quản trị mạng nâng cao, (ANMA) Athena network manager

Administrator.


ATHENA

4


Các khóa học ngắn hạn

+ Khóa Quản trị mạng

• Quản trị mạng Microsoft căn bản ACBN.

• Quản trị hệ thống mạng Microsoft MCSA Security.

• Quản trị mạng Microsoft nâng cao MCSE.

• Quản trị window Vista.

• Quản trị hệ thống Window Server 2008, 2012.

• Lớp Master Exchange Mail Server.

• Quản trị mạng quốc tế Cissco CCNA.

• Quản trị hệ thống mạng Linux 1 và Linux 2.

+ Khóa thiết kế web và bảo mật mạng

• Xây dựng, quản trị web thương mại điện tử với Joomla và

VirtuMart.

• Lập trình web với Php và MySQL.

• Bảo mật mạng quốc tế ACNS.

• Hacker mũ trắng.

• Athena Mastering Firewall Security.

• Bảo mật website.


ATHENA

5


Các sản phẩm khác

• Chuyên đề thực hành sao lưu và phục hồi dữ liệu.

• Chuyên đề thực hành bảo mật mạng Wi_Fi.

• Chuyên đề Ghost qua mạng.

• Chuyên đề xây dựng và quản trị diễn đàn.

• Chuyên đề bảo mật dữ liệu phòng chống nội gián.

• Chuyên đề quản lý tài sản công nghệ thông tin.

• Chuyên đề kỹ năng thương mại điện tử.

• Các dịch vụ hỗ trợ.

• Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn.

• Giới thiệu việc làm cho mọi học viên.

• Thực tập có lương cho học viên khá giỏi.

• Ngoài giờ học chính thức, học viên được thực hành thêm miễn

phí, không giới hạn thời gian.

• Hỗ trợ thi Chứng chỉ Quốc tế.


ATHENA

6


CƠ CẤU TỔ CHỨC

Hình ii: Cơ cấu tổ chức

CHƯƠNG 1: NỘI DUNG ĐỀ TÀI THỰC TẬP

7


CHƯƠNG 1: NỘI DUNG ĐỀ TÀI THỰC TẬP

1.1. Nội dung để tài thực tập

Khi bước vào môi trường thực tập tại đơn vị thì công việc được phân công

rõ ràng với đề tài mình tự chọn. Tên đề tài thực tập là Nghiên cứu cơ chế Routing

của Cisco mô phỏng trên nền GNS3. Nội dung đề tài bao gồm:

• Tìm hiểu cách cài đặt và giả lập router cisco trên nền GNS3.

• Tìm hiểu các câu lệnh cấu hình căn bản (các mode dòng lệnh, cách

gán IP vào interface, kiểm tra các thông số IP).

• Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động.

• Thực hiện các mô hình lab static route.

• Thực hiện các mô hình lab RIPv2, OSPF, EIGRP.

• Cấu hình VPN client-to-site.

• Thực hiện trên Server VPS.

CHƯƠNG 2: TÌM HIỂU CÁCH CÀI ĐẶT GNS3 VÀ GIẢ LẬP ROUTER

8


CHƯƠNG 2: CÁCH CÀI ĐẶT GNS3 VÀ GIẢ LẬP ROUTER

2.1. Giới thiệu về GNS3 và cách download phần mềm GNS3

2.1.1. Giới thiệu về GNS3

GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network

simulator) cho phép dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên

chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame

Relay/Ethernet switch và hub. Ta thậm chí có thể mở rộng mạng của mình bằng

cách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trên

Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thông

thông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về

tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG

(Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc

thiết kế mô hình mạng.

- Phần mềm này được viết ra nhằm:

• Giúp mọi người làm quen với thiết bị Cisco.

• Kiểm tra và thử nghiệm những tính năng trong cisco IOS.

• Test các mô hình mạng trước khi đi vào cấu hình thực tế.


9


2.1.2. Cách download phần mềm GNS3

Để sử dụng GNS3, ta có thể download tại đây: http://www.gns3.net/download/

Với người dùng Windows:

Người mới sử dụng GNS3 được đề nghị cài đặt gói GNS3 all-in-one,

bao gồm Dynamips, Winpcap, Qemu/Pemu, Putty, VPCS và Wireshark giúp ta

không cần phải cài Python, PyQt và Qt. Nó cũng cung cấp tính năng Explorer

“tích hợp” nên bạn có thể double-click lên tập tin network để chạy chúng.

Nó cung cấp mọi thứ bạn cần để có thể chạy được GNS3 trên máy cá nhân

hay máy ở xa

Với người dùng Linux:

Người dùng Linux cần download Dynamips và giải nén vào một chỗ thích

hợp. Cài đặt những gói phụ thuộc của GNS3 và sau đó chạy GNS3. Người dùng

cũng có thể thử phiên bản binar y dành cho Linux, giúp không cần phải cài Python,

PyQt và Qt. GNS3 cũng có thể được sử dụng để thử nghiệm các tính năng của

Cisco IOS, Juniper JunOS hoặc kiểm tra cấu hình mà đã được triển khai trên router

thật. Nhờ tích hợp với VirtualBox mà ngày nay ngay cả những kỹ sư hệ thống

và quản trị viên có thể tận dụng lợi thế của GNS3 để làm những thí nghiệm và

học tập trên Redhat (RHCE, RHCT), Microsoft (MSCE, MSCA), Novell (CLP)

và nhiều chứng nhận nhà cung cấp khác.

http://www.gns3.net/download/


10


2.2. Hướng dẫn cài đặt GNS3

Kích đúp chuột vào file vừa download về (version hiện tại là v0.8.7) và tiến

hành cài đặt bình thường theo chế độ mặc định bằng cách nhấn Next.

Hình 2.1: Phần mềm GNS3

Nhấn I Agree để tiếp tục.

Hình 2.2: Chấp nhận cài đặt GNS3.


11


Nhấn Next để tiếp tục.

Hình 2.3: Thư mục cài đặt.

Các phần mềm cài đặt cùng GNS3. Nhấn Next.

Hình 2.4: Các phần mềm cài đặt GNS3.


12


Nhấn Install để bắt đầu cài đặt.

Hình 2.5: Vị trí lưu phần mềm GNS3.

Nhấn OK để cài Winpcap.

Hình 2.6: Cài đặt WinPcap.


13


Tiếp theo nhấn Next để tiến hành cài Wireshark.

Hình 2.7: Cài đặt Wireshark.

Nhấn Finish hoàn tất cài đặt phần mềm GNS3.

Hình 2.8: Hoàn tất cài đặt GNS3.


14


2.3. Cấu hình GNS3

Sau khi cài đặt GNS3 thì ta cấu hình GNS3 theo hình sau:

Hình 2.9: Giao diện cấu hình GNS3.

1. Kiểm tra đường dẫn hoạt động tốt chưa.

2. Kiểm tra xem Dynamips hoạt động đúng hay chưa.

3. Thêm File IOS.


15


2.3.1. Test Dynamic

Tìm đường dẫn đến thư mục dynamips trong thư mục lưu GNS3.

