NHẬN XÉT CỦA CƠ SỞ THỰC TẬP

Họ tên người thực

tập:..................................................................................................Lớp................………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……
Điểm: …………………….

Ngày …… tháng …… năm 2011…

CƠ SỞ THỰC TẬP
(Ký và đóng dấu)

1
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN VÀ KẾT QUẢ BẢO VỆ THỰC
TẬP TỐT NGHIỆP
Sinh viên :....................................................................................................................
Lớp :.............................................................................................................................
Địa điểm thực tập:........................................................................................................
I. TIẾN ĐỘ VÀ THÁI ĐỘ THỰC TẬP CỦA SINH VIÊN
1. Mức độ liên hệ với giáo viên :......................................................................................
.................................................................................................................................
2. Thời gian thực tập và quan hệ với cơ sở:......................................................................

3. Tiến độ thực hiện :........................................................................................................

II. NỘI DUNG BÁO CÁO
1. Thực hiện các nội dung thực tập:.................................................................................

2. Thu thập và xử lý số liệu thực tế:.................................................................................

3. Khả năng hiểu biết thực tế và lý thuyết:................................................................

III. HÌNH THỨC TRÌNH BÀY: .....................................................................................

IV. MỘT SỐ Ý KIẾN KHÁC: ........................................................................................

V. Ý KIẾN CỦA GIÁO VIÊN HƯỚNG DẪN
(Đồng ý hay không đồng ý cho bảo vệ):...........................................................................
ĐIỂM:...............................
Ngày ….tháng … năm 200…
(Ký và ghi rõ họ tên)

VI. KẾT QUẢ BẢO VỆ:.................................. ĐIỂM.......... .

(Ký và ghi rõ họ tên)

2
 Lời nói đầu
Trong công cuộc đổi mới không ngừng của khoa học công nghệ, nhiều lĩnh vực
đã và đang phát triển vượt bậc, đặc biệt là lĩnh vực công nghệ thông tin. Thành
công lớn nhất là sự ra đời của máy tính, kể từ đó máy tính được coi là một
phương tiện trợ giúp đắc lực cho con người trong mọi lĩnh vực. Nhưng tất cả các
máy tính đều đơn lẻ và không thể chia sẻ thông tin cho nhau.
Chính vì vậy công nghệ thông tin - đặc biệt là Internet, bắt đầu được sử
dụng ở Hoa Kỳ vào năm 1995 (Wiles và Bondi, 2002) và sau đó bắt đầu được
phổ biến rộng rãi trên toàn thế giới. Ngày nay, thật khó có thể hình dung được
công nghệ thông tin đã phát triển nhanh đến thế nào? Có thể nói ngành công nghệ
thông tin là ngành phát triển nhanh nhất trong tất cả các ngành và nó được ứng
dụng trong mọi lĩnh vực. Để có được như vậy thì cần phải có một mạng máy tính
để chia sẻ dữ liệu và dùng chung dữ liệu. Mang máy tính được các tổ chức sử
dụng để chia sẻ thông tin, dùng chung tài nguyên và cho phép giao tiếp trực tuyến
trên mạng như: mail, thư điện tử...
Cùng với sự phát triển đó, làm thúc đẩy các ngành kinh tế khác cũng phát
triển theo. Trong đó có ngành Giáo Dục cũng đang triển khai, áp dụng công nghệ
thông tin vào trong công việc quản lý, giảng dậy, điều hành. Tất cả mọi hoạt động
giải trí, kinh doanh, mua bán… đều nhanh chóng, tiện lợi, hiệu quả cao.
Nhận thấy được những lợi ích mà công nghệ thông tin mang lại cho chúng
ta, thì nhóm chúng em với mong muốn nghiên cứu và tìm hiểu về lắp đặt cơ sở hạ
tầng mạng và cấu hình cho các thiết bị có thể hoạt động được trong mạng. “Xây
dựng hệ thống mạng LAN cho trường đại học” chính là đề tài đang được nghiên
cứu và tìm hiểu.
Trong thời gian tìm hiểu và nghiêm cứu, do thời gian hạn chế và tìm hiểu
chưa đươc kỹ càng nên sẽ không tránh khỏi các thiếu sót.

3
 Chương 1 : Tổng quan hệ thống CNTT trong các trường
ĐH
I. Vai trò của CNTT trong các trường ĐH
Công nghệ thông tin có một vai trò hết sức to lớn vào trong ngành giáo
dục.Nó giúp cho sự chao đổi thông tin giữa các trường Đại học nhanh hơn rất
nhiều so với trước kia, giúp cho việc giảng dạy của các giáo viên được thuận lợi
hơn, sinh viên có thể tìm đọc tài liệu một cách hết sức dễ dàng…
Các trường ĐH nằm cách xa nhau về mặt địa lý và khó có khả năng cho
sinh viên có thể chuyển đổi nơi học và thực tập, và do đó, mỗi trường ĐH có con
đường và lãnh địa riêng của mình. Hiện nay, tình hình đã không còn như vậy nữa.
Với công nghệ thông tin, trái đất chúng ta đã trở nên nhỏ bé và gần gũi hơn.
Phần lớn các trường ĐH Việt Nam hiện nay đang vận hành một cách
riêng rẽ và ít có sự cạnh tranh do đặc thù là các trường vốn có truyền thống lâu
đời là các trường đơn ngành. Hiện nay, với sự xuất hiện của các trường mới, đặc
biệt là các trường quốc gia và trường vùng đa ngành, các trường dân lập, tình
hình có khác hơn. Tuy nhiên, theo khảo sát của chúng tôi khi tham gia tư vấn tự
đánh giá cho 20 trường ĐH đầu tiên của Việt Nam, việc sử dụng công nghiện
thông tin vào xây dựng chương trình học cũng như giảng dạy của các trường còn
rất nhiều hạn chế mà lý do chủ yếu là chưa có các chính sách hiệu quả và chưa
có sự đồng tâm từ phía các giảng viên.
Thử đặt ra câu hỏi: IT có thể cải tiến được chất lượng của giáo dục đại học
không? Tất nhiên, IT không thể một mình có thể làm nên tất cả chất lượng, tuy
nhiên, quan trọng nhất là những lựa chọn mà chúng ta phải có để ứng dụng IT
vào nhằm nâng cao chất lượng GD ĐH.
Các công dụng của Internet
Có thể liệt kê một số công dụng của Internet trong giảng dạy và học tập đại học
như sau:
1. Giảng viên có thể giao tiếp với tất cả các đối tượng: đồng nghiệp, sinh
viên, cấp trên và các đối tượng với nhau bằng email;
2. Việc giảng dạy không những có thể diễn ra trên lớp mà có thể diễn ra ở bất
cứ lúc nào và bất cứ ở đâu;
3. Việc học của sinh viên có thể được cá nhân hóa với sự giúp đỡ của giảng
viên bằng cách trao đổi trực tiếp với giảng viên mà không ngại bị đánh giá;

4
II. Thực tế triển khai hạ tầng mạng trong các đơn vị giáo dục
Hiện nay trong các trường đại học thì việc triển khai hạ tầng mạng còn
nhiều thiếu sót và các mô hình chưa được chuẩn về một số mặt như:
3. Chưa có tường lửa bảo vệ cơ sở dữ liệu cũng như bảo mật
4. Phân vùng chức năng hệ thống chưa đúng mục đích
5. Cơ sở hạ tầng mạng chưa chuẩn
i. Mô hình hệ thống thiếu sót
ii. Phân hoạch địa chỉ chưa chuẩn
iii. Chính sách truy cập mạng cho hệ thống chưa đúng theo chức
năng

III. Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH

Để quy hoạch lại hệ thống mạng, ta quy hoạch lại hệ thống mạng theo
chuẩn của Cisco.
1. Xây dựng theo mô hình mạng chuẩn 3 lớp: Accsess switch, distribution,
core switch
2. Dùng tường lửa (Fire wall) để bảo vệ dữ liệu và ngăn chặn sự truy cập trái
phép từ bên ngoài vào mạng nội bộ.
3. Phân vùng mạng hợp lý và chuẩn theo mô hình
4. Hạ tầng mạng gồm:
 Mô hình
 Phân hoạch địa chỉ

5
  Chính sách truy cập của từng vùng

Chương 2: Phân tích hệ thống mạng trong trường ĐH

2.1. Phân tích yêu cầu hệ thống mạng tại một đơn vị đại học
2.1.1 Phân vùng truy cập với các chính sách là:

i . Vùng DMZ chứa các máy chủ web, Email, các ứng dụng: Các máy chủ của
vùng DMZ này có thể public qua các mạng khác, Inside. Các máy chủ của DMZ
và sever Inside có thể móc nối dữ liệu với nhau.
ii. Vùng Inside (máy chủ dữ liệu và các VLAN access): Các PC từ các VLAN
có thể truy cập đến các máy chủ tại vùng DMZ và Inside và các PC từ các VLAN
có thể truy cập internet qua đường leasedline.
iii. Vùng outside: Các mạng từ bên ngoài mạng internet chỉ có thể truycập đến
các sever thuộc vùng DMZ mà không thể truy cập đến các vùng nào khác.
2.1.2 Các lớp truy cập người dùng
i. Lớp truy cập của cán bộ, giáo viên: Các PC của các VLAN cùng phòng này
có thể thông với nhau và có thể truy cập internet, các máy chủ của vùng DMZ
nhưng các PC ở các VLAN này không thể truy cập đến các VLAN khác cũng như
các máy chủ dữ liệu của sever Inside.
ii. Lớp truy cập dành cho sinh viên: Chỉ được phép truy cập đến các máy chủ
của vùng DMZ cũng như được phép truy cập Internet, nhưng không thể truy cập
đến các VLAN khác
iii. Lớp truy cập của người quản trị: Đối với những người quản trị mạng thì
được phép truy cập đến tất cả các vùng mà không bị hạn chế.
iiii. Lớp đào tạo: Được phép truy cập đến các máy chủ đào tạo cũng như máy
chủ dữ liệu vùng sever Inside.

6
2.2. Yêu cầu phải quy hoạch lại hệ thống mạng trong các trường ĐH

Với những ưu điểm của Cisco, ta sẽ xây dựng một hệ thống mạng mới cho
trường đại học để có thể thay thế tốt nhất cho một hệ thống cũ, đã lỗi thời:
 Mở rộng băng thông giúp giao thông trong mạng giảm thiểu tắc nghẽn do
cùng một lúc có nhiều người truy cập.
 Tính bảo mật cao, giúp mạng nội bộ có thể tránh được sự truy cập trái phép
từ bên ngoài. Kiểm soát được luồng thông tin giữa mạng nội bộ và mạng Internet,
kiểm soát và cấm địa chỉ truy cập.
 Khả năng kết nối Internet nhanh chóng,
 Tiết kiệm năng lượng trên cơ sở hạ tầng mạng

Chương 3: Thiết kế hệ thống mạng trong trường ĐH

3.1. Giới thiệu tổng quan về cấu trúc mạng:

3.1.1 Tổng quan về hệ thống mạng (Các mô hình mạng LAN, WAN, phân
chia IP)

Mạng LAN Campus theo kiến trúc phân tầng:

7
 Mạng LAN được thiết kế tuân theo mô hình 3 lớp của mạng LAN campus do
Cisco Systems đưa ra. Mô hình này hiện nay cũng được rất nhiều hang sản xuất
áp dụng phổ biến vì những lợi ích mà nó mang lại. Theo Cisco, mạng LAN
campus có thể được phân thành 3 lớp cơ bản như sau:

• lớp Lõi (core layer),

• lớp Phân Phối (Distribution Layer)
• lớp Truy Cập (Access Layer).

Tuy nhiên, tùy theo quy mô của mạng LAN mà có thể có hay không có lớp
Lõi. Dưới đây chúng tôi sẽ trình bày sơ lược về cả ba lớp của mô hình LAN
Campus của Cisco.

3.1.1.1 Lớp Lõi (Core Layer)

Lớp lõi là lớp trung tâm của mạng LAN campus, nằm trên cùng của mô hình 3
lớp. Lớp lõi chịu trách nhiệm vận chuyển khối lượng lớn dữ liệu mà phải đảm
bảo được độ tin cậy và nhanh chóng. Mục đích duy nhất của lớp lõi là phải
chuyển mạch dữ liệu càng nhanh càng tốt. Tuy phần lớn dữ liệu của người dùng
được vận chuyển qua lớp Lõi nhưng việc xử lý dữ liệu nếu có lại là trách nhiệm
của lớp Phân Phối.

8
 Nếu có một sự hư hỏng xảy ra ở lớp Lõi, hầu hết các người dùng trong mạng
LAN đều bị ảnh hưởng. Vì vậy, sự dự phòng là rất cần thiết lại lớp này. Do lớp
lõi vận chuyển một số lượng lớn dữ liệu, nên độ trễ tại lớp này phải là cực nhỏ.
Tại lớp lõi, ta không nên làm bất cứ một điều gì có thể ảnh hưởng đến tốc độ
chuyển mạch tại lớp lõi như là tạo các access list, routing giữa các VLAN với
nhau hay packet filtering.

Việc thiết kế lớp Lõi phải thỏa mãn một số nguyên tắc sau:

1. Có độ tin cậy cao, thiết kế dự phòng đầy đủ như dự phòng nguồn, dự

phòng card xử lý, dự phòng node, ...
2. Tốc độ chuyển mạch cực cao, độ trễ phải cực bé.
3. Nếu có chọn các giao thức định tuyến thì phải chọn loại giao thức nào có
thời gian thiết lập (convergence) thấp nhất, có bảng định tuyến đơn giản
nhất.

3.1.1.2 Lớp Phân Phối (Distribution Layer)

Lớp Phân Phối cung cấp kết nối giữa lớp Truy Cập và lớp Lõi của mạng campus.
Chức năng chính của lớp Phân Phối là xử lý dữ liệu như là: định tuyến (routing),
lọc gói (filtering), truy cập mạng WAN, tạo access list,... Lớp Phân Phối phải xác
định cho được con đường nhanh nhất mà các yêu cầu của user được đáp ứng. Sau
khi xác định được con đường nhanh nhất, nó gởi các yêu cầu đến lớp Lõi. Lớp
Lõi chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết.

Lớp Phân Phối là nơi thực hiện các chính sách (policies) cho mạng. Có một
số điều nên thực hiện khi thiết kế lớp Phân Phối:

• Thực hiện các access list, packet filtering, và queueing tại lớp này
• Thực hiện bảo mật và các chính sách mạng bao gồm address translation
(như NAT, PAT) và firewall.
• Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm
cả định tuyến tĩnh.
• Định tuyến giữa các VLAN với nhau.

3.1.1.3Lớp Truy Cập (Access Layer)

9
Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm
trên cùng một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer. Bất cứ
các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài vào) đều được
xử lý ở lớp Phân Phối. Lớp Truy Cập phải có các chức năng sau:

 Tiếp tục thực hiện các access control và policy từ lớp Phân Phối.
 Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không
dùng hub/bridge.
 Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng
thời phải có giá thành thấp, kết nối đến các máy trạm hoặc kết nối tốc
độ Gigabit (1000 Mbps) đến thiết bị chuyển mạch ở lớp phân phối.
 Như đã nói ở trên, tùy theo quy mô của mạng mà ta có thể thực hiện
đầy đủ luôn cả 3 lớp hoặc chỉ thực hiện mô hình kết hợp 2 lớp.
 Đối với hệ thống mạng LAN Campus của Cụm cảng quy mô và số
lượng người sử dụng cuối khá nhỏ nên sẽ áp dụng mô hình 2 lớp gồm
có lớp Phân Phối và lớp Access. Lớp Phân Phối chính là thiết bị
chuyển mạch trung tâm đặt tại Trung tâm hệ thống mạng, lớp Access
là các thiết bị chuyển mạch lớp 2 đặt tại các chi nhánh nằm dải rác
quanh đó.

