Vsic Ccna

CCNA Tài liệu dành cho học viên
Mục lục
Phần I : Cisco IOS ............................................................................................................... 1
BÀI 1:Đặt Mật Khẩu Truy Nhập Cho Router ................................................................ 2
BÀI 2: Cisco Discovery Protocol (CDP) .......................................................................... 7
BÀI 3: TELNET ............................................................................................................. 15
BÀI 4: KHÔI PHỤC MẬT KHẨU CHO CISCO ROUTER ........................................ 20
BÀI 5: RECOVERY PASSWORD CHO SWITCH 2950 ............................................. 24
BÀI 6: NẠP IOS IMAGE TỪ TFTP SERVER CHO CISCO ROUTER CHẠY TỪ
FLASH ............................................................................................................................ 26
BÀI 7: NẠP IOS IMAGE CHO 2 ROUTER CHẠY TỪ FLASH ................................ 36
BÀI 8:NẠP IOS CHO SWITCH .................................................................................... 41
Phần 2 :LAN ....................................................................................................................... 46
BÀI 9: CẤU HÌNH VLAN TRÊN SWITCH 2950 ........................................................ 46
BÀI 10: CẤU HÌNH VLAN TRUNK ............................................................................. 56
BÀI 11:CẤU HÌNH VTP PASSWORD ........................................................................ 64
Phần 3 :Routing .................................................................................................................. 70
BÀI 12: ĐỊNH TUYẾN TĨNH (Static route) ................................................................. 70
BÀI 13: RIP( ROUTING INFORMATION PROTOCOL) .......................................... 79
Bài 14:Cấu Hình IGRP Timer ....................................................................................... 90
BÀI 15:CẤU HÌNH IGRP LOAD BALANCING ........................................................ 96
BÀI 16: DISCONTIGOUS NETWORKS ................................................................... 103
BÀI 17: REDISTRIBUTE GIỮA RIP và IGRP .......................................................... 108
BÀI 18 :CẤU HÌNH OSPF CƠ BẢN .......................................................................... 119
BÀI 19: CẤU HÌNH EIGRP ....................................................................................... 126
BÀI 20: CẤU HÌNH OSPF GIỮA WINDOWS SERVER 2003 VÀ ROUTER ....... 128
Phần 4 : ACCESS LIST và NAT....................................................................................... 136
BÀI 21: STANDAR ACCESS LIST............................................................................. 136
BÀI 22: EXTENDED ACCESS LIST .......................................................................... 143
BÀI 23: TẤN CÔNG ROUTER BẰNG FLOOD ........................................................ 151
BÀI 24: CẤU HÌNH NAT STATIC ............................................................................. 154
BÀI 25:CẤU HÌNH NAT OVERLOAD ...................................................................... 158
Phần 5 : WAN ................................................................................................................... 164
BÀI 26: CẤU HÌNH PPP PAP VÀ CHAP................................................................... 164
BÀI 27:CẤU HÌNH ISDN BASIC............................................................................. 171
BÀI 28: CẤU HÌNH ISDN DDR .................................................................................. 179
BÀI 29: CẤU HÌNH FRAME RELAY CĂN BẢN...................................................... 191
BÀI 30:CẤU HÌNH FRAME RELAY SUBINTERFACE .......................................... 199
VSIC Education Corporation Trang 1

Phần I : Cisco IOS

BÀI 1: Đặt Mật Khẩu Truy Nhập Cho Router
1. Giới thiệu :
Bảo mật là một yếu tố rất quan trọng trong network,vì thế nó rất đựơc quan tâm và sử
dụng mật khẩu là một trong những cách bảo mật rất hiệu quả.Sử dụng mật khẩu trong
router có thể giúp ta tránh được những sự tấn công router qua những phiên Telnet hay
những sự truy cập trục tiếp vào router để thay đổi cấu hình mà ta không mong muốn từ
người lạ.
2. Mục đích :
Cài đặt được mật khẩu cho router, khi đăng nhập vào, router phải kiểm tra các loại mật
khẩu cần thiết.
3. Mô tả bài lab và đồ hình :
Trong đồ hình trên, PC được nối với router bằng cáp console
4. Các cấp độ bảo mật của mật khẩu :
Cấp độ bảo mật của mật khẩu dựa vào cấp chế độ mã hoá của mật khẩu đó.Các cấp độ mã
hóa của mật khẩu:
Cấp độ 5 : mã hóa theo thuật toán MD5, đây là loại mã hóa 1 chiều, không thể giải mã
được(cấp độ này được dùng để mã hoá mặc định cho mật khẫu enable secret gán cho router)
Cấp độ 7 : mã hóa theo thuật toán MD7, đây là loại mã hóa 2 chiều,có thể giải mã
được(cấp độ này được dùng để mã hóa cho các loại password khác khi cần như: enable
password,line vty,line console…)
Cấp độ 0 : đây là cấp độ không mã hóa.
5. Qui tắc đặt mật khẩu :

Mật khẩu truy nhập phân biệt chữ hoa,chữ thường,không quá 25 kí tự bao gồm các kí
số,khoảng trắng nhưng không được sử dụng khoảng trắng cho kí tự đầu tiên.
Router(config)#ena pass vsic-vsic-vsic-vsic-vsic-vsic
% Overly long Password truncated after 25 characters mật khẩu được đặt với 26 kí
tự không được chấp nhận
6. Các loại mật khẩu cho Router :
Enable secret : nếu đặt loai mật khẩu này cho Router,bạn sẽ cần phải khai báo khi
đăng nhập vào chế độ user mode ,đây là loại mật khẩu có hiệu lực cao nhất trong Router,được
mã hóa mặc định cấp độ 5.

Enable password : đây là loại mật khẩu có chức năng tương tự như enable secret
nhưng có hiệu lực yếu hơn, loại password này không được mã hóa mặc định, nếu yêu cầu mã
hóa thì sẽ được mã hóa ở cấp độ 7.
Line Vty : đây là dạng mật khẩu dùng để gán cho đường line Vty,mật khẩu này sẽ
được kiểm tra khi bạn đăng nhập vào Router qua đường Telnet.
Line console : đây là loại mật khẩu được kiểm tra để cho phép bạn sử dụng cổng
Console để cấu hình cho Router.
Line aux : đây là loại mật khẩu được kiểm tra khi bạn sử dụng cổng aux.
7. Các bước đặt mật khẩu cho Router :
Bước 1 : khởi động Router , nhấn enter để vào chế độ user mode.
Từ chế độ user mode dùng lệnh enable để vào chế độ Privileged mode
Router con0 is now available
Press RETURN to get started.
Router>enable
Router#
Bước 2 : Từ dấu nhắc chế độ Privileged mode vào mode cofigure để cấu hình cho
Router bằng lệnh configure terminal
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Bước 3 : Cấu hình cho từng loại Password
Cấu hình cho mật khẩu enable secret
(Chú ý :mật khẩu có phân biệt chữ hoa và chữ thường)
Router(config)#enable secret vsic Mật khẩu là vsic
Router(config)#exit
Cấu hình mật khẩu bằng lệnh enable password
Router(config)#ena pass cisco Mật khẩu là cisco
Router(config)#exit
Lưu ý : khi ta cài đặt cùng lúc 2 loại mật khẩu enable secret và enable password thì
Router sẽ kiểm tra mật khẩu có hiệu lực mạnh hơn là enable secret. Khi mật khẩu secret
không còn thì lúc đó mật khẩu enable password sẽ được kiểm tra.
Cấu hình mật khẩu bằng lệnh Line
9 Mật khẩu cho đường Telnet (Line vty)
Router(config)#line vty 0 4
Router(config-line)#password class password là class
Router(config-line)#login mở chế độ cài đặt password
Router(config-line)#exit
9 Mật khẩu cho cổng console :
Router(config)#line console 0 mở đường Line Console
cổng Console thứ 0
Router(config-line)#password cert password là cert
Router(config-line)#login mở chế độ cài đặt password
9 Mật khẩu cho cổng aux:
Router(config)#line aux 0 Số 0 chỉ số thứ tự cổng aux được dùng
Router(config-line)#password router password là router
Router(config-line)#login

Sau khi đặt xong mật khẩu,ta thoát ra ngoài chế độ Privileged mode, dùng lệnh Show
running-config để xem lại những password đã cấu hình :
Router#show running-config
Building configuration...
Current configuration : 550 bytes
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption password cài đặt ở chế độ không mã hóa
hostname Router
enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o password secret được
mã hóa mặc định ở cấp độ 5
enable password cisco
!
line con 0
password cert password cho cổng Console là cert
login
line aux 0
password router password cho cổng aux là router
login
line vty 0 4
password class password cho đường vty là class
login
!
End
Dùng lệnh Show running-config ta sẽ thấy được các password đã cấu hình, nếu muốn
mã hóa tất cả các password ta dùng lệnh Service password-encryption trong mode config.
Router(config)#service password-encryption
Router(config)#exit
Dùng lệnh show running-config để kiểm tra lại:
Router#show run
enable secret 5 $1$6bgK$prmkIPVMht7okiCQ5EQ2o/
enable password 7 094F471A1A0A password đã được mã hóa ở cấp độ 7
line con 0
password 7 15110E1E10 password đã được mã hóa ở cấp độ 7
login
line aux 0
password 7 071D2E595A0C0B password đã được mã hóa ở cấp độ 7
login
line vty 0 4
password 7 060503205F5D password đã được mã hóa ở cấp độ 7
login

!
End
Chú ý : Ta không thể dùng lệnh no service password-encryption để bỏ chế độ mã hóa cho
mật khẩu,ta chỉ có thể bỏ chế độ mã hóa khi gán lại mật khẩu khác
Sau khi đặt mật khẩu xong, khi đăng nhập vào Router lại, mật khẩu sẽ được kiểm tra:
Router con0 is now available
Press RETURN to get started. nhấn enter
User Access Verification mật khẩu line console sẽ được kiểm tra
Password:cert khai báo mật khẩu console là : cert

Router>ena enable dể vào mode Privileged
Password:vsic Vì mật khẩu secret có hiệu lực cao hơn nên được kiểm tra
Router#
Các loại mật khẩu khác như Line Vty ,Line aux sẽ được kiểm tra khi sử dụng đến chức năng
đó
8. Gỡ bỏ mật khẩu cho router :
Nếu muốn gỡ bỏ mật khẩu truy cập cho loại mật khẩu nào ta dùng lệnh no ở trước câu
lệnh gán cho loại mật khẩu đó.
Ví dụ : Muốn gỡ bỏ mật khẩu secret là vsic cho router
Router(config)#no enable secret vsic
Router(config)#exit
Bằng cách tương tự,ta có thể gỡ bỏ mật khẩu cho các loại mật khẩu khác.
9. Cách thực hành bằng Dynagen( phần tự thực hành cho học viên )
Chạy file Dynamips Server, sau đó click vào file lab1pwd.net(từ CD học CCNA), và từ
giao diện dòng lệnh này, ta đánh lệnh “ telnet VSIC1” để vào router VSIC1. Việc cấu
hình trên router VSIC1 này hoàn toàn giống với bài lab trên.


BÀI 2: Cisco Discovery Protocol (CDP)
1. Giới thiệu :
CDP(Cisco Discovery Protocol) là 1 giao thức của Cisco, giao thức này hoạt động ở lớp
2(data link layer) trong mô hình OSI, nó có khả năng thu thập và chỉ ra các thông tin của các
thiết lân cận được kết nối trực tiếp, những thông tin này rất cần thiết và hữu ích cho bạn trong
quá trình xử lý sự cố mạng.
2. Mục đích:
Bài thực hành này giúp bạn hiểu rõ về giao thức CDP và các thông số liên quan, nắm
được chức năng của các lệnh trong giao thức này.
Chú ý: CDP chỉ cung cấp thông tin của thiết bị kết nối trực tiếp với nó, trái với các giao
thức định tuyến. Giao thức định tuyến có thể cung cấp thông tin của các mạng ở xa, hay kết
nối gián tiếp qua nhiều router.
Đồ hình bài lab như hình vẽ, các router được nối với nhau bằng cáp serial.
4. Các bước thực hiện :

Trước tiên cấu hình cho các Router như sau(xem bằng lệnh Show run)
Router Vsic1 :
!
version 12.2
no service password-encryption
!
hostname VSIC1
!

logging rate-limit console 10 except errors

!
ip subnet-zero
no ip finger
!
no ip dhcp-client network-discovery
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
!
interface Serial1
ip address 192.168.2.1 255.255.255.0
!
ip kerberos source-interface any
ip classless
ip http server
!
line con 0
transport input none
line aux 0
line vty 0 4
!
End
Router Vsic2 :

!
version 12.1
!
hostname VSIC2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!

interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line aux 0
line vty 0 4
login
!
End
Router Vsic3 :
!
version 12.1
!
hostname Vsic3
!
ip subnet-zero
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
ip address 192.168.2.2 255.255.255.0
clockrate 56000
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End

Lưu ý : Vì CDP là 1 giao thức riêng của Cisco nên nó đươc mặc định khởi động, vì vậy khi ta
dùng lệnh Show run,những thông tin về giao thức này sẽ không được hiển thị.Giao thức này
có thể hoạt động trên cả Router và Switch
5. Các lệnh trong giao thức CDP :
Lệnh Show CDP neighbors : dùng để xem thông tin của các thiết bị xung quanh được
liên kết trực tiếp(lệnh này sử dụng trong mode Privileged)
VSIC1#show cdp neighbors

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater
Device ID Local Intrfce Holdtme Capability Platform Port ID

Vsic3 Ser 1 149 R 2523 Ser 1
VSIC2 Ser 0 134 R 2500 Ser 0
Lệnh Show CDP neighbors detail : dùng để xem chi tiết thông tin của các thiết bị
liên kết trực tiếp.
VSIC1#show cdp neighbors detail

-------------------------
Device ID: Vsic3 thiết bị liên kết trực tiếp là Vsic3
Entry address(es):
IP address: 192.168.2.2 địa chỉ cổng liên kết trực tiếp
Platform: cisco 2523, Capabilities: Router loại thiết bị liên kết: Cisco Router 2523
Interface: Serial1, Port ID (outgoing port): Serial1 liên kết trực tiếp qua
cổng Serial1
Holdtime : 124 sec
Version :
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-I-L), Version 12.1(26), RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Sat 16-Oct-04 02:44 by cmong Thông tin về hệ điều hành của
thiết bị liên kết
advertisement version: 2
-------------------------
Device ID: VSIC2 thiết bị liên kết trực tiếp là Vsic2
Entry address(es):
IP address: 192.168.1.1 địa chỉ cổng liên kết
Platform: cisco 2500, Capabilities: Router loại thiết bị liên kết là Cisco
Router 2500
Interface: Serial0, Port ID (outgoing port): Serial0 liên kết qua cổng Serial 0
Holdtime : 168 sec thời gian giữ gói tin là 168 sec
Version :


(fc1)
Compiled Sat 16-Oct-04 02:44 by cmong Thông tin chi tiết về phiên bản và
hệ điều hành của thiết bị
Lệnh Show CDP : hiển thị thông tin CDP về timer và hold-time.
VSIC1#show cdp
Global CDP information:
Sending CDP packets every 60 seconds gói cdp được gửi mổi 60 second
Sending a holdtime value of 180 seconds thời gian giữ gói tin là 180 second
Sending CDPv2 advertisements is enabled
Lệnh Show CDP interface : hiển thị thông tin CDP về từng cổng,cách đóng gói và cả
timer,hold-time.
VSIC1#show cdp int
Ethernet0 is administratively down, line protocol is down cổng Ethernet0 down
do không có thiết bị liên kết trực tiếp
Encapsulation ARPA cách đóng gói packet
Sending CDP packets every 60 seconds
Holdtime is 180 seconds
Serial0 is up, line protocol is up cổng Serial0 up do co thiết bị liên kết trực tiếp
Encapsulation HDLC cách đóng gói packet
Serial1 is up, line protocol is up cổng Serial1 up do có thiết bị liên kết trực tiếp
Encapsulation HDLC cách đóng gói packet
Lưu ý : ta có thể dùng lệnh no cdp enable để tắt chế độ CDP trên các interface,và lúc này
lệnh show CDP interface sẽ không hiển thị thông tin CDP trên interface đó.Nếu muốn bật lại
chế độ CDP trên interface nào ta dùng lệnh CDP enable trên interface đó.
VSIC1(config)#int s0
VSIC1(config-if)#no cdp enable tắt chế độ CDP trên interface Serial0
VSIC1(config-if)#^Z
VSIC1#show cdp inter
01:32:44: %SYS-5-CONFIG_I: Configured from console by console
Ethernet0 is administratively down, line protocol is down
Encapsulation ARPA
Serial1 is up, line protocol is up
Encapsulation HDLC
Holdtime is 180 seconds thông tin về cổng Seria0 không hiển thị sau khi

tắt chế độ cdp trên nó
Nếu muốn bật lại chế độ CDP trên interface nào ta dùng lệnh CDP enable trên
interface đó.
VSIC1(config)#int s0
VSIC1(config-if)#cdp ena
VSIC1(config-if)#exit
Lệnh Show CDP traffic : hiển thị bộ đếm CDP bao gồm số lượng gói packet gửi,
nhận và bị lổi.
VSIC1#show cdp traffic
CDP counters :
Total packets output: 128, Input: 115
Hdr syntax: 0, Chksum error: 0, Encaps failed: 9
No memory: 0, Invalid packet: 0, Fragmented: 0
CDP version 1 advertisements output: 0, Input: 0
CDP version 2 advertisements output: 128, Input: 115
Lệnh Clear CDP couter : dùng để reset lai bộ đếm CDP.
Lệnh No CDP run : để tắt hoàn toàn chế độ CDP trên Router
VSIC1(config)#no cdp run
VSIC1(config)#^Z
VSIC1#show cdp lệnh show cdp không hợp lệ khi tắt chế độ cdp
% CDP is not enabled
Lệnh CDP run : dùng để mở lại chế độ CDP trên Router
VSIC1(config)#cdp run
VSIC1(config)#exit
VSIC1#show cdp
Global CDP information:
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Lưu ý: Giao thức CDP chỉ cho ta biết được thông tin của những thiết bị được liên kết trực
tiếp.
Vsic3#show cdp neighbors detail
-------------------------
Device ID: VSIC1
Entry address(es):
IP address: 192.168.2.1
Platform: cisco 2500, Capabilities: Router
Interface: Serial1, Port ID (outgoing port): Serial1
Holdtime : 138 sec
Version :
IOS (tm) 2500 Software (C2500-JK8OS-L), Version 12.2(1d), RELEASE
SOFTWARE (fc1)
Compiled Sun 03-Feb-02 22:01 by srani

Từ Router Vsic3 chỉ xem được thông tin của thiết bị nối trực tiếp là Router
Athen1
Giả sử ta thay đổi địa chỉ IP của cổng Serial1 ở router Vsic3
Vsic3(config)#int s0
Vsic3(config-if)#ip add 192.168.3.2 255.255.255.0
Vsic3(config-if)#no shut
Vsic3(config-if)#clock rate 56000
Vsic3(config-if)#^Z
Dùng lệnh Ping từ Router Vsic3 để ping địa chỉ cổng Serial 1 của Router
Vsic1:
Vsic3#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Sử dụng giao thức CDP từ Router Vsic3 xem thông tin về các thiết bị liên kết
trực tiếp:
Vsic3#show cdp neighbors detail
-------------------------
Device ID: VSIC1
Entry address(es):
IP address: 192.168.2.1
Platform: cisco 2500, Capabilities: Router
Interface: Serial1, Port ID (outgoing port): Serial1
Holdtime : 144 sec
Version :
SOFTWARE (fc1)
Bạn thấy rõ từ Router Vsic3 ta ping không thấy được Router Vsic1 nhưng dùng giao
thức CDP bạn vẫn nhận được thông tin của thiết bị liên kết. Đây là ưu điểm của giao thức
CDP. Ưu điểm này sẽ rất hữu ích cho bạn khi xử lý sự cố mạng.
6. Cấu hình sử dụng Dynagen(dành cho Học viên tự thực hành)
Chạy file Dynamips Server, sau đó click vào file lab2cdp.net(từ CD học CCNA), và từ
giao diện dòng lệnh này, ta đánh lệnh “ telnet VSIC1” để vào router VSIC1. Tương tự với
các router VSIC2,và VSIC3. Sơ đồ trong file cấu hình như sau :


BÀI 3: TELNET
1. Giới thiệu :
Telnet là một giao thức đầu cuối ảo( Vitural terminal),là một phần của chồng giao thức
TCP/IP.Giao thức này cho phép tạo kết nối với một thiết bị từ xa và thông qua kết nối này,
người sử dụng có thể cấu hình thiết bị mà mình kết nối vào.
2. Mục đích :
Bài thực hành này giúp bạn hiểu và thực hiện được những cấu hình cần thiết để có thể
thực hiện các phiên Telnet từ host vào Router hay từ Router vào Router.
Đồ hình bài lab như hình trên, các router được nối với nhau bằng cáp serial. Host1 nối với
router Vsic1 bằng cắp chéo.
Cấu hình cho các router Vsic1, Vsic2 và Host 1 như sau :
Host 1 :
IP:10.0.0.2
Subnetmask:255.255.255.0
Gateway:10.0.0.1
Router vsic1
version 12.1
!
hostname vsic1
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 56000

!
end
Router vsic2
!
version 12.2
!
hostname vsic2
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
!
end
Phải chắn chắn rằng các kết nối vật lý đã thành công (kiểm tra bằng lệnh Ping)
Kiểm tra kết nối Telnet :
Từ Host ta thử telnet vào Router Vsic1 :
C:\Documentsand settings\Administrator>Telnet 10.0.0.1
Password required, but none set đòi hỏi mật khẩu nhưng không được cài dặt
Connection to host lost Kết nối thất bại
Từ Router vsic1 ta kết nối Telnet vào Router Vsic2
vsic1#telnet 192.168.1.2
Trying 192.168.1.2 ... Open
Password required, but none set
[Connection to 192.168.1.2 closed by foreign host]
Thực hiện Telnet không thành công vì chức năng Telnet đòi hỏi bạn phải mở đường
line Vty và cài đặt mật khẩu cho nó.
Đặt mật khẩu Vty cho Router Vsic1 :
vsic1#conf t
vsic1(config)#line Vty 0 4
vsic1(config-line)#pass vsic1
vsic1(config-line)#login
vsic1(config-line)#exit
Đặt mật khẩu Vty cho Router Vsic2 :
vsic2#conf t
vsic2(config)#line vty 0 4
vsic2(config-line)#pass vsic2
vsic2(config-line)#login
vsic2(config-line)#exit
Lúc này thực hiện Telnet : Từ Host bạn thực hiện Telnet vào Router Vsic1


User Access Verification
Password:
Vsic1>ena
% No password set
Vsic1>
Tương tự bạn thực hiện hiện Telnet từ Router Vsic1 đến Router Vsic2:
vsic1#192.168.1.2
Trying 192.168.1.2 ... Open
Password:
vsic2>ena
% No password set
vsic2>
Lưu ý : Đối với thiết bị của Cisco, bạn chỉ cần đánh địa chỉ của nơi cần Telnet đến,
thiết bị sẽ tự hiểu và thực hiện kết nối Telnet.
Khi Telnet vào, bạn đang ở Mode User và giao thức này đòi hỏi bạn phải có cài đặt
mật khẩu để vào Privileged Mode.Thực hiện việc cài đặt mật khẩu:
Router Vsic1
vsic1(config)#ena pass cisco
vsic1(config)#exit
Router Vsic2
vsic2(config)#ena pass class
vsic2(config)#exit
Bạn thực hiện lại việc kết nối Telnet, từ Host vào Router Vsic1:
Password: vsic1
Vsic1>ena
Password: cisco
Vsic1#
Từ Router Vsic1 vào Router Vsic2:

vsic1#192.168.1.2
Trying 192.168.1.2 ... Open
Password: vsic2
vsic2>ena
Password: class
vsic2#
Từ đây bạn có thể thực hiện việc thay đổi cấu hình cho các thiết bị mà không cần phải
thông qua cổng Console.
Kiểm tra việc Telnet bằng lệnh Show line
vsic2#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 5 0 0/0 -

1 AUX 9600/9600 - - - - 0 0 0/0 -

* 2 VTY - - - - - 1 0 0/0 -
* 3 VTY - - - - - 7 0 0/0 -
* 4 VTY - - - - - 4 0 0/0 -
5 VTY - - - - - 1 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
Dấu * biểu thị những line bạn đang sử dụng Telnet,theo như bảng trên,bạng đang sử dụng
3 dường line Telnet qua lại giữa 2 Router Vsic1 và Vsic2 qua các port 2,3,4.
Cột Uses chỉ số lần bạn đã sử dụng đường line đó.
Lưu ý : Bạn chỉ thực hiện được việc Telnet qua lại giữa các Router không quá 10 lần
cùng lúc (vì bạn chỉ có 5 line Vty từ 0 đến 4)
vsic1#192.168.1.2
Trying 192.168.1.2 ...
% Connection refused by remote host
Router báo lối khi bạn thực hiện phiên Telnet thứ 11.
Bạn cũng có thể thực hiện Telnet cùng lúc giữa các thiết bị bằng cách từ màn hình telnet,
bạn nhấn tổ hợp phím: Ctrl-Shift-6 sau đó nhấn phím X(sử dụng trên terminal nhấn tổ hợp
phím CTRL-SHIFT-6 sau đó nhấn 2 lần X), lúc này bạn sẽ trở lại màn hình gốc ban đầu và
bạn có thể tiếp tục thực hiện các phiên Telnet vào các thiết bị khác. Để trở về màn hình Telnet
ban đầu bạn ấn phím enter 2 lần
Thoát khỏi các phiên Telnet : chúng ta sử dụng lệnh Exit hay lệnh Disconnect
Ngắt một kết nối Telnet : chúng ta sử dụng lệnh clear line
5. Cấu hình sử dụng Dynagen(dành cho Học viên tự thực hành):
Chạy file Dynamips Server, sau đó open file lab3telnet.net bằng wordpad để xem mô
hình kết nối giữa các router trong bài thực hành.
# Simple lab
[localhost]
[[3640]]
image = \Program Files\Dynamips\images\C3640_IS_MZ122_3.BIN
# On Linux / Unix use forward slashes:
# image = /opt/7200-images/c7200-jk9o3s-mz.124-7a.image
ram=96
[[ROUTER VSIC1]]
model=3640
s1/0 = VSIC2 s1/0 (sử dụng s1/0 của VSIC1 kết nối với s1/0 VSIC2)
F0/0 = NIO_gen_eth:\Device\NPF_{3E56FAD7-7D96-4763-AD9E-6232CA66410B}
[[router VSIC2]]
model=3640
# No need to specify an adapter here, it is taken care of