Bấm vào Test để Kiểm tra xem Dynamips đã họat động đúng chưa:

Hình 2.10: Kiểm tra Dynamips.

2.3.2. Load file IOS

Vào edit chọn như hình sau:

Hình 2.11: Load file IOS.


16


Chọn đường dẫn đến vị trí lưu file IOS.

Hình 2.12: Vị trí lưu file IOS (tùy vào từng vị trí mà ta lưu ISO).

Kich Save ....=> close.

Hình 2.13: Lưu cấu hình file IOS.


17


2.4. Giả lập Router Cisco trên GNS3

Sau khi cài đặt GNS3 thì ta có thể sử dụng Router Cisco kéo chuột đến biểu

tưởng Router và kéo giữ chuột tại một vị trí bên phải (Click chuột phải) :

Hình 2.14: Giả lập Router Cisco trên GNS3.

Cài đặt Idle PC giảm tốc độ CPU (chọn dòng có dấu *) - click chuột phải

Hình 2.15: Cài đặt Idle PC.

CHƯƠNG 3: CÁC CÂU LỆNH CẤU HÌNH CƠ BẢN

18



3.1. Tổng quan hệ điều hành CISCO IOS

3.1.1. Kiến trúc hệ thống

Giống như là 1 máy tính, router có 1 CPU có khả năng xử lý các câu lệnh

dựa trên nền tảng của router. Hai ví dụ về bộ xử lý mà Cisco dùng là Motorola

68030 và Orion/R4600. Phần mềm Cisco IOS chạy trên Router đòi hỏi CPU hay

bộ vi xử lý để giải quyết việc định tuyến và bắc cầu, quản lý bảng định tuyến và

một vài chức năng khác của hệ thống. CPU phải truy cập vào dữ liệu trong bộ nhớ

để giải quyết các vấn đề hay lấy các câu lệnh.

3.1.2. Các loại bộ nhớ của Router Cisco

ROM: là bộ nhớ tổng quát trên một con chip hoặc nhiều con. Nó còn có thể

nằm trên bảng mạch bộ vi xử lý của router. Nó chỉ đọc nghỉa là dữ liệu không thể

ghi lên trên nó. Phần mềm đầu tiên chạy trên một router Cisco được gọi là bootstrap

software và thường được lưu trong ROM. Bootstrap software được gọi khi router

khởi động.

Flash: bộ nhớ Flash nằm trên bảng mạch SIMM nhưng nó có thể được mở

rộng bằng cách sử dụng thẻ PCMCIA (có thể tháo rời). Bộ nhớ flash hầu hết được

sử dụng để lưu trữ một hay nhiều bản sao của phần mềm Cisco IOS. Các file cấu

hình hay thông tin hệ thống cũng có thể được sao chép lên flash. Ở vài hệ thống

gần đây, bộ nhớ flash còn được sử dụng để giữ bootstrap software. Flash memory

chứa Cisco IOS software image. Đối với một số loại, Flash memory có thể chứa

các file cấu hình hay boot image. Tùy theo loại mà Flash memory có thể là

EPROMs, single in-line memory (SIMM) module hay Flash memory card. Một số

loại router có từ 2 Flash memory trở lên dưới dạng single in-line memory modules

(SIMM). Nếu như SIMM có 2 bank thì được gọi là dual-bank Flash memory. Các

bank này có thể được phân thành nhiều phần logic nhỏ.


19


RAM: là bộ nhớ rất nhanh nhưng nó làm mất thông tin khi hệ thống khởi

động lại. Nó được sử dụng trong máy PC để lưu các ứng dụng đang chạy và dữ

liệu. Trên router, RAM được sử để giữ các bảng của hệ điều hành IOS và làm bộ

đệm. RAM là bộ nhớ cơ bản được sử dụng cho nhu cầu lưu trữ các hệ điều hành.

NVRAM: Trên router, NVRAM được sử dụng để lưu trữ cấu hình khởi

động. Đây là file cấu hình mà IOS đọc khi router khởi động. Nó là bộ nhớ cực kỳ

nhanh và liên tục khi khởi động lại.

Mặc dù CPU và bộ nhớ đòi hỏi một số thành phần để chạy hệ điều hành

IOS, router cần phải có các interface khác nhau cho phép chuyển tiếp các packet.

Các interface nhận vào và xuất ra các kết nối đến router mang theo dữ liệu cần thiết

đến router hay switch. Các loại interface thường dùng là Ethernet và Serial. Tương

tự như là các phần mềm driver trên máy tính với cổng parallel và cổng USB, IOS

cũng có các driver của thiết bị để hỗ trợ cho các loại interface khác nhau.

Tất cả các router của Cisco có một cổng console cung cấp một kết nối

serial không đồng bộ EIA/TIA-232. Cổng console có thể được kết nối tới máy tính

thông qua kết nối serial để làm tăng truy cập đầu cuối tới router. Hầu hết các router

đều có cổng auxiliary, nó tương tự như cổng console nhưng đặc trưng hơn, được

dùng cho kết nối modem để quản lý router từ xa.


20


3.2. Các câu lệnh cơ bản

3.2.1. Các mode dòng lệnh

Cisco có 3 mode lệnh, với từng mode sẽ có quyền truy cập tới những bộ lệnh

khác nhau:

User mode: Đây là mode đầu tiên mà người sử dụng truy cập vào sau khi

đăng nhập vào router. User mode có thể được nhận ra bởi ký hiệu > ngay sau tên

router. Mode này cho phép người dùng chỉ thực thi được một số câu lệnh cơ bản

chẳng hạn như xem trạng thái của hệ thống. Hệ thống không thể được cấu hình hay

khởi động lại ở mode này.

Privileged mode: mode này cho phép người dùng xem cấu hình của hệ

thống, khởi động lại hệ thống và đi vào mode cấu hình. Nó cũng cho phép thực thi

tất cả các câu lệnh ở user mode. Privileged mode được nhận biết bởi ký hiệu # ngay

sau tên router. Người sử dụng sẽ gõ câu lệnh enable để cho IOS biết là họ muốn đi

vào Privileged mode từ User mode. Nếu enable password hay enabel secret

password được cài đặt, nguời sử dụng cần phải gõ vào đúng mật khẩu thì mới có

quyền truy cập vào privileged mode.

Configuration mode: mode này cho phép người sử dụng chỉnh sửa cấu hình

đang chạy. Để đi vào configuration mode, gõ câu lệnh configure terminal từ

privileged mode. Configuration mode có nhiều mode nhỏ khác nhau, bắt đầu với

global configuration mode, nó có thể được nhận ra bởi ký hiệu (config)# ngay sau

tên router. Các mode nhỏ trong configuration mode thay đổi tuỳ thuộc vào bạn

muốn cấu hình cái gì, từ bên trong ngoặc sẽ thay đổi. Chẳng hạn khi bạn muốn vào

mode interface, ký hiệu sẽ thay đổi thành (config-if)# ngay sau tên router. Để thoát

khỏi configuration mode, ta có thể gõ end hay nhấn tổ hợp phím Ctrl-Z.