3.2. Mô hình 7 tầng OSI, giao thức TCP/IP

3.2.1. Các chuẩn của mạng và mô hình OSI
a. Định nghĩa

10
Mô hình OSI (Open Systems Interconnection Reference Model, viết ngắn là OSI
Model hoặc OSI Reference Model)- tạm dịch là Mô hình tham chiếu kết nối các
hệ thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu
tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức
mạng giữa chúng. Mô hình này được phát triển thành một phần trong kế hoạch
Kết nối các hệ thống mở (Open Systems Interconnection) do ISO và IUT-T khởi
xướng. Nó còn được gọi là Mô hình bảy tầng của OSI

b. Mục đích
Mô hình OSI phân chia chức năng của một giao thức ra thành một chuỗi các tầng
cấp. Mỗi một tầng cấp có một đặc tính là nó chỉ sử dụng chức năng của tầng dưới
nó, đồng thời chỉ cho phép tầng trên sử dụng các chức năng của mình.
Thông thường thì chỉ có những tầng thấp hơn là được cài đặt trong phần cứng,
còn những tầng khác được cài đặt trong phần mềm.
Tính năng chính của nó là quy định về giao diện giữa các tầng cấp, tức qui định
đặc tả về phương pháp các tầng liên lạc với nhau. Điều này có nghĩa là cho dù các
tầng cấp được soạn thảo và thiết kế bởi các nhà sản xuất, hoặc công ty, khác nhau
nhưng khi được lắp ráp lại, chúng sẽ làm việc một cách dung hòa (với giả thiết là
các đặc tả được thấu đáo một cách đúng đắn
Việc phân chia hợp lí các chức năng của giao thức khiến việc suy xét về chức
năng và hoạt động của các chồng giao thức dễ dàng hơn, từ đó tạo điều kiện cho
việc thiết kế các chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao. Mỗi tầng
cấp thi hành và cung cấp các dịch vụ cho tầng ngay trên nó, đồng thời đòi hỏi
dịch vụ của tầng ngay dưới nó.
Như đã nói ở trên, một thực thi bao gồm nhiều tầng cấp trong mô hình OSI,
thường được gọi là một "chồng giao thức" (ví dụ như chồng giao thức TCP/IP)

11
3.2.2 Các tầng của OSI
3.2.2.1 Lớp Application

Lớp trên cùng trong mô hình OSI là lớp Application. Thứ đầu tiên mà bạn
cần hiểu về lớp này là nó không ám chỉ đến các ứng dụng mà người dùng đang
chạy mà thay vào đó nó chỉ cung cấp nền tảng làm việc (framework) mà ứng
dụng đó chạy bên trên.

Để hiểu lớp ứng dụng này thực hiện những gì, chúng ta hãy giả dụ rằng một
người dùng nào đó muốn sử dụng Internet Explorer để mở một FTP session và
truyền tải một file. Trong trường hợp cụ thể này, lớp ứng dụng sẽ định nghĩa
một giao thức truyền tải. Giao thức này không thể truy cập trực tiếp đến người
dùng cuối mà người dùng cuối này vẫn phải sử dụng ứng dụng được thiết kế để
tương tác với giao thức truyền tải file. Trong trường hợp này, Internet Explorer
sẽ làm ứng dụng đó.

3.2.2.2 Lớp Presentation

Lớp Presentation thực hiện một số công việc phức tạp hơn, tuy nhiên mọi
thứ mà lớp này thực hiện có thể được tóm gọn lại trong một câu. Lớp này lấy dữ
liệu đã được cung cấp bởi lớp ứng dụng, biến đổi chúng thành một định dạng
chuẩn để lớp khác có thể hiểu được định dạng này. Tương tự như vậy lớp này
cũng biến đổi dữ liệu mà nó nhận được từ lớp session (lớp dưới) thành dữ liệu
mà lớp Application có thể hiểu được. Lý do lớp này cần thiết đến vậy là vì các
ứng dụng khác nhau có dữ liệu khác nhau. Để việc truyền thông mạng được
thực hiện đúng cách thì dữ liệu cần phải được cấu trúc theo một chuẩn nào đó.

3.2.2.3 Lớp Session

Khi dữ liệu đã được biến đổi thành định dạng chuẩn, máy gửi đi sẽ thiết
lập một phiên – session với máy nhận. Đây chính là lớp sẽ đồng bộ hoá quá
trình liên lạc của hai máy và quản lý việc trao đổi dữ liệu. Lớp phiên này chịu
trách nhiệm cho việc thiết lập, bảo trì và kết thúc session với máy từ xa.

Một điểm thú vị về lớp session là nó có liên quan gần với lớp Application
hơn với lớp Physical. Có thể một số người nghĩ răng việc kết nối session mạng
như một chức năng phần cứng, nhưng trong thực tế session lại được thiết lập
giữa các ứng dụng. Nếu người dùng đang chạy nhiều ứng dụng thì một số ứng
dụng này có thể đã thiết lập session với các tài nguyên ở xa tại bất kỳ thời điểm
nào.

3.2.2.4 Lớp Transport

12
 Lớp Transport chịu trách nhiệm cho việc duy trì vấn đề điều khiển luồng.
Hệ điều hành Windows cho phép người dùng có thể chạy nhiều ứng dụng một
cách đồng thời, chính vì vậy mà nhiều ứng dụng, và bản thân hệ điều hành cần
phải truyền thông trên mạng đồng thời. Lớp Transport lấy dữ liệu từ mỗi ứng
dụng và tích hợp tất cả dữ liệu đó vào trong một luồng. Lớp này cũng chịu trách
nhiệm cho việc cung cấp vấn đề kiểm tra lỗi và thực hiện khôi phục dữ liệu khi
cần thiết. Bản chất mà nói, lớp Transport chịu trách nhiệm cho việc bảo đảm tất
cả dữ liệu từ máy gửi đến máy nhận.

3.2.2.5 Lớp Network

Lớp mạng Network là lớp có trách nhiệm quyết định xem dữ liệu sẽ đến
máy nhận như thế nào. Lớp này nắm những thành phần như việc định địa chỉ,
định tuyến, và các giao thức logic. Bên cạnh đó lớp mạng cũng chịu trách nhiệm
cho việc quản lý lỗi của chính nó, cho việc điều khiển xếp chuỗi và điều khiển
tắc nghẽn.

Việc sắp xếp các gói là rất cần thiết bởi mỗi một giao thức giới hạn kích
thước tối đa của một gói. Số lượng dữ liệu phải được truyền đi thường vượt quá
kích thước gói lớn nhất. Chính vì vậy mà dữ liệu được chia nhỏ thành nhiều gói
nhỏ. Khi điều này xảy ra, lớp mạng sẽ gán vào mỗi gói nhỏ này một số thứ tự
nhận dạng.

Khi dữ liệu này đến được máy tính người nhận thì lớp mạng lại kiểm tra số
thứ nhận dạng của các gói và sử dụng chúng để sắp xếp dữ liệu đúng như những
gì mà chúng được chia lúc trước từ phía người gửi, bên cạnh đó còn có nhiệm
vụ chỉ ra gói nào bị thiếu trong quá trình gửi.

3.2.2.6 Lớp Data Link

Lớp liên kết dữ liệu Data Link có thể được chia nhỏ thành hai lớp khác;
Media Access Control (MAC) và Logical Link Control (LLC). MAC về cơ bản
thiết lập sự nhận dạng của môi trường trên mạng thông qua địa chỉ MAC của
nó. Địa chỉ MAC là địa chỉ được gán cho adapter mạng ở mức phần cứng. Đây
là địa chỉ được sử dụng cuối cùng khi gửi và nhận các gói. Lớp LLC điều khiển
sự đồng bộ khung và cung cấp một mức kiểm tra lỗi.

3.2.2.7 Lớp Vật Lý

Lớp vật lý của mô hình OSI ám chỉ đến các chi tiết kỹ thuật của phần
cứng. Lớp vật lý định nghĩa các đặc điểm như định thời và điện áp. Lớp này
cũng định nghĩa các chi tiết kỹ thuật phần cứng được sử dụng bởi các adapter
mạng và bởi cáp mạng (thừa nhận rằng kết nối là kết nối dây). Để đơn giản hóa,

13
 lớp vật lý định nghĩa những gì để nó có thể truyền phát và nhận dữ liệu.

Làm việc hai chiều

Cho đến lúc này, chúng ta đã thảo luận về mô hình OSI dưới dạng một ứng
dụng cần truyền tải dữ liệu trên mạng. Mô hình này cũng được sử dụng khi một
máy tính nào đó nhận dữ liệu. Khi dữ liệu được nhận, dữ liệu đó đi ngược trở
lên từ lớp vật lý. Các lớp còn lại làm việc để tách bỏ những gì đã được đóng gói
bên phía gửi và biến đổi dữ liệu về định dạng mà lớp ứng dụng có thể sử dụng
được.

3.2. Giới thiệu công nghệ mạng Cisco

Các doanh nghiệp lớn sẽ cần đến một cơ sở hạ tầng mạng có khả năng đáp ứng
nhu cầu đa dạng của công ty. Cisco đưa ra khuynh hướng về một hệ thống toàn
cầu, tích hợp hướng đến xây dựng mạng lưới thông minh có thể giúp đổi mới
doanh nghiệp của bạn cũng như đạt được hiệu quả hoạt động và lợi nhuận cao
hơn.

Một hệ thống mạng đơn giản dựa trên giao thức TCP/IP sử dụng classful
32-bit IP address và distance vector. Nhưng công nghệ thì liên tục thay đổi và
phát triển yêu cầu hệ thống mạng cần phải có sự thay đổi, thiết kế lại, hay xây
dựng một mô hình mạng mới, việc tạo ra một hệ thống mạng với tính tuỳ biến
cao là cần thiết.

Mở rộng là khả năng của hệ thống mạng đáp ứng yêu cầu ngày càng phát triển
với trọng tâm là thiết kế lại và cài đặt lại hệ thống. Nhưng việc phát triển của hệ
thống mạng thì rất nhanh nhưng thiết kế lại hệ thống là một điều không hề đơn

14
giản. Đáp ứng yêu cầu giá cả, và sự đơn giản trong quá trình quản trị và bảo
dưỡng hệ thống mạng. Ngoài ra hệ thống mạng cần phải thiết lập sự ưu tiên cho
những ứng dụng khác nhau.

Khi thiết kế hệ thống đáp ứng các yêu cầu phát triển trong tương lai ta cần phải
hiểu được cấu trúc vật lý và các giao thức mạng để thiết kế triển khai một cách
hợp lý và tối ưu nhất.

3.2.1 Thiết kế mô hình mạng ba lớp:

Với một hệ thống mạng được thiết kế có cấu trúc phân lớp nhằm tránh sự phức tạp hoá
trong mạng, việc chia ra các lớp nhỏ giúp chúng ta nhóm những thiết bị, các giao thức
kết nối, và tính năng cụ thể cho từng lớp một, giải quyết các sự cố một cách nhanh nhất
liên quan trực tiếp tới một lớp nào đó. Tối ưu hoá hệ thống mạng.

Cisco giới thiệu mô hình mạng ba lớp bao gồm:

• Core layer
• Distribution layer
• Access layer

15
Khái niệm mô hình mạng ba lớp dựa trên vai trò của từng lớp đó trong hệ thống
mạng, nó cũng tương tự như khái niệm mô hình mạng OSI chia ra dựa trên vai trò
của từng lớp trong việc truyền dữ liệu.

Sử dụng mô hình mạng với cấu trúc phân lớp mang lại sự thuận tiện trong thiết
kế, cụ thể trong triển khai, dễ dàng để quản lý và giải quyết sự cố. Và cũng đáp
ứng được yêu cầu về tính mềm dẻo cho hệ thống mạng.

Nhưng trong cùng một thời điểm rất khó có thể tách biệt hoàn toàn thiết bị này
thiết làm việc tại lớp nào. Nhưng mỗi lớp trong hệ thống mạng cũng có thể sẽ bao
gồm các thiết bị như: Router, Switch, Link, giải pháp tích hợp

Một vài hệ thống mạng có kết hợp các thành phần của hai lớp vào làm một để đáp
ứng các yêu cầu riêng. Dưới đây là vai trò của từng tầng trong mô hình mạng:

3.2.1.1 Core Layer

Lớp Core Layer cung cấp tối ưu hoá và độ tin cậy trong quá trình truyền tin với
tốc độ rất cao (high speeds). Nhưng không phải lớp Core Layer đáp ứng toàn bộ
quá trình truyền thông tin trên mạng, nhưng đó có thể được coi như đường đại lộ
liên kết các đường nhỏ với nhau, đôi khi các giao tiếp chỉ thực hiện ở một lớp duy
nhất mà thôi. Lớp Core Layer đáp ứng các vai trò sau:

- Kiểm tra Access-list

- Mã hoá dữ liệu
- Address translation

Các thiết bị hoạt động trong lớp Core Layer bao gồm các dòng: 12000, 7500,
7200, and 7000 series routers

16
 Core Layer (tầng lõi): đây là các thiết bị rất quan trọng, có tốc độ xử lý cao,
thường đảm nhiệm việc quản lý tập trung. Ở tầng này hầu như không có bất kỳ
một sự ràng buộc nào về các Rules của Firewall hoặc VLAN, chỉ đơn giản là
Forward dữ liệu đi mà thôi. Tầng Core này là mắc tiền nhất vì có nhiều tính năng
với các Card mở rộng và Module...

3.2.1.2 Distribution Layer

Distribution Layer làm việc ở giữa Core Layer và Access Layer, với vai trò đáp
ứng một số giao tiếp giúp giảm tải cho lớp Core Layer trong quá trình truyền
thông tin trong mạng. Với tác dụng của lớp này cung cấp danh giới cho việc sử
dụng access lists và các tính năng lọc khác để khi cần thiết sẽ gửi lên lớp core
layer. Tuy nhiên lớp này cũng là lớp định nghĩa các chính sách cho mạng. Một
chính sách có thể áp dụng các dạng cụ thể sau:

- Routing updates
- Route summaries
- VLAN
- Address aggregation

Sử dụng các chính sách để bảo mật mạng và chống các giao dịch không cần thiết.

Nếu một hệ thống mạng bao gồm hai hoặc nhiều routing protocol, như Routing
Information Protocol (RIP) và Interior Gateway Routing Protocol (IGRP), toàn
bộ các vấn đề trên làm việc tại lớp distribution.

Các thiết bị hoạt động tại lớp Distribution layer: 4500, 4000, and 3600 series
routers

Distribution Layer (tầng phân phối): bao gồm các thiết bị như ROUTER,
SWITCH LAYER 3, MULTI-SWITCH, FIREWALL .... ở tầng này, các thiết bị
làm nhiệm vụ đưa lượng thông tin tới nơi cần thiết (tức là phân phối í mà). Tuy
nhiên, các thiết bị như Switch layer 3 hoặc Multi-layer có tốc độ xử lý nhanh hơn
Router và Firewall; thiết bị tầng này tiếp nhận các luồng dữ liệu từ Access Layer
tới và chuyển ra tầng cao hơn hoặc ra ngoài.

3.2.1.3 Access Layer

Mang đến sự kết nối của người dùng với các tài nguyên trên mạng hoặc các
giao tiếp với lớp Distribution. Access layer sử dụng Access lists để chống lại
những kẻ xâm nhập bất hợp pháp, trong lớp Access layer cũng mang đến các kết
nối như WAN, Frame Relay, ISDN, hay Leased lines.

17
Các thiết bị hoạt động tại lớp Access Layer: 2600, 2500, 1700, and 1600 series
routers

Về việc thiết kế mạng, Cisco đưa ra một mô hình phân tầng rõ ràng, phân chia
theo nhu cầu sử dụng và tính năng của sản phẩm và nhanh chóng được mọi người
+ các hãng khác chấp nhận. Mô hình mà Cisco đưa ra bao gồm: Core Layer,
Distribution Layer, Access Layer.

Access Layer (tầng truy cập): các thiềt bị bao gồm HUB, SWITCH thông
thường, SWITCH có VLAN... nói chung là các thiết bị từ Layer 2 của mô hình
OSI trở xuống. Các thiết bị này nói chung là tương đối rẻ hơn các thiết bị ở các
Layer khác. Đây là vị trí kết nối với hầu hết các thiết bị của End-user.

