Tải bản đầy đủ (.docx) (12 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Phần cứng

Tổng hợp cấu hình router

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (144.6 KB, 12 trang )

Tổng hợp cấu hình Router
Kỳ II
>ena
#configure terminal
(config) #hostname (tên host name)
(config) #enable password (pass)
(config) #enable secret (pass)
(config) #banner motd #điền banner motd#
(config) #no ip domain-lookup (lệnh này cấu hình cho router không tự tìm domain khi đánh sai lệnh )
(config) #ip hostname (tên Router) (địa chỉ IP trên cổng kết nối của Router đó ) (cấu hình telnet và ping
bằng tên)
(config) #line vty 0 4
(config-line) #password (pass)
(config-line) #login
(config-line) #exit
(config) #line console 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn thông báo vào dòng
lệnh)
(config-line) #login
(config-line) #exit
(config) #line aux 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn dòng lệnh vào thông
báo)
(config-line) #login
(config-line) #exit
(config) #interface loopback (số loopback)
(config-if) #ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit


(config) #interface fastEthernet (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit
(config) #interface serial (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #clock rate ( clock rate-nếu là DCE thì mới cần cấu hình)
(config-if) #exit


Cấu hình chạy Ripv1:
*Chú ý : Ripv1 không có cấu hình authentication !

(config) #router rip
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng
(fa/se/loop))
(config-if) #ip rip send version 2 ( tương thích Ripv2 & v1 – cấu hình tại cổng muốn gửi bản tin v2 trên
router chạy RIP v1)

Cấu hình chạy Ripv2:
(config) #router rip
(config-router) #version 2
(config-router) #no auto-summary
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router)#passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng
(fa/se/loop))

(config-router) #redistribute eigrp (số AS:1,2,10…) metric (0-max15) (quảng bá EIGRP vào Rip)
(config-router) #redistribute ospf (process-id) metric (0-max15) (quảng bá OSPF vào Rip)
-Cấu hình Authentication(xác thực) cho Ripv2:
*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !

Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)
Gán key vào cổng kết nối:
(config) #interface (tên cổng (fa/se))
(config-if) #ip rip authentication key-chain (tên key chain)
Mã hóa dạng MD5:
(config-if) #ip rip authentication mode MD5
Cấu hình chạy EIGRP:
(config) #router eigrp (số)
(config-router) #no auto-summary
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop) )
(config-router) #redistribute rip metric 10000 100 255 1 1500 (quảng bá Rip vào EIGRP)
(config-router) #redistribute ospf (process ip) metric 10000 100 255 1 1500 (quảng bá OSPF vào
EIGRP)

(config-router) #redistribute static (quảng bá tuyến default route)
(config-if) #ip summary-address eigrp (số AS:1,2,10…) (địa chỉ IP mạng) (subnetmask) (cấu hình tại
cổng muốn quảng bá tuyến summary)


Cấu hình Authentication(xác thực) cho EIGRP :
*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !


Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)
Gán key vào cổng kết nối:
(config) #interface (tên cổng (fa/se))
(router-if) #ip authentication key-chain eigrp (số AS:1,2,10…) (tên key chain đã tạo)
Mã hóa dạng MD5:
(router-if) #ip authenrication mode eigrp (số AS:1,2,10…) md5
Note: Khi cấu hình EIGRP: thông số AS, các giá trị K, thời gian hold timer trên các con router chạy
EIGRP phải giống nhau.

Cấu hình chạy OSPF :
(config) #router ospf (process-id)
(config-router) #network (địa chỉ IP mạng) (wildcard-mask=255.255.255.255 – subnetmask) area (area
id)
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop)
(config-router) #redistribute rip subnets (quảng bá Rip vào OSPF)
(config-router) #redistribute eigrp (số) subnets (quảng bá EIGRP vào OSPF)
(config-router) #default-information originate (quảng bá tuyến default route)
Cấu hình bầu bán DR và BDR (Designated Router-Backup Designated Router) :
*Chú ý :Chỉ có trong mạng MultiAccess (kết nối cổng fastethernet) các Router chạy OSPF mới có
cấu hình này !

