Tài liệu CCNA - Phương Vũ

ess-list 2 deny any 
Router(config)#line vty 0 4 
Router(config-line)#password cisco 
CCNA_Phương Vũ 
13 | P a g e 
Router(config-line)#login 
Router(config-line)#ip access-class 2 in 
4.6 Xoá và kiểm tra Access-list 
Muốn xoá thì ta dùng lệnh sau: 
Router(config)# no ip access-list số hiệu 
Kiểm tra Acl ta dùng các lệnh sau: 
show access-list 
show running-config 
show ip interface 
5 Cấu hình NAT 
5.1 Cấu hình Static NAT 
Cấu hình NAT trong chế độ Router(config). Các lệnh như sau 
Router(config)#ip nat inside source static [inside local address] [inside global 
address] 
Ví dụ: 
R(config)#ip nat inside source statice 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 
sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router) 
Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới 
đây, cổng Ethernet là công in, còn cổng Serial là cổng out 
Router(config)#interface ethernet 0 
Router(config-if)#ip nat inside 
Router(config)#interface serial 0 
Router(config-if)#ip nat outside 
CCNA_Phương Vũ 
14 | P a g e 
5.2 Cấu hình Dynamic NAT 
Router(config)#ip nat pool [ tên pool] [A.B.C.D A1.B1.C1.D1] netmask 
[mặt nạ] 
Router(config)#ip nat inside source list [số hiệu ACL] pool [tên pool] 
Router(config)#access-list [số hiệu ACL] permit A.B.C.D windcard masks 
Ví dụ: 
R(config)#ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 
255.255.255.0 
R(config)#ip nat inside source list 1 pool nat-pool1 
R(config)#access-list 1 permit 10.1.0.0 0.0.0.255 
Sau đó áp vào cổng In và Out như Static NAT 
Note: Giải địa chỉ inside local address và inside global address phải nằm 
trong giải cho phép của ACL 
5.3 Cấu hình PAT overload 
5.3.1 Cấu hình overload với 1 địa chỉ IP cụ thể. 
Router(config)#ip nat pool [tên pool] [ip global inside] [subnet mask] 
Router(config)#ip nat inside source list [tên số hiệu ACL] pool [tên 
pool] overload 
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask] 
Ví dụ: 
R(config)#access-list 2 permit 10.0.0.0 0.0.0.255 
R(config)#ip nat pool nat-pool2 179.9.8.20 255.255.255.240 
R(config)#ip nat inside source list 2 nat-pool2 overload 
CCNA_Phương Vũ 
15 | P a g e 
5.3.2 Cấu hình overload dùng địa chỉ của cổng ra.(Thường xuyên được dung 
hơn là trường hợp trên) 
Router(config)#ip nat inside source list [tên số hiệu ACL] interface [cổng ra] 
overload 
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask] 
Ví dụ: 
R(config)#ip nat inside source list 3 interface serial 0 overload 
R(config)#access-list 3 permit 10.0.0.0 0.0.0.255 
5.4 Các lệnh Clear NAT/PAT 
5.5 Lệnh xóa tất cả dynamic nat trên toàn bộ các interface. 
Router#clear ip nat translation * 
5.5.1 Lệnh xóa các single nat trên từng interface 
Router#clear ip nat translation [inside/outside] [global ip - local ip] 
5.5.2 Lệnh xóa các extended nat trên từng interface 
Router#clear ip nat translation protocol [inside/outside] [global ip - global 
port – local ip – local port] 
5.5.3 Kiểm tra và Debug các NAT và PAT 
Router#show ip nat translation 
Router#show ip nat statics 
Router#debug ip nat 
6 Cấu hình DHCP 
Router(config)#ip dhcp excluded-address ip-address (end-ip-address) 
Router(config)#ip dhcp pool [tên pool] 
Router(dhcp-config)#network addess subnetmask 
Router(dhcp-config)#default-router address 
Router(dhcp-config)#dns-server address 
CCNA_Phương Vũ 
16 | P a g e 
Router(dhcp-config)#netbios-name-server address 
Router(dhcp-config)#domain-name tên domain 
Router(dhcp-config)#lease ngày/giờ/phút 
6.1 Kiểm tra và troubleshoot cấu hình DHCP 
Router#show ip dhcp binding 
Router#debug ip dhcp server events 
6.2 Trong trường hợp DHCP server không nằm cùng mạng với host 
Note: khi DHCP server không cùng mạng với host thì ta phải dùng lệnh ip 
helper-address giúp host đến DHCP server. 