Điểm cần chú ý ở tầng này thường thì các Multi-layer Switch hoặc Switch
Layer 3 sẽ được nối với Server Farm để tăng tốc và các thiết bị này có khả năng
xử lý dữ liệu rất cao.

Tăng cường cơ sở hạ tầng mạng

Các IP to lớn phát triển giao thông được thúc đẩy bởi phương tiện truyền
thông mới ứng dụng và nhu cầu khách hàng tương tác nhiều hơn, cá nhân, di
động và video. .Cơ sở hạ tầng mạng của Cisco cung cấp giải pháp cho phép bạn
cá nhân hoá, dịch vụ thế hệ kế tiếp và phương tiện truyền thông kinh nghiệm ở
bất cứ đâu, bất cứ lúc nào.

Băng thông rộng

Cisco giải pháp băng thông rộng giúp cung cấp và nhanh chóng mở rộng tiếng
nói bảo mật cao và khả năng mở rộng, video, và các dịch vụ dữ liệu.

Cơ sở hạ tầng cáp: IP NGN của Cisco Cáp giải pháp giúp cải thiện hiệu quả,
thống nhất và MPEG video IP cơ sở hạ tầng, và tăng cường "triple-play" các dịch
vụ.

Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều kiện "bất
kỳ play-" dịch vụ có thể cung cấp bất cứ nơi nào, với bất kỳ thiết bị.

Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet. Bảo quản,
chuẩn bị và phát triển thịnh vượng với CGv6. Core Networks Cisco IP / MPLS

18
định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và khả năng mở rộng cho các
thế hệ kinh doanh và dịch vụ tiêu dùng.

Edge Networks: Cisco cung cấp một danh mục đầu tư toàn diện về các giải pháp
mạng cạnh đó cung cấp dịch vụ tối ưu hóa video và điện thoại di động.

IPTV và truyền hình Telco

Sử dụng sức mạnh của Cisco giải pháp IPTV để cung cấp phương tiện truyền
thông cá nhân, xã hội, và kinh nghiệm tương tác.

Quản lý mạng cho các nhà cung cấp dịch vụ

Công cụ quản lý mạng Cisco đẩy nhanh và đơn giản hóa việc triển khai hạ
tầng mạng và cung cấp khả năng hiển thị thời gian thực vào mạng

Mạng quang
Cisco cung cấp một giải pháp quang học, linh hoạt cao năng lực nền tảng để
thúc đẩy thế hệ tiếp theo nhà cung cấp dịch vụ Ethernet.

Cơ sở hạ tầng an toàn: Cisco tính năng bảo mật và các dịch vụ cho cơ sở hạ
tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ.

Cisco IPTV
Giải pháp IPTV của Cisco cung cấp một cơ sở hạ tầng giao phương tiện truyền
thông phong phú kéo dài từ headend cách tất cả các đến nhà khách hàng.

Carrier-Grade IPv6 Giải pháp: Cung cấp về tương lai của Internet. Preserve,
prepare and prosper with CGv6. Bảo quản, chuẩn bị và phát triển thịnh vượng với
CGv6.

Cisco Secure cao cơ sở hạ tầng: Cisco tính năng bảo mật và các dịch vụ cho cơ
sở hạ tầng mạng giúp đảm bảo mạng lưới liên tục và sẵn sàng phục vụ.

Cisco mạng quang: Cisco cung cấp một giải pháp quang học, linh hoạt cao năng
lực nền tảng cho tăng tốc cung cấp dịch vụ thế hệ tiếp theo.

Cisco Carrier Ethernet: IP NGN của Cisco Carrier Ethernet thiết kế tạo điều
kiện "bất kỳ play-" dịch vụ mà bạn có thể cung cấp bất cứ nơi nào, với bất kỳ
thiết bị. Cisco IP / MPLS định tuyến lõi giải pháp cung cấp dịch vụ linh hoạt và
khả năng mở rộng cho các thế hệ kinh doanh và dịch vụ tiêu dùng.

3.3. Giới thiệu các thiết bị trong hệ thống

3.3.1. Giới thiệu Core switch 4506

19
Ưu điểm Core switch 4506
+ Hiệu suất làm việc cao.
+Tính bảo mật cao.
+ Có nhiều kinh nghiệm khi sử dụng an toàn thông qua chuyển mạch.
+ Tiết kiệm năng lượng trên cơ sở hạ tầng mạng của bạn.

+ Có khả năng phục hồi, ảo hóa, tự động hóa,tiếp tục nâng cao dễ dàng sử dụng
mạng.

+ Khả năng mở rộng, chi phí cho các dịch vụ giảm,quyền sở hữu.
+ Cung cấp các dự báo và khả năng mở rộng với hiệu suất cao, chất lượng động
tiên tiến.
+ Với sự linh hoạt của cấu hình cho phép việc triển khai mạng không biên dễ
dàng.
+ Tích hợp khả năng phục hồi các tính năng trong cả phần cứng và phần mềm tối
đa hóa khả dụng của mạng, giúp đảm bảo năng suất lao động, lợi nhuận, và thành
công của khách hàng.
+ Tập trung, sáng tạo, linh hoạt cho việc thiết kế hệ thống của nó, giúp đảm bảo
độ di chuyển với tốc độ dây IPv6 và 10 Gigabit Ethernet (GE).
+ Khi được triển khai thì tuổi thọ kéo dài, cung cấp các khả năng bảo vệ đặc biệt
cho các tổ chức thuộc mọi quy mô, chi phí giảm, khắc phục những nhược điểm
của Cisco Catalyst 4500.
3.3.1.1 Cisco Catalyst 4500E Series và PDA Classic Line
Classic Catalyst 4500 cung cấp hai loại: 4500E Series và Classic Line

20
  Cisco Catalyst 4500E.
+ Cung cấp tăng khả năng chuyển đổi công suất của mỗi khe cắm.
+ Có hai loại là : Dòng 47xx và dòng 46xx.
o Dòng 47 xx hoạt động ở 48 Gb trên mỗi khe cắm chuyển đổi công
suất.
o Dòng 46 xx hoạt động ở 24 Gb trên mỗi khe cắm chuyển đổi công
suất.
 Classic Line
+ Cung cấp 6 gigabit cho việc chuyển đổi công suất trên mỗi khe cắm.
Dòng Classic có thể được triển khai ở cả hai.
o Với Cisco Catalyst 4500 Series giám sát động cơ.
- Khả năng chuyển đổi mỗi khe cắm thẻ dòng cổ điển vẫn còn
ở mức 6 Gb trên mỗi khe cắm.
- Do các kiến trúc chuyển đổi tập trung của Cisco Catalyst
4500, các thẻ dòng cổ điển sẽ áp dụng tất cả các tính năng E-
Series động cơ mới giám sát như là tám hàng đợi trên mỗi
cổng.
o Với Cisco Catalyst 4500E Series công cụ giám sát.
E-Series dòng card hoạt động ở cả 48 gigabits mỗi khe cắm hoặc 24 gigabits
mỗi khe dựa vào việc chúng thuộc về 47xx hoặc 46xx của dòng thẻ.

3.3.1.2 Sức mạnh của Ethernet trên Cisco Catalyst 4500E

+ Cisco Catalyst 4500E Series cung cấp thẻ trực tuyến, nguồn điện, và các phụ
kiện cần thiết để triển khai và hoạt động dựa trên các tiêu chuẩn Power over
Ethernet / Power over Ethernet Plus (PoE / PoEP).

21
+ PoE cung cấp điện trên 100m của tiêu chuẩn loại 3 / 5 không được che chở bởi
cáp xoắn đôi (UTP) khi một chuẩn IEEE 802.3af/at-phù hợp hoặc các tiêu chuẩn
của Cisco trang thiết bị được gắn vào / cổng PoE dòng thẻ PoEP.
+ Không đòi hỏi sức mạnh của tường, thiết bị kèm theo như điện thoại IP, các
trạm gốc không dây, máy quay video.
+ Các thiết bị tương thích của chuẩn IEEE khác có thể sử dụng năng lượng cung
cấp từ các Cisco Catalyst 4500 Series PoE dòng thẻ PoEP. Khả năng này cho
phép mạng quản trị kiểm soát tập trung quyền lực và loại bỏ sự cần thiết phải cài
đặt các cửa hàng trên trần nhà và khác ngoài cách nơi mà một thiết bị hỗ trợ có
thể được cài đặt.
3.3.1.3 Cisco Catalyst 4500E Series và Gigabit Ethernet dòng PDA Classic
+ Cisco Catalyst 4500E Series 48-cổng Gigabit Ethernet dòng thẻ cung cấp
hiệu suất cao 10/100/1000 chuyển đổi.
+ Có hai loại thẻ dòng E-Series dựa trên băng thông cho mỗi khe cắm:
o Card dòng 47xx rằng ổ đĩa 48 Gbps cho mỗi khe cắm
o Thẻ dòng 46xx rằng ổ đĩa 24 Gbps trên mỗi khe cắm.
+ Cisco Catalyst 4500 48-port 10/100/1000 E-Series dòng 47xx thẻ cung cấp
các tiêu chuẩn IEEE 802.3at PoEP hỗ trợ trên tất cả 48 cổng đồng thời. Dòng thẻ
này cũng hỗ trợ mã hóa tiêu chuẩn IEEE và Cisco 802.1AE TrustSec ™ trong
phần cứng.
+ Các Catalyst Cisco 4500 48-port 10/100/1000 E-Series thẻ dòng 46xx có sẵn
trong ba phiên bản.

3.3.1.4 Cisco Catalyst 4500E Series hỗ trợ 10 Gigabit Ethernet dòng card
Fiber.

+ Cisco Catalyst 4500 12-port E-Series 10 Gigabit Ethernet dòng thẻ có thể
được triển khai cho hiệu suất cao và Ethernet mật độ cao 10 Gb tập hợp trong
khuôn viên trường và trong các mạng nhỏ và vừa làm nòng cốt; chuyển đổi.
+ Cisco Catalyst 4500E Series 12-port 10 Gigabit Ethernet dòng card hỗ trợ tiêu
chuẩn nhỏ.
+ Các cổng có thể được sử dụng thay thế cho nhau như: Gigabit Ethernet và 10
Gigabit Ethernet hỗ trợ chuyển đổi theo từng giai đoạn từ Gigabit Ethernet
Gigabit Ethernet cho 10. Cisco Catalyst 4500E Series cổng 6-10 Gigabit Ethernet
dòng thẻ có thể được triển khai, trong các mạng nhỏ và vừa như một chuyển
mạch, hoặc cho hiệu năng cao dây lên đến 10 Gigabit Ethernet được yêu cầu.
+ Các Cisco Catalyst 4500E Series 6-port 10 Gigabit Ethernet dòng card hỗ trợ
quang học X2 tiêu chuẩn cũng như Cisco TwinGig mô-đun.

22
WS-X4506-GB-T Cisco Catalyst 4500 6-Port 10/100/1000 RJ-45 IEEE 802.3af
PoE và 1000BASE-X SFP)
- 6-port 10/100/1000 và 6-cổng SFP (bất kỳ sự kết hợp đến 6 cổng có thể
được hoạt động tại một thời điểm)
- 10/100/1000 RJ-45 PoE và 1000BASE-X (SFP)
- Cisco IOS Software Release 12.2 (20) EWA
- PoE IEEE 802.3af và Cisco prestandard (RJ-45 chỉ)
- Cung cấp đầy đủ các dòng chuyển mạch tốc độ gigabit trên tất cả các cổng
- L2-4 Jumbo Frame hỗ trợ (lên đến 9216 byte)
- Thiết kế để cung cấp cho khách hàng sự lựa chọn của RJ-45 có hoặc không
có PoE và SFP mà không chịu thêm chi phí
- Doanh nghiệp và thương mại: hiệu suất cao kết nối máy tính để bàn và máy
chủ trang trại; thiết kế để IP điện thoại, trạm gốc không dây, máy quay
video, và các thiết bị tương thích IEEE khác
- Cung cấp dịch vụ: GE nhỏ tập hợp cho DSLAM / PON / backhaul dữ liệu di
động

3.3.2 Giới thiệu Firewall ASA 5520

3.3.2.1. Giới thiệu về firewall:
Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép
nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ
thông của một số thông tin khác không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần
mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia
(Intranet) và Internet.
Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một
mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện
một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet

23
3.3.2.2. Phân loại firewall:
Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm

Đặc điểm của Firewall cứng: Là những firewall được tích hợp trên Router.

Internet Intranet

Router
Firewall

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ Firewall cứng: NAT (Network Address Translate)
Firewall mềm: Là những Firewall được cài đặt trên Server.

Internet Intranet

Server Firewall

Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall

3.3.2.3. Tai sao chúng ta cần Firewall?

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các
giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy
cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các
đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính
cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối

24
Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó
đến hệ thống của bạn
Chức năng chính của Firewall.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.

3.3.3. Firewall ASA 5520

Hình 1. Cisco ASA 5520 Series Adaptive Security Appliance

Cisco ASA 5520 Adaptive Security Appliance
Cisco ASA 5520 Adaptive Security Appliance cung cấp dịch vụ bảo vệ với
Active / Active sẵn sàng cao và kết nối Ethernet Gigabit cho các mạng doanh
nghiệp cỡ trung bình trong một thiết bị mô đun hiệu suất cao. Với bốn giao diện
Ethernet Gigabit và hỗ trợ lên tới 100 VLAN, các doanh nghiệp có thể dễ dàng
triển khai Cisco ASA 5520 thành nhiều khu vực trong phạm vi mạng của họ.
Cisco ASA 5520 Adaptive Security Appliance quy mô với các doanh nghiệp là
yêu cầu an ninh mạng của họ phát triển, cung cấp bảo vệ đầu tư vững chắc. Các
doanh nghiệp có thể mở rộng SSL và IPsec VPN năng lực để hỗ trợ một số lượng
lớn công nhân di động, từ xa các trang web, và các đối tác kinh doanh. Lên đến
750 AnyConnect và / hoặc clientless VPN đồng nghiệp có thể được hỗ trợ trên
mỗi Cisco ASA 5520 bằng cách cài đặt một khái quát hoặc một Premium
AnyConnect VPN giấy phép; 750 IPsec VPN đồng nghiệp được hỗ trợ trên nền
tảng cơ bản.
Năng lực và khả năng phục hồi VPN có thể được tăng lên bằng cách tận dụng của
Cisco ASA 5520 tích hợp VPN clustering và khả năng cân bằng tải. Các Cisco
ASA 5520 hỗ trợ lên đến 10 thiết bị trong mộtcluster, cung cấp tối đa là 7500
AnyConnect và / hoặc clientless VPN đồng nghiệp hoặc 7500 IPsec VPN đồng
nghiệp mỗi cụm. Đối với kinh doanh liên tục và lập kế hoạch sự kiện, các ASA
5520 của Cisco cũng có thể hưởng lợi từ các VPN Cisco FLEX giấy phép, cho
phép các quản trị viên để phản ứng với hoặc kế hoạch cho nổ ngắn hạn của đồng

25
Premium VPN từ xa truy cập người dùng, cho đến một khoảng thời gian 2 tháng.
Các tầng ứng dụng tiên tiến bảo mật và bảo vệ an ninh nội dung được cung cấp
bởi Cisco ASA 5520 có thể được mở rộng bằng cách triển khai công tác phòng
chống xâm nhập hiệu suất cao và khả năng giảm thiểu sâu của SSM AIP, hoặc
các phần mềm độc hại bảo vệ toàn diện của SSM CSC. Sử dụng tùy chọn bối
cảnh khả năng bảo mật của Cisco ASA 5520 Adaptive Security Appliance, các
doanh nghiệp có thể triển khai lên tới 20 bức tường lửa ảo trong một thiết bị để
cho phép kiểm soát compartmentalized của chính sách an ninh trên một cấp độ
phòng ban. ảo hóa này tăng cường an ninh và làm giảm chi phí quản lý chung và
hỗ trợ trong khi củng cố các thiết bị bảo mật vào một thiết bị.