# by the interface specification under Router VSIC1
Ta chú ý dòng F0/0 = NIO_gen_eth:\Device\NPF_{3E56FAD7-7D96-4763-AD9E-

6232CA66410B} trong file lab3telnet.net. Để router có thể kết nối vào được với PC hiện
hành, chúng ta cần thay đổi thông số ở đây. Chạy file network device list trên Desktop để xác
định card mạng của PC nối vào.
Thay địa chỉ của card mạng hiện hành tại máy PC vào file cấu hình. Như vậy ta đã
thiếtlập được mô hình kết nối sau:
Save file cấu hình và chạy, chúng ta đã bắt đầu vào bài thực hành

BÀI 4: KHÔI PHỤC MẬT KHẨU CHO CISCO ROUTER

(Recovery Password)
1. Giới thiệu :
Mật khẩu truy cập là rất hữu ích trong lĩnh vực bảo mật, tuy nhiên đôi khi nó cũng đem lại
phiền toái nếu chẳng may bạn quên mất mật khẩu truy nhập.Bài thực hành khôi phục mật
khẩu cho Cisco Router này giúp bạn khôi phục lại mật khẩu để đăng nhập vào Router .
Lưu ý: Đặt mật khẩu cho Router có ý nghĩa rất lớn trong khía cạnh security,nó ngăn cản được
các phiên Telnet từ xa vào Router để thay đổi cấu hình hay thực hiện những mục đích
khác.Bạn nên tránh nhầm lẫn giữa hai khái niệm “bảo mật” và “khôi phục mật khẩu”,bạn có
thể khôi phục hay thay đổi được mật khẩu của Router không có nghĩa là mức độ bảo mật của
Router không cao vì để khôi phục mật khẩu cho Router, điều kiện tiên quyết là bạn phải
thao tác trực tiếp trên Router, điều này có nghĩa là bạn phải được sự chấp nhận của Admin
hay kỹ thuật viên quản lý Router.
Trong đồ hình trên PC nối với router bằng cáp console

3. Quá trình khởi động của Router :
Khi vừa bật nguồn, Router sẽ kiểm tra phần cứng, sau khi phần cứng đã được kiểm tra
hoàn tất, hệ điều hành sẽ được nạp từ Flash, tiếp đó Router sẽ nạp cấu hình trong
NVRAM bao gồm tất cả những nội dung đã cấu hình trước cho Router như các thông tin
về giao thức, địa chỉ các cổng và cả mật khẩu truy nhập.Vì vậy để Router không kiểm tra
mật khẩu khi đăng nhập, bạn phải ngăn không cho Router nạp dữ liệu từ NVRAM.
Mỗi dòng Router có một kỹ thuật khôi phục mật khẩu khác nhau, tuy vậy để khôi phục mật
khẩu cho Router bạn phải qua các bước sau:
9 Bước 1 : Khới động Router,ngăn không cho Router nạp cấu hình trong NVRAM.
(bằng cách thay đổi thanh ghi từ 0x2102 sang thanh ghi 0x2142).
9 Bước 2 : Reset lại Router (lúc này Router sử dụng thanh 0x2142 để khởi động).
9 Bước 3 : Đăng nhập vào Router(lúc này Router không kiểm tra mật khẩu), dùng các
lệnh của Router để xem hay cài đặt lại mật khẩu (bạn chỉ xem được mật khẩu khi mật khẩu
được cài đặt ở chế độ không mã hóa)

9 Bước 4 : Thay đổi thanh ghi (từ 0x2142 sang 0x2102).

9 Bước 5 : Lưu lại cấu hình vừa cài đặt (lúc này mật khẩu đã biết).
4. Khôi phục mật khẩu cho Cisco Router 2500.
Giả sử khi bạn đăng nhập vào Router nhưng bạn quên mất mật khẩu.
vsic con0 is now available

vsic>enable
Password:
Password:
Password:
% Bad secrets
Bạn phải thực hiện việc khôi phục mật khẩu. Các bước thực hiện như sau:
Bước 1 : bạn khởi động lại Router
System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE

Copyright (c) 1986-1995 by cisco Systems
2500 processor with 8192 Kbytes of main memory ấn Ctrl Break không cho
Router nạp dữ liệu từ NVRAM
Abort at 0x103AA7E (PC)
>o/r 0x2142 ( hoặc sử dụng lệnh confreg 0x2142) Sử dụng lệnh này để thay đổi
thanh ghi sang 0x2142
Bước 2 : khởi động lại Router, lúc này Router sẽ nạp cấu hình từ thanh ghi 0x2142
(cấu hình trắng)
vsic>ena password sẽ không yêu cầu kiểm tra khi đăng nhập
vsic#show start dùng lệnh Show start xem cấu hình trong NVRAM
Using 456 out of 32762 bytes
!
version 12.1
!
hostname Router
!
enable secret 5 $1$AqeQ$yB00zFjHxIiVoHLnbLEhh1 password secret đã
được mã hoá
enable password cisco mật khẩu enable password là cisco
!
end
Bước 3 : Cấu hình lại mật khẩu cho Router:
vsic#config t
vsic(config)#ena secret Vsic mật khẩu secret được cấu hình lại là Vsic
vsic(config)#exit
vsic#conf t

vsic(config)#ena pass class mật khẩu enable password là class

vsic(config)#exit
Bước 4 : Thay đổi thanh ghi hiện hành từ 0x2142 trở về 0x2102
Dùng lệnh Show version để xem thanh ghi hiện hành
vsic#show ver
(fc1)
Compiled Sat 16-Oct-04 02:44 by cmong
Image text-base: 0x03042000, data-base: 0x00001000
.
2 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2142 Thanh ghi 0x2142 đang được sử dụng
9 Thay đổi thanh ghi:
vsic(config)#config-register 0x2102 dùng lệnh config-register
vsic(config)#exit
9 Xem lại thanh ghi hiện hành:
vsic#show ver
(fc1)
.
Configuration register is 0x2142 (will be 0x2102 at next reload) thanh ghi hiện
hành là 0x2102
Bước 5 : lưu cấu hình đã thay đổi vào thanh ghi 0x2102
vsic#wr me
[OK]
Dùng lệnh show start để xem cấu hình khởi động trong NVRAM
vsic#show start
!
version 12.1
!
hostname vsic
!

enable secret 5 $1$49cD$jrvYyRSQhpTAHuDA1/R1v.

enable password class
!
!
!
End
Sau khi reload lại, đăng nhập vào Router,mật khẩu secret là Vsic sẽ được kiểm tra
vsic con0 is now available
vsic>ena
Password: mật khẩu là Vsic sẽ đươc kiểm tra và chấp nhận
vsic#

BÀI 5: RECOVERY PASSWORD CHO SWITCH 2950

1. Giới thiệu :
Trong bài lab này chúng ta se thực hiện recovery password của một switch
Nối cáp console giữa PC với switch. Chúng ta sẽ tiến hành recovery password trên switch
2950 trong bài lab này.
3. Thực hiện :
Để khảo sát việc recovery password rõ ràng hơn ,chúng ta sẽ cấu hình tên và password
cho switch trước khi tiến hành recovery password cho switch
Chúng ta cấu hình tên và password cho switch như sau :
Switch#conf t
Switch(config)#host Vsic
Vsic(config)#enable password cisco ← Đặt password cho switch
Vsic(config)#enable secret Vsic ← Đặt secret password cho switch
Sau khi cấu hình xong chúng ta lưu vào NVRAM và xem lại cấu hình trong NVRAM đó
trước khi tiến hành recovery password cho switch.
Vsic#copy run start
Destination filename [startup-config]?
Vsic#show start
Vsic#sh start
version 12.1
hostname Vsic
enable secret 5 $1$s22D$vCe6IFIeKLhUPZqgm6QZ6/
Chúng ta tiến hành recovery password theo cách bước sau :
Bước 1 : tắt nguồn switch, sau đó giữa nút MODE trên switch 2950 trong lúc bật
nguồn lại. Khi màn hình hiện những thông báo sau, ta nhả nút MODE ra.
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA2, RELEASE
SOFTWARE (fc1)
Compiled Sun 07-Nov-04 23:14 by antonino
… (một số thông báo được lược bỏ) …
flash_init
load_helper

boot
Bước 2: Chúng ta nhập flash_init đễ bắt đầu cấu hình cho các file của flash. Nhập câu
lệnh dir flash: để xem các file có chứa trong flash. Sau đó chúng ta đổi tên file config.text
thành config.bak (vì cấu hình của chúng ta đã lưu phần trước được switch chứa trong file này)
bằng câu lệnh sau : rename flash:config.text flash:config.bak Sau đó chúng ta reload lại
switch bằng câu lệnh boot
Bước 3 : Trong quá trình khởi động switch sẽ hỏi :
Continue with the configuration dialog? [yes/no] :
Chúng ta nhập vào NO, để bỏ qua cấu hình này. Sau khi khởi động xong chúng ta vào
mode privileged.
Switch>en
Switch#
Sau đó chúng ta chuyển tên file config.bak trong flash thành config.text bằng cách :
Switch#rename flash:config.bak flash:config.text
Rồi cấu hình NVRam vào RAM bằng câu lệnh sau :
Switch#copy flash:config.text system:running-config
Bước 4 : gở bỏ tất cả các loại password
Vsic#conf t
Vsic(config)#no enable password
Vsic(config)#no enable secret
Bước 5 : copy cấu hình từ RAM vào NVRam, rồi reload switch lại.
Vsic#copy run start
Destination filename [startup-config]?
[OK]
Vsic#reload

BÀI 6: NẠP IOS IMAGE TỪ TFTP SERVER CHO CISCO ROUTER

CHẠY TỪ FLASH
1. Giới thiệu :
Flash là 1 bộ nhớ có thể xóa, được dùng để lưu trữ hệ điều hành và một số mã lệnh.Bộ
nhớ Flash cho phép cập nhật phần mềm mà không cần thay thế chip xử lý.Nội dung Flash vẫn
được giữ khi tắt nguồn.
Bài lab này giúp bạn thực hiện việc nạp IOS (Internetwork Operating System) Image từ
Flash trong Router Cisco vào TFTP server để tạo bản IOS Image dự phòng và nạp lại IOS
Image từ từ TFTP sever vào Cisco Router chạy từ Flash(khôi phục phiên bản củ hay update
phiên bản mới) thông qua giao thức truyền TFTP (Trivial file transfer protocol)
Đồ hình bài lab như hình vẽ, PC nối với router bằng cáp chéo và một cáp console (để điều
khiển router).
PC hoạt động như 1 TFTP Server và được nối với Router thông qua môi trường
Ethernet,lúc này Router hoạt động như là TFTP Client. IOS sẽ đươc copy từ Router lên
Server( trong tình huống backup IOS) hay từ Server vào Router( trong tình huống update hay
cài đặt IOS mới). Đối với trường hợp nạp IOS cho Router khi Flash Router bị xoá ta có thể
vào mode ROMMON để cấu hình lấy IOS từ Server.
3. Các bước thực hiện:
Chúng ta sẽ cấu hình cho router Vsic và PC (đóng vai trò như một TFTP server) như sau :
PC :
IP Address : 192.168.14.2
Subnetmask : 255.255.255.0
Gateway : 192.168.14.1
Router Vsic :
hostname vsic

!
ip subnet-zero
no ip finger
!
interface Ethernet0
ip address 192.168.14.1 255.255.255.0
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Bạn thực hiện lệnh Ping để đảm bảo việc kết nối giữa Router và TFTP server
vsic#ping 192.168.14.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
Dùng lệnh Show version để xem phiên bản IOS hiện hành:
vsic#show ver
SOFTWARE (fc1) Router đang s ử d ụng IOS version 12.2(1d)

Image text-base: 0x0307EEE0, data-base: 0x00001000
ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c),
RELEASE SOFT
WARE (fc1)

vsic uptime is 15 minutes

System returned to ROM by bus error at PC 0x100D042, address 0xFFFFFFFC
System image file is "flash:/c2500-jk8os-l.122-1d.bin" Tên tập tin IOS image
được nạp từ flash- loạI Cisco 2500 sử
dụng hệ điều hành phiên bản12.2(1d)
cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

Router có 16MB RAM,14 MB dùng cho
bộ nhớ xử lý, 2 MB dùng cho bộ nhớ I/O
Processor board ID 08030632, with hardware revision 00000000
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
1 Ethernet/IEEE 802.3 interface(s)
16384K bytes of processor board System flash (Read ONLY) Router có 16 MB flash
Configuration register is 0x2102 Thanh ghi hiện hành
Dùng lệnh Show Flash để xem bộ nhớ Flash

vsic#show flash
System flash directory:
File Length Name/status
1 16505800 /c2500-jk8os-l.122-1d.bin
[16505864 bytes used, 271352 available, 16777216 total]
Ý nghĩa tên File IOS Image:

¾ c2500:loại thiết bị Cisco 2500
¾ jk8os:các tính năng
j :enterprise subnet
k8 : reserved for huture encrytion capapilities
o : fire wall
s : suorce router switch
¾ 1.122 : lọai phiên bản IOS
Bạn thực hiện việc nạp IOS image từ Flash vào TFTP server:
vsic#copy flash tftp

Source filename []? /c2500-jk8os-l.122-1d.bin
Address or name of remote host []? 192.168.14.2 địa chỉ TFTP server
Destination filename [c2500-jk8os-l.122-1d.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16505800 bytes copied in 232.724 secs (71145 bytes/sec)
Quá trình nạp thành công, file IOS image được lưu vào chương trình chứa TFTP server
Bạn đã thực hiện xong việc nạp IOS từ Flash vào TFTP server, sau đây bạn thực hiện
lại việc nạp một IOS có sẵn từ TFTP server vào lại flash của một Router.
Các bước thực hiện: Bạn cấu hình Router và Host như trên.chạy chương trình
TFTP từ PC.
Giả sử bạn có 2 file IOS có sẵn trong TFTP server

File IOS Image c2500-i-l.121-26.bin có dung lượng 7,85 MB.

File IOS Image c2500-jk80os-l.122-1d.bin có dung lượng 16MB
9 Bạn thực hiện kiểm tra Flash:
vsic#show flash
1 8039140 /c2500-i-l.121-26.bin
Nhận xét : Bộ nhớ Flash của bạn có dung lượng là 8 MB, bạn có thể lưu file IOS image
c2500-i-l.121-26.bin vào Flash
9 Thực hiên quá trình copy flash
vsic#copy tftp flash
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
---- ******** ----
Proceed? [confirm] xác nhận việc copy
Address or name of remote host []? 192.168.14.2 tên hay địa chỉ nơi lưu
Flash (TFTP Server)
Source filename []? c2500-i-l.121-26.bin Tên file nguồn

Destination filename [c2500-i-l.121-26.bin]? Tên file đích

%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
Accessing tftp://192.168.14.2/c2500-i-l.121-26.bin...
Erase flash: before copying? [confirm]
00:09:43: %SYS-5-RELOAD: Reload requested

%SYS-4-CONFIG_NEWER: Configurations from version 12.1 may not be correctly
under
stood.
%FLH: c2500-i-l.121-26.bin from 192.168.14.2 to flash ...

1 8039140 /c2500-i-l.121-26.bin
Accessing file 'c2500-i-l.121-26.bin' on 192.168.14.2...
Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): ! [OK]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased quá trình xóa flash

Loading c2500-i-l.121-26.bin from 192.168.14.2 (via Ethernet0): !!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! quá trình nạp Flash
[OK - 8039140/8388608 bytes]
Verifying checksum... OK (0x9693)

Flash copy took 0:03:57 [hh:mm:ss]
%FLH: Re-booting system after download
F3: 7915484+123624+619980 at 0x3000060
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706

(fc1)


Bridging software.
Press RETURN to get started!
Sau khi nạp Flash hoàn thành, Router sẽ reset lại để thay đổi Flash mới, lúc này IOS
trong Flash sẽ là file IOS bạn vừa copy vào.
9 Quá trình nạp Flash trong TFTP server
Lưu ý : là trong cả quá trình copy flash từ TFTP server vào Router hay từ Router vào TFTP
server bạn đều phải chạy chương trình TFTP server trên PC.
4. Cấu hình sử dụng Dynagen( dành cho SV tự thực hành)
Chạy file Dynamips Server, sau đó open file lab6tftp1.net bằng wordpad để xem mô
hình kết nối giữa các router trong bài thực hành.

# Simple lab
[localhost]
[[3640]]
ram=96
[[ROUTER VSIC1]]
model=3640

Ta chú ý dòng F0/0 = NIO_gen_eth:\Device\NPF_{3E56FAD7-7D96-4763-AD9E-

6232CA66410B} trong file lab6tftp1.net. Để router có thể kết nối vào được với PC hiện
hành, chúng ta cần thay đổi thông số ở đây. Chạy file network device list trên Desktop để xác
định card mạng của PC nối vào.
Bây giờ chúng ta bắt đầu thực hành. Ta không thể copy OS từ router 3600 Series được
do router 3600 series chạy từ RAM và flash mặc định là trống( IOS không chứa trong flash
của Router). Để thực hành làm việc với TFTP ta chép 1 file từ Server vào trong flash vào
chép ngược lại từ flash router vào TFTP Server.
Trước tiên ta test kết nối giữa PC và Router

Bật TFTP Server tại PC
Copy file cbin vào flash Router.

Copy file cbin từ router ngược lại PC.( ta đổi tên file thành hao.bin để khỏi bị trùng
file tại TFTP)
Vậy ta đã thực hành copy file giữa TFTP Server và Router.

BÀI 7: NẠP IOS IMAGE CHO 2 ROUTER CHẠY TỪ FLASH

Bài thực hành này gíup bạn thực hiện việc nạp IOS image từ Flash của Router này sang
Router kia.
Hai router được nối với nhau bằng cáp serial. Địa chỉ các interface được ghi trên hình.
Bạn cấu hình cho 2 Router như sau:
Vsic1#sh run

!
version 12.1
!
hostname Vsic1
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 10.0.0.1 255.0.0.0
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0

line aux 0
line vty 0 4
!
end
Vsic2#sh run

!
version 12.1
!
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 10.0.0.2 255.0.0.0
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Chúng ta kiểm tra flash của hai router :

Vsic1#sh flash
1 8038440 /c2500-i-l.121-25.bin //T ên File IOS Image//
8192K bytes of processor board System flash (Read ONLY) //8MB flash//

Vsic2#sh flash
1 8039140 c2500-i-l.121-26.bin
Để thực hiện việc copy IOS image từ Router Vsic1 sang Router Vsic2, bạn phải mở
chế độ TFTP server cho Router Vsic1.
Vsic1(config)#tftp-server flash:
Vsic1(config)#tftp-server flash:c2500-i-l.121-26.bin
Vsic1(config)#^Z
Bạn thực hiện việc Copy IOS từ Router Vsic2

Vsic2#copy tftp flash:
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
---- ******** ----
Proceed? [confirm]
Address or name of remote host []? 10.0.0.1 Địa chỉ Router Vsic1(Serial0)
Source filename []? c2500-i-l.121-26.bin Tên file IOS image
Destination filename [c2500-i-l.121-26.bin]? Tên File đích trong Router Vsic2
Accessing tftp://10.0.0.1/c2500-i-l.121-26.bin...
Erase flash: before copying? [confirm] Xác nhận việc copy

%SYS-4-CONFIG_NEWER: Configurations from version 12.1 may not be correctly
understood.
%FLH: c2500-i-l.121-26.bin from 10.0.0.1 to flash ...

1 8038440 /c2500-i-l.121-25.bin
Accessing file 'c2500-i-l.121-26.bin' on 10.0.0.1...
Loading c2500-i-l.121-26.bin from 10.0.0.1 (via Serial0): ! [OK]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Quá trình xoá Flash

Loading c2500-i-l.121-26.bin from 10.0.0.1 (via Serial0): Quá trình nạp IOS
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 8039140/8388608 bytes]
Verifying checksum... OK (0x9693)

Flash copy took 0:22:28 [hh:mm:ss]
%FLH: Re-booting system after download
F3: 7915484+123624+619980 at 0x3000060
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706

(fc1)

Bridging software.
Press RETURN to get started! Router sẽ reset lại sau khi nạp IOS mới
00:00:05: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up

00:00:05: %LINK-3-UPDOWN: Interface Serial0, changed state to up
00:00:06: %LINK-3-UPDOWN: Interface Serial1, changed state to down
00:00:07: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed
state to up
00:00:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0,
changed state to down

00:00:16: %LINK-5-CHANGED: Interface Ethernet0, changed state to

administratively down
00:00:16: %SYS-5-CONFIG_I: Configured from memory by console
00:00:20: %LINK-5-CHANGED: Interface Serial1, changed state to administratively
down
state to up
state to down
00:01:00: %SYS-5-RESTART: System restarted --
(fc1)
Vsic2>
Bạn có thể kiểm tra Flash lại bằng lệnh show flash
Vsic2>sh flash
1 8039140 /c2500-i-l.121-26.bin
Lưu ý: Vì ở đây bạn sử dụng 2 Router có bộ nhớ Flash bằng nhau nên bắt buột bạn phải thực
hiện việc xóa Flash cũ trong quá trình thực hiện copy Flash mới, nhưng trong trường hợp bạn
sử dụng các loại Router có bộ nhớ Flash lớn, còn đủ bộ nhớ để lưu thêm IOS image (bạn
dùng lệnh Show Flash hay Show version để kiểm tra) thì bạn không cần phải xóa Flash, điều
này có nghĩa là bạn có thể lưu 2, 3 hay nhiều IOS trên Flash tùy thuộc vào khả năng lưu trữ
của Flash.Lúc này bạn phải khai báo cho Router biết phải dùng IOS Image nào để khởi động,
bạn dùng lệnh Boot System flash trong mode config để thực hiện quá trình khai báo này .

BÀI 8:NẠP IOS CHO SWITCH

1. Giới thiệu chung về switch 2950 :
Hình ảnh mặt trước của switch 2950
Nhìn vào hình bạn có thể thấy switch có 12 port FastEtheret.

Hệ thống lưu trữ tập tin của switch 2950:
NVRAM lưu startup-config.
Flash lưu các tập tin : IOS image(thường có phần mở rộng là .bin), vlan.dat(chứa các
cấu hình của các VLAN), config.text,private-config.text.
RAM chứa running-config.
Quá trình khởi động sẽ load tập tin config.text vào startup-config chứa trong
NVRAM. Nếu xoá tập tin config.text, sau khi khởi động lại sẽ mất hết tất cả các cấu hình.
2. Mục đích bài lab:

IOS image giống như là hệ điều hành đối với một máy tính bình thường. Theo thời gian,
thì IOS image sẽ có những phiên bản mới hơn so với phiên bản đang có trong switch. Các
phiên bản mới hơn được đưa ra nhằm: sửa những lỗi có thể mắc phải trong phiên bản trước,
cung cấp những tính năng mới cho các protocol đã có , hoặc là cập nhật những protocol mới.
Vì vậy, bạn cần cập nhật phiên bản mới cho các switch của bạn để nó hoạt động tốt và có thể
tương thích với những switch mới sẽ được thêm vào mạng sau này.
PC nối với Switch 2950 bằng một đường cáp thẳng và một cáp console. PC và siwtch được có
địa chỉ IP như trên hình.
BƯỚC 1 :

Dùng cáp console kết nối máy tính với cổng console của switch. Cắm nguồn cho
switch, dùng chương trình Hyperterminal của hệ điều hành windows cung cấp để kết nối đến
switch, kết nối này sẽ giúp chúng ta thực hiện các cấu hình cơ bản cho switch. Bạn phải thiết
lập cấu hình cho kết nối là default. Dùng cáp thẳng, nối card mạng của máy tính với 1 cổng
FastEthernet ở mặt trước của switch để phục vụ cho bài lab cập nhật IOS cho switch.
Xoá cấu hình hiện tại trên máy

Switch>enable
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [con
firm]y
Erase of nvram: complete
Switch#
00:04:57: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
Switch#
Xóa cấu hình vlan cũ:
Switch#delete vlan.dat
Switch#reload
Proceed with reload? [confirm]y
--output omitted—
Would you like to enter the initial configuration dialog? [yes/no]:n
--output omitted—
BƯỚC 2 : Xem cấu hình mặc định của switch
Switch>
Switch>en
Switch#show running-config
--output omitted—
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
line con 0
line vty 5 15
!
--output omitted—
BƯỚC 3 : Bước này thực hiện các cấu hình ban đầu và kiểm tra lại các cấu hình này
đã đúng chưa.
Trước tiên bạn phải cấu hình switch name, enable password, privileged password,
console password, và virtual terminal password. Cũng gần giống các lệnh trong
router.
Switch#configure terminal
Switch(config)#hostname vsic
Vsic(config)#enable password cisco

Vsic(config)#enable secret class

Vsic(config)#line con 0
Vsic(config-line)#password vsic
Vsic(config-line)#login
Vsic(config-line)#line vty 0 15
Vsic(config-line)#password cert
Vsic(config-line)#login
Vsic(config-line)#^Z
Vsic#
00:08:11: %SYS-5-CONFIG_I: Configured from console by console
Vsic#
Để thực hiện được bài lab này bạn phải cấp phát địa chỉ IP cho VLAN 1 để có
thể kết nối thành công với server, và cũng phải cấu hình default-gateway (bạn nên tập
thói quen cấu hình default-gateway mỗi khi cấu hình).
Vsic#configure terminal
Vsic(config)#interface vlan 1
Vsic(config-if)#ip address 10.1.1.251 255.255.255.0
Vsic(config-if)#no shutdown
Vsic(config-if)#
00:17:48: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
Vsic(config-if)#
Cần đảm bảo địa chỉ IP cấp phát cho VLAN là địa chỉ hợp lệ (nghĩa là nó thuộc về
subnet cấp phát cho VLAN đó)
Theo mặc định, tất cả các port đều thuộc về VLAN 1. Do đó, tất cả các thiết bị ở bất
cứ port nào cũng đều phải thuộc về cùng 1 subnet đã cấp phát cho VLAN 1 ở trên. Bạn cấu
hình cho máy tính của bạn địa chỉ IP và subnet mask như sau: 10.1.1.10 255.255.255.0
Kiểm tra lại kết nối có thành công hay không bằng cách gõ lệnh sau trên PC:
C:\>ping 10.1.1.251
Lưu ý : Nếu ping không thành công, có thể phải chờ vài phút để switch cập nhật lại
cấu hình, rồi ping lại. Nếu vẫn không thành công phải kiểm tra lại xem đã thực hiện đúng các
bước cấu hình như ở trên chưa.
Bây giờ bạn đã có thể đứng ở máy tính truy cập trên switch thông qua telnet hoặc là web
browser. Thực hiện telnet từ máy tính đến switch dùng địa chỉ IP của VLAN1 10.1.1.251,
nhập vào mật mã là : cert khi được hỏi. Hoặc mở ra một web browser , nhập vào địa chỉ IP
10.1.1.251, nhập vào tên user là vsic, phải nhập mật mã là class.
BƯỚC 4 :Xem sơ qua các tập tin hệ thống trên switch bằng lệnh sau:
vsic#show file systems