21


Chú ý ở các mode, tuỳ vào tình huống cụ thể mà câu lệnh ? tại các vị trí sẽ

hiển thị lên các câu lệnh có thể có ở cùng mức. Ký hiệu ? cũng có thể sử dụng ở

giữa câu lệnh để xem các tuỳ chọn phức tạp của câu lệnh.

3.2.2. Đặt mật khẩu truy nhập cho Router

Giới thiệu: Bảo mật là một yếu tố rất quan trọng trong network,vì thế nó rất

đựơc quan tâm và sử dụng mật khẩu là một trong những cách bảo mật rất hiệu

quả.Sử dụng mật khẩu trong router có thể giúp ta tránh được những sự tấn công

router qua những phiên Telnet hay những sự truy cập trục tiếp vào router để thay

đổi cấu hình mà ta không mong muốn từ người lạ.

Mục đích: Cài đặt được mật khẩu cho router, khi đăng nhập vào, router phải

kiểm tra các loại mật khẩu cần thiết.

Các cấp độ mã hóa của mật khẩu:

Cấp độ 5 : mã hóa theo thuật toán MD5, đây là loại mã hóa 1 chiều, không

thể giải mã được(cấp độ này được dùng để mã hoá mặc định cho mật khẫu enable

secret gán cho router)

Cấp độ 7 : mã hóa theo thuật toán MD7, đây là loại mã hóa 2 chiều,có thể

giải mã được(cấp độ này được dùng để mã hóa cho các loại password khác khi

cần như: enable password,line vty,line console…)

Cấp độ 0 : đây là cấp độ không mã hóa.

Qui tắc đặt mật khẩu: mật khẩu truy nhập phân biệt chữ hoa,chữ

thường,không quá 25 kí tự bao gồm các kí số,khoảng trắng nhưng không được sử

dụng khoảng trắng cho kí tự đầu tiên.


22


Các loại mật khẩu cho Router

Enable secret : nếu đặt loai mật khẩu này cho Router,bạn sẽ cần phải khai

báo khi đăng nhập vào chế độ user mode ,đây là loại mật khẩu có hiệu lực cao nhất

trong Router,được mã hóa mặc định cấp độ 5.

Enable password : đây là loại mật khẩu có chức năng tương tự như enable

secret nhưng có hiệu lực yếu hơn, loại password này không được mã hóa mặc định,

nếu yêu cầu mã hóa thì sẽ được mã hóa ở cấp độ 7.

Line Vty : đây là dạng mật khẩu dùng để gán cho đường line Vty,mật khẩu

này sẽ được kiểm tra khi bạn đăng nhập vào Router qua đường Telnet.

Line console : đây là loại mật khẩu được kiểm tra để cho phép bạn sử dụng

cổng Console để cấu hình cho Router.

Line aux : đây là loại mật khẩu được kiểm tra khi bạn sử dụng cổng aux.

Đặt mật khẩu cho Router

Router >enable

Router #config terminal

Cấu hình cho mật khẩu enable secret (Chú ý :mật khẩu có phân biệt chữ hoa

và chữ thường)

Router (config) #enable secret athena ← Mật khẩu là athena

Cấu hình mật khẩu bằng lệnh enable password

Router (config) #ena pass cisco ← Mật khẩu là cisco


23


Lưu ý : khi ta cài đặt cùng lúc 2 loại mật khẩu enable secret và enable

password thì Router sẽ kiểm tra mật khẩu có hiệu lực mạnh hơn là enable secret.

Khi mật khẩu secret không còn thì lúc đó mật khẩu enable password sẽ được kiểm

tra.

Cấu hình mật khẩu các đường kết nối.

Mật khẩu cho Line vty.

Router (config) #line vty 0 4 ← cho phép 5 phiên truy cập.

Router (config-line) #password cisco ← password là cisco.

Router (config-line) #login ← mở chế độ cài đặt password.

Router(config-line) #exit

Mật khẩu cho cổng console :

Router (config) #line console 0 ← mở Line Console cổng Console thứ 0

Router (config-line) #password cisco ← password là cisco

Router (config-line) #login ← mở chế độ cài đặt password

Router (config-line) #exit


24


Mật khẩu cho cổng aux:

Router (config) #line aux 0 ← Số 0 chỉ số thứ tự cổng aux

Router (config-line) #password cisco ← password là cisco

Router (config-line) #login

Router (config-line) #exit

Câu lệnh kiểm tra password đã cấu hình:

Router #show running-config

Dùng lệnh Show running-config ta sẽ thấy được các password đã cấu hình,

nếu muốn mã hóa tất cả các password ta dùng lệnh Service password-encryption

trong mode config.

Router (config) #service password-encryption

Chú ý : Ta không thể dùng lệnh no service password-encryption để bỏ chế

độ mã hóa cho mật khẩu,ta chỉ có thể bỏ chế độ mã hóa khi gán lại mật khẩu khác

Gỡ bỏ mật khẩu cho router :

Nếu muốn gỡ bỏ mật khẩu truy cập cho loại mật khẩu nào ta dùng lệnh no ở

trước câu lệnh gán cho loại mật khẩu đó.

Ví dụ : Muốn gỡ bỏ mật khẩu secret là athena cho router

Router (config) #no enable secret athena

Router (config) #exit


25


3.2.3. Lệnh cơ bản Router Cisco

Đặt Banner:

Router (config) #banner motd # banner #

Bật cổng (no shutdown) và đặt địa chỉ IP cho interface:

Router (config) #interface name-interface

Router (config-if) #no shutdown

Router (config-if) #ip address address subnet-mask

Ví dụ: Bật cổng (no shutdown) và đặt địa chỉ IP cho cổng Fast-Ethernet

Router (config) #interface f0/0


Router (config-if) #ip address 192.168.1.1 255.255.255.0

Kiểm tra địa chỉ ip cổng: show ip interface brief

Mô tả các cổng

Router (config-if) #description mô tả

Lưu cấu hình

Dùng lệnh copy running-config startup-config hay write memory để lưu file

cấu hình từ DRAM vào NVRAM (có thể dùng lệnh tắt copy run start hay wr)

Router #copy running-config startup-config


26


Xem cấu hình đã lưu trong NVRAM

Router #show startup-config

Các lệnh show và ping kiểm tra

Xem trạng thái các cổng:

Router #show ip interface brief

Xem cấu hình đang chạy:

Router #show running-config

Xem version, xem tình trạng phần cứng, bộ nhớ, thanh ghi:

Router #show version

Lệnh Ping:

Router #ping address-destinations

Ví dụ lệnh ping: Router #ping 10.10.10.254

CHƯƠNG 4: ĐỊNH TUYẾN TĨNH (STATIC ROUTE)

27



4.1. Giới thiệu về Static Route

Đối với định tuyến tĩnh các thông tin về đường đi phải do người quản trị

mạng nhập cho router .Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người

quản trị mạng phải xoá hoặc thêm các thông tin về đường đi cho router .Những loại

đường đi như vậy gọi là đường được cấu hình bằng định tuyến tĩnh. Định tuyến

tĩnh thường được dùng trong hệ thống mạng vừa và nhỏ, trong những hệ thống

mạng lớn, định tuyến tĩnh thường được sử dụng kết hợp với giao thức định tuyến

động cho một số mục đích đặc biệt.