Router(config)#interface [cổng nằm cùng mạng với host] 
Router(config-if)#ip helper-address [địa chỉ của DHCP server] 
Note: Trong trường hợp muốn gói tin của host được broadcast ở mạng chứa 
DHCP thì ta dùng thêm lệnh ip directed-broadcast ở cổng cùng mạng với 
DHCP server 
Router(config)#interface [cổng nằm cùng mạng với dhcp] 
Router(config-ì)#ip directed-broadcast 
7 Cấu hình PPP 
7.1 Cấu hình cơ bản: 
R(config)#interface serial 0/0 
R(config-if)#encapsulation ppp 
7.2 Cấu hình PAP 
Cấu hình PAP không yêu cầu hai Router giống nhau về password nhưng 
CHAP thì phải có. 
(Cấu hình trên RA) 
R(config)#host RA 
RA(config)#username RB password 321 
CCNA_Phương Vũ 
17 | P a g e 
RA(config-if)#encapsulation ppp 
RA(config-if)#ppp authentication pap 
RA(config-if)#ppp pap sent-username RA password 123 
(Cấu hình trên RB) 
R(config)#host RB 
RB(config)#username RA password 123 
RB(config-if)#encapsulation ppp 
RB(config-if)#ppp authentication pap 
RB(config-if)#ppp pap sent-username RB password 321 
7.3 Cấu hình CHAP. (yêu cầu phải giống nhau về password) 
(Cấu hình trên RA) 
R(config)#host RA 
RA(config)#username RB password 123 
RA(config-if)encapsulation ppp 
RA(config-if)ppp authentication chap 
(Cấu hình trên RB) 
R(config)#host RB 
RB(config)#username RA password 123 
RB(config-if)encapsulation ppp 
RB(config-if)ppp authentication chap 
7.4 Các cấu hình khác của PPP 
7.4.1 Cấu hình Multilink 
R(config-if)#encapsulation ppp 
R(config-if)#ppp multilink 
CCNA_Phương Vũ 
18 | P a g e 
7.4.2 Cấu hình Compression 
R(config-if)#encapsulation ppp 
R(config-if)#compress [predictor/stac/mppc] 
7.4.3 Cấu hình Error detection 
R(config-if)#encapsulation ppp 
R(config-if)#ppp quality [phần trăm] 
7.4.4 Các lệnh kiểm tra cấu hình PPP 
R#show interface (xem encapsulation) 
R#debug ppp negotiation (Xem quá trình kết nối giữa 2 node) 
R#debug ppp authentication (Xem quá trình xác thực giữa 2 node) 
8 Cấu hình Frame-Relay 
8.1 Cấu hình đơn giản 
R(config-if)#encapsulation frame-relay {ciso| ietf} (mặc định là cisco) 
Khi lệnh này được thực thi, DLCI sẽ được Inverse ARP tự động map, người 
dùng không cần phải làm gì cả. 
* Nhưng Inverse ARP không làm việc với các kết nối Hub-and-Spoke 
8.2 Cấu hình Frame-relay static map 
R(config-if)#encapsulation frame-relay 
R(config-if)#frame-relay map ip remote–ip-address local-dlci [broadcast] 
[cisco| ietf] 
(ip address trong dòng lệnh trên chỉ lấy làm minh họa bởi nó rất phổ biến, 
chính xác phải là remote–protocol–address) 
Broadcast trong câu lệnh trên có 2 chức năng: 
 - Forward broadcast khi multicast không được khởi động. 
 - Đơn giản hóa cấu hình OSPF cho mạng nonbroadcast sử dụng FRelay. 