File Systems:
Size(b) Free(b) Type Flags Prefixes
* 7741440 3171840 flash rw flash:
- - opaque ro bs:
32768 31806 nvram rw nvram:
- - opaque rw null:
- - opaque rw system:

- - network rw tftp:
- - opaque ro xmodem:
- - opaque ro ymodem:
- - network rw rcp:
- - network rw ftp:
- - opaque ro cns:
vsic#
Trong số các tập tin trên switch được lưu lại cần chú ý : System Image (tập tin IOS
nằm trên vùng nhớ flash), tập tin cấu hình lúc startup nằm trên NVRAM của vùng nhớ flash.
Hệ điều hành của switch được load trên DRAM
Xem thông tin về các tập tin hệ thống của switch. Để biết được version hiện tại của
IOS gõ lệnh sau:
vsic#show version
OS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA2, RELEASE
SOFTWARE
(fc1)
--output omitted--
vsic#dir
Directory of flash:/
2 -rwx 109 Mar 01 1993 00:20:34 +00:00 info

4 drwx 3968 Mar 01 1993 00:23:20 +00:00 html
5 -rwx 3086328 Mar 01 1993 00:22:37 +00:00 c2950-i6q4l2-mz.121-22.EA2
.bin
338 -rwx 109 Mar 01 1993 00:23:56 +00:00 info.ver
340 -rwx 283 Jan 01 1970 00:00:48 +00:00 env_vars
7741440 bytes total (3173376 bytes free)

vsic#
BƯỚC 5 : Thực hiện sao chép IOS image giữa tftp server và switch.
a. Chép file IOS image từ switch lên tftp server (upload)
b. Chép file IOS image từ tftp server về lại switch (download)
Cú pháp căn bản của lệnh chép tập tin của switch: copy from “source” to “dest”. Để
biết thêm chi tiết của lệnh copy có thể sử dụng help của CLI như cách sau:
vsic#copy ?
/erase Erase destination file system.
/noverify Disable automatic image verification after copy
bs: Copy from bs: file system
cns: Copy from cns: file system
flash: Copy from flash: file system
ftp: Copy from ftp: file system
null: Copy from null: file system
nvram: Copy from nvram: file system
rcp: Copy from rcp: file system

running-config Copy from current system configuration

startup-config Copy from startup configuration
system: Copy from system: file system
tftp: Copy from tftp: file system
xmodem: Copy from xmodem: file system
ymodem: Copy from ymodem: file system
vsic#copy
Upload tập tin IOS lên tftp server

vsic#copy flash:c2950-i6q4l2-mz.121-22.EA2.bin tftp
Address or name of remote host []? 10.1.1.10
Destination filename [c2950-i6q4l2-mz.121-22.EA2.bin]? c2950-i6q4l2-mz.121-
22.EA2.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!--output omitted--
vsic#
Download IOS image từ TFTP server vào Flash của switch, vì bạn sẽ down load về
tập tin vừa mới upload lên , dẫn đến bị trùng tên cho nên bạn sẽ được hỏi là có ghi đè lên hay
không, bạn phải trả lời là yes:
vsic#copy tftp flash:
Address or name of remote host []? 10.1.1.10
Source filename []? c2950-i6q4l2-mz.121-22.EA2.bin
Destination filename [c2950-i6q4l2-mz.121-22.EA2.bin]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]y
Accessing tftp://10.1.1.10/c2950-i6q4l2-mz.121-22.EA2.bin...
Loading c2950-i6q4l2-mz.121-22.EA2.bin from 10.1.1.10 (via Vlan1): !!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
--output omitted--
[OK - 3086328 bytes]
BƯỚC 6 : Lưu lại các cấu hình :

vsic#copy running-config startup-config
MỞ RỘNG :
Bạn nên thử thiết lập kết nối 2 switch với nhau, cấu hình để 1 switch làm tftp server , còn
switch kia phải cập nhật lại IOS image của mình từ switch.

Phần 2 :LAN
BÀI 9: CẤU HÌNH VLAN TRÊN SWITCH 2950
1. Giới thiệu chung về VLAN:
Trước đây, các switch chỉ có chức năng ngăn cách các broadcast domain, cho nên có thể
xem các thiết bị được cắm trên cùng một switch là một LAN network. Điều đó dẫn đến hạn
chế không gian vật lý của 1 LAN chỉ có thể ở trong 1 căn phòng hoặc cùng lắm là toà nhà.
Với chức năng phân chia VLAN bạn có thể cấp một số port của switch cho VLAN A, và các
port khác cho VLAN B… Mỗi VLAN là một broadcast domain và 2 thiết bị trên 2 VLAN
khác nhau không thể liên lạc được nếu không có thiết bị lớp 3 kết nối 2 VLAN lại với nhau.
VLAN đem lại sự thuậ lợi trong việc chia nhóm làm việc vì 1 VLAN có thể nằm ở nhiều
switch khác nhau, miễn là các switch có kết nối với nhau.
Các thiết bị cần có: 1 switch 2950, 2 PC, 2 cáp thẳng , 1 cáp console
BƯỚC 1
Thiết lập các kết nối giống như trong hình.
Xoá cấu hình hiện tại trên switch 2950 : xoá startup-config, và vlan.dat
Switch>enable
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]y
Erase of nvram: complete
Switch#
00:04:57: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
Switch#
Xóa cấu hình vlan cũ:

Switch#delete vlan.dat
Switch#reload
Proceed with reload? [confirm]y

--output omitted—
Would you like to enter the initial configuration dialog? [yes/no]:n
--output omitted—
BƯỚC 2 : Xem qua cấu hình mặc định của switch:
Switch>
Switch>enable
Switch#show running-config
--output omitted—
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
!
line con 0
line vty 5 15
!
--output omitted—
Thực hiện các bước cấu hình cơ bản:
Switch#configure terminal
Switch(config)#hostname vsic
vsic(config)#enable password cisco
vsic(config)#enable secret class
vsic(config)#line con 0
vsic(config-line)#password vsic
vsic(config-line)#login
vsic(config-line)#line vty 0 15
vsic(config-line)#password cert
vsic(config-line)#login
vsic(config-line)#^Z
vsic#
Xem trạng thái các vlan mặc định có trong switch

vsic#show vlan
VLAN Name Status Ports

---- -------------------------------- -------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12

1002 fddi-default act/unsup
--output omitted—
BƯỚC 3 :
Các VLAN có thể được tạo ra bằng 1 trong 2 cách. Cách 1 là cấp phát 1 port vào một
vlan chưa tồn tại. Switch sẽ tự động tạo vlan cho port đã được cấp. Cách khác là tạo các vlan
trước, sau đó mới cấp phát port cho nó sau.
2950 switch có lệnh range cho phép việc cấu hình nhiều port (liên tục, hoặc không liên
tục) cho 1 số chức năng nào đó. Giả sử như bạn phải cấu hình nhiều lệnh giống nhau cho
nhiều port thì có thể dùng từ khóa range để cấu hình 1 lần cho nhiều port.
Theo mặc định, VLAN 1 đã có sẵn và được gọi là management vlan, tất cả các port đã
nằm sẵn trong VLAN 1. Do đó không cần thiết phải cấp phát port cho vlan 1. Bạn sẽ dùng
lệnh range để cấp phát port 5 đến 8 cho vlan 10 theo cách tạo vlan thứ nhất. Sau đó, tạo
VLAN 20 theo cách thứ 2, cấp phát 1 port số 9 cho vlan 20, rồi cấp phát port 10, 12 cho vlan
20 để bạn thấy được lệnh range có thể sử dụng cho các port không liên tục.
vsic#configure terminal
vsic(config)#interface range fast 0/5 -8
vsic(config-if-range)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
vsic(config-if-range)#no shut
vsic(config-if-range)#^Z
Gõ lệnh show vlan để xem vlan 10 vừa mới tạo ra được hiển thị cụ thể trong output.
vsic#show vlan
---- -------------------------------- -------- -------------------------------
Fa0/9, Fa0/10, Fa0/11, Fa0/12
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
--output omitted--
Tạo VLAN 20 theo cách 2, và cấp phát port dùng lệnh range theo kiểu không liên tục.
vsic#vlan database
vsic(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
vsic(vlan)#exit
APPLY completed.
Exiting....
vsic#configure terminal
vsic(config)#interface fast 0/9
vsic(config-if)#switchport access vlan 20
vsic(config-if)#exit
vsic(config)#interface range fast 0/9 - 12
vsic(config-if-range)#switchport access vlan 20

vsic(config-if-range)#exit
vsic(config)#
Xem lại các cấu hình mới nhập vào bằng lệnh : show vlan
vsic#show vlan

---- -------------------------- ------- -------------------------------
20 VLAN0020 active Fa0/9, Fa0/10,Fa0/11,Fa0/12
--output omitted—
vsic#vlan database
vsic(vlan)#vlan 20 name accounting
VLAN 20 modified:
Name: accounting
vsic(vlan)#exit
APPLY completed.
Exiting....
Xem tên của vlan 20 bây giờ đã được đổi thành accouting chứ không còn là tên mặc
định: VLAN0020 như trước đây.
vsic#show vlan

---- ----------------- -------- --------------------------------------
Fa0/11
20 accounting active Fa0/9, Fa0/10, Fa0/11Fa0/12
--output omitted--
Bây giờ bạn đổi tên VLAN 10 thành engineering nhưng sau đó nhập vào lệnh abort,
tên của VLAN 10 vẫn không thay đổi, vì nó không được lưu lại. Lệnh abort sẽ huỷ tất cả cấu
hình trong phiên làm đăng nhập vào vlan database hiện hành.
vsic#vlan database
vsic(vlan)#vlan 10 name engineering
VLAN 10 modified:
Name: enginerring
vsic(vlan)#abort
Aborting....
vsic#
vsic#show vlan


---- -------------------------------- --------- -------------------------------
Fa0/11
20 accounting active Fa0/9, Fa0/10, Fa0/12
--output omitted—
BƯỚC 4 : Nhập vào địa chỉ IP cho các VLAN interface

vsic(config)#interface vlan 1
vsic(config-if)#ip address 192.168.1.1 255.255.255.0
vsic(config-if)#no shut
vsic(config-if)#interface vlan 10
vsic(config-if)#interface vlan 20
Kiểm tra lại các địa chỉ IP đã nhập vào bằng lệnh sau:
vsic#show run
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
shutdown
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
no ip route-cache
shutdown
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
no ip route-cache
!
Lưu ý : chỉ có một vlan interface được phép up vào bất cứ lúc nào. Chẳng hạn interface vlan
20 đang up, nếu bạn gõ lệnh no shut cho interface vlan 10 thì interface vlan 20 tự động down.
BƯỚC 5 : Để kiểm tra hoạt động của các VLAN , bạn có thể làm như sau:
a) Cấu hình cho PC 1 địa chỉ IP : 192.168.1.2 255.255.255.0. Dùng cáp thẳng nối card
mạng của PC1 với port 1 của switch. Đứng từ PC 1 bạn gõ lệnh: ping 192.168.1.1. Lệnh ping
phải thành công. Nếu không, bạn phải kiểm tra lại toàn bộ cấu hình.
b) PC2 được cắm vào port 5 của SW, ta cấu hình địa chỉ IP của PC2 192.168.10.2. Ta sử
dụng lệnh “ ping 192.168.10.1” để xác nhận PC2 đã nằm trong VLAN 10. Ta thử sử dụng

PC1 ping PC2, ta thấy sẽ không thành công, do 2 PC bây giờ đã khác vùng broadcast và các
vùng này không được nối với nhau. Tiếp theo ta cắm PC1 vào port 6 của Switch, ta sử dụng
lệnh “ ping 192.168.10.2 “ nhưng vẫn không thấy được PC2 do PC1 và PC2 không thuộc
chung 1 mạng( 192.168.1.0 và 192.168.10.0). Ta sửa địa chỉ của PC thành 192.168.10.3(
chung mạng với PC2), lúc này ping sẽ thành công.
4. Tự thực hành bằng Boson Netsim( dành cho SV thực hành thêm ở nhà)
Chạy phần mềm Boson Netsim và chọn FileÆLoad NetmapÆChọn file lab9vlan.top.
Sau khi open file này chúng ta đang thực hành với đồ hình như sau:
Click vào eSwitch hiển thị trên phần mềm và bắt đầu cấu hình SW giống như bài thực
hành trên. Trong đồ hình trên ta thấy PC1 thuộc VLAN1 và PC2,PC3 thuộc Vlan10. PC1 ping
thấy int vlan1 nhưng không ping thấy PC2,PC3. Trong khi đó PC2,PC3 có thể ping thấy nhau.

Muốn cấu hình IP cho PC1,2,3 ta click và eStation và chọn PC mình muốn cấu hình.
Gõ lệnh winipcfg để cấu hình IP.

Ta thử ping vào int vlan1

Ta thấy PC2(192.168.10.2) và PC3 (192.168.10.3)đều thuộc Vlan 10 nên sẽ ping thấy

nhau.

PC1( 192.168.1.2) và PC2( 192.168.10.2) sẽ không ping thấy nhau vì khác Vlan.

BÀI 10: CẤU HÌNH VLAN TRUNK

1. Giới thiệu :
Trunk là một đường vật lý đồng thời của là một đường logic cho phép vlan trên hai
switch khác nhau trao đổi thông tin được với nhau. Thay vì vlan trên hai switch muốn trao đổi
thông tin với nhau chúng ta phải nối một port thuộc vlan đó trên switch này với một port cũng
thuộc vlan đó trên switch còn lại
thì trunk cho phép thực hiện điều đó chỉ bằng một đường vật lý. Trunk tạo ra nhiều đường kết
nối vlan ảo trên một đường vật lý. Từ đó vlan trên các switch khác có thể liên lạc được với
nhau.
Trunk có hai loại đóng gói là : dot1q và isl. Dot1q sử dụng các frame tagging để truyền dữ
liệu của vlan giữa hai switch khác nhau. Còn ISL sẽ đóng gói ethernet frame bằng các gắn vào
đầu fram giá trị VLAN ID.
Hai switch được nối với nhau bằng cáp chéo và được cấu hình cùng VTP domain.
3. Cấu hình cho các switch :

Trước tiên để khỏi bị ảnh hưởng giữa các Switch với nhau( tự động trunking), ta chưa
cắm cáp đường Trunk( fa0/1 của các Switch) hay shut down port trunk
VSIC1#conf t

VSIC1(config)# int fa0/1

VSIC1(config-if)#shut
Chúng ta tạo vlan2, vlan4, vlan6 cho VSIC1; vlan3, vlan5, vlan7 cho VSIC2 và cấu
hình cho hai switch trong cùng một VTP domain.
VSIC1#vlan database
VSIC1(vlan)#vlan 2 name vlan2 Tạo vlan2 cho switch VSIC1
VSIC1(vlan)#vlan 4 name vlan4
VSIC1(vlan)#vtp domain name VSIC Cấu hình cho VSIC1 thuộc
VTP domain VSIC
VSIC1(vlan)#apply
VSIC2#vlan database
VSIC2(vlan)#vtp domain name VSIC
VSIC2(vlan)#apply
Sau khi cấu hình Vlan xong chúng ta kiểm tra lại các vlan của VSIC1 và VSIC2 bằng câu
lệnh show vlan.
VSIC1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
VSIC2#sh vlan
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5,
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Switch VSIC1 đã được tạo vlan2, vlan4, vlan6; switch VSIC2 có vlan3, vlan5, vlan6.
Đối với SW 2950 chúng ta không cần phải chỉ ra cách đóng gói vì chỉ hổ trợ cách đóng gói
dot1q.Bây giờ chúng ta sẽ cấu hình đường trunk cho hai switch bằng cách :
(Chúng ta chưa nối hai port fa0/1 của hai switch lại với nhau)

Đối với VSIC1 là Switch 2950

VSIC1#conf t
VSIC1(config)#in fa0/1
VSIC1(config-if)#switchport mode trunk Cấu hình cho port Fa0/1 là trunk
Đối với VSIC2 là SW 2900XL( hay 3550)

VSIC2#conf t
VSIC2(config)#in fa0/1
VSIC2(config-if)#switchport mode trunk
VSIC2(config-if)#switchport trunk encapsulation dot1q ← sử dụng giao thức
đóng gói dot1q cho đường trunk
Lưu ý : do switch 2950 chỉ hổ trợ dot1q nên chúng ta phải cấu hình cho switch VSIC2 (2900)
sử dụng cùng giao thức đóng gói là dot1q. Không cấu hình ISL cho switch VSIC2.
Bây giờ chúng ta sử dụng câu lệnh show vtp status để kiểm tra VTP :
VSIC1# sh vtp status
VTP Version :2
Configuration Revision :3
Maximum VLANs supported locally : 64
Number of existing VLANs :8
VTP Operating Mode : Server
VTP Domain Name : VSIC
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xEA 0xB0 0xB8 0x44 0xFF 0x84 0x8D 0xFD
Configuration last modified by 0.0.0.0 at 3-1-93 00:22:49
VSIC2#sh vtp status

VTP Version :2
Number of existing VLANs : 11
MD5 digest : 0xA6 0x13 0x28 0xD8 0x04 0xB8 0xAD 0x14
Chúng ta lưu ý là số configuration revision của VTP switch VSIC1 lớn hơn của VSIC2. Hai
switch có cùng VTP domain name là VSIC và cả hai là VTP server.
Bây giờ chúng ta nối hai port fa0/1 của hai switch lại với nhau và kiểm tra lại các vlan.
VSIC1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12

2 vlan2 active
4 vlan4 active
6 vlan6 active
VSIC2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 vlan2 active
4 vlan4 active
6 vlan6 active
Nhận xét : các vlan trên switch VSIC2 đã bị mất thay vào đó là các vlan của VSIC1. Do
VSIC1 có số configuration revision lớn hơn nên đã ập chồng tất cả vlan của mình lên switch
VSIC2.
Chúng ta có thể tăng số configuration cho switch bằng cách ra vào vlan datatbase và apply
nhiều lần. Cứ mỗi lần chúng ta vào vlan database apply một lần thì số configuration sẽ tăng
lên một lần.
Bây giờ chúng ta sẽ khảo sát nếu hai switch khác VTP domain thì sẽ hoạt động như thế nào.
Chúng ta cấu hình cho switch VSIC1 có VTP domain là VSIC, còn switch VSIC2 là VSIC1.
Do phần trên chúng ta đã cấu hình cho switch VSIC1 đã thuộc VTP domain VSIC và các vlan
của VSIC2 đã bị mất nên bây giờ chúng ta cấu hình VSIC2 thuộc VTP domain VSIC1 và tạo
lại các vlan3, vlan5, vlan7 cho VSIC2. (lưu ý chúng ta nên tháo cáp nối hai port fa0/1 của hai
switch trước khi thực hiện)
VSIC2#vlan database
VSIC2(vlan)#no vlan 2
VSIC2(vlan)#vtp domain name VSIC
VSIC2(vlan)#apply
Bây giờ chúng ta kiểm tra lại số configuration revision của hai switch và các vlan của chúng.
VSIC1#sh vtp status
VTP Version :2
VSIC2#sh vtp status

VTP Version :2

Number of existing VLANs : 11
VTP Domain Name : VSIC1
VSIC1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
VSIC2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Bây giờ chúng ta nối cáp hai port fa0/1 lại. Kiểm tra lại các vlan chúng ta sẽ thấy được là hai
switch không trao thổi thông tin vlan với nhau (switch VSIC1 sẽ không ập vlan lên switch
VSIC2).
VSIC1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 vlan2 active
4 vlan4 active
6 vlan6 active
VSIC2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,

Fa0/18, Fa0/19, Fa0/20, Fa0/21,

Fa0/22, Fa0/23, Fa0/24
3 vlan3 active
5 vlan5 active
7 vlan7 active
Vậy nếu hai switch không cùng một VTP domain thì sẽ không trao đổi thông tin vlan cho
nhau.
4. Cách tự thực hành bằng Boson Netsim

Sử dụng tính năng “ Lab Navigator” của Boson Netsim. Trong phần này có rất nhiều
bài về vlan
Trunk.

Click vào Load lab để vào lab thực hành. Và view lab để xem cấu hình chi tiết


BÀI 11:CẤU HÌNH VTP PASSWORD

1. Giới thiệu :
Trong VTP, nếu như ta nối hai switch cùng VTP domain với nhau, thì các switch sẽ
trao đổi thông tin Vlan với nhau. Nếu switch nào có số Configuration Revision cao hơn sẽ
chuyển hết tất cả các thông tin Vlan của mình cho switch kia. Điều này có mặt lợi cũng như
mặt hại. Trong trường hợp nếu như ta đã thiết lập một mạng với nhiều Vlan đang hoạt động
tốt, khi nâng cấp mạng bằng cách lắp thêm một switch mới vào switch cũ và ta muốn switch
này sẽ lấy những thông tin về các Vlan đã có, nhưng không may switch này có số
Configuration Revision nên đã chuyển hết các thông tin vlan cho switch cũ. Điều này đồng
nghĩa với chúng ta mất tất cả Vlan cũ đang hoạt động (do switch mới chưa có vlan nào). VTP
password giúp chúng ta khắc phục được trường hợp không mong muốn này. Nếu hai switch
cùng một VTP domain nhưng khác VTP password thì sẽ không trao đổi thông tin Vlan với
nhau qua đường trunk.
2. Mô tả bài lab và đồ hình
Chúng ta sẽ cấu hình cho hai switch cùng VTP domain name là Vsic. Switch Vsic1 có các
Vlan là vlan2, vlan4, vlan6. Switch Vsic2 có các vlan3, vlan5, vlan7
3. Cấu hình switch :

Chúng ta cấu hình vlan2, vlan4, vlan6 cho switch Vsic1; vlan3, vlan5, vlan7 cho
switch Vsic2.
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------

Fa0/5, Fa0/6, Fa0/7, Fa0/8,

Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Chúng ta tiến hành cấu hình đường trunk cho hai switch Vsic1 và Vsic2 (không cắm cáp chéo
vào hai port fa0/1 của hai switch)
Vsic1#conf t
Vsic1(config)#in fa0/1
Vsic1(config-if)#switchport mode trunk
Vsic2#conf t
Vsic2(config)#in fa0/1
Vsic2(config-if)#switchport mode trunk
Vsic2(config-if)#switchport trunk encapsulation dot1q ← sử dụng giao thức
đóng gói dot1q cho đường trunk
Lưu ý : switch 2950 sử dụng phương thức đóng gói là dot1q do đó chúng ta phải cấu hình cho
switch Vsic2 (switch 2900) sử dụng giao thức đóng gói này.
Bây giớ chúng ta sẽ xem số Configuration Revision của các switch bằng câu lệnh show vtp
status
Vsic1#sh vtp status
VTP Version :2
VTP Domain Name : Vsic
MD5 digest : 0x0E 0x36 0x79 0x87 0x0C 0x87 0x1E 0x4C
Local updater ID is 0.0.0.0 (no valid interface found)
Vsic2#sh vtp status
VTP Version :2
MD5 digest : 0xAB 0xF7 0xF9 0xCD 0x83 0xEB 0x42 0xE6

Trong trường hợp này số Configuration Revision của Vsic1 lớn hơn của Vsic2 do đó khi ta
nối đường trunk lại thì các vlan của Vsic2 sẽ bị mất và thay vào đó là các vlan của Vsic1.
Bây giờ chúng ta cắm cáp chéo vào hai port fa0/1 của hai switch và kiểm tra lại vlan trên
switch Vsic1 và Vsic2
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Switch đã bị mất các vlan của mình, và thay vào đó là các vlan của switch Vsic1. Trong
trường hợp nếu như số Configuration Revision của Vsic2 lớn hơn Vsic1 thì sẽ xảy ra ngược
lại.
Chúng ta có thể tăng số configuration revision bằng cách vào vlan database apply nhiều lần.
Cứ mỗi lần apply thì số này sẽ tăng lên.
Bây giờ chúng ta tháo cáp thẳng nối hai port fa0/1 của hai switch ra rồi cấu hình vlan lại cho
Vsic1 giống như ban đầu (gồm vlan2, vlan4, vlan6) để khảo sát hoạt động của VTP password.
Sau khi cấu hình vlan cho Vsic1 xong, chúng ta cấu hình VTP password bằng cách :
Vsic1#vlan database
Vsic1(vlan)#vtp password cisco ←Cấu hình VTP password
Vsic1(vlan)#apply
Vsic2#vlan database
Vsic2(vlan)#vtp password cisco1
Vsic2(vlan)#apply
Ở đây chúng ta cố tình cấu hình hai VTP password khác nhau để kiểm tra hoạt động của VTP
khi password khác nhau như thế nào.
Sau khi cấu hình VTP password xong, kiểm tra lại số configuration revision sau đó nối cáp
vào hai port fa0/1 và kiểm tra các vlan của cả hai.
Vsic1#sh vtp status
VTP Version :2

MD5 digest : 0xDC 0x72 0x0C 0xDF 0x21 0x03 0x77 0xE6
Vsic2#sh vtp status

VTP Version :2
MD5 digest : 0xEB 0x3F 0x54 0x2C 0x25 0x7B 0x0D 0x19
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 Vlan2 active
4 Vlan4 active
6 Vlan6 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Mặc dù switch Vsic2 có số configuration revision lớn hơn nhưng các vlan của Vsic1 vẫn
không bị xóa và Vsic1 cũng không biết được các Vlan của Vsic2. Điều này đồng nghĩa với

hai switch không chuyển đổi thông tin vlan cho nhau. Do switch Vsic1 có VTP password là
cisco còn Vsic2 là cisco1.
Bây giờ chúng ta tháo cáp nối hai port fa0/1 của hai switch ra rồi vào switch Vsic2 cấu hình
lại VTP password là cisco.
Sau khi cấu hình lại chúng ta kiểm tra số configuration revision của hai switch
Vsic1#sh vtp status
VTP Version :2
MD5 digest : 0xDC 0x72 0x0C 0xDF 0x21 0x03 0x77 0xE6
Vsic2#sh vtp status
VTP Version :2
MD5 digest : 0xD9 0xBA 0xC8 0x6A 0x7A 0x2C 0x1C 0xE6
Bây giờ chúng ta nối cáp giữa hai port fa0/1, kiểm tra lại vlan của cả hai switch
Vsic1#sh vlan
---- -------------------------------- --------- -------------------------------
1 default active
3 Vlan3 active
5 Vlan5 active
7 Vlan7 active
Vsic2#sh vlan
---- -------------------------------- --------- -------------------------------
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
3 Vlan3 active

5 Vlan5 active
7 Vlan7 active
Các vlan của Vsic1 đã bị mất, thay vào đó là Vsic1 có các Vlan của Vsic2.
Từ các kết quả trên ta có thể thấy tác dụng của VTP password : nếu hai switch cùng VTP
domain nhưng khác password thì sẽ không truyền thông tin vlan cho nhau.