4.2. Phân loại Static route

4.2.1. Standard Static route

Đây là dạng thông thường mà ta hay gặp nhất của định tuyến tĩnh.

Cấu trúc câu lệnh cấu hình:

Router (config) #ip route network-address subnet-mask {ip-address |

interface-type interface number [ip-address]} [distance] [name name]

Hình 4.1: Standard static route


28


4.2.2. Default Static route

Default Static route là một con đường phù hợp với tất cả các gói. Default

Static route xác định địa chỉ IP gateway router sẽ gửi tất cả các gói IP mà nó không

có một con đường học bằng định tuyến động hoặc tĩnh. Default Static route chỉ đơn

giản là một tuyến đường tĩnh với 0.0.0.0 / 0 là địa chỉ IPv4 đích. Default Static

route tạo ra một Gateway của Last Resort.

Lưu ý: Tất cả các tuyến đường xác định một điểm đến cụ thể với một mặt nạ

mạng con lớn hơn được ưu tiên hơn các Default Static route.

Default Static route được sử dụng: Khi không có các tuyến đường khác

trong bảng định tuyến phù hợp với địa chỉ IP đích gói tin. Nói cách khác, khi đường

đi đến đích cụ thể hơn không tồn tại.

Câu lệnh cấu hình:

Router (config) #ip route 0.0.0.0 0.0.0.0 {ip-address | exit-intf}

Hình 4.2: Default static route


29


4.2.3. Summary Static route

Để giảm số lượng các mục bảng định tuyến, nhiều tuyến đường tĩnh có thể

được tóm tắt thành một tuyến đường tĩnh duy nhất nếu:

• Các mạng đích là tiếp giáp và có thể được tóm tắt thành một địa chỉ mạng

duy nhất.

• Các đường định tuyến tĩnh cùng sử dụng exit interface hoặc next-hop IP.

Hình 4.3: Summary static routing


30


4.2.4. Floating Static route

Một loại tuyến tĩnh là Floating static route. Floating static route là các tuyến

đường tĩnh được sử dụng để cung cấp một đường dẫn sao lưu của một tuyến đường

tĩnh hoặc động chính, trong trường hợp đường chính có sự cố xảy ra. Floating static

route chỉ được sử dụng khi các tuyến đường chính là không có sẵn.

Để thực hiện điều này, Floating static route được cấu hình với một AD cao

hơn so với các tuyến đường chính. AD đại diện cho độ tin cậy của một tuyến đường.

Nếu có nhiều con đường đến đích tồn tại, router sẽ chọn con đường với AD thấp

nhất.

Hình 4.4: Floating static route


31


4.3. Thực hành cấu hình định tuyến tĩnh (static route)

4.3.1. Mô hình thực hành

Hình 4.5: Cấu hình Static route

4.3.2. Yêu cầu bài thực hành

Chuẩn bị mô hình như trên hình 4.5 cấu hình địa chỉ IP cho toàn bộ mô hình,

cấu hình định tuyến Static routing.

Cấu hình đầy đủ các dạng của Static Route:

• Standard Static route.

• Default Static route.

• Summary Static route.

• Floating Static route.


32


4.3.3. Các bước thực hành cấu hình Static Route

Cấu hình trên router R1

Đánh địa chỉ IP và cấu hình trên các giao diện của router R1:

R1 (config) #interface S0/1

R1 (config-if) #ip address 192.168.0.6 255.255.255.252

R1 (config-if) #no shutdown

R1 (config) #interface S0/2



R1 (config) #interface e1/0










33


Cấu hình định tuyến Static Route trên router R1:

Cấu hình Standard Static Route:

R1 (config) #ip route 192.168.0.0 255.255.255.252 S0/1

Cấu hình Summary Static Route:

R1 (config) #ip route 172.16.8.0 255.255.252.0 S0/1

Cấu hình Default Static Route:

R1 (config) #ip route 0.0.0.0 0.0.0 S0/2 5

Cấu hình Floating Static Route:

Ta cấu hình sao cho các gói tin từ R1 sẽ đi qua cổng S0/1, chỉ khi nào cổng

S0/1 bị đứt các gói tin mới đi qua cổng S0/2. Bằng cách tăng chỉ số AD (ở đây cấu

hình AD=5) của đường Default static route lên cao hơn đường standard static route.

R1 (config) #ip route 0.0.0.0 0.0.0 S0/2 5

Hình 4.6 Cấu hình Floating Static Route

Ta cấu hình định tuyến tĩnh (Static Route) tương tự như trên hai router R2

và R3.

CHƯƠNG 5: ĐỊNH TUYẾN ĐỘNG (DYNAMIC ROUTE)

34



5.1. Giới thiệu định tuyến động

Giao thức định tuyến động cho phép router này chia sẻ các thông tin định

tuyến mà nó biết cho các router khác .Từ đó các router có thể xây dựng và bảo trì

bảng định tuyến của nó. Một số giao thức định tuyến: RIP, IGRP, EIGRP, OSPF...

5.2. Giao thức RIP (routing information protocol)

5.2.1. Định nghĩa

RIP (Routing Information Protocol) là một giao thức định tuyến dùng để

quảng bá thông tin về địa chỉ mà mình muốn quảng bá ra bên ngoài và thu thập

thông tin để hình thành bảng định tuyến (Routing Table) cho Router. Đây là loại

giao thức Distance Vector sử dụng tiêu chí chọn đường chủ yếu là dựa vào số hop

(hop count) và các địa chỉ mà Rip muốn quảng bá được gởi đi ở dạng Classful (đối

với RIP verion 1) và Classless (đối với RIP version 2).

Vì sử dụng tiêu chí định tuyến là hop count và bị giới hạn ở số hop là 15 nên

giao thức này chỉ được sử dụng trong các mạng nhỏ (dưới 15 hop).

Đặc điểm chính của RIP:

• Là giao thức định tuyến theo vectơ khoảng cách.

• Sử dụng số lượng hop để làm thông số chọn đường đi.

• Nếu số lượng hop để tới đích lớn hơn 15 thì gói dữ liệu sẽ bị huỷ bỏ.

• Cập nhật theo định kỳ mặc định là 30 giây.


35


5.2.2. Hoạt động của RIP

RIP gửi broadcast bản tin Request ra tất cả các active interface. Sau đó lắng

nghe hay đợi Response message từ router khác. Còn các router neighbor nhận được

các Request message rồi gửi Response message chứa toàn bộ routing table.

Hình 5.1: Quá trình hoạt động của RIP

5.2.3. RIPv2

• RIPv2 cung cấp định tuyến cố định, truyền thông tin cố định và truyền

thông tin subnet mask trong các cập nhật định tuyến. ). RIPv2 được

phát triển từ RIPv1 nên vẫn giữ các đặc điểm như RIPv1:

• Là một giao thức theo Distance Vector, sử dụng số lượng hop làm

thông số định tuyến.

• Sử dụng thời gian holddown để chống loop với thời gian mặc định là

180 giây.

• Sử dụng cơ chế split horizon để chống loop.

• Số hop tối đa là 16.


