Báo cáo thực tập tuần 4

TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG & AN NINH MẠNG
QUỐC TẾ ATHENA
ĐỀ TÀI 10
NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO,
MÔ PHỎNG TRÊN NỀN GNS3
Giảng viên hướng dẫn : Võ Đỗ Thắng
Sinh viên thực hiện : Trần Trọng Thái
T2, 4, 6 (ca 10h-14h)
14/04/2014-30/5/2014

Báo cáo thực tập GVHD: Võ Đỗ Thắng
1 Tìm hiểu cách giả lập router cisco trên nền GNS3.
1.1 Giới thiệu.
- GNS3 là phần mềm dùng để giả lập cisco router do Cristophe Fillot viết
ra, nó tương tự như VMWare. Tuy nhiên nó sử dụng IOS thực của Cisco
để giả lập router.
- Phần mềm này được viết ra nhằm:
+ Giúp mọi người làm quen với thiết bị Cisco.
+ Kiểm tra và thử nghiệm những tính năng trong cisco IOS.
+ Test các mô hình mạng trước khi đi vào cấu hình thực tế.
- Để sử dụng GNS3,bạn có thể download tại đây: Download -
GNS3...
1.2 Hướng dẫn cài đặt GNS3.
- Kích đúp chuột vào file vừa download về ( version hiện tại là 0.8.3.1 ) và
tiến hành cài đặt bình thường theo chế độ mặc định bằng cách nhấn
Next.
SVTT: Trần Trong Tháị Page 1

Hinh 1

Hinh 2
- Nhấn I Agree.
Hinh 3
- Nhấn Next.

Hinh 4
- Các phần mềm kèm theo sẽ được cài mặc định. Nhấn Next.
- .
Hinh 5
- Nhấn Install để bắt đầu cài đặt.

Hinh 6
- Quá trình cài đặt bắt đầu diễn ra.

Hinh 7
- Nhấn next.

Hinh 8
- Nhấn Finish.
1.3 Cấu hình GNS3
Hinh 9

- Kiểm tra đường dẫn tới Dynamic và thư mục làm việc.
Hinh 10
- Chon đường dẫn đến thư mục Dynamips.(mặc định rồi!) --> nhấn Test
để kiểm tra. ---> nhấn OK!.
1.4 Load IOS cho router

Hinh 11
- Vào Edit -> IOS images and hypervisors /IOS images.
Hinh 12

- Chọn đường dẫn đến thư mục chứa IOS, bằng cách kích vào images file.
Ví dụ chọn router c3725. Sau khi chọn đường dẫn đến IOS xong nhấn
chọn Save -> Close .
Hinh 13
- Tiếp theo kích chuột vào Router C3725 giữ và kéo thả vào ô bên cạnh.
Lúc này ta sẽ thấy ở tab Topology Summary router sẽ báo mầu đỏ nghĩa
là router đang chế độ Turn off.

Hinh 14
Hinh 15
- Ta bật lên bằng cách kích phải chuột vào router chon start, bạn sẽ thấy
R1 báo màu xanh.

Hinh 16
- Khi Start lên vào Task manager sẽ thấy CPU là 100%.

Hinh 17
- Sử dụng tính năng Idle PC.
Hinh 18
- Chọn mục đánh dấu sao.
Hinh 19
- CPU đã giảm đi đáng kể. Bây giờ ta chỉ cần tiến hành cấu hình router.

2 Tìm hiểu các câu lệnh cấu hình căn bản (các mode dòng lệnh, cách gán IP vào
interface, kiểm tra các thông số IP).
2.1 Các mode config của router.
Cisco router có nhiều chế độ (mode) khi config, mỗi chế độ có đặc điểm riêng,
cung cấp một số các tính năng xác định để cấu hình router.
- User Mode hay User EXEC Mode:
Đây là mode đầu tiên khi bạn bắt đầu một phiên làm việc với router (qua
Console hay Telnet). Ở mode này ta chỉ có thể thực hiện được một số
lệnh thông thường của router. Các lệnh này chỉ có tác dụng một lần như
lệnh show hay lệnh clear một số các counter của router hay interface. Các
lệnh này sẽ không được ghi vào file cấu hình của router và do đó không
gây ảnh hưởng đến các lần khởi động sau của router.
- Privileged EXEC Mode:
Để vào Privileged EXEC Mode, từ User EXEC mode gõ lệnh enable và
password (nếu cần). Privileged EXEC Mode cung cấp các lệnh quan
trọng để theo dõi hoạt động của router, truy cập vào các file cấu hình,
IOS, đặt các password… Privileged EXEC Mode là chìa khóa để vào
Configuration Mode, cho phép cấu hình tất cả các chức năng hoạt động
của router.
- Configuration Mode:
+ Như đã nói trên, configuration mode cho phép cấu hình tất cả
các chức năng của Cisco router bao gồm các interface, các routing
protocol, các line console, vty (telnet), tty (async connection). Các lệnh
trong configuration mode sẽ ảnh hưởng trực tiếp đến cấu hình hiện hành
của router chứa trong RAM (running-configuration). Nếu cấu hình này
được ghi lại vào NVRAM, các lệnh này sẽ có tác dụng trong những lần
khởi động sau của router.
+ Configurarion mode có nhiều mode nhỏ, ngoài cùng là global
configuration mode, sau đó là các interface configration mode, line
configuration mode, routing configuration mode.
+ ROM Mode : ROM mode dùng cho các tác vụ chuyên biệt, can
thiệp trực tiếp vào phần cứng củarouter như Recovery password,
maintenance. Thông thường ngoài các dòng lệnh do người sử dụng bắt
buộc router vào ROM mode, router sẽ tự động chuyển vào ROM mode
nếu không tìm thấy file IOS hay file IOS bị hỏng trong quá trình khởi
động.

Hinh 10: Một số mode config của Cisco Router.
2.2 Các lệnh cấu hình căn bản trên Router.
2.2.1 C u hình đ t tên cho Routerấ ặ
- Đầu tiên khi cấu hình router ta nên đặt tên cho router.
Router(config)#hostname ThaiR1
ThaiR1(config)#
- Ngay sau khi nhấn phím Enter để thực thi câu lệnh, dấu nhắc sẽ đổi từ
tên mặc định (Router) sang tên vừa mới đặt.
2.2.2 C u hình đ t m t kh u cho Router .ấ ặ ậ ẩ
- Đặt mật khẩu cho đường console.
ThaiR1(config)#line console 0
ThaiR1(config-line)#password <<password>>
ThaiR1(config-line)#login
- Chúng ta cũng cần đặt mật khẩu cho một hoặc nhiều đương vty để kiểm
soát các user truy nhập từ xa vào router và Telnet. Thông thường Cisco
router có 5 đường vty với thứ tự từ 0 đến 4. Chúng ta thường sử dụng
một mật khẩu cho tất cả các đường vty, nhưng đôi khi chúng ta nên đặt
thêm mật khẩu riêng cho một đường để dự phòng khi cả 4 đường kia đều

đang được sủ dụng. Sau đây là các lệnh cần sử dụng để đặt mật khẩu cho
đường vty:
ThaiR1(config)#line vty 0 4
ThaiR1(config-line)#password <<password>>
- Mật khẩu enable và enable secret được sử dụng để hạn chế việc truy cập
vào chế độ EXEC đặc quyền. Mật khẩu enable chỉ được sử dụng khi
chúng ta cài đặt mật khẩu enable secret vì mật khẩu này được mã hoá còn
mật khẩu enable thì không. Sau đây là các lệnh dùng để đặt mật khẩu
enable secret:
ThaiR1(config)#enable password <<password>>
ThaiR1(config)#enable secret <<password>>
Đôi khi ta sẽ thấy là rất không an toàn khi mật khẩu được hiển thị rõ ràng
khi sử dụng lệnh show running-config hoặc show startup-config. Để
tránh điều này ta nên dùng lệnh sau để mã hoá tất cả các mật khẩu hiển
thị trên tập tin cấu hình của router:
ThaiR1(config)#service password-encryption
2.2.3 C u hình c ng Interfaceấ ổ
- Chúng ta có thẻ cấu hình cổng interface bằng đường console hoặc vty.
Mỗi một cổng đều phải có một địa chỉ IP và subnet mask để chúng có
thể định tuyến các gói IP. Để cấu hình địa chỉ IP chúng ta dùng lệnh sau:
ThaiR1(config)#interface serial 0/0
ThaiR1(config)#ip address 192.168.1.1 255.255.255.0
- Mặc định thì các cổng giao tiếp trên router đều đóng. Nếu muốn mở hay
khởi động các cổng này thì ta phải dùng lệnh no shutdown. Nếu muốn
đóng cổng lại để bảo trì hoặc xử lý sự cố thì dùng lệnh shutdown.
ThaiR1(config)#interface serial 0/0
ThaiR1(config-if)#clock rate 56000
ThaiR1(config-if)#no shutdown
- Có rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trên
router và để tìm ra sự cố. Trong cả hai chế độ EXEC đặc quyền và
EXEC người dùng, khi gõ « show? » ta sẽ xem được danh sách các lệnh
show. Đương nhiên là số lệnh show dùng được trong chế độ EXEC đặc
quyền sẽ nhiều hơn trong chế độ EXEC người dùng.