Cách 1: Priority (Priovity cao nhất sẽ là DR,tiếp theo là BDR (Default=1, 0 -> 255))
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf priovity (0-255)
Cách 2: Router ID (Router ID cao nhất sẽ là DR)
(config) #router ospf (process id)

(config-router) #router-id (địa chỉ IP cổng Fa)
*Chú ý :Sau khi cấu hình bầu bán DR và BDR xong cần cấu hình lệnh dưới đây để thiết lập lại :

#clear ip ospf process
Reset ALL OSPF processes? [no]:y (chọn yes để hoàn tất)


-Cấu hình Authentication(xác thực) cho OSPF :
Cách 1 : Không có mã hóa
(config) #router ospf (process id)
(config-router) #area (area id) authentication (kích hoạt trên Router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf authentication-key (số key) (password)
Cách 2 : Có mã hóa MD5
(config) #router ospf (process id)
(config-router) #area (area id) authentication message-digest (kích hoạt trên router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf message-degest-key (số key) md5 (level 0-7) (password)


Kỳ IV
Cấu hình xác thực trong WAN:
Cấu hình PAP (Không có mã hóa):
-Xác thực 1 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) #ppp pap sent-username (tên) password (pass)
R2(config) #interface serial (số cổng)

R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication pap
R2(config-if)#exit
R2(config)# username (tên) password (pass)
-Xác thực 2 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) # ppp authentication pap
R1(config-if) #ppp pap sent-username (tên) password (pass)
R1(config-if)#exit
R1(config)# username (tên2) password (pass2)
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication pap
R2(config-if) #ppp pap sent-username (tên2) password (pass2)
R2(config-if)#exit
R2(config)# username (tên) password (pass)
Cấu hình CHAP (có mã hóa):
Chap 1 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) #ppp chap hostname (tên)
R1(config-if) #ppp chap password (pass)
R1(config-if)#exit
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication chap
R2(config-if)#exit
R2(config)# username (tên) password (pass)



Chap 2 chiều
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) # ppp authentication chap
R1(config-if)#exit
R1(config)# username R2 password (pass)
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication chap
R2(config-if)#exit
R2(config)# username R1 password (pass)

Cấu hình giả lập Router→Frame-relay Switch:
*Lưu ý:Khi cấu hình định tuyến trong mạng Frame-relay với EIGRP, RIP trên cùng 1 Router 1
cổng mà có nhiều kênh ảo phải tắt
Horizon thì mạng mới hoạt động được,có thể xảy ra loop nhưng khả năng không nhiều.
→Vào cổng đó:
(config) #interface serial (số cổng)
(config-if) #no ip split-horizon
Khi cấu hình định tuyến trong mạng Frame-relay với OSPF phải chuyển kiểu mạng trên
các cổng của các Router thì mạng mới hoạt động được
→Vào cổng đó:
(config) # interface serial (số cổng)
(config-if) #ip ospf network point-to-point
Cấu hình Frame-relay Switch:
(config) #frame-relay switching (lệnh khởi tạo chức năng frame-relay-switch trên Router)
(config) #interface serial (số cổng)
(config-if) #encapsulation frame-relay
(config-if) #frame-relay intf-type dce

(config-if) #clock rate (1200,56000,64000….)
(config-if)#no shut
(config-if) #frame-relay route (DLCI) interface serial (số cổng) (DLCI)
Gán DLCI cho cổng sub:


(config) #interface serial (số cổng)
(config-if) #encapsulation frame-relay
(config-if)#no shut
Tạo DLCI cho cổng sub P-t-P,Multipoint :
(config) #interface serial (cổng sub) (point–to–point,multipoint)
(config-if) #ip address (IP) (subnet)
(config-if) #frame-relay interface-dlci (DLCI)
Tắt inverse ARP (mục đích để map static):
(config) #interface serial (số cổng)
(config-if) #no frame-relay inverse-arp
Map static trên từng Router(chỉ áp dụng trên cổng vật lý và cổng Multipoint):
(config) #interface serial (số cổng)
(config-if) #frame-relay map ip (ip của Router đích) (DLCI của Router nguồn(chính là router đang cấu
hình))
Phải dùng static map trong những trường hợp sau:
1. Tắt inverse-arp
Or:
2. Hai cổng thuộc cùng 1 mạng, không có kênh ảo trực tiếp sang nhau, không phải sub
poin-to-point

