Giáo trình mô đun Cấu hình các thiết bị mạng

ng tuyến n học được vào bảng định tuyến của 
router.Sau đ , m i giao thức c thể lấy một số hoặc tất cả tuyến học từ giao thức 
khác và quảng bá ra ngoài. 
70 
Redistribute c l s khá quen thuộc trong OSPF đặc biệt là Multi-Area 
OSPF hay trong trường hợp ta muốn phân phối Default Route để các Router nội 
bộ đi ra ngoài Internet. Tuy nhiên không phải l c nào Redistribute c ng hoạt 
động hiệu quả như mong muốn, trong vài trường hợp Redistribute c thể d n tới 
định tuyến sai Route, định tuyến Route không tối ưu và thậm chí là gây Loop 
mạng. 
* Khi nào cần sử dụng Redistribute: 
Nếu một hệ thống mạng chạy nhiều hơn một giao thức định tuyến, người 
quản trị cần một vài phương thức để gửi các route của một giao thức này vào 
một giao thức khác. Quá trình này được gọi là redistribution. Các trường hợp 
d n tới tồn tại nhiều giao thức định tuyến trong c ng một công ty: 
 Công ty đang trong quá trình chuyển từ một giao thức định tuyến này 
sang một giao thức định tuyến khác. 
 Do yếu tố lịch sử, tổ chức c rất nhiều mạng con. Các mạng con d ng các 
giao thức định tuyến khác nhau. 
 Sau khi 2 công ty được hợp nhất. 
 Các nhà quản trị mạng khác nhau c các tư tưởng khác nhau. 
Trong một môi trường rất lớn, những v ng khác nhau c những yêu cầu khác 
nhau, do đ một giải pháp đơn lẻ là không hiệu quả. 
Redistribution thường ch được sử dụng trong mạng như một giải pháp tạm 
thời vì các giao thức định tuyến khác nhau c cách tính metric và phương thức 
hoạt động khác nhau. Do đ , s kh c thể c được sự ổn định giữa các hệ thống 
khi sử dụng redistribute. 
* Các vấn đề trong Redistribution: 
Đặc trưng của các giao thức định tuyến sự khác nhau về cách tính metric, 
tính chất classful hay classless. Các đặc trưng này là nguyên nhân chính gây ra 
các vấn đề trong redistribution như: không học được các route trao đổi, loop. 
Metric và classful hay classless 
M i giao thức định tuyến c cách tính metric khác nhau. Ví dụ như RIP 
tính metric route theo hop-count (metric lớn nhất trong RIP là 15), OSPF tính 
metric route theo băng thông, EIGRP tính metric theo bộ 5 giá trị k. Do đ , 
trong redistribution mà không quan tâm đến cách tính metric c thể d n đến 
không trao đổi được các route 
71 
Như hình trên, ta thấy 
 R1 và R2 thuộc OSPF. 
 R2, R3 và R4 thuộc RIP. 
 R4 và R5 thuộc EIGRP. 
Kỹ thuật redistribution c thể gi p đem các route của OSPF vào RIP và 
EIGRP. Để đạt được thì người quản trị ch cần thực hiện các lệnh trong 
redistribution. Tuy nhiên nếu ch đánh lệnh mà không quan tâm đến metric thì 
có thể d n đến các route không được trao đổi thành công 
Ví dụ : Redistribute RIP, đưa OSPF vào RIP, nếu k c metric thì RIP s không 
hiểu được OSPF vì ch số metric của RIP tối đa ch tới 15. 
2.9 Cấu hình NAT 
Bài viết sau s giới thiệu đến bạn đọc một số lệnh cơ bản thông dụng, 
thường hay d ng khi cấu hình NAT trên thiết bị Router Cisco. 