- Show interface - hiển thị trạng thái của tất cả các cổng giao tiếp trên
router. Để xem trạng thái của một cổng nào đó thì ta thêm tên và số thứ
tự của cổng đó sau lệnh show interface. Ví dụ như:
ThaiR1#show interface serial 0/1
Ngoài ra còn các lệnh “show” khác:
+ Hiển thị tập tin cấu hình trên RAM.
ThaiR1#show startup-configuration
+ Hiển thị tập tin cấu hình đang chạy.
ThaiR1#show running-configuration
+ Hiển thị bảng định tuyến.
ThaiR1#show ip route
+ Hiển thị thông tin cơ bản về các interface .
ThaiR1#show ip interface brief
+ Hiển thị phương thức phân giải địa chỉ động.
ThaiR1#show ARP
+ Hiển thị trạng thái toàn cục và trạng thái của các cổng giao
tiếp đã được cấu hình giao thức lớp 3 .
ThaiR1#show protocol

3 Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động.
3.1 Giới thiệu
- Định tuyến (Routing) là 1 quá trình mà Router thực thi để chuyển một
gói tin (Packet) từ một địa chỉ nguồn (soucre) đến một địa chỉ
đích(destination) trong mạng. Trong quá trình này Router phải dựa vào
những thông tin định tuyến để đưa ra những quyết định nhằm chuyển
gói tin đến những địa chỉ đích đã định trước.Có hai loại định tuyến cơ
bản là Định tuyến tĩnh (Static Route) và Định tuyến động (Dynamic
Route)
- Người quản trị mạng khi chọn lựa một giao thức định tuyến động cần cân
nhắc một số yếu tố như: độ lớn của hệ thống mạng, băng thông các
đường truyền, khả năng của router. Loại router và phiên bản router, các
giao thức đang chạy trong hệ thống mạng.
3.2 Tổng quan về giao thức định tuyến tĩnh.
Đối với định tuyến tĩnh, các thông tin về đường đi phải do người quản trị
mạng nhập cho router .Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính
người quản trị mạng phải xoá hoặc thêm các thông tin về đường đi cho router.
Những loại đường đi như vậy gọi là đường đi cố định .Đối với hệ thống mạng
lớn thì công việc bảo trì mạng định tuyến cho router như trên tốn rất nhiều
thời gian .Còn đối với hệ thống mạng nhỏ ,ít có thay đổi thì công việc này đỡ
mất công hơn .Chính vì định tuyến tĩnh đòi hỏi người quản trị mạng phải cấu
hình mọi thông tin về đường đi cho router nên nó không có được tính linh hoạt
như định tuyến động .Trong những hệ thống mạng lớn ,định tuyến tĩnh thường
được sử dụng kết hợp với giao thức định tuyến động cho một số mục đích đặc
biệt.
3.2.1 Ho t đ ng c a đ nh tuy n tĩnh.ạ ộ ủ ị ế
Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau:
- Đầu tiên ,người quản trị mạng cấu hình các đường cố định cho router
- Router cài đặt các đường đi này vào bảng định tuyến .
- Gói dữ liệu được định tuyến theo các đường cố định này.
3.2.2 Cú pháp câu lênh cấu hình.̣
ThaiR1(config)# ip route <destination-network> <subnet-mask> <address |
interface>
- Destination-network: là địa chỉ mạng cần đi tới.
- Subnet-mask: Subnet-mask của Destination-network.
- Address: đại chỉ ip của của cổng trên router mà gói tin sẽ đi ra hoặc
interface: cổng của router mà gói tin sẽ đi ra.

3.3 Tổng quan vềđịnh tuyến động.
- Giao thức định tuyến khác với giao thức được định tuyến cả về chức năng
và nhiệm vụ. Giao thức định tuyến được sử dụng để giao tiếp giữa các
router với nhau.Giao thức định tuyến cho phép router này chia sẻ các
thông tin định tuyến mà nó biết cho các router khác .Từ đó ,các router có
thể xây dựng và bảo trì bảng định tuyến của nó.
- Sau đây là một số giao thức định tuyến :RIP, IGRP, EIGRP, OSPF...
- Còn giao thức được định tuyến thì được sử dụng để định hướng cho dữ
liệu của người dùng. Một giao thức được định tuyến sẽ cung cấp đầy đủ
thông tin về địa chỉ lớp mạng để gói dữ liệu có thể truyền đi từ host này
đến host khác dựa trên cấu trúc địa chỉ đó .
- Sau đây là các giao thức được định tuyến:
+ Internet Protocol (IP)
+ Internetwork Packet Exchange(IPX)
3.3.1 Autonmous sytem(AS) (H th ng t qu n)ệ ố ự ả
Hệ tự quản (AS) là một tập hợp các mạng hoạt động dưới cùng một cơ chế
quản trị về định tuyến .Từ bên ngoài nhìn vào ,một AS được xem như một
đơn vị .Tổ chức Đăng ký số Internet của Mỹ (ARIN-American Regitry of
Internet Numbers) là nơi quản lý việc cấp số cho mỗi AS .Chỉ số này dài 16
bit .Một số giao thức định tuyến ,ví dụ như giao thức IRGP của Cisco,đòi hỏi
phải có số AS xác định khi hoạt động .
Hinh 11

3.3.2 M c đích c a giao th c đ nh tuy n và h th ng t qu nụ ủ ứ ị ế ệ ố ự ả
- Mục đích của giao thức định tuyến là xây dựng và bảo trì bảng định tuyến
.Bảng định tuyến này mang thông tin về các mạng khác và các cổng giao
tiếp trên router đến các mạng này .Router sử dụng giao thức định tuyến
để quản lý thông tin nhận được từ các router khác ,thông tin từ cấu hình
của các cổng giao tiếp và thông tin cấu hình các đường cố định .
- Giao thức định tuyến cấp nhật về tất cả các đường ,chọn đường tốt nhất
đặt vào bảng định tuyến và xoá đi khi đường đó không sử dụng được
nữa .Còn router thì sử dụng thông tin trêng bảng định tuyến để chuyển
gói dữ liệu của các giao thức được định tuyến .
- Định tuyến động hoạt động trên cơ sở các thuật toán định tuyến .Khi cấu
trúc mạng có bất kỳ thay đổi nào như mở rộng thêm ,cấu hình lại ,hay bị
trục trặc thì khi đó ta nói hệ thống mạng đã được hội tụ .Thời gian để các
router đồng bộ với nhau càng ngắn càng tốt vì khi các router chưa đồng
bộ với nhau về các thông tin trên mạng thì sẽ định tuyến sai.
- Với hệ thống tự quản (AS) ,toàn bộ hệ thống mạng toàn cầu được chia ra
thành nhiều mạng nhỏ, dể quản lý hơn.Mỗi AS có một số AS riêng
,không trùng lặp với bất kỳ AS khác ,và mỗi AS có cơ chế quản trị riêng
của mình .

4 Mô hình lab static route.
4.1 Mục tiêu: Cấu hình static route đểpc1 ping
thành công tới pc2 vàngược lại.
Đăt ip interface công f0/0 trên R1̣ ̉
• Tương tự cho cổng f0/1.

