on tap ccna version4.0 edulab

04/17/23 Edulab.com.vn 1

Ôn tập CCNA version 4.0

Ôn tập CCNA version 4.0


Tiêu chí buổi ôn tập

• Mục tiêu chính : Giúp cho học viên chuẩn bị tâm lí và kiến thức tốt -> Pass CCNA!

• Giúp hệ thống một số kiến thức , cung cấp tài liệu tự ôn (Giảng viên cung cấp)->Học viên nắm vững thêm kiến thức.


Cấu trúc bài giảng

• Phần 1 : Giảng viên chia nội dung ôn tập thành 9 chủ đề.Mỗi chủ đề gồm 3 phần :

• 1) Nhắc lại kiến thức chính.• 2) Giải 1-3 câu hỏi ôn tập.• 3) Ghi chú tất cả câu hỏi ôn tập mới nhất.

• Phần 2 : Hướng dẫn làm bài thi quốc tế.


Phần 1 : Các chủ đề ôn tập

• 1. NETWORK BASIC.• 2. OSI-TCP/IP & ARP.• 3. CISCO IOS.• 4. IP – SUBNET – VLSM.• 5. SWITCH.• 6. ROUTING.• 7. ACLS & NAT.• 8. WAN.• 9. DHCP-WIRELESS-IPV6.


1. NETWORK BASIC

HUB: layer 1, không hiểu được frame do đó sẽ flood ra tất cả các port ngoại trừ cổng nhận vào.

• Collision.• Collision domain.• Half-duplex.• CSMA/CD(Carrier Sense Multiple Access

with Collision Detect )


1. NETWORK BASIC

SWITCH:• Layer 2, hiểu được frame ( MAC-Medium Access

Control ).• Mỗi cổng switch là một collision domain.• Khi frame đến mà Destination MAC không có

trong bảng định tuyến thì flood ra tất cả các port ngoại trừ port nhận vào.

• Full-duplex.• Disable CSMA/CD.


Sử dụng địa chỉ MAC

A DData A DData A DDataA DData

Địa chỉ nguồn

Địa chỉ đích


1. NETWORK BASIC

ROUTER: • Layer 3.• Định tuyến.(routing)• Ngăn chặn broadcast.

CABLE:• Traight- through.• Cross-over.• Rollover.• Serial cable.


1. NETWORK BASIC


1. NETWORK BASIC

• Các câu hỏi ôn thi : 14, 22, 47, 51, 83, 117, 128, 141, 151, 176, 189, 200, 221, 223, 224, 226, 234, 240, 250, 264, 310, 326, 359, 383, 391.


2. OSI-TCP/IP & ARP


Chồng giao thức TCP/IP


Các thiết bị hoạt động ở từng lớp


Sự đóng gói


Giao tiếp máy - máy


Gói tin khi đi qua thiết bị lớp 1


2. OSI-TCP/IP & ARP

Layer 7: • Sử dụng các giao thức: HTTP, FTP, TFTP, POP3, TELNET,

SNMP, SMTP, SSH, DNS……

Layer 4:• TCP:

– Giao thức sử dụng: HTTP ( 80 ), FTP ( 20, 21 ), POP3 ( 110 ), TELNET( 23 ), SMTP( 25 ), SSH ( 22). DNS ( 53 ).

– Khái niệm: » ACK.» Sequence.» Windowing.» Buffering.» Flow control.» Congestion avoidance.

• UDP: – Giao thức sử dụng: TFTP ( 69 ), DNS ( 53 ), SNMP ( 161 ).


2. OSI-TCP/IP & ARP

• ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink. Quá trình thực hiện bằng cách: một thiết bị IP trong mạng gửi một gói tin broadcast đến toàn mạng yêu cầu thiết bị khác gửi trả lại địa chỉ phần cứng ( địa chỉ lớp datalink ) của mình.


2. OSI-TCP/IP


2. OSI-TCP/IP & ARP

Host A sent to Host D


2. OSI-TCP/IP & ARP


2. OSI-TCP/IP & ARP

• Các câu hỏi ôn thi : 16, 21, 26, 32, 45, 52, 104, 109, 150, 160, 165, 172, 175, 177, 190, 195, 196, 197, 213, 227, 228, 246, 289, 293, 295, 296, 298, 299, 300, 303, 322, 324, 335, 337, 341, 347, 363, 366, 372, 379, 387, 390.


3. CISCO IOS 3.1 QUI TRÌNH KHỞI ĐỘNG VÀ NẠP IOS• ROM:

– POST ( Power On Set Test): Kiểm tra phần cứng.– Bootstrap: Xét xem thanh ghi đang thiết lập là gì.

• Tìm IOS:– Tìm từ Flash ( default).– Nếu không có trong flash:

– tìm qua mạng ( lấy từ TFTP server).– rommon>

• LOAD:– 2500: sau khi tìm từ flash thì chạy luôn.– 2800: sau khi tìm từ flash thì load lên để chạy trên RAM ( image IOS).

• Tìm files startup-config:– Tìm từ NVRAM ( default).– Nếu không có trong NVRAM, tìm qua mạng ( lấy từ TFTP server).– Nếu không, vào setup mode.


3.1 QUI TRÌNH KHỞI ĐỘNG VÀ NẠP IOS

• Nạp IOS: ưu tiên theo thứ tự

Flash -> TFTP Server -> ROM

• Nạp start-up config:ưu tiên theo thứ tự:

NVRAM -> TFTP Server -> Set up mode

• Các giá trị thanh ghi:• 0x2102: khởi động bình thường, nạp start-up config

từ NVRAM• 0x2142: bỏ qua start-up config trên NVRAM.



• Lệnh show version: xem được version của IOS, dung lượng của bộ nhớ RAM, dung lượng flash.

Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.4(5a), RELEASE SOFTWARE (fc3)Technical Support: http://www.cisco.com/techsupportCopyright (c) 1986-2006 by Cisco Systems, Inc.Compiled Sat 14-Jan-06 03:19 by alnguyen

ROM: System Bootstrap, Version 12.4(1r) [hqluong 1r], RELEASE SOFTWARE (fc1)

RouterX uptime is 1 week, 5 days, 21 hours, 30 minutesSystem returned to ROM by reload at 23:04:40 UTC Tue Mar 13 2007System image file is "flash:c2800nm-ipbase-mz.124-5a.bin"

Cisco 2811 (revision 53.51) with 251904K/10240K bytes of memory.Processor board ID FTX1013A1DJ2 FastEthernet interfaces2 Serial(sync/async) interfacesDRAM configuration is 64 bits wide with parity enabled.239K bytes of non-volatile configuration memory.62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102



• Show flash: xem thông tin về bộ nhớ flash: trong đó “ available” cho biết bộ nhớ còn trống, và “ bytes used” cho biết dùng để lưu

IOS. RouterX#sh flash-#- --length-- -----date/time------ path1 14951648 Feb 22 2007 21:38:56 +00:00 c2800nm-ipbase-mz.124-5a.bin2 1823 Dec 14 2006 08:24:54 +00:00 sdmconfig-2811.cfg3 4734464 Dec 14 2006 08:25:24 +00:00 sdm.tar4 833024 Dec 14 2006 08:25:38 +00:00 es.tar5 1052160 Dec 14 2006 08:25:54 +00:00 common.tar6 1038 Dec 14 2006 08:26:08 +00:00 home.shtml7 102400 Dec 14 2006 08:26:22 +00:00 home.tar8 491213 Dec 14 2006 08:26:40 +00:00 128MB.sdf

41836544 bytes available (22179840 bytes used)


3.2 KIỂM TRA KẾT NỐI

Router # Show ip int brief– Các tình trạng có thể:

• Up/Up: kết nối bình thường. Đây là trạng thái mong muồn. Kết nối lớp 1 và lớp 2 đạt yêu cầu.

• Up/down: Kết nối bị lỗi ở lớp thứ 2 (lớp data link) nhưng đạt yêu cầu ở lớp thứ nhất (lớp vật lý).

– Nguyên nhân:• Với cổng Ethernet: lỗi cáp hoặc cáp cắm chưa chặt.• Với cổng serial: chưa được cấp clock rate. Bị lỗi không khớp

nhau giữa hai đầu về cách đóng gói dữ liệu (encapsulation mismatch), không nhận được keep-alive.

• Down/down: đường kết nối down ( layer 1) , cáp kết nối bị hỏng hoặc sai.

• Administrative down/down: Cổng chưa được bật lên ở 2 phía

Router# show controller s0/0- Xem DCE/DTE, loại cable đang kết nối.


3.3 TELNET VÀ SSH

Telnet là một giao thức đầu cuối ảo (virtual terminal) là một phần của chồng giao thức TCP/IP. Telnet cho phép tạo kết nối với thiết bị từ xa

Router(config)#line vty 0 15 Router(config-line)#login Router(config-line)#password Router Router(config-line)#^Z


3.3 TELNET VÀ SSH

• SSH là một phương pháp mã hoá bất đối xứng, tức là các thiết bị sử dụng một cặp key để mã hoá gọi là “ private key ” và “ public key “.

