Tổng hợp cấu hình Router
Kỳ II
>ena
#configure terminal
(config) #hostname (tên host name)
(config) #enable password (pass)
(config) #enable secret (pass)
(config) #banner motd #điền banner motd#
(config) #no ip domain-lookup (lệnh này cấu hình cho router không tự tìm domain khi đánh sai lệnh )
(config) #ip hostname (tên Router) (địa chỉ IP trên cổng kết nối của Router đó ) (cấu hình telnet và ping
bằng tên)
(config) #line vty 0 4
(config-line) #password (pass)
(config-line) #login
(config-line) #exit
(config) #line console 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn thông báo vào dòng
lệnh)
(config-line) #login
(config-line) #exit
(config) #line aux 0
(config-line) #password (pass)
(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn dòng lệnh vào thông
báo)
(config-line) #login
(config-line) #exit
(config) #interface loopback (số loopback)
(config-if) #ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #exit
(config) #interface serial (số cổng)
(config-if) #no shutdown (up cổng)
(config-if) # ip address (địa chỉ IP) (subnetmask)
(config-if) #description (dòng mô tả của cổng)
(config-if) #clock rate ( clock rate-nếu là DCE thì mới cần cấu hình)
(config-if) #exit
Cấu hình chạy Ripv1:
*Chú ý : Ripv1 không có cấu hình authentication !
(config) #router rip
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng
(fa/se/loop))
(config-if) #ip rip send version 2 ( tương thích Ripv2 & v1 – cấu hình tại cổng muốn gửi bản tin v2 trên
router chạy RIP v1)
Cấu hình chạy Ripv2:
(config) #router rip
(config-router) #version 2
(config-router) #no auto-summary
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router)#passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng
(fa/se/loop))
(config-router) #redistribute eigrp (số AS:1,2,10…) metric (0-max15) (quảng bá EIGRP vào Rip)
(config-router) #redistribute ospf (process-id) metric (0-max15) (quảng bá OSPF vào Rip)
-Cấu hình Authentication(xác thực) cho Ripv2:
*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !
Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)
Gán key vào cổng kết nối:
(config) #interface (tên cổng (fa/se))
(config-if) #ip rip authentication key-chain (tên key chain)
Mã hóa dạng MD5:
(config-if) #ip rip authentication mode MD5
Cấu hình chạy EIGRP:
(config) #router eigrp (số)
(config-router) #no auto-summary
(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh )
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop) )
(config-router) #redistribute rip metric 10000 100 255 1 1500 (quảng bá Rip vào EIGRP)
(config-router) #redistribute ospf (process ip) metric 10000 100 255 1 1500 (quảng bá OSPF vào
EIGRP)
(config-router) #redistribute static (quảng bá tuyến default route)
(config-if) #ip summary-address eigrp (số AS:1,2,10…) (địa chỉ IP mạng) (subnetmask) (cấu hình tại
cổng muốn quảng bá tuyến summary)
Cấu hình Authentication(xác thực) cho EIGRP :
*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !
Tạo key
(config) #key chain (tên)
(config-keychain) #key (số key)
(config-keychain-key) #key-string (password)
Gán key vào cổng kết nối:
(config) #interface (tên cổng (fa/se))
(router-if) #ip authentication key-chain eigrp (số AS:1,2,10…) (tên key chain đã tạo)
Mã hóa dạng MD5:
(router-if) #ip authenrication mode eigrp (số AS:1,2,10…) md5
Note: Khi cấu hình EIGRP: thông số AS, các giá trị K, thời gian hold timer trên các con router chạy
EIGRP phải giống nhau.
Cấu hình chạy OSPF :
(config) #router ospf (process-id)
(config-router) #network (địa chỉ IP mạng) (wildcard-mask=255.255.255.255 – subnetmask) area (area
id)
(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop)
(config-router) #redistribute rip subnets (quảng bá Rip vào OSPF)
(config-router) #redistribute eigrp (số) subnets (quảng bá EIGRP vào OSPF)
(config-router) #default-information originate (quảng bá tuyến default route)
Cấu hình bầu bán DR và BDR (Designated Router-Backup Designated Router) :
*Chú ý :Chỉ có trong mạng MultiAccess (kết nối cổng fastethernet) các Router chạy OSPF mới có
cấu hình này !