• Cổng f0/0 của R2.
• Cuối cùng là cổng f0/1.
Show các ip v ̀a cấu hình trên các router.ư

• Như vậy là mính đã cấu hình thành công các địa chỉ ip trên router
Tiến hành show bang đinh tuyến cua 2 router xem nó đã đ c đinh̉ ̣ ̉ ươ ̣
tuyến nh thế nào.ư
• Các đường mạng có đánh chữ C là các mạng kết nối trực tiếp với
router mà nó học được trong bảng định tuyến.
Ta ping th gi ̃ hai router R1 và R2.ư ư
• Tại R1 ping tới R2 thông qua đường mạng 10.10.10.0/24 thành
công.
• Đứng tại ThaiR1 ping tới địa chỉ 192.168.1.1 từ xa của R2 không
thành công do trong bảng định tuyến của R1 không có đường
mạng 192.168.1.0/24.

• Dùng pc1 ping tới địa chỉ 192.168.1.1 nó đưa ra một thông báo
rằng không biết địa chỉ đích để truyền tải dữ liệu ping đến.
Cấu hình static route đê có thê chuy n m t gói tin t m t đ a ch̉ ̉ ể ộ ừ ộ ị ỉ
ngu n đ n m t đia chi đích trong m ng.ồ ế ộ ̣ ̉ ạ
• Tại R1 thực thiện static route mạng 192.168.1.0 gateway
255.255.255.0 thông qua cổng f0/0.
• Tương tự tại R2 thực thiện static route mạng 172.16.0.0 gateway
255.255.0.0 thông qua cổng f0/0.

• Lúc này khi show bảng định tuyến của 2 Router ta thấy xuất hiện
chữ S (static) tức là R1 và R2 đã học được các đường mạng mới,
cụ thể là mạng 172.16.1.0/16 và 192.168.1.0/24.
• Router ThaiR2 ping thử đến địa chỉ 172.16.1.1 thành công.
• Bây giờ ta dùng pc1 ping đến pc2, kết quả gói tin gửi từ pc1 đã
đến được pc2.
4.2 Kết quả: Mô hình static route đãđược hội tụ.
Ta cóthểping qua lại giữa các địa chỉtrong
mạng.

5 Thực hiện mô hình các mô hình lab RIPv2, OSPF, EIGRP.
5.1 Mô hình lab RIPv2 cơ bản.
5.1.1 Gi ́i thiêu.ơ ̣
RIP (Routing Information Protocol) là một giao thức định tuyến theo vectơ
khoảng cách được sử dụng rộng rãi trên thế giới. Mặc dù RIP không có
những khả năng và đặc điểm như những giao thức định tuyến khác nhưng
RIP dựa trên những chuẩn mở và sử dụng đơn giản nên vẫn được các nhà
quản trị mạng ưa dùng. Do đó RIP là một giao thức tốt để người học về
mạng bước đầu làm quen, sau đây là các đặc điểm chính của RIP:
- Là giao thức định tuyến theo vectơ khoảng cách .
- Sử dụng số lượng hop để làm thông số chọn đường đi .
- Nếu số lượng hop để tới đích lớn hơn 15 thì gói dữ liệu sẽ bị huỷ bỏ .
- Cập nhật theo định kỳ mặc định là 30 giây.
5.1.2 Ti n trình c a RIP.ế ủ
- RIP được phát triển trong nhiều năm bắt đầu từ phiên bản 1 (RIPv1). RIP
chỉ là giao thức định tuyến theo lớp địa chỉ cho đến phiên bản 2(RIPv2).
- RIP trở thành giao thức định tuyến không theo lớp địa chỉ. RIPv2 có
những ưu điểm hơn như sau:
+ Cung cấp thêm nhiều thông tin định tuyến hơn.
+ Có cơ chế xác minh giữa các router khi cập nhật để bảo mật cho bảng
định tuyến.
+ Có hỗ trợ VLSM (variable Length Subnet Masking-Subnet mask có
chiều dài khác nhau).
- RIP tránh định tuyến lặp vòng đếm đến vô hạn bằng cách giới hạn số
lượng hop tố đa cho phép từ máy gửi đến máy nhận, số lương hop tối đa
cho mỗi con đường là 15. Đối với các con đường mà router nhân được từ
thông tin cập nhật của router láng giềng, router sẽ tăng chỉ số hop lên 1
vì router xem bản thân nó cũng là 1 hop trên đường đi. Nếu sau khi tăng
chỉ số hop lên 1 mà chỉ số này lớn hơn 15 thì router sẽ xem như mạng
đích không tương ứng với con đương này không đến được. Ngoài ra, RIP
cũng có những đặc tính tương tự như các giao thức định tuyến khác. Ví
dụ như: RIP cũng có horizon và thời gian holddown để tránh cập nhật
thông tin định tuyến không chính xác.
5.1.3 So sánh RIPv1 và RIPv2.
- RIP sử dụng thuật toán định tuyến theo vectơ khoảng cách. Nếu có nhiều
đường đến cùng một đích thì RIP sẽ chọn đường có số hop ít nhất. Chính
vì chỉ dựa vào số lượng hop để chọn đường nên đôi khi con đường mà
RIP chọn không phải là đường nhanh nhất đến đích.

- RIPv1 cho phép các router cập nhật bảng định tuyến của chúng theo chu
kỳ mặc định là 30 giây. Việc gửi thông tin định tuyến cập nhật liên tục
như vậy giúp cho topo mạng được xây dựng nhanh chóng. Để tránh bị lăp
vòng vô tận, RIP giới hạn số hop tối đa để chuyển gói là 15 hop. Nếu một
mạng đích xa hơn 15 router thì xem như mạng đích đó không thể tới
được và gói dữ liệu. đó sẽ bị huỷ bỏ . Điều này làm giới hạn khả năng mở
rộng của RIP , RIPv1 sử dụng cơ chế split horizon để chống lặp vòng.
Với cơ chế này khi gửi thông tin định tuyến ra một cổng giao tiếp , RIPv1
router không gửi ngược trở lại các thông tin định tuyến mà nó học đước
từ chính cổng dó, RIPv1 còn sử dụng thời gian holddown để chống lặp
vòng. Khi nhận được một thông báo về một mạng đích bị sự cố, router sẽ
khởi động thời gian holddown. Trong suốt khoảng thời gian holddown
router sẽ không cập nhật tất cả các thông tin có thông số định tuyến xấu
hơn về mạng đích đó.
- RIPv2 được phát triển từ RIPv1 nên nó cũng có các đặc tính như trên
RIPv2 cũng là giao thức định tuyến theo vectơ khoảng cách sử dụng số
lượng hop làm thông số định tuyến duy nhất . RIPv2 cũng sử dụng thời
gian holddown và cơ chế split horizon để tránh lặp vòng. Sau đây là các
điểm khác nhau giữa RIPv1 và RIPv2:
RIPv1 RIPv2
Cấu hình đơn giản. Cấu hình đơn giản.
Định tuyến theo lớp địa chỉ. Định tuyến không theo lớp địa chỉ.
Không gửi thông tin về subnet mask
trong thông tin định tuyến.
Gửi thông tin về subnet mask trong
thông tin định tuyến.
Không hỗ trợ VLSM. Do đó tất cả các
mạng trong hệ thống RIPv1phải có
cùngsubnetmask.
Hỗ trợ VLSM. Các mạng trong hệ thống
IPv2 có thể có chiều dài subnet mask
khácnhau.
Không có cơ chế xác minh thông tin
định tuyến.
Có cơ chế xác minh thông tin định
tuyến.
Gửi quảng bá theo địa chỉ
255.255.255.255.
Gửi multicast theo via chỉ 224.0.0.9 nên
hiệu quả hơn.

