Chuyên Đề 2 I) Lệnh cấu hình cơ bản:Router(config)# hostname R1 • Mật khẩu cho console R1(config)#line console 0 R1(config-line)#password k5mang R1(config-line)#login • Mật khẩu cho Chế độ đặc quyền: R1(config)#enable password Class ( mật khẩu không mã hóa) R1(config)#Enable secret Class (mật khẩu được mã hóa) • Mật khẩu cho cổng VTY- telnet: R1(config-line)#line VTY 0 4 R1(config-line)#password Mang R1(config-line)# login * Nếu muốn đổi password thì lại thao tác lại. • Cấu hình “ banner motd” R1(config)#banner motd "day la router 1" • Cấu hình các cổng của Router: - Cổng serial: R1(config)#interface s0/0 R1(config-if)#ip address 10.0.0.2 255.0.0.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown - Cổng Fasethernet: R1(config)#interface fa0/0 R1(config-if)#ip address 12.0.0.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit - Cổng Loopback: R1(config)#interface loopback 1 R1(config-if)#ip address 11.0.0.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#exit • Cấu hình sub-interface R1(config)# interface fa0/0.10 R1(config-subif)#en capsulation dot 1Q 10 R1(config-subif)#ip address [đc IP] [SubMask] R1(config)#exit II) Cấu hình giao thức PPP: 1) Cấu hình giao thức PPP trên cổng router R1(config)#interface S0/0 - Chỉ định phương pháp đóng gói: R1(config-if)#encapsulation ppp - Chỉ định thuật toán nén trong PPP: R1(config-if)#compress [predictor/stac] - Chất lượng kết nối: R1(config-if)#PPP quality n (với n là % chất lượng chấp nhận được) - Chỉ định khả năng cân bằng tải: R1(config-if)# ppp multilink (multilink cân bằng tải ở tầng 2) R1(config-if)#ppp balancing (balancing cân bằng tải ở tần 3) * ** (muốn gỡ rối dùng Debug để xem các tiến trình gửi lên màn hình) R1#debug ppp {packet/negotiation/error / authentication /compression } R1# undebug ppp (tắt debug của ppp) R1# undebug all (tắt tất cả các sự kiện) 2. Giao thức xác thực PAP và CHAP: Việc cấu hình phải làm trên cả 2 router: 2.1 Giao Thức PAP: Router 1 Router 2 R1(config)# username R2 password mang R2(config)#username R1 password class R1(config)#interface S0/0 R2(config)#interface S0/0 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp R1(config-if)#ppp authentication PAP R2(config-if)#ppp authentication PAP R1(config-if)#PPP PAP sent username R1 password class R2(config-if)#PPP PAP sent username R2 password mang R1(config-if)#exit R2(config-if)#exit 2.2 Giao thức Chap: Khi cấu hình CHAP trên các router yêu cầu PASSWORD của 2 router phải giống nhau. Router 1 Router 2 R1(config)# username R2 password mang R2(config)#username R1 password mang R1(config)#interface S0/0 R2(config)#interface S0/0 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp R1(config-if)#ppp authentication CHAP R2(config-if)#ppp authentication CHAP R1(config-if)#exit R2(config-if)#exit *** chú ý: Trường hợp 1 trong 2 router không hỗ trợ giao thức CHAP thì phải triển khai cơ chế xác thực 1chiều. tức là router không hỗ trợ CHAP sẽ được xác thực bởi router hỗ trợ CHAP, nhưng không có chiều ngược lại. + Với router hỗ trợ CHAP thì cấu hình bình thường + Với router không hỗ trợ CHAP thì chỉ cần cấu hình Username và Password. III) Cấu hình Giao thức Frame-Relay: 3.1 cấu hình frame-relay cho cổng router. R1(config)#interface S0/0 R1(config-if)#encapsulation frame-relay R1(config-if )#frame-relay map ip <dc ip đích> <DLCI> <broadcast> R1(config-if)#/frame-relay map ip 192.168.0.1 203 broadcast R1(config-if)#bandwidth 64 ** từ khóa “Broadcast “ được sử dụng khi người quản trị mạng muốn FR