CCNA_Phương Vũ 
19 | P a g e 
Ví dụ: 
R(config-if)#encapsulation frame-relay 
R(config-if)#frame-relay map ip 192.168.2.1 100 broadcast 
8.3 Cấu hình FR trong mạng None Broadcast MutiAccess 
- Trong mạng Broadcast khi 1 máy tính truyền frame tất cả các node lắng 
nghe frame nhưng chỉ có node cần nhận mới nhận được. 
- Trong mạng None Broadcast khi 1 máy tính truyền frame thì chỉ có node 
cần nhận mới lắng nghe và nhận được frame đó, các node còn lại thì không. 
Frame được truyền qua 1 virtual Circuit hoặc 1 thiết bị chuyển mạch. 
 - Star topology có thể được coi như là 1 mạng Hub and Spoke. 
8.4 Giải quyết vấn đề với Routing Updates mà không disable Split Horizal 
Giải pháp dùng Sub-interface 
R(config)#interface s0/0 
R(config-if)#encapsulation frame-relay 
R(config-if)interface s0/0.1 [multipoint| point-to-point] 
- point-to-point: Mỗi subinterface có subnet riêng của mình. Broadcast và 
Split horizol không là vấn đề. 
- Multi-point: Tất cả các subinterface liên quan phải cùng chung 1 subnet và 
như vậy Broadcast và Split horizol sẽ có vấn đề. 
Ví dụ: 
(Point-to-point) 
R(config)#interface s0/0 
R(config-if)#encapsulation frame-relay 
R(config-if)#interface s0/0.1 point-to-point 
R(config-subif)#frame-relay interface-dlci 18 
CCNA_Phương Vũ 
20 | P a g e 
(Multipoint) 
R(config)#interface s0/0 
R(config-if)#encapsulation frame-relay 
R(config-if)#interface s0/0.2 multipoint 
R(config-subif)#frame-relay interface-dlci 19 
R(config-subif)#frame-relay interface-dlci 20 
8.5 Cấu hình trên Frame-relay Switching (ví dụ) 
R(config)#frame-relay switching 
R(config)#interface s0/0 
R(config-if)#encapsulation frame-relay 
R(config-if)#frame-relay intf-type dce 
R(config-if)#frame-relay route 103interface serial 0/1 301 
9 Kiểm tra các cổng kết nối (port) đang hoạt động trên máy chủ CentOS. 
9.1 Giới thiệu: 
Việc kiểm tra, theo dõi hoạt động của một hay nhiều cổng kết nối trên hệ 
thống sẽ giúp ích rất nhiều trong công việc quản lý máy chủ. Dưới đây là các 
cách kiểm tra các cổng kết nối đang mở trên Linux (Centos). Hi vọng những 
cách kiểm tra sau sẽ giúp Quý khách quản lý tốt hơn máy chủ của mình. 
9.2 Kiểm tra tập tin /etc/services. 
Mỗi chương trình kết nối mạng được liệt kê trong tập tin này có số cổng riêng 
(và giao thức) cho dịch vụ của chính nó. Các port phổ thông, được biết đến 
từ 0 đến 1023, các port đăng ký tiếp theo thì từ 1024 đến 49151 . Tập tin này 
sẽ bao gồm: tên dịch vụ, cổng/giao thức, bí danh và phần ghi chú. 
Các port được liệt kê trong file /etc/services ở đây không có nghĩa là nó bị 
khoá, hay không bị khoá bởi firewall. 
Câu lệnh như sau: 
 #cat /etc/services | grep xxx (Trong đó xxx là số cổng kết nối) 
CCNA_Phương Vũ 
21 | P a g e 
Sau khi thực hiện câu lệnh mà kết quả hiển thị trả về thì có cổng kết nối đó, 
ngược lại thì dịch vụ, cổng kết nối đó không có trong file này. 