Thông lượng tường lửa Lên đến 450 Mbps

Firewall và IPS tối đa Throughput ● Lên đến 225 Mbps với AIP SSM-10
● lên đến 375 Mbps với AIP SSM-20
● Lên đến 450 Mbps với AIP SSM-40

VPN Throughput Lên đến 225 Mbps

Đồng thời phiên 280.000

IPsec VPN Peers 750

Premium AnyConnect VPN Peer * 2,10, 25, 50, 100, 250, 500, hoặc 750

An ninh bối cảnh * Tính đến 20

Giao diện port 4 cổng Gigabit Ethernet và Fast

Ethernet 1

Giao diện ảo (VLAN) 150

Khả năng mở rộng VPN clustering và cân bằng tải

Sẵn sàng cao Active / Active **, Active / Standby

Bảng 3 liệt kê các tính năng của Cisco ASA 5520.

Tính năng riêng được cấp phép
* Bao gồm hai với hệ thống cơ bản
26
** Có sẵn cho tính năng tường lửa đặt
Cisco ASA 5520 Series giúp các doanh nghiệp tăng hiệu quả và hiệu quả trong
việc bảo vệ mạng của họ và các ứng dụng trong khi cung cấp bảo vệ đầu tư đặc
biệt thông qua các yếu tố sau:
● Khả năng bảo mật thị trường đã được kiểm chứng - Cisco ASA 5500 Series
tích hợp nhiều tính năng đầy đủ, cao thực hiện dịch vụ bảo mật, bao gồm tường
lửa ứng dụng nhận biết, SSL và IPsec VPN, IPS với toàn cầu Sự tương quan và
đảm bảo phủ sóng, chống virus, chống spam, phishing, và lọc web dịch vụ. Kết
hợp với công nghệ danh tiếng thời gian thực, các công nghệ này mang lại hiệu
quả cao và ứng dụng mạng lớp an ninh, dựa trên người dùng kiểm soát truy cập,
giảm thiểu sâu, bảo vệ phần mềm độc hại, cải thiện năng suất lao động, tin nhắn
tức thời và kiểm soát peer-to-peer, và người dùng từ xa an toàn và kết nối trang
web. Các chỉ IPS với thị trường công nghệ danh tiếng hàng đầu thế giới, Cisco
IPS với toàn tương quan cung cấp hai lần hiệu quả của di sản IPS và bao gồm bảo
hiểm đảm bảo cho hòa bình tăng cường tâm. Cung cấp liên tục của khách hàng và
clientless truy cập cho một loạt các nền tảng máy tính để bàn và di động, Cisco
ASA 5585-X cung cấp luôn luôn-về di động an toàn bảo mật web tích hợp và IPS
cho thực thi chính sách và bảo vệ mối đe dọa.
● Mở rộng dịch vụ tích hợp kiến trúc - Cisco ASA 5500 Series cung cấp cho các
doanh nghiệp mạnh, thích ứng bảo vệ từ môi trường đe dọa phát triển nhanh
thông qua sự kết hợp độc đáo của các phần cứng và phần mềm mở rộng và
Modular Khung chính sách mạnh mẽ của nó (MPF). Việc mở rộng sáng tạo đa
thiết kế và kiến trúc phần mềm của Cisco 5500 Series ASA cho phép doanh
nghiệp dễ dàng cài đặt các dịch vụ an ninh bổ sung hiệu suất cao thông qua an
ninh xử lý dịch vụ (SSPs), an ninh dịch vụ mô-đun (SSMs) và bảo mật dịch vụ
thẻ (SSCs). Điều này cung cấp cho các doanh nghiệp có nợ đầu tư bảo vệ, trong
khi cho phép họ mở rộng dịch vụ bảo mật thông tin về Cisco ASA 5500 của họ
Series là của họ an toàn và nhu cầu phát triển. Tất cả các dịch vụ này có thể dễ
dàng quản lý thông qua mạnh mẽ của Cisco Modular Policy Framework, cho
phép các doanh nghiệp để tạo ra an ninh tùy biến rất cao chính sách trong khi làm
cho nó đơn giản để thêm an ninh mới và các dịch vụ mạng vào các chính sách
hiện có của họ.
● Giảm chi phí triển khai và hoạt động - Cisco ASA 5500 Series cho phép tiêu
chuẩn hóa trên t một nền tảng để giảm tổng chi phí hoạt động của an ninh. Một
môi trường phổ biến cho các cấu hình đơn giản hoá việc quản lý và giảm chi phí
đào tạo cho nhân viên, trong khi các nền tảng phần cứng thông thường của loạt
bài này làm giảm chi phí tối thiếu. hiệu quả bổ sung được thực hiện bằng cách
triển khai khả năng tích hợp, obviating sự cần thiết phải thiết kế phức tạp cần
thiết để kết nối các giải pháp độc lập. Toàn diện về quản lý giao diện - Cisco
Adaptive Security đồ họa Device Manager (ASDM), một giao diện dòng lệnh
toàn diện (CLI), syslog tiết, và Simple Network Management Protocol (SNMP)

27
hỗ trợ vòng ra một phong phú bổ sung cho các tùy chọn quản lý. Nhiều đơn vị
triển khai được nhiều lợi ích từ Cisco Security Manager, một nền tảng có khả
năng quản lý triển khai phân phối của hàng trăm thiết bị

3.3.3 Giới thiệu Router 2811

3.3.3.1. Router

3.3.3.1.1. Các thành phần bên trong router

Cấu trúc chính xác của router rất khác nhau tuỳ theo từng phiên bản router. Trong
phần này chỉ giới thiệu về cá c thành phần cơ bản của router.
CPU - Đơn vị xử lý trung tâm: thực thi các câu lệnh của hệ điều hành để thực hiện
các nhiệm vụ sau: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếp
mạng. CPU là một bộ giao tiếp mạng. CPU là một bộ vi xử lý. Trong các router lớn
có thể có nhiều CPU.
RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch
nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu. Trong đa số
router, hệ điều hành Cisco IOS chạy trên RAM. RAM thường được chia thành hai
phần: phần bộ nhớ xử lý chính và phần bộ nhớ chia sẻ xuất/nhập. Phần bộ nhớ chia
sẻ xuất/nhập được chia cho các cổng giao tiếp làm nơi lưu trữ tạm các gói dữ
liệu.Toàn bộ nội dung trên RAM sẽ bị xoá khi tắt điện. Thông thường, RAM trên

28
router là loại RAM động (DRAM - Dynamic RAM) và có thể nâng thêm RAM
bằng cách gắn thêm DIMM (Dual In-Line Memory Module).
Flash: Bộ nhớ Flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành Cisco
IOS. Mặc định là router tìm IOS của nó trong flash. Bạn có thể nâng cấp hệ điều
hành bằng cách chép phiên bản mới hơn vào flash. Phần mềm IOS có thể ở dưới
dạng nén hoặc không nén. Đối với hầu hết các router, IOS được chép lên RAM
trong quá trình khởi động router. Còn có một số router thì IOS có thể chạy trực tiếp
trên flash mà không cần chép lên RAM. Bạn có thể gắn thêm hoặc thay thế các
thanh SIMM hay card PCMCIA để nâng dung lượng flash.

NVRAM (Non-volative Random-access Memory): Là bộ nhớ RAM không bị mất

thông tin, được sử dụng để lưu tập tin cấu hình. Trong một số thiết bị có NVRAM
và flash riêng, NVRAM được thực thi nhờ flash. Trong một số thiết bị, flash và
NVRAM là cùng một bộ nhớ. Trong cả hai trường hợp, nội dung của NVRAM
vẫn được lưu giữ khi tắt điện.

Bus: Phần lớn các router đều có bus hệ thống và CPU bus. B us hệ thống được sử
dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng.
Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ của ô nhớ
tương ứng.
ROM (Read Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khi
khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng của router động, sau
đó chép phần mềm Cisco phiên bản IOS cũ dùng làm nguồn khởi động dự phòng.
Các cổng giao tiếp: Là nơi router kết nối với bên ngoài. Router có 3 loại cổng:
LAN, WAN và console/AUX. Cổng giao tiếp LAN có thể gắn cố định trên router
hoặc dưới dạng card rời.
Cổng giao tiếp WAN có thể là cổng Serial, ISDN, cổng tích hợp đơn vị dịch vụ
kênh CSU (Chanel Service Unit). Tương tự như cổng giao tiếp LAN, các cổng giao
tiếp WAN cũng có chip điều khiển đặc biệt. Cổng giao tiếp WAN có thể định trên
router hoặc ở dạ ng card rời.
Router là một loại máy tính đặc biệt. Nó cũng có các thành phần cơ bản giống như
máy tính: CPU, bộ nhớ, system bus và các cổng giao tiếp. Tuy nhiên router được
kết là để thực hiện một số chức năng đặc biệt. Ví dụ: router được thiết kế là để thực
hiện một số chức năng đặc biệt. Ví dụ: router kết nối hai hệ thống mạng với nhau
và cho phép hai hệ thống này có thể liên lạc với nhau, ngoài ra router còn thực hiện
việc chọn lự a đường đi tốt nhất cho dữ liệu.
Nguồn điện: Cung cấp điện cho các thành phần của router, một số router lớn
có thể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn. Còn ở một số router nhỏ,
nguồn điện có thể là bộ phận nằm ngoài router.

29
Hình 4: Sơ đồ khối các thành phần trên mạch Router.

Hình 5: Hình ảnh bên ngoài Router.

30
 Hình 6: Hình ảnh bên trong Router.

3.3.3.2. chức năng như sau

• Lưu bảng định tuyến.
• Lưu bảng ARP.
• Có vùng bộ nhớ chuyển mạch nhanh.
• Cung cấp vùng nhớ đệm cho các gói dữ liệu
• Duy trì hàng đợi cho các gói dữ liệu.
• Cung cấp bộ nhớ tạm thời cho tập tin cấu hình của router khi
3.3.3.3. Router 2811
Tổng quan sản phẩm

Cisco 2811 Integrated Services Router là một phần của dịch vụ tích hợp Cisco
2800 Series Router mà bổ sung cho dịch vụ tích hợp Router Danh mục đầu tư.

Cisco 2811 Integrated Services Router cung cấp các hỗ trợ sau đây:

* Dây tốc độ hiệu suất cho các dịch vụ đồng thời như an ninh và tiếng nói, và
dịch vụ tiên tiến cho nhiều mức giá T1/E1/xDSL WAN
* Tăng cường đầu tư bảo vệ thông qua tăng hiệu suất và mô đun
* Tăng cường đầu tư bảo vệ thông qua các mô đun tăng
* Tăng mật độ thông qua tốc độ cao WAN Interface Card Slots (bốn)

31
* Enhanced Network Module Slot
* Hỗ trợ cho hơn 90 module hiện có và mới
* Hỗ trợ cho phần lớn các hiện mục tiêu, NMS, WICs, VWICs, và VIC
* Hai tích hợp cổng Ethernet 10/100 Fast
* Tùy chọn chuyển mạch lớp 2 hỗ trợ nguồn qua mạng Ethernet (PoE) (là một tùy
chọn)
* An ninh
o-board mã hóa
o Hỗ trợ lên đến 1500 đường hầm VPN với các Module AIM-EPII-PLUS
o Antivirus quốc phòng hỗ trợ thông qua mạng Admission Control (NAC)
o ngăn chặn xâm nhập cũng như Cisco IOS hỗ trợ tường lửa trạng thái và
nhiều hơn nữa tính năng bảo mật cần thiết
* Voice
o Analog và cuộc gọi thoại kỹ thuật số hỗ trợ
o Tùy chọn hộp thư thoại hỗ trợ
o Tùy chọn hỗ trợ cho Cisco CallManager Express (Cisco CME) để xử lý cuộc
gọi địa phương trong kinh doanh một mình đứng lên to36 Điện thoại IP
o Tùy chọn hỗ trợ cho Survivable Remote Site Telephony hỗ trợ cho xử lý cuộc
gọi địa phương tại các văn phòng chi nhánh doanh nghiệp nhỏ cho tới 36 điện
thoại IP

Tính năng
Tuỳ chọn Wireless (b/g) Không
Thông tin sản phẩm
Hãng sản xuất Cisco
Thông số kỹ thuật
Dòng sản phẩm Cisco 2800
Giao tiếp WAN
Broadband
Giao tiếp WAN FE
10/100
Giao tiếp LAN 10/100 2-port 10/100 Mbps managed switch
Giao tiếp LAN
10/100/1000
Bộ nhớ DRAM 256Mb
Bộ nhớ Flash 64Mb
Khe cắm Network-
1 slot, supports NM and NME type modules
Module
4 slots, each slot can support HWIC, WIC, VIC, or
Khe cắm Interface Card
VWIC type modules
Cổng AUX 1 cổng
Cổng Console 1 cổng

32
Cổng USB 2 cổng USB 1.1
+ BGP, EIGRP, OSPF, RIPv1, RIPv2 + IPv4, IPv6
unicast & multicast; (Internetwork Packet Exchange
Giao thức định tuyến
[IPX], IBM SNA, AppleTalk supported with optional
Advanced Enterprise Services Feature Set)
With the Cisco IOS® Software Advanced Security
feature set, the Cisco 2800 provides a robust array of
Giao thức bảo mật common security features such as a Cisco IOS
Software Firewall, intrusion prevention, IPSec VPN,
Secure Socket Layer (SSL) VPN, advanced application
Cấu hình quản trị Web UI, CLI, Telnet
Khe cắm Onboard AIM
2 khe cắm
(Internal)
Khe cắm PVDM (DSP) 2
Nguồn 100 to 240 VAC
Kích thước 44.5 x 438.2 x 416.6 mm
The Cisco 2811 Cryptographic Module Physical Characteristi

Các bộ định tuyến Cisco 2811 là một module đa chip mật mã độc. router có một
hế biến
tốc độ 350MHz. Tùy thuộc vào cấu hình, hoặc là NetGX nội bộ chip hoặc phần
mềm IOS là
được sử dụng cho các hoạt động mật mã. Ranh giới mật mã của module này là
trường hợp của thiết bị. Tất cả các chức năng thảo luận trong này tài liệu được
cung cấp bởi các thành phần bên trong ranh giới này mã hóa. Các router Cisco
2811 có một giao diện điều khiển cổng, một cổng phụ, hai Universal Serial Bus
(USB) cổng, bốn tốc độ cao giao diện WAN card (HWIC) khe, two10/100
Gigabit Ethernet cổng RJ45, một nâng cao Network Module (ENM) khe, và một
ổ đĩa Compact Flash (CF). Các router Cisco 2811 hỗ trợ một chiều rộng mạng
lưới đơn module, bốn đơn chiều rộng hoặc hai đôi chiều rộng HWICs, hai bên
tiến tích hợp mô-đun (AIMS) 1, Hai bên trong gói dữ liệu thoại mô-đun
(PVDMs), hai nhanh chóng Ethernet kết nối, và 16 cổng của sản lượng điện thoại
IP hiển thị bảng điều khiển phía sau. Mặt trước có 4 đèn LED rằng tình trạng đầu
ra dữ liệu về hệ thống điện phụ trợ điện, hoạt động hệ thống, và đèn flash nhỏ gọn

33
tình trạng bận rộn. Các bảng điều khiển trở lại bao gồm 12 đèn LED:
+, Ethernet hoạt động hai đèn LED, hai đèn LED kép, hai đèn LED tốc độ, hai
đèn LED liên kết, hai PVDM đèn LED, một hai AIM đèn LED.Có hai cổng USB
nhưng họ không được hỗ trợ hiện nay. Các cảng sẽ được hỗ trợ trong tương lai
cho thẻ thông minh hoặc đầu đọc thẻ.
Thẻ CF có lưu trữ các hình ảnh IOS được xem là một module bộ nhớ trong,
bởi vì các hình ảnh IOS lưu trữ trong thẻ có thể không được sửa đổi hoặc nâng
cấp. Các thẻ chính nó không bao giờ phải được loại bỏ khỏi ổ đĩa. Tamper dấu rõ
ràng sẽ được đặt trong thẻ có trong ổ.