– 1 Các thiết bị sử dụng ứng dụng SSH dùng một khoá mã hoá: Secret Key ( key này được tạo ra do sử dụng thuật toán RSA được cấu hình trên server ).

– 2. các thiết bị sẽ trao đổi public key với nhau.– 3. các thiết bị sẽ gửi data được mã hóa, quá trình mã hóa như sau:

data + secret key + public key mà nó nhận được từ đầu xa.– 4. tại đầu xa sau khi nhận được encrypted data thì nó sẽ lấy private key của nó

để giải mã → tạo ra data dạng plain text.– 5. như vậy ta thấy chỉ có chính client mà server sẽ gửi data encryption mới có

thể giải mã được data thành dạng plain text vì server sử dụng public key của chính client đó. Do vậy mà những client khác mặc dầu nhận được nhưng do public key đó không phải của nó nên nó không giải mã được.

`

SSH server

Client

Client


3.3 TELNET VÀ SSH

• CẤU HÌNH:– Tạo account để các client có thể truy cập ssh vào:

R( config)# username VNPRO password VNPRO– Tạo domain name để có thể tạo key

R( config)# ip domain-name < name >– Sử dụng thuật toán RSA để sinh key:

R( config)# crypto generate key RSA– Áp vào VTY: để chỉ ra rằng những client sẽ truy cập vào các phiên vty bằng ứng

dụng ssh hay là telnetR( config)# line vty 0 4 R( config-line)# transport input [ ssh | telnet ]

• Chú ý: – Defaut khi ta không đánh gì thì đó là Telnet tức là “ transport input telnet” nhưng

vì câu lệnh này ẩn nên ta không nhìn thấy.– Ta cũng có thể cho các client truy cập vào bằng cả hai phương thức SSH và

TELNET ( Nếu ta chỉ khai báo ssh thì ta không thể sử dụng telnet được vì vậy mà ta phải dùng câu lệnh khai báo cho cả hai: transport input ssh telnet ).


3.4 GIAO THỨC CDP

• GIAO THỨC CDP: cho biết thông tin neighbor.

– Thông tin về layer 2.– Thông tin về layer 3.– Điều kiện để CDP hoạt động : các cổng phải up.


3.4 GIAO THỨC CDP

RouterA#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchA fa0/0 122 S I WS-C2960- fa0/2 RouterB s0/0/0 177 R S I 2811 s0/0/1


3. CISCO IOS


3. CISCO IOS

• Các câu hỏi ôn thi :4, 40, 41, 42, 43, 48, 50, 54, 78, 81, 84, 86, 98, 101, 103, 107, 118, 121, 123, 125, 129, 133, 135, 137, 138, 142, 146, 149, 178, 184, 194, 210, 222, 239, 241, 242, 244, 248, 252, 258, 277, 278, 279, 282, 285, 291, 314, 317, 320, 323, 325, 327, 331, 368, 376, 380, 381,402


4. IP – SUBNET - VLSM

• 4.1) Cần nhớ

• 4.2) Địa chỉ IP

• 4.3) Subnet

• Tìm hiểu thêm : dạng bài tập & Supernet (Xem tài liệu tham khảo)


4.1) Cần nhớ

• 00000000 0• 10000000 128• 11000000 192• 11100000 224• 11110000 240• 11111000 248• 11111100 252• 11111110 254• 11111111 255


4.2) Địa chỉ IP


4.2.1) Lớp A

- Địa chỉ mạng: 1.0.0.0 -> 127.0.0.0- Mạng 127.0.0.0 : loopback networkĐịa chỉ mạng sử dụng được: 1.0.0.0 -> 126.0.0.0 (126 mạng).- Phần host: 24 bit => mỗi mạng lớp A có (2^24 – 2) host.


4.2.2) Lớp B

- Địa chỉ mạng:128.0.0.0 -> 191.255.0.0Có tất cả 214 mạng trong lớp B.

- Phần host: 16 bitMột mạng lớp B có 2^16 – 2 host.


4.2.3) Lớp C

- Địa chỉ mạng:192.0.0.0 -> 223.255.255.0Có tất cả 221 mạng trong lớp C.

- Phần host: 8 bitMột mạng lớp C có 2^8 – 2 = 254 host.


4.2.4) Lớp D và E

Lớp D:- Địa chỉ:

224.0.0.0 -> 239.255.255.0- Dùng làm địa chỉ multicast. Ví dụ: 224.0.0.5 dùng cho OSPF 224.0.0.9 dùng cho RIPv2 Lớp E:Từ 240.0.0.0 trở đi.Dự phòng.


4.2.5) Địa chỉ Private và Public

Địa chỉ Private và Public:- Trong LAN: Private, không được định tuyến trên môi trường Internet. Internet: Public.- Dải địa chỉ private (RFC 1918):

Lớp A: 10.x.x.xLớp B: 172.16.x.x -> 172.31.x.xLớp C: 192.168.x.x

- NAT: chuyển đổi private <-> public.- Ý nghĩa của địa chỉ private: bảo tồn địa chỉ IP public.


4.2.5) Địa chỉ quảng bá

Địa chỉ quảng bá (broadcast): Gồm hai loại:- Direct: VD: 192.168.1.255- Local: VD: 255.255.255.255


4.3) SubnetÝ tưởng: một phòng ban, một bộ phận nhiều khi chiếm cả một subnet là không cần thiết vì lãng phí địa chỉ IP chính vì vậy mà ta phải chia mạng chính đó ra thành nhiều mạng con ( subnet ).- Subnet mask: chỉ ra phần nào của địa chỉ IP là mạng, phần nào là host. Các bit 1 chỉ mạng, các bit 0 chỉ host.VD: 255.255.255.0 – subnet mask của một mạng lớp C. 255.255.0.0 – subnet mask của một mạng lớp B.

- Mượn thêm một số bit của phần host để tăng thêm chiều dài cho phần mạng, chia nhỏ một mạng chính (major network ) thành nhiều mạng con (subnet):- Gọi n là số bit mượn, gọi m là số bit host còn lại, m ≥ 2. Ta có: Số subnet có thể có: 2n nếu có hỗ trợ subnet-zero

2n-2 nếu không hỗ trợ subnet-zero Số host trên mỗi subnet: 2m-2.

Bước nhảy: BN = 2m


Thí dụ: 172.16.20.200

• 172.16.20.200 là địa chỉ lớp B

• Phần mạng: 172.16

• Phần máy: 20.200

• Địa chỉ mạng: 172.16.0.0

• Địa chỉ quảng bá: 172.16.255.255

• Địa chỉ dùng được cho máy trong mạng –172.16.0.1 - 172.16.255.254


Thí dụ: 100.0.0.0

• 100.0.0.0 là địa chỉ lớp A• Phần mạng: 100• Phần máy: 0.0.0• Địa chỉ mạng: 100.0.0.0• Địa chỉ quảng bá: 100.255.255.255• Địa chỉ dùng được cho máy trong mạng

–100.0.0.1 - 100.255.255.254


Thí dụ: 192.168.255.255

• 192.168.255.255 là địa chỉ lớp C

• Phần mạng: 192.168.255

• Phần máy: 255

• Địa chỉ mạng: 192.168.255.0

• Địa chỉ quảng bá: 192.168.255.255

• Địa chỉ dùng được cho máy trong mạng –192.168.255.1 - 192.168.255.254


Các địa chỉ dành riêng• Được mô tả trong RFC-1918.• Class A: 10.0.0.0• Class B: 172.16.0.0 - 172.31.0.0• Class C: 192.168.0.0 - 192.168.255.0• Các lớp địa chỉ này dành riêng để đặt cho các máy

trong nội bộ tổ chức• Cần có một NATserver (network address translation:

dịch địa chỉ mạng) hoặc proxy server để cung cấp kết nối Internet cho các máy có địa chỉ dành riêng


Luyện tập

Địa chỉ IP LớpPhần mạng

Phần máy

Địa chỉ quảng bá

218.14.55.137

123.1.1.15

150.127.221.244

194.125.35.199

175.12.239.244

C 218.14.55 137 218.14.55.255

A 123 1.1.15 123.255.255.255

B 150.127 221.244 150.127.255.255

C 194.125.35 199 194.125.35.255

B 175.12 239.244 175.12.255.255


Kiểm tra địa chỉ hợp lệ

• 150.100.255.255

• 175.100.255.18

• 195.234.253.0

• 100.0.0.23

• 188.258.221.176

• 127.34.25.189

• 224.156.217.73


Gán địa chỉ IP cho thiết bị

Gán tĩnh và gán động


Gán tĩnh

• Đi đến từng thiết bị và cấu hình địa chỉ IP bằng tay

• Phải ghi nhớ từng địa chỉ đã cấp phát, vì địa chỉ IP là duy nhất trên toàn mạng (không có nhiều hơn một thiết bị cho một địa chỉ IP)

• Trường hợp trong mạng có vài trăm máy/thiết bị???