Cấu hình Access List:
Numbered (Cấu hình ACL theo kiểu số,không sửa được khi sai) :
Standard : 1→99,1300→1999,lọc bản tin dựa vào IP nguồn
Extended : 99→1299,2000→over,lọc bản tin dựa vào IP nguồn và đích,port dịch vụ,các giao

thức TCP,UDP…
Tạo ACL :
(config) #access-lists (số) (deny,permit) (network address) (Wildcard mask)
Named (Cấu hình ACL theo kiểu tên,sửa được khi sai) :
(config) #ip access-lists (standard,extended) (tên)
(config-(std,ext)-nacl) #(deny,permit) (IP) (Wildcard mask)
Kết thúc bằng lệnh : permit any
Cấu hình tạo khoảng thời gian cho ACL:
*Chú ý: cần đặt clock cho Router trước khi cấu hình

(config) #clock timezone (tên) (hh) (mm)


R# clock set …….
Tạo chu kỳ thời gian :
(config) #time-range (tên)
(config-time-range) #periodic (day) (day) (start time) to (end time)
*Để gán Time-range chỉ cần điền (tên) khoảng thời gian đã tạo sau câu acl

Cấu hình VPN:
VPN Site-to-Site :
-Tạo key :
(config) #crypto isakmp policy (số)
-Xác thực :
(config-isakmp) #authentication pre-share (xác thực theo kiểu share key)
-Sử dụng thuật toán :
(config-isakmp) #hash (sha hoặc md5)
-Mã hóa bản tin gửi đi :
(config-isakmp) #encryption (aes,3des,des) (số bit mã hóa :128,192…)
-Chia sẻ key cho Site kết nối :

(config) #crypto isakmp key (key) address (IP Site kết nối)
-Kiểu đóng gói :
(config) #crypto ipsec transform-set (tên) (esp-aes,esp-3des…) (số bit mã hóa :128,192…) (espmd5-hmac
esp-sha-hmac (thuật toán xác thực
phần header))
-Tạo ACLists:
Permit dải IP nguồn_dải IP đích
-Tạo Map :
(config) #crypto map (tên map) (1-165535) ipsec-isakmp
(config-crypto-map) #set peer (IP Site kết nối)
#match address (tên ACLists đã tạo↑)
#set transform-set (tên đã tạo ở bước đóng gói↑)
-Gán vào cổng :
(config-if) #crypto map (tên map đã tạo↑)


*Chú ý :Cấu hình ở 2 Site với thông số xác thực,key,map…giống nhau sau đó dùng lệnh ping để
kích hoạt

VPN remote (easy VNP) :
Cấu hình trên VPN server:
Ví dụ:
Tạo user xác thực trên router
HQ(config)# usernam cisco password cisco
HQ(config)# aaa new-model
HQ(config)# aaa authentication login default local none
HQ(config)# ip local pool VPNLIENTS 172.16.2.100 172.16.2.200 (dải địa chỉ sẽ cấp cho các
client)
HQ(config)# aaa authorization network VPNAUTH local
HQ(config)# crypto isakmp policy 10

HQ(config-isakmp)# authentication pre-share
HQ(config-isakmp)# encryption aes 256
HQ(config-isakmp)# group 2
Tạo nhóm:
HQ(config)# crypto isakmp client configuration group ciscogroup
HQ(config-isakmp-group)# key ciscogroup
HQ(config-isakmp-group)# pool VPNCLIENTS
HQ(config-isakmp-group)# acl 100
HQ(config-isakmp-group)# netmask 255.255.255.0
HQ(config)# access-list 100 permit ip 172.16.0.0 0.0.255.255 any
HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
HQ(config)# crypto dynamic-map mymap 10
HQ(config-crypto-map)# set transform-set mytrans
HQ(config-crypto-map)# reverse-route
HQ(config)# crypto map mymap client configuration address respond
HQ(config)# crypto map mymap isakmp authorization list VPNAUTH
HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap
HQ(config)# int s0/0/0
HQ(config-if)# crypto map mymap
HQ(config)# aaa authentication login VPNAUTH local
HQ(config)# usernam ciscouser password ciscouser
HQ(config)# crypto map mymap client authentication list VPNAUTH
Trên client:


Dùng phần mềm vpn client để connect

Cấu hình DHCP cho Router :
Bỏ dải IP không cấp :
(config) #ip dhcp excluded-address (from IP) (to IP)

Tạo Pool cho LAN :
(config) #ip dhcp pool (tên pool)
(dhcp-config) #network (IP mạng) ( subnet mạng)
Cấp IP gateway cho thiết bị trong mạng :
(dhcp-config) #default-router (IP gateway)
Cấp IP DNS :
(dhcp-config) #dns-server (IP DNS)
(dhcp-config) #lease ? (lệnh này cấu hình cấp DHCP trong thời gian bao lâu,infinite:vô hạn )
Cấu hình NAT :
Static :
(config) #ip nat inside source static (local-ip) (global-ip)
Dynamic :
netmask ( subnetmask)
(config) #ip nat pool (tên pool muốn tạo) (start IP) (end IP)
cách gõ xược

=> 2
prefix-lengh ( số xược của dải)

→Sau đó tạo ACLists rồi NAT :
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑)
Overload :
Tạo ACLists sau đó NAT :
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) interface (số cổng ra) overload
Hoặc:
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑) overload
Sau khi cấu hình NAT bằng 1 trong các cách trên → gán vào cổng vào,ra :
-Cổng vào :
(config-if) #ip nat inside
-Cổng ra :



(config-if) #ip nat outside
Port forwarding
R(config)# ip nat inside source static tcp 10.0.25.16 80 222.25.249.34 80
(bản tin vào có port 80 sẽ được chuyển sang pc có địa chỉ 10.0.25.16)
Phá pass Router :
*Tắt Router→bật lại,trong lúc Router đang khởi động nhấn : Ctrl+Break , Router sẽ chuyển vào
chế độ rommon>
Thiết lập giá trị thanh ghi :
Rommon1 >confreg 0x2142
Rommon2 >reset
*Nếu không muốn giữ file cứ cấu hình bình thường rồi write đè lên file cấu hình cũ,nếu muốn
giữ :
(config) #copy startup-config running-config
*Sau khi hoàn thành các bước trên cần đổi lại giá trị thanh ghi :
(config) #config-register 0x2102

Xóa hệ điều hành trong Router :
#delete flash: (tên hệ điều hành)
Load file IOS (hệ điều hành) cho Router :
*Bắt buộc phải load qua cổng fastEthernet qua DHCP Server :

Rommon >tftpdnld
Rommon >IP_ADDRESS =
Rommon >IP_SUBNETMASK =
Rommon >DEFAULT_GATEWAY =
Rommon >TFTP_SERVER = (địa chỉ TFTP Server)
Rommon >TFTP_FILE = (tên file cần load)
Reset Router về chế độ Default :

#erase nvram
#reload
*Nếu còn file cấu hình cũ Router sẽ hỏi có muốn giữ lại file cấu hình cũ y/n→n

Một số lệnh show :
#dir flash (lệnh xem hệ điều hành của Router)


# show running-config (xem lại những gì đã cấu hình)
# show startup-config (xem file cấu hình trong NVRAM)
# show ip interface brief (xem trạng thái các cổng 1 cách tổng quát)
# show interfaces (xem trạng thái các cổng 1 cách chi tiết)
# show ip route (xem giao thức,chức năng của các cổng)
# show ip rip database
# show version (xem version IOS hiện thời)
# show flash (xem thông tin bộ nhớ flash)
# show history (xem các câu lệnh đã được lưu trữ)
# show clock (xem thông số thời gian đã cấu hình)
# show users (xem users kết nối với thiết bị)
# show arp (xem bảng arp)
#show access-lists (xem ACLists)



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×