hỗ trợ gửi gói tin broadcast hay multicast từ các thiết bị FR. 3.2 Cấu hình Frame-relay Sub-interface: B1: cấu hình cổng chính: R1(config)# interface S0/0 R1(config-if)# encapsulation Frame-relay R1(config-if)#no shutdown B2: cấu hình các cổng sub-interface R1(config)#interface S0/0.203 point-to-point / multipoint B3: đặt IP/SM cho cổng phụ: R1(config-subif)#ip address 10.0.0.2 255.0.0.0 Gán DLCI cho cổng R1(config-subif)#Frame-relay interface -DLCI 203 B4: chỉ định bandwidth cho cổng: R1(config-subif)#bandwidth 64 3.3 Frame-Relay back to back: cấu hình giống Frame-relay cơ bản chỉ thêm câu lệnh vào cuối R1(config-if)# no keep alive IV) Một số kỹ thuật bảo mật trong WAN: 4.1 Cấu hình router cho phép kết nối SSH qua VTY B1: đặt hostname. R1(config)#hostname R1 B2: thiết lập domain name R1(config)# IP domain-name ciscotn.com B3: tạo khóa bảo mật không đối xứng R1(config)#crypto key generate RSA => How many bits in the modulas [512]: 1024(lấy 2 k ) B4: thiết lập username và pass cho tài khoản SSH R1(config)#username R1 secret class B5: cho phép truy cập SSH qua VTY R1(config)#line VTY 0 4 R1(config-line)# no transport Input (bỏ chế độ vào telnet mặc định) R1(config-line)# transport Input SSH R1(config-line)# login local R1(config-line)#exit B6: thiết lập thời gian time out và số lần thử đăng nhập SSH tối đa R1(config)# IP SSH time-out [n] (n là thời gian time out 1<n<120) R1(config)#IP SSH authentication retries [m] (m:số lần thử đăng nhập tối đa) 4.2 Cấu hình cho phép cả SSH và Telnet R1(config)#line VTY 0 4 R1(config-line)# no transport input R1(config-line)# transport Input Telnet SSH R1(config-line)#login local VD: cấu hình cho phép cả kết nối SSH và Telnet qua 3 đường VTY đàu với các thông số: Username = sinhvien Password = mangk5 Key RSA , bits in modelas =1024 Domain ciscotn.com Time-out 20s Số lần thử đăng nhập =3 Pass của telnet chung với SSH Bài giải: R1(config)#hostname R1 R1(config)#ip domain-name ciscotn.com R1(config)#crypto key generate RSA How many bits in the modulas [512]: 1024 R1(config)#username sinhvien secret mangk5 R1(config)#line vty 0 2 R1(config-line)#no transport input R1(config-line)#transport input telnet ssh R1(config-line)#login local R1(config-line)#exit R1(config)#ip ssh time-out 20 R1(config)#ip ssh authentication retries 3 4.3 bảo mật giao thức định tuyến 4.3.1 Cấu hình bảo mật RIP (cấu hình cả 2 phía) B1: cấu hình RIP cơ bản: R1(config)# router RIP R1(config-router)#network [địa chỉ IP ] B2: tắt quảng bá RIP: R1(configrouter)#passive-interface default (chặn TT định tuyến trên tất cả các cổng) R1(config-router)#no passive-interface [tên cổng] (cho phép TT định tuyến gửi ra cổng này) R1(config-router)#version 2 B3: tạo Key bằng từ khóa Key chain và key string (keychain và key string phải giống nhau) R1(config)#key-chain RIP key R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco B4: Áp dụng keychain vào cổng thích hợp R1(config)#interface [tên cổng] R1(config-if)#ip rip authenticaion mode MD5 R1(config-if)#ip rip authentication key-chain rip-key *** các router cùng chạy RIP đều phải làm thao tác này trên tất cả các cổng kết nối với nhau. Với cùng key-chain và key-string 4.3.2 bảo mật với EIGRP B1: cấu hình EIGRP cơ bản: R1(config)#router EIGRP [AS] R1(config-router)# network [đc IP] B2: Tạo khóa Keychain R1(config)#key-chain EIGRP-Key R1(config-keychain)#key 1 R1(config-keychain-key)#key-string Hanoi R1(config-key-chain-key)#exit B3: áp dụng key-chain vào cổng thích hợp R1(config)#interface [tên cổng] R1(config-if)#ip EIGRP authentication mode EIGRP [AS] MD5 R1(config-if)# ip EIGRP authentication key-chain EIGRP [AS] EIGRP-key 4.3.3 bảo mật với OSPF B1: cấu hình OSPF cơ bản R1(config)#router OSPF [AS] R1(config-router)#network [đc IP] [Wild Card mask] Area [n] B2: tạo khóa R1(config)#interface [tên cổng] R1(config-if)#ip OSPF message-digest-key 1 MD5 Thainguyen R1(config-if)#ip OSPF authentication message-digest R1(config-if)#exit B3: gán vào OSPF R1(config)#router OSPF [AS] R1(config-router)#Area [n] authentication message-digest V) Cấu hình Access control list - ACL 5.1 ACL cơ bản: đặt ở cổng càng gần đích càng tốt R1(config)# access-list [n] permit/ deny [IP nguồn] [wild card nguồn] n là số hiệu ACL - Xóa ACL: R1(config)# no access-list [n] - Cho phép tất cả các mạng đi qua R1(config)# access-list [n] permit 0.0.0.0 255.255.255.255 Hay: R1(config)# access-list [n] permit any - Cho phép duy nhất 1 host đi qua: R1(config)#access-list [n] permit [IP của host đó ] 0.0.0.0 Hay : R1(config)#access-list [n] permit host [IP của host đó] *** các bước cấu hình ACL cơ bản: B1: cấu hình ACL theo yêu cầu B2: Vào cổng gán ACL B3: sử dụng ACL group chọn cổng vào hay ra VD: R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# interface fa0/0 R1(config-if)# IP access-group 10 out 5.1.1 Bảo mật các đường Line VTY B1: tạo các ACL theo yêu cầu B2: bảo mật Line VTY R1(config)#line vty 0 4 R1(config -line) # password secret R1(config-line) # login R1(config-line)#access-class [n] in (Line VTY chỉ đi vào) - Xem lệnh ACL: R1# Show running config R1# Show access-list - Không thể sủa được ACL, chỉ có thể xóa đi tạo lại 5.2 Tạo ACL bằng tên R1(config)#IP access-list [Standard/ Extended] [tên ACL] R1(config-std-nacl)# [permit /deny] [IP nguồn] [Willcard nguồn] Gán ACL vào cổng: R1(config)# interface [tên cổng] R1(config-if)ip access-group [tên ACL] [in/out] Kiểm tra lệnh ACL: R1#show access-list [ACL name/ ACL number] *** Lệnh xóa ACL tên: - Nếu gán ACL vào cổng rồi thì: R1(config)#interface [tên cổng] R1(config-if)# no ip access group [tên ACL] R1(config-if)#no ip access-list [tên ACL] R1# no IP access-list standard [tên ACL ] 5.2.1 Bảo mật các đường Line VTY R1(config)# ip access-list standard vty-security R1(config)# [permit/deny] [ip nguồn] [wildcard nguồn] R1(config)#line vty 0 4 R1(config)# password cisco R1(config)# login R1(config)# access-class vty-security in 5.3 ACL mở rộng: đặt ở cổng càng gần nguồn càng tốt R1(config)#access-list ID {permit/ deny} { IP/TCP/ UDP /ICMP / EIGRP…} [IP nguồn] [wildcard nguồn] [IP đích] [wildcard đích] Các toán tử: eq = ; gt >; lt < ; neq ≠ - Với ICMP thì có các lựa chọn sau: - echo: đi ra ngoài - echo-reply : trở lại - host-unreachable - net-unreachable - port-unreachable - unreachable - Với TCP có từ khóa Esablished ở cuối cho phép hay không cho phép thiết lập phiên là việc bắt tay 3 bước (tùy thuộc vào permit hay deny) VD: 1. Tạo ACL mở rộng 105 cho phép truy cập web. R1(config)#access-list 105 permit tcp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 80 80 là cho phép truy cập web 2. cho phép máy 192.168.0.7 ping được ra ngoài. R1(config)#access-list105 permit icmp host 192.168.0.7 any echo VI) Cấu hình DHCP: B1: loại bỏ những địa chỉ trong dải mà không cấp phát R1(config)# ip DHCP excluded-address [ip đầu] [ip cuối] VD: R1(config)# ip DHCP excluded-address 192.168.0.1 192.168.0.5 B2: định nghĩa một dải địa chỉ pool có tên R1(config)#ip DHCP pool [tên của pool] B3: cấu hình cho Pool: R1(config)#ip DHCP pool [tên của pool] R1(dhcp-config)# network [địa chỉ mạng] [subnet mark] R1(dhcp-config)# default-router [đc gateway] R1(dhcp-config)#dns-server [ip của DNS] R1(dhcp-config)#domain-name [tên domain] 6.2 Cấu hình DHCP relay (chuyển tiếp DHCP) R1(config)#interface [tên cổng] R1(config-if)# ip helper-address [ip DHCP server] Với host, nếu DHCP server ko cấp phát được địa chỉ IP thì gõ lệnh > ip config /rennew VII) Cấu hình NAT 7.1 NAT tĩnh: ánh xạ 1-1 B1: R1(config)# ip nat inside source static [local IP] [gobal IP] B2: R1(config)#interface [tên cổng inside] R1(config-if)#ip nat inside B3: R1(config)#interface [tên cổng outside] R1(config-if)#ip nat outside 7.2 NAT động: ánh xạ 1-1 B1: R1(config)# ip nat pool [tên pool] [public IP đầu] [Public IP cuối] [SubMark] B2: tạo ACL định nghĩa các địa chỉ Private (standard ACL): R1(config)# Access-list [ID] permit [đc mạng] [wild card] B3: tạo ánh xạ giữa private ip và public ip: R1(config)#ip nat inside source list [ID] pool [tên pool] B4: R1(config)# interface [cổng inside] R1(config-if)#ip nat inside B5: R1(config)#interface [tên cổng outside] R1(config-if)#ip nat outside 7.3 NAT overload: ánh xạ 1 – nhiều b1:,b2,b4,b5 giống hệt NAT động B3: ánh xạ 1-nhiều: R1(config)# ip nat inside source list [ID] pool [tên pool] overload 7.4 Nat overload trên interface=PAT B1: tạo standard access-list biểu diễn vùng private IP R1(config)#access-list <ID> permit [địa chỉ mạng] [wildcard] B2: tạo ánh xạ giữa access-list và cổng outside R1(config)ip nat inside source list <ID> interface [tên cổng outside] B3: R1(config)# interface [cổng inside] R1(config-if)#ip nat inside B4: R1(config)#interface [tên cổng outside] R1(config-if)#ip nat outside VIII) Một số lệnh cấu hình switch: - tạo Vlan S1(config)#vlan [n] với n là số hiệu vlan S1(config-vlan)#exit - cấu hình cổng trunk S1(config)#interface [tên cổng fa] S1(config-if)#switch port mode trunk S1(config-if)#switch port trunk native vlan 50 S1(config-if)#exit - gán cổng vào vlan S1(config)#int <range> fa [số hiệu cổng fa] S1(config)# switch port mode access S1(config)# switch port access vlan 10 S1(config)# spanning-tree portfast - cấu hình VTP server S1(config)# vtp mode server S1(config)# vtp domain [domain-name] S1(config)# vtp version S1(config)# vtp pasword - cấu hình VTP client S1(config)# vtp mode server (vẫn để chế độ server) S1(config)# vtp domain [domain-name] S1(config)# vtp version S1(config)# vtp pasword S1(config)# vtp mode client (chuyển chế độ sang client) - Lệnh thay đổi spanning tree S1(config)# spanning-tree vlan 1 root primary S1(config)# spanning-tree vlan 1 root secondary - Lệnh copy cấu hình từ RAM vào TFTP S1# copy running-config tftp: Đánh địa chỉ máy chủ cần copy Tên file cấu hình (vd bai1.txt) - Lệnh copy cấu hình từ TFTP server vào NVRAM S1# copy tftp:running-config Địa chỉ ip của tfftp . FR. 3 .2 Cấu hình Frame-relay Sub-interface: B1: cấu hình cổng chính: R1(config)# interface S0/0 R1(config-if)# encapsulation Frame-relay R1(config-if)#no shutdown B2: cấu hình các cổng sub-interface R1(config)#interface. local R1(config-line)#exit R1(config)#ip ssh time-out 20 R1(config)#ip ssh authentication retries 3 4.3 bảo mật giao thức định tuyến 4.3.1 Cấu hình bảo mật RIP (cấu hình cả 2 phía) B1: cấu hình RIP cơ bản: R1(config)#. >; lt < ; neq ≠ - Với ICMP thì có các lựa chọn sau: - echo: đi ra ngoài - echo-reply : trở lại - host-unreachable - net-unreachable - port-unreachable - unreachable - Với TCP có từ khóa