Gán động

• Một số giao thức cấp phát địa chỉ IP tự động• RARP: Reverse Address Resolution Protocol

(giao thức phân tích địa chỉ đảo)• BOOTP: BOOTstrap Protocol (giao thức tự mồi)• DHCP: Dynamic Host Configuration Protocol (giao

thức cấu hình máy động)• Thiết bị khi được bật lên tự tìm server để xin cấp

phát địa chỉ IP• Mỗi lần khởi động thiết bị có thể có địa chỉ IP khác


Gán động: DHCP

MAC:MAC: KnownKnownIP: IP: UnknownUnknown

MAC:MAC: KnownKnownIP: IP: UnknownUnknown

DHCP DiscoverDHCP DiscoverUDP BroadcastUDP Broadcast

DHCP OfferDHCP OfferUDP BroadcastUDP Broadcast

DHCP serverDHCP server

IPIP11IPIP22IPIP33

IPIP11IPIP22IPIP33

DHCP RequestDHCP Request

DHCP AckDHCP Ack

IP AddressIP AddressGatewayGatewayIP serverIP server……

IP AddressIP AddressGatewayGatewayIP serverIP server……


Gán động: DHCP



• Các câu hỏi ôn thi : 9, 37,163, 173, 174, 205, 208, 218, 251, 260, 274, 297, 335, 339.

• Lưu ý: câu 163 bị sai một chi tiết trên hình vẽ, tuy nhiên đáp án vẫn đúng. Mọi người có thể cho mình biết là chi tiết gì không? Thử nhé.


5. SWITCH

• 5.1) GIỚI THIỆU VỀ SWITCH.

• 5.2) PORT SECURITY.

• 5.3) VLAN, TRUNK, DTP, VTP, interVlan Routing

• 5.4) SPANNING TREE

• 5.5) RAPID SPANNING-TREE ( RSPT)


5.1) GIỚI THIỆU VỀ SWITCH.

– Là thiết bị layer 2.– Mỗi port của switch là một collision domain.– System LED:

• Xanh, Cam: hoạt động tốt.• Hỗ phách ( Amber): lỗi hệ thống.

– Cũng giống như switch, brigde cũng là thiết bị layer 2 nhưng có số port ít hơn switch.

• Switch được xem là tập hợp của nhiều brigde.


5.1) GIỚI THIỆU VỀ SWITCH.

– Cách hoạt động của switch:• Switch xây dựng bảng Mac-address table ( bảng CAM ) dựa vào

source MAC.• Switch sẽ forward frame dựa vào destination MAC của frame.• Khi một frame đến thì switch sẽ kiểm tra trong bảng CAM của nó

có thông tin về destination MAC của frame này hay không. Nếu có thì forward frame này ra port mà có destination MAC liên kết với nó, còn nếu không thì nó sẽ flood frame này ra tất cả các port ngoại trừ port mà nó nhận frame này.

– Thông tin của mỗi entry trong bảng CAM của switch sẽ được lưu trong bảng này không 300s, nếu trong khoảng thời gian mà không có traffic đi qua thì nó sẽ xóa entry này ra khỏi bảng CAM của nó.

– Với cách hoạt động như vậy thì một port của switch cũng có thể có nhiều địa chỉ MAC.


5.2) PORT SECURITY.

Mục đích triển khai port security nhằm ngăn chặn những user mà không được phép truy cập vào hệ thống của ta nếu qui phạm thì sẽ đưa ra một số hành động như shutdown hay gửi thông báo và ngăn không cho traffic đi qua.Gán địa chỉ MAC tĩnh trên port của switch:

SW(config)# interface f0/1SW(config)# switchport mode accessSW(config)# switchport access vlan < number>SW(config-if)# switchport port-securitySW(config-if)# switchport port-security mac-address < MAC>SW(config-if)# switchport port-security violation [ restrict |

protect |shutdown ]SW(config-if)# switchport spanning-tree portfast


5.2) PORT SECURITY.

• Chú ý: • 1. Những option trong cách hành xử như sau:

– shutdown: nếu PC có MAC lạ cấm vào thì sẽ shutdown interface này.

– Restrict: nếu PC có MAC lạ cấm vào thì gửi SNMP đến syslog để thông báo về sự vi phạm này, interface vẫn up nhưng tất cả packets với MAC source này đến sẽ drop.

– Protect: giống như Restrict nhưng không có gửi tín hiệu SNMP.

• 2. Một khi triển khai gán MAC tĩnh thì entry này sẽ tồn tại cố định trong bảng CAM.


5.2) PORT SECURITY.-- Triển khai học MAC động trên port của switch:

SW(config)# interface f0/1SW(config)# switchport mode accessSW(config)# switchport access vlan < number>SW(config-if)# switchport port-securitySW(config)# switchport port-security maximum < number> ( default switch chỉ học một MAC đầu tiên nếu ta không khai báo câu lệnh này ).SW(config-if)# switchport port-security mac-address stickySW(config-if)# switchport port-security violation [ restrict | protect |shutdown ]SW(config-if)# switchport spanning-tree portfast

Switch#show port-security interface fastethernet 5/1

Port Security: EnabledPort status: SecureUpViolation mode: ShutdownMaximum MAC Addresses: 11Total MAC Addresses: 11Configured MAC Addresses: 3Aging time: 20 minsAging type: InactivitySecureStatic address aging: EnabledSecurity Violation count: 0


5.3) VLAN, TRUNK, DTP, VTP, interVlan Routing

– VLAN:• Thông tin vlan được lưu trong flash hay còn gọi là

vlan.dat.• Mỗi vlan là một broadcast domain.


VLAN


TRUNK

• Là nơi mà cho phép nhiều packet thuộc các VLAN khác nhau có thể truyền qua.

• Default tất cả các VLAN được truyền qua đường trunk.


TRUNK - 802.1q

• 802.1Q: là chuẩn của IEEE, kiểu đóng gói này được dùng trên tất cả các thiết bị switch.

• Đặc điểm:– Thêm 4 bytes vào frame ban đầu.– Đối với native VLAN sẽ không tag 4bytes vào

frame nay.


TRUNK - ISL

• Là kiểu đóng gói của cisco

• Đặc điểm:– Thêm 30 bytes vào frame để truyển đi, trong

đó bao gồm 26 bytes header và 4 bytes trailer ( CRC ).

– Không có native VLAN.


TRUNK - ISL


DTP

• DTP: Là giao thức để cố gắng tìm xem phía đầu xa của kết nối có muốn hình thành trunk hay không, DTP hoạt động dựa trên các chế độ định nghĩa của một interface, default các thiết bị cisco dùng ở chế độ desirable.

• Một số chế độ trên interface của switch:– desirable mode: gửi ra thông điệp DTP mong muốn đầu xa

thiết lập trunk với nó.– Auto mode: không yêu cầu trunk đến đầu xa nhưng khi được

đầu xa mời thiết lập thì bật lên trunk.– Trunk mode: Luôn luôn trunk ở phía này của kết nối, dùng DTP

để giúp thiết bị đầu xa chọn lựa trunk.– Access mode: không bao giờ trở thành trunk.


DTP

Access

Trunk

Trunk

Access

Dynamic Auto

Access

Trunk

Trunk

Trunk

Dynamic Desirable

Not recommended

Trunk

Trunk

Trunk

Trunk

AccessAccess

Not recommended

Trunk

AccessDynamic Desirable

AccessDynamic Auto

Access

Access

Trunk

Trunk

Access

Dynamic Auto

Access

Trunk

Trunk

Trunk

Dynamic Desirable

Not recommended

Trunk

Trunk

Trunk

Trunk

AccessAccess

Not recommended

Trunk

AccessDynamic Desirable

AccessDynamic Auto

Access


VTP

• VTP: Gửi thông tin cập nhật ra tất cả các kết nối trunk ( ISL hoặc Dot1q).

• Điều kiện để cho các switch trao đổi thông tin cập nhật:– Các switch phải cùng VTP domain.– Các switch phải cùng VTP password ( nếu có).

• Các VTP mode:– VTP mode server: có thể tạo xóa thông tin vlan.– VTP mode client: không thể tạo xóa thông tin vlan.– VTP mode transparent: có thể tạo xóa thông tin VLAN như chỉ

diễn ra cục bộ của switch. ( Lưu ở NVRAM ).• Chú ý: đối với client và server thì cái nào có thông số

revision number lớn hơn thì các switch trong cùng domain sẽ học thông tin từ switch này.


Interrouting VLAN:

interface fastethernet 0/0.1encapsulation dot1q 1ip address 10.1.1.1 255.255.255.0

interface fastethernet 0/0.2ip address 10.2.2.1 255.255.255.0encapsulation dot1q 2

interface fastethernet 0/0.1encapsulation dot1q 1ip address 10.1.1.1 255.255.255.0

interface fastethernet 0/0.2ip address 10.2.2.1 255.255.255.0encapsulation dot1q 2


5.4) SPANNING TREE

• Hoạt động ở layer 2 của mô hình OSI.

• Nguyên nhân đưa ra STP: sử dụng trong mô hình redundant nhưng khi xây dựng mô hình này nó bị một số hiện tượng:

– Broadcast storm: ví dù một máy gửi tín hiệu broadcast ( xin DHCP, NICs bị lỗi..) làm tràn ngập đường truyền.