Phần 3 :Routing
BÀI 12: ĐỊNH TUYẾN TĨNH (Static route)
1. Giới thiệu :
Định tuyến (Routing) là 1 quá trình mà Router thực thi và sử để chuyển một gói
tin(Packet) từ một địa chỉ nguồn (soucre)đến một địa chỉ đích(destination) trong mạng.Trong
quá trình này Router phảI dựa vào những thông tin định tuyến để đưa ra những quyết định
nhằm chuyển gói tin đến những địa chỉ đích đã định trước.Có hai loạI định tuyến cơ bản là
Định tuyến tĩnh (Static Route) và Định tuyến động (Dynamic Route)
Định tuyến tĩnh (Static Route) là 1 quá trình định tuyến mà để thực hiện bạn phảI
cấu hình bằng tay(manually) từng địa chỉ đích cụ thể cho Router.
Một dạng mặc định của định tuyến tĩnh là Default Routes, dạng này được sử dụng
cho các mạng cụt (Stub Network)
Định tuyến động (Dynamic Route) đây mà một dạng định tuyến mà khi được cấu
hình ở dạng này, Router sẽ sử dụng những giao thức định tuyến như RIP(Routing Information
Protocol),OSPF(Open Shortest Path Frist),IGRP(Interior Gateway Routing Protocol)… để
thực thi việc định tuyến một cách tự động (Automatically) mà bạn không phải cấu hình trực
tiếp bằng tay.
Đồ hình bài lab như hình, PC nối với router bằng cáp chéo. Hai router nối với nhau bằng cáp
serial. Địa chỉ IP của các interface và PC như hình vẽ.
Bài lab này giúp bạn thực hiện cấu hình định tuyến tĩnh cho 2 router, làm cho 2 router có khả
năng “nhìn thấy “được nhau và cả các mạng con trong nó.
3. Cấu hình Định tuyến tĩnh (Static Route)

Chúng ta cấu hình cho các router và PC như sau :
Router Vsic1
hostname Vsic1
!
!
ip subnet-zero
no ip finger
!
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0

ip address 192.168.0.1 255.255.255.0

!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Router Vsic2
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.1.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
end
Host 1 :
IP 10.0.0.2
Subnetmask: 255.255.255.0
Gateway: 10.0.0.1
Host 2 :
IP: 10.0.1.2

Subnetmask: 255.255.255.0
Gateway:10.0.1.1
Chúng ta tiến hành kiểm tra các kết nối bằng cách :
Ping từ Host1 sang địa chỉ 10.0.0.1
Ping từ Host 1 sang địa chỉ 192.168.0.1
Mở chế độ debug tại Router Vsic2

vsic2#debug ip packet
IP packet debugging is on
Thực hiện lại lệnh ping trên ta thấy

vsic2#
00:33:59: IP: s=10.0.0.2 (Serial0), d=192.168.0.2 (Serial0), len 60, rcvd 3
00:33:59: IP: s=192.168.0.2 (local), d=10.0.0.2, len 60, unroutable


Mở chế độ debug tại Router Vsic1

vsic1#debug ip packet
Thực hiện lại lệnh Ping:

vsic1#
00:36:41: IP: s=10.0.0.2 (Ethernet0), d=10.0.1.1, len 60, unroutable
00:36:41: IP: s=10.0.0.1 (local), d=10.0.0.2 (Ethernet0), len 56, sending
Lệnh Ping ở trường hợp này không thực hiện thành công, ta dùng lệnh debug
ip packet để mở chế độ debug tại 2 Router, ta thấy Router Vsic 2 vẫn nhận được gói packet
từ host1 khi ta ping địa chỉ 192.168.0.2, tuy nhiên do host 1 không liên kết trực tiếp với
Router Vsic 2 nên gói Packet ICMP trả về lệnh ping không có địa chỉ đích,do vậy gói Packet
này bị hủy,điều này dẩn đến lệnh Ping không thành công. Ở trường hợp ta ping từ Host1 sang
địa chỉ 10.0.1.1 gói packet bị mất ngay tại router vsic1 vì Router vsic1 không xác định được
địa chỉ đích cần đến trong bảng định tuyến(địa chỉ này không liên kết trực tiếp với Router
vsic1).Ta so sánh vị trí Unroutable trong kết quả debug packet ở 2 cấu lệnh ping trên để thấy
được sự khác nhau.
Để thực hiện thành công kết nối này,ta phải thực hiện cấu hình Static Route cho Router
Vsic1 và Router Vsic2 như sau:
vsic1(config)#ip route 10.0.1.0 255.255.255.0 s0
vsic1(config)#exit

Bạn thực hiện lệnh Ping từ Host1 sang Host 2
Bạn thực hiện lệnh Ping từ Router Vsic2 sang Host1

vsic2#ping 10.0.0.2
.....
Để thực hiện thành công lệnh Ping này bạn phải thực hiện cấu hình Static route cho Router
vsic 2 như sau
Vsic2(config)#ip route 10.0.0.0 255.255.255.0 s0
Vsic2(config)#^Z
Lúc này từ Host2 bạn có thể Ping thấy các địa chỉ Trên Router Vsic 1 và Host1

Chúng ta kiểm tra bảng định tuyến của các router bằng lệnh show ip route
vsic1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets

C 10.0.0.0 is directly connected, Ethernet0
S 10.0.1.0 is directly connected, Serial0
C 192.168.0.0/24 is directly connected, Serial0
S biểu thị những kết nối thông qua định tuyến tĩnh
C biểu thị những kết nối trực tiếp
Vsic2#show ip route

S 10.0.0.0 is directly connected, Serial0
Thực hiện lệnh Show run tại Router để xem lại cấu hình định tuyến:
vsic1#show run
ip classless

ip route 10.0.1.0 255.255.255.0 Serial0

ip http server
!
end
vsic2#show run
ip classless
ip route 10.0.0.0 255.255.255.0 Serial0
ip http server
!
End
Bạn đã thực hiện thành công việc định tuyến cho 2 Router kết nối được với
nhau cả các mạng con của chúng, bạn cũng có thể mở rộng đồ hình ra thêm với 3, 4 hay 5 hop
để thực hành việc cấu hình định tuyến tĩnh tuy nhiên bạn thấy rõ việc cấu hình này tương đối
rắc rối và dài dòng nhất là đối với môi trường Internet bên ngoài,vì vậy bạn sẽ phải thực hiện
việc cấu hình định tuyến động cho Router ở bài sau.
4. Tự thực hành bằng Dynagen :

Đầu tiên chỉnh file cấu hình lab12static.net để có địa chỉ card mạng phù hợp.
# Simple lab
[localhost]
[[3640]]
ram=96
[[ROUTER VSIC1]]
model=3640
s1/0 = VSIC2 s1/0
F0/0 = NIO_gen_eth:\Device\NPF_{7211A84E-B69B-4DDF-B780-7835124CF83B}
[[router VSIC2]]
model=3640
F0/0 = NIO_gen_eth:\Device\NPF_{7211A84E-B69B-4DDF-B780-7835124CF83B}

Ta được mô hình lab sau:

Ta sử dụng VMware để giả lâp cho PC2. Card mạng VMware được bridge với card
mạng của PC, và fa0/0 của VSIC1, VSIC2. Trong đó VSIC1 và PC1 thuộc LAN thứ nhất,
VSIC2 và PC2 thuộc LAN thứ 2.
Ta có thể thử các kết nối giữa PC1 và Router VSIC1 (đã cấu hình ip fa0/0) bằng cách
sử dụng lệnh ping

Bây giờ ta cấu hình static route giữa các router giống như bài thực hành ở trên. Sau đó
test lại bằng cách ping từ PC1 đến PC2.

BÀI 13: RIP( ROUTING INFORMATION PROTOCOL)

1. Giới thiệu :
RIP (Routing Information Protocol) là một giao thức định tuyến dùng để quảng bá thông
tin về địa chỉ mà mình muốn quảng bá ra bên ngoài và thu thập thông tin để hình thành bảng
định tuyến (Routing Table)cho Router. Đây là loại giao thức Distance Vector sử dụng tiêu chí
chọn đường chủ yếu là dựa vào số hop (hop count) và các địa chỉ mà Rip muốn quảng bá
được gửi đi ở dạng Classful (đối với RIP verion 1) và Classless (đối với RIP version 2).
Vì sử dụng tiêu chí định tuyến là hop count và bị giới hạn ở số hop là 15 nên giao thức này
chỉ được sử dụng trong các mạng nhỏ (dưới 15 hop).
Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ IP
của các interface và PC như trên hình.
Bài thực hành này giúp bạn thực hiện được việc cấu hình cho mạng có thể liên lạc được
với nhau bằng giao thức RIP
3. Cấu hình:
Trước tiên bạn cấu hình cho các thiết bị như sau:
Router Vsic1
Vsic1#show run
!
version 12.2

!
hostname Vsic1
!
!
ip subnet-zero
no ip finger
!
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.1 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End
Router Vsic2
Vsic2#show run

!
version 12.1
!
hostname Vsic2
!
ip subnet-zero

!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.0.2 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
!
End
Host1 :
IP 10.0.0.2
Subnet mask:255.255.255.0
Gateway:10.0.0.1
Host2 :
IP: 11.0.0.2
Gateway:11.0.0.1
Bạn thực hiện việc kiểm tra các kết nối bằng lệnh Ping

Đối với Host 1 bạn không thể Ping thấy địa chỉ 192.168.0.2
Bạn thực hiện việc kiểm tra tương tự ở Host 2
Ping địa chỉ 11.0.0.1

Thực hiện các lệnh Ping từ Router Vsic1:

Vsic1#ping 192.168.0.2
!!!!!
Vsic1#ping 11.0.0.1
.....
Thực hiện các lệnh Ping từ Router Vsic2

Vsic2#ping 192.168.0.1
!!!!!
Vsic2#ping 10.0.0.1
.....
Bạn xem bảng thông tin định tuyến của từng Router (dùng lệnh Show ip route)
Vsic1#show ip route


Vsic2#show ip route

Nhận xét : Bạn thấy rằng thông tin địa chỉ của các mạng mà bạn thực hiện lệnh Ping
không thành công không được lưu trên bảng định tuyến
Bạn thực hiện việc cấu hình RIP cho các Router như sau:
Vsic1(config)#router rip
Vsic1(config-router)#network 192.168.0.0
Vsic1(config-router)#exit
Vsic2(config-router)#exit
Bạn xem lại bảng thông tin định tuyến:

Vsic1#show ip route

R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:00, Serial0

Vsic2#show ip route
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:23, Serial0

Nhận xét : Bạn thấy rằng trên bảng thông tin định tuyến, Router Vsic 1 đã liên kết RIP với
mạng 11.0.0.0/8 qua cổng Serial 0(192.168.0.2) và Router Vsic2 đã liên kết với mạng
10.0.0.0/8 qua cổng Serial 0(192.168.0.1)
Chú ý: Vì Rip gửi điạ chỉ theo dạng classfull nên subnet mask sẽ được sử dụng defaul đối với
các lớp mạng.
Lúc này bạn thực hiện lại lệnh Ping giứa các Router và các Host:
Từ Host1 bạn thực hiện lệnh Ping:

Từ Host 2 bạn thực hiện lệnh Ping:
Bạn thấy rằng các kết nối đã thành công. Đến đây bạn đã hoàn tất việc cấu hình RIP cho
mạng trên có thể trao đổi thông tin với nhau.Nhưng để tìm hiểu rõ hơn về RIP bạn thực
hiện tiếp tục các bước cấu hình như sau:
Bạn giữ nguyên cấu hình của Router Vsic 1 và thay đổi cấu hình của Router Vsic 2 từ RIP
version 1 sang RIP version 2 và kiểm tra :

Vsic2(config-router)#ver 2
Bạn mở chế độ debug trên 2 Router để kiểm tra gói tin:

Vsic1#debug ip packet
Vsic2#debug ip packet
Lúc này bạn thực hiện lệnh Ping từ Host 1 vào các địa chỉ không liên kết trực tiếp với nó đã
được chạy RIP
Vsic2#
Vsic2#
01:55:30: IP: s=10.0.0.2 (Serial0), d=11.0.0.1, len 60, rcvd 4

Những dữ liệu khi bạn mở chế độ debug cho thấy khi bạn thực hiện lệnh Ping từ Host1 đến
các địa chỉ như:192.168.0.2 và 11.0.0.1 gói tin đều nhận được tại điểm đích,tuy nhiên gói tin
trả về tại địa chỉ này đã không tìm được địa chỉ 10.0.0.2(Host1) từ bảng định tuyến của
Router Vsic 2(unroutable) do Router này đã được cấu hình RIP version 2
Vsic2#show ip route
Nhận xét : Mạng 10.0.0.0 không còn tồn tại trong bảng định tuyến
Bạn thực hiện lệnh Ping từ Router Vsic2 sang các địa chỉ của Router Vsic1
vsic2#ping 10.0.0.2
.....
Bạn thực hiện việc kiểm tra bằng lệnh Show ip route
Vsic1#show ip
01:46:50: IP: s=192.168.0.2 (Serial0), d=224.0.0.9, len 52, rcvd 2route

R 11.0.0.0/8 [120/1] via 192.168.0.2, 00:00:05, Serial0
Bạn thấy tuy tại bảng định tuyến của Router Vsic1 vẫn còn lưu lại địa chỉ của mạng 11.0.0.0
nhưng vì Router Vsic2 không tìm thấy địa chỉ của mạng 10.0.0.0 nên gói tin không thực hiện
gửi được. Điều này cho bạn thấy giao thức RIP Version 2 không hổ trợ tương thích ngược cho
giao thức RIP Version 1.
4. Cách thực hành bằng Dynagen

Sử dụng file lab13rip.net và chỉnh sửa file cấu hình sao cho phù hợp với card mạng tại
máy tính hiện hành(giống như bài static route). Ta chú ý RIP là định tuyến tĩnh và có tìm
kiếm các đường đi đến các mạng thông các router khác.
Xác nhận lại sự định tuyến bằng cách ping từ PC1 đến PC2( máy ảo VMware).

Bài 14:Cấu Hình IGRP Timer
1. Mô tả bài lab:
Bài lab sau đây sử dụng lệnh để cấu hình 4 thông số của về timer của IGRP bao gồm
update, invalid,holddown và flus timers). Tùy thuộc vào sơ đồ mạng và băng thông , môi
trường mạng mà chúng ta cấu hình sao cho thông số này phù hợp nhất. Lấy một ví dụ sau đây
nếu sử dụng đường truyền 56Kbps, thì việc tạo ra những gói tin update IGRP trong vòng 90
giây là không hợp lý, vì tốn nhiều tài nguyên băng thông của hệ thống, giải pháp lúc này là
tăng thời gian update lên tuy nhiên làm như vậy sẽ ảnh hưởng đến thời gian hội tụ của hê
thống.
Ngoài thời gian update(update timer) ra, trong IGRP còn có 3 khoảng thời gian khác
là invalid timer, holddown timer và flush timer. Cả 3 khoảng thời gian này phụ thuộc vào thời
gian update timer. Invalid timer, holddown timer có thời gian ít nhất là gấp 3 lần so với thời
gian update, flush timer có thời gian ít nhất bằng tổng thời gian update và thời gian holddown.
Phụ thuộc vào mỗi lần route được cập nhập, invalid timer sẽ được khởi tạo lại, vì nó
xem trong mạng có route nào bị lỗi hay không. Theo cấu hình mặc định, thì nếu như trong
khoảng thời gian 270s mà không thấy thông tin gì về 1 route đang tồn tại thì route đó được
đẩy lên trạng thái holdown, trong thời gian này router vẫn sử dụng route này nhưng không
quản bá route này nữa, ví nó đang đợi thử xem route này có phải là bị tắt thật hay không. Nếu
thời gian expire hểt router sẽ không
Trong hình trên có 3 router gồm VSIC1,VSIC2,VSIC3 được nối với nhau thông qua
cáp Serial. Sinh viên thực hành gán địa và cắm cáp, sau đó sẽ cấu hình giao thức định tuyến
IGRP như trên. Kiểm tra quá trình hoạt động giao thức bằng lệnh show ip route và ping, sau
đó bắt tay vào cấu hình các tham số timer( Cấu hình tại VSIC1 trước và không cấu hình tại
VSIC3,VSIC2) và giám sát quá trình họat động trên các router. Cuối cùng sẽ cấu hình các
router VSIC3,VSIC2 có tham số giống như VSIC1.( thêm vào)
Tham số cấu hình tại VSIC1
Update 5
Invalid 15
Holddown 15
Flush 30
Khi xét các tham số này, việc thực hiện cập nhập sẽ thực hiện quảng bá trong vòng 5s,
và khi thông tin về route không được cập nhập trong vòng 15s thì router sẽ công bố
route đã bị lỗi.( thêm vào).
2. Cấu hình Router:
Cấu hình của router:

VSIC1#show run

!
hostname VSIC1
!
!
ip subnet-zero
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.1.1.1 255.255.255.0
no fair-queue
!
interface Serial1
no ip address
shutdown
!
router igrp 100
network 10.0.0.0
network 192.1.1.0
!
VSIC2#show run

!
hostname VSIC2
!
interface Serial0
ip address 192.1.1.2 255.255.255.0
no fair-queue
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
interface Serial2

ip address 193.1.1.1 255.255.255.0

!
interface Serial3
no ip address
shutdown
!
interface TokenRing0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
isdn x25 static-tei 0
cdapi buffers regular 0
cdapi buffers raw 0
cdapi buffers large 0
!
router igrp 100
network 192.1.1.0
network 193.1.1.0
!
ip classless
ip http server
!
!
!
line con 0
line aux 0
line vty 0 4
!
end
VSIC3#show run

!
hostname VSIC3
!
!
ip subnet-zero
no ip finger
!
interface Loopback0

ip address 152.1.1.1 255.255.255.0

!
interface Serial0
ip address 193.1.1.2 255.255.255.0
no fair-queue
clockrate 64000
!
interface Serial1
no ip address
shutdown
!
router igrp 100
network 152.1.0.0
network 193.1.1.0
!
end
Bây giờ ta cấu hình timer cho VSIC1 với các thông số như trên:
VSIC1#conf t
VSIC1(config)#router igrp 100
VSIC1(config-router)#timer
VSIC1(config-router)#timers basisc 5 15 15 30
Xem kết quả show ip route trên VSIC1, ta thấy lúc có route của 2 VSIC3,VSIC2 lúc lại không
có, nguyên nhân là do quá trình khởi tạo update của VSIC1 nhanh hơn VSIC3,VSIC2
VSIC1#show ip route
I 152.1.0.0/16 [100/91456] via 192.1.1.2, 00:00:03, Serial0

C 10.1.1.0 is directly connected, Loopback0
I 193.1.1.0/24 [100/90956] via 192.1.1.2, 00:00:03, Serial0
VSIC1#show ip route



VSIC1#show ip route
I 152.1.0.0/16 [100/91456] via 192.1.1.2, 00:00:16, Serial0

I 193.1.1.0/24 [100/90956] via 192.1.1.2, 00:00:16, Serial0
Bây giờ ta thiết lập các tham số timer của VSIC3,VSIC2 giống như của VSIC1, và sau đó ta
thấy giao thức hoạt động định tuyến trở lại bình thường.
VSIC3#conf t
VSIC3(config-router)#timer basic
VSIC3(config-router)#timer basic 5 15 15 30
VSIC2#conf t
VSIC2(config-router)#timers basic 5 15 15 30
VSIC3#ping 10.1.1.1

!!!!!


BÀI 15:CẤU HÌNH IGRP LOAD BALANCING

1. Giới thiệu :
Giao thức IGRP cho phép chúng ta chia tải khi có nhiều hơn một route đến cùng một đích.
Tiện ích này giúp chúng ta tạo ra một route dự phòng cho route đang sử dụng.
IGRP cập nhập route vào bảng định tuyến (trong trường hờp có nhiều route đến cùng một
đích) dựa vào nguyên tắc : nếu route nào có metric nhỏ hơn hệ số nhân (của câu lệnh variance
(multiplier)) nhân với metric nhỏ nhất của các đường thì sẽ được cập nhật; ngược lại, nếu lớn
hơn thì sẽ không được cập nhật. Mặc định hệ số nhân này được thiết lập bằng 1 do đó chỉ có
duy nhất một route được cập nhật. (Các tính metric của giao thức IGRP được đề cập ở mục 5)
Để thay đổi hệ số nhân, chúng ta sử dụng lệnh : variance (multiplier)
Đồ hình bài lab như hình trên. Các cổng serial nối với nhau bằng cáp serail, cổng ethernet
nối với nhau bằng cáp chéo. Hai router Vsic1 và Vsic3 được cấu hình thêm interface loopback
0.
3. Mục tiêu của bài lab :
Phải cấu hình sao cho router Vsic1 có 2 route qua mạng 14.1.0.0 của router Vsic3 và
việc truyển dữ liệu qua mạng 14.1.0.0 phải được chia ra trên 2 route đó.
4. Cấu hình router :
Vsic1#sh run
version 12.2
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Ethernet0
ip address 12.1.0.1 255.255.255.0
interface Serial0
ip address 11.1.0.1 255.255.255.0

no fair-queue
clockrate 64000
router igrp 1
network 10.0.0.0
network 11.0.0.0
network 12.0.0.0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Ethernet0
ip address 12.1.0.2 255.255.255.0
interface Serial0
ip address 11.1.0.2 255.255.255.0
interface Serial1
ip address 13.1.0.1 255.255.255.0
router igrp 1
network 11.0.0.0
network 12.0.0.0
network 13.0.0.0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 14.1.0.1 255.255.255.0
interface Serial0
ip address 13.1.0.2 255.255.255.0
clockrate 64000
router igrp 1
network 13.0.0.0
network 14.0.0.0
end
Sau khi cấu hình các router ta kiểm tra bảng định tuyến của router Vsic1 được kết quả :
Vsic1#sh ip route
C 11.1.0.0 is directly connected, Serial0


I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:01:01, Ethernet0
I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:01:01, Ethernet0
Router Vsic1 chỉ biết một đường duy nhất để đến được mạng 13.1.0.0/24 và mạng
14.1.0.0/24 là qua Ethernet0 mặc dù ta thực tế thì có đến hai đường đến các mạng đó (qua S0
và E0). Nguyên nhân là hệ số variance mặc định là 1. Do đó để có được hai đường, ta phải
cấu hình lại hệ số variance như sau :
Vsic1#conf t
Vsic1(config)#router igrp 1
Vsic1(config-router)#variance 2
Kiểm tra lại bảng định tuyến của router Vsic1 :

Vsic1#sh ip route
I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:00:26, Ethernet0
[100/10476] via 11.1.0.2, 00:00:26, Serial0
I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:00:26, Ethernet0
[100/10976] via 11.1.0.2, 00:00:26, Serial0
Trong bảng định tuyến của router Vsic1 đã có được hai đường đến mạng 13.1.0.0/24
và hai đường đến mạng 14.1.0.0/24 (qua S0 và qua E0).
Nguyên nhân là do các route qua S0 của Vsic1 có metric nhỏ hơn variance nhân với metric
nhỏ nhất giữa hai đường. (Tham khảo mục Cách tính metric của giao thức IGRP)
10476 < 8576*2 (= 17152)
10976 < 9076*2 (= 18152)
Bây giờ chúng ta sẽ kiểm tra việc chia tải của Vsic1. Chúng ta nhập lệnh sh ip route
14.1.0.1 để xem route đến host 14.1.0.1 :
Vsic1#sh ip route 14.1.0.1
Routing entry for 14.0.0.0/8
Known via "igrp 1", distance 100, metric 9076
Redistributing via igrp 1
Advertised by igrp 1 (self originated)
Last update from 11.1.0.2 on Serial0, 00:00:02 ago
Routing Descriptor Blocks:
* 12.1.0.2, from 12.1.0.2, 00:00:02 ago, via Ethernet0
Route metric is 9076, traffic share count is 1
Total delay is 26000 microseconds, minimum bandwidth is 1544 Kbit
Reliability 255/255, minimum MTU 1500 bytes
Loading 1/255, Hops 1
11.1.0.2, from 11.1.0.2, 00:00:02 ago, via Serial0


Route đến host 14.1.0.1 có hai đường (được tô đậm) và dấu * đánh dấu route sẽ sử
dụng cho lần gửi dữ liệu kế.
Từ router Vsic1, ta nhập lệnh ping 14.1.0.1
Vsic1#ping 14.1.0.1
!!!!!
Xem lại route đến host 14.1.0.1 bằng lệnh sh ip route 14.1.0.1. Lúc này ta thấy route
thứ hai đã được đánh dấu do router thực hiện việc chia tải qua hai đường đến mạng
14.1.0.0/24
Known via "igrp 1", distance 100, metric 9076
Redistributing via igrp 1
Advertised by igrp 1 (self originated)
Last update from 11.1.0.2 on Serial0, 00:00:17 ago
12.1.0.2, from 12.1.0.2, 00:00:18 ago, via Ethernet0
* 11.1.0.2, from 11.1.0.2, 00:00:17 ago, via Serial0
Bây giờ chúng ta sẽ khảo sát việc cập nhật route vào bảng định tuyến nếu như có
nhiều hơn route đến cùng một đích.
Chúng ta sẽ khảo sát bằng cách thay đổi metric của route qua S0. Cấu hình như sau :
Vsic1#conf t
Vsic1(config)#in s0
Vsic1(config-if)#bandwidth 56 ← Cấu hình bandwidth của S0
bằng 56 kbps
Xem lại bảng định tuyến của router Vsic1 :
Vsic1#sh ip route

I 13.0.0.0/8 [100/8576] via 12.1.0.2, 00:00:03, Ethernet0

I 14.0.0.0/8 [100/9076] via 12.1.0.2, 00:00:03, Ethernet0
Router Vsic1 giờ chỉ còn duy nhất một đường đến mạng 13.1.0.0/24 và một đường đến
mạng 14.1.0.0/24. Do lúc này route đến hai mạng đó qua S0 của Vsic1 có metric lớn hơn
variance nhân với metric nhỏ nhất giữa hai đường.
5. Cách tính metric của giao thức IGRP :
Metric = [K1 * Bandwidth + (K2 * Bandwidth)/(256−load) + K3*Delay] * [K5/(reliability + K4)]
K1 : ứng với Bandwidth K3 : ứng với Delay
Nếu K5 = 0 thì [K5/(reliability + K4)] không dùng trong công thức. Mặc định K1 =
K3 = 1 , K2 = K4 = K5 = 0. Khi đó công thức là :
Metric = Bandwidth + Delay
Xác định Bandwidth trong công thức trên, ta lấy 107 chia cho giá trị bandwidth nhỏ
nhất. Giá trị delay được xác định bằng cách lấy tổng giá trị delay chia 10. Giá trị bandwidth
nhỏ nhất và tổng giá trị delay được tìm thấy trong kết quả của các câu lệnh show ip interface
và show ip route ip address
Ví dụ :
* 12.1.0.2, from 12.1.0.2, 00:00:02 ago, via Ethernet0 (1)
11.1.0.2, from 11.1.0.2, 00:00:02 ago, via Serial0 (2)
Kết quả :
Metric của route (1) = 10000000/1544 + 26000/10 = 9076
Metric của route (2) = 10000000/1544 + 45000/10 = 10976
6. Tự thực hành bằng Dynagen

Ta chạy file lab15eigrpload.net và file lab15igrp.net. Nếu router không hỗ trợ giao
thức định tuyến IGRP nên ta có thể sử dụng giao thức EIGRP để thực hành. Tuy nhiên cách
tính metric của EIGRP bằng cách tính của IGRP*256. Cách cấu hình giao thức EIGRP tương
tự như cấu hình của IGRP.