3.3.4. Giới thiệu Acess switch 2960

3.3.4.1. Swith 2960

3.3.4.1.1Một số tính năng của 2960

• 2960-S và 2960 chuyển mạch là những lớp hàng đầu, cung cấp dễ
dàng trong sử dụng, hoạt động kinh doanh bảo mật cao, tính bền
vững được cải thiện, và một mạng không biên giới kinh nghiệm.
• 2960-S bao gồm FlexStack chuyển xếp chồng khả năng với 1 và 10
kết nối Gigabit, và nguồn qua Ethernet Plus
• Cisco 2960 Switch kết nối nhanh chóng cung cấp truy cập Ethernet .
• Cisco 2960-S và 2960 Series được truy cập cố định cấu hình thiết bị
chuyển mạch thiết kế cho các doanh nghiệp, thị trường cỡ vừa, và
mạng lưới chi nhánh văn phòng để cung cấp thấp hơn tổng chi phí sở
hữu.

34
 Cisco Catalyst 2960-S Series với phần mềm LAN Base:

● 10 và 1 đường lên Ethernet Gigabit linh hoạt với Small Form-Factor Pluggable
Plus (SFP +), cung cấp cho doanh nghiệp liên tục và nhanh chóng chuyển tiếp
đến 10 Gigabit Ethernet
● 24 hoặc 48 cổng của máy tính để bàn kết nối Gigabit Ethernet
● Cisco FlexStack xếp module với 40 Gbps, cho phép dễ dàng hoạt động với duy
nhấtcấu hình và nâng cấp chuyển đổi đơn giản
● PoE + với lên đến 30W cho mỗi cổng cho phép bạn hỗ trợ PoE mới nhất + có
khả năng thiết bị
● Power cung cấp, với 740W hoặc 370W nguồn điện cố định cho PoE + thiết bị
chuyển mạch có sẵn
● USB lưu trữ để phân phối tập tin, sao lưu, và các hoạt động đơn giản
● Một loạt các tính năng phần mềm để cung cấp một cách dễ dàng hoạt động, độ
an toàn cao hoạt động kinh doanh,tính bền vững, và một mạng lưới kinh nghiệm
biên giới
● TNHH đời phần cứng bảo hành, bao gồm thay thế tiếp theo-kinh doanh-ngày
với dịch vụ 90-ngày và hỗ trợ của Cisco Catalyst 2960 Series tắc với LAN cung
cấp phần mềm cơ bản như sau:
● Dual-mục đích đường lên cho Gigabit Ethernet uplink linh hoạt, cho phép sử
dụng hoặc là một đường lên đồng hoặc cáp quang, mỗi mục đích kép đường lên
cổng có một cổng Ethernet 10/100/1000 và dựa trên một cổng SFP Gigabit
Ethernet, với một trong những cảng hoạt động tại một thời
● 24 hoặc 48 cổng kết nối Fast Ethernet máy tính để bàn
● PoE cấu hình lên đến 15,4 W trên mỗi cổng
● Một loạt các tính năng phần mềm để cung cấp một cách dễ dàng hoạt động, độ
an toàn cao hoạt động kinh doanh,tính bền vững, và mạng một kinh nghiệm biên
giới
● Giới hạn bảo hành suốt đời phần cứng

3.3.4.2. Power over Ethernet Plus

Ngoài 802.3af PoE, Cisco Catalyst 2960-S Series hỗ trợ nguồn qua mạng
Ethernet Plus (PoE +)
(IEEE 802.3at tiêu chuẩn), cung cấp lên đến 30W năng lượng trên mỗi cổng.
Cisco Catalyst 2960-S và 2960 Series

35
 Thiết bị chuyển mạch có thể cung cấp một chi phí thấp hơn tổng số của
quyền sở hữu cho các triển khai có kết hợp điện thoại IP Cisco, Cisco Aironet ®
mạng LAN không dây (WLAN) các điểm truy cập, hoặc bất kỳ thiết bị IEEE
802.3af cuối tương thích. PoE loại bỏ sự cần thiết phải thành sức mạnh để mỗi
PoE-kích hoạt thiết bị và loại bỏ các chi phí cho hệ thống cáp điện bổ sung và các
mạch điện sẽ nếu không cần thiết trong điện thoại IP và triển khai mạng WLAN
3.3.4.3. Intelligent Power Over Ethernet quản lý

Cisco Catalyst 2960-S PoE mô hình hỗ trợ PoE mới nhất + thiết bị bao gồm điện
thoại IP Cisco và Cisco
Các điểm truy cập Aironet WLAN cung cấp lên đến 30W năng lượng trên mỗi
cổng, cũng như bất kỳ cuối theo chuẩn IEEE 802.3af,thiết bị.
● Công suất tiêu thụ mỗi Port lệnh cho phép khách hàng xác định công suất tối đa
đặt trên một
cảng cá nhân.
● Mỗi Port PoE điện Sensing biện pháp quyền lực thực tế được rút ra, cho phép
kiểm soát nhiều hơn thông minh
Thiết bị hỗ trợ.
● Cisco Discovery Protocol Version 2 cho phép chuyển sang đàm phán thiết lập
quyền lực chi tiết hơn khi kết nối với một thiết bị hỗ trợ của Cisco như điện thoại
IP hoặc các điểm truy cập hơn những gì được cung cấp bởi
IEEE phân loại.
● Các MIB PoE cung cấp khả năng chủ động vào sử dụng quyền lực và cho phép
khách hàng thiết lập khác nhau cấp điện ngưỡng.
. Cisco Catalyst 2960-S và 2960 Series với phần mềm cơ sở LAN Switch hiệu
quả và khả năng mở rộng thông tin

Hiệu suất và quy mô số cho tất cả các mô hình Switch

Cisco Catalyst 2960-S Cisco Catalyst 2960

Chuyển tiếp băng 88 Gbps 16 Gbps
thông 20 Gbps cho FlexStack 32 Gbps (2960G)
Stacking
Chuyển đổi băng 76 Gbps 32Gbps
thông * 32 Gbps (2960G)
Flash Memory 64 MB 32 MB

Bộ nhớ DRAM 128 MB 64 MB

VLAN tối đa 255 255
VLAN ID 4000 4000

36
MTU) lên đến 9000 byte lên đến 9000 byte

Jumbo Frames 9018 byte 9018 byte (2960G chỉ)

Tỷ lệ chuyển tiếp: 64-Byte gói Cisco Catalyst 2960-S

Cisco Catalyst 2960S-48FPD-L 101,2 mpps
Cisco Catalyst 2960S-48LPD-L 101,2 mpps
Cisco Catalyst 2960S-24PD-L 65,5 mpps
Cisco Catalyst 2960S-48TD-L 101,2 mpps
Cisco Catalyst 2960S-24TD-L 65,5 mpps
Cisco Catalyst 2960S-48FPS-L 77,4 mpps
Cisco Catalyst 2960S-48LPS-L 77,4 mpps
Cisco Catalyst 2960S-24PS-L 41,7 mpps
Cisco Catalyst 2960S-48TS-L 77,4 mpps
Cisco Catalyst 2960S-24TS-L 41,7 mpps
Tỷ lệ chuyển tiếp: 64-Byte gói Cisco Catalyst 2960
Cisco Catalyst 2960PD-8TT-L 2,7 mpps
Cisco Catalyst 2960-8TC-L 2,7 mpps
Cisco Catalyst 2960-24TT-L 6,5 mpps
Một vài cú click chuột kích hoạt Cisco khuyến cáo bảo mật, tính sẵn có, và
QoS tính năng mà không cần phải tham khảo ý kiến một hướng dẫn thiết kế chi
tiết. Trình thuật sĩ bảo mật tự động hạn chế truy cập trái phép vào máy chủ với dữ
liệu nhạy cảm. Smartport và trình thuật tiết kiệm thời gian cho các quản trị mạng,
giảm sai sót của con người, và giúp đảm bảo rằng cấu hình của chuyển đổi được
tối ưu cho các ứng dụng này. Có sẵn miễn phí, Cisco Network Assistant có thể
được tải về từ trang web của Ciscon Ngoài Cisco Network Assistant, Cisco
Catalyst 2960 Series chuyển mạch cung cấp cho quản lý mạng lưới rộng lớn bằng
cách sử dụng quản lý SNMP nền tảng như CiscoWorks cho chuyển mạch
Internetworks. Quản lý với CiscoWorks, thiết bị chuyển mạch Cisco Catalyst có
thể được cấu hình và quản lý để cung cấp các end-to-end thiết bị, VLAN, giao
thông, và quản lý chính sách. Ngoài ra, quản lý tài nguyên CiscoWorks
Essentials, một Web-based công cụ quản lý, giúp cho phép thu thập hàng tồn kho
tự động, triển khai phần mềm, dễ dàng theo dõi các thay đổi mạng, quan điểm
vào thiết bị sẵn sàng, và cô lập nhanh chóng các điều kiện lỗi.

3.4. Các bước để cấu hình thiết bị cisco:

3.4.1. Chuẩn cáp kết nối
37
3.4.1.1. Cáp đôi dây xoắn (Twisted pair cable)
Cáp đôi dây xoắn là cáp gồm hai dây đồng xoắn để tránh gây nhiễu cho
các đôi dây khác, có thể kéo dài tới vài km mà không cần khuyếch đại. Giải
tần trên cáp dây xoắn đạt khoảng 300–4000Hz, tốc độ truyền đạt vài kbps đến
vài Mbps. Cáp xoắn có hai loại:
- Loại có bọc kim loại để tăng cường chống nhiễu gọi là STP ( Shield Twisted
Pair). Loại này trong vỏ bọc kim có thể có nhiều đôi dây. Về lý thuyết thì tốc
độ truyền có thể đạt 500 Mb/s nhưng thực tế thấp hơn rất nhiều (chỉ đạt
155 Mbps với cáp dài 100 m)
- Loại không bọc kim gọi là UTP (UnShield Twisted Pair), chất lượng kém
hơn STP nhưng rất rẻ. Cáp UTP được chia làm 5 hạng tuỳ theo tốc độ truyền.
Cáp loại 3 dùng cho điện thoại. Cáp loại 5 có thể truyền với tốc độ 100Mb/s
rất hay dùng trong các mạng cục bộ vì vừa rẻ vừa tiện sử dụng. Cáp này có 4
đôi dây xoắn nằm trong cùng một vỏ bọc

3.4.1.2. Cáp đồng trục (Coaxial cable) băng tần cơ sở

Là cáp mà hai dây của nó có lõi lồng nhau, lõi ngoài là lưới kim loại. , Khả
năng chống nhiễu rất tốt nên có thể sử dụng với chiều dài từ vài trăm met đến
vài km. Có hai loại được dùng nhiều là loại có trở kháng 50 ohm và loại có trở
kháng 75 ohm.
3.4.1.3. Cáp đồng trục (Coaxial cable) băng tần cơ sở
Là cáp mà hai dây của nó có lõi lồng nhau, lõi ngoài là lưới kim loại. , Khả
năng chống nhiễu rất tốt nên có thể sử dụng với chiều dài từ vài trăm met đến
vài km. Có hai loại được dùng nhiều là loại có trở kháng 50 ohm và loại có trở
kháng 75 ohm.

38
 Hình 1.7. Cáp đồng trục
Dải thông của cáp này còn phụ thuộc vào chiều dài của cáp. Với khoảng cách1
km có thể đạt tốc độ truyền từ 1– 2 Gbps. Cáp đồng trục băng tần cơ sở
thường dùng cho các mạng cục bộ. Có thể nối cáp bằng các đầu nối theo
chuẩn BNC có hình chữ T. ở VN người ta hay gọi cáp này là cáp gầy do dịch
từ tên trong tiếng Anh là ‘Thin Ethernet”.
Một loại cáp khác có tên là “Thick Ethernet” mà ta gọi là cáp béo. Loại này
thường có màu vàng. Người ta không nối cáp bằng các đầu nối chữ T như cáp
gầy mà nối qua các kẹp bấm vào dây. Cứ 2m5 lại có đánh dấu để nối dây (nếu
cần). Từ kẹp đó người ta gắn các tranceiver rồi nối vào máy tính.
3.4.1.4. Cáp đồng trục băng rộng (Broadband Coaxial Cable)
Đây là loại cáp theo tiêu chuẩn truyền hình (thường dùng trong truyền hình
cáp) có dải thông từ 4 – 300 Khz trên chiều dài 100 km. Thuật ngữ “băng
rộng” vốn là thuật ngữ của ngành truyền hình còn trong ngành truyền số liệu
điều này chỉ có nghĩa là cáp loại này cho phép truyền thông tin tuơng tự
(analog) mà thôi. Các hệ thống dựa trên cáp đồng trục băng rộng có thể
truyền song song nhiều kênh. Việc khuyếch đại tín hiệu chống suy hao có thể
làm theokiểu khuyếch đại tín hiệu tương tự (analog). Để truyền thông cho máy
tính cần chuyển tín hiệu số thành tín hiệu tương tự.
3.4.1.5. Cáp quang
Dùng để truyền các xung ánh sáng trong lòng một sợi thuỷ tinh phản xạ toàn
phần. Môi trường cáp quang rất lý tưởng vì
- Xung ánh sáng có thể đi hàng trăm km mà không giảm cuờng độ sáng.
- Dải thông rất cao vì tần số ánh sáng dùng đối với cáp quang cỡ khoảng
1014 –1016
- An toàn và bí mật, không bị nhiễu điện từ
39
Chỉ có hai nhược điểm là khó nối dây và giá thành cao.

Cáp quang cũng có hai loại

- Loại đa mode (multimode fiber): khi góc tới thành dây dẫn lớn đến một
mức nào đó thì có hiện tượng phản xạ toàn phần. Các cáp đa mode có đường
kính khoảng 50 µ
- Loại đơn mode (singlemode fiber): khi đường kính dây dẫn bằng bước sóng
thì cáp quang giống như một ống dẫn sóng, không có hiện tượng phản xạ
nhưng chỉ cho một tia đi. Loại này có đường kính khoản 8µm và phải dung
diode laser. Cáp quang đa mode có thể cho phép truyền xa tới hàng trăm km
mà không cần phải khuyếch đại.

3.4.2. Các thiết bị ghép nối

3.4.2.1. Bộ chuyển tiếp (REPEATER )
Nhiệm vụ của các repeater là hồi phục tín hiệu để có thể truyền tiếp cho các
trạm khác bao gồm cả công tác khuyếch đại tín hiệu, điều chỉnh tín hiệu.
3.4.2.2. Các bộ tập trung (Concentrator hay HUB)
HUB là một loại thiết bị có nhiều đầu cắm các đầu cáp mạng. Người ta sử
dụng HUB để nối mạng theo kiểu hình sao. Ưu điểm của kiểu nối này là tăng
độ độc lập của các máy khi một máy bị sự cố dây dẫn.
Có loại HUB thụ động (passive HUB) là HUB chỉ đảm bảo chức năng kết nối
hoàn toàn không xử lý lại tín hiệu. HUB chủ động (active HUB) là HUB có
chức năng khuyếch đại tín hiệu để chống suy hao. HUB thông minh
(intelligent HUB) là HUB chủ động nhưng có khả năng tạo ra các gói tin
mang tin tức về hoạt động của mình và gửi lên mạng để người quản trị mạng
có thể thực hiện quản trị tự động
3.4.2.3. Switching Hub (hay còn gọi tắt là switch)

40
 Là các bộ chuyển mạch thực sự. Khác với HUB thông thường, thay vì chuyển
một tín hiệu đến từ một cổng cho tất cả các cổng, nó chỉ chuyển tín hiệu đến
cổng có trạm đích. Do vậy Switch là một thiết bị quan trọng trong các mạng
cục bộ lớn dùng để phân đoạn mạng. Nhờ có switch mà đụng độ trên mạng
giảm hẳn. Ngày nay switch là các thiết bị mạng quan trọng cho phép tuỳ biến
trên mạng chẳng hạn lập mạng ảo VLAN.