– Không ổn định bảng MAC


Không ổn định bảng MAC

• Máy X gửi một tín hiệu unknown unicast ( unicast mà có destination trong bảng CAM ). Thì sw A sẽ flood ra tất cả các port, ở đây sw sẽ forward qua hai port. Đối với port thuộc segment 1 thì sw B học địa chỉ mac X qua port này, tương tự sw A gửi ra port thuộc segment 2 thì sw B cũng học qua port thuộc segment này và xóa đi entry mà nó học được từ segment 1. Qúa trình này cứ diễn ra như vậy làm cho bảng CAM của ta không ổn định.


Nguyên nhân đưa ra STP

Multiple copy:

Máy X gửi một frame unicast đến router Y, do mac Y chưa có trong bảng MAC của 2 switch nên tại router Y sẽ nhận 2 frame giống nhau đến từ 2 switch.


Giải thích BPDU ( hello )

• BPDU: gói tin này bao gồm một số trường như sau: (gởi 2s/lần):– Root brigde ID: chỉ ra switch nào đang làm root

brigde.» Brigde ID: bao gồm 8 bytes, trong đó 2 byte đầu là

trường priority + 6 bytes là trường MAC của switch.– sender’s brigde ID: trường này chỉ ra switch của

mình.– path cost: cho biết cost đi đến root brigde.– timer value: bao gồm hello timer, Max age, Forward

delay.


Giải thích hoạt động của Spanning-tree

• Các switch sẽ tiến hành bầu chọn root brigde ( tất cả switch đều gửi BPDU và cho mình là root brigde ).– priority ( min ).– Mac address ( min ).

• Bầu chọn Root Port ( trên tất cả non-root brigde ): đường đi đến root brigde là ngắn nhất – path cost: đến root brigde là min. ( Thuộc BW trên từng cổng ).– sender’s brigde ID ( switch có mac min ).– Sender’s port ID ( port nào càng nhỏ càng tốt ).

• Bầu chọn Designated-Port: bầu chọn DP ưu tiên những segment đã có RP. Sau đó những segment còn lại mà chưa bầu chọn sẽ tiến hành chọn ra DP.– path cost.– sender’s brigde ID

• Bầu chọn Non-Designated Port: port còn lại là non-DP.



– Root brigde: Là switch mà mọi traffic đều đi qua nó.

– Designated port: là port sẽ gửi BPDU ( Brigde Protocol Data Unit )

– Root port: là port mà thông qua nó switch sẽ đi đến root brigde với cost nhỏ nhất ).

– Port blocking ( non-designated port ): là port vẫn nhận BPDU nhưng không forward frame.


Trạng thái của port khi hoạt động spanning-tree


PORT STATE

• Blocking : tại trạng thái này thì switch sẽ không forward frame nhưng vẫn nhận BPDU.

• Listening: nhận BPDU, nhưng không học địa chỉ MAC và không send và thu frame.

• Learning: interface cũng sẽ không forward frame nhưng lúc này switch sẽ bắt đầu học địa chỉ MAC.

• Forwarding: học và forward frame.


5.5) RAPID SPANNING-TREE ( RSPT)

• RSPT: Hoạt động giống như SPT truyền thống nhưng tốc độ hội tụ của nó nhanh hơn.

• Vai trò của một số port:– Root port.– Designated port.– Alternated port: giống như blocking port trong SPT.– Backup port: là một cổng kết nối trên 1 segment với

1 cổng khác, nhưng cổng kia là DP cho phân đoạn mạng này. Cổng Backup sẽ thay thế khi nào DP bị sự cố.



• Các trạng thái switch port sẽ trải qua:– Discarding.– Learning.– Forwarding.

• Các kiểu kết nối trong RSPT:– point-to-point : kết nối giữa hai switch với nhau.– Shared: kết nối một switch với một hub.– Egde: kết nối với thiết bị của người dùng đầu cuối. (

giống như portfast).


5.4) SPANNING TREE

• Một số lệnh kiểm tra:– SW# show spanning-tree: Kiểm tra xem switch của

mình có phải là root brigde không, trạng thái các port đang tham gia là gì ( blocking, designated, root port).

– SW# show vlan : kiểm tra xem trên switch có bao nhiêu vlan, port nào thuộc vlan nào.

– SW# show vtp status: kiểm tra xem switch đang được cấu hình ở mode nào, số revision là bao nhiêu.

– SW# show interface trunk : kiểm tra xem interface được cấu hình trunk.


5. SWITCH


5. SWITCH

• Switch cơ bản, port – security: 2, 15, 27, 34, 92, 105, 116, 147, 166,176, 202, 304, 306, 312, 318, 330, 346, 375, 384, 386, 388.

• VLAN, Trunk, VTP, Interrouting VLAN: 10, 24, 30, 44, 49, 53, 62, 91, 108, 112, 115, 127, 136, 148, 153, 157, 159, 180, 186, 212, 225, 229,236, 269, 283, 301, 302, 308, 321, 353, 354, 355, 356, 373,399,400,401.

• STP:17, 33, 39, 57, 79, 88, 111, 188, 192, 238, 292, 309, 313, 319, 328, 352, 378, 385, 389.


6. ROUTING

• 6.1) TỔNG QUAN VỀ ROUTING VÀ STATIC ROUTE.

• 6.2) RIP (ROUTING INFORMATION PROTOCOL)

• 6.3) EIGRP

• 6.4) OSPF


6.1) TỔNG QUAN VỀ ROUTING VÀ STATIC ROUTE.


STATIC ROUTE

• Static route• R(config)# ip route < network > SM [ip next-hop

|outbound ] < AD >.

• Default-route: – Rút gọn bản định tuyến.– Được sử dụng khi trong bảng định tuyến

của router không có thông tin của một network nào đó.• R( config)# ip route 0.0.0.0 0.0.0.0 [ ip next-hop |

outbound ]


6.2) RIP (ROUTING INFORMATION PROTOCOL)

• RIP:• AD = 120.• Kiểu distance vector.• Trao đổi thông tin định kỳ 30s.

• Metric tính bằng hop count.


6.2) RIP (ROUTING INFORMATION PROTOCOL)

Một số điểm khác nhau giữa RIPv1 và RIPv2:

RIPv1 Định tuyến theo lớp địa chỉ.Không gởi thông tin về subnet-mask trong thông tin định tuyến.Không hỗ trợ VLSM. Vì vậy tất cả các mạng trong hệ thống RIPv1 phải cùng subnet mask.Không có cơ chế xác minh thông tin định tuyến.Gởi quản bá theo địa chỉ 255.255.255.255

RIPv2Định tuyến không theo lớp địa chỉ.Có gởi thông tin về subnet mask trong thông tin định tuyến.Có hỗ trợ VLSM. Nên các mạng trong hệ thống RIPv2 có thể có chiều dài subnet mask khác nhau.Có cơ chế xác minh thông tin định tuyến.Gửi quản bá theo địa chỉ 224.0.0.9 nên hiệu quả hơn.


CẤU HÌNH

• R(config)# router rip

• R(config-router)#version 1|2

• R(config-router)# network < major-network>

• R(config-router)# no auto-summary


MộT SỐ PHƯƠNG PHÁP CHốNG LOOP

- Split horizon.- Route posioning. ( gửi metric = infinity)- Posion reverse ( phản hồi lại khi nhận

Route posioning).- Holdown timer.- Trigger update.


6.3) EIGRP

• AD = 90.• Mang nhiều đặc tính của Distance vertor.• Hội tu nhanh.• Hỗ trợ VLSM.• Hỗ trợ mạng gián đoạn.• Trao đổi thông tin định tuyến ở địa chỉ multicast

224.0.0.10• Metric = ( 10^7/BW (min) + tổng delay ).256.


Một số khái niệm FD ( Feasible Distance): là metric tốt nhất do router tính toán để đi đến một network nào đó.AD ( Advertised Distance ): là metric tốt nhất mà được neighbor thống báo lại cho router của ta.Successor route: là thông tin định tuyến đi đến một network X nào đó với metric tốt nhất = FD. Được lưu ở Topology database và routing table.Feasible successor route: là thông tin định tuyến để đi đến một network X nào đó với metric > FD, nhưng với điều kiện AD < FD. Được lưu trong Topology table.


CẤU HÌNH

• R(config)# router eigrp < AS-number>

• R(config-router)# network < major-network>

• R(config-router)# no auto-summary


HOẠT ĐỘNG

– Hoạt động:– trao đổi hello để thiết lập neighbor. ( RAM)

» Nếu > T1=1.544MB/s: 5s.» Nếu < = T1: 60s.» Lưu vào neighbor table.

– Trao đổi thông tin định tuyến với nhau » lưu tất cả vào topology table ( RAM).

– sử dụng thuật toán DUAL:» router tốt nhất được lưu vào routing table. ( RAM).

– Cân bằng tải:– với cost bằng nhau.– với cost không bằng nhau:

» sử dụng thông số variance.» Variance > FS/FD.


6.4) OSPF

• AD = 110.• Cost = 108 / BW.• Là giao thức Link-state.• Hội tụ nhanh.• Sử dụng địa chỉ muticast 224.0.0.5 trao đổi từ

DR và BDR đến các router khác.• 224.0.0.6: từ các router khác đến DR và BDR.


6.4) OSPF


6.4) OSPF

• Area type.• Chọn Router ID:

– IP loopback cao nhất ( logical interface ).