5.1.4 Muc tiêu:̣ Qu ng bá thông tin v đ a ch mà mình mu n qu ng báả ề ị ỉ ố ả
ra bên ngoài và thu th p thông tin đ hình thành b ng đ nh tuy nậ ể ả ị ế
(Routing Table) cho Router đồng th ̀i PC1 có thê ping đến PC2.ơ ̉
5.1.5 Mô hình.
5.1.5.1 Tai router ThaiR1.̣
- Đặt ip cho các cổng interface trên router.
ThaiR1(config)#interface s0/0
ThaiR1(config-if)#ip address 1.1.1.1 255.255.255.0
ThaiR1(config)#interface f0/0
- Cấu hình giao thức định tuyến RIPv2.
ThaiR1(config)#router rip - khởi động giao thức định tuyến RIP.
ThaiR1(config-router)#version 2 - chạy phiên bản RIPv2.
ThaiR1(config-router)#network 172.16.0.0 - khai báo các mạng
kết nối với router để quảng bá.
ThaiR1(config-router)#network 1.1.1.0
ThaiR1(config-router)#no auto-summary

- Hiển thị các giao thức định tuyến IP đang được chạy trên router.
• Lệnh này cho thấy router được cấu hình với RIP không nhận được bất
kỳ thông tin cập nhật nào từ một router láng giềng trong 180 giây
hoặc hơn thì những con đường học được từ router láng giềng đó sẽ
được xem là không còn giá trị. Nếu vẫn không nhận thông tin cập
nhật gì cả thì sau 240 giây, các con đường này sẽ bị xoá khỏi bảng
định tuyến.
ThaiR1#show ip protocols
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 10 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: rip
Default version control: send version 2, receive version 2
Interface Send Recv Triggered RIP Key-chain
FastEthernet0/0 2 2
Serial0/0 2 2
Serial0/1 2 2
Automatic network summarization is not in effect
Maximum path: 4
Routing for Networks:
1.0.0.0
4.0.0.0
172.16.0.0
Routing Information Sources:
Gateway Distance Last Update
1.1.1.2 120 00:00:06
4.4.4.1 120 00:00:26
Distance: (default is 120)
- Hiển thi những đường đi mà router học được từ giao thức định tuyến
RIPv2.
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Serial0/0
R 2.2.2.0 [120/1] via 1.1.1.2, 00:00:03, Serial0/0
R 3.3.3.0 [120/1] via 4.4.4.1, 00:00:27, Serial0/1
R 192.168.1.0/24 [120/2] via 4.4.4.1, 00:00:20, Serial0/1
[120/2] via 1.1.1.2, 00:00:15, Serial0/0
C 172.16.0.0/16 is directly connected, FastEthernet0/0
- Tại PC1 ping thành công đến PC2.
- Đặt ip cho các cổng interface trên router
ThaiR2(config)#router rip
ThaiR2(config-router)#version 2

R 3.3.3.0 [120/1] via 2.2.2.2, 00:00:22, Serial0/1
R 4.4.4.0 [120/1] via 1.1.1.1, 00:00:19, Serial0/0
R 172.16.0.0/16 [120/1] via 1.1.1.1, 00:00:19, Serial0/0
R 192.168.1.0/24 [120/1] via 2.2.2.2, 00:00:11, Serial0/1
ThaiR3(config-if)#cloc rate 64000
R 1.1.1.0 [120/1] via 2.2.2.1, 00:00:18, Serial0/0

R 4.4.4.0 [120/1] via 3.3.3.2, 00:00:22, Serial0/1
R 172.16.0.0/16 [120/2] via 2.2.2.1, 00:00:18, Serial0/0
[120/2] via 3.3.3.2, 00:00:22, Serial0/1
ThaiR4(config-if)# ip address 4.4.4.1 255.255.255.0
R 1.1.1.0 [120/1] via 4.4.4.2, 00:00:00, Serial0/1
R 2.2.2.0 [120/1] via 3.3.3.1, 00:00:01, Serial0/0
R 172.16.0.0/16 [120/1] via 4.4.4.2, 00:00:00, Serial0/1
R 192.168.1.0/24 [120/1] via 3.3.3.1, 00:00:19, Serial0/0
5.1.6 Kết luân:̣ Nh vây ta đã cấu hình c ban RIPv2 thành công.ư ̣ ơ ̉

5.2 Mô hình lab EIGRP cơ bản.
- Enhanced Interior Gateway Routing Protocol (EIGRP) là một giao thức
định tuyến độc quyền của Cisco được phát triển từ Interior Gateway
Routing Protocol (IGRP). Không giống như IGRP là một giao thức định
tuyến theo lớp địa chỉ, EIGRP có hỗ trợ định tuyến liên miền không theo
lớp địa chỉ (CIDR – Classless Interdomain Routing) và cho phép người
thiết kế mạng tối ưu không gian sử dụng địa chỉ bằng VLSM. So với
IGRP, EIGRP có thời gian hội tụ nhanh hơn, khả năng mở rộng tốt hơn
và khả năng chống lặp vòng cao hơn.
- Hơn nữa, EIGRP còn thay thế được cho giao thức Novell Routing
Information Protocol (Novell RIP) và Apple Talk Routing Table
Maintenance Protocol (RTMP) để phục vụ hiệu quả cho cả hai mạng
IPX và Apple Talk.
- EIGRP thường được xem là giao thức lai vì nó kết hợp các ưu điểm của
cả giao thức định tuyến theo vectơ khoảng cách và giao thức định tuyến
theo trạng thái đường liên kết.
- EIGRP là một giao thức định tuyến nâng cao hơn dựa trên các đặc điểm
cả giao thức định tuyến theo trạng thái đường liên kết. Những ưu điểm tốt
nhất của OSPF như thông tin cập nhật một phần, phát hiện router láng
giềng…được đưa vào EIGRP. Tuy nhiên, cấu hình EIGRP dễ hơn cấu
hình OSPF.
- EIGRP là một lựa chọn lý tưởng cho các mạng lớn, đa giao thức được
xây dựng dựa trên các Cisco router.
- Sau đây là các ưu điểm của EIGRP so với giao thức định tuyến theo
vectơ khoảng cách thông thường:
+ Tốc độ hội tụ nhanh.
+ Sử dụng băng thông hiệu quả.
+ Có hỗ trợ VLSM (Variable – Length Subnet Mask) và CIDR
(Classless Interdomain Routing). Không giống như IGRP, EIGRP có trao đổi
thông tin về subnet mask nên nó hỗ trợ được cho hệ thống IP không theo lớp.
+ Hỗ trợ nhiều giao thức mạng khác nhau.
+ Không phụ thuộc vào giao thức định tuyến. Nhờ cấu trúc từng phần
riêng biệt tương ứng với từng giao thức mà EIGRP không cần phải
chỉnh sửa lâu. Ví dụ như khi phát triển để hỗ trợ một giao thức mới
như IP chẳng hạn, EIGRP cần phải có thêm phần mới tương ứng cho
IP nhưng hoàn toàn không cần phải viết lại EIGRP.
- EIGRP router hội tụ nhanh vì chúng sử dụng DUAL. DUAL bảo đảm
hoạt động không bị lặp vòng khi tính toán đường đi, cho phép mọi router
trong hệ thống mạng thực hiện đồng bộ cùng lúc khi có sự thay đổi xảy
ra.
- EIGRP sử dụng băng thông hiệu quả vì nó chỉ gửi thông tin cập nhật một
phần và giới hạn chứ không gửi toàn bộ bảng định tuyến. Nhờ vậy nó chỉ
tốn một lượng băng thông tối thiểu khi hệ thống mạng đã ổn định. Điều
này tương tự như hoạt động cập nhật của OSPF, nhưng không giống như
router OSPF, router EIGRP chỉ gửi thông tin cập nhật một phần cho

router nào cần thông tin đó mà thôi, chứ không gửi cho mọi router khác
trong vùng như OSPF. Chính vì vậy mà hoạt động cập nhật của EIGRP
gọi là cập nhật giới hạn. Thay vì hoạt động cập nhật theo chu kỳ, các
router EIGRP giữ liên lạc với nhau bằng các gói hello rất nhỏ. Việc trao
đổi các gói hello theo định kỳ không chiếm nhiều băng thông đường
truyền.
- EIGRP có thể hỗ trợ cho IP, IPX và Apple Talk nhờ có cấu trúc từng
phần theo giao thức (PDMs – Protocol-dependent modules). EIGRP có
thể phân phối thông tin của IPX RIP và SAP để cải tiến hoạt động toàn
diện. Trên thực tế, EIGRP có thể điều khiển hai giao thức này. Router
EIGRP nhận thông tin định tuyến và dịch vụ, chỉ cập nhật cho các router
khác khi thông tin trong bảng định tuyến hay bảng SAP thay đổi.
- EIGRP còn có thể điều khiển giao thức Apple Talk Routing Table
Maintenance Protocol (RTMP). RTMP sử dụng số lượng hop để chọn
đường nên khả năng chọn đường không được tốt lắm. Do đó, EIGRP sử
dụng thông số định tuyến tổng hợp cấu hình được để chọn đường tốt nhất
cho mạng Apple Talk. Là một giao thức định tuyến theo vectơ khoảng
cách, RTMP thực hiện trao đổi toàn bộ thông tin định tuyến theo chu kỳ.
Để giảm bớt sự quá tải này, EIGRP thực hiện phân phối thông tin định
tuyến Apple Talk khi có sự kiện thay đổi mà thôi. Tuy nhiên, Apple Talk
client cũng muốn nhận thông tin RTMP từ các router nội bộ, do đó
EIGRP dùng cho Apple Talk chỉ nên chạy trong mạng không có client, ví
dụ như các liên kết WAN chẳng hạn.
5.2.1 Các đ c đi m c a EIGRPặ ể ủ
EIGRP hoạt động khác với IGRP. Về bản chất EIGRP là một giao thức định
tuyến theo vectơ khoảng cách nâng cao nhưng khi cập nhật và bảo trì thông
tin láng giềng và thông tin định tuyến thì nó làm việc giống như một giao
thức định tuyến theo trạng thái đường liên kết.
5.2.2 Mô hình.
5.2.3 Muc tiêu.̣

