Chuyên Đề 2
I) Lệnh cấu hình cơ bản:Router(config)# hostname R1
• Mật khẩu cho console
R1(config)#line console 0
R1(config-line)#password k5mang
R1(config-line)#login
• Mật khẩu cho Chế độ đặc quyền:
R1(config)#enable password Class ( mật khẩu không mã hóa)
R1(config)#Enable secret Class (mật khẩu được mã hóa)
• Mật khẩu cho cổng VTY- telnet:
R1(config-line)#line VTY 0 4
R1(config-line)#password Mang
R1(config-line)# login
* Nếu muốn đổi password thì lại thao tác lại.
• Cấu hình “ banner motd”
R1(config)#banner motd "day la router 1"
• Cấu hình các cổng của Router:
- Cổng serial:
R1(config)#interface s0/0
R1(config-if)#ip address 10.0.0.2 255.0.0.0
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
- Cổng Fasethernet:
R1(config)#interface fa0/0
R1(config-if)#ip address 12.0.0.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
- Cổng Loopback:
R1(config)#interface loopback 1
R1(config-if)#ip address 11.0.0.1 255.0.0.0
R1(config-if)#no shutdown

R1(config-if)#exit
• Cấu hình sub-interface
R1(config)# interface fa0/0.10
R1(config-subif)#en capsulation dot 1Q 10
R1(config-subif)#ip address [đc IP] [SubMask]
R1(config)#exit
II) Cấu hình giao thức PPP:
1) Cấu hình giao thức PPP trên cổng router
R1(config)#interface S0/0
- Chỉ định phương pháp đóng gói:
R1(config-if)#encapsulation ppp
- Chỉ định thuật toán nén trong PPP:
R1(config-if)#compress [predictor/stac]
- Chất lượng kết nối:
R1(config-if)#PPP quality n (với n là % chất lượng chấp nhận được)
- Chỉ định khả năng cân bằng tải:
R1(config-if)# ppp multilink (multilink cân bằng tải ở tầng 2)
R1(config-if)#ppp balancing (balancing cân bằng tải ở tần 3)
* ** (muốn gỡ rối dùng Debug để xem các tiến trình gửi lên màn hình)
R1#debug ppp {packet/negotiation/error / authentication /compression }
R1# undebug ppp (tắt debug của ppp)
R1# undebug all (tắt tất cả các sự kiện)
2. Giao thức xác thực PAP và CHAP:
Việc cấu hình phải làm trên cả 2 router:
2.1 Giao Thức PAP:
Router 1 Router 2
R1(config)# username R2 password mang R2(config)#username R1 password class
R1(config)#interface S0/0 R2(config)#interface S0/0
R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp
R1(config-if)#ppp authentication PAP R2(config-if)#ppp authentication PAP

R1(config-if)#PPP PAP sent username R1
password class
R2(config-if)#PPP PAP sent username R2 password
mang
R1(config-if)#exit R2(config-if)#exit

2.2 Giao thức Chap:
Khi cấu hình CHAP trên các router yêu cầu PASSWORD của 2 router phải giống nhau.
Router 1 Router 2
R1(config)# username R2 password mang R2(config)#username R1 password mang
R1(config)#interface S0/0 R2(config)#interface S0/0
R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp
R1(config-if)#ppp authentication CHAP R2(config-if)#ppp authentication CHAP
R1(config-if)#exit R2(config-if)#exit
*** chú ý:
Trường hợp 1 trong 2 router không hỗ trợ giao thức CHAP thì phải triển khai cơ chế xác thực 1chiều. tức
là router không hỗ trợ CHAP sẽ được xác thực bởi router hỗ trợ CHAP, nhưng không có chiều ngược lại.
+ Với router hỗ trợ CHAP thì cấu hình bình thường
+ Với router không hỗ trợ CHAP thì chỉ cần cấu hình Username và Password.
III) Cấu hình Giao thức Frame-Relay:
3.1 cấu hình frame-relay cho cổng router.
R1(config)#interface S0/0
R1(config-if)#encapsulation frame-relay
R1(config-if )#frame-relay map ip <dc ip đích> <DLCI> <broadcast>
R1(config-if)#/frame-relay map ip 192.168.0.1 203 broadcast
R1(config-if)#bandwidth 64
** từ khóa “Broadcast “ được sử dụng khi người quản trị mạng muốn FR hỗ trợ gửi gói tin
broadcast hay multicast từ các thiết bị FR.
3.2 Cấu hình Frame-relay Sub-interface:
B1: cấu hình cổng chính:

R1(config)# interface S0/0
R1(config-if)# encapsulation Frame-relay
R1(config-if)#no shutdown
B2: cấu hình các cổng sub-interface
R1(config)#interface S0/0.203 point-to-point / multipoint
B3: đặt IP/SM cho cổng phụ:
R1(config-subif)#ip address 10.0.0.2 255.0.0.0
Gán DLCI cho cổng
R1(config-subif)#Frame-relay interface -DLCI 203
B4: chỉ định bandwidth cho cổng:
R1(config-subif)#bandwidth 64
3.3 Frame-Relay back to back: cấu hình giống Frame-relay cơ bản chỉ thêm câu lệnh vào cuối
R1(config-if)# no keep alive
IV) Một số kỹ thuật bảo mật trong WAN:
4.1 Cấu hình router cho phép kết nối SSH qua VTY
B1: đặt hostname.
R1(config)#hostname R1
B2: thiết lập domain name
R1(config)# IP domain-name ciscotn.com
B3: tạo khóa bảo mật không đối xứng
R1(config)#crypto key generate RSA
=> How many bits in the modulas [512]: 1024(lấy 2
k
)
B4: thiết lập username và pass cho tài khoản SSH
R1(config)#username R1 secret class
B5: cho phép truy cập SSH qua VTY
R1(config)#line VTY 0 4
R1(config-line)# no transport Input (bỏ chế độ vào telnet mặc định)
R1(config-line)# transport Input SSH

R1(config-line)# login local
R1(config-line)#exit
B6: thiết lập thời gian time out và số lần thử đăng nhập SSH tối đa
R1(config)# IP SSH time-out [n] (n là thời gian time out 1<n<120)
R1(config)#IP SSH authentication retries [m] (m:số lần thử đăng nhập tối đa)
4.2 Cấu hình cho phép cả SSH và Telnet
R1(config)#line VTY 0 4
R1(config-line)# no transport input
R1(config-line)# transport Input Telnet SSH
R1(config-line)#login local
VD: cấu hình cho phép cả kết nối SSH và Telnet qua 3 đường VTY đàu với các thông số:
Username = sinhvien
Password = mangk5
Key RSA , bits in modelas =1024
Domain ciscotn.com
Time-out 20s
Số lần thử đăng nhập =3
Pass của telnet chung với SSH
Bài giải:
R1(config)#hostname R1
R1(config)#ip domain-name ciscotn.com
R1(config)#crypto key generate RSA
How many bits in the modulas [512]: 1024
R1(config)#username sinhvien secret mangk5
R1(config)#line vty 0 2
R1(config-line)#no transport input
R1(config-line)#transport input telnet ssh
R1(config-line)#login local
R1(config-line)#exit
R1(config)#ip ssh time-out 20

R1(config)#ip ssh authentication retries 3
4.3 bảo mật giao thức định tuyến
4.3.1 Cấu hình bảo mật RIP (cấu hình cả 2 phía)
B1: cấu hình RIP cơ bản:
R1(config)# router RIP
R1(config-router)#network [địa chỉ IP ]
B2: tắt quảng bá RIP:
R1(configrouter)#passive-interface default (chặn TT định tuyến trên tất cả các cổng)
R1(config-router)#no passive-interface [tên cổng] (cho phép TT định tuyến gửi ra cổng
này)
R1(config-router)#version 2
B3: tạo Key bằng từ khóa Key chain và key string (keychain và key string phải giống nhau)
R1(config)#key-chain RIP key
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
B4: Áp dụng keychain vào cổng thích hợp
R1(config)#interface [tên cổng]
R1(config-if)#ip rip authenticaion mode MD5
R1(config-if)#ip rip authentication key-chain rip-key
*** các router cùng chạy RIP đều phải làm thao tác này trên tất cả các cổng kết nối với nhau. Với cùng key-chain
và key-string
4.3.2 bảo mật với EIGRP
B1: cấu hình EIGRP cơ bản:
R1(config)#router EIGRP [AS]
R1(config-router)# network [đc IP]
B2: Tạo khóa Keychain
R1(config)#key-chain EIGRP-Key
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string Hanoi
R1(config-key-chain-key)#exit