Sau khi cấu hình xong ta kiểm tra kết quả tại router VSIC1
Giống như trường hợp của IGRP( EIGRP cũng sử dụng hệ số variance là 2) từ VSIC1
đến các mạng 13.0.0.0 và 14.0.0.0 bằng 2 đường qua s1/0 và Fa0/0. Ta kiểm tra lại cách tính
toán của EIGRP bằng lệnh sau:

Cấu hình tham khảo:

VSIC1#show run
interface Loopback0
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 12.0.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/0
ip address 11.0.1.1 255.255.255.0
!
router eigrp 100
variance 2
network 10.0.0.0
network 11.0.0.0
network 12.0.0.0
auto-summary
!
ip http server
no ip http secure-server
ip classless

BÀI 16: DISCONTIGOUS NETWORKS

1. Giới thiệu :
Discontigous network là một hệ thộng mạng có subnets giống như subnet của các
mạng khác , nhiều hệ thống mạng cùng subnet trong Rip thì không thể chạy Rip được.
Đây là lỗi trong Rip nếu cấu hình trùng Subnet trong hệ thông mạng .Vấn đề này được
giải quyết bằng cách cấu hình bằng EIGRP hoặc OSPF .
Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ IP
của các interface được cho trên hình vẽ. Hai router Vsic1, Vsic2 được cấu hình interface
loopback 0, loopback 1( để giả lập mạng ethernet).
Trong sơ đồ ta thấy mạng 12.0.0.0(12.1.2.0 và 12.1.3.0) bị phân cách bởi mạng 11.0.0.0,
trường hợp này ta các mạng bị phân tách từ mạng chính là discontugous network.
Trong bài này ta sử dụng các routing RIP,IGRP , do các giao thức này là classful nên
thông tin được gởi để cập nhập bảng định tuyến sẽ không mang theo subnet mask, chính vì
điều này Router VSIC1 sé không hiểu mạng 12.1.0.0/24 và 12.1.1.0/24 do đã nhận mạng
12.1.2.0/24 và 12.1.3.0/24 dưới dạng kết nối trực tiếp và summary lại thành mạng 12.0.0.0.
Để giải quyết vấn đề này ta có thể sử dụng giao thức EIGRP hay OSPF.
3. Cấu hình :
Chúng ta cấu hình cho các router như sau
Router Vsic1
!
version 12.1
hostname Vsic1
!
interface Loopback0
ip address 12.1.2.1 255.255.255.0
!

interface Loopback1
ip address 12.1.3.1 255.255.255.0
!
interface Serial0
ip address 11.1.0.2 255.255.255.0
!
router rip
network 11.0.0.0
network 12.0.0.0
end
Router Vsic2

!
version 12.1
!
hostname Vsic2
!
interface Loopback0
ip address 12.1.0.1 255.255.255.0
interface Loopback1
ip address 12.1.1.1 255.255.255.0
!
interface Serial0
ip address 11.1.0.1 255.255.255.0
no fair-queue
clockrate 64000
!
router rip
network 11.0.0.0
network 12.0.0.0
!
end
Các địa chỉ 12.1.2.1/24 & 12.13.1/24 thuộc lớp A nên được hiểu là 12.0.0.0 ,cũng
vậy 12.1.0.2/24 cũng được hiểu là 12.0.0.0. Nên chúng sẽ bị trùng lấp dịa chỉ mạng với nhau
và ta có thể thấy rằng router VSIC1 không thể định tuyến đến mạng loopback của router
VSIC2
Chúng ta kiểm tra lại bảng định tuyến của các router bằng câu lệnh show ip route
Vsic2#sh ip route


Vsic1#sh ip route
Vsic1#debug ip rip
RIP event debugging is on
00:20:15: RIP: sending v1 update to 255.255.255.255 via Loopback0 (12.1.2.1)
00:20:15: RIP: Update contains 2 routes
00:20:15: RIP: Update queued
00:20:15: RIP: sending v1 update to 255.255.255.255 via Serial0 (11.1.0.2)
00:20:15: RIP: Update sent via Loopback0
00:20:15: RIP: Update sent via Serial0
00:20:27: RIP: received v1 update from 11.1.0.1 on Serial0
00:20:44: RIP: sending v1 update to 255.255.255.255 via Serial0 (11.1.0.2)
00:20:44: RIP: Update sent via Serial0
Vsic1#un all
All possible debugging has been turned off
Ngay tại Vsic1 ta ping qua địa chỉ 12.1.0.1 của Vsic2 sẽ không thể thấy được vì bản
thân nó cũng thuộc trùng subnet. Đây là hạn chế của giao thức Rip mà chỉ có thể giải quyết
được bằng cách dùng cấu hình OSPF, EIGRP .
Vsic2# ping 12.1.3.1


.....
Vsic1#ping 12.1.1.1
.....
Bây giờ chúng ta sử dụng giao thức định tuyến khác là EIGRP( là giao thức classless)
để có thể định tuyến được.
Trước tiên hãy tắt hoạt động của RIP bằng lệnh “no router RIP”.
Vsic1(config)#no router Rip
Bây giờ chúng ta cấu hình EIGRP
VSIC1(config-router)#net 12.0.0.0
VSIC1(config-router)#no auto-summary Æphải sử dụng lệnh này để EIGRP không tự
summary các mạng con thành mạng 12.0.0.0
VSIC2(config)#router eigrp 100

VSIC2(config-router)#no auto
4. Tự thực hành bằng Dynagen:

Bài thực hành Discontigous network tương đối đơn giản, ta chỉ cần tạo sơ đồ 2 router,
học viên cần thực hành thêm những giao thức RIPv2 và OSPF để hiểu thêm các routing
classless.

Click file lab16dis.net để thực hành. Trước tiên ta thực hành vơi giải pháp sử dụng
EIGRP( tương tự như bài thực hành trên), sau đó học viên thực hành với giao thức RIPv2 và
OSPF.
Đối với cấu hình RIP version 2, ta cấu hình giống như RIP version 1, nhưng chỉ định
thêm lệnh “version 2”. Sau đây là kết quả sử dụng RIPv2 đối với bài lab.

BÀI 17: REDISTRIBUTE GIỮA RIP và IGRP

1. Giới thiệu :
Trong bài lab này, chúng ta sẽ cấu hình để hai mạng - một sử dụng RIP version 1, một
sửng dụng IGRP - liên lạc được với nhau bằng cách phân phối các route qua lại giữa các giao
thức.
RIP version 1 và IGRP cả hai đều là loại DISTANCE VECTOR.
Tuy nhiên hai giao thức này có nhiều điểm khác nhau như :
RIP IGRP
Thời gian Update 30 giây 90 giây
Tính metric dựa vào Hop count Băng thông (bandwidth), độ trễ (delay), độ
tin cậy (reliability), đường tải (load), MTU
Giá trị Infinite-Metric 16 4294967295
2. Các lệnh sử dụng trong bài :
default−metric bandwidth delay reliability loading mtu
Cấu hình giá trị metric cho tất cả các route được phân phối vào IGRP, EIGRP, OSPF,
BGP, EGP
redistribute protocol [process−id] {level−1 | level−1−2 | level−2} [metric
metric−value]
Phân phối các route từ một giao thức vào một giao thức khác
route-map map-tag [permit | deny] [sequence-number]
Định nghĩa điều kiện để phân phối route từ một giao thức vào giao thức khác
match ip address {access-list-number [access-list-number... | access-list-
name...]|access-list-name [access-list-number...| access-list-name] | prefix-list prefix-
list-name [prefix-list-name...]}
Phân phối các route cho phép bởi standard access-list, extended access-list
3. Mô tả bài Lab và đồ hình :

Đồ hình bài lab như hình trên, địa chỉ IP của các cổng được cho trong bảng. Hai router
Vsic1 và Vsic4 được tạo interface Loopback Lo0. Mạng 1 và mạng 2 sử dụng hai giao thức
truyền dẫn khác nhau. Mạng 1 gồm router Vsic1 và Vsic2 sử dụng RIP, mạng 2 gồm router
Vsic4 sử dụng IGRP. Riêng router Vsic3, mạng của cổng S1 sử dụng RIP, mạng của cổng S0
sử dụng IGRP.
4. Mục tiêu của bài lab :

Mục tiêu của bài là tất cả các mạng con của hai mạng 1 và 2 phải liên lạc được với nhau.
5. Cấu hình router : Chúng ta cấu hình cho các router như sau :
Vsic1#sh run
version 12.2
hostname Vsic1
interface Loopback0
ip address 1.1.1.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 64000
router rip
network 1.0.0.0
network 192.168.1.0
End
Vsic2#sh run
version 12.1
hostname Vsic2
interface Serial0
ip address 192.168.1.2 255.255.255.0
interface Serial1
ip address 192.168.2.1 255.255.255.0
router rip
network 192.168.1.0
network 192.168.2.0
End
Vsic3#sh run
version 12.1
hostname Vsic3

interface Serial0
ip address 192.168.3.1 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 192.168.2.2 255.255.255.0
clockrate 64000
router rip
network 192.168.2.0
router igrp 1
network 192.168.3.0
End
Vsic4#sh run
version 12.1
hostname Vsic4
interface Loopback0
ip address 2.2.2.2 255.255.255.0
interface Serial0
ip address 192.168.3.2 255.255.255.0
no fair-queue
router igrp 1
network 2.0.0.0
network 192.168.3.0
End
Sau khi cấu hình như trên, ta đánh lệnh show ip route lần lượt trên bốn router để xem bảng
định tuyến :
Vsic1#sh ip route
R 192.168.2.0/24 [120/1] via 192.168.1.2, 00:00:23, Serial0
Vsic2#sh ip route


R 1.0.0.0/8 [120/1] via 192.168.1.1, 00:00:20, Serial0
Vsic3#sh ip route
R 1.0.0.0/8 [120/2] via 192.168.2.1, 00:00:25, Serial1
I 2.0.0.0/8 [100/8976] via 192.168.3.2, 00:00:08, Serial0
R 192.168.1.0/24 [120/1] via 192.168.2.1, 00:00:25, Serial1
Vsic4#sh ip route
Trong bảng định tuyến của router Vsic1 và Vsic2 chỉ có những route chạy RIP trong
Mạng 1, không có các route chạy IGRP của Mạng 2 (cụ thể là không thấy được các mạng
192.168.3.0 va 2.0.0.0). Tương tự, bảng định tuyến của Vsic4 không có các route chạy RIP
của Mạng 1. Nguyên nhân là giữa router Vsic2 và router Vsic3 chạy RIP; ngược lại giữa
Vsic3 và Vsic4 chạy IGRP.
Để router Vsic4 biết được các route của Mạng 1 (sử dụng giao thức RIP), chúng ta cần
sử dụng lệnh redistribute. Câu lệnh này được dùng để phân phối các route của một giao thức
vào một giao thức khác (ở đây là từ RIP vào IGRP).
Ở router Vsic3, ta phân phối các route của Mạng 1 (sử dụng RIP) vào Mạng 2 (sử dụng IGRP)
như sau :

Vsic3(config-router)#redistribute rip
Vsic4#sh ip route
I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:01:06, Serial0
Nhận xét : router Vsic4 nhận được route của mạng 192.168.2.0 nhưng còn hai mạng
192.168.1.0 và 1.0.0.0 thì không nhận được.Ta nhập lệnh :
Vsic4#debug ip igrp transactions
sau một khoảng thời gian ta nhận được thông báo sau :
00:40:20: IGRP: received update from 192.168.3.1 on Serial0

00:40:20: network 1.0.0.0, metric 4294967295 (inaccessible)
00:40:20: network 192.168.1.0, metric 4294967295 (inaccessible)
00:40:20: network 192.168.2.0, metric 10476 (neighbor 8476)
Mặc dù router Vsic4 nhận được update của hai route 1.0.0.0 và 192.168.1.0 nhưng bị
đánh dấu là inaccessible. Nguyên nhân của lỗi trên là cách tính metric của giao thức RIP và
IGRP khác nhau. Như phần giới thiệu đã đề cập đến, RIP sử dụng hop count để tính metric;
còn IGRP sử dụng băng thông, độ trễ, độ tin cậy, đường tải và MTU để tính metric. Do đó, để
giải quyết lỗi này chúng ta phải cấu hình cách tính metric cho router Vsic3 khi phân phối
route từ RIP sang IGRP.
(Tham khảo phần Cách tính metric của giao thức IGRP trong bài Cấu hình IGRP load
balancing để biết tính metric)
Cisco cung cấp cho ta ba cách thực hiện :
Cách 1 : cấu hình metric cho tất các các route của bất kỳ giao thức nào được phân
phối.
Cấu hình như sau :
Vsic3(config-router)#default-metric 1540 100 255 1 1500
Xem lại bảng định tuyến của router Vsic4 :
Vsic4#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile,


I 1.0.0.0/8 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.1.0/24 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:00:00, Serial0
Nhận xét :
Hai route 1.0.0.0 và 192.168.1.0 đã được update vào bảng định tuyến của
router Vsic4
Metric của cả hai route bằng nhau (8593)
Khuyết điểm của cách cấu hình này là tất cả các route của bất kỳ một giao thức nào được
phân phối đều có giá trị metric bằng nhau không cần biết được route đó gần hay xa. Do đó ta
không có được một giá trị metric chính xác được.
Thực hiện thêm các lệnh sau :
Vsic3(config-router)#no default-metric 1540 100 255 1 1500
Vsic3(config-router)#no redistribute rip
để gở bỏ default-metric và redistribute rip trước khi ta khảo sát cách 2.
Cách 2 : cấu hình metric cho từng giao thức
Cách cấu hình :
Vsic3(config-router)#redistribute rip metric 1540 100 255 1 1500
Kiểm tra lai bảng định tuyến của router Vsic4 ta được kết quả như sau :
Vsic4#sh ip route
I 1.0.0.0/8 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.1.0/24 [100/8593] via 192.168.3.1, 00:00:00, Serial0
I 192.168.2.0/24 [100/10476] via 192.168.3.1, 00:00:00, Serial0
Nhận xét : router Vsic4 vẫn nhận được kết quả như cách 1 nhưng với cách này ta có thể linh
hoạt hơn trong việc cấu hình metric cho từng giao thức cụ thể.
Cách 3 : cấu hình metric cho từng route.

Cách cấu hình :
Tạo access-list 1 cho phép mạng 1.0.0.0, access-list 2 cho phép mạng 192.168.1.0

Vsic3(config)#access-list 1 permit 1.0.0.0

Vsic3(config)#access-list 2 permit 192.168.1.0
Cấu hình một route map có tên là rip_to_igrp cho phép thiết lập bandwidth, delay,
realibility, load và MTU (để tính metric của IGRP) theo các điều kiện sau :
Route thỏa điều kiện của access-list 1 thì các giá trị là “56 100 255 1 1500”
Vsic3(config)#route-map rip_to_igrp 10
Vsic3(config-route-map)#match ip address 1
Vsic3(config-route-map)#set metric 56 100 255 1 1500
Vsic3(config-route-map)#exit
Route thỏa điều kiện của access-list 2 thì các giá trị là “1000 100 255 1 1500”
Vsic3(config-route-map)#match ip address 2
Route không thỏa hai điều kiện trên thì giá trị là “10000 100 255 1 1500”
Sử dụng route map cho tất cả các route được phân phối từ RIP sang IGRP
Vsic3(config-router)#redistribute rip route-map rip_to igrp
Vsic4#sh ip route
I 1.0.0.0/8 [100/180671] via 192.168.3.1, 00:00:17, Serial0
I 192.168.1.0/24 [100/12100] via 192.168.3.1, 00:00:17, Serial0
I 192.168.2.0/24 [100/8576] via 192.168.3.1, 00:00:17, Serial0
Trên đây, ta chỉ phân phối route của RIP vào IGRP. Để router Vsic1 và Vsic2 có được
các route trong Mạng 2, ta cần phải phân phối các route của IGRP vào RIP.
Để phân phối route từ IGRP vào RIP, ta cấu hình như sau :
Vsic3#conf t
Vsic3(config-router)#redistribute igrp 1 metric 2
Kiểm tra bảng định tuyến của router Vsic1 và Vsic2 :
Vsic1#sh ip route


R 2.0.0.0/8 [120/3] via 192.168.1.2, 00:00:04, Serial0
R 192.168.2.0/24 [120/1] via 192.168.1.2, 00:00:05, Serial0
R 192.168.3.0/24 [120/3] via 192.168.1.2, 00:00:05, Serial0
Vsic2#sh ip route
R 1.0.0.0/8 [120/1] via 192.168.1.1, 00:00:25, Serial0
R 2.0.0.0/8 [120/2] via 192.168.2.2, 00:00:19, Serial1
R 192.168.3.0/24 [120/2] via 192.168.2.2, 00:00:19, Serial1
Cả hai router đã cập nhật được các route của Mạng 2 (2.0.0.0 và 192.168.3.0). Lúc này
tất cả các mạng hoàn toàn liên lạc được với nhau.
6. Cách tự thực hành bằng Dynagen:
Chạy file lab17re.net để khởi động các router, ta có thể làm bài tương tự với giao thức
RIP và EIGRP.

Ta có thể hiện bài mở rộng redistribution giữa EIGRP và IGRP với sơ đồ sau đây:
Trong cấu hình Redistribution giữa IGRP và EIGRP nếu như chúng ta cấu hình số AS
của 2 routing này giống nhau thì việc tự động redistributrion sẽ xảy ra, còn nếu AS không
giống nhau ta có thể redistribution bằng cách sử dụng lệnh.
Sau đây là bảng định tuyến khi sử dụng AS giống nhau

Cấu hình redistribution khi EIGRP và IGRP có số AS khác nhau và kết quả tại bảng định
tuyến của router VSIC4.


BÀI 18 :CẤU HÌNH OSPF CƠ BẢN

1. Giới thiệu :
Giao thức OSPF (Open Shortest Path First) thuộc loại link-state routing protocol và được
hổ trợ bởi nhiều nhà sản xuất. OSPF sử dụng thuật toán SPF để tính toán ra đường đi ngắn
nhất cho một route. Giao thức OSPF có thể được sử dụng cho mạng nhỏ cũng như một mạng
lớn. Do các router sử dụng giao thức OSPF sử dụng thuật toán để tính metric cho các route rồi
từ đó xây dựng nên đồ hình của mạng nên tốn rất nhiều bộ nhớ cũng như hoạt động của CPU
router. Nếu như một mạng quá lớn thì việc này diễn ra rất lâu và tốn rất nhiều bộ nhớ. Để
khắc phục tình trạng trên, giao thức OSPF cho phép chia một mạng ra thành nhiều area khác
nhau. Các router trong cùng một area trao đổi thông tin với nhau, không trao đổi với các
router khác vùng. Vì vậy, việc xây dựng đồ hình của router được giảm đi rất nhiều. Các vùng
khác nhau muốn liên kết được với nhau phải nối với area 0 (còn được gọi là backbone) bằng
một router biên.
Các router chạy giao thức OSPF giữ liên lạc với nhau bằng cách gửi các gói Hello cho
nhau. Nếu router vẫn còn nhận được các gói Hello từ một router kết nối trực tiếp qua một
đường kết nối thì nó biêt được rằng đường kết nối và router đầu xa vẫn hoạt động tốt. Nếu
như router không nhận được gói hello trong một khoảng thời gian nhất định, được gọi là dead
interval, thì router biết rằng router đầu xa đã bị down và khi đó router sẽ chạy thuật toán SPF
để tính route mới.
Mỗi router sử dụng giao thức OSPF có một số ID để nhận dạng. Router sẽ sử dụng địa chỉ
IP của interface loopback cao nhất (nếu có nhiều loopback) làm ID. Nếu không có loopback
nào được cấu hình hình thì router sẽ sử dụng IP cao nhất của các interface vật lý.
OSPF có một số ứu điểm là : thời gian hội tụ nhanh, được hổ trợ bởi nhiều nhà sản xuất,
hổ trở VLSM, có thể sử dụng trên một mạng lớn, có tính ổn định cao.
2. Các câu lệnh sử dụng trong bài lab :

router ospf process-id
Cho phép giao thức OSPF
network address wildcard-mask area area-id
Quảng bá một mạng thuộc một area nào đó

Đồ hình bài lab như hình vẽ. Các router được cấu hình các interface loopback 0. Địa chỉ IP
của các interface được ghi trên hình. Lưu ý ở đây chúng ta sử dụng subnetmask của các mạng
khác nhau.

Chúng ta cấu hình các interface cho các router như sau :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.0.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.0.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 170.1.0.1 255.255.0.0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 12.1.0.1 255.255.255.252
interface Serial0
ip address 170.1.0.2 255.255.0.0
end
Sau khi cấu hình interface cho các router, chúng ta tiến hành cấu hình OSPF cho chúng như
sau :
Vsic1(config)#router ospf 1
Vsic1(config-router)#net 192.168.1.0 0.0.0.255 area 0


Chúng ta cấu hình OSPF cho cả ba router trong cùng một area 0 (backbone). Ngoài ra
chúng ta có thể cấu hình OSPF cho cả ba router theo cách sau :
Khi quảng bá cho OSPF chúng ta có thể quảng bá theo hai cách : quảng bá đường
mạng (cách đầu) hoặc quảng bá chính interface đó (cách sau). Nếu quảng bá chính interface
thì wildcard mask phải là 0.0.0.0
Sau khi quảng bá các mạng của các router xong chúng ta kiểm tra lại bảng định tuyến của các
router bằng câu lệnh show ip route
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 01:20:18, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 01:20:18, Serial0
O 12.1.0.1 [110/129] via 192.168.1.2, 01:20:18, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 01:20:38, Serial0
C 11.0.0.0/8 is directly connected, Loopback0
O 12.1.0.1 [110/65] via 170.1.0.2, 01:20:38, Serial1

Vsic3#sh ip route
O 10.0.0.1 [110/129] via 170.1.0.1, 00:00:20, Serial0
O 11.1.0.1 [110/65] via 170.1.0.1, 00:00:20, Serial0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:00:20, Serial0
Nhận xét : các router đã biết được tất cả các mạng trong đồ hình của chúng ta. Các route
router biết được nhờ giao thức OSPF được đánh O ở đầu route. Trong kết quả trên các route
đó được in đậm.
Bây giờ chúng ta sẽ kiểm tra lại xem các mạng có thể liên lạc được với nhau hay chưa bằng
cách lần lượt đứng trên từng router và ping đến các mạng không nối trực tiếp với nó.
Vsic3#ping 11.1.0.1
!!!!!
Vsic3#ping 10.0.0.1
!!!!!
Các bạn làm tương tự cho các mạng khác để kiểm tra, và chắc chắn sẽ ping thấy!
Cấu hình các mạng trong các area khác nhau :

Chúng ta sẽ khảo sát cách cấu hình các mạng được phân bố trong nhiều area khác nhau
trong mục này.
Trước hết, chúng ta khảo sát nếu cấu hình cho mạng 12.1.0.0/30 và interface S0 của Vsic3
trong cùng area 1 còn các mạng khác vẫn trong area 0 thì toàn mạng của chúng ta có thể liên
lạc được hay không ?
Do phần trên chúng ta đã cấu hình OSPF cho cùng một vùng. Nên bây giờ chúng ta chỉ cần gở
bỏ cấu hình OSPF cho router Vsic3 và cấu hình lại cho nó như yêu cầu của câu hỏi đặt ra.
Cách thực hiện như sau :
Vsic3(config-router)#no net 170.1.0.0 0.0.255.255 area 0 gở bỏ cấu hình
cấu hình OSPF cũ
Vsic3(config-router)#no net 12.1.0.0 0.0.0.3 area 0
Vsic3(config-router)#net 170.1.0.0 0.0.255.255 area 1 Cấu hình cho interface
S0 router Vsic3 thuộc

area 1
Vsic3(config-router)#net 12.1.0.0 0.0.0.3 area 1 Cấu hình mạng 12.1.0.0/30
thuộc area 1
Sau khi cấu hình xong chúng ta kiểm tra lại bảng định tuyến của các router :
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:00:53, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 00:00:53, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 00:00:43, Serial0
Vsic3#sh ip route
Nhận xét : router Vsic1 và Vsic2 biết được các mạng của nhau nhưng không biết được mạng
của router Vsic3. Ngược lại router Vsic3, không biết được các mạng của router Vsic1 và
Vsic2. Điều này chứng tỏ, các router trong cùng một area chỉ biết được các mạng trong area
đó, các mạng trong area khác thì router không biết. (Trường hợp, router Vsic1 thấy được
mạng 170.1.0.0/16 là do router Vsic2 quảng bá mạng đó thuộc area 0)
Để liên kết được các mạng trong cùng các area khác nhau chúng ta phải có một router biên
nối area đó về area 0 (backbone). Router này có một interface thuộc area đó và một interface
thuộc area 0.