36


5.2.4. Thực hành cấu hình RIPv2

a. Mô hình thực hành

Hình 5.2: Mô hình thực hành RIPv2

b. Yêu cầu cấu hình thực hành

• Cầu hình RIPv2 trên các router R1, R2, R3.

• Router R1 cấu hình đường default route tới nhà ISP đồng thời quảng

bá cho các router R2, R3 (đường kết nối với nhà ISP không tham gia

định tuyến).

• Ngăn chặn cập nhật những gói tin cập nhật không cần thiết.

• Tắt chức năng auto- summary.


37


c. Các bước cấu hình thực hành RIPv2

Router R1:

R1 sẽ cấu hình RIPv2 quảng bá 3 đường mạng kết nối trực tiếp là:

+ 172.16.1.0/24

+ 192.168.0.0/30

+ 192.168.0.4/30

Cấu hình định tuyến RIPv2 trên router R1:

R1 (config) #router rip

R1 (config-router) #version 2

R1 (config-router) #no auto-summary

R1 (config-router) #network 172.16.1.0



R1 (config-router) #passive-interface f0/0

Kiểm tra hiển thị: show ip route


38


Router R2:


+ 172.16.2.0/24

+ 192.168.0.0/30

+ 192.168.0.8/30









R2 (config-router) #default-information originate



39


Router R3:


+ 192.168.0.8/30

+ 192.168.0.4/30









40


Kiểm tra:

• Ping PC1 đến PC2

Hinh 5.3: Kết quả ping từ PC1 đến PC2 (RIPv2)

• Ping PC1 đến PC3

Hinh 5.4: Kết quả ping từ PC1 đến PC3 (RIPv2)


41


5.3. Giao thức định tuyến EIGRP và ACL

5.3.1. Định nghĩa giao thức EIGRP

EIGRP là một giao thức định tuyến do Cisco phát triển, chỉ chạy trên các sản

phẩm của Cisco. Đây là điểm khác biệt của EIGRP so với các giao thức khác.

EIGRP là một giao thức dạng Distance – vector được cải tiến (Advanced

Distance vector). EIGRP không sử dụng thuật toán truyền thống cho Distance –

vector là thuật toán Bellman – Ford mà sử dụng một thuật toán riêng được phát

triển bởi J.J. Garcia Luna Aceves – thuật toán DUAL. Cách thức hoạt động của

EIGRP cũng khác biệt so với RIP và vay mượn một số cấu trúc và khái niệm của

OSPF như: xây dựng quan hệ láng giềng, sử dụng bộ 3 bảng dữ liệu (bảng neighbor,

bảng topology và bảng định tuyến). Chính vì điều này mà EIGRP thường được gọi

là dạng giao thức lai ghép (hybrid).

5.3.2. Đặc điểm giao thức EIGRP

Một đặc điểm nổi bật trong việc cải tiến hoạt động của EIGRP là không gửi

cập nhật theo định kỳ mà chỉ gửi toàn bộ bảng định tuyến cho láng giềng cho lần

đầu tiên thiết lập quan hệ láng giềng, sau đó chỉ gửi cập nhật khi có sự thay đổi.

Điều này tiết kiệm rất nhiều tài nguyên mạng.

Việc sử dụng bảng topology và thuật toán DUAL khiến cho EIGRP có tốc

độ hội tụ rất nhanh.

EIGRP sử dụng một công thức tính metric rất phức tạp dựa trên nhiều thông

số: Bandwidth, delay, load và reliability.

Chỉ số AD của EIGRP là 90 cho các route internal và 170 cho các route

external. EIGRP chạy trực tiếp trên nền IP và có số protocol – id là 88.


42


5.3.3. Thiết lập quan hệ láng giềng trong EIGRP

Giống OSPF, ngay khi bật EIGRP trên

một cổng, router sẽ gửi các gói tin hello ra khỏi

cổng để thiết lập quan hệ láng giềng với router

kết nối trực tiếp với mình. Điểm khác biệt là các

gói tin hello được gửi đến địa chỉ multicast dành

riêng cho EIGRP là 224.0.0.10 với giá trị hello – timer (khoảng thời gian định kỳ

gửi gói hello) là 5s.

Và cũng giống như OSPF, không phải cặp router nào kết nối trực tiếp với

nhau cũng xây dựng được quan hệ láng giềng. Để quan hệ láng giềng thiết lập được

giữa hai router, chúng phải khớp với nhau một số thông số được trao đổi qua các

gói tin hello, các thông số này bao gồm:

Giá trị AS được cấu hình trên mỗi router.

Các địa chỉ đấu nối giữa hai router phải cùng subnet.

Thỏa mãn các điều kiện xác thực.

Cùng bộ tham số K.

5.3.4. Tính toán metric với EIGRP

Metric của EIGRP được tính theo một công thức rất phức tạp với đầu vào là

04 tham số: Bandwidth min trên toàn tuyến, Delay tích lũy trên toàn tuyến (trong

công thức sẽ ghi ngắn gọn là Delay), Load và Reliabily cùng với sự tham gia của

các trọng số K:

Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 –

Load) + K3* Delay]*256*[K5/(Reliabilty + K4)]

https://lh4.googleusercontent.com/-5WV9o977Bx0/T8xOuuyNx6I/AAAAAAAAAaM/dm-PFdP8kpc/hinh1.JPG


43


Ta lưu ý về đơn vị sử dụng cho các tham số trong công thức ở trên:

Bandwidth: đơn vị là Kbps.

Delay: đơn vị là 10 micro second.

Load và Reliability là các đại lượng vô hướng.

Nếu K5 = 0, công thức trở thành:

Metric = [K1*10^7/Bandwidth min + (K2*10^7/Bandwidth min)/(256 –

Load) + K3* Delay]*256

Mặc định bộ tham số K được thiết lập là: K1 = K3 = 1; K2 = K4 = K5 = 0

nên công thức dạng đơn giản nhất ở mặc định sẽ là:

Metric = [10^7/Bandwidth min + Delay]*256.

5.3.5. Xác thực MD5 với EIGRP

EIGRP chỉ hỗ trợ một kiểu xác thực duy nhất là MD5. Với kiểu xác thực

này, các password xác thực sẽ không được gửi đi mà thay vào đó là các bản hash

được gửi đi. Các router sẽ xác thực lẫn nhau dựa trên bản hash này. Ta có thủ tục

cấu hình xác thực trên EIGRP sẽ gồm các bước như sau:

R (config) #key chain tên của key-chain

R (config-keychain) #key key-id

R (config-keychain-key) #key-string password

R (config-if) #ip authentication mode eigrp AS md5

R (config-if) #ip authentication key-chain eigrp AS tên-key-chain


44


5.3.6. Định nghĩa về ACL

ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của

router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow)

và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào

địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

5.3.7. Phân loại ACL.

Có 2 loại Access lists là: Standard Access lists và Extended Access lists

Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng –

đặt gần đích (Destination). Standard ACLs sử dụng số từ 1 -> 99 hay 1300 -> 1999.