B3: áp dụng key-chain vào cổng thích hợp
R1(config)#interface [tên cổng]
R1(config-if)#ip EIGRP authentication mode EIGRP [AS] MD5
R1(config-if)# ip EIGRP authentication key-chain EIGRP [AS] EIGRP-key
4.3.3 bảo mật với OSPF
B1: cấu hình OSPF cơ bản
R1(config)#router OSPF [AS]
R1(config-router)#network [đc IP] [Wild Card mask] Area [n]
B2: tạo khóa
R1(config)#interface [tên cổng]
R1(config-if)#ip OSPF message-digest-key 1 MD5 Thainguyen
R1(config-if)#ip OSPF authentication message-digest
R1(config-if)#exit
B3: gán vào OSPF
R1(config)#router OSPF [AS]
R1(config-router)#Area [n] authentication message-digest
V) Cấu hình Access control list - ACL
5.1 ACL cơ bản: đặt ở cổng càng gần đích càng tốt
R1(config)# access-list [n] permit/ deny [IP nguồn] [wild card nguồn]
n là số hiệu ACL
- Xóa ACL:
R1(config)# no access-list [n]
- Cho phép tất cả các mạng đi qua
R1(config)# access-list [n] permit 0.0.0.0 255.255.255.255
Hay: R1(config)# access-list [n] permit any
- Cho phép duy nhất 1 host đi qua:
R1(config)#access-list [n] permit [IP của host đó ] 0.0.0.0
Hay : R1(config)#access-list [n] permit host [IP của host đó]
*** các bước cấu hình ACL cơ bản:
B1: cấu hình ACL theo yêu cầu

B2: Vào cổng gán ACL
B3: sử dụng ACL group chọn cổng vào hay ra
VD: R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)# interface fa0/0
R1(config-if)# IP access-group 10 out
5.1.1 Bảo mật các đường Line VTY
B1: tạo các ACL theo yêu cầu
B2: bảo mật Line VTY
R1(config)#line vty 0 4
R1(config -line) # password secret
R1(config-line) # login
R1(config-line)#access-class [n] in (Line VTY chỉ đi vào)
- Xem lệnh ACL:
R1# Show running config
R1# Show access-list
- Không thể sủa được ACL, chỉ có thể xóa đi tạo lại
5.2 Tạo ACL bằng tên
R1(config)#IP access-list [Standard/ Extended] [tên ACL]
R1(config-std-nacl)# [permit /deny] [IP nguồn] [Willcard nguồn]
Gán ACL vào cổng:
R1(config)# interface [tên cổng]
R1(config-if)ip access-group [tên ACL] [in/out]
Kiểm tra lệnh ACL:
R1#show access-list [ACL name/ ACL number]
*** Lệnh xóa ACL tên:
- Nếu gán ACL vào cổng rồi thì:
R1(config)#interface [tên cổng]
R1(config-if)# no ip access group [tên ACL]
R1(config-if)#no ip access-list [tên ACL]
R1# no IP access-list standard [tên ACL ]

5.2.1 Bảo mật các đường Line VTY
R1(config)# ip access-list standard vty-security
R1(config)# [permit/deny] [ip nguồn] [wildcard nguồn]
R1(config)#line vty 0 4
R1(config)# password cisco
R1(config)# login
R1(config)# access-class vty-security in
5.3 ACL mở rộng: đặt ở cổng càng gần nguồn càng tốt
R1(config)#access-list ID {permit/ deny} { IP/TCP/ UDP /ICMP / EIGRP…} [IP nguồn] [wildcard
nguồn] [IP đích] [wildcard đích]
Các toán tử: eq = ; gt >; lt < ; neq ≠
- Với ICMP thì có các lựa chọn sau:
- echo: đi ra ngoài
- echo-reply : trở lại
- host-unreachable
- net-unreachable
- port-unreachable
- unreachable
- Với TCP có từ khóa Esablished ở cuối cho phép hay không cho phép thiết lập phiên là việc bắt tay 3
bước (tùy thuộc vào permit hay deny)
VD:
1. Tạo ACL mở rộng 105 cho phép truy cập web.
R1(config)#access-list 105 permit tcp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 80
80 là cho phép truy cập web
2. cho phép máy 192.168.0.7 ping được ra ngoài.
R1(config)#access-list105 permit icmp host 192.168.0.7 any echo
VI) Cấu hình DHCP:
B1: loại bỏ những địa chỉ trong dải mà không cấp phát
R1(config)# ip DHCP excluded-address [ip đầu] [ip cuối]
VD: R1(config)# ip DHCP excluded-address 192.168.0.1 192.168.0.5