Trong trường hợp bài lab, chúng ta có hai cách để giải quyết vấn đề này. Cách thứ
nhất là cấu hình cho mạng của interface S0 của router Vsic3 thuộc area 0. Lúc này, router
Vsic3 đóng vai trò là một router biên. Cách thứ hai là cấu hình cho mạng của interface S1
router Vsic2 thuộc area 1, lúc này router Vsic2 đóng vai trò là router biên.
Chúng ta sẽ khảo sát cách 1 (cấu hình cho mạng interface S0 của vsic3 thuộc area0). Cách 2
được thực hiện tương tự
Cách cấu hình :

Vsic3(config-router)#no net 170.1.0.0 0.0.255.255 area 1
Sau khi cấu hình xong, chúng ta kiểm tra lại bảng định tuyến của các router :
Vsic1#sh ip route
O 170.1.0.0/16 [110/128] via 192.168.1.2, 00:01:30, Serial0
O 11.1.0.1 [110/65] via 192.168.1.2, 00:01:30, Serial0
O IA 12.1.0.1 [110/129] via 192.168.1.2, 00:01:30, Serial0
Vsic2#sh ip route
O 10.0.0.1 [110/65] via 192.168.1.1, 00:01:07, Serial0

O IA 12.1.0.1 [110/65] via 170.1.0.2, 00:01:07, Serial1

Vsic3#sh ip route
O 10.0.0.1 [110/129] via 170.1.0.1, 00:00:06, Serial0
O 11.1.0.1 [110/65] via 170.1.0.1, 00:00:06, Serial0
O 192.168.1.0/24 [110/128] via 170.1.0.1, 00:00:06, Serial0
Nhận xét : các router đã thấy được các mạng của các router khác. Như vậy toàn mạng đã liên
lạc được với nhau. Chúng ta có thể kiểm tra bằng cách ping đến từng mạng.
5. Cách tự thực hành Dynagen:
Với bài thực hành này ta phải sử dụng đến 3 router, sử dụng file lab18ospfcb.net để
thực hành với sơ đồ sau:

BÀI 19: CẤU HÌNH EIGRP
Các PC nối với router bằng cáp chéo, hai router được nối với nhau bằng cáp serial. Địa chỉ
IP của các interface và PC như hình vẽ.
Trong bài lab này chúng ta sẽ tiến hành cấu hình giao thức EIGRP cho các router.
EIGRP là giao thứ hỗ trợ VLSM, metric của EIGRP được tính bằng IGRP nhân 256.
2. Cấu hình :
Chúng ta cấu hình cho các router Vsic1 và Vsic2 như sau :
Vsic1#sh run
!
version 12.1
!
hostname Vsic1
!
interface Ethernet0
ip address 10.1.0.1 255.255.0.0
!
interface Serial1
ip address 192.168.0.1 255.255.255.0
clockrate 64000
!
end
Vsic2#sh run

!
version 12.1
!
hostname Vsic2
!
interface Ethernet0

ip address 11.1.0.1 255.255.0.0

!
interface Serial1
ip address 192.168.0.2 255.255.255.0
!
end
Sau khi cấu hình xong địa chỉ IP cho các interface của router Vsic1, Vsic2 chúng ta tiến hành
cấu hình EIGRP cho các router như sau:
Vsic1(config)#router eigrp 100 100 là số Autonomus –system
Vsic1(config-router)#network 10.1.0.0 quảng bá mạng 10.1.0.0
Vsic1(config-router)#network 192.168.0.0 quảng bá mạng 192.168.0.0
Vsic2(config)#router eigrp 100

Bây giờ chúng ta tiến hành kiểm tra các kết nối trong mạng bằng cách :
Vsic1#ping 11.1.0.2
!!!!!
Vsic1#
Chúng ta sử dụng câu lệnh show ip route để kiểm tra bảng định tuyến của hai router
Vsic2#show ip route
D 10.0.0.0/8 [90/2195456] via 192.168.0.1, 00:11:35, Serial1

C 11.1.0.0/16 is directly connected, Ethernet0
Trong bảng định tuyến của router Vsic2 đã có các route đến mạng của Vsic1, và Vsic1 ping
thành công đến loopback của Vsic2.

. Ta có thể sử dụng file lab19eigrp.net để thực hành, sơ đồ hoàn toàn giông như bài static,
RIP. Ta có thể giả lập các mạng Lan bằng các interface loopback.

BÀI 20: CẤU HÌNH OSPF GIỮA

WINDOWS SERVER 2003 VÀ ROUTER
1. Giới thiệu :
Trong bài lab này chúng ta sẽ khảo sát cấu hình OSPF giữa một máy Server sử dụng
Windows 2003 và router.
PC có thể được sử dụng làm Router, đồng thới có thể tích hợp vào hệ thống router và định
tuyến thông qua giao thức chuẩn OSPF.
Đồ hình bài lab như hình vẽ, chúng ta sẽ cấu hình loopback 0 cho các router. Địa chỉ IP
của các interface được ghi trên hình. Lưu ý, khi cấu hình IP cho server, chúng ta không cấu
hình default gateway.
Server hoạt động giống như Router, nó sẽ trao đổi các thông tin định tuyến thông qua giao
thức OSPF và có thể biết được các mạng 10.0.0.0, 12.0.0.0 ở đầu xa.
3. Cấu hình cho các router :

Chúng ta cấu hình cho cho các router như sau :
Vsic1#sh run
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.0.0.1 255.255.0.0
interface Serial0

ip address 192.168.1.1 255.255.255.0

router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.0.0.0
interface Ethernet0
ip address 15.1.0.1 255.0.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 170.1.0.1 255.255.0.0
router ospf 1
network 11.1.0.0 0.255.255.255 area 0
network 15.0.0.0 0.255.255.255 area 0
network 170.1.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 12.1.0.1 255.255.255.252
interface Serial0
ip address 170.1.0.2 255.255.0.0
clockrate 64000
router ospf 1
network 12.1.0.0 0.0.0.3 area 0
network 170.1.0.0 0.0.255.255 area 0
end
4. Cấu hình cho server :

Chúng ta vào Start Program Administrative Tools Routing And Remote Access.
Sau đó chọn PC chúng ta muốn cấu hình rồi nhấp chuột phải chọn Configure and Enable
Routing and Remote Access.
Rồi nhấn Next chọn Custom Configuration Next chọn Lan routing Next Finish
Yes.
Click vào IP routing, bên ô cửa sổ bên phải chúng ta nhấp chuột phải vào General rồi chọn
New Routing Protocol …
Chọn Open Shortest Path Frist (OSPF) OK

Nhấp chuột phải vào OSPF (trong IP routing) chọn New Interface. Trong ô cửa sổ hiện ra
chọn Local Area Connection OK
Trong cửa sổ hiện ra, đánh dấu chọn Enable OSPF for this address, trong phần Network Type,
ta chọn mục Broadcast. Sau đó nhấn OK.

Chúng ta có thể set cost cho route này bằng cách nhập giá trị vàp ô Cost, và độ ưu tiên cho
router bằng cách nhập giá trị vào ô Router priority. Router nào có độ ưu tiên cao nhất sẽ là
designated router.
Nhấp chuột phải vào OSPF chọn Properties. Trong cửa sổ hiện ra chọn Enable antonomous
system boundary router.

Click vào tab Areas, chọn 0.0.0.0 nhấn Edit
Trong cửa sổ vừa hiện ra, bỏ Enable plaintext password OK

Chúng ta nhấn chuột phải vào OSPF chọn Show Link-state Database. Trong cửa sổ hiện ra
chúng ta sẽ thất được các mạng của router Vsic1, Vsic2, Vsic3.
Bây giờ chúng ta sẽ ping tới các mạng của ba router để kiểm tra.

Chúng ta ping thành công mạng 10.0.0.0 của Vsic1, các bạn tiếp tục ping tới các mạng khác
để kiểm tra và chắc chắn sẽ thành công. Như vậy toàn mạng đã liên lạc được với nhau. Việc
chạy OSPF giữa Winserver 2003 và router đã thành công.
5. Tự thực hành sử dụng Dynagen :

Đối với bài thực hành này, ta có thể sử dụng máy tính hiện hành chạy hệ điều hành
2003 hay có thể sử dụng máy ảo.
Trước tiên ta kiểm tra việc cài đặt admin tool “ Routing và Remote Access” trong Win
2003. Sau đó tiến hành Bridge card mạng của máy sử dụng với Router VSIC2.

Chạy file lab20ospfs.net để thực hành và chỉnh địa chỉ card mạng phù hợp với PC win
2003
# Simple lab
[localhost]
[[3640]]
ram=96
[[ROUTER VSIC1]]
model=3640
s1/0 = VSIC2 s1/0
[[router VSIC2]]
s1/1 = VSIC3 s1/1
Æthay đổi địa chỉ mạng ở dòng này
model=3640
[[ROUTER VSIC3]]
model=3640

Chúng ta bắt đầu thực hành, ta hãy thử thêm 1 giao thức có trong admin tool “Routing
và Remote Access “ là RIP.

Phần 4 : ACCESS LIST và NAT

BÀI 21: STANDAR ACCESS LIST
1. Giới thiệu:
-Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực
security là Access List. Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên
Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy
cập vào một địa chỉ nào đó.
-Access List có 2 loại là Standard Access List và Extended Access List.
-Standard Access List: đậy là loại danh sách truy cập mà khi cho phép hay
ngăn cản việc truy cập,Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn(Source
Address)
-Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại
Stanhdar,các yếu tố về địa chỉ nguồn, địa chỉ đích,giao thức,port..sẽ được kiểm tra trước khi
Router cho phép việc truy nhập hay ngăn cản.
-Bài Lab này giúp bạn thực hiện việc cấu hình Standard Access List cho Cisco
Router với mục đích ngăn không cho host truy cập đến router VSIC2.
Router Vsic1
Vsic1#show run

Current configuration:
!
version 12.0
!
hostname Vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
no ip directed-broadcast
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2
Vsic2#show run
!
version 12.1


!
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Host:
IP Address:11.0.0.2
Gateway:11.0.0.1
-Bạn thực hiện việc định tuyến cho các Router như sau(Dùng giao thức RIP):
Vsic1(config-router)#net 192.168.1.0
-Bạn thực hiện kiểm tra quá trình định tuyến:
Vsic2#ping 192.168.1.1


!!!!!
Vsic2#ping 11.0.0.1

!!!!!
Vsic2#ping 11.0.0.2

!!!!!
-Sau quá trình định tuyến,kiểm tra chắc chắn rằng mạng đã được thông,bạn thực hiện việc
tạo Access List Standar để ngăn không cho Router Vsic 2 ping vào Host.
-Vì khi lưu thông,gói tin muốn đến được địa chỉ của Host bắt buột phải đi qua Router
Vsic1.
-Bạn thực hiện tạo Access List trên Router Vsic 1 như sau:
Vsic1#conf t
Vsic1(config)#access-list 1 deny 11.0.0.2 0.0.0.0
//từ chối sự truy nhập của địa chỉ 11.0.0.2//
-Lúc này bạn thực hiện lệnh Ping từ Host đến VSIC2

-Bạn thấy lệnh Ping thực hiện vẫn thành công, lý do là bạn chưa mở chế độ
Access list trên interface ethernet0 của router Vsic1
Vsic1(config)#int e0
Vsic1(config-if)#ip access-group 1 in
//ngăn cản đường vào của serial 0 theo access group 1//
-Sau khi apply access list vào interface ethernet 0, ta ping từ PC1 đến VSIC2.
Bây giờ ta đổi địa chỉ của PC thành 11.0.0.3, và thử ping lại 1 lần nữa.

-Bạn thấy lệnh Ping vẫn không thành cộng, lý do là khi không tìm thấy địa chỉ source
(địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực hiện Deny any,vì vậy bạn
phải thay đổi mặc định này. Sau đây là lệnh debug ip packet tại VSIC1 khi thực hiện lệnh
ping trên.
Vsic1(config)#access-list 1 permit any
-Lúc này bạn thực hiện lại lệnh Ping từ PC1 đến VSIC2

-Bạn thấy lệnh Ping đã thành công, đến đây bạn đã cấu hình xong Standard Access
List.
4. Tự cấu hình bằng Dynagen:
Click file lab21acls.net và cấu hình theo sơ đồ sau:
Thay vì apply ACL tại interface Fa0/0 theo chiều in, ta có thể hiện đối với interface
s1/0 theo chiều out. Ta cấu hình tương tự và test theo hướng dẫn của bài trên.

BÀI 22: EXTENDED ACCESS LIST
1. Giới thiệu :
-Ở bài trước bạn đã thực hiện việc cấu hình Standard Access List, bài Lab này bạn sẽ
tiếp tục tìm hiểu sâu hơn về Extended Access List. Đây là mở rộng của Standard Access List,
trong quá trình kiểm tra, Router sẽ kiểm tra các yếu tố về địa chỉ nguồn, đích,giao thức và
port…
-Mục đích của bài Lab:Bạn thực hiện cấu hình Extended Access List sao cho Host1
không thể Telnet vào Router Vsic 2 nhưng vẫn có thể duyệt web qua Router Vsic2
Bạn thực hiện đồ hình như sau:
Bạn thực hiện việc cấu hình cho Router và Host như đồ hình trên:
Host1:
IP Address:11.0.0.2
Gateway:11.0.0.1

Host2:
IP Address:10.0.0.2
Gateway:10.0.0.1
Router Vsic1:
vsic1#show run
!
version 12.0
!
hostname vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2

!
version 12.1
!
hostname vsic2
!
enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //mật khẩu secret l à
Router//
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
-Bạn thực hiện việc định tuyến(sử dụng Rip)
vsic1(config)#router rip
vsic1(config-router)#net 11.0.0.0

vsic2(config)#router rip
-Bạn thực hiện lệnh Ping để kiểm tra quá trình định tuyến.Sau khi chắc chắn rằng quá
trình định tuyến đã thành công.
-Tại Router Vsic2 bạn thực hiện câu lệnh:
vsic2(config)#ip http server //Câu lệnh này dùng để giả một http server trên Router//
-Lúc này Router sẽ đóng vai trò như một Web Server
-Sau khi quá trình định tuyến đã thành công,bạn thực hiện các bước Telnet và duyệt
Web từ Host 1 vào Router Vsic2.
-Chú ý :để thành công việc Telnet bạn phải Login cho đường line vty và đặt mật
khẩu cho đường này(ở đây là Cisco)
Telnet:
Duyệt web


Bạn nhập vào User Name và Password

User name:Vsic2
Password:Router
-Các bước trên đã thành công,bạn thực hiện việc cấu hình Access list
vsic2#conf t
vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
vsic2(config)#int s0
vsic2(config-if)#ip access-group 101 in
-Bạn thực hiện lại việc Telnet như trên,bạn nhận thấy quá trình Telnet không thành
công nhưng bước duyệt Web của bạn cũng không thành công.
-Theo yêu cầu bạn chỉ ngăn cấm Telnet nhưng cho phép quá trình duyệt Web
Telnet

Duyệt Web
-Để thành công bước duyệt Web,bạn thực hiện câu lệnh thay đổi việc Deny any mặc
định của Access List.
vsic2(config)#access-list 101 permit ip any any
-Bạn chú ý rằng các câu lệnh trong Access List extended không giống như trong
Access List Standard vì trong Access List Extended,Router sẽ kiểm tra cả địa chỉ
nguồn,đích,giao thức và port..Permit ip any any có nghĩa là cho phép tất cả các địa chỉ
nguồn và đích khác(không tìm thấy trong danh sách Access List) chạy trên nền giao thức IP đi
qua.
Lúc này bạn thực hiện lại quá trình duyệt web

Bạn nhập vào User Name và Password

User name:Vsic2
Password:Router
-Đến đây bạn đã thành công việc cấu hình cho Extended Access List,bạn đã thực hiện
được yêu cầu tạo Access List cho Router với mục đích ngăn cấm việc Telnet vào Router
và cho phép quá trình duyệt Web vào Router.Bạn cũng có thể mở rộng thêm đồ hình với
nhiều Router để thực tập việc cấu hình Access List cho Router với những yêu cầu bảo mật
khác nhau.
4. Tự Thực hành bằng Dynagen:
Sử dụng file lab22acle.net để thực hành. Sơ đồ và cách cấu hình tương tự như trên.

BÀI 23: TẤN CÔNG ROUTER BẰNG FLOOD
1. Mô tả bài lab và cấu hình :
Đồ hình bài lab trên hình trên, chúng ta sẽ bật http server trên router Vsic2 và Deny
Service này bằng DoS trên S0 của router Vsic2 địa chỉ là 192.168.1.2, ta cấu hình access-list
101 áp vào interface S0, nội dung của access-list 101 này là cấm tất cả các gói đi vào interface
này (sử dụng để Defense).
2. Cấu hình của Router :

Cấu hình của các router :
Vsic1#show run
version 12.1
hostname Vsic1
interface Ethernet0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
no fair-queue
clockrate 64000
router rip
network 10.0.0.0
network 192.168.1.0
end
Vsic2#show run
version 12.1
hostname Vsic2
interface Loopback0

ip address 11.1.0.1 255.255.255.0

interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip
network 11.0.0.0
network 192.168.1.0
ip http server
access-list 101 deny tcp any 10.1.0.0 0.0.0.255
access-list 101 permit ip any any
end
Chúng ta bật http server trên router Vsic2 bằng cách :
Vsic2(config)#ip http server
3. Thực thi DoS :

Sau khi cấu hình xong, ta chạy thử Web Service trên router 2501 bằng vào Internet
explorer browser, và nhập vào khung Address : http://192.168.3.1/ và chắc chắn Service này
đang chạy.
Bây giờ, chúng ta vào command prompt khởi động chương trình bonk (http://www.packetstorm.net/)
Chương trình này sẽ gởi packet liên tục đến địa chỉ mà chúng ta nhập vào (Interface
S0 của Vsic2). Lúc này tạo router Vsic2 chúng ta đã cấu hình access-list là deny tất cả các gói
đến địa chỉ 192.168.1.2 (interface S0 của Vsic2). Chúng ta có thể xem quá trình đầu tiên là
khi mới bắt đầu gởi gói từ phần mềm file chạy bonk, những gói từ phần mềm này gởi bị deny
: (sử dụng câu lệnh debug ip packet detail để hiện thị thông tin về các gói trên Vsic2)

01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied


Tuy nhiên trong quá trình deny router Vsic2 phải đưa gói vào dữ liệu của mình để
phân tích. Trong khi file chạy bonk gởi gói một cách liên tục, nên chưa đầy 2 phút sau thì
interface serial 0 của Vsic2 bị down và service http của nó vì vậy cũng sẽ bị down luôn.
Chúng ta không thể duyệt web lúc này.
01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
changed state to down
01:35:32: IP: s=192.168.1.2 (local), d=68.190.155.4, len 56, unroutable.
Sau khi down một thời gian, router sẽ tự động up interface S0 lên lại. Nếu không còn
ghẽn nữa thì sẽ hoạt động bình thường.
01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state
to up

BÀI 24: CẤU HÌNH NAT STATIC
1. Giới thiệu :
Nat (Network Address Translation) là một giao thức dùng để cung cấp sự chuyển đổi IP
trong 1 miền để đưa ra một môi trường khác thông qua một IP đã được đăng ký để chuyển
đổi thông tin giũa 2 môi trường (either Local or Global) .
Ưu điểm của NAT( Network Nat Translation ) là chuyển đổi các IP adress riêng trong
mạng đến IP adress inside được Cung cấp khi đã đăng ký .
Các loại địa chỉ :
Inside Local : là các địa chỉ bên trong mạng nội bộ ( gateway)
Inside Global :là các địa chỉ ngoài cổng GATEWAY , đó là địa chỉ Nat đã được
đăng ký. Trong bài nay là :172.17.0.1/24
Outside Global : là các hệ thống mạng bên ngoài các môi trường
Cách thức chuyển đổi một IP public và một IP private sẽ không có hiệu quả khi chúng ta
triển khai rộng cho tất cả các host trong mạng, bởi vì khi làm như vậy ta sẽ không có đủ địa
chỉ để cung cấp. Nat tĩnh thường được áp dụng khi ta sử dụng địa chỉ public làm WebServer
hay FTP Server,v.v.
Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ
IP của các interface và PC được cho trên hình vẽ
Trong bài lab này, router Vsic2 được cấu hình như một ISP, router Vsic1 đươc cấu hình như
một gateway
3. Cấu hình :
Chúng ta cấu hình cho các router như sau :
Router#conf t
Vsic2(config)#enable password cisco
Route r(config)#hostname Vsic2
Vsic2(config)#interface serial 0
Vsic2(config-if)#ip address 192.168.0.1 255.255.255.0
Vsic2(config-if)# no shut
Vsic2(config-if)#clock rate 64000
Vsic2(config)#interface ethernet 0
Vsic1(config)#interface serial 0

Vsic1(config)#ip nat outside cấu hình interface S0 là interface outside

Vsic1(config)#interface ethernet 0
Vsic1(config-if)#ip nat intside Cấu hình interface E0 là interface inside
Chúng ta tiến hành cấu hình Static NAT cho Vsic1 bằng câu lệnh :
Vsic1(config)#ip nat inside source static 10.1.0.2 172.17.0.1
Câu lệnh trên có ý nghĩa là : các gói tin xuất phát từ PC2 khi qua router( vào từ interface
E0) Vsic1 ra ngoài( ra khỏi interface S0) sẽ được đổi địa chỉ IP source từ 11.1.0.2 thành địa
chỉ 172.17.0.1 (đây là địa chỉ đã được đăng ký với ISP)
Chúng ta tiến hành đặt Static Route cho 2 Router Vsic2 và Vsic1.
Vsic1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

Địa chỉ 172.17.0.1 là Address đã được đăng ký. Trên thực tế ISP chỉ route xuống user
bằng địa chỉ đã đăng ký này.
Để kiểm tra việc NAT của router Vsic1 như thế nào chúng ta sử dụng câu lệnh sau:
Vsic1#sh ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 172.17.0.1 11.1.0.2 --- ---
Để kiểm tra router Vsic1 chuyển đổi địa chỉ như thế nào chúng ta sử dụng câu lệnh
debug ip nat trên router Vsic1 và và ping từ PC1 đến PC2( hay interface loopback giả lập).

Ta có thể sử dụng lệnh ping từ Router Vsic2 vào bên trong Server( địa chỉ 172.17.0.1)
của chúng ta,
Như vậy ở bên ngoài muốn tương tác được với Server ở bên trong phải truy cập vào
địa chỉ IP là 172.17.0.1.
4. Tự thực hành bằng Dynagen :

Ta sử dụng file lab24nats.net để thực hành. Ta thực hành tương tự như trên với sơ đồ
như sau :

Bật thêm “debug ip packet” ở VSIC2 để xem packet từ PC1 tới VSIC2.

BÀI 25:CẤU HÌNH NAT OVERLOAD

1. Giới thiệu :
NAT (Network Address Translation) dùng để chuyển đổi các private address thành địa chỉ
public address. Các gói tin từ mạng nội bộ của user gửi ra ngoài, khi đến router biên địa chỉ IP
source sẽ được chuyển đổi thành địa chỉ public mà user đã đăng ký với ISP. Điều này cho
phép các gói tin từ mạng nội bộ có thể được gửi ra mạng ngoài (Internet).
NAT có các loại : NAT static, NAT pool, NAT overload.
NAT static cho phép chuyển đổi một địa chỉ nội bộ thành một địa chỉ public.
NAT pool cho phép chuyển đổi các địa chỉ nội bộ thành một trong dãy địa chỉ public.
NAT overload cho phép chuyển đổi các địa chỉ nội bộ thành một địa chỉ public
Trong kỹ thuật NAT overload, router sẽ sử dụng thêm các port cho các địa chỉ khi chuyển
đổi.
ip nat {inside | outside}
Cấu hình interface là inside hay outside
ip nat inside source {list {access−list−number | name} pool name [overload] | static
local−ip global−ip}
Cho phép chuyển địa chỉ nội bộ thành địa chỉ public
ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length} [type
rotary]
Tạo NAT pool
show ip nat translations
Xem các thông tin về NAT
debug ip nat
Xem hoạt động của NAT
Đồ hình bài lab như hình trên. Router Vsic1 được cấu hình inteface loopback 0, loopback
1, loopback 2. Router Vsic2 được cấu hình interface loopback 0. Hai router được nối với nhau
bằng cáp Serial. Ta giả lập 3 lớp mạng lo0, lo1, lo2 là những mạng bên trong, khi các traffic ở
bên trong mạng này đi ra ngoài ( ra khỏi S0) sẽ được chuyển đổi địa chỉ.

Hai router được cấu hình các interface như sau :

Vsic1#sh run
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.0.0
interface Loopback1
ip address 11.1.0.1 255.255.0.0
interface Loopback2
ip address 12.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end
Vsic2#sh run
hostname Vsic2
interface Loopback0
ip address 13.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
end
Chúng ta cấu hình NAT trên router Vsic1 theo các bước sau :
Bước 1 : Cấu hình các interface inside và outside
Trong bài lab này, chúng ta cấu hình cho các interface loopback của Vsic1 là inside
còn interface serial 0 là out side.
Vsic1(config)#in lo0
Vsic1(config-if)#ip nat inside
Vsic1(config)#in lo1
Vsic1(config-if)#in lo2
Vsic1(config-if)#in s0
Vsic1(config-if)#ip nat outside
Vsic1(config-if)#exit
Bước 2 : Tạo access list cho phép mạng nào được NAT.
Chúng ta cấu hình cho phép mạng 10.1.0.0/16 và mạng 11.1.0.0/16 được cho phép,
cấm mạng 12.1.0.0/16
Vsic1(config)# access-list 1 deny 12.1.0.0 0.0.255.255
Vsic1(config)#access-list 1 permit any

Bước 3 : Tạo NAT pool cho router Vsic1

Cấu hình NAT pool tên Vsic1 có địa chỉ từ 172.1.1.1/24 đến 172.1.1.5/24
Vsic1(config)#ip nat pool Vsic1 172.1.1.1 172.1.1.5 netmask 255.255.255.0
Bước 4 : Cấu hình NAT cho router

Vsic1(config)#ip nat inside source list 1 pool Vsic1 overload
Câu lệnh trên cấu hình overload cho NAT pool
Bước 5 : Định tuyến cho router

Lưu ý : đối với router Vsic2, nếu ta định tuyến theo dạng :
thì chúng ta có thể ping thấy được các mạng ở trong router Vsic1 (10.1.0.0/16,
11.1.0.0/16). Nhưng thực tế, ISP chỉ định tuyến xuống cho user bằng địa chỉ mà user đã
đăng ký (Inside global address).
Bước 6 : Kiểm tra hoạt động của NAT

Chúng ta sẽ kiểm tra NAT bằng câu lệnh debug ip nat
Vsic1#debug ip nat
IP NAT debugging is on
Sau khi bật debug NAT, chúng ta sẽ ping đến loopback0 của Vsic2 từ loopback0 của Vsic1.
Ta giả lập traffic từ host 10.1.0.1 đến mạng 13.1.0.1. Lúc này khi traffic của 10.1.0.1 qua S0
sẽ chuyển đổi địa chỉ.
Vsic1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
!!!!!
Vsic1#
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [190]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [190]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [191]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [191]

00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [192]

00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [192]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [193]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [193]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [194]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [194]
Từ kết quả trên ta thấy được, các gói tin từ mạng 10.1.0.1 đã được đổi source IP thành
171.1.1.1.
Sử dụng câu lệnh show ip nat translations để xem các thông về NAT
Vsic1#sh ip nat translations
icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459
icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460
icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461
icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462
icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463
Các số được in đậm là port NAT sử dụng cho địa chỉ 10.1.0.1.
Lập lại các bước trên để kiểm tra NAT cho loopback 1, loopback 2 của router Vsic1
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
!!!!!
Vsic1#
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [210]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [210]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [211]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [211]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [212]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [212]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [213]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [213]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [214]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [214]

Vsic1#sh ip nat translations

icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407
icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408
icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409
icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410
icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
…..
Đối với 12.1.0.1, chúng ta không ping ra ngoài được vì mạng 12.1.0.0/16 đã bị cấm
trong access list 1.
Đứng ở router Vsic2, chúng ta ping xuống các loopback của router Vsic1
Vsic2#ping 10.1.0.1
.....
Vsic2#ping 11.1.0.1
.....
Vsic2#ping 12.1.0.1
.....
Nhận xét : tất cả đều không thành công Nguyên nhân là router Vsic2 không có route
nào đến các loopback của router Vsic1. Trong thực tế, ta cũng có kết quả tương tự do ISP chỉ

định tuyến xuống địa chỉ mà user đăng ký, còn các địa chỉ mạng bên trong của user thì không
được ISP định tuyến.