2.9.1 Cấu hình Static NAT 
Router(config) # ip nat inside source static [inside_local_address] 
[inside_global_address] 
- Cấu hình Static PAT 
72 
Router(config) # ip nat inside source static [protocol] [inside_local_address 
port] [inside_global_address port] 
Ví dụ: 
Router(config) # ip nat inside source static 10.0.0.1 202.103.2.1 (Địa ch 
10.10.0.1 s được chuyển thành 202.103.2.1 khi đi ra kh i Router) 
Router(config) # ip nat inside source static tcp 10.0.0.1 8080 202.103.2.1 
80 (Địa ch 10.10.0.1:8080 s được chuyển thành 202.103.2.1:80 khi đi ra kh i 
Router) 
- Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới 
đây, cổng Ethernet là công in, còn cổng Serial là cổng out 
Router(config) # interface ethernet 0 
Router(config-if) # ip nat inside 
Router(config) # interface serial 0 
Router(config-if) # ip nat outside 
2.9.2 Cấu hình Dynamic NAT 
Router(config) # ip nat pool [tên pool] [start_IP end_IP] netmask [subnet 
mask] 
Router(config) # ip nat inside source list [#ACL] pool [tên pool] 
Router(config) # access-list [#ACL] permit [IP] [wildcard mask] 
Ví dụ: 
Router(config) # ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 
255.255.255.0 
Router(config) # ip nat inside source list 1 pool nat-pool1 
Router(config) # access-list 1 permit 10.1.0.0 0.0.0.255 
+Sau đ áp vào cổng In và Out như Static NAT 
Router(config) # interface ethernet 0 
Router(config-if) # ip nat inside 
Router(config) # interface serial 0 
Router(config-if) # ip nat outside 
73 
Note: Giải địa ch inside local address và inside global address phải n m trong 
giải cho ph p của ACL 
2.9.3 Cấu hình NAT over oad 
- Cấu hình overload với 1 địa ch IP cụ thể 
Router(config) # ip nat pool [tên_pool] [ip_global_inside] [subnet mask] 
Router(config) # ip nat inside source list [# ACL] pool [tên_pool] overload 
Router(config) # access-list [#ACL] permit [IP] [wildcard mask] 
Ví dụ: 
Router(config) # ip nat pool nat-pool2 179.9.8.20 255.255.255.240 
Router(config) # ip nat inside source list 2 pool nat-pool2 overload 
Router(config) # access-list 2 permit 10.0.0.0 0.0.0.255 
- Cấu hình overload d ng địa ch của cổng ra (Thường xuyên được d ng hơn là 
trường hợp trên) 
Router(config # ip nat insi e source list [#ACL] interface [cổng_ra] overloa 
Router(config) # access-list [#ACL] permit [IP] [wildcard mask] 
Ví dụ: 
Router(config) # ip nat inside source list 3 interface serial 0 overload 
Router(config) # access-list 3 permit 10.0.0.0 0.0.0.255 
2.9.4 Các ệnh C ear NAT/PAT 
Router # clear ip nat translation {* | [inside global-ip local-ip] [outside local-ip 
global-ip]} 
Router # clear ip nat translation protocol {[inside global-ip global-port local-ip 
local-port] | [outside local-ip global-ip]} 
- Lệnh x a tất cả dynamic nat trên toàn bộ các interface. 
Router # clear ip nat translation * 
- Lệnh x a các single nat trên từng interface 
Router # clear ip nat translation [inside/outside] [global ip - local ip] 
- Lệnh x a các extended nat trên từng interface 
Router # clear ip nat translation protocol [inside/outside] [global ip - global 
port – local ip – local port] 
74 
2.9.5 Kiểm tra và Debug các NAT và PAT 
Router # show ip nat translation 
Router # show ip nat statistics 
Router # debug ip nat 
2.10 Cấu hình ACL 
C thể hiểu Access-list là một danh sách các câu lệnh được áp dụng vào 
các cổng interface của router hay switch cisco. Danh sách này gi p ch cho 
ch ng ta thấy router hay switch s biết được loại packet nào được chấp nhận hay 
loại b . Việc chấp nhân hay loại b c thể dựa vào các yếu tố như: địa ch 
nguồn, địa ch đích hoặc ch số cổng (port). 
Phân loại Access-list và cách cấu hình ch ng 
2.10.1. Standard IP Access-list (Standard ACLs) 
Đây là dòng access list ch lọc dữ liệu dựa vào địa ch IP nguồn, giá trị range của 
dòng này từ 1-99. Nên được áp dụng với cổng đích gần nhất, c 2 bước để cấu 
hình và tạo ACLs Standard: 
Bước 1: Đầu tiên cần phải định nghĩa i danh sách các ACLs để tiền hành 
đặt vào interface 
(config)#access-list [#number] [permit | deny] [wildcard mask] [log] 
Hoặc là : 
(config)#access-list [#number] [permit | deny] [host | any] 
Bước 2: Tiến hành đặt danh sách ACLs vào interface trên Router-Switch 
mà mục đích ta muốn chặn gói tin ngay t i điểm đó 
(config)#interface [interface-number] 
(config-if)#ip access-group [#number] [in | out] 
Ví dụ demo: 
(config)#access-list 1 deny 172.16.0.0 0.0.255.255 
(config)#access-list 1 permit any 
(config)#interface fastethernet 0/0 
(config-if)#ip access-group 1 in 
2.10.2. Extended IP Access - List 
Đây là loại ACLs lọc dữ liệu dựa vào địa ch IP nguồn, đích, giao thức 
TCP số cổng HTTP....và các thông số windcard mask. Ch số range của loại 
ACLS nào từ khoảng 100-199, nên áp dụng cài đặt với cổng gần nguồn nhất. 