 Ví dụ: 
Thực hiện 2 câu lệnh sau: 
#cat /etc/services | grep ssh 
#cat /etc/services | grep 80 | grep http 
9.3 Sử dụng lệnh netstat. 
 Netstat là một công cụ hữu ích của Linux cho phép bạn kiểm tra những dịch 
vào nào đang kết nối đến hệ thống của Quý khách. Nó rất hữu ích trong việc 
phân tích những gì đang xảy ra trên hệ thống. 
Câu lệnh: 
 #netstat -lntp 
Với câu lệnh này sẽ cho phép Quý khách liệt kê các dịch vụ với các cổng kết 
nối đang hoạt động trên máy chủ. 
CCNA_Phương Vũ 
22 | P a g e 
9.4 Sử dụng lệnh nmap. 
 Nmap là một tool scan port rất mạnh, một công cụ kiểm tra mạng và rà soát 
bảo mật. 
 Cài đặt nmap bằng lệnh sau: 
 #yum install nmap 
 Thực hiện câu lệnh sau để xem các cổng kết nối hiện đang mở là những port 
nào. 
 #nmap [IP máy chủ] 
9.5 Sử dụng lệnh telnet. 
 Có thể sử dụng lệnh telnet kiểm tra port có đang được bật trên máy chủ hay 
không. 
 Các câu lệnh thường gặp khi sử dụng lệnh này bao gồm: 
 # telnet [IP máy chủ] xx (Trong đó xx là port cần kiểm tra) 
 Việc telnet tới cổng 22 đã hoàn tất. 
Việc telnet tới cổng 22 thất bại. 
CCNA_Phương Vũ 
23 | P a g e 
9.6 Sử dụng các website scan port trực tuyến. 
Hiện có nhiều website cho phép scan port trực tuyến, ở đây Quý khách có thể 
dùng website sau: 
 Tiến hành điền IP hoặc tên máy chủ vào sau đó nhấn Port Scan sẽ ra các 
cổng kết nối hiện đang được connect. 
10 Phương pháp chia subnet bằng cách đếm lóng ngón tay 
Khi tính toán IP, chia subnet thì chúng ta thường áp dụng công thức để tính 
toán. 
Công thức tính là 2^n và 2^h - 2 ( 2^m -2 ), 
-Để tính tổng số subnet có được sau khi chia ta dùng công thức 2^n, trong 
đó n là số bit mượn để chia subnet trong octet đó (mượn làm network id). 
-Để tính tổng số host/subnet ta dùng công thức 2^h-2, trong đó h là tổng số 
bit còn lại dùng làm host sau khi đã mượn . Ta phải trừ 2 vì cần bỏ địa chỉ 
subnet id và broadcast. 
Nói sơ sơ qua cách tính truyền thống như vậy thôi, giờ chúng ta tìm hiểu 
cách nhẩm nhanh bằng cách đếm lóng tay nhé! 
10.1 Phương Pháp Chia Subnet Bằng Cách Đếm Lóng Ngón Tay 
 Đầu tiên các bạn xòe bàn tay trái ra và đếm theo hình: 
CCNA_Phương Vũ 
24 | P a g e 
Đếm theo số màu đen nhé! 
Các bạn để ý bàn tay chúng ta có tất cả 14 lóng tay, mỗi lóng tay tương 
trưng cho 1 bit nhé! ^^ 
Đếm 2 4 8 16 32 64 128 256 512 1024 2048 4096 8192 16384. 
Đếm đi đếm lại cho thuộc đi nhé các bạn. 
- Để tính tổng số lượng Subnet id có được sau khi chia, ta đếm số bit mượn 
làm subnet id trong octet đó là ra. Mượn 3 bit thì đếm 2 4 8, mượn 4 bit thì 
đếm 2 4 8 16, giá trị của bit đếm sau cùng chính là tổng số subnet id sau khi 
được chia ra. 
Ví dụ: 10.10.0.0 /13 ---> mượn 5 bit ---> đếm 2 4 8 16 32. Vậy mạng này 
có 32 subnet. 
- Để tính bước nhảy trong mỗi subnet id. Ta đếm số bit còn lại dùng làm 
host trong riêng octet đó. Giá trị của bit được đếm sau cùng cũng là giá trị 
của bước nhảy trong octet đó. 