Ta click vào file lab25nato.net để thực hành tương tự như bài trên. Tuy nhiên ta có
thay mạng giả lập lo0 bằng một mạng LAN.
Ta sử dụng PC ping ra ngoài và bật debug theo dõi trên router, ta sẽ thấy sự chuyển
đổi địa chỉ xảy ra tại router.
Học viên trong bài tự thực hành nên kết hợp giữa static NAT và dynamip NAT. Ta có
có thể giả sử trường hợp là trong mạng có 1 Web Server, và Web Server được NAT static khi
đi ra ngoài và ngược lại. Còn lại những PC khác trong mạng sử dụng NAT overload để ra
Internet.
Để thực hiện thành công được bài này, ta test bằng cách PC bên trong có thể ping ra
ngoài và ở ngoài có thể truy cập Web Server ở bên trong.

Phần 5 : WAN
BÀI 26: CẤU HÌNH PPP PAP VÀ CHAP
1. Giới thiệu :
PPP (Point-to-Point Protocol) là giao thức đóng gói được sử dụng để thực hiện kết nối
trong mạng WAN. PPP bao gồm LCP (Link Control Protocol) và NCP (Network Control
Protocol). LCP được dùng để thiết lập kết nối point-to-point, NCP dùng để cấu hình cho các
giao thức lớp mạng khác nhau.
PPP có thể được cấu hình trên các interface vật lý sau :
Asynchronous serial : cồng serial bất đồng bộ
Synchronous serial : cổng serial đồng bộ
High-Speed Serial Interface (HSSI) : cổng serial tốc độ cao
Integrated Services Digital Network (ISDN)
Quá trình tạo session của PPP gồm ba giai đoạn (phase):
Link-establishment phase
Authentication phase (tùy chọn)
Network layer protocol phase
Tùy chọn xác nhận (authentication) giúp cho việc quản lý mạng dễ dàng hơn. PPP sử
dụng hai cách xác nhận là PAP (Password Authentication Protocol) và CHAP (Challenge
Handshake Authentication Protocol).
PAP là dạng xác nhận two-way handshake. Sau khi tạo liên kết node đầu xa sẽ gửi
usename và password lặp đi lặp lại cho đến khi nhận được thông báo chấp nhận hoặc từ chối.
Password trong PAP được gửi đi ở dạng clear text (không mã hóa).
CHAP là dạng xác nhận three-way handshake. Sau khi tạo liên kết, router sẽ gửi thông
điệp “challenge” cho router đầu xa. Router đầu xa sẽ gửi lại một giá trị được tính toán dựa
trên password và thông điệp “challenge” cho router. Khi nhận được giá trị này, router sẽ kiểm
tra lại xem có giống với giá trị của nó đã tính hay không. Nếu đúng, thì router xem gủi xác
nhận đúng và kết nối được thiết lập; ngược lại, kết nối sẽ bị ngắt ngay lặp tức.

username name password password
Cấu hình tên và password cho CHAP và PAP. Tên và password này phải giống với
router đầu xa.
encapsulation ppp
Cấu hình cho interface sử dụng giao thức PPP
ppp authentication (chap chap pap pap chap pap)
Cấu hình cho interface sử dụng PAP, CHAP, hoặc cả hai. Trong trường hợp cả hai
được sử dụng, giao thức đầu tiên được sử dụng trong quá trình xác nhận; nếu như giao
thức đầu bị từ chối hoặc router đầu xa yêu cầu dùng giao thức thứ hai thì giao thức thứ
hai được dùng.
ppp pap sent-username username password password
Cấu hình username và password cho PAP
debug ppp authentication
Xem trình tự xác nhận của PAP và CHAP

Đồ hình bài lab như hình vẽ. Hai router được đặt tên là Vsic, Vsic2 và được nối với nhau
bằng cáp serial. Địa chỉ IP của các interface như hình trên.

a) Bước 1 : Đặt tên và địa chỉ cho các interface
Vsic1#sh run
version 12.1
hostname Vsic1
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 64000
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Serial0
ip address 192.168.1.2 255.255.255.0
end
Chúng ta sẽ kiểm tra trạng thái của các cổng bằng câu lệnh show ip interface brief
Vsic2#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.2 YES manual up up
Serial1 unassigned YES unset administratively down down
Cổng serial của router Vsic2 đã up. Làm tương tự để kiểm tra trạng thái các cổng của
router Vsic1.
Chúng ta sử dụng câu lệnh show interfaces serial để biết được các thông số của
interface serial các router
Vsic2#sh interfaces serial 0


Hardware is HD64570
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:02, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
15 packets input, 846 bytes, 0 no buffer
Received 15 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
19 packets output, 1708 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Vsic1#sh int s 0
Hardware is HD64570
Encapsulation HDLC, loopback not set
Last clearing of "show interface" counters 00:11:35
Queueing strategy: fifo
Output queue :0/40 (size/max)

Cả hai cổng serial của hai router đều sử dụng giao thức đóng gói là HDLC và trạng thái của cả
hai đều là up
b) Bước 2 : Cấu hình PPP PAP, CHAP

Cấu hình PPP PAP
Đứng ở router Vsic1, chúng ta sẽ cấu hình PPP cho interface serial 0 bằng câu lệnh
encapsulation ppp
Vsic1(config)#in s0
Vsic1(config-if)#encapsulation ppp
Kiểm tra trạng thái interface serial 0 của router Vsic1
Vsic1#sh ip int brie
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.1 YES manual up down
Vsic1#sh int s 0
Serial0 is up, line protocol is down
Hardware is HD64570
Encapsulation PPP, loopback not set
LCP REQsent
Closed: IPCP, CDPCP
Queueing strategy: fifo
Output queue :0/40 (size/max)
Nhận xét : interface serial 0 của router Vsic1 đã bị down, đồng nghĩa với interface serial 0
của router Vsic2 cũng bị down. Nguyên nhân là hai interface này sử dụng giao thức đóng gói
khác nhau. (Interface serial 0 của router Vsic1 sử dụng PPP còn Vsic2 sử dụng HDLC).
Ví vậy chúng ta phải cấu hình cho interface serial 0 của router Vsic2 cũng sử dụng giao thức
PPP.
Vsic2(config)#in s0

Bây giờ chúng ta sẽ kiểm tra trạng thái của các interface
Vsic2#sh int s0
Hardware is HD64570
LCP Open
Open: IPCP, CDPCP
Cả hai interface của hai router đã up trở lại. Do cả hai đã được cấu hình sử dụng cùng
giao thức đóng gói là PPP.
Trước khi cấu hình PAP cho hai interface chúng ta sử dụng câu lệnh debug ppp
authentication để xem trình tự trao đổi thông tin của PAP.
Vsic2#debug ppp authentication
PPP authentication debugging is on
Chúng ta sẽ cấu hình PAP cho cả hai interface serial 0 như sau :
Vsic1(config)#username Vsic2 password cisco
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication pap
Vsic1(config-if)#ppp pap sent-username Vsic1 password cisco

Vsic2(config)#in s0
Vsic2(config-if)#ppp authentication pap
Vsic2(config-if)#ppp pap sent-username Vsic2 password cisco
Lưu ý :
Trong câu lệnh username name password password , name và password phải trùng
với name và password của router đầu xa.

Còn trong câu lệnh ppp pap sent-username name password password , name và
password là của chính router chúng ta cấu hình
Sau khi chúng ta cấu hình PAP xong trên route Vsic2, thì màn hình sẽ xuất hiện trình
tự của PAP
00:09:49: Se0 PPP: Phase is AUTHENTICATING, by both
00:09:49: Se0 PAP: O AUTH-REQ id 1 len 18 from "Vsic2"
00:09:49: Se0 PAP: I AUTH-REQ id 1 len 18 from "Vsic1"
00:09:49: Se0 PAP: Authenticating peer Vsic1
00:09:49: Se0 PAP: O AUTH-ACK id 1 len 5
00:09:49: Se0 PAP: I AUTH-ACK id 1 len 5
state to up
Ý nghĩa của các thông báo :

Dòng thông báo 1 : PPP thực hiện xác nhận hai chiều
Dòng thông báo 2 : Vsic2 gửi yêu cầu xác nhận
Dòng thông báo 3 : Nhận yêu cầu xác nhận từ Vsic1
Dòng thông báo 4 : Nhận xác nhận của Vsic1
Dòng thông báo 5 : Gửi xác nhận đúng đến Vsic1
Dòng thông báo 6 : Nhận xác nhận đúng từ Vsic1
Dòng thông báo 7 : Trạng thái của interface được chuyển sang UP
Như vậy hai interface của router Vsic1 và Vsic2 đã up. Chúng ta đứng ở router Vsic2 ping
interface serial 0 của router Vsic1 để kiểm tra.
Vsic2#ping 192.168.1.1
!!!!!
Cấu hình PPP CHAP

Trước khi cấu hình PPP CHAP cho hai interface chúng ta gở bỏ PAP ở cả hai router
Vsic1(config)#in s0
Vsic1(config-if)#no ppp authentication pap
Vsic1(config-if)#no ppp pap sent-username Vsic1 password cisco
Vsic2(config)#in s0
Vsic2(config-if)#no ppp authentication pap
Vsic2(config-if)#no ppp pap sent-username Vsic2 password cisco
Bây giờ chúng ta sẽ cấu hình CHAP bằng câu lệnh ppp authentication chap
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication chap
Vsic2(config)#in s0
Lưu ý : khi cấu hình PPP CHAP chúng ta vẫn phải cấu hình cho interface serial đó sử dụng
giao thức đóng gói PPP bằng câu lệnh encapsulation ppp và cũng phải sử dụng câu lệnh

username name password password để cấu hình name và password cho giao thức CHAP thực
hiện xác nhận. Ở đây, chúng ta không thực hiện lại các câu lệnh đó vì ở bước cấu hình PAP
chúng ta đã thực hiện rồi.
Do chúng ta đã sử dụng câu lệnh debug ppp authentication ở router Vsic2, nên khi cấu hình
CHAP xong ở hai router thì màn hình sẽ hiện thông báo như sau : (console được nối với
router Vsic2)
00:15:08: Se0 CHAP: O CHALLENGE id 1 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I CHALLENGE id 2 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O RESPONSE id 2 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I RESPONSE id 1 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O SUCCESS id 1 len 4
00:15:08: Se0 CHAP: I SUCCESS id 2 len 4
00:15:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to
up
Ý nghĩa của các câu thông báo :
Dòng thông báo 1 : Vsic2 gửi thông báo “challenge” đến router Vsic1
Dòng thông báo 2 : Vsic2 nhận thông báo “challenge” từ router Vsic1
Dòng thông báo 3 : Vsic2 gửi response đến router Vsic1
Dòng thông báo 4 : Vsic2 nhận response từ router Vsic1
Dòng thông báo 5 : Vsic2 gửi xác nhận thành công đến Vsic1
Dòng thông báo 6 : Vsic2 nhận xác nhận thành công từ Vsic1
Dòng thông báo 7 : Trạng thái của interface serial được chuyển sang UP
Hai interface serial của router Vsic1 và Vsic2 đã UP, chúng ta đứng ở router Vsic2 ping đến
interface serial 0 của router Vsic1 để kiểm tra
Vsic2#ping 192.168.1.1
!!!!!
Nếu như name và password trong câu lệnh username name password password không đúng
thì trạng thái của interface sẽ bị down. Do quá trình xác nhận giữa hai interface sẽ sử dụng
name và password này. Nếu như không khớp thì kết nối sẽ bị hủy
5. Tư thực hành bằng Dynagen:
Đây là sơ đồ đơn giản, học viên chỉ cần chạy file lab26ppp.net để thực hành bài trên.

BÀI 27:CẤU HÌNH ISDN BASIC

1. Giới thiệu :
ISDN (Integrated Services Digital Network) là một công nghệ truyền dẫn tốc độ cao
và quay số được sử dụng rộng rãi .Hệ thống mạng này được tạo ra cach đây 20 năm và đươc
ứng dụng rộng rãi tại U.S.A đầu năm 1990.
ISDN l à mạng phục vụ cho viêc truyền dẫn dữ liệu số một mạng ISDN BRI đạt
tiêu chuẩn có thể đạt tới tốc độ 128Kbps.
Dữ liệu được up lên sau mỗi 10 giây mạng ISDN cho phép truyền dẫn các tín hiệu
số,các kênh số đồng thời trên dây điện thoại analog thông thường và đầu bên kia được giải
mã qua modem hay các thiết bị khác .
Trong bài này chúng ta sẽ sử dụng một thiết bị mô phỏng ISDN. Chúng ta sẽ nối hai
router vào thiết bị đó bằng cáp thẳng.
3. Cấu hình :
a. Cấu hình cho router Vsic2:
Router#conf t
Router(config)#hostname Vsic2
Vsic2(config)#isdn switch-type basic-ni cấu hình loại ISDN switch
Vsic2(config)#dialer-list 1 protocol ip permit
Vsic2(config)#interface bri 0
Vsic2(config-if)#encapsulation ppp cầu hình giao thức đóng gói là PPP
Vsic2(config-if)#isdn spid1 21 21 Số SPID number 21 –phone numbers 21
Vsic2(config-if)#dialer-group 1
Vsic2(config-if)#dialer map ip 200.10.1.1 name Vsic1 broadcast 11 cấu hình
số của router đầu xa để Ahena2 thực hiện cuộc gọi
Vsic2(config-if)#ppp authentication chap cấu hình PPP CHAP
Vsic2(config-if)#
b. Cấu hình cho router Vsic1 :

Router(config)#hostname Vsic1
Vsic1(config)#isdn switch-type basic-ni

Vsic1(config)#dialer-list 1 protocol ip permit

Vsic1(config)#interface bri 0
Vsic1(config-if)#
Vsic1(config-if)#isdn spid1 11 11
Vsic1(config-if)#dialer-group 1
Vsic1(config-if)#dialer map ip 200.10.1.2 name Vsic2 broadcast 21
Sau khi cấu hình xong chúng ta kiểm tra lại bằng cách :
Vsic2#sh run
!
version 12.1
!
hostname Vsic2
!
username Vsic1 password 0 cisco
!
ip subnet-zero
!
isdn switch-type basic-ni
!
interface BRI0
ip address 200.10.1.2 255.255.255.0
encapsulation ppp
dialer map ip 200.10.1.1 name Vsic1 broadcast 11
dialer-group 1
isdn switch-type basic-ni
isdn spid1 21
ppp authentication chap
!
dialer-list 1 protocol ip permit
end
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Last input never, output 00:00:22, output hang never


Chúng ta kiểm tra trạng thái kết nối của liên kết ISDN bằng câu lệnh sau :
Vsic1#sh isdn status
Global ISDN Switchtype = basic-net3
ISDN BRI0 interface
dsl 0, interface ISDN Switchtype = basic-net3
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Active dsl 0 CCBs = 0
The Free Channel Mask: 0x80000003
Number of L2 Discards = 0, L2 Session ID = 13
Total Allocated ISDN CCBs = 0
Vsic2#sh isdn status

ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED

Đứng ở router Vsic2, chúng ta ping địa chỉ 200.10.1.1 để kiểm tra kết nối :
Vsic2#ping 200.10.1.1
!!!!!
Nhận xét : ping thành công và router Vsic2 thực hiện kết nối với router Vsic1 sử dùng
interface dialer 0
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Lệnh show dialer dùng để chỉ trạng thái kênh B sẽ ngắt, sụt giảm (drop) sau 120 giây
inactive.
Trạng thái giao tiếp BRI của router Athen2 được xác định với trạng thái của router
Athnena1.Cổng giao tiếp BRI0 được chỉ dẫn đến kênh D của mạng trong trang thái này là
UP/UP (spoofing state) chứng tỏ rằng kênh D đã hoạt động
Vsic2#sh dialer
BRI0 - dialer type = ISDN

Dial String Successes Failures Last DNIS Last status
11 1 0 01:31:13 successful
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.
BRI0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)

Wait for carrier (30 secs), Re-enable (15 secs)

Dialer state is idle

Vsic1#show dialer
BRI0 - dialer type = ISDN
Dial String Successes Failures Last DNIS Last status
21 0 1 00:01:43 failed
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.


Bây giờ nếu như đổi số số SPID hay là số Phone numbers thì trạng thái sẽ thay đổi,
hệ thống đương nhiên là sẽ không thể kết nối được.
Vsic2(config)#interface bri0
Vsic2(config-if)#no isdn spid1 21 21
Vsic2(config-if)#isdn spid1 14 14
Vsic2(config-if)#
02:16:31: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BRI0, TEI 70 changed to
down
Vsic2(config-if)#dialer idle-timeout 20 cấu hình thời gian idle-timeout là 20s
Vsic2(config-if)#^Z
Vsic2#
Vsic1#ping 200.10.1.2
.....
4. Cách tự thực hành bằng Boson Netsim :

Mở chương trình Boson Netsim để bắt đầu thực hành. Ta vào FileÆLoad
NetmapÆChọn file lab27ISDN.top. Sơ đồ giống như sơ đồ thực hành trên, spid1 vẫn là 11 và
22..
Ta chú ý rằng trong trương trình simulation Boson Netsim khác 1 chút so với cấu hình
thực tế, chúng ta phải thêm “dial string” và trong lệnh “isdn spid1” chỉ cần chỉ số spid1 là đủ,
không cần phải chỉ ra số điện thoại trong lệnh này.
Sau đây là cấu hình trên Router VSIC1 vào VSIC2 của Boson Netsim, khi cấu hình
xong ta test bằng lệnh ping giữa 2 đầu router VSIC1 và VSIC2.



BÀI 28: CẤU HÌNH ISDN DDR

1. Giới thiệu :
ISDN (Integrated Services Digital Network) là mạng số tích hợp đa dịch vụ, cung cấp cho
chúng ta nhiều loại hình dịch vụ số khác nhau, bao gồm : data và thoại. ISDN cho phép truyền
các kênh số đồng thời trên dây điện thoại thông thường.
Kỹ thuật dial-on-demand routing (DDR) được phát triển bởi Cisco cho phép chúng ta sử
dụng đường dây điện thoại để tạo thành một mạng WAN. DDR cho phép router thực hiện kết
nối khi có traffic được gửi và ngắt kết nối khi không cần đến. Điều này giúp chúng ta tiết
kiệm được chi phí rất nhiều.
Trong kỹ thuật DDR, chỉ khi gặp interesting traffic router mới thực hiện kết nối, ngoài ra
thì không. Điều này giúp chúng ta quản lý được mạng tốt hơn.
Ngoài ra, DDR sử dụng idle timeout để xác định thời gian để router ngắt kết nối nếu như
không có interesting traffic nào được gửi.

isdn switch-type switch-type
Cấu hình loại của ISDN switch
isdn spid1 spid−number [ldn]
Cấu hình số SPID và ldn
dialer-list dialer-group-num protocol protocol-name {permit | deny | list access-list-
number}
Tạo dialer list để định nghĩa intersting traffic cho router.
dialer-group group-number
Nhúng dialer list vào một interface
dialer idle-timeout seconds
Cấu hình thời gian idle-timeout
dialer pool−member number
Tạo dialer pool
dialer pool number
Nhúng một dialer interface vào dialer pool
dialer remote−name username
Cấu hình tên của router đầu xa
dialer string dial−string
Cấu hình số để quay kết nối với router đầu xa

Trong bài Lab này chúng ta sử dụng hai router có cổng BRI và thiết bị mô phỏng môi
trường ISDN. Cáp nối từ cổng BRI của router đến thiết bị mô phỏng môi trường BRI là cáp
thằng.
Chúng ta khởi tạo Loopback 0, Loopback 1, Loopback 2 ở cả hai router. Địa chỉ các
cổng được chú thích ngay trên đồ hình. Password của cả hai router là : cisco
4. Mục tiêu bài lab :

Cấu hình kết nối giữa hai router thông qua môi trường ISDN trong chế dộ Dial-on-
demand routing (DDR) sử dụng interface dialer.

Bước 1: cấu hình tên router, các interface loopback và mở đường telnet ở hai router
VSIC1#sh run
version 12.1
hostname VSIC1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
VSIC2#sh run
version 12.1
hostname VSIC2
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1
ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end

Bước 2: Cấu hình loại ISDN Switch sử dụng và số SPID và ldn.

Số SPID và ldn được cung cấp bởi nhà cung cấp dịch vụ ISDN.
VSIC1#conf t
VSIC1(config)#isdn switch-type basic-net3 Cấu hình loại ISDN witch
VSIC1(config)# in bri0
VSIC1(config-if)#isdn spid1 21 21 Cấu hình số SPID và ldn
VSIC2#conf t
VSIC2(config)#isdn switch-type basic-net3
VSIC2(config)# in bri0
VSIC2(config-if)#isdn spid1 11 11
Bước 3 : Định tuyến cho các router

Ở đây chúng ta dùng Static route để định tuyến cho các router chứ không dùng các
giao thức định tuyến động như RIP, IGRP … Lý do ta phải dùng static route se được giải
thích ở mục Nguyên nhân không nên dùng các giao thức định tuyến động trong cấu hình
ISDN DDR
VSIC1#conf t
VSIC1(config)#ip route 13.1.0.0 255.255.255.0 192.168.0.2
VSIC2#conf t
Bước 4 : Cấu hình interesting traffic

Router chỉ thực hiện kết nối khi và chỉ khi gặp các interesting traffic; ngoài ra, router
sẽ không kết nối. Interesting traffic được định nghĩa cho router bằng : loại traffic, nguồn hoặc
đích đến của một gói tin. (thông qua access list).
Interesting traffic được cấu hình bằng câu lệnh dialer-list.
Trong bài này, đối với router VSIC1, chúng ta cấu hình interesting traffic là tất cả các traffic
khác traffic telnet đến mạng 14.1.0.0/24. Chúng ta dùng Extended access list để cấu hình.
VSIC1#conf t
VSIC1(config)#access-list 101 deny tcp any 14.1.0.0 0.0.0.255 eq telnet
VSIC1(config)#access-list 101 permit ip any any
VSIC1(config)#dialer-list 1 protocol ip list 1
Đối với router VSIC2, cấu hình các traffic của mạng 13.1.0.0/24 và 14.1.0.0/24 là interesting
traffic. Chúng ta dùng Standard access list để cấu hình.
VSIC2#conf t
VSIC2(config)#access-list 1 permit 13.1.0.0 0.0.0.255
VSIC2(config)#access-list 1 permit 14.1.0.0 0.0.0.255
VSIC2(config)#dialer-list 1 protocol ip list 1
Bước 5 : Cấu hình interface dialer cho router

Trong bài chúng ta sử dụng PPP thay cho HDLC vì PPP có tính bảo mật cao. Mặc
định của router Cisco sử dụng HDLC.
VSIC1(config)#username VSIC2 password cisco
VSIC1(config-if)#in bri0
VSIC1(config-if)#encapsulation ppp
VSIC1(config-if)#ppp authentication chap
VSIC1(config-if)#dialer pool-member 1 Cấu hình interface BRI0 thuộc
dialer pool 1
VSIC1(config-if)#no shut
VSIC1(config)#in dialer 1
VSIC1(config-if)# ip address 192.168.0.1 255.255.255.0
VSIC1(config-if)#dialer remote-name VSIC2 Cấu hình tên router kết nối
VSIC1(config-if)#dialer string 11 Cấu hình số để gọi cho router đó
VSIC1(config-if)#dialer pool 1 Cấu hình interface dialer 1 thuộc pool 1
VSIC1(config-if)#dialer idle-timeout 180 Router sẽ ngắt kết nối nếu như
không có traffic nào truyền trong
khoảng thời gian cấu hình
VSIC1(config-if)#dialer-group 1 Sử dụng dialer list 1 cho interface này
Cấu hình tương tự cho router VSIC2

VSIC2(config)#username VSIC1 password cisco
VSIC2(config-if)#in bri0
VSIC2(config-if)#dialer pool-member 1
VSIC2(config)#in dialer 0
VSIC2(config-if)# ip address 192.168.0.2 255.255.255.0
VSIC2(config-if)#dialer remote-name VSIC1
VSIC2(config-if)#dialer string 21
VSIC2(config-if)#dialer pool 1
VSIC2(config-if)#dialer idle-timeout 180
VSIC2(config-if)#dialer-group 1
6. Kiểm tra kết quả :

Kiểm tra trạng thái kết nối của interface BRI0
VSIC1#sh isdn status


ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
CCB:callid=8004, sapi=0, ces=1, B-chan=1, calltype=DATA
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED.
Kiểm tra các interesting traffic.