Cách 1: Priority (Priovity cao nhất sẽ là DR,tiếp theo là BDR (Default=1, 0 -> 255))
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf priovity (0-255)
Cách 2: Router ID (Router ID cao nhất sẽ là DR)
(config) #router ospf (process id)
(config-router) #router-id (địa chỉ IP cổng Fa)
*Chú ý :Sau khi cấu hình bầu bán DR và BDR xong cần cấu hình lệnh dưới đây để thiết lập lại :
#clear ip ospf process
Reset ALL OSPF processes? [no]:y (chọn yes để hoàn tất)
-Cấu hình Authentication(xác thực) cho OSPF :
Cách 1 : Không có mã hóa
(config) #router ospf (process id)
(config-router) #area (area id) authentication (kích hoạt trên Router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf authentication-key (số key) (password)
Cách 2 : Có mã hóa MD5
(config) #router ospf (process id)
(config-router) #area (area id) authentication message-digest (kích hoạt trên router)
(config-router) #exit
(config) #interface fastEthernet (số cổng)
(config-if) #ip ospf message-degest-key (số key) md5 (level 0-7) (password)
Kỳ IV
Cấu hình xác thực trong WAN:
Cấu hình PAP (Không có mã hóa):
-Xác thực 1 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) #ppp pap sent-username (tên) password (pass)
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication pap
R2(config-if)#exit
R2(config)# username (tên) password (pass)
-Xác thực 2 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) # ppp authentication pap
R1(config-if) #ppp pap sent-username (tên) password (pass)
R1(config-if)#exit
R1(config)# username (tên2) password (pass2)
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication pap
R2(config-if) #ppp pap sent-username (tên2) password (pass2)
R2(config-if)#exit
R2(config)# username (tên) password (pass)
Cấu hình CHAP (có mã hóa):
Chap 1 chiều:
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) #ppp chap hostname (tên)
R1(config-if) #ppp chap password (pass)
R1(config-if)#exit
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication chap
R2(config-if)#exit
R2(config)# username (tên) password (pass)
Chap 2 chiều
R1(config) #interface serial (số cổng)
R1(config-if) #encapsulation ppp
R1(config-if) # ppp authentication chap
R1(config-if)#exit
R1(config)# username R2 password (pass)
R2(config) #interface serial (số cổng)
R2(config-if) #encapsulation ppp
R2(config-if) #ppp authentication chap
R2(config-if)#exit
R2(config)# username R1 password (pass)
Cấu hình giả lập Router→Frame-relay Switch:
*Lưu ý:Khi cấu hình định tuyến trong mạng Frame-relay với EIGRP, RIP trên cùng 1 Router 1
cổng mà có nhiều kênh ảo phải tắt
Horizon thì mạng mới hoạt động được,có thể xảy ra loop nhưng khả năng không nhiều.
→Vào cổng đó:
(config) #interface serial (số cổng)
(config-if) #no ip split-horizon
Khi cấu hình định tuyến trong mạng Frame-relay với OSPF phải chuyển kiểu mạng trên
các cổng của các Router thì mạng mới hoạt động được
→Vào cổng đó:
(config) # interface serial (số cổng)
(config-if) #ip ospf network point-to-point
Cấu hình Frame-relay Switch:
(config) #frame-relay switching (lệnh khởi tạo chức năng frame-relay-switch trên Router)
(config) #interface serial (số cổng)
(config-if) #encapsulation frame-relay
(config-if) #frame-relay intf-type dce
(config-if) #clock rate (1200,56000,64000….)