5.2.3.1 Trên router ThaiR1.
ThaiR1(config)#interface loopback 1
- Cấu hình định tuyến EIGRP trên Router ThaiR1 Cho phép giao thức
định tuyến EIGRP chạy trên router với giá trị Autonomous System
là 100. Tất cả các router hoạt động trong cùng một autonomous
system sẽ phải cấu hình cùng giá trị AS..
ThaiR1(config)#router eigrp 100  100 là số Autonomous.
ThaiR1(config-router)#network 1.1.1.0 0.0.0.255  Quảng bá mạng
1.1.1.0
ThaiR1(config-router)#network 2.2.2.0 0.0.0.255

D 3.3.3.0 [90/41024000] via 2.2.2.2, 00:18:12, Serial0/1
[90/41024000] via 1.1.1.1, 00:18:12, Serial0/0
D 172.16.0.0/16 [90/3014400] via 1.1.1.1, 00:18:10, Serial0/0
C 10.0.0.0/8 is directly connected, Loopback1
D 192.168.1.0/24 [90/2172416] via 2.2.2.2, 00:18:13, Serial0/1
- Cấu hình giao thức định tuyến EIGRP.
ThaiR2(config)#router eigrp 100
D 2.2.2.0 [90/2681856] via 1.1.1.2, 00:20:24, Serial0/0

D 192.168.1.0/24 [90/2684416] via 1.1.1.2, 00:20:21, Serial0/0
D 10.0.0.0/8 [90/2297856] via 1.1.1.2, 00:00:10, Serial0/0
- Từ PC1 ping thành công đến địa chỉ của PC2.
- Cấu hình giao thức định tuyến EIGRP.
ThaiR3(config)#router eigrp 100
D 1.1.1.0 [90/3523840] via 2.2.2.1, 00:21:52, Serial0/0

D 172.16.0.0/16 [90/3526400] via 2.2.2.1, 00:21:52, Serial0/0
D 10.0.0.0/8 [90/2297856] via 2.2.2.1, 00:01:33, Serial0/0
5.2.4 Kết luân:̣ Trong bang đinh tuyến cua các router đã hoc đ c các̉ ̣ ̉ ̣ ươ
route cua nhau bằng c chế đinh tuyến EIGRP và các đia chi trong̉ ơ ̣ ̣ ̉
mang có thê ping thành công đến đia chi loopback cua routeṛ ̉ ̣ ̉ ̉
ThaiR1. Nh vây toàn mang đã thông nhau.ư ̣ ̣

5.3 Mô hình lab OSPF cơ bản.
5.3.1 Gi ́i thiêu.ơ ̣
- OSPF là giao thức đình tuyến theo trạng thái đường liên được triển khai
dựa trên các chuẩn mở. OSPF đựơc mô tả trong nhiều chuẩn của IETF
(Internet Engineering Task Force). Chuẩn mở ở đây có nghĩa là OSPF
hoàn toàn mở đối với công cộng, không có tính độc quyền.
- Nếu so sánh với RIPv1 và v2 thí OSPF là một giao thức định tuyến nội vi
IGP tốt hơn vì khả năng mở rộng của nó. RIP chỉ giới hạn trong 15 hop,
hội tụ chậm và đôi khi chọn đường có tốc độ chậm vì khi quyết định chọn
đường nó không quan tâm đến các yếu tố quan trọng khác như băng
thông chẳng hạn. OSPF khắc phục được các nhược điểm của RIP và nó là
một giao thức định tuyến mạnh, có khả năng mở rộng, phù hợp với các hệ
thống mạng hiện đại. OSPF có thể được cấu hình đơn vùng để sử dụng
cho các mạng nhỏ.
- Mạng OSPF lớn cần sử dụng thiết kế phân cấp và chia thành nhiều vùng.
Các vùng này đều được kết nối vào cùng phân phối la vùng 0 hay còn gọi
là vùng xương sống (backbone). Kiểu thiết kế này cho phép kiểm soát
hoạt động cập nhật định tuyến. Việc phân vùng như vậy làm giảm tải của
hoạt động định tuyến, tăng tốc độ hội tụ, giới hạn sự thay đổi của hệ
thống mạng vào từng vùng và tăng hiệu suất hoạt động.
- Sau đây là các đặc điểm chính của OSPF:
+ Là giao thức định tuyến theo trạng thái đường liên kết.
+ Được định nghĩa trong RFC 2328.
+ Sử dụng thuật toán SPF để tính toán chọn đường đi tốt nhất.
+ Chỉ cập nhật khi cấu trúc mạng có sự thay đổi.
5.3.2 C ch ho t đ ng c a OSPF.ơ ế ạ ộ ủ
- OSPF thực hiện thu thập thông tin về trạng thái các đường liên kết từ các
router láng giềng. Mỗi router OSPF quảng cáo trạng thái các đường liên
kết của nó và chuyển tiếp các thông tin mà nó nhận được cho tất cả các
láng giềng khác.
- Router xử lý các thông tin nhận được để xây dựng một cơ sở dữ liệu về
trạng thái các đường liên kết trong một vùng. Mọi router trong cùng một
vùng OSPF sẽ có cùng một cơ sở dữ liệu này. Do đó mọi router sẽ có
thông tin giống nhau về trạng thái của các đường liên kết và láng giềng
của các router khác.Mỗi router áp dụng thuật toán SPF và cơ sở dữ liệu
của nó để tính toán chọn đường tốt nhất đến từng mạng đích. Thuật toán
SPF tính toàn chi phí dựa trên băng thông của đường truyền. Đường nào
có chi phí nhỏ nhất sẽ được chọn để đưa vào bảng định tuyến.
- Mỗi router giữ một danh sách các láng giềng thân mật, danh sách này gọi
là cơ sở dữ liệu các láng giềng thân mật. Các láng giềng được gọi là thân
mật là những láng giềng mà router có thiết lập mối quan hệ hai chiều.Một
router có thể có nhiều láng giềng nhưng không phải láng giềng nào cũng

có mối quan hệ thân mật. Do đó chúng ta cần lưu ý mối quan hệ láng
giềng khác với mối quan hệ láng giềng thân mật, hay gọi tắt là mối quan
hệ thân mật. Đối với mỗi router danh sách láng giềng thân mật sẽ khác
nhau.
- Để giảm bớt số lượng trao đổi thông tin định tuyến với nhiều router láng
giềng trong cùng một mạng, các router OSPF bầu ra một router đại diện
gọi là Designated router (DR) và một router đại diện dự phòng gọi là
Backup Designated (BDR) làm điểm tập trung các thông tin định tuyến.
5.3.3 Các lo i gói tin OSPFạ
OSPF có 5 loại gói tin là Hello, Database Description, Link State Request,
Link Status Update, Link State Acknowledge.
- Hello: Gói tin Hello dùng để phát hiện trao đổi thông tin của các router
cận kề.
- Database Description: gói tin này dùng để chọn lựa router nào sẽ được
quyền trao đổi thông tin trước (master/slave).
- Link State Request: gói tin này dùng để chỉ định loại LSA dùng trong tiến
trình trao đổi các gói tin DBD.
- Link State Update: gói tin này dùng để gửi các gói tin LSA đến router cận
kề yêu cầu gói tin này khi nhận thông điệp Request.
- Link State Acknowledge: gói tin này dùng để báo hiệu đã nhận gói tin
Update.
- Link State Acknowledge: Gói tin này dùng để báo hiệu đã nhận gói tin
Update.
5.3.4 Mô hình OSPF đ n vùng.ơ
5.3.4.1 Trên Router ThaiR1.