3.4.2.4. Modem
Là tên viết tắt từ hai từ điều chế (MOdulation) và giải điều chế
(DEModulation) là thiết bị cho phép điều chế để biến đổi tín hiệu số sang tín
hiệu tương tự để có thể gửi theo đường thoại và khi nhận tín hiệu từ đường
thoại có thể biến đổi ngược lại thành tín hiệu số.
3.4.2.5. Multiplexor - Demultiplexor
Bộ dồn kênh có chức năng tổ hợp nhiều tín hiệu để cùng gửi trên một
đường truyền. Bộ tách kênh có chức năng ngược lại ở nơi nhận tín hiệu
3.4.2.6. Router
Router là một thiết bị dùng để ghép nối các mạng cục bộ với nhau thành
mạng rộng. Router thực sự là một máy tính làm nhiệm vụ chọn đường cho các
gói tin hướng ra ngoài. Router độc lập về phần cứng và có thể dùng trên các
mạng chạy giao thức khác nhau
3.5 Thiết lập kết nối để cấu hình

41
3.5.1.Các thành phần thông thường trên một mạng cục bộ
- Các máy chủ cung cấp dịch vụ (server)
- Các máy trạm cho người làm việc (workstation)
- Đường truyền (cáp nối)
- Card giao tiếp giữa máy tính và đường truyền (network interface card)
- Các thiết bị nối (connection device)
Hai yếu tố được quan tâm hàng đầu khi kết nối mạng cục bộ là tốc độ
trong mạng và bán kính mạng. Tên các kiểu mạng dùng theo giao thức
CSMA/CD cũng thể hiện điều này. Sau đây là một số kiểu kết nối đó với tốc
độ
10 Mb/s khá thông dụng trong thời gian qua và một số thông số kỹ thuật:

3.5.2. Kiểu 10BASE5

Là chuẩn CSMA/CD có tốc độ 10Mb và bán kính 500 m. Kiểu này dùng
cáp đồng trục loại thick ethernet (cáp đồng trục béo) với tranceiver. Có thể
kết
nối vào mạng khoảng 100 máy

42
Tranceiver: Thiết bị nối giữa card mạng và đường truyền, đóng vai trò là
bộ thu-phát.
3.5.3. Kiểu 10BASE2
Là chuẩn CSMA/CD có tốc độ 10Mb và bán kính 200 m. Kiểu này dùng
cáp đồng trục loại thin ethernet với đầu nối BNC. Có thể kết nối vào mạng
khoảng 30 máy

43
 Hình1.11: Nối theo chuẩn 10BASE2 với cáp đồng trục và đầu nối BNC

3.5.4. Kiểu 10BASE-T

Là kiểu nối dùng HUB có các ổ nối kiểu RJ45 cho các cáp UTP. Ta có
thể mở rộng mạng bằng cách tăng số HUB, nhưng cũng không được tăng quá
nhiều tầng vì hoạt động của mạng sẽ kém hiệu quả nếu độ trễ quá lớn .
Hiện nay mô hình phiên bản 100BASE-T, 1000BASE-T bắt đầu được
sử dụng nhiều, tốc độ đạt tới 100 Mbps, 1000Mbps

44
 3.5.5. Kiểu 10BASE-F
Dùng cab quang (Fiber cab), chủ yếu dùng nối các thiết bị xa nhau, tạo
dựng đường trục xương sống (backborn) để nối các mạng LAN xa nhau (2-10
km). Hiện nay cũng đã có các phiên bản 100BASE-F và 1000BASE-F với tốc
độ truyền dữ liệu cao hơn 10 và 100 lần

3.6. Cấu trúc tổng quan của các thiết bị cisco

Bộ định tuyến là thiết bị được sử dụng trên mạng để thực thi các hoạt
động xử lý truyền tải thông tin trên mạng. Có thể xem bộ định tuyến là một
thiết bị máy tính được thiết kế đặc biệt để đảm đương được vai trò xử lý
truyền
tải thông tin trên mạng của nó và do đó nó cũng bao gồm các CPU, trái tim
của
mọi hoạt động, bộ nhớ ROM, RAM, các giao tiếp, các bus dữ liệu, hệ điều
hành v.v...
45
Chức năng của bộ định tuyến là định hướng cho các gói tin được truyền
tải qua bộ định tuyến. Trên cơ sở các thuật toán định tuyến, thông tin cấu hình
và chuyển giao, các bộ định tuyến sẽ quyết định hướng đi tốt nhất cho các gói
tin được truyền tải qua nó. Bộ định tuyến còn có vai trò để xử lý các nhu cầu
truyền tải và chuyển đổi giao thức khác. Vai trò của bộ định tuyến trên mạng
là đảm bảo các kết nối liên thông giữa các mạng với nhau, tính toán và trao
đổi các thông tin liên mạng làm căn cứ cho các bộ định tuyến ra các quyết
định truyền tải thông tin phù hợp với cấu hình thực tế của mạng. Bộ định
tuyến làm việc với nhiều công nghệ đấu nối mạng diện rộng khác nhau như
FRAME RELAY, X.25, ATM, SONET, ISDN, xDSL... đảm bảo các nhu cầu
kết nối mạng theo nhiều các công nghệ và độ chuẩn mực khác nhau mà nếu
thiếu vai trò của bộ định tuyến thì không thể thực hiện được.
3.6.1. Các chức năng chính của bộ định tuyến, tham chiếu mô hình OSI
Mô hình OSI đã được học ở chương 1 gồm 7 lớp trong đó bao gồm:
- 3 lớp thuộc về các lớp ứng dụng
o lớp ứng dụng
o lớp trình bày
o lớp phiên
- 4 lớp thuộc về các lớp truyền thông
o lớp vận chuyển
o lớp mạng
o lớp liên kết dữ liệu
o lớp vật lý
Đối với các lớp truyền thông:
- Lớp vận chuyển: phân chia / tái thiết dữ liệu thành các dòng chảy dữ liệu.
Các chức năng chính bao gồm điều khiển dòng dữ liệu, đa truy nhập, quản lý
các mạch ảo, phát hiện và sửa lỗi. TCP, UDP là hai giao thức thuộc họ giao
thức Internet (TCP/IP) thuộc về lớp vận chuyển này.
- Lớp mạng: cung cấp hoạt động định tuyến và các chức năng liên quan khác
cho phép kết hợp các môi trường liên kết dữ liệu khác nhau lại với nhau cùng
tạo nên mạng thống nhất. Các giao thức định tuyến hoạt động trong lớp mạng
này.
- Lớp liên kết dữ liệu: cung cấp khả năng truyền tải dữ liệu từ qua môi trường
truyền dẫn vật lý. Mỗi đặc tả khác nhau của lớp liên kết dữ liệu sẽ có các định

46
nghĩa khác nhau về giao thức và các chuẩn mực kết nối đảm bảo truyền tải dữ
liệu.
- Lớp vật lý: định nghĩa các thuộc tính điện, các chức năng, thường trình dùng
để kết nối các thiết bị mạng ở mức vật lý. Một số các thuộc tính được định
nghĩa như mức điện áp, đồng bộ, tốc độ truyền tải vật lý, khoảng cách truyền
tải cho phép... Trong môi trường truyền thông, các thiết bị truyền thông giao
tiếp với nhau thông qua các họ giao thức truyền thông khác nhau được xây
dựng dựa trên các mô hình chuẩn OSI nhằm đảm bảo tính tương thích và mở
rộng. Các giao thức truyền thông thường được chia vào một trong bốn nhóm:
các giao thức mạng cục bộ, các giao thức mạng diện rộng, giao thức mạng và
các giao thức định tuyến. Giao thức mạng cục bộ hoạt động trên lớp vật lý và
lớp liên kết dữ liệu. Giao thức mạng diện rộng hoạt động trên 3 lớp dưới cùng
trong mô hình OSI. Giao thức định tuyến là giao thức lớp mạng và đảm bảo
cho các hoạt động định tuyến và truyền tải dữ liệu. Giao thức mạng là các họ
các giao thức cho phép giao tiếp với lớp ứng dụng. Vai trò của bộ định tuyến
trong môi trường truyền thông là đảm bảo cho các kết nối giữa các mạng khác
nhau với nhiều giao thức mạng, sử dụng các công nghệ truyền dẫn khác nhau.
Chức năng chính của bộ định tuyến là:
- Định tuyến (routing)
- Chuyển mạch các gói tin (packet switching)
Định tuyến là chức năng đảm bảo gói tin được chuyển chính xác tới địa chỉ
cần đến. Chuyển mạch các gói tin là chức năng chuyển mạch số liệu, truyền
tải các gói tin theo hướng đã định trên cơ sở các định tuyến được đặt ra. Như
vậy, trên mỗi bộ định tuyến, ta phải xây dựng một bảng định tuyến, trên đó chỉ
rõ địa chỉ cần đến và đường đi cho nó. Bộ định tuyến dựa vào địa chỉ của gói
tin kết hợp với bảng định tuyến để chuyển gói tin đi đúng đến đích. Các gói tin
không có đúng địa chỉ đích trên bảng định tuyến sẽ bị huỷ. Chức năng đầu tiên
của bộ định tuyến là chức năng định tuyến như tên gọi của nó cũng là chức
năng chính của bộ định tuyến làm việc với các giao thức định tuyến. Bộ định
tuyến được xếp vào các thiết bị mạng làm việc ở lớp
3, lớp mạng.
Bảng 3-1:Tương đương chức năng thiết bị trong mô hình OSI

Chức năng khác của bộ định tuyến là cho phép sử dụng các phương thức
truyền thông khác nhau để đấu nối diện rộng. Chức năng kết nối diện rộng

47
WAN của bộ định tuyến là không thể thiếu để đảm bảo vai trò kết nối truyền
thông giữa các mạng với nhau. Chức năng kết nối mạng cục bộ, bất kỳ bộ định
tuyến nào cũng cần có chức năng này để đảm bảo kết nối đến vùng dịch vụ
của mạng. Bộ định tuyến còn có các chức năng đảm bảo hoạt động cho các
giao thức mạng mà nó quản lý.
3.6.2. Cấu hình cơ bản và chức năng của các bộ phận của bộ định tuyến
Như đã nói ở phần trước, bộ định tuyến là một thiết bị máy tính được thiết kế
đặc biệt để đảm đương được vai trò xử lý truyền tải thông tin trên mạng. Nó
được thiết kế bao gồm các phần tử không thể thiếu như CPU, bộ nhớ ROM,
RAM, các bus dữ liệu, hệ điều hành. Các phần tử khác tùy theo nhu cầu sử
dụng có thể có hoặc không bao gồm các giao tiếp, các module và các tính
năng đặc biệt của hệ điều hành.
CPU: điều khiển mọi hoạt động của bộ định tuyến trên cơ sở các hệ thống
chương trình thực thi của hệ điều hành.
ROM: chứa các chương trình tự động kiểm tra và có thể có thành phần cơ bản
nhất sao cho bộ định tuyến có thể thực thi được một số hoạt động tối thiểu
ngay cả khi không có hệ điều hành hay hệ điều hành bị hỏng.
RAM: giữ các bảng định tuyến, các vùng đệm, tập tin cấu hình khi chạy, các
thông số đảm bảo hoạt động của bộ định tuyến khác.
Flash: là thiết bị nhớ / lưu trữ có khả năng xoá và ghi được, không mất dữ liệu
khi cắt nguồn. Hệ điều hành của bộ định tuyến được chứa ở đây. Tùy thuộc
các bộ định tuyến khác nhau, hệ điều hành sẽ được chạy trực tiếp từ Flash
hay được giãn ra RAM trước khi chạy. Tập tin cấu hình cũng có thể được lưu
trữ trong Flash.
Hệ điều hành: đảm đương hoạt động của bộ định tuyến. Hệ điều hành của các
bộ định tuyến khác nhau có các chức năng khác nhau và thường được thiết kế
khác nhau. Mỗi bộ định tuyến có thể chạy rất nhiều hệ điều hành khác nhau
tùy thuộc vào nhu cầu sử dụng cụ thể, các chức năng cần thiết phải có của bộ
định tuyến và các thành phần phần cứng có trong bộ định tuyến. Các thành
phần phần cứng mới yêu cầu có sự nâng cấp về hệ điều hành. Các tính năng
đặc biệt được cung cấp trong các bản nâng cấp riêng của hệ điều hành.
Các giao tiếp: bộ định tuyến có nhiều các giao tiếp trong đó chủ yếu bao gồm:
- Giao tiếp WAN: đảm bảo cho các kết nối diện rộng thông qua các
phương thức truyền thông khác nhau như leased-line, Frame Relay,
X.25,ISDN, ATM, xDSL ... Các giao tiếp WAN cho phép bộ định tuyến kết
nối theo nhiều các giao diện và tốc độ khác nhau: V.35, X.21, G.703, E1, E3,
cáp quang v.v...

48
 - Giao tiếp LAN: đảm bảo cho các kết nối mạng cục bộ, kết nối đến các vùng
cung cấp dịch vụ trên mạng. Các giao tiếp LAN thông dụng: Ethernet,
FastEthernet, GigaEthernet, cáp quang.

3.7.. Tập lệnh cơ bản cisco

3.7.1. Làm quen với các chế độ cấu hình

Chế độ người dùng
Bao gồm các tác vụ phổ biến chủ yếu gồm những lệnh kiểm tra trạng thái
hoạt động của bộ định tuyến, trạng thái các giao tiếp, các bảng định tuyến
v.v... và một số lệnh để kiểm tra kết nối mạng như ping, traceroute, telnet
v.v.... Ở chế độ này không được phép thay đổi các cấu hình bộ định tuyến.
Chế độ người dùng không cho phép xem xét sâu đến các hoạt động của bộ
định tuyến mà trong quá trình khai thác, vận hành, người quản trị phải cần
thiết sử dụng chế độ quản trị để thực hiện. Biểu hiện của chế độ người dùng là
dấu lớn hơn,
>, sau tên bộ định tuyến:
Router>
Router>?
Exec commands:
<1-99> Session number to resume
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
----- các lệnh đã được bỏ bớt -----

49
 ping Send echo messages
ppp Start IETF Point-to-Point Protocol (PPP)
resume Resume an active network connection
rlogin Open an rlogin connection
show Show running system information
slip Start Serial-line IP (SLIP)
systat Display information about terminal lines
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
where List active connections
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD

Chế độ quản trị

Bao gồm hầu hết các lệnh của chế độ người dùng và các lệnh chỉ dành cho
người quản trị. Chỉ có thể cấu hình bộ định tuyến ở chế độ này. Trong quá
trình khai thác, vận hành, để hiểu rõ hoặc khi có sự cố xảy ra, người quản trị
có thể sử dụng các lệnh debug để làm rõ thêm thông tin cần thiết. Đặc trưng
cho chế độ quản trị là biểu hiện của dấu thăng, #.
Router>en
Password:
Router#
Router#?
Exec commands:
<1-99> Session number to resume
access-enable Create a temporary Access-List entry

50
 access-profile Apply user-profile to interface
access-template Create a temporary Access-List entry
archive manage archive files
bfe For manual emergency modes setting
cd Change current directory
clear Reset functions
clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also 'undebug')
----- các lệnh đã được bỏ bớt -----
traceroute Trace route to destination
tunnel Open a tunnel connection
udptn Open an udptn connection
undebug Disable debugging functions (see also 'debug')
upgrade Upgrade firmware
verify Verify a file
where List active connections
write Write running configuration to memory, network, or
terminal
x28 Become an X.28 PAD
x3 Set X.3 parameters on PAD
Chế độ cấu hình toàn cục
Là chế độ cấu hình các tham số toàn cục cho bộ định tuyến.
Có rất nhiều các cấu hình toàn cục như cấu hình tên bộ định tuyến, cấu hình
tên và mật khẩu người dùng, cấu hình định tuyến toàn cục, cấu hình danh sách
truy nhập v.v... Biểu hiện của chế độ cấu hình toàn cục như sau:

51
Router#
Router#config terminal
Router(config)#hostname RouterA

Chế độ cấu hình giao tiếp

Chế độ cấu hình giao tiếp là chế độ cấu hình cho các giao tiếp của bộ định
tuyến như giao tiếp Serial, giao tiếp Ethernet, giao tiếp Async... Chế độ cấu
hình giao tiếp cho phép người quản trị mạng thiết lập các tham số hoạt động
cho mỗi giao tiếp như các giao thức mạng được sử dụng trên giao tiếp, địa chỉ
mạng của giao tiếp, gán các danh sách truy nhập cho giao tiếp v.v... Một ví dụ
về chế độ cấu hình giao tiếp như sau:
Router#
Router#config terminal
Router(config)#interface s0/0
Router(config-if)#encapsolution ppp
Router(config-if)#ip address 192.168.100.5 255.255.255.0
Router(config-if)#
Chế độ cấu hình định tuyến
Là chế độ cấu hình các tham số cho các giao thức định tuyến. Các giao thức
định tuyến được cấu hình độc lập với nhau và đều được thực hiện ở chế độ cấu
hình định tuyến như ví dụ sau:
Router#
Router#config terminal
Router(config)#router rip
Router(config-router)#network 192.168.0.0
Router(config-if)#

Chế độ cấu hình đường kết nối

Chế độ cấu hình đường kết nối là một chế độ cấu hình đặc biệt sử dụng để
thiết lập các tham số mức thấp cho giao tiếp logic trong đó điển hình là các
tham số thiết lập cho các kết nối modem quay số.