(config-if)#no shut
(config-if) #frame-relay route (DLCI) interface serial (số cổng) (DLCI)
Gán DLCI cho cổng sub:
(config) #interface serial (số cổng)
(config-if) #encapsulation frame-relay
(config-if)#no shut
Tạo DLCI cho cổng sub P-t-P,Multipoint :
(config) #interface serial (cổng sub) (point–to–point,multipoint)
(config-if) #ip address (IP) (subnet)
(config-if) #frame-relay interface-dlci (DLCI)
Tắt inverse ARP (mục đích để map static):
(config) #interface serial (số cổng)
(config-if) #no frame-relay inverse-arp
Map static trên từng Router(chỉ áp dụng trên cổng vật lý và cổng Multipoint):
(config) #interface serial (số cổng)
(config-if) #frame-relay map ip (ip của Router đích) (DLCI của Router nguồn(chính là router đang cấu
hình))
Phải dùng static map trong những trường hợp sau:
1. Tắt inverse-arp
Or:
2. Hai cổng thuộc cùng 1 mạng, không có kênh ảo trực tiếp sang nhau, không phải sub
poin-to-point
Cấu hình Access List:
Numbered (Cấu hình ACL theo kiểu số,không sửa được khi sai) :
Standard : 1→99,1300→1999,lọc bản tin dựa vào IP nguồn
Extended : 99→1299,2000→over,lọc bản tin dựa vào IP nguồn và đích,port dịch vụ,các giao
thức TCP,UDP…
Tạo ACL :
(config) #access-lists (số) (deny,permit) (network address) (Wildcard mask)
Named (Cấu hình ACL theo kiểu tên,sửa được khi sai) :
(config) #ip access-lists (standard,extended) (tên)
(config-(std,ext)-nacl) #(deny,permit) (IP) (Wildcard mask)
Kết thúc bằng lệnh : permit any
Cấu hình tạo khoảng thời gian cho ACL:
*Chú ý: cần đặt clock cho Router trước khi cấu hình
(config) #clock timezone (tên) (hh) (mm)
R# clock set …….
Tạo chu kỳ thời gian :
(config) #time-range (tên)
(config-time-range) #periodic (day) (day) (start time) to (end time)
*Để gán Time-range chỉ cần điền (tên) khoảng thời gian đã tạo sau câu acl
Cấu hình VPN:
VPN Site-to-Site :
-Tạo key :
(config) #crypto isakmp policy (số)
-Xác thực :
(config-isakmp) #authentication pre-share (xác thực theo kiểu share key)
-Sử dụng thuật toán :
(config-isakmp) #hash (sha hoặc md5)
-Mã hóa bản tin gửi đi :
(config-isakmp) #encryption (aes,3des,des) (số bit mã hóa :128,192…)
-Chia sẻ key cho Site kết nối :
(config) #crypto isakmp key (key) address (IP Site kết nối)
-Kiểu đóng gói :
(config) #crypto ipsec transform-set (tên) (esp-aes,esp-3des…) (số bit mã hóa :128,192…) (espmd5-hmac
esp-sha-hmac (thuật toán xác thực
phần header))
-Tạo ACLists:
Permit dải IP nguồn_dải IP đích
-Tạo Map :
(config) #crypto map (tên map) (1-165535) ipsec-isakmp
(config-crypto-map) #set peer (IP Site kết nối)
#match address (tên ACLists đã tạo↑)
#set transform-set (tên đã tạo ở bước đóng gói↑)
-Gán vào cổng :
(config-if) #crypto map (tên map đã tạo↑)
*Chú ý :Cấu hình ở 2 Site với thông số xác thực,key,map…giống nhau sau đó dùng lệnh ping để
kích hoạt
VPN remote (easy VNP) :
Cấu hình trên VPN server:
Ví dụ:
Tạo user xác thực trên router
HQ(config)# usernam cisco password cisco
HQ(config)# aaa new-model
HQ(config)# aaa authentication login default local none
HQ(config)# ip local pool VPNLIENTS 172.16.2.100 172.16.2.200 (dải địa chỉ sẽ cấp cho các
client)
HQ(config)# aaa authorization network VPNAUTH local
HQ(config)# crypto isakmp policy 10
HQ(config-isakmp)# authentication pre-share
HQ(config-isakmp)# encryption aes 256
HQ(config-isakmp)# group 2
Tạo nhóm:
HQ(config)# crypto isakmp client configuration group ciscogroup
HQ(config-isakmp-group)# key ciscogroup
HQ(config-isakmp-group)# pool VPNCLIENTS
HQ(config-isakmp-group)# acl 100
HQ(config-isakmp-group)# netmask 255.255.255.0