Ví dụ: 172.35.0.0/19. Tức là địa chỉ lớp B sẽ mượn 3 bit ở octet thứ 3 làm 
subnet id. Dùng phương pháp đếm ta có 2 4 8, đủ 3 bit mượn rồi, vậy tổng 
số subnet id là 8. Ta biết trong octet thứ 3 sau khi cho mượn 3 bit làm net 
id thì còn lại 5 bit làm host, vậy ta đếm 2 4 8 16 32, đủ 5 bit rồi, giá trị là 
32, và cũng chính là bước nhảy của subnet id., thử xem nào: 
-172.35.0.0/19 
-172.35.32.0/19 
-172.35.64.0/19 
CCNA_Phương Vũ 
25 | P a g e 
-172.35.96.0/19 
-172.35.128.0/19 
-172.35.160.0/19 
-172.35.192.0/19 
-172.35.224.0/19 
Ta có tổng cộng 8 subnet id, với bước nhảy là 32 
- Để tính địa chỉ broadcast của một subnet id ta lấy subnet id kế tiếp giảm 
1. Ví dụ, để tính broadcast của subnet id 172.35.64.0/19, ta lấy subnet id kế 
tiếp là 172.35.96.0/19 giảm 1 == 172.35.95.255/19 đây chính là broadcast 
của subnet id 172.35.64.0 
- Để tính số host trong một subnet, ta đếm toàn bộ số bit host còn lại trong 
subnet và lấy giá trị bit sau cùng đó -2, Lưu ý là không phân biệt octet. Nhắc 
lại, ta lấy giá trị của bit được đếm sau cùng - 2 ta được số host trong subnet 
id có thể xài. 
Trong ví dụ subnet 172.35.64.0/19, ta nhận biết toàn bộ số bit dùng làm 
host còn lại là 13. Ta đếm 2 4 8 16 32 64 128 256 512 1024 2048 4096 
8192, đủ 13 bit rồi, ok, số host trong mạng sẽ là 8192 -2 = 8190. Vì sao -2, 
vì ta phải trừ bỏ địa chỉ subnet id và broadcast. Hay đơn giản hơn có thể 
nhận thấy là số host có thể xài được trong dãy: 
172.35.64.1/19 ----> 172.35.95.254/19 
Và đống thời nó cũng lọt giữa 2 subnet id và broadcast. 
Lưu ý: Phương pháp đếm từ 2 không được dùng để tính tổng số giá trị của 
1 octet chạy từ 0->255. Hay nói cách khác là không được dụng để tính tổng 
giá trị của 1 dãy bit như 10101101. Để tính tổng số giá trị của dãy trên ta 
phải đếm từ 1, cộng các giá trị có bit 1 với nhau. 
Ngoài ra, yêu cầu các bạn cần nhớ và thuộc: 
1xxxxxxx =128 
11xxxxxx =192 
111xxxxx =224 
1111xxxx =240 
11111xxx =248 
111111xx =252 
1111111x =254 
11111111 =255 
và 
2^0 = 1 
2^1 = 2 
CCNA_Phương Vũ 
26 | P a g e 
2^2 = 4 
2^3 = 8 
2^4 = 16 
2^5 = 32 
2^6 = 64 
2^7 = 128 
2^8 = 256 
Các bạn cũng có thể dùng bàn tay phải để ghi nhớ các giá trị trên , dùng 
nhẩm nhanh subnet mask của mạng. 
Mượn 1 bit : 128 
Mượn 2 bit : 192 
Mượn 3 bit : 224 
Mượn 4 bit : 240 
Mượn 5 bit : 248 
Mượn 6 bit : 252 
Mượn 7 bit : 254 
Mượn 8 bit : 255 
Ví dụ : 10.10.0.0 /13 --mượn 5 bit ---> S/M: 255.248.0.0 
 155.55.3.32 /28 -- mượn 12 bit = 8 +4 ----> S/M: 255.255.255.240