52
 Router#config terminal
Router(config)#line 33 48
Router(config-line)#modem inout
Router(config-line)#modem autoconfig discovery
Router(config-line)#

3.7.2 Làm quen với các lệnh cấu hình cơ bản

Enable: dùng để vào chế độ quản trị. Sau khi thực hiện lệnh enable, người dùng
phải cung cấp mật khẩu quản trị đúng để thực sự được làm việc ở chế độ quản trị,
mật khẩu không được phép nhập sai quá 3 lần.
Router>
Router>en
Password:
Password:
Password:
% Bad secrets
Router>en
Password:

53
Router#
Router#
Router#disa
Router>

Disable: thoát khỏi chế độ quản trị về chế độ người dùng.

Setup: thực hiện khởi tạo lại cấu hình của bộ định tuyến ở chế độ cấu hình hội
thoại. Sau đây là một ví dụ về sử dụng lệnh setup. Chế độ hội thoại này cũng
được thực hiện tự động đối với các bộ định tuyến chưa hề có tập tin cấu hình hay
nói cách khác có NVRAM không chứa thông tin.

Router#setup
--- System Configuration Dialog ---
Continue with configuration dialog? [yes/no]: y
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system
Would you like to enter basic management setup? [yes/no]: n
First, would you like to see the current interface summary? [yes]: n
Configuring global parameters:
Enter host name [Router]:
The enable secret is a password used to protect access to
privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret [<Use current secret>]:

54
 The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password []:123456
The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password: 654321
Configure SNMP Network Management? [yes]:
Community string [public]:
Configure IP? [yes]:
Configure IGRP routing? [yes]: n
Configure RIP routing? [no]:
Configure bridging? [no]:
Async lines accept incoming modems calls. If you will have
users dialing in via modems, configure these lines.
Configure Async lines? [yes]: n
Configuring interface parameters:
Do you want to configure FastEthernet0/0 interface? [yes]: n
Do you want to configure Serial0/0 interface? [yes]: n
Do you want to configure Serial0/1 interface? [no]: y
Some supported encapsulations are
ppp/hdlc/frame-relay/lapb/x25/atm-dxi/smds
Choose encapsulation type [hdlc]: ppp
No serial cable seen.
Choose mode from (dce/dte) [dte]:
Configure IP on this interface? [no]: y
IP address for this interface: 192.168.100.5

55
 Subnet mask for this interface [255.255.255.0] :
Class C network is 192.168.100.0, 24 subnet bits; mask is /24
The following configuration command script was created:
hostname Router
enable secret 5 $1$EuXV$Yhj/OYkz/U1R5VABqXsMC0
enable password 7 123456
line vty 0 4
password 7 654321
snmp-server community public
!
ip routing
no bridge 1
!
interface FastEthernet0/0
shutdown
no ip address
!
interface Serial0/0
shutdown
no ip address
!
interface Serial0/1
no shutdown
encapsulation ppp
ip address 192.168.100.5 255.255.255.0
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit

56
!
end
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.

Config: cho phép thực hiện các lệnh cấu hình bộ định tuyến. Sau lênh config,
quản trị mạng mới có thể thực hiện các lệnh cấu hình bộ định tuyến. Trình tự thực
hiện cấu hình cho một bộ định tuyến có thể được thể hiện như sau
- Đặt tên cho bộ định tuyến
Router#config terminal
Router(config)#
Router(config)#hostname RouterABC
RouterABC(config)#
- Đặt tên mật khẩu bí mật dành cho người quản trị
RouterABC(config)#enable secret matkhaubimat
RouterABC(config)#
- Đặt tên mật khẩu cho chế độ quản trị. Mật khẩu này chỉ sử dụng khi cấu
hình bộ định tuyến không có mật khẩu bí mật dành cho quản trị.
RouterABC(config)#enable password matkhau
RouterABC(config)#
- Cấu hình cho phép người dùng truy cập từ xa đến bộ định tuyến
RouterABC(config)#line vty 0 4
RouterABC(config-line)#login
RouterABC(config-line)#password telnet
RouterABC(config-line)#
- Cấu hình các giao tiếp
RouterABC(config)#interface ethernet 0

57
RouterABC(config-if)#ip address 192.168.2.1 255.255.255.0
RouterABC(config-if)#no shutdown
RouterABC(config-if)#
- Cấu hình định tuyến
RouterABC(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
RouterABC(config)#
Copy: lệnh copy cho phép thực hiện các sao chép cấu hình của bộ định tuyến
đi/đến máy chủ TFTP, sao chép, lưu trữ, nâng cấp các tập tin IOS của bộ định
tuyến từ / tới máy chủ TFTP. Để có thể lưu bản sao cấu hình hiện hành lên máy
chủ TFTP, sử dụng lệnh copy rumng-config tftp như được trình bày ở dưới. Tiếp
theo là tiến trình ngược lại với việc tải tập tin cấu hình từ máy chủ TFTP về bộ
định tuyến.
- Nhập lệnh copy runing-config tftp
- Nhập địa chỉ IP của máy chủ TFTP nơi dùng để lưu tập tin cấu hình
- Nhập tên ấn định cho tập tin cấu hình
- Xác nhận chọn lựa với trả lời yes

Lệnh copy dùng để lưu tập tin cấu hình lên máy chủ:
Router#copy running-config tftp
Address or name of remote host []? 192.168.1.5
Name of configuration file to write [Router-config]?cisco.cfg
Write file cisco.cfg to 192.168.1.5? [confirm] y
Writing cisco.cfg !!!!! [OK]
Router#

Lệnh copy dùng để tải tập tin cấu hình từ máy chủ:
Router#copy tftp running-config
Address or name of remote host []? 192.168.1.5
Source filename []? cisco.cfg

58
Destination filename [running-config]?
Show: là lệnh được dùng nhiều và phổ biến nhất.
Lệnh show dùng để xác định trạng thái hiện hành của bộ định tuyến. Các lệnh này
giúp cho phép có được các thông tin quan trọng cần biết khi kiểm tra và điều
chỉnh các hoạt động của bộ định tuyến.
- show version: hiển thị cấu hình phần cứng hệ thống, phiên bản phần mềm, tên
và nguồn của các tập tin cấu hình, và ảnh chương trình khởi động.
- show processes: hiển thị thông tin các quá trình hoạt động của bộ định tuyến.
- show protocols: hiển thị các giao thức được cấu hình.
- show memory: thống kê về bộ nhớ của bộ định tuyến.
- show stacks: giám sát việc sử dụng stack của các quá trình, các thủ tục ngắt và
hiển thị nguyên nhân khởi động lại hệ thống lần cuối cùng.
- show buffers: cung cấp thống kê về các vùng bộ đệm trên bộ định tuyến.
- show flash: thể hiện thông tin về bộ nhớ Flash.
- show running-config: hiển thị tập tin cấu hình đang hoạt động của bộ định
tuyến.
- show startup-config: hiển thị tập tin cấu hình được lưu trữ trên NVRAM và
được đưa vào bộ nhớ để hoạt động khi bật nguồn bộ định tuyến. Thông thường
running-config và startup-config là giống nhau. Khi thực hiện các lệnh cấu hình,
running-config và startup-config sẽ không còn giống nhau, cấu hình hoạt động
(running-config) cần phải được ghi trở lại NVRAM sau khi kết thúc cấu hình bộ
định tuyến.
- show interfaces: thống kê các giao tiếp của bộ định tuyến. Đây là một trong các
lệnh được sử dụng nhiều nhất cho biết trạng thái hoạt động của các giao tiếp, số
liệu thống kê lưu lượng, số lượng các gói tin lỗi v.v...

59
Router#show interface s0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Description: 2M link to the Internet
Internet address is 192.168.100.5/24
MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec,
reliability 255/255, txload 248/255, rxload 84/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/12/0 (size/max/drops/flushes); Total output
drops: 2383688
Queueing strategy: weighted fair
Output queue: 24/1000/64/2383671 (size/max total/threshold/drops)
Conversations 5/184/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 677000 bits/sec, 161 packets/sec

60
 5 minute output rate 1996000 bits/sec, 395 packets/sec
106754998 packets input, 2930909441 bytes, 0 no buffer
Received 68850 broadcasts, 0 runts, 0 giants, 0 throttles
51143 input errors, 30726 CRC, 20248 frame, 0 overrun, 0
ignored, 169 abort
319791176 packets output, 1669977392 bytes, 0 underruns
0 output errors, 0 collisions, 125 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Hình 3.22: Lệnh show interface
Router# show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.1(2), RELEASE
SOFTWARE (fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Tue 09-May-00 23:34 by linda
Image text-base: 0x80008088, data-base: 0x807D2544

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

Router uptime is 1 week, 1 day, 1 minute
System returned to ROM by power-on at 13:29:57 Hanoi Thu Jul 31 2003
System restarted at 20:24:22 Hanoi Tue Sep 2 2003
System image file is "flash:c2600-i-mz.121-2.bin"

cisco 2620 (MPC860) processor (revision 0x102) with 26624K/6144K

61
bytes of memory
.
Processor board ID JAD04340ID8 (2733840160)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Write: lệnh write sử dụng để ghi lại cấu hình hiện đang chạy của bộ định tuyến.
Nhất thiết phải dùng lệnh write memory để ghi lại cấu hình của bộ định tuyến vào
NVRAM mỗi khi có thay đổi về cấu hình.

Router#write ?
erase Erase NV memory
memory Write to NV memory
network Write to network TFTP server
terminal Write to terminal
<cr>
3.8 Các giao thức định tuyến hệ thống cisco:
3.8.1 Giới thiệu bộ định tuyến Cisco
Sơ lược về bộ định tuyến
Bộ định tuyến Cisco bao gồm nhiều nền tảng phần cứng khác nhau được thiết
kế xây dựng cho phù hợp với nhu cầu và mục đích sử dụng của các giải pháp
khác nhau. Các chức năng xử lý hoạt động của bộ định tuyến Cisco dựa trên
nền tảng cốt lõi là hệ điều hành IOS. Tuỳ theo các nhu cầu cụ thể mà một bộ
định tuyến Cisco sẽ cần một IOS có các tính năng phù hợp. IOS có nhiều
62
phiên bản khác nhau, một số loại phần cứng mới được phát triển chỉ có thể
được hỗ trợ bởi các IOS phiên bản mới nhất.
Các thành phần cấu thành bộ định tuyến

- RAM: Giữ bảng định tuyến, ARP Cache, fast-switching cache, packet
buffer, và là nơi chạy các file cấu hình cho bộ định tuyến. Đây chính là nơi lưu
giữ file Running-Config, chứa cấu hình đang hoạt động của Router. Khi
ngừng cấp nguồn cho bộ định tuyến, bộ nhớ này sẽ tự động giải phóng. Tất cả
các thông tin trong file Running-Config sẽ bị mất hoàn toàn.
- NVRAM: non-volatile RAM, là nơi giữ startup/backup configure, không bị
mất thông tin khi mất nguồn vào. File Startup-Config được lưu trong này để
đảm bảo khi khởi động lại, cấu hình của bộ định tuyến sẽ được tự động đưa về
trạng thái đã lưu giữ trong file. Vì vậy, phải thường xuyên lưu file Running-
Config thành file Startup-Config.
- Flash: Là ROM có khả năng xoá, và ghi đợc. Là nơi chứa hệ điều hành IOS
của bộ định tuyến. Khi khởi động, bộ định tuyến sẽ tự đọc ROM để nạp IOS
trước khi nạp file Startup-Config trong NVRAM.
- ROM: Chứa các chương trình tự động kiểm tra.
- Cổng Console: Được sử dụng để cấu hình trực tiếp bộ định tuyến. Tốc
độ dữ liệu dùng cho cấu hình bằng máy tính qua cổng COM là 9600b/s. Giao
diện ra của cổng này là RJ45 female.
- Cổng AUX: Được sử dụng để quản lý và cấu hình cho bộ định tuyến thông
qua modem dự phòng cho cổng Console. Giao diện ra của cổng này cũng là
RJ45 female.
- Các giao diện:

63
 o Cổng Ethernet / Fast Ethernet
o Cổng Serial
o Cổng ASYNC ...

3.8.2. Định tuyến tĩnh và động

Sơ lược về định tuyến
Chức năng xác định đường dẫn cho phép bộ định tuyến ước lượng
các đường dẫn khả thi để đến đích và thiết lập sự kiểm soát các gói tin. Bộ
định tuyến sử dụng các cấu hình mạng để đánh giá các đường dẫn mạng.
Thông tin này có thể được cấu hình bởi người quản trị mạng hay được thu
thập thông qua quá trình xử lý động được thực thi trên mạng.
Lớp mạng dùng bảng định tuyến IP để gửi các gói tin từ mạng
nguồn đến mạng đích. Bộ định tuyến dựa vào các thông tin được giữ trong
bảng định tuyến để quyết định truyền tải các gói tin theo các giao tiếp thích
hợp.

Một bảng định tuyến IP bao gồm các địa chỉ mạng đích, địa chỉ
của điểm cần đi qua, giá trị định tuyến và giao tiếp để thực hiện việc truyền
tải. Khi
không có thông tin về mạng đích, bộ định tuyến sẽ gửi các gói tin
theo một đường dẫn mặc định được cấu hình trên bộ định tuyến, nếu đường
dẫn không tồn tại, bộ định tuyến tự động loại bỏ gói tin.
Có hai phương thức định tuyến là:
- Định tuyến tĩnh (static routing): là cách định tuyến không sử dụng
các giao thức định tuyến. Các định tuyến đến một mạng đích sẽ được
thực hiện một cách cố định không thay đổi trên mỗi bộ định tuyến. Mỗi khi
64
 thực hiện việc thêm hay bớt các mạng, phải thực hiện thay đổi cấu hình
trên mỗi bộ định tuyến.
- Định tuyến động (dynamic routing): là việc sử dụng các giao thức
định tuyến để thực hiện xây dựng nên các bảng định tuyến trên các bộ định
tuyến. Các bộ định tuyến thông qua các giao thức định tuyến sẽ tự động
trao đổi các thông tin định tuyến, các bảng định tuyến với nhau. Mỗi khi có
sự thay đổi về mạng, chỉ cần khai báo thông tin mạng mới trên bộ định
tuyến quản lý trực tiếp mạng mới đó mà không cần phải khai báo lại trên
mỗi bộ định tuyến. Một số giao thức định tuyến động được sử dụng là RIP,
RIPv2, OSPF, EIGRP v.v...
Giá trị định tuyến được xây dựng tùy theo các giao thức định tuyến
khác nhau. Giá trị định tuyến của các kết nối trực tiếp và định tuyến tĩnh có
giá trị nhỏ nhất bằng 0, đối với định tuyến động thì giá trị định tuyến được
tính toán tùy thuộc và từng giao thức cụ thể. Giá trị định tuyến được thể
hiện trong bảng định tuyến là giá trị định tuyến tốt nhất đã được bộ định
tuyến tính toán và xây dựng nên trên cơ sở các giao thức định tuyến được
cấu hình và giá trị định tuyến của từng giao thức.
Các giao thức định tuyến động được chia thành 2 nhóm chính:
- Các giao thức định tuyến khoảng cách véc tơ (distance-vecto, sau đây được gọi
tắt là định tuyến vectơ): dựa vào các giải thuật định tuyến có cơ sở hoạt động là
khoảng cách véc tơ. Theo định kỳ các bộ định tuyến chuyển toàn bộ các thông
tin có trong bảng định tuyến đến các bộ định tuyến láng giềng đấu nối trực tiếp
với nó và cũng theo định kỳ nhận các bảng định tuyến từ các bộ định tuyến láng
giềng. Sau khi nhận được các bảng định tuyến từ các bộ định tuyến láng giềng,
bộ định tuyến sẽ so sánh với bảng định tuyến hiện có và quyết định về việc xây
dựng lại bảng định tuyến theo thuật toán của từng giao thức hay không. Trong
trường hợp phải xây dựng lại, bộ định tuyến sau đó sẽ gửi bảng định tuyến mới
cho các láng giềng và các láng giềng lại thực hiện các công việc tương tự. Các bộ
định tuyến tự xác định các láng giềng trên cơ sở thuật toán và các thông tin thu
lượm từ mạng. Từ việc cần thiết phải gửi các bảng định tuyến mới lại cho các
láng giềng và các láng giềng sau khi xây dựng lại bảng định tuyến lại gửi trở lại
bảng định tuyến mới, định tuyến thành vòng có thể xảy ra nếu sự hội về trạng thái
bền vững của mạng diễn ra chậm trên một cấu hình mới. Các bộ định tuyến sử
dụng các kỹ thuật bộ đếm định thời để đảm bảo không nảy sinh việc xây dựng
một bảng định tuyến sai. Có thể diễn giải điều đó như sau:
o Khi một bộ định tuyến nhận một cập nhật từ một láng giềng chỉ rằng một mạng
có thể truy xuất trước đây, nay không thể truy xuất được nữa, bộ định tuyến đánh
dấu tuyến là không thể truy xuất và khởi động một bộ định thời.