– IP interface vật lý cao nhất ( nếu không có int loopback).

• Quá trình bầu chọn DR và BDR ( trong môi trường broadcast mutiaccess và non-broadcast multiaccess ).– Để chọn 1 router nào đó làm DR trong mạng ta có thể thực

hiện như sau:

» Thay đổi priority trên interface của router mà nó tham gia vào segment đó với thông số là cao nhất.

» Hoặc thay đổi priority trên interface của những router trên segment đó với giá trị bằng 0.

» Cấu hình interface loopback trên router với IP address là lớn nhất.


6.4) OSPF

– Yêu cầu 2 router có thể thiết lập được quan hệ neighbors:

• Cùng area.• Cùng thời gian hello-interval và Dead timer.


CẤU HÌNH

– R(config)# router ospf < process-id>– R(config-router)# network < network> WC

area < area-number>.

• Trong đó: – process-id là thông số cục bộ trên mỗi router

chạy OSPF.– Mỗi một process-id là một đối tượng duy nhất

trong database.


6. ROUTING


6. ROUTING

• Cơ sở định tuyến, static route, default route: 70, 75, 76, 80, 82, 85, 89, 95, 124, 126, 137, 167, 179, 199, 216, 231, 245, 254, 307, 336.

• RIP: 36, 46, 55, 65, 144, 155, 211, 256, 273, 275, 281, 329, 340, 382.

• OSPF:20, 61, 72, 113, 120, 122, 131, 170, 255, 266, 267, 270, 280, 332.

• EIGRP:97, 174, 185, 187, 191, 214, 233, 257, 261, 357,396,398


7. ACLS & NAT

• 7.1) ACLs (ACCESS-LIST )

• 7.2) NAT (NETWORK ADDRESS TRANSLATION ).


7.1) ACLs

• STANDARD ACCESS-LIST:


7.1.1)STANDARD ACCESS-LIST:Câu lệnh: ( config)# access-list < 1-99> [ permit| deny] < IP-source> <Wildcard

mask>.Trường hợp: chỉ có 1 host thì:(config)# access-list <1 – 99> [ permit | deny ] [ IP 0.0.0.0 hoặc host

IP ]Trường hợp : Địa chỉ là anyTừ khóa “ any “ được thay cho 255.255.255.255 255.255.255.255

Apply ACL:Đối với: traffic bình thường ( ping …)(config)# interface < tên cổng>( config-if)# ip access-list < access-list-number> [ in| out].Đối với: dùng cho traffic telnet(config)# line vty 0 4(config-line)# ip access-class < access-list-number> [ in|out].

– Chú ý: • Standard ACL sẽ áp gần destination của packet.• ACL nó sẽ không kiểm tra đối với traffic xuất phát từ chính router.


7.1.2) EXTENDED ACLs

• Cấu hình: • R(config)# access-list < 100 – 199 > [ permit |

deny ] protocol IP-source WildCard IP-destination WC [ eq ] < Application-port >

• Ví dụ : Viết access-list cho ping:– R(config)# access-list 100 [ permit | deny ] icmp IP-

source WC IP-destination WildCard echo


7.1.2) EXTENDED ACLs• Chú ý: EXTENDED ACL áp tại source


7.1) ACLs


7.2) NAT


7.2) NAT

Inside local

Inside global Outside global

Outside local

Cấu hìnhChỉ default-route.Sử dụng câu lệnh nat.Áp vào interface.Sử dụng access-list để chỉ ra IP private nào sẽ được NAT.


7.2.1)STATIC NAT

• Ánh xạ điạ chỉ : 1:1• Mục đích: dùng để ánh xạ một địa chỉ private với một

địa chỉ public.

interface s0ip address 192.168.1.1 255.255.255.0ip nat outside!interface e0ip address 10.1.1.1 255.255.255.0ip nat inside!ip nat inside source static 10.1.1.2 192.168.1.2


7.2.1)DYNAMIC NAT

• Sử dụng pool cho INSIDE GLOBLE để dùng cho IP private.

– Ta có kiểu NAT này cũng là ánh xạ 1:1.


7.2.1) NAT Overload (PAT)

• Ánh xạ theo kiểu n:1.

hostname RouterX!interface Ethernet0ip address 192.168.3.1 255.255.255.0ip nat inside

!interface Ethernet1ip address 192.168.4.1 255.255.255.0ip nat inside

!interface Serial0description To ISPip address 172.17.38.1 255.255.255.0ip nat outside

!ip nat inside source list 1 interface Serial0 overload!ip route 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 permit 192.168.4.0 0.0.0.255!


7.2) NAT

• Câu LAB thi quốc tế (Q18)


7.2) NAT• Tạo nat pool:

– R(config)# ip nat pool abc 198.18.32.65 198.18.32.70 netmask 255.255.255.248• Thực hiện câu lệnh nat:

– R(config)# ip nat inside source list 1 pool abc overload – ( vì đề bài yêu cầu cho phép cho 62 host có thể ra internet cùng một lúc

nên ta dùng từ khóa “ overload”.)• Tạo access-list:

– R(config)# access-list 1 permit 192.168.6.64 0.0.0.63• Áp vào interface:

– R(config)# int s0/0– R(config)# ip nat outside– R(config)# int f0/0– R(config)# ip nat inside– R# copy run start ( nhớ đánh câu lệnh này khi cấu hình xong).

• Chú ý: ta phải show run để xem thử đã có default-route hay chưa, nếu chưa có thì ta phải config thêm.


7. ACLS & NAT

• ACL: 1, 7, 12, 13, 23, 38, 58, 60, 100, 102, 114, 119, 145, 156, 162, 164, 219, 230, 235, 237, 243, 247, 265, 284, 294, 316, 360, 367, 371, 394.

• NAT: 11, 18, 23, 29, 59, 77, 93, 130, 207, 276, 311, 338, 364, 369.


8. WAN

• 8.1) LAYER1.

• 8.2) LAYER2.

• 8.3) FRAME RELAY.


8.1) LAYER1.

Cable giữa CSU/DSU và Telco là RJ-48.WAN circuit từ nhà cung cấp dich vụ có thể có một hoặc nhiều tốc độ

được định nghĩa trước. tốc độ này thường quy vào: clock rate, bandwith, link speed. Khách hàng khi đặt một mạch kết nối và sẽ xác định một tốc độ cụ thể, khi đó telco sẽ install circuit mà hoạt động tại tốc độ này.

Thêm nữa, customer phải cấu hình CSU/DSU tại mỗi đầu cuối cho match với tốc độ đã định nghĩa.


8.1) LAYER1.

• Synchronization được thu giữa 2 CSU/DSU trên lease line bằng cách có một CSU/DSU ( slave ) điều chỉnh clock rate cho tương thích CSU/DSU ( master )

• TELCO cung cấp thông tin về clock đến CSU/DSU trên cơ sở truyền tín hiệu điện trên mạch. Hai CSU/DSU phải điều chỉnh tốc độ match clock signal từ TELCO. Tiếp đó CSU/DSU cung cấp clocking signal đến router để tác động đến router, gửi và thu dữ liệu chính xác. Vì vậy từ gốc nhìn router thì CSU/DSU đựơc xem là clocking của link.

• Thiết bị mà cung cấp clocking ( Điển hình CSU/DSU ) là Data Communication Equipment ( DCE), thiết bị mà thu clocking ( Điển hình Router ) là Data Terminal Equipment ( DTE ).


8.2) LAYER2.

WAN protocol trên kết nối point-to-point cung cấp tính năng cơ bản là phân phối data qua một link. Có hai giao thức chính là High-Level Data Link Control ( HDLC) và Point-to-Point Protocol ( PPP ).


HDLC

• HDLC ( Của cisco ): tương đối đơn giản, triển khai trong một phạm vi nhỏ mà không cần xác thực. HDLC cần thiết để xác định nếu data đi qua link khi không lỗi, nếu không thì frame sẽ bị discard.


PPP

• Point-To-Point Protocol ( PPP ): là chuẩn chung cho nhiều hãng.

• Một số kiểu kết nối point-to-point sử dụng trong PPP: – Lease line ( digital line).– Packet Switch ( chuyển mạch ảo): các VC được tạo

ra trong FR.– Circuit Switch ( chuyển mạch mạch ): dùng trong

những đường quay số như ISDN.– Broadband: sử dụng trong DSL: PPPoE, PPPoA.


PPP

• PPP định nghĩa ra một thông điệp điều khiển layer 2 ( LCP: Link Control Protocol ). Tính năng điều khiển này rơi vào 2 đặc tính sau:– LCP là giao thức điều khiển trên link, hoạt động ở

layer 2. – NCP ( Network Control Protocol): mang thông tin

của nhiều giao thức chạy qua link.• Ví dụ :

» IPCP mang thông tin của IP chạy qua link.

» IPXCP mang thông tin của IPX chạy qua link.


LINK CONTROL PROTOCOL ( LCP ):

• error detection ( Quality of link ): đo số packet gửi ra và số packet bị lỗi ( lấy tỷ số ) nếu vượt qua ngưỡng cho phép thì shutdown cổng.