- Cấu hình định tuyến OSPF trên Router ThaiR1 có cùng một area 0 với
2 router còn lại .
ThaiR1(config)#router ospf 100  Chỉ số xác định tiến trình địng
tuyến OSPF trên router với Process-id là 100.
ThaiR1(config-router)#network 1.1.1.0 0.0.0.255 area 0  Quảng bá
mạng 1.1.1.0/24 thuộc vùng area 0.
ThaiR1(config-router)#network 2.2.2.0 0.0.0.255 area 0
- Kiểm tra bảng định tuyến của router bằng câu lệnh #show ip route.
O 3.3.3.0 [110/128] via 1.1.1.1, 01:26:51, Serial0/0
[110/128] via 2.2.2.2, 01:26:51, Serial0/1
C 4.4.4.10 is directly connected, Loopback0
O 172.16.0.0/16 [110/65] via 1.1.1.1, 01:26:51, Serial0/0
O 192.168.1.0/24 [110/65] via 2.2.2.2, 01:26:53, Serial0/1

ThaiR2(config-if)#cloc rate 64000
 Cấu hình định tuyến OSPF trên Router ThaiR2 có cùng một
area 0 với 2 router còn lại .
ThaiR2(config)#router ospf 100
- Kiểm tra bảng định tuyến của router.
O 2.2.2.0 [110/128] via 3.3.3.1, 01:30:33, Serial0/1
[110/128] via 1.1.1.2, 01:30:33, Serial0/0
O 192.168.1.0/24 [110/65] via 3.3.3.1, 01:30:35, Serial0/1
- Tại PC1 ping đến địa chỉ PC2 thành công.

ThaiR3(config-if)#clo rate 64000
 Cấu hình định tuyến OSPF trên Router ThaiR3 có cùng một
area 0 với 2 router còn lại .
- Kiểm tra bảng định tuyến của router.
O 1.1.1.0 [110/128] via 3.3.3.2, 01:31:59, Serial0/1
[110/128] via 2.2.2.1, 01:31:59, Serial0/0
O 172.16.0.0/16 [110/65] via 3.3.3.2, 01:31:59, Serial0/1

5.3.5 Nhân xét:̣ Các router đã biết đ c tất ca các mang trong s đồươ ̉ ̣ ơ
trên nh ̀ giao th ́c đinh tuyến OSPF.ơ ư ̣
5.3.6 Mô hình OSPF đa vùng.
- Đặt ip cho các cổng interface trên router tương tự như mô hình OSPF
đơn vùng.
- Cấu hình định tuyến OSPF trên Router ThaiR1 với area 0.
ThaiR1(config)#router ospf 100  Chỉ số xác định tiến trình địng
tuyến OSPF trên router với Process-id là 100.
ThaiR1(config-router)#network 1.1.1.0 0.0.0.255 area 0  Quảng bá
mạng 1.1.1.0/24 thuộc vùng area 0.

O 3.3.3.0 [110/128] via 1.1.1.1, 00:03:21, Serial0/0
[110/128] via 2.2.2.2, 00:03:21, Serial0/1
O 172.16.0.0/16 [110/65] via 1.1.1.1, 00:03:21, Serial0/0
O IA 192.168.1.0/24 [110/65] via 2.2.2.2, 00:03:18, Serial0/1
đơn vùng.
- Cấu hình định tuyến OSPF trên Router ThaiR2 với area 0.
O 2.2.2.0 [110/128] via 3.3.3.1, 00:04:39, Serial0/1
[110/128] via 1.1.1.2, 00:04:39, Serial0/0
O IA 192.168.1.0/24 [110/65] via 3.3.3.1, 00:04:36, Serial0/1

đơn vùng.
- Cấu hình định tuyến OSPF trên Router ThaiR3 với interface s0/0 và
s0/1 thuộc area 0 còn interface thuộc f0/0 thuộc area 1 .
O 1.1.1.0 [110/128] via 3.3.3.2, 00:05:54, Serial0/1
[110/128] via 2.2.2.1, 00:05:54, Serial0/0
O 172.16.0.0/16 [110/65] via 3.3.3.2, 00:05:54, Serial0/1
- Tại PC2 ping thành công đến PC1
5.3.7 Nhân xét:̣ Router ThaiR1 và ThaiR2 đã biết đ c các mang cuaươ ̣ ̉
router ThaiR3 thuôc 2 vùng khác nhau.̣

6 Tìn hiểu các công cụ filter route.
6.1 1. Khái niệm về Access – list.
ACLs(Access Control Lists) là một danh sách các chính sách được áp dụng
vào các cổng (interface) của một router. Danh sách này chỉ ra cho router biết
gói tin (packet) nào được cho phép đi qua (permit), hay gói tin nào bị hủy bỏ
(deny). Sự chấp nhận hay hủy bỏ này có thể dựa trên dựa vào địa chỉ nguồn
(source address), địa chỉ đích (destination address), chỉ số cổng (socket).
6.2 2. Tại sao phải sử dụng Access – list.
- Quản lý traffic qua cổng của router
- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở
tính năng lọc gói tin qua router.
6.3 3. Phân loại Access – list.
ACLs được phân thành 2 loại chính: Standard ACLs và Extented
ACLs
- Standard ACLs: là loại ACLs đơn giản, hoạt động lọc gói tin dựa vào
địa chỉ nguồn của gói tin
- Extended ACLs : hoạt động lọc gói tin ngoài dựa vào địa chỉ nguồn
còn có thể dựa vào địa chỉ đích, chỉ số cổng nguồn, chỉ số cổng đích
của gói tin. Vì vậy Extended ACLs có thể lọc gói tin linh hoạt hơn.
Standard ACLs filter IP Packets based on the source address only.
access-list 10 permit 192.168.30.0 0.0.0.255
Extended ACLs filter IP packets based on several attribute, including
the fllowing:
• source and destination ip address
• source and destination tcp and udp ports
• protocol type (IP, ICMP, UDP, TCP, or protocol number)
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
6.4 3. Nguyên tắc hoạt động của danh sách truy cập.
- Danh sách truy cập diễn tả một danh sách các qui luật mà nó cho phép
thêm vào các điều khiển các gói tin đi vào một giao diện của router, các
gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện của
router.
- Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ router
đang xét.
- Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự. Chúng
đánh giá các gói tin từ trên xuống. Nếu tiêu đề của một gói tin và một
lệnh trong danh sách truy cập khớp với nhau, gói tin sẽ bỏ qua các lệnh
còn lại. Nếu một điều kiện được thỏa mãn, gói tin sẽ được cấp phép hay

bị từ chối. Chỉ cho phép một danh sách trên một giao thức trên một giao
diện.
6.5 Cấu hình Standard Access List.
6.5.1 Mô hình.
6.5.2 Muc tiêu:̣
THAIR1(config)#interface s0/0
THAIR1(config-if)#ip address 172.16.0.1 255.255.0.0
THAIR1(config-if)#clock rate 64000
THAIR1(config-if)#no shutdown
THAIR1(config)#interface e1/0
- Dùng giao thức RIPv2 để thực hiện việc định tuyến cho các router.
THAIR1(config)#router rip
THAIR1(config-router)#version 2
THAIR1(config-router)#network 192.168.1.0
THAIR1(config-router)#no auto-summary
RIPv2.
THAIR1#show ip route
C 172.16.0.0/16 is directly connected, Serial0/0
C 192.168.1.0/24 is directly connected, Ethernet1/0

- Quá trình định tuyến thành công.
- Tạo Standard access list ngăn không cho router ThaiR2 ping vào host.
THAIR1(config)#access-list 1 deny 172.16.0.2 0.0.0.0  từ chối sự
truy cập của địa chỉ 172.16.0.2
THAIR1(config-if)#ip access-group 1 in  ngăn cản đường vào của
cổng s0/0 theo access group 1.
- Kết quả đứng tại router THAIR2 ping không thành công đến PC1.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
- Thực hiện đổi địa chỉ của router.
- Thực hiện lại việc định tuyến.
THAIR1(config-router)#no network 172.16.0.0
- Lệnh ping vẫn không thành công, lý do là khi không tìm thấy địa chỉ
source (địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực
hiện Deny any, vì vậy bạn phải thay đổi mặc định này.
THAIR1(config)#access-list 1 permit any
- Lúc này tại router THAIR2 đã có thể ping đến PC1.