Ch ng ta s c 2 bước để cấu hình Extended IP ACLs 
Bước 1: T o ACLs trong chế độ cấu hình config 
router(config)#access-list [#number] [permit | deny] [protocol] [wildcard mask
] [source port] [destination address] [wildcard mask] [destination port] [log] 
75 
Bước 2: Áp dụng ALCs cho từng cổng theo yêu cầu ở chế độ cấu hình 
config-if 
(config)#interface [interface-number] 
(config-if)#ip access-group [#number] [in | out] 
Một số chú ý trong quá trình này: 
- Chế độ mặc định của tất cả các ACLs là Deny All, vậy nn trong tất cả các 
ACLs ch ng ta tối thiểu phải c 1 lệnh permit. Và nếu trong ACLs cso cả lệnh 
permit và deny thì nên ưu tiên các dòng lệnh permit bên trên. 
- Về hướng của ACLS khi được áp dụng vào cổng thì c thể nhớ một cách đơn 
giản là: In là từ host còn Out là tới host hoặc In là vào trong Router còn Out và 
đi kh i Router. 
- Với trường hợp xuất hiện In router thì nên kiểm tra kỹ goi tin trước khi đưa n 
tới bảng xử lý, đối với Out router thì kiểm tra n sau khi vào bảng xử lý 
- Thông tin wildcard mask s được tính b ng công thức 
wildcark mask=255.255.255.255-subnet mask 
- Địa ch 0.0.0.0 255.255.255.255=any 
- Địa ch IP 0.0.0.0 = host ip_address (ch định cho từng host 1) 
Ví dụ demo: 
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq tel
net 
(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp 
(config)#access-list 101 permit any any 
(config)#interface fastethernet 0/0 
(config-if)#ip access-group 101 out 
2.10.3. Cấu hình tên access- ist (named ACLs) thay cho các số hiệu 
(config)#ip access-list extended tgm-access (tên của access-list) 
(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet 
(config)#interface fastethernet 0/0 
(config-if)#ip access-group tgm-access out 
2.10.4. Permit hoặc Deny Telnet sử dụng Standard Acl 
(config)#access-list 2 permit 172.16.0.0 0.0.255.255 
(config)#access-list 2 deny any 
(config)#line vty 0 4 
(config-line)#password cisco 
(config-line)#login 
76 
(config-line)#ip access-class 2 in 
2.10.5. Kiểm tra và xoá Access-list (ACLs) 
- Hiển thị tất cả ACLs đang sử dụng 
(config)#show running-config 
- Xem ACLs hoạt động trên interface nào đ 
(config)#show interface [#number] 
- Xem việc đặt và hướng đi của ip ACLs 
(config)#show ip interfaces [#number] 
- Xem những câu lệnh ACLs 
(config)#show access-list [#number] 
- Hiển thị tất cả ip ACLs 
#show ip access-list 
- Hiển thị ip ACL 101 
#show ip access-list 101 
- X a bộ đếm (to clear the counters use) 
(config)#show access-list [#number] 
(config)#clear access-list counter [#number] 
- Xóa Access list 
(config)#no ip access-list [standard-extended][#number] 
(config)#interface [interface-number] 
(config-if)#no access-list [#number] [permit deny] [wildcard mask] 
2.10.6 Một số port thông dụng 
——————————————————————– 
Port Number ——-TCP port names —-UDP port names 
——————————————————————– 
6 ———————-TCP————————————– 
21———————-FTP————————————– 
23 ———————TELNET——————————– 
25 ———————SMTP———————————— 
53———————————————-DNS————- 
69 ———————————————TFTP————- 
80 ———————WWW———————————– 
161 ——————————————–SNMP———– 
77 
520 ——————————————–RIP———— 
2.11 Cấu hình Frame Relay 
2.11.1 Mô hình và yêu cầu: 
* S đồ 
* Yêu cầu: 
 Thiết lập sơ đồ 
 Cấu hình định tuyến EIGRP trên các Router 
 Encapsulation Frame Relay trên các interface Serial 
 Cấu hình Router làm Frame Relay Switch 
 Kiểm tra cấu hình 
2.11.2 Triển hai 
*. Cấu hình IP và định tuyến trên các Router 
 Cổng Serial ở trạng thái Shutdown cho đến khi Frame Relay Switch đư c 