• looped link detection: LCP đươc sử dụng, chứa thông số magic number. Router sẽ trao đổi LCP massage thay vì keepalive qua link. Nếu như có loop xảy ra thì router sẽ nhận thông số magic number của chính nó.

• PPP multilink: cung cấp load-balancing qua nhiều đường song song.


PPP Authentication

– PAP: gửi username/password ở dạng plain-text.

– Sử dung username của đầu này là hostname của đầu kia và ngược lại.

– Khi bắt đầu quay số thì router sẽ gửi username và password cho đầu xa, tại đầu xa nó sẽ kiểm tra username và password nếu đúng là thành công. Và ngược lại.


PPP Authentication

– CHAP: Theo nguyên tắc username của R1 là hostname of R2.

• Hoạt động: R1 quay số thì nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hash username và password nhưng chỉ gửi username cho R2. tai R2 sẽ tìm username mà giống vói hostname nhận được và sẽ hash để gửi lại cho R1. R1 nhận password và so sanh với pass mà no hash nếu đúng thì thành công.

• Ta cũng có thể dùng: ppp chap hostname <>: để cho R gửi hostname này đi ( trong trường hợp 2 đầu cấu hình username va hostname khác nhau


8.3) FRAME RELAY.

• Một đường luận lý truyền thông giữa 2 DTE được gọi là Virtual Circuits ( VC ).

• Khi VC được cấu hình các thông số thì được gọi la những Permanent Virtual Circuit ( PVC ).

• Đóng gói được thực hiện tại DTE


LMI

– Là tín hiệu duy trì và quản lý kết nối.– Tín hiệu này có giá trị cục bộ trên kết nối

giữa router DTE và frame-relay DCE.– Có 3 loại tín hiệu:

• Cisco.• Ansi.• Q933a.


Địa chỉ layer 2

– Sử dụng thông số DLCI ( Data-link circuit identifier ).– Vì DLCI có giá trị cục bộ trên mỗi PVCs nên gía trị này có thể

giống nhau ở các PVCs ( ví dụ như tại những Spoke router thì giá trị DLCI có thể trùng nhau ).


Các loại mô hình sử dụng trong FR

• Là môi trường Non-Broadcast Multiaccess ( NBMA).

• Hub-and-Spoke. • Partial Mesh.• Full-Mesh.


Một số kiểu khai báo trên interface

– Khi ta cho phép một số giao thức định tuyến chạy trên FR, chẳng hạn như Distance Vector thì ta sẽ gặp phải vấn đề của distance vector gây ra, đó là split-horizon ( trong mô hình Hub-and-Spoke ). Để giải quyết vấn đề này ta sẽ chia sub-interface trên interface của Hub router.

• Interface point-to-point: – mỗi PVC là một subnet.– áp dụng trong mô hình hub-and-spoke.– giải quyết được hiện tượng split-horizon.

• Interface multipoint:– các PVC cùng thuộc một subnet.– bị hiện tương split-horizon.


Cấu hình trên router DTE • R(config)# interface f0/0 [ point-to-point | point-to-multipoint]• R( config-subif)# encapsulation frame-relay [ ietf] ( ietf : được sử

dụng khi encapsulation giữa 1 router cisco và non-cisco ).• R(config-subif)# ip address < IP >• R(config-subif)# frame-relay lmi-type [ cisco | ansi | q933a ]• R(config-subif)# frame-relay map < IP_remote> < DLCI of mình >

broadcast• R(config-subif)# no shut

– Chú ý khi map tĩnh thì cơ chế inverse ARP tự động bị disable.– Khi một thiết bị cisco và một thiết bị non-cisco kết nối với nhau

qua FR nếu ta để giá trị encapsulation default thì chúng sẽ không chạy vì khác kiểu đóng gói.


INVERSE ARP

• Giao thức này tự động map giữa địa chỉ layer 3 với địa chỉ layer 2 ( DLCI ). Tuy nhiên giao thức này chỉ hoạt động khi:– mô hình full-mesh.– Sau khi VC up ( tức đã cấu hình các thông số

giữa 2 đầu DTE và DCE thích hợp).


+ Như vậy gói inverse ARP bao gồm : IP source + DLCI source.Khi PVC up, thì router sẽ gửi gói inverse ARP ra tất cả các interface mà nó kết nối với frame-relay switch.+ Inverse ARP được bật bởi default. Một số vấn đề:+ point-to-point interface: inverse ARP không yêu cầu. bởi vì chỉ có 1 destination nên discovery là không cần thiết. ( do đó ta chỉ cần sử dụng command frame-relay interface-dlci )+ Khi dynamic map thì router nó sẽ map IP của next-hop với DLCI của nó. default inverse ARP enable nhưng khi thực hiện map tĩnh thì Inverse ARP sẽ bị disable.+ Tín hiệu LMI ( Giao thức của tín hiệu LMI )được triển khai dùng để trao đổi keepalive và quản lý thông tin chẳng hạn detection lỗi, kiểm tra kết nối của những PVC.+ Tín hiệu LMI được gửi bởi 10s ( default)


Điều khiển tốc độ và discard trong đám mây frame-relay:

• Khi link access có tốc độ là T1 trong khi hợp đồng đăng ký với nhà cung cấp dịch vụ chỉ có 128k ( CIR), nếu như data truyền qua link này lớn hơn tốc độ cung cấp thì có nghẽn xãy ra, khi đó trong phần header của frame sẽ sử dụng 3 bit để thông báo có sự mismatch về tốc độ.– FECN ( Forward Explicit Congestion Notification)– BECN ( Backward Explicit Congestion Notification ). – DN ( Discard Egilibility)


Troubleshoot Frame-relay Connnectivity

# show frame-relay lmi: xem thông số lmi trên mỗi access link.# show frame-relay pvc: sau khi xác nhận thông số dlci match với ISP thì kiểm tra lại đúng như vậy hay ko ( dlci của router đang show ). Tại lệnh này ta có thể thấy có mục PVC Status như sau:

Nếu PVC Status = ACTIVE: pvc này hoạt động và traffic có thể pass. PVC Status = INACTIVE: Kết nối local đến frame-relay hoạt động

nhưng kết nối ở remote router không hoạt động. PVC Status = DELETED: hư tại router của ta, do ko thu được

LMI, cũng có thể có vấn đề ở vật lý.

RouterX# show frame-relay pvc 100

PVC Statistics for interface Serial0 (Frame Relay DTE)

DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0

input pkts 28 output pkts 10 in bytes 8398out bytes 1198 dropped pkts 0 in FECN pkts 0in BECN pkts 0 out FECN pkts 0 out BECN pkts 0in DE pkts 0 out DE pkts 0out bcast pkts 10 out bcast bytes 1198pvc create time 00:03:46, last time pvc status changed 00:03:47



• Hiển thị thông tin về DLCI, LMI-TYPE, IP

RouterX# show interfaces s0

Serial0 is up, line protocol is upHardware is HD64570Internet address is 10.140.1.2/24MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec)LMI enq sent 19, LMI stat recvd 20, LMI upd recvd 0, DTE LMI upLMI enq recvd 0, LMI stat sent 0, LMI upd sent 0LMI DLCI 1023 LMI type is CISCO frame relay DTEFR SVC disabled, LAPF state downBroadcast queue 0/64, broadcasts sent/dropped 8/0, interface broadcasts 5Last input 00:00:02, output 00:00:02, output hang neverLast clearing of "show interface" counters neverQueueing strategy: fifoOutput queue 0/40, 0 drops; input queue 0/75, 0 drops<Output omitted>



• Hiển thị thông tin về LMI-TYPE là gì

RouterX# show frame-relay lmi

LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = CISCOInvalid Unnumbered info 0 Invalid Prot Disc 0Invalid dummy Call Ref 0 Invalid Msg Type 0Invalid Status Message 0 Invalid Lock Shift 0Invalid Information ID 0 Invalid Report IE Len 0Invalid Report Request 0 Invalid Keep IE Len 0Num Status Enq. Sent 113100 Num Status msgs Rcvd 113100Num Update Status Rcvd 0 Num Status Timeouts 0



• Hiển thị thông tin của mỗi PVC

RouterX# show frame-relay pvc 100

PVC Statistics for interface Serial0 (Frame Relay DTE)

DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0

input pkts 28 output pkts 10 in bytes 8398out bytes 1198 dropped pkts 0 in FECN pkts 0in BECN pkts 0 out FECN pkts 0 out BECN pkts 0in DE pkts 0 out DE pkts 0out bcast pkts 10 out bcast bytes 1198pvc create time 00:03:46, last time pvc status changed 00:03:47



• Hiển thị thông tin map tại mỗi entry


8. WAN


8. WAN

• Frame – relay: 5, 23, 63, 67, 74, 134, 140, 168, 203, 217, 259, 305, 342, 343, 344, 345, 358,361, 374, 377, 393.

• PPP: 73, 132, 198, 204, 209.

• WAN: 94,96,215,221,223,224(giống 221)


9. DHCP-WIRELESS-IPV6

• 9.1) DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL )

• 9.2) WIRELESS.

• 9.3) IPv6.