Đứng ở router VSIC2, chúng ta ping từ interface loopback 1 (14.1.0.1) đến interface
loopback 2 (12.1.0.1) của router VSIC1
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
00:30:15: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

00:30:15: %DIALER-6-BIND: Interface BR0:1 bound to profile Di0.!!!!
00:30:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1,
changed state to up
00:30:21: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 21
VSIC1
Nhận xét : ping thành công và router VSIC2 thực hiện kết nối với router VSIC1 sử dùng
interface dialer 0

Chúng ta dùng câu lệnh show isdn active để xem những thông tin về cuộc kết nối hiện hành
VSIC2#sh isdn active

ISDN ACTIVE
Call Calling Called Remote Seconds Seconds Seconds Charges
Type Number Number Name Used Left Idle Units/currency
Out 21 VSIC1 14 167 12 0
Còn 167 giây nữa thì router sẽ ngắt kết nối nếu như không có interesting traffic nào gửi qua
đường kết nối.
Chúng ta chờ khoảng 180 giây nữa để kiểm tra việc router ngắt kết nối tự động (Lưu ý :
không ping bất cứ mạng nào!)
Sau 180 giây chúng ta sẽ được kết quả như sau :
VSIC2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 VSIC1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:33:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed
state to down
Router đã ngắt tự động ngắt kết nối khi không có interesting traffic nào được gửi qua đường
truyền.
Làm lại các bước trên để kiểm tra các interesting traffic còn lại của router VSIC2.
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
state to up
00:30:21: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 21 VSIC1
và sau 180 giây, ta được :

VSIC2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 VSIC1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
state to down
Khi ta thực hiện ping một mạng nào đó của router VSIC1 từ interface loopback 2 (15.1.0.1)
thì router sẽ không kết nối. Do các gói tin từ mạng 15.1.0.0/24 không phải là interesting
traffic.
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
.....

ISDN ACTIVE
Bây giờ chúng ta se kiểm tra interesting traffic của router VSIC1. Đứng ở router VSIC1,
chúng ta ping đến 14.1.0.1 từ một interface loopback bất kỳ.
VSIC1#ping
Protocol [ip]:
Repeat count [5]:


VSIC1#
00:38:31: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1,
changed state to up
VSIC1#
Nhận xét : router thực hiện kết nối với router VSIC2, và gói tin được truyền đi.
Chờ sau 180 giây để router tự động ngắt kết nối. Sau đó chúng ta thực hiện telnet đến
14.1.0.1.
VSIC1#telnet 14.1.0.1
Trying 14.1.0.1 ...
% Connection timed out; remote host not responding
Nhận xét : chúng ta không thể telnet được. Nguyên nhân là do chúng ta đã cấm telnet đến
mạng 14.1.0.0 từ bất kỳ một mạng nào(access-list 101 deny tcp any 14.1.0.0 0.0.0.255 eq
telnet). Do đó, traffic telnet đến 14.1.0.1 không phải là interesting traffic nên router không
thực hiện kết nối.
Chúng ta telnet đến 13.1.0.1 :
VSIC1#telnet 13.1.0.1
Trying 13.1.0.1 ...
00:42:30: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 open
state to up
Password: cisco Chúng ta nhập password là cisco để telnet vào VSIC2
VSIC2>
Nhận xét : router thực hiện kết nối. Do chúng ta telnet vào mạng 13.1.0.0/24 chứ không phải
mạng 14.1.0.0. Đây là một interesting traffic.
7. Nguyên nhân không nên dùng các giao thức định tuyến động trong cấu hình ISDN
DDR
Để thấy được nguyên nhân chúng ta sẽ cấu hình giao thức RIP trên cả 2 router thay cho
static route.

Chúng ta xóa NVRAM, reload cả hai route trước khi cấu hình lại các router như sau :
VSIC1#sh run
version 12.1
hostname VSIC1
username VSIC2 password cisco
isdn switch-type basic-net3
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn spid1 21 21
interface Dialer1
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name VSIC2
dialer idle-timeout 180
dialer string 11
dialer-group 1

access-list 1 permit any

dialer-list 1 protocol ip list 1
router rip
network 10.0.0.0
network 11.0.0.0
network 12.0.0.0
network 192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
VSIC2#sh run
version 12.1
hostname VSIC2
username VSIC1 password cisco
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1
ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn spid1 11 11
interface Dialer0
ip address 192.168.0.2 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name VSIC1
dialer idle-timeout 180
dialer string 21
dialer-group 1

access-list 1 permit any

dialer-list 1 protocol ip list 1
router rip
network 13.0.0.0
network 14.0.0.0
network 15.0.0.0
network 192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
Sử dụng câu lệnh show ip route để kiểm tra lại bảng định tuyến của các router :
VSIC2#sh ip
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
R 11.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, Dialer0
C 192.168.0.1/32 is directly connected, Dialer0
R 12.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
Kiểm tra lại kết nối hiện hành bằng lệnh show isdn active (lúc này hai router đã kết
nối với nhau, do ta cấu hình tất cả các gói tin đều là interesting traffic : access-list 1 permit
any nên khi RIP gửi các gói routing update thì router tự động kết nối).
ISDN ACTIVE
Out 11 VSIC2 350 152 27 0
Cứ sau khoảng 30 giây chúng ta lập lại câu lệnh show isdn active để kiểm tra thời gian
còn lại để router ngắt kết nối (Lưu ý : không truyền bất kỳ một traffic nào qua lại giữa hai
router để ta có được kết quả chính xác)

ISDN ACTIVE


Out 11 VSIC2 359 171 8 0

ISDN ACTIVE
Out 11 VSIC2 375 154 25 0

ISDN ACTIVE
Out 11 VSIC2 377 179 0 0
Nhận xét : thời gian còn lại để router tự động ngắt kết nối (idle-timeout) không bao giờ
xuống được 0. Do giao thức RIP cứ 30 giây gửi update một lần. Tương tự cho các giao thức
định tuyến động khác.
Trong trường hợp thời gian idle-timeout nhỏ hơn 30 giây thì router sẽ đóng ngắt kết nối liên
tục.
Vì vậy chúng ta không nên sử dụng định tuyến động trong cấu hình ISDN DDR. Sử dụng
static route sẽ cho hiệu quả cao hơn.

BÀI 29: CẤU HÌNH FRAME RELAY CĂN BẢN

1. Giới thiệu :
Frame Relay là kỹ thuật mở rộng của kỹ thuật ISDN. Frame relay sử dụng kỹ thuât
chuyển mạch gói để thiết lập một mạng WAN. Frame Relay tạo ra những đường kết nối ảo để
nối các mạng LAN lại với nhau tạo thành một mạng WAN. Mạng Frame Relay sử dụng các
switch để kết nối các mạng lại với nhau. Kỹ thuật Frame Relay được sử dụng rộng rãi ngày
nay, do có giá thành rẻ hơn rất nhiều so với leased line.
Frame Relay hoạt động ở lớp Data link trong OSI và sử dụng giao thức LAPF (Link
Access Procedure for Frame Relay). Frame Relay sử dụng các frame để chuyển dữ liệu qua
lại giữa các thiết bị đầu cuối của user (DTE) thông qua các thiết bị DCE của mạng Frame
Relay.
Đường kết nối giữa hai DTE thông qua mạng Frame Relay được gọi là một mạch ảo
(VC : Virtual Circuit). Các VC được thiết lập bằng cách gửi các thông điệp báo hiệu
(signaling message) đến mạng; được gọi là switched virtual circuits (SVCs). Nhưng ngày nay,
người ta thường sử dụng permanent virtual circuits (PVCs) để tạo kết nối. PVC là các đường
kết nối được cấu hình trước bởi các Frame Relay Switch và các thông tin chuyển mạch của
gói được lưu trong switch.
Trong Frame Relay, nếu một frame bị lỗi thì sẽ bị hủy ngay mà không có một thông
báo nào.
Các router nối với mạng Frame Relay có thể có nhiều đường kết nối ảo đến nhiều
mạng khác nhau. Do đó, Frame Relay giúp chúng ta tiết kiệm rất nhiều vì không cần các
mạng phải liên kết trực tiếp với nhau.
Các đường kết nối ảo (VC) có các DLCI (Data Link Channel Identifier) của riêng nó.
DLCI được chứa trong các frame khi nó được chuyển đi trong mạng Frame Relay.
Trong Frame Relay, người ta thường sử dụng mạng hình sao để kết nối các mạng
LAN với nhau hình thành một mạng WAN (được gọi là hub and spoke topology)
trong đồ hình này, mạng trung tâm được gọi là hub, các mạng remote1, remote2, remote3,
remote4 và remote5 được gọi là spoke. Mỗi spoke nối với hub bằng một đường kết nối ảo
(VC). Trong đồ hình trên nếu ta muốn các spoke có thể liên lạc được với nhau thì chỉ cần tạo

ra các VC giữa các spoke với nhau. Đồ hình này giúp ta tạo ra một mạng WAN có giá thành
rẻ hơn rất nhiều so với sử dụng leased line, do các mạng chỉ cần một đường nối với mạng
Frame Relay.
Frame Relay sử dụng split horizon để chống lặp. Split horizon không cho phép routing
update trả ngược về interface gửi. Vì trong frame relay, chúng ta có thể tạo nhiều đường PVC
trên một interface vật lý, do đó sẽ bị lặp nếu không có split horizon.
Trong mạng WAN sử dụng leased line, các DTE được nối trực tiếp với nhau nhưng trong
mạng sử dụng Frame Relay, các DTE được nối với nhau thông qua một mạng Frame Relay
gồm nhiều Switch. Do đó chúng ta phải map địa chỉ lớp mạng Frame Relay với địa chỉ IP của
DTE đầu xa. Chúng ta có thể map bằng cách sử dụng các câu lệnh. Nhưng việc này có thể
được thực hiện tự động bằng LMI và Inverse ARP. LMI (Local Management Interface) được
trao đổi giữa DTE và DCE (Frame Relay switch), được dùng để kiểm tra hoạt động và thông
báo tình trạng của VC, điều khiển luồng, và cung cấp số DLCI cho DTE. LMI có nhiều loại là
: cisco (chuẩn riêng của Cisco), ansi (theo chuẩn ANSI Annex D) và q933a (theo chuẩn ITU
q933 Annex A). Khi router mới được nối với mạng Frame Relay, router sẽ gửi LMI đến mạng
để hỏi tình trạng. Sau đó mạng sẽ gửi lại router một thông điệp LMI với các thông số của
đường VC đã được cấu hình. Khi router muốn map một VC với địa chỉ lớp mạng, router sẽ
gửi thông điệp Inverse ARP bao gồm địa chỉ lớp mạng (IP) của router trên đường VC đó đến
với DTE đầu xa. DTE đầu xa sẽ gửi lại một Inverse ARP bao gồm địa chỉ lớp mạng của nó, từ
đó router map địa chỉ này với số DLCI của VC.

encapsulation frame−relay [cisco | ietf]
Cấu hình giao thức đóng gói Frame Relay cho interface. Router hổ trợ hai loại đóng
gói Frame Relay là Cisco và ietf.
frame−relay intf−type [dce | dte | nni]
Cấu hình cho loại Frame Relay switch cho interface. Sử dụng cho router đóng vai trò
là một frame relay switch.
frame−relay lmi−type {ansi | cisco | q933a}
Cấu hình loại LMI sử dụng cho router
frame−relay route in−dlci out−interface out−dlci
Tạo PVC giữa các interface trên router đóng vai trò là một frame relay switch
frame−relay switching
Cấu hình cho router hoạt động như một frame relay switch
show frame−relay pvc [type number [dlci]]
Xem thông số của các đường PVC được cấu hình trêm router
show frame−relay route
Xem tình trạng cũng như thông số đã được cấu hình cho các đường PVC. Câu lệnh
này được sử dụng cho router đóng vai trò là frame relay switch
show frame−relay map
Xem các thông số về map giữa DLCI đầu gần với IP đầu xa
show frame−relay lmi [type number]
Xem các thông số của LMI giữa router với Frame relay switch.

Đồ hình bài lab như hình trên. Router FrameSwitch được cấu hình là một frame relay
switch. Hai đầu cáp serial nối với router FrameSwitch là DCE.
Router VSIC1 và VSIC2 sử dụng giao thức RIP.

Chúng ta cấu hình cho các interface của router VSIC1 và VSIC2 như sau :
VSIC1#sh run
version 12.1
hostname VSIC1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.1.0
end
VSIC2#sh run
version 12.1
hostname VSIC2
interface Loopback0
ip address 11.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip

network 11.0.0.0
network 192.168.1.0
end
Chúng ta tiến hành cấu hình frame realy cho hai router VSIC1 và VSIC2
VSIC1(config)#in s0
VSIC1(config-if)#encapsulation frame-relay Sử dụng giao thức đóng gói
Frame Relay cho interface S0
VSIC1(config-if)#frame-relay lmi-type ansi Cấu hình kiểu của LMI là ANSI
VSIC2(config)#in s0
VSIC2(config-if)#encapsulation frame-relay
VSIC2(config-if)#frame-relay lmi-type ansi
Sau khi cấu hình frame relay cho router VSIC1 và VSIC2, chúng ta sẽ cấu hình cho router
FrameSwitch trở thành một frame relay switch như sau :
FrameSwitch(config)#frame-relay switching Cấu hình cho router trở thành
một Frame Relay Switch
FrameSwitch(config)#in s0
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce Cấu hình interface serial 0
là Frame Relay DCE
FrameSwitch(config-if)#clock rate 64000 Cung cấp xung clock 64000 bps
cho DTE
FrameSwitch(config-if)#frame-relay route 102 interface s1 201
FrameSwitch(config-if)#no shut
FrameSwitch(config)#in s1
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce
FrameSwitch(config-if)#clock rate 64000
FrameSwitch(config-if)#frame-relay route 201 interface s0 102
FrameSwitch(config-if)#no shut
Câu lệnh frame-relay route 102 interface s1 201 có ý nghĩa : bất kỳ một frame relay traffic
nào có DLCI là 102 đến interface serial 0 của router sẽ được gửi ra interface serial 1 với
DLCI là 201. Tương tự cho câu lệnh frame-relay route 201 interface s0 102 : bất kỳ frame
relay traffic nào có DCLI là 201 đến interface serial 1 sẽ được gửi ra serial 0 với DLCI là 102.
Hai câu lệnh trên được sử dụng để tạo ra một PVC giữa S0 và S1.
Để kiểm tra xem router FrameSwitch có hoạt động như một frame relay switch hay
chưa chúng ta sử dụng câu lệnh show frame-relay pvc
FrameSwitch#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DCE)
Active Inactive Deleted Static
Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0
input pkts 3 output pkts 3 in bytes 186

out bytes 166 dropped pkts 1 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0 Num Pkts Switched 3
pvc create time 00:01:04, last time pvc status changed 00:00:40

Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial1

DLCI USAGE chỉ cho ta biết hai interface S0, S1 hoạt động ở chế độ frame relay
switch và đã ACTIVE. Đồng thời thông báo của câu lệnh còn cho ta biết được số gói
đã được chuyển mạch qua interface (Num Pkts Switched 3).
Như vậy, từ kết quả trên ta biết được rằng router FrameSwitch đang hoạt động như một Frame
Relay Switch.
Chúng ta sẽ kiểm tra tình trạng của LMI giữa router FrameSwitch và hai router VSIC1,
VSIC2 bằng câu lệnh show frame lmi
FrameSwitch#show frame lmi
LMI Statistics for interface Serial0 (Frame Relay DCE) LMI TYPE = ANSI
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Rcvd 20 Num Status msgs Sent 20
Num Update Status Sent 0 Num St Enq. Timeouts 0
LMI Statistics for interface Serial1 (Frame Relay DCE) LMI TYPE = ANSI


Num Status Enq. Rcvd 16 Num Status msgs Sent 16
Num Update Status Sent 0 Num St Enq. Timeouts 0
Câu lệnh cho ta biết được thông tin của tất cả các interface của router hoạt động ở chế
độ Frame relay. (Ở đây là interface S0 và S1)
Bây giờ chúng ta sẽ kiểm tra các frame relay route trên router Frameswitch bằng câu lệnh
show frame route
FrameSwitch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
Serial0 102 Serial1 201 active
Serial1 201 Serial0 102 active
Kết quả câu lệnh cho chúng ta biết rằng traffic đến interface serial 0 với DLCI 102sẽ
được chuyển mạch qua serial 1 với DLCI 201; ngược lại, traffic đến serial 1 với DLCI
201 sẽ được chuyển mạch qua serial 0 với DLCI 102. Đồng thời câu lệnh cũng chỉ ra
là cả hai DLCI đều hoạt động.
Chuyển sang router VSIC1, chúng ta sẽ kiểm tra xem DLCI 102 trên interface serial 0
có hoạt động hay chưa bằng cách :
VSIC1#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DTE)

Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0

out bcast pkts 7 out bcast bytes 570
Nhận xét : Interface serial 0 của router VSIC1 hoạt động như một frame relay DTE, và DLCI
102 đã hoạt động.
Mặc định Cisco sử dụng Inverse ARP để map địa chỉ IP đầu xa của PVC với DLCI
của interface đầu gần. Do đó chúng ta không cần phải thực hiện thêm bước này. Để kiểm tra
việc này chúng ta sử dụng câu lệnh show frame-relay map
VSIC1#sh frame-relay map
Serial0 (up): ip 192.168.1.2 dlci 102(0xC9,0x3090), dynamic,
broadcast, status defined, active

Kết quả câu lệnh cho ta biết, DLCI 102 hoạt động trên interface serial 0 và được map
với địa chỉ IP 102.168.1.2 của interface serial 0 VSIC2, và việc map này là tự động.
Lặp lại các bước tương tự để kiểm tra cho router VSIC2
VSIC2#sh frame-relay pvc
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0
VSIC2#sh frame-relay map

Serial0 (up): ip 192.168.1.1 dlci 201(0xC9,0x3090), dynamic,
broadcast,, status defined, active
Nhận xét : DLCI 201 hoạt động trên interface serial 0 của VSIC2 và được map với địa chỉ IP
192.168.1.1
Bây giờ chúng ta sẽ kiểm tra các mạng có thể liên lạc được với nhau chưa bằng cách
lần lượt đứng ở hai router và ping đến các interface loopback của router đầu xa.
VSIC1#ping 11.1.0.1
!!!!!
VSIC2#ping 10.1.0.1
!!!!!
Như vậy, các mạng đã có thể liên lạc được với nhau. Và router FrameSwitch đã thực hiện tốt
chức năng frame relay switch.

Chạy file lab29frcb.net để thực hành với sơ đồ sau:

Ngoài việc thực hành giống như bài lab trên,học viên sử dụng thêm các routing
protocol khác để nắm rõ hơn các routing hoạt động trên môi trường mạng Frame Relay.

BÀI 30:CẤU HÌNH FRAME RELAY SUBINTERFACE

1. Giới thiệu :
Fame relay hầu như rất phổ biến trong công nghệ WAN .Frame Relay cung cấp nhiều hơn
các đặc tính và các lợi nhuận việc kết nối point –to- point WAN .
Trong môi trường Frame Relay hoạt động để đảm bảo việc kết nối làm việc thì 2 đầu thiết
bị bên ngoài Frane Relay phải là data terminal equepment (DTE) và môi trường Frame relay
switch bên trong phải là data communication equepmet(DCE) .Suninterface hoạt động giống
như lease lines mỗi point-to-point suninterface đòi hỏi phải được các subnet riêng biệt.Trong
bài thực hành ta sử dụng mô hình Hub và Spoke. Trong đó Router VSIC là HUB và các
Spoke là router VSIC và VSIC2.
3. Cấu hình :
a) Cấu hình cho router FR-SWITCHING
!
version 12.1
hostname switch
!
frame-relay switching
!
interface Serial0
no ip address

encapsulation frame-relay
no fair-queue
clockrate 64000
frame-relay lmi-type ansi dùng kiểu frame relay ansi
frame-relay intf-type dce
frame-relay route 52 interface Serial1 51 thực hiện route cho các PVC
frame-relay route 53 interface Serial2 51
!
interface Serial1
no ip address
clockrate 64000
frame-relay lmi-type ansi
!
interface Serial2
no ip address
clockrate 64000
!
interface Serial3
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
ip classless
ip http server
line con 0
line aux 0
line vty 0 4
!
end
b) Cấu hình cho router Vsic3 :

!
version 12.1
hostname Vsic3
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0

!
interface Serial0
no ip address
!
interface Serial0.301 point-to-point
ip address 192.168.5.2 255.255.255.0
frame-relay interface-dlci 51
!
router igrp 100
network 192.168.3.0
network 192.168.5.0
!
end
c) Cấu hình cho router VSIC:

version 12.1
hostname VSIC
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Serial0
no ip address
no fair-queue
!
ip address 192.168.4.1 255.255.255.0
!
ip address 192.168.5.1 255.255.255.0
!
router igrp 100
network 192.168.1.0
network 192.168.4.0
network 192.168.5.0
d) Xây dựng cấu hình cho router Vsic2

!
version 12.1

hostname Vsic2
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Serial0
no ip address
!
ip address 192.168.4.2 255.255.255.0
router igrp 100

network 192.168.2.0
network 192.168.4.0
end
Chúng kiểm tra route map của các router bằng câu lệnh sau :
VSIC#sh frame-relay map
Serial0.103 (up): point-to-point dlci, dlci 53(0x35,0xC50), broadcast
status defined, active
Như vậy 4
Sử dụng câu lệnh show frame-relay pvc để kiểm tra các đường PVC
Vsic2#sh frame-relay pvc
DLCI = 51, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0.52

Chúng ta sử dụng câu lệnh sau để xem thông tin về LMI

VSIC#sh frame-relay lmi
LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = ANSI

Num Status Enq. Sent 74 Num Status msgs Rcvd 37

Num Update Status Rcvd 0 Num Status Timeouts 37
switch#show frame-relay pvc

DLCI = 52, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE
= Serial0

= Serial0
input pkts17 output pkts 16 in bytes 1620

= Serial1
Đối với lệnh show frame pvc ta cần chú ý các chế độ sau của PVC status :
ACTIVE : Cả 2 đầu của Frame relay PVC ở trạng thái hoạt động
INACTIVE : Đầu Frame relay của đầu bên kia của router đang có vấn đề về cấu hình, nhưng
tại đầu Frame Relay hiện tại router đã hoạt động tốt.
DELETED : Vấn đề xảy ra với Router hiện tại. LMI chưa hoạt động.
Bây giờ chúng ta sẽ kiểm tra trạng thái của các cổng:
Vsic2#sh ip int brief

Interface IP-Address OK? Method Status Prot
ocol
Loopback0 192.168.2.1 YES manual up up
Serial0 unassigned YES unset up up
Serial0.201 192.168.4.2 YES manual up up

TokenRing0 unassigned YES unset administratively down down
Vsic2#sh frame-relay map

Chúng ta kiểm tra lại bảng định tuyến của các router:
Vsic2#sh ip route
D - IGRP, EX - IGRP external, O - OSPF, IA - OSPF inter area
C 192.168.4.0/24 is directly connected, Serial0.201

I 192.168.5.0/24 [100/10476] via 192.168.4.1, 00:00:25, Serial0.201
I 192.168.1.0/24 [100/8976] via 192.168.4.1, 00:00:25, Serial0.201
I 192.168.3.0/24 [100/10976] via 192.168.4.1, 00:00:25, Serial0.201
Vsic2#ping 192.168.4.2
!!!!!
Vsic2#ping 192.168.4.1
!!!!!
Vsic3#ping 192.168.5.1
!!!!!
Vsic2#ping 192.168.3.1
!!!!!

Như vậy ta đã hoàn thành việc định tuyến trên mạng Frame Relay.

Sơ đồ sau khi chạy file lab30Frnc.net :
Ta cấu hình các router Frame Relay SW, VSIC, VSIC2, VSIC3 giống như trên. Tuy
nhiên ở nhà học viên nên sử dụng những giao thức khác như EIGRP hay OSPF,RIP. Và cần
phải test đã định tuyến được hay chưa.

Vsic Ccna

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Vsic Ccna

Uploaded by

Copyright:

Available Formats

CCNA Tài liệu dành cho học viên

VSIC Education Corporation Trang 1

Phần I : Cisco IOS

5. Qui tắc đặt mật khẩu :

VSIC Education Corporation Trang 2

VSIC Education Corporation Trang 3

VSIC Education Corporation Trang 4

Press RETURN to get started. nhấn enter

Password:cert khai báo mật khẩu console là : cert

VSIC Education Corporation Trang 5

VSIC Education Corporation Trang 6

BÀI 2: Cisco Discovery Protocol (CDP)

4. Các bước thực hiện :

VSIC Education Corporation Trang 7

logging rate-limit console 10 except errors

Current configuration : 450 bytes

VSIC Education Corporation Trang 8

VSIC Education Corporation Trang 9

VSIC1#show cdp neighbors

Device ID Local Intrfce Holdtme Capability Platform Port ID

VSIC1#show cdp neighbors detail

VSIC Education Corporation Trang 10

IOS (tm) 2500 Software (C2500-I-L), Version 12.1(26), RELEASE SOFTWARE

VSIC Education Corporation Trang 11

tắt chế độ cdp trên nó

VSIC Education Corporation Trang 12

VSIC Education Corporation Trang 13

VSIC Education Corporation Trang 14

VSIC Education Corporation Trang 15

VSIC Education Corporation Trang 16

C:\Documentsand settings\Administrator>Telnet 10.0.0.1

Từ Router Vsic1 vào Router Vsic2:

VSIC Education Corporation Trang 17

1 AUX 9600/9600 - - - - 0 0 0/0 -

5. Cấu hình sử dụng Dynagen(dành cho Học viên tự thực hành):

# No need to specify an adapter here, it is taken care of

VSIC Education Corporation Trang 18

# by the interface specification under Router VSIC1

Ta chú ý dòng F0/0 = NIO_gen_eth:\Device\NPF_{3E56FAD7-7D96-4763-AD9E-

VSIC Education Corporation Trang 19

BÀI 4: KHÔI PHỤC MẬT KHẨU CHO CISCO ROUTER

Trong đồ hình trên PC nối với router bằng cáp console

VSIC Education Corporation Trang 20

9 Bước 4 : Thay đổi thanh ghi (từ 0x2142 sang 0x2102).

Press RETURN to get started.

System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE

VSIC Education Corporation Trang 21

vsic(config)#ena pass class mật khẩu enable password là class

VSIC Education Corporation Trang 22

enable secret 5 $1$49cD$jrvYyRSQhpTAHuDA1/R1v.

VSIC Education Corporation Trang 23

BÀI 5: RECOVERY PASSWORD CHO SWITCH 2950

VSIC Education Corporation Trang 24

VSIC Education Corporation Trang 25

BÀI 6: NẠP IOS IMAGE TỪ TFTP SERVER CHO CISCO ROUTER

VSIC Education Corporation Trang 26

Copyright (c) 1986-2002 by cisco Systems, Inc.

ROM: System Bootstrap, Version 11.0(10c), SOFTWARE

VSIC Education Corporation Trang 27

vsic uptime is 15 minutes

cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory.

Configuration register is 0x2102 Thanh ghi hiện hành

Dùng lệnh Show Flash để xem bộ nhớ Flash