HQ(config)# access-list 100 permit ip 172.16.0.0 0.0.255.255 any
HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
HQ(config)# crypto dynamic-map mymap 10
HQ(config-crypto-map)# set transform-set mytrans
HQ(config-crypto-map)# reverse-route
HQ(config)# crypto map mymap client configuration address respond
HQ(config)# crypto map mymap isakmp authorization list VPNAUTH
HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap
HQ(config)# int s0/0/0
HQ(config-if)# crypto map mymap
HQ(config)# aaa authentication login VPNAUTH local
HQ(config)# usernam ciscouser password ciscouser
HQ(config)# crypto map mymap client authentication list VPNAUTH
Trên client:
Dùng phần mềm vpn client để connect
Cấu hình DHCP cho Router :
Bỏ dải IP không cấp :
(config) #ip dhcp excluded-address (from IP) (to IP)
Tạo Pool cho LAN :
(config) #ip dhcp pool (tên pool)
(dhcp-config) #network (IP mạng) ( subnet mạng)
Cấp IP gateway cho thiết bị trong mạng :
(dhcp-config) #default-router (IP gateway)
Cấp IP DNS :
(dhcp-config) #dns-server (IP DNS)
(dhcp-config) #lease ? (lệnh này cấu hình cấp DHCP trong thời gian bao lâu,infinite:vô hạn )
Cấu hình NAT :
Static :
(config) #ip nat inside source static (local-ip) (global-ip)
Dynamic :
netmask ( subnetmask)
(config) #ip nat pool (tên pool muốn tạo) (start IP) (end IP)
cách gõ xược
=> 2
prefix-lengh ( số xược của dải)
→Sau đó tạo ACLists rồi NAT :
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑)
Overload :
Tạo ACLists sau đó NAT :
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) interface (số cổng ra) overload
Hoặc:
(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑) overload
Sau khi cấu hình NAT bằng 1 trong các cách trên → gán vào cổng vào,ra :
-Cổng vào :
(config-if) #ip nat inside
-Cổng ra :
(config-if) #ip nat outside
Port forwarding
R(config)# ip nat inside source static tcp 10.0.25.16 80 222.25.249.34 80
(bản tin vào có port 80 sẽ được chuyển sang pc có địa chỉ 10.0.25.16)
Phá pass Router :
*Tắt Router→bật lại,trong lúc Router đang khởi động nhấn : Ctrl+Break , Router sẽ chuyển vào
chế độ rommon>
Thiết lập giá trị thanh ghi :
Rommon1 >confreg 0x2142
Rommon2 >reset
*Nếu không muốn giữ file cứ cấu hình bình thường rồi write đè lên file cấu hình cũ,nếu muốn
giữ :
(config) #copy startup-config running-config
*Sau khi hoàn thành các bước trên cần đổi lại giá trị thanh ghi :
(config) #config-register 0x2102
Xóa hệ điều hành trong Router :
#delete flash: (tên hệ điều hành)
Load file IOS (hệ điều hành) cho Router :
*Bắt buộc phải load qua cổng fastEthernet qua DHCP Server :
Rommon >tftpdnld
Rommon >IP_ADDRESS =
Rommon >IP_SUBNETMASK =
Rommon >DEFAULT_GATEWAY =
Rommon >TFTP_SERVER = (địa chỉ TFTP Server)
Rommon >TFTP_FILE = (tên file cần load)
Reset Router về chế độ Default :
#erase nvram
#reload
*Nếu còn file cấu hình cũ Router sẽ hỏi có muốn giữ lại file cấu hình cũ y/n→n
Một số lệnh show :
#dir flash (lệnh xem hệ điều hành của Router)
# show running-config (xem lại những gì đã cấu hình)
# show startup-config (xem file cấu hình trong NVRAM)
# show ip interface brief (xem trạng thái các cổng 1 cách tổng quát)
# show interfaces (xem trạng thái các cổng 1 cách chi tiết)
# show ip route (xem giao thức,chức năng của các cổng)
# show ip rip database
# show version (xem version IOS hiện thời)
# show flash (xem thông tin bộ nhớ flash)
# show history (xem các câu lệnh đã được lưu trữ)
# show clock (xem thông số thời gian đã cấu hình)
# show users (xem users kết nối với thiết bị)
# show arp (xem bảng arp)
#show access-lists (xem ACLists)