9.1) DHCP

• Hoạt động :


9.1) DHCP

• Cấu hình dhcp:– R( config)# service dhcp : enable DHCP.– R(config)# ip dhcp pool < pool-name> : tạo pool-name.– R(config-if)# network network-id : Chỉ ra một network để

server cấp IP.– R(config-if)# default-router < IP > : Dùng để cấp Default-

gateway cho các client và server cũng sẽ dựa vào thông số này để mà cấp những network đúng cho các LAN.

– R(config-if)# dns-server < Ip dns-server > : cấp ip dns-server cho các client.

– R(config)# ip dhcp excluded-address < IP >: những IP nào được khai báo trong câu lệnh này thì server sẽ không cấp cho các client.


9.2) WIRELESS.

- Các chuẩn Wireless: 802.11a, 802.11b, 802.11g.


• Chú ý: – 802.11b: Gồm có 11 kênh ( từ 1-11) trong đó có 3

kênh không overlap 1,6,11.

– Độ rộng của mỗi kênh là 22MHz.– Khoảng cách mỗi giữa 2 kênh liên tiếp: 5MHz.

– 802.11a: Gồm 23 kênh trong đó có khoảng 12 kênh không overlap.

– 802.11g: Gồm 11 kênh trong đó có 3 kênh không overlap.


Các mô hình wireless

• + IBSS (adhoc): Các PC trao đổi dữ liệu với nhau. Không có sự tham gia của access-point.

• +BSS:Có một access-point.

• +ESS: có từ 2 access-Point trở lên, mỗi AP phải thuộc 1 kênh riêng để tránh nhiễu


Các mô hình wireless


Các thông số cơ bản khi cấu hình access-point

• SSID,

• Kênh RF (RF channel),

• Phương pháp xác thực, mã hóa (authentication method).

• Nếu SSID không được phát broadcast, client muốn truy nhập không dây phải tự cấu hình SSID khớp với SSID của access-point.


Các chuẩn bảo mật cho wireless

• + WEP: dùng pre-shared key (PSK) tĩnh để xác thực truy nhập và mã hóa dữ liệu. Mã hóa bằng thuật toán WEP.

• +WPA: – Xác thực truy nhập: dùng PSK hoặc server xác thực

truy nhập với 802.1x. – Mã hóa dữ liệu: sử dụng thuật toán TKIP với key

động thay đổi theo từng gói

• +WPA2:– Xác thực truy nhập: giống WPA– Mã hóa dữ liệu: sử dụng thuật toán AES.


Các chuẩn bảo mật cho wireless


Một số lưu ý

• - Nhiễu vật lý thường là do: cordless phone, bề mặt kim loại ( metal file cabinet), kiểu và chiều của anten (antenna type or direction), lò vi sóng (microwave oven).

• - Trong mô hình ESS: điều kiện để có thể roaming là vùng chồng lấp che phủ (overlap) giữa hai access-point phải từ 10% trở xuống và các kênh RF của hai access-point không chồng lấn nhau.


Security:

• Các kiểu tấn công: DoS (Denial of Service), reconnaisance (do thám), Trojan horse, virus, worm,….

• Bảo vệ file cấu hình khỏi các truy nhập bên ngoài bằng cách sử dụng SSH, firewall.

• Các thiết bị security: IDS, IPS.• Trong các biện pháp của một chiến lược bảo

mật toàn diện, bảo mật về mặt vật lý (physical secure) là một biện pháp quan trọng.


IPv6

• IP version 6 (IPv6) was developed to overcome the limitations of the current standard, IP version 4 (IPv4). IPv4 allows end systems to communicate and forms the foundation of the Internet as we know it today. However, one of the major shortcomings of IPv4 is its limited amount of address space. The explosion of new IP-enabled devices and the growth of undeveloped regions have fueled the need for more addresses.

• In the United States, the Department of Defense (DoD) is a primary driver for the adoption of IPv6.


Introducing IPv6

• IP version 6 (IPv6) combines expanded addressing with a more efficient and feature-rich header to meet the demands for scalable networks in the future.

• One key benefit is that IPv6 can recreate end-to-end communications without the need for Network Address Translation (NAT)

• Cisco Systems currently supports IPv6 in Cisco IOS Software Release 12.2(2)T and later.


IPv6 Features


Large Address Space


• IPv6 routers do not perform fragmentation. Instead, a discovery process determines the optimum maximum transmission unit (MTU) to use during a given session.

• Link-layer technologies already perform checksum and error control. Because link-layer technologies are relatively reliable, an IP header checksum is considered to be redundant.


Comparing IPv4 and IPv6 Headers

• Flow Label: 20-bit field that allows a particular flow of traffic to be labeled. It can be used for multilayer switching techniques and faster packet-switching performance.

• Extension Headers: Follows the previous eight fields. The number of extension headers is not fixed, so the total length of the extension header chain is variable.

Traffic class: ToSPayload LengthNext Header: Tcp, Udp…Hop Limit: TTLNo Checksum


Extension Header

Extension Header


Defining Address Representation

• Leading zeros in a field are optional, so 09C0 = 9C0 and 0000 = 0. • Successive fields of zeros can be represented as “::” only once in an address. • An unspecified address is written as “::” because it contains only zeros.


IPv6 Address types• Unicast address

– Link local: FE80::/10, Scope is configured to single link. The address is unique only on this link, and it is not routable off the link. (similar to 169.254.x.x private address)

– Site local: FEC0::/10 (similar to private address)– Global: Globally unique, so it can be routed globally with no

modification. A global address has an unlimited scope on the worldwide Internet. Packets with global source and destination addresses are routed to their target destination by the routers on the Internet.

• Multicast address: IPv6 does not have broadcast addresses. The range of multicast addresses in IPv6 is larger than in IPv4. For the foreseeable future, allocation of multicast groups is not being limited.

• Anycast address: An anycast address identifies a list of devices or nodes; therefore, an anycast address identifies multiple interfaces. A packet sent to an anycast address is delivered to the closest interface, as defined by the routing protocols in use.


Special Address


IPv6 Global Unicast and Anycast address

• Global unicast addresses are defined by a global routing prefix, a subnet ID, and an interface ID. The current global unicast address assignment by the Internet Assigned Numbers Authority (IANA) uses the range of addresses that start with binary value 001 (2000::/3), which is one-eighth of the total IPv6 address space and is the largest block of assigned block addresses.

• Addresses with a prefix of 2000::/3 (001) through E000::/3 (111), with the exception of the FF00::/8 (1111 1111) multicast addresses, are required to have 64-bit interface identifiers in the extended universal identifier (EUI)-64 format.

• When a unicast address is assigned to more than one interface, thus turning it into an anycast address, the nodes to which the address is assigned must be explicitly configured to use and recognize the anycast address.


IPv6 Global Unicast and Anycast address


Defining Host Interface Addresses

• An IPv6 address has two parts:

– A subnet prefix representing the network to which the interface is connected. The subnet prefix is a fixed 64-bit length for all current definitions.

– A local identifier, sometimes called a token, which uniquely identifies the host on the local network. The local identifier is always 64 bits and is dynamically created based on Layer 2 media and encapsulation. In the simple case of an Ethernet medium, the local identifier is usually derived from the EUI-48 MAC address.


Link Local Address

• The address is unique only on this link, and it is not routable off the link. Packets with a link-local destination must stay on the link where they were generated

• Link-local addresses are dynamically created using a link-local prefix of FE80::/10 and a 64-bit interface identifier in a process called stateless autoconfiguration.


Stateless Autoconfiguration

• Phase 1: MAC 00-0C-29-C2-52-FF -> 00-0C-29-FF-FE-C2-52-FF

• Phase 2: well-known link-local prefix fe80::/64 is added -> fe80::00c:29ff:fec2:52ff

• Phase 3: Verify the address’s uniqueness on the link, called duplicate address detection (DAD). Send ICMPv6.

• Phase 4: Assigned


IPv6 Multicast Address


IPv6 Multicast Address

• FF02::1:FFXX:XXXX — Solicited-node multicast on link, where XX:XXXX is the rightmost 24 bits of the corresponding unicast or anycast address of the node. (Neighbor solicitation messages are sent on a local link when a node wants to determine the link-layer address of another node on the same local link, similar to Address Resolution Protocol [ARP] in IPv4.)


Transition From IPv4 To IPv6


9.3) IPv6



• Wireless: 3, 6, 19, 71, 99, 110, 139, 154, 169, 182, 220, 232, 249, 253, 262, 263, 268, 334, 362, 365.

• DHCP: 28, 35, 87, 171, 206, 272, 290, 348, 349, 350, 351.

• Security: 8, 66, 158, 161, 193, 201, 370.



• Các câu hỏi ôn thi : – DHCP: 28, 35, 87, 171, 206, 272, 290, 348,

349, 350, 351.– IPv6: 315,395– Wireless: 3, 6, 19, 71, 99, 110, 139, 154,

169, 182, 220, 232, 249, 253, 262, 263, 268, 334, 362, 365.


Dạng câu hỏi thi CCNA

• Nhận xét chung :– Vì Cisco không đưa ra điểm cụ thể cho từng câu hỏi

nên buộc bạn phải hòan thành hầu hết câu hỏi mới có thể PASS.