B2: định nghĩa một dải địa chỉ pool có tên
R1(config)#ip DHCP pool [tên của pool]
B3: cấu hình cho Pool:
R1(config)#ip DHCP pool [tên của pool]
R1(dhcp-config)# network [địa chỉ mạng] [subnet mark]
R1(dhcp-config)# default-router [đc gateway]
R1(dhcp-config)#dns-server [ip của DNS]
R1(dhcp-config)#domain-name [tên domain]
6.2 Cấu hình DHCP relay (chuyển tiếp DHCP)
R1(config)#interface [tên cổng]
R1(config-if)# ip helper-address [ip DHCP server]
Với host, nếu DHCP server ko cấp phát được địa chỉ IP thì gõ lệnh > ip config /rennew
VII) Cấu hình NAT
7.1 NAT tĩnh: ánh xạ 1-1
B1:
R1(config)# ip nat inside source static [local IP] [gobal IP]
B2:
R1(config)#interface [tên cổng inside]
R1(config-if)#ip nat inside
B3:
R1(config)#interface [tên cổng outside]
R1(config-if)#ip nat outside
7.2 NAT động: ánh xạ 1-1
B1:
R1(config)# ip nat pool [tên pool] [public IP đầu] [Public IP cuối] [SubMark]
B2: tạo ACL định nghĩa các địa chỉ Private (standard ACL):
R1(config)# Access-list [ID] permit [đc mạng] [wild card]
B3: tạo ánh xạ giữa private ip và public ip:
R1(config)#ip nat inside source list [ID] pool [tên pool]
B4: R1(config)# interface [cổng inside]

R1(config-if)#ip nat inside
B5:
R1(config)#interface [tên cổng outside]
R1(config-if)#ip nat outside
7.3 NAT overload: ánh xạ 1 – nhiều
b1:,b2,b4,b5 giống hệt NAT động
B3: ánh xạ 1-nhiều:
R1(config)# ip nat inside source list [ID] pool [tên pool] overload
7.4 Nat overload trên interface=PAT
B1: tạo standard access-list biểu diễn vùng private IP
R1(config)#access-list <ID> permit [địa chỉ mạng] [wildcard]
B2: tạo ánh xạ giữa access-list và cổng outside
R1(config)ip nat inside source list <ID> interface [tên cổng outside]
B3: R1(config)# interface [cổng inside]
R1(config-if)#ip nat inside
B4:
R1(config)#interface [tên cổng outside]
R1(config-if)#ip nat outside
VIII) Một số lệnh cấu hình switch:
- tạo Vlan
S1(config)#vlan [n] với n là số hiệu vlan
S1(config-vlan)#exit
- cấu hình cổng trunk
S1(config)#interface [tên cổng fa]
S1(config-if)#switch port mode trunk
S1(config-if)#switch port trunk native vlan 50
S1(config-if)#exit
- gán cổng vào vlan
S1(config)#int <range> fa [số hiệu cổng fa]
S1(config)# switch port mode access

S1(config)# switch port access vlan 10
S1(config)# spanning-tree portfast
- cấu hình VTP server
S1(config)# vtp mode server
S1(config)# vtp domain [domain-name]
S1(config)# vtp version
S1(config)# vtp pasword
- cấu hình VTP client
S1(config)# vtp mode server (vẫn để chế độ server)
S1(config)# vtp domain [domain-name]
S1(config)# vtp version
S1(config)# vtp pasword
S1(config)# vtp mode client (chuyển chế độ sang client)
- Lệnh thay đổi spanning tree
S1(config)# spanning-tree vlan 1 root primary
S1(config)# spanning-tree vlan 1 root secondary
- Lệnh copy cấu hình từ RAM vào TFTP
S1# copy running-config tftp:
Đánh địa chỉ máy chủ cần copy
Tên file cấu hình (vd bai1.txt)
- Lệnh copy cấu hình từ TFTP server vào NVRAM
S1# copy tftp:running-config
Địa chỉ ip của tfftp