Router (config) #access-list [#] [permit deny] [wildcard mask] [log]

Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet), giao

thức tầng “Network layer header” như TCP, UDP, ICMP…, và port numbers trong

tầng “Transport layer header”. Nên đặt gần nguồn (source). Extanded ACLs sử

dụng số từ 100 -> 199 hay 2000 -> 2699.

Router (config) #access-list [#] [permit deny] [protocol] [wildcard mask]

[operator source port] [destination address] [wildcard mask] [operator

destination port] [log]

Áp dụng ACL vào interface theo chiều inbound hay outbound:

Router (config-if) #ip access-group [#] [in out] – interface access control


45


5.3.8. Thực hành Cấu hình EIGRP và ACL

a. Mô hình thực hành

Hình 5.5: Mô hình thực hành cấu hình EIGRP và ACL


EIGRP

1. Cấu hình định tuyến EIGRP trên các router R1, R2, R3 (AS=1).

2. R1 cấu đường default route ra internet đồng thời quảng bá cho các

router R1, R2.

3. Tắt các đường cập nhật không cần thiết.

ACL

1. Ngăn tất cả gói tin từ đường mạng 172.16.1.0/24 đến đường mạng

172.16.2.0/24.

2. Chặn các địa chỉ đường mạng 172.16.1.0/24 ra ngoài internet, (chặn

không ping được google.com).


46


c. Thực hành cấu hình EGIRP và ACL

Cấu hình EIGRP


R1 cấu hình EIGRP quảng bá hai đường mạng:

+ 192.168.0.8/30

+ 192.168.0.0/30

Cấu hình định tuyến EIGRP trên router R1:

R1 (config) #router eigrp 1


R1 (config-router) #network 192.168.0.8 0.0.0.3


R1 (config-router) #redistribute static



47



R2 Cấu hình định tuyến EIGRP quảng bá các đường mạng sau:

+ 172.16.1.0/24

+ 192.168.0.0/30

+ 192.168.0.4/30










48



R3 Cấu hình định tuyến EIGRP quảng bá các đường mạng sau:

+ 172.16.2.0/24

+ 192.168.0.8/30

+ 192.168.0.4/30










49


Cấu hình ACL

Tạo ACL: Ngăn tất cả gói tin từ đường mạng 172.16.1.0/24 đến

đường mạng 172.16.2.0/24.

• Tạo ACL:

R2 (config) #access-list 103 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

R2 (config) #access-list 103 permit ip any any

• Áp ACL vào interface:

R2 (config) #interface f1/0

R2 (config-if) #ip access-group 103 in

Chặn các địa chỉ đường mạng 172.16.1.0/24 ra ngoài internet.( chặn

không ping được google.com)

• Tạo ACL:

R2 (config) #access-list 100 deny tcp 172.16.1.0 0.0.0.255 any eq www

R2 (config) #access-list 100 permit tcp any any

R2 (config) #access-list 1 permit any any (ACL cấu hình NAT)

• Áp ACL vào interface:

R2 (config) #interface f1/0

R2 (config-if) #ip access-group 100 out


50


d. Kiểm tra cấu hình thực hành

Kiểm tra EIGRP

• Ping giữa PC1 và PC4.

Hình 5.6: Kết quả ping từ PC1 đến PC4 (EIGRP)

Kiểm tra ACL

• Ping từ PC1 đến PC4.

Hình 5.7: Kết quả ping từ PC1 sang PC4 sau khi cấu hình ACL.


51


5.4. Giao thức định tuyến OSPF

5.4.1. Định nghĩa giao thức OSPF

OSPF là một giao thức link – state điển hình. Mỗi router khi chạy giao thức

sẽ gửi các trạng thái đường link của nó cho tất cả các router trong vùng (area). Sau

một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu trạng thái

đường link (Link State Database – LSDB) với nhau, mỗi router đều có được “bản

đồ mạng” của cả vùng. Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính toán ra

một cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để xây dựng

nên bảng định tuyến.

Một số đặc điểm chính của giao thức OSPF:

• OSPF có AD = 110.

• Metric của OSPF còn gọi là cost, được tính theo bandwidth trên cổng

chạy OSPF.

• OSPF chạy trực tiếp trên nền IP, có protocol – id là 89.

• OSPF là một giao thức chuẩn quốc tế, được định nghĩa trong RFC –

2328.

Các bước hoạt động của OSPF như sau:

• Bầu chọn Router – id.

• Thiết lập quan hệ láng giềng (neighbor).

• Trao đổi LSDB.

• Tính toán xây dựng bảng định tuyến.


52


5.4.2. Area-id

Nguyên tắc hoạt động của OSPF là mỗi router phải ghi nhớ bảng cơ sở dữ

liệu trạng thái đường link của toàn bộ hệ thống mạng chạy OSPF rồi từ đó thực

hiện tính toán định tuyến dựa trên bảng cơ sở dữ liệu này.

Để giảm tải bộ nhớ cũng như tải tính toán cho mỗi router và giảm thiểu lượng

thông tin định tuyến cần trao đổi, các router chạy OSPF được chia thành nhiều vùng

(area), mỗi router lúc này chỉ cần phải ghi nhớ thông tin cho một vùng. Cách tổ

chức như vậy giúp tiết kiệm tài nguyên mạng và tài nguyên trên mỗi router. Ngoài

ra, cách tổ chức này còn cô lập được những bất ổn vào trong một vùng. Mỗi vùng

được chỉ ra sẽ có một giá trị định danh cho vùng gọi là Area – id. Area – id có thể

được hiển thị dưới dạng một số tự nhiên hoặc dưới dạng của một địa chỉ IP.

Hình 5.8: Area-id


53


5.4.3. Tính toán metric với OSPF

Metric trong OSPF được gọi là cost, được xác định dựa vào bandwidth danh

định của đường truyền theo công thức như sau:

Metric = cost = 10^8/Bandwidth (đơn vị bps).

Ta phân biệt giữa bandwidth danh định trên cổng và tốc độ thật của cổng ấy.

Hai giá trị này không nhất thiết phải trùng nhau và giá trị danh định mới chính là

giá trị được tham gia vào tính toán định tuyến. Giá trị danh định được thiết lập trên

cổng bằng câu lệnh:

R (config-if) #bandwidth BW(đơn vị là kbps)

5.4.4. Lệnh trong cấu hình OSPF

R (config) #router ospf process-id

R (config-router) #network địa chỉ IP wildcard-mask area area-id

Trong đó:

Process – id: số hiệu của tiến trình OSPF chạy trên router, chỉ có ý nghĩa

local trên router.

Để cho một cổng tham gia OSPF, ta thực hiện “network” địa chỉ mạng của

cổng đó. Với OSPF ta phải sử dụng thêm wildcard – mask để lấy chính xác subnet

tham gia định tuyến. Ta cũng phải chỉ ra link thuộc area nào bằng tham số “area”.


54


5.4.5. Thực hành cấu hình định tuyến OSPFv2

a. Mô hình thực hành cấu hình OSPFv2

Hình 5.9: Mô hình Lab cấu hình OSPF.


• Chuẩn bị kết nối như hình vẽ, cấu hình địa chỉ ip cho các giao diện

(interface) Router.

• Cấu hình định tuyến OSPF trên các router R1, R2, R3 (process-id =1,

Area 0).