– Các câu hỏi : siêu câu hỏi (khỏang 2 câu), Lab (tối đa bạn phải làm 3 câu ). Nếu không hòan thành khỏang 50% , bạn xem như FAILED.

– Nếu không có tâm lí vững và chưa được hướng dẫn nhiều => bạn cũng có thể FAILED


Thông tin bổ trợ cho việc thi cử

• Phương thức thi CCNA.

• Thông tin đề thi mới nhất.


Phương thức thi CCNA.

• Hình thức thi.

• Cách thức thi

• Nơi thi


Hình thức thi• Môn học CCNA version 4.0 (640-802) có lệ phí thi 250$/lần (tính đến thời điểm 29-3-2009)

+ Đề thi CCNA tính đến ngày 29-3-2009 , bao gồm 44 câu hỏi : gồm

++++ các câu LAB, simulation, ++++ câu hỏi trắc nghiệm một lựa chọn, nhiều lựa chọn++++ Câu hỏi kéo thả.

+ 44 câu hỏi có tổng số điểm là 1000 và điều quan trọng là không có điểm cho từng câu hỏi cụ thể mà Cisco, chia theo từng chủ đề : (Một bảng điểm tham khảo)Ví dụ :

• Describe how a network works: 42%

Configure, verify and troubleshoot a switch with VLANS and interswitch communications: 50%

Implement an IP addressing scheme and IP Services to meet network requirements in a medium: 66%

Configure, verifiy, troubleshoo basic router operation and routing on Cisco devices: 53%

Explain and Select the appropriate administrative asks required for WLAN: 100%

Identifiy security threats to a network and describe general methods to mitifate: 100%

Implement, verify, and troubleshoot NAT and ACL's in a medium-size Enterprise branch office: 25%

Implement and verify WAN LINKS: 0% Sau khi chia trung bình % ở những chủ đề trên , Cisco sẽ nhân với 1000 để đưa ra số điểm cụ thể.

+ Điều khá vui là : Nếu bạn làm sai hết tất cả câu hỏi , thay vì được 0 /1000, bạn sẽ có 300/1000.


Cách thức thi• 1) Trước khi vào phòng thi , bạn được phải ký chử ký điện tử + đọc quy chế thi + chụp ảnh.

2) Khi bước vào phòng thi , trên người bạn sẽ không còn gì ngoài : tiền, quần áo hoặc có thể không nếu bạn thích như thế .!:32: . Vật được mang theo là tờ giấy nháp của trung tâm thi đó.

• 3) Trong quá trình thi thì bạn sẽ chịu sự giám sát của CISCO thông qua Camera chính vì thế , nếu bạn vi phạm quy chế thi : hỏi bài, quay bài .... bạn sẽ bị failed. Một mẹo nhỏ khi đi thi : "con chuột máy tính đã có nguy cơ trở thành kẻ thù củ bạn vì đề thi cisco chỉ có duy nhất nút NEXT mà không có bất kỳ tác vụ nào nữa trừ End EXAM sau khi hoàn thành. Chính vì thế, nếu vô tình trong 1 lúc nào đó bạn lỡ chạm tay vào chuột và "may mắn" click vào nút NEXT -> Xem như bạn sai câu đó!...

4) Sau 120 phút làm bài (bạn có thể ra sớm hơn và thời gian là không giới hạn , có thể làm bài thi trong vòng 15 phút :105 ,bạn click END EXAM . Nó sẽ hiện số điểm mà bạn đã đạt được.Nếu thấy :

-> >= 825/1000 thì xem như bạn đã đạt được chứng chỉ giai đoạn đầu.(1)-> <825/1000 thì xem như bạn đã failed.

5) Sau khi được báo kết quả ở (1) , ta tiếp tục phải được CISCO kiểm tra trong vòng 3 ngày . Nếu chúng ta không có bất cứ điều gì sai phạm trong quá trình thi và quy chế thi chúng ta sẽ được chính thức công nhận là một CCNA.==== Một câu chuyện có thật : Một anh thi CCIE R&S Written trong vòng 15 phút và anh thi đạt đủ điểm đậu . Tuy nhiên , 3 ngày sau anh ấy nhận được thông tin mình đã trượt -. Bởi vì CISCO cho rằng anh này đã sẽ dụng "..." trong quá trình thi.


Nơi thi CCNA • Dưới đây là một số trung tâm mà bạn có thể thi CCNA và giá thi ở các trung

tâm này điều là 250$/lần thi.1) Miền nam :

+ SaiGon CTT : www.saigonctt.com.vn+ Nhat nghe : www.nhatnghe.com+ Athena : www.athena.com+ VnPro : www.vnpro.vn....2) Miền bắc :

+ IPMAC : www.ipmac.vn+ VnExpert : www.vnexperts.net+ Bách khoa hà nội (trung tâm mạng) : www.bkacad.com....

Có thể sẽ còn nhiều vấn đề bạn thắc mắc mà trong khuôn khổ 1 bài viết không thể nói ra hết. Do đó , các anh nếu có khúc mắc có thể liên lạc vơi tôi qua email : [email protected]


Thông tin đề thi mới nhất

• Thời gian áp dụng : Khỏang 2 tuần từ ngày đăng version 3.0

• Hình thức thi : Câu hỏi và cách tính điểm như đã liệt kê ở trên.



• Câu hỏi :– Lý thuyết : Chiếm khá nhiều điểm trong đề thi.

• Lưu ý : – Số lượng câu trả lời trong một câu hỏi đã tăng lên :

» Ví dụ : Lúc trước câu hỏi đó chọn 3 lựa chọn nhưng có 4 câu trả lời. Giờ thì nó tăng lên 6-7 câu trả lời.

– Xuất hiện nhiều câu lý thuyết IPv6, và khá nhiều câu ngòai bộ đề ôn. (Về câu hỏi có thể tham khảo trong 503 câu hoặc học những câu IPv6 có trong slide này)



– Số lượng câu LAB/SIM Câu Lab :4• Lab : NAT,RIPv2.• Sim : VTP, ACL, Framerelay,dhcp (có thể ra 2

trong 4 câu này)• * Những câu trên có khả năng được chọn cao nhất

• Còn khá nhiều câu SIM/LAB khác bạn cần phải ôn,

vui lòng truy cập vào đây .



• Câu hỏi một lựa chọn đúng duy nhất:

• Mức độ khó : *



• Câu hỏi nhiều lựa chọn đúng nhưng cho biết số câu đúng.

• Mức độ khó : **



• Câu hỏi nhiều lựa chọn đúng nhưng không biết số câu đúng.

• Mức độ khó : ***


Dạng câu hỏi thi CCNA• Câu hỏi Drag and Drop hay còn gọi là

Drop , kéo thả.

• Mức độ khó : ****



• Siêu câu hỏi (SuperQuestion hay Hotspot)

• Mức độ khó : *****

• Bao gồm 3 phần :• Phần 1 : Mô tả về mô hình mạng hiện có.• Phần 2 : Sơ đồ mô hình mạng ứng với phần 1• Phần 3 : Các câu hỏi dựa trên phần 1 và phần 2.

– Có khoảng từ 4 – 5 câu– Bắt buộc phải có kiến thức thực sự mới có thể làm đúng



• Dạng khác của “siêu câu hỏi”• Mức độ khó : *****• Bao gồm 3 phần :

• Phần 1 : Sơ đồ mô hình mạng (bạn chỉ được xem cấu hình trên 1 thiết bị của mạng).

• Phần 2 : Câu hỏi liên quan – Có khoảng từ 4 – 5 câu.

– Bắt buộc phải có kiến thức thực sự mới có thể làm đúng.

• Phần 3 : Phần cần Show (có thể cho trước họăc bạn phải tự làm) để giải quyết câu hỏi.


Dạng câu hỏi thi CCNA• Câu lab (Simulations)

• Độ khó : ******

• Đề thi bao gồm 3 phần :• Phần 1 : Mô tả về mô hình mạng và nhu cầu cần

triển khai .• Phần 2 : Sơ đồ mô hình mạng ứng với phần 1.• Phần 3 : Bạn phải cấu hình thỏa yêu cầu đề bài.

– Bắt buộc bạn phải có đầy đủ kiến thức về vấn đề mà đề bài đưa ra

– Bạn phải có tâm lý thật vững để tránh sai sót vì “bút sa gà chết”

– Khi cấu hình chỉ cần sai một câu lệnh hoặc quên copy run start là xem như câu LAB = 0 điểm


Một số câu hỏi kéo thả


59 câu hỏi mới nhấtupdate ngày 22-05-2009


General Cisco Certificate PathsGeneral Certifications

Certification Paths Entry-Level Associate Professional Expert

Routing & Switching CCENT CCNA CCNP CCIE Routing & Switching

Design CCENT CCNA & CCDA CCDP CCDE

Network Security CCENT CCNA Security CCSP CCIE Security

Service Provider CCENT CCNA CCIP CCIE Service Provider

Storage Networking CCENT CCNA CCNP CCIE Storage Networking

Voice CCENT CCNA Voice CCVP CCIE Voice

Wireless CCENT CCNA Wireless Coming Soon! CCIE Wireless


Contact : [email protected]

on tap ccna version4.0 edulab

Documents