cấu hình 
78 
R1(config)#interface f0/1 
R1(config-if)#ip address 192.168.10.1 255.255.255.0 
R1(config-if)#no shutdown 
R1(config)#interface s1/0 
R1(config-if)#ip address 10.1.1.1 255.255.255.252 
R1(config)#router eigrp 10 
R1(config-router)#network 192.168.10.1 0.0.0.0 
R1(config-router)#network 10.1.1.1 0.0.0.0 
R1(config-router)#no auto-summary 
R1(config-router)#passive-interface f0/1 
R2(config)#interface s1/0 
R2(config-if)#ip address 10.1.1.2 255.255.255.252 
R2(config)#interface loopback 0 
R2(config-if)#ip address 209.165.200.225 255.255.255.224 
R2(config)#router eigrp 10 
R2(config-router)#network 10.1.1.2 0.0.0.0 
R2(config-router)#network 209.165.200.255 0.0.0.0 
R2(config-router)#no auto-summary 
2. Cấu hình Frame-Relay Switch 
- Cấu hình Router làm Frame Re ay Switch và t o 1 PVC giữa R1 và R2 
 Giả lập Router thành Frame Relay Switch để cho ph p chuyển tiếp Frame 
dựa trên DLCI 
FR_Switch(config)#frame-relay switching 
- Cấu hình Frame Re ay trên Interface Seria S1/0 
 Thay đổi Encapsulation interface Serial mặc định HDLC thành Frame 
Relay 
FR_Switch(config)#interface serial 1/0 
FR_Switch(config-if)#clock 64000 
FR_Switch(config-if)#encapsulation frame-relay 
79 
 Thay đổi loại Interface của Frame Relay Switch thành DCE để cho ph p 
Router gửi LMI Keepalive(Ta không thể thiết lập Frame Relay router giữa 
2 interface DTE) 
FR_Switch(config-if)#frame-relay intf-type dce 
 Thiết lập PVC: Cấu hình chuyển lưu lượng từ interface S1/0(DCLI 102) 
đến s1/1(DLCI 201) 
FR_Switch(config-if)#frame-relay route 102 interface serial 1/1 201 
FR_Switch(config-if)#no shutdown 
- Cấu hình tư ng tự trên interface s1/1 
FR_Switch(config)#frame-relay switching 
FR_Switch(config)#interface serial 1/0 
FR_Switch(config-if)#clock 64000 
FR_Switch(config-if)#encapsulation frame-relay 
FR_Switch(config-if)#frame-relay intf-type dce 
FR_Switch(config-if)#frame-relay route 201 interface s1/0 102 
FR_Switch(config-if)#no shutdown 
- Kiểm tra các PVC 
 Kiểm tra các Router mà Frame Relay Switch đ thiết lập 
FR_Switch#sh frame-relay route 
80 
 Kiểm tra trạng thái của PVC. Trạng thái các PVC là Inactive là do các đầu 
cuối R1 và R2 cấu hình chưa đ ng 
FR_Switch#sh frame-relay pvc 
* Cấu hình Frame re ay trên Router 
 Trên R1: Tắt tính năng Inverse ARP gi p Router tự xây dựng fram relay 
map vì không phải l c nào Inverse ARP c ng đáng tin cậy. Ta s sử 
dụng map tĩnh giữa IP của R2(10 1 1 2 và local DLCI của R1(102 
R1(config)#interface s1/0 
R1(config-if)#encapsulation frame-relay 
R1(config-if)#no frame-relay inverse-arp 
R1(config-if)#frame-relay map ip 10.1.1.2 102 broadcast 
R1(config-if)#no shutdown 
Từ kh a "Broadcast" gi p router c thể gửi lưu lượng Multicast hay Broadcast 
qua PVC. 
 Trên R2: Cấu hình tương tự. 
R2(config)#interface s1/0 
R2(config-if)#encapsulation frame-relay 
R2(config-if)#no frame-relay inverse-arp 
R2(config-if)#frame-relay map ip 10.1.1.1 201 broadcast 
 Ngay khi cấu hình xong thì R1 s trở thành Neighbor của R2 
* Kiểm tra cấu hình 
a. Ping giữa R1 và R2 
b. Xem thông tin PVC 
81 
 D ng ệnh sau để xem 
Router#show frame-relay pvc 
 Trên R1 
 Trên R2 
82 
 Trên Frame Relay Switch 
c. Kiểm tra Frame Re ay Mapping 
 D ng ệnh sau 
Router#show frame-relay map 
 Trên R1 
83 
 Trên R2 
 Trên Frame Relay Switch: Frame relay Switch hoạt động như 1 thiết bị 
ở lớp 2 vì vậy ch ng không cần bảng mapping 
d. Debug Frame Relay LMI 
 D ng ệnh sau để Debug và dừng debug 
Router#debug frame-relay lmi 
Router#undebug all 
 Trên R1