THAIR2#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/76/208 ms
- Đặt ip cho cổng interface s0/0 trên router.
RIPv2.
THAIR2#show ip route
C 172.16.0.0/16 is directly connected, Serial0/0
R 192.168.1.0/24 [120/1] via 172.16.0.1, 00:00:13, Serial0/0
- Thực hiện đổi địa chỉ của router.

- Thực hiện lại việc định tuyến.
THAIR2(config-router)#no network 172.16.0.0
6.6 Cấu hình Extended Access List.
6.6.1 Mô hình.
6.6.2 Muc tiêu:̣ Cấu hình Extended access list sao cho PC1 không thể
Telnet vào router ThaiR2 nh ng vẫn có thê duyêt web qua routerư ̉ ̣
ThaiR2.
ThaiR1(config)#interface e1/0
- Dùng giao thức RIPv2 để thực hiện việc định tuyến cho các router.

- Tại PC1 ping thành công đến PC2.
- Sau đó Telnet và duyệt web từ PC1 vào router ThaiR2 với mật khấu
cisco.
- Đặt Mật khẩu truy cập vào enable mode.
ThaiR2(config)#enable secret router
- Đặt mật khẩu telnet.
ThaiR2(config)#line vty 0 4
ThaiR2(config-line)#password cisco
ThaiR2(config)#interface e1/0

- Tiến hành giả một http server trên Router.
ThaiR2(config)#ip http server
- Thực hiện cấu hình Access list.
ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2 0.0.0.0 eq
telnet
ThaiR2(config-if)#ip access-group 101 in
- Ta nhận thấy quá trình Telnet không thành công nhưng duyệt web
cũng không thành công.
- Để duyệt web thành công cần thực hiện thay đổi câu lệnh Deny any
mặc định của Access list.
ThaiR2(config)#access-list 101 permit ip any any
6.6.3 Kết luân:̣ Nh vây ta đã thành công viêc cấu hình cho Extendedư ̣ ̣
Access List v ́i muc đích ngăn cấm viêc Telnet vào router và choơ ̣ ̣
phép quá trình duyêt web vào router.̣

7 VPN trên Cisco.
7.1 Tổng quan vềVPN.
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến
công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế
để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử
dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà
người sử dụng đó đang dùng. Để làm được điều này người ta sử dụng một
máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. Các
máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet
Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn
tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công
cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư
vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet
có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên
rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản
lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả
mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện
có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -
VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở
hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có
thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử
dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết
nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp
bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý,
người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền
thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide
Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng
mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
7.2 Định nghĩa VPN.
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private
network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng
riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các
site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng
bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng
các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới
các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua
mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN cung cấp các
cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa
nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng
riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa
hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về
đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách

nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị
bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì
không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được
gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống
VPN (VPN Tunnel).
7.3 Lợi ích của VPN.
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những
mạng mạng leased-line.Những lợi ích đầu tiên bao gồm:
- Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền
tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi
phí truy cập từ xa từ 60-80%.
- Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính
linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ
điển, bằng cách đó nó có thể hoạt động kinh doanh nhanh chóng và chi
phí một cách hiệu quả cho việc kết nối mở rộng. Theo cách này VPN có
thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phòng, những
vị trí ngoài quốc tế,những người truyền thông, những người dùng điện
thoại di động, những người hoạt động kinh doanh bên ngoài như những
yêu cầu kinh doanh đã đòi hỏi.
- Đơn giản hóa những gánh nặng.
- Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử
dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với
kết nối hướng những giao thức như là Frame Rely và ATM.
- Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những
người không có quyền truy cập và cho phép truy cập đối với những người
dùng có quyền truy cập.
- Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như TCP/IP.
- Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã
hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng
các địa chỉ bên ngoài Internet.
7.4 Các thành phần cần thiết để tạo kết nối VPN:
- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho
phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau
khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội
bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình
truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.
- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá
trình mã hoá và giải mã dữ liệu.
7.5 Các giao thức VPN:

7.6 Các giao thức để tạo nên cơ chế đường ống bảo
mật cho VPN là L2TP, Cisco GRE và IPSec.
7.6.1 L2TP:
- Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng
Layer 2 Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN.
- L2TP ra đời sau với những tính năng được tích hợp từ L2F. L2TP là dạng
kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol
(PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản
WindowNT và 2000
- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng
ảo quay số (Virtual Private Dail-up Network). L2TP cho phép người
dùng có thể kết nối thông qua các chính sách bảo mật của công ty
(security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng
nội bộ công ty.
- L2TP không cung cấp mã hóa.
- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức
L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối
mạng dial, ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng
này sử dụng PPP để cho phép truy cập VPN bởi những ngườI sử dụng từ
xa.
7.6.2 GRE:
- Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ
liệu bên trong đường ống IP (IP tunnel)
- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức
đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual
point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP
header sẽ được mở ra
- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi
trường có một giao thức chính. GRE tunneling cho phép các giao thức
khác có thể thuận lợi trong việc định tuyến cho gói IP.
7.6.3 IPSec:
- IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao
gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu
(integrity) và việc chứng thực dữ liệu.
- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các
giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh
ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec.

7.6.4 Point to Point Tunneling Protocol (PPTP):
- Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và
Windows 95+ . Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông
trên Mạng LAN. Giống như giao thức NETBEUI và IPX trong một
packet gửI lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự
mã hóa 40-bit hoặc 128-bit.
- Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn
255 kết nối tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó
không cung cấp sự mã hóa cho các công việc lớn nhưng nó dễ cài đặt và
triển khai và là một giảI pháp truy cập từ xa chỉ có thể làm được trên
mạng MS. Giao thức này thì được dùng tốt trong Window 2000. Layer 2
Tunneling Protocol thuộc về IPSec.
7.7 Thiết lập một kết nối VPN.
- Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection)
tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối
Internet.
- Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới.
- Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho
kết nối.
- Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty.
7.8 Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco
IOS.
Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:
- Chuẩn bị cho IKE và IPSec.
- Cấu hình cho IKE.
- Cấu hình cho IPSec.
• Cấu hình dạng mã hóa cho gói dữ liệu.
Crypto ipsec transform-set
• Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật
khác.
Crypto ipsec sercurity-association lifetime
• Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access
List) Crypto map.
• Cấu hình IPSec crypto maps.
• Áp dụng các crypto maps vào các cổng giao tiếp (interfaces).
Crypto map map-name
- Kiểm tra lại việc thực hiện IPSec.

A. Cấu hình cho mã hóa dữ liệu:
- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính
sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính
sách bảo mật IPSec (transform set).
- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình
IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách
bảo mật lưu thông trên mạng. Trong suốt quá trình trao đổi ISAKMP
IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì
hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của
mình trên đường truyền. Transform set là sự kết hợp của các nhân tố
sau:
• Cơ chế cho việc chứng thực: chính sách AH.
• Cơ chế cho việc mã hóa: chính sách ESP.
• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo
mật).
- Transform set bằng với việc kết hợp các AH transform, ESP transform
và chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương
tiện truyền thông). Transform set giới hạn từ một cho tới hai ESP
transform và một AH transform. Định nghĩa Transform set bằng câu
lệnh cryto ipsec transform-set ở chế độ gobal mode. Và để xoá các cài
đặt transform set dùng lệnh dạng no.
- Cú pháp của lệnh và các tham số truyền vào như sau:
crypto ipsec transform-set transform-set-name transform1
[transform2 [transform3]]
- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều
transform set trong mục crypto map. Định nghĩa các transform set trong
mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ
liệu được đinh nghĩa bởi ACL của mục crypto map. Trong suốt quá
trình trao đổi, cả hai bên sẽ tìm kiếm các transform set giống nhau ở cả
hai phiá. Khi mà các transform set được tìm thấy, nó sẽ được sử dụng
để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec Sa
ở cả 2 phía.
- Khi mà ISAKMP không được sử dụng để thiết lập các Sa, một
transform set riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được
trao đổi.
- Thay đổi cấu hình Transform set:
B1: Xóa các tranform set từ crypto map.
B2: Xóa các transform set trong chế độ cấu hình gobal mode.
B3: Cấu hình lại transform set với những thay đổi.
B4: Gán transform set với crypto map.
B5: Xóa cơ sở dữ liệu SA (SA database).
B6: Theo dõi các trao đổi SA và chắc chắn nó họat động tốt.
- Cấu hình cho việc trao đổi transform:

- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE
Phase 2 là những các transform set mà bạn cấu hình ưu tiên sử dụng.
Bạn có thể cấu hình nhiều transform set và có thể chỉ ra một hay nhiều
transform set trong mục crypto map. Cấu hình transform set từ những
bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật
của bạn. Những transform set được định nghĩa trong mục crypto map
được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định
nghĩa bởi ACL của mục crypto map.
- Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set
giống nhau ở cả hai bên như minh họa ở hình trên. Các transform set
của Router A được so sánh với một transform set của Router B và cứ
tiếp tục như thế. Router A transform set 10, 20, 30 được so sánh với
transform set 40 của Router B. Nếu mà không trả vể kết quả đúng thì
tất cả các transform set của Router A sau đó sẽ được so sánh với
transform set tiếp theo của Router B. Cuối cùng transform set 30 của
Router A giống với transform set 60 của Router B. Khi mà transform
set được tìm thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường
truyền như là một phần của IPSec SA của cả hai phía. IPSec ở mỗi bên
sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA.
B. Cấu hình thời gian tồn tại của IPSec trong quá trình trao đổi:
- IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi
thực hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời
gian tồn tại có thể áp dụng lên tất cả các crypto map. Giá trị của global
lifetime có thể được ghi đè với những mục trong crypto map.
- Bạn có thể thay đổi giá trị thời gian tồn tại của IPSec SA bằng câu lệnh
crypto ipsec security-association lifetime ở chế độ global
configuration mode. Để trả về giá trị mặc định ban đầu sử dụng dạng
câu lệnh no. Cấu trúc và các tham số của câu lệnh được định nghĩa như
sau:
cryto ipsec security-association lifetime {seconds seconds | kilobytes
kilobytes}
- Cisco khuyến cáo bạn nên sử dụng các giá trị mặc định. Bản thân thời
gian tồn tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng
crypto map.
- Định nghĩa Crypto Access Lists:
- Crypto access list (Crypto ACLs) được sử dụng để định nghĩa những
lưu thông (traffic) nào được sử dụng hay kho sử dụng IPSec.
- Crypto ACLs thực hiện các chức năng sau:
• Outbound: Chọn những traffic được bảo vệ bởi IPSec. Những
traffic còn lại sẽ được gửi ở dạng không mã hóa.
• Inbound: Nếu có yêu cầu thì inbound access list có thể tạo để lọc
ra và lọai bỏ những traffic kho được bảo vệ bởi IPSec.

C. Tạo cryto ACLs bằng danh sách truy cập mở rộng (Extends access list):
- Cryto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải trên
mạng. Danh sach truy cập mở rộng (Extended IP ACLs) sẽ chọn những
luồng dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền
tải (protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và
cổng dịch vụ (port). Mặc dù cú pháp ACL và extended IP ACLs là giống
nhau, nghĩa là chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép
(permit) chỉ những gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny)
với những gói dữ liệu được đánh dấu mới không được mã hóa. Crypto ACLs
họat động tương tự như extendeds IP ACL đó là chỉ áp dụng trên những
luồng dữ liệu đi ra (outbound traffic) trên một interface.
D. Cấu hình IPSec crypto maps:
E. Áp dụng các crypto maps vào các cổng giao tiếp (interfaces):
7.9 Cấu hính Ipsec VPN site to site.

7.9.1 Mô hình.
7.9.2 Muc tiêu:̣ Cấu hình VPN cho phép 2 LAN ở router ThaiR1 và router
ThaiR2 liên lạc được với nhau.

- cấu hình default route.
ThaiR1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
- Tạo Internet Key Exchange (IKE) key policy.
ThaiR1(config)#crypto isakmp policy 9
ThaiR1(config-isakmp)#hash md5
ThaiR1(config-isakmp)#authentication pre-share
- Tạo shared key để sử dụng cho kết nối VPN.
ThaiR1(config)#crypto isakmp key cisco address 2.2.2.2
- Quy định lifetime.
ThaiR1(config)#crypto ipsec security-association lifetime seconds
86400
- Cấu hình ACL dãy IP có thể VPN.
access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0
0.0.0.255
- Define the transformations set that will be used for this VPN
--connection.
crypto ipsec transform-set athena esp-3des esp-md5-hmac
- Tạo cypto-map cho các transform, setname.
ThaiR1(config)#crypto map mapathena 10 ipsec-isakmp
ThaiR1(config-crypto-map)#set peer 2.2.2.2
ThaiR1(config-crypto-map)#set transform-set athena
ThaiR1(config-crypto-map)#match address 100
- Gán vào interface.
ThaiR1(config-if)#crypto map mapathena

- show crypto ipsec transform-set để hiển thị cấu hình các IPsec policy
trong transform set.
Transform set athena: { esp-3des esp-md5-hmac }
will negotiate = { Tunnel, },
- show crypto map để hiển thị các crypto map sẽ áp dụng trong router.
ThaiR1#show crypto map
Crypto Map "mapathena" 10 ipsec-isakmp
Peer = 2.2.2.2
Extended IP access list 100
0.0.0.255
Current peer: 2.2.2.2
Security association lifetime: 4608000 kilobytes/86400 seconds
PFS (Y/N): N
Transform sets={
athena,
}
Interfaces using crypto map mapathena:
Serial0/0
- show crypto isakmp sa để hiện thị các SA IKE.
ThaiR1#show crypto isakmp sa
dst src state conn-id slot status
2.2.2.2 1.1.1.1 QM_IDLE 1 0 ACTIVE
- Sử dụng lệnh show crypto ipsec sa để hiển thị bảng thông tin về các
gói tin SA giữa ThaiR1 và ThaiR3.
ThaiR1#show crypto ipsec sa
interface: Serial0/0
Crypto map tag: mapathena, local addr 1.1.1.1
protected vrf: (none)
local ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0)
remote ident (addr/mask/prot/port):
(192.168.1.0/255.255.255.0/0/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 1.1.1.1, remote crypto endpt.: 2.2.2.2
path mtu 1500, ip mtu 1500
current outbound spi: 0xBF7A80FE(3212476670)
inbound esp sas:
spi: 0xC390A31D(3281036061)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: mapathena
sa timing: remaining key lifetime (k/sec): (4508469/86139)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xBF7A80FE(3212476670)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: mapathena
sa timing: remaining key lifetime (k/sec): (4508469/86135)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
- Đứng từ PC1 ping thành công đến PC2.

- cấu hình default route.
ThaiR3(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1
- Tạo Internet Key Exchange (IKE) key policy.
ThaiR3(config)#crypto isakmp policy 9
ThaiR3(config-isakmp)#hash md5
ThaiR3(config-isakmp)#authentication pre-share
- Tạo shared key để sử dụng cho kết nối VPN.
ThaiR3(config)#crypto isakmp key cisco address 1.1.1.1
- Quy định lifetime.
ThaiR3(config)#crypto ipsec security-association lifetime seconds
86400

- Cấu hình ACL dãy IP có thể VPN.
0.255.255.255
- Define the transformations set that will be used for this VPN
--connection.
ThaiR3(config)#crypto ipsec transform-set athena esp-3des esp-md5-
hmac
- Tạo cypto-map cho các transform, setname.
ThaiR3(config)#crypto map mapathena 10 ipsec-isakmp
ThaiR3(config-crypto-map)#set peer 1.1.1.1
ThaiR3(config-crypto-map)#set transform-set athena
ThaiR3(config-crypto-map)#match address 100
- Gán vào interface.
ThaiR3(config-if)#crypto map mapathena
7.9.3 Kết luân:̣ ping từ LAN 10.0.0.0/8 sang LAN 192.168.1.0/24 đã thành
công.

Báo cáo thực tập tuần 4

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Báo cáo thực tập tuần 4

Similar to Báo cáo thực tập tuần 4 (20)

More from tran thai

More from tran thai (6)

Báo cáo thực tập tuần 4