• R1 cấu đường default route đến router ISP đồng thời quảng bá cho

các router R1, R2.

• Tắt các đường cập nhật không cần thiết và cấu hình router-id.


55


c. Thực hành cấu hình OSPFv2

Cấu hình trên Router R1

R1 cấu hình OSPFv2 quảng bá các đương mạng kết nối trực tiếp:

+ 172.168.1.0/24

+ 192.168.0.0/30

+ 192.168.0.8/30

Lệnh cấu hình OSPFv2 trên Router R1:

R1 (config) #router ospf 1

R1 (config-router) #router-id 1.1.1.1

R1 (config-router) #network 172.16.1.0 0.0.0.255 area 0



R1 (config-router) #default-information originate



56




+ 172.168.2.0/24

+ 192.168.0.0/30

+ 192.168.0.4/30










57




+ 172.168.3.0/24

+ 192.168.0.8/30

+ 192.168.0.4/30










58


Kiểm tra kết quả cấu hình OSPFv2

• Ping PC2

Hình 5.10: Kết quả Ping đến PC2 sau khi cấu hình OSPFv2.

• Ping PC bên router ISP

Hình 5.11: Kết quả ping đến PC ISP sau khi cấu hình OSPFv2

CHƯƠNG 6: MẠNG RIÊNG ẢO (VIRTUAL PRIVATE NETWORK)

59



6.1. Khái niệm mạng riêng ảo VPN

Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là

một khái niệm mới trong công nghệ mạng. VPN có thể được đinh nghĩa như là một

dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng

với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Hai đặc điểm quan trọng

của công nghệ VPN là ''riêng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh

(Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI,

VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích

chất của mạng cục bộ cho mạng WAN.

6.2. Phân loại mạng riêng ảo VPN

6.2.1. VPN Remote-Access

VPN Remote Access—Cung cấp kết nối truy cập từ xa đến một mạng

Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN Remote Access sử dụng

đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối

đến các Mobile user. Một đặc điểm quan trọng của VPN Remote Access là: Cho

phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để

làm việc.

Hình 6.1: Remote User Access


60


6.2.2. VPN Site-to-Site

Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng,

mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như

Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:

Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa

điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng

một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống

nhất.

Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một

công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể

xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho

phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.

Hình 6.2: VPN Site -to -Site


61


6.3. Lợi ích của VPN

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những

mạng leased-line. Bao gồm:

• Giảm chi phí đường truyền: cho phép tiết kiệm đến 60% chi phí so

với thuê bao đường truyền và giảm đáng kể tiền cước.

• Giảm chi phí đầu tư: VPN không tốn chi phí đầu tư cho máy chủ, bộ

định tuyến, các bộ chuyển mạch như khi đầu tư cho một mạng WAN

của công ty (có thể thuê của các nhà cung cấp dịch vụ).

• Giảm chi phí quản lý và hỗ trợ. Với quy mô kinh tế của mình các nhà

cung cấp dịch vụ có thể mang lại cho công ty những tiết kiệm có giá

trị so với với việc tự quản lý mạng

• Truy cập mọi lúc mọi nơi. VPN không làm ảnh hưởng đến bất kỳ một

dịch vụ truền thống nào của Internet.

6.4. Các thành phần cần thiết để tạo kết nối VPN

User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép

người dùng hợp lệ kết nối và truy cập hệ thống VPN.

Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi

gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình

truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá

trình mã hoá và giải mã dữ liệu.


62


6.5. Thực hành cấu hình mô hình VPN Client to Site

6.5.1. Mô hình cấu hình VPN Client to Site

Hình 6.3: Mô hình VPN Client to Site

6.5.2. Yêu cầu thực hành

Chuẩn bị kết nối như hình vẽ, đặt địa IP các giao diện (interface).

Router Router-Sites cấu hình VPN Client to Site cho phép May-

Client có thể truy cập vào mạng nội bộ của Router-Sites.


63


6.5.3. Cấu hình VPN Client to Sites

Cấu hình trên Router-Sites

Đặt địa chỉ IP và cấu hình trên các giao diện của Router-Sites:

Router-Sites (config) #interface S1/0

Router-Sites (config-if) #ip address 2.2.2.1 255.255.255.252

Router-Sites (config-if) #no shutdown

Router-Sites (config) #interface f0/0

Router-Sites (config-if) #ip address 10.10.10.254 255.255.255.0

Router-Sites (config-if) #no shutdown

Cấu hình kết nối giữa Router-Sites với mạng ngoài 2.2.2.0/30

Router-Sites (config) #ip route 0.0.0.0 0.0.0.0 s1/0 2.2.2.2

Router-Sites (config) #access-list access-list 111 deny ip 10.10.10.0 0.0.0.255

192.168.1.0 0.0.0.255

Router-Sites (config) # access-list 101 permit ip 10.10.10.0 0.0.0.255

192.168.1.0 0.0.0.255

Router-Sites (config) # access-list 111 permit ip any any

Router-Sites (config) # ip nat inside source list 111 interface s1/0 overload

Router-Sites (config) # interface s1/0

Router-Sites (config-if) # ip nat outside

Router-Sites (config) # interface f0/0

Router-Sites (config-if) # ip nat inside


64


Cấu hình VPN Client to Sites

Bước 1: Tạo một dải địa chỉ IP cấp phát động (DHCP) cho các VPN client

Router-Sites (config) #ip local pool ippool 192.168.1.1 192.168.1.2

Bước 2: Kích hoạt hệ thống xác thực qua AAA

a. Kích hoạt AAA

Router-Sites (config) #aaa new-mode

b. Cấu hình xác thực AAA khi đăng nhập

Router-Sites (config) #aaa authentication login userauthen loca

c. Cấu hình phân quyền AAA khi đăng nhập

Router-Sites (config) #aaa authorization network groupauthor local

d. Định nghĩa người dùng (local user)

Router-Sites (config) #username user password cisco


65


Bước 3: Định nghĩa thông tin về nhóm các chính sách bảo mật

a. Tạo chính sách isakmp

Router-Sites (config) #crypto isakmp policy 3

Router-Sites (config-isakmp) #encr 3des

Router-Sites (config-isakmp) #authentication pre-share

Router-Sites (config-isakmp) #group 2

Router-Sites (config-isakmp) #exit

b. Thiết lập chính sách trên theo nhóm

Router-Sites (config) #crypto isakmp client configuration group vpnclient

c. Thiết lập khóa IKE (Pre-shared-key)

Router-Sites (isakmp-group) #key cisco123

d. Lựa chọn dải địa chỉ IP (IP Pool) và ACL

Router-Sites (isakmp-group) #pool ippool

Router-Sites (isakmp-group) #acl 101

Bước 4: Tạo một IPSec transform

Router-Sites (config) #crypto ipsec transform-set myset esp-3des esp-md5-

hmac


66


Bước 5: Tạo crypto maps

a. Tạo crypo maps động

Router-Sites (config) #crypto dynamic-map dynmap 10

Router-Sites (config-crypto-map) #set transform-set myset

Router-Sites (config-crypto-map) #reverse-route

Router-Sites (config-crypto-map) #exit

b. Cấu hình Router

Router-Sites (config) #crypto map clientmap client configuration address

respond

c. Kích hoạt truy vấn IKE

Router-Sites (config) #crypto map clientmap isakmp authorization list

groupauthor

d. Cấu hình xác thực mở rộng (Xauth-Extended Authentification)

Router-Sites (config) #crypto map clientmap client authentication list

userauthen

e. Gán map động vào clientmap

Router-Sites (config) #crypto map clientmap 10 ipsec-isakmp dynamic

dynmap


67


f. Gán crypto map vào giao diện đầu ra

Router-Sites (config) #interface s1/0

Router-Sites (config-if) #crypto map clientmap

Router-Sites (config-if) #exit

Cấu hình trên INTERNET-CLOUD

Đặt địa chỉ IP và cấu hình trên các giao diện của Router-Sites:

INTERNET-CLOUD (config) #interface S1/0

INTERNET-CLOUD (config-if) #ip address 2.2.2.2 255.255.255.252

INTERNET-CLOUD (config-if) #no shutdown

INTERNET-CLOUD (config) #interface f0/0

INTERNET-CLOUD (config-if) #ip address 10.0.0.254 255.255.255.0

INTERNET-CLOUD (config-if) #no shutdown

Cấu hình kết nối giữa INTERNET-CLOUD với mạng ngoài 2.2.2.0/30

INTERNET-CLOUD (config) #ip route 0.0.0.0 0.0.0.0 s1/0 2.2.2.1

INTERNET-CLOUD (config) #access-list 1 permit ip any any

INTERNET-CLOUD (config) #ip nat inside source list 1 interface s1/0

overload

INTERNET-CLOUD (config) #interface s1/0

INTERNET-CLOUD (config-if) #ip nat outside

INTERNET-CLOUD (config) #interface f0/0

INTERNET-CLOUD (config-if) #ip nat inside


68


Kiểm tra Cấu hình VPN Client to Sites

Router Router-Sites

Router-Sites #show crypto map

Crypto Map "clientmap" 10 ipsec-isakmp

Dynamic map template tag: dynmap

Interfaces using crypto map clientmap:

Serial1/0

Máy client May-Client

• Tạo kết nối VPN tới Router-Sites

Hình 6.4: Tạo kết nối VPN sử dụng phần mềm VPN client


69


• Tạo kết nối VPN Router-Sites

Hình 6.5: Tạo kết nối VPN thành công

• Ping giữa máy May-Client và máy May-XP

Hình 6.6: Kết quả ping giữa máy May-Client và máy May-XP

CHƯƠNG 7: THỰC HIỆN TRÊN MỖI TRƯỜNG INTERNET

70


CHƯƠNG 7: THỰC HIỆN TRÊN MÔI TRƯỜNG INTERNET

7.1. Mô hình thực hiện

Hình 7.1: Mô hình thực hiện trên internet

7.2. Yêu cầu cấu hình trên internet

Chuẩn bị một máy Server VPS xài win downs server 2003:

• Cài Wed server.

• FTP server.

• File server.

Máy VM1 có thể truy cập Web server, FTP server, File server.

Máy VM2 và VPCS1 không được phép truy cập được FTP server.


71


7.3. Cấu hình trên môi trường Internet

7.3.1. Tạo FTP server

Cài đặt cấu hình máy VPS thành FTP server

Vào Control Panel trên Window -> Add/Remove Windows components -

> Application server -> click chọn detail -> Internet Information Service (IIS)

-> click chọn detail -> Click chọn File Transfer Protocol (FTP) service -> OK

Hình 7.2: Cài đặt FTP server

Sau khi cài đặt dịch vụ FTP trên máy Server, sẽ xuất hiện thư mục

C:/inetpub/ftproot, đây là thư mục làm việc mặc định trên FTP Server,

nơi chứa file dữ liệu để các máy client truy cập vào.


72


7.3.2. Tạo Web server

Cài đặt cấu hình máy VPS thành Web server

Vào Control Panel trên Window -> Add/Remove Windows components -

> Application server -> click chọn detail -> Internet Information Service (IIS)

-> click chọn detail ->OK

Hình 7.3: Cài đặt Web server


73


7.3.3. Cài đặt File server

Bước 1: vào Manage Your Server chọn tab Add or remote a roles

Hình 7.4: Manage Your Server

Bước 2: Chọn File server -> Next -> tạo file server -> finish

Hình 7.5: Tạo file server

Bước 3: Chọn Manage file server -> quản lý File server

Hình 7.6: Quản lý file server


74


7.3.4. Cấu hình

Cấu hình và đặt IP cho các giao diện (interface) trên Router R1:

Router(config) #interface f0/0

Router (config-if) #ip add 10.10.10.254 255.255.255.0


Router (config-if) #exit


Router (config-if) #ip address dhcp



Kết quả hiển thị bằng lệnh show ip interface brief:

Router #show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 10.10.10.254 YES NVRAM up up

FastEthernet0/1 192.168.137.44 YES DHCP up up

Serial1/0 unassigned YES NVRAM administratively down down


75


Cấu hình kết nối internet cho các máy:

Router (config) #access-list 1 permit any

Router (config) #ip nat inside source list 1 interface f0/1 overload

Router (config) #ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 192.168.137.1


Router (config-if) #ip nat inside



Router (config-if) #ip nat outside


Cấu hình các yêu cầu (filter route):

Router (config) #access-list 101 permit tcp host 10.10.10.2 host 103.20.148.71

eq www


eq 443


eq 443


eq www

Router (config) #access-list 101 permit ip host 10.10.10.1 host 103.20.148.71


Router (config-if) #ip access-group 101 in



76


7.4. Kiểm tra thực hiện cấu hình trên môi trường Internet

7.4.1. Kết nối giữa các máy và mạng Internet

Kết nối giữa các máy

Hình 7.7: Kết quả Kết nối giữa các máy

Giữa các máy và mạng Internet

Hình 7.8: Kết quả Kết nối giữa các máy và mạng Iternet


77


7.4.2. Kiểm tra các yêu cầu cấu hình

Máy VM1 truy cập Web server, FTP server, File server trên VPS

Hình 7.9: Kết quả máy VM1 truy cập Web server

Hình 7.10: Kết quả máy VM1 truy cập FTP server

Hình 7.11: Kết quả máy VM1 truy cập File server


78


Máy VM2 và VPCS không truy cập được FTP server trên VPS

Hình 7.12: Kết quả máy VM2 truy cập Web server

Hình 7.13: Máy VM2 bị chặn truy cập FTP server

DANH MỤC TÀI LIỆU THAM KHẢO

79


DANH MỤC TÀI LIỆU THAM KHẢO

[1]. Tài liệu CCNA Athena Lab

[2]. CCNA nhà xuất bản Sybex.

[3]. Diễn đàn Athena mục Cisco.

[4]. Giáo trình học CCNA Khoa Điện Tử - Viễn Thông.

[5]. http://www.cisco.com/

http://www.cisco.com/

báo cáo cuối kỳ - đề tài "nghiên cứu cơ chế routing của cisco mô phỏng...

Education