65
o Nếu tại bất cứ thời điểm nào mà trước khi bộ định thời hết hạn một cập nhật
được tiếp nhận cũng từ láng giềng đó chỉ ra rằng mạng đã được truy xuất trở lại,
bộ định tuyến đánh dấu là mạng có thể truy xuất và giải phóng bộ định thời.
o Nếu một cập nhật đến từ một bộ định tuyến láng giềng khác với giá trị định
tuyến tốt hơn giá trị định tuyến được ghi cho mạng này, bộ định tuyến đánh dấu
mạng có thể truy xuất và giải phóng bộ định thời. Nếu giá trị định tuyến tồi hơn,
cập nhật được bỏ qua.
o Khi bộ định thời được đếm về 0, giá trị định tuyến mới được xác lập, bộ định
tuyến có bảng định tuyến mới.
- Các giao thức định tuyến trạng thái đường (link-state, gọi tắt là định tuyến trạng
thái): Giải thuật cơ bản thứ hai được dùng cho định tuyến là giải thuật 1ink-state.
Các giải thuật định tuyến trạng thái, cũng được gọi là SPF (shortest path first,
chọn đường dẫn ngắn nhất), duy trì một cơ sở dừ liệu phức tạp chứa thông tin về
cấu hình mạng.
- Trong khi giải thuật vectơ không có thông tin đặc biệt gì về các mạng ở xa và
cũng không biết các bộ định tuyến ở xa, giải thuật định tuyến trạng thái biết được
đầy đủ về các bộ định tuyến ở xa và biết được chúng liên kết với nhau như thế
nào.
Giao thức định tuyến trạng thái sử dụng:
o Các thông báo về trạng thái liên kết: LSA (Link State Advertisements).
o Một cơ sở dữ liệu về cấu hình mạng.
o Giải thuật SPF, và cây SPF sau cùng.
o Một bảng định tuyến liên hệ các đường dẫn và các cổng đến từng mạng. Hoạt
động tìm hiểu khám phá mạng trong định tuyến trạng thái được thực hiện như
sau:
o Các bộ định tuyến trao đổi các LSA cho nhau. Mỗi bộ định tuyến bắt đầu với
các mạng được kết nối trực tiếp để lấy thông tin.
o Mỗi bộ định tuyến đồng thời với các bộ định tuyến khác tiến hành xây dựng
một cơ sở dữ liệu về cấu hình mạng bao gồm tất cả các LSA đến từ liên mạng.
o Giải thuật SPF tính toán mạng có thể đạt đến. Bộ định tuyến xây dựng cấu hình
mạng luận lý này như một cây, tự nó là gốc, gồm tất cả các đường dẫn có thể đến
mỗi mạng trong toàn bộ mạng đang chạy giao thức định tuyến trạng thái. Sau đó,
nó sắp xếp các đường dẫn này theo chiến lược chọn đường dẫn ngắn nhất.
o Bộ định tuyến liệt kê các đường dẫn tốt nhất của nó, và các cổng dẫn đến các
mạng đích, trong bảng định tuyến của nó. Nó cũng duy trì các cơ sở dữ liệu khác
về các phần tử cấu hình mạng và các chi tiết về hiện trạng của mạng. Khi có thay

66
đổi về cấu hình mạng, bộ định tuyến đầu tiên nhận biết được sự thay đổi này gửi
thông tin đến các bộ định tuyến khác hay đến một bộ định tuyến định trước được
gán là tham chiếu cho tất cả các các bộ định tuyến trên mạng làm căn cứ cập nhật.
o Theo dõi các láng giềng của nó, xem xét có hoạt động hay không, và giá trị
định tuyến đến láng giềng đó.
o Tạo một gói LSA trong đó liệt kê tên của tất cả các bộ định tuyến láng giềng và
các giá trị định tuyến đối với các láng giềng mới, các thay đổi trong giá trị định
tuyến, và các liên kết dẫn đến các láng giềng đã được ghi.
o Gửi gói LSA này đi sao cho tất cả các bộ định tuyến đều nhận được.
o Khi nhận một gói LSA, ghi gói LSA vào cơ sở dữ liệu để sao cho cập
nhật gói LSA mới nhất được phát ra từ mỗi bộ định tuyến.
o Hoàn thành bản đồ của liên mạng bằng cách dùng dữ liệu từ các gói
LSA tích lũy được và sau đó tính toán các tuyến dần đến tất cả các mạng khác
sử dụng thuật toán SPF.
Có hai vấn đề lưu ý đối với giao thức định tuyến trạng thái:
o Hoạt động của các giao thức định tuyến trạng thái trong hầu hết các
trường hợp đều yêu cầu các bộ định tuyến dùng nhiều bộ nhớ và thực thi nhiều
hơn so với các giao thức định tuyến theo vectơ. Các yêu cầu này xuất phát từ
việc cần thiết phải lưu trữ thông tin của tất cả các láng giềng, cơ sở dữ liệu
mạng đến từ các nơi khác và việc thực thi các thuật toán định tuyến trạng thái.
Người quản lý mạng phải đảm bảo rằng các bộ định tuyến mà họ chọn có khả
năng cung cấp các tài nguyên cần thiết này.
o Các nhu cầu về băng thông cần phải tiêu tốn để khởi động sự phát tán
gói trạng thái. Trong khi khởi động quá trình khám phá, tất cả các bộ định
tuyến dùng các giao thức định tuyến trạng thái để gửi các gói LSA đến tất cả
các bộ định tuyến khác. Hành động này làm tràn ngập mạng khi mà các bộ định
tuyến đồng loạt yêu cầu băng thông và tạm thời làm giảm lượng băng thông
khả dụng dùng cho lưu lượng dữ liệu thực được định tuyến. Sau khởi động phát
tán này, các giao thức định tuyến trạng thái thường chỉ yêu cầu một lượng băng

67
thông tối thiểu để gửi các gói LSA kích hoạt sự kiện không thường xuyên nhằm
phản ánh sự thay đổi của cấu hình mạng.
- Và một nhóm giao thức thứ 3 là nhóm các giao thức định tuyến lai
ghép giữa 2 nhóm trên hay nói cách khác có các tính chất của cả hai nhóm giao
thức trên.

68
Các giao thức định tuyến

Cấu hình định tuyến động cơ bản với RIP

Một số lưu ý khi cấu hình định tuyến động với RIP
- RIP gửi các thông tin cập nhật theo các chu kỳ định trước, giá trị mặc
định là 30 giây, và khi có sự thay đổi bảng định tuyến.
- RIP sử dụng số đếm các node (hop count) để làm giá trị đánh giá chất
lượng của định tuyến (metric). RIP chỉ giữ duy nhất định tuyến có giá trị định
tuyến thấp nhất.
- Giá trị hop count tối đa cho phép là 15.

69
- RIP sử dụng các bộ đếm thời gian cho việc thực hiện gửi các thông tin
cập nhật, xoá bỏ một định tuyến trong bảng cũng như để điều khiển các quá
trình tạo lập bảng định tuyến, tránh loop vòng.
- RIPv1: Classfull: không có thông tin về subnetmask
- RIPv2: Classless: có thông tin về subnetmask
Cấu hình định tuyến với RIP:
- Cho phép giao thức định tuyến RIP hoạt động trên bộ định tuyến.
Router(config)#router rip
- Thiết lập các cấu hình mạng. Network là nhóm mạng tính theo lớp mạng cơ
bản đang có các giao tiếp trực tiếp trên bộ định tuyến.
Router(config-router)#network 192.168.100.0
Router(config-router)#network 172.25.0.0
Router(config-router)#network 10.0.0.0
- Trong trường hợp sử dụng RIP với các mạng không phải là mạng broadcast
như X.25, Frame Relay cần thiết cấu hình RIP với các địa chỉ Unicast là các địa
chỉ mà RIP sẽ gửi tới các thông tin cập nhật
Router(config-router)#neighbor 192.168.113.1
Router(config-router)#neighbor 192.168.113.5
- Tuỳ theo điều kiện cụ thể về hạ tầng mạng có thể thay đổi chu kỳ cập nhật thông
tin, các định nghĩa thời gian khác cho phù hợp.
Router(config-router)# timers basic update invalid holddown
flush[sleeptime]
- Các thay đổi khác.
Router(config-router)# version {1 | 2}
Router(config-router)# ip rip authentication key-chain name-of-chain
Router(config-router)# ip rip authentication mode {text | md5}
- Giám sát.
show ip interfaces

70
show ip rip

71
3.9 Thiết lập chính sách bằng access-list
Ví dụ :
Cấu hình một ip access-list :
Code:
ip access-list {standard | extended} acl-name

Lưu ý :
Permit : tương ứng với bạn quan tâm đến dãy ip đó.
Deny : tương ứng với bạn không quan tâm đến dãy ip đó.
Quan tâm tương ứng với nó sẽ thực hiện theo câu lệnh action điều khiển.

Ví dụ : bạn quan tâm đến dãy ip x-y không quan tâm đến dãy ip a-b , action là :
action drop .
=> x-y sẽ bị drop còn a-b không bị ảnh hưởng gì.

Bước 2 : Định nghĩa một Vlan -access map bằng câu lệnh :
vlan access-map map_name[0-65535]

Vấn đề đặt ra là bạn cũng có thể không cần gán số thứ tự từ [0-65535] , switch sẽ
tự tạo. Trường hợp dùng số khi nào bạn dùng map-name chung cho nhiều access-
map khi đó nó sẽ gán một số mà bật tăng lần lượt lên 10 đơn vị. Ví dụ : 10, 20,
30...

Bước 3: Cấu hình một "match clause". Định nghĩa ra một mệnh đề liên hệ giữa
vlan-acesslist và ip access-list ở trên :
Code:
match ip address {acl_number | acl_name}

hay tổng quát nhất là câu lệnh :

Code:
72
match {ip | mac} address {name |
number} [name | number]

Bước 4: Cấu hình "hành động mà switch sẽ làm với vlan-access map ở trên

Code:
action {drop | forward}

Lưu ý :
1) Bạn có thể không cần đánh cụ thể là drop hay forward mặc định không chọn
nó sẽ lấy hành động là forward

Trích:

Ví dụ :
Code:
Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop

Code:
Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward

Bước 5 : apply một vlan-map vào một vlan

vlan filter mapname vlan-list list

73
3.10. Thiết kế hệ thống mạng LAN cho trường Đại học
3.10.1. Sơ đồ kết nối vật lý

74
 ASA5520 2960 VLAN110
outside SW6
Leasedline DMZ

Gi0/0 Gi0/1 Mail server

Gi0/2

inside
Web tnut
FTTH

2960
outside Gi4/1 VLAN 11
SW5
Gi4/2
Gi4/2
Core Switch
F0/0
4560

Router Gi3/10
Gi3/11

Gi3/13
Gi3/12
2811
BK domain database edusoft

2960 VLAN20 2960 VLAN 21 2960 VLAN22 2960 VLAN 23

SW 1 SW2 SW3 SW4

Hình : Sơ đồ kết nối vật lý mạng LAN

3.10.2. Thiết kế sơ đồ logic mạng LAN cho trường Đại học

75
 ASA5520

2960
222.254.76.10 SW6
Leasedline 172.16.110.0/24
Mail server
.1 172.16.110.10
.2

VLAN110 Web tnut

172.16.248.0/24 172.16.110.11
172.16.241.110
FTTH

2960 VLAN11
outside .1 SW5 172.16.241.11
.1
.1 Core Switch
4560
172.16.249.0/24

Router .1 Edusoft
.1 BK domain Database
.1

2811 172.16.11.12
172.16.11.10 172.16.11.11
.1

2960 VLAN20 VLAN21 VLAN22 VLAN23

2960 2960
SW1 172.16.241.20 2960 172.16.241.21 172.16.241.22 172.16.241.23
SW3 SW4
SW2

172.16.20.2 172.16.20.3 172.16.21.2 172.16.21.3 172.16.22.2 172.16.22.3 172.16.23.2 172.16.23.3

76
 3.10.3. Bản vẽ quy hoạch IP
Đại Học Kỹ Thuật Công Nghiệp Thái Nguyên

Sử dụng dải IP: 172.16.0.0/24

Gồm 256 dải IP: 172.16.0.0/24 tới 172.16.255.0/24

IP của các server local

IP của các thiết bị quản trị IP của các VLAN

Firewall: 172.16.248.0/24 Mail: 172.16.110.10 VLAN 23:

172.16.241.23

Core switch: 172.16.248.0/24 VLAN 11:

Web: 172.16.110.11
172.16.241.11

Router: 172.16.249.0/24 VLAN 110:

172.16.241.110

IP của các sever public

VLAN 20:
Edusoft:
172.16.241.20
172.16.11.12

BK domain:
172.16.11.10 VLAN 21:
172.16.241.21

VLAN 22:
Database:
172.16.241.22
172.16.11.11

77
3.11. Cấu các hình thiết bị trong hệ thống mạng

3.11.1. Cấu hình CoreSwitch 4506

sh run
Building configuration...
Current configuration : 9276 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service compress-config
!
hostname TTHL-CoreSW
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$GzO2$6rdB6DLRJM9BHRzGa/3fy/
enable password 7 00001B120A7B07140C71141E5059
!
username admin privilege 15 secret 5 $1$RWbJ$wTD6JZujhOuhg94yHUro31
no aaa new-model
clock timezone UTC 7
ip subnet-zero
no ip domain-lookup
ip domain-name lrc-tnu.edu.vn
!
ip multicast-routing
!
!
!
!
!
power redundancy-mode redundant
no file verify auto
!
spanning-tree mode pvst
78
spanning-tree extend system-id
spanning-tree vlan 1,11,21-29 priority 24576
!
vlan internal allocation policy ascending
!
interface Port-channel1
switchport
switchport access vlan 2
switchport mode access
interface GigabitEthernet3/1
!
interface GigabitEthernet3/2
!
interface GigabitEthernet3/3
!
interface GigabitEthernet3/4
!
interface GigabitEthernet3/5
!
interface GigabitEthernet3/6
…..
interface GigabitEthernet3/24
!
interface Vlan1
ip address 172.9.241.254 255.255.255.0
!
interface Vlan11
description VLAN server
ip address 172.16.11.1 255.255.255.0
ip pim dense-mode
!
interface Vlan20
description Vlan 20
ip address 172.16.20.1 255.255.255.0
ip helper-address 172.16.11.15
ip access-group Staff in
ip pim dense-mode
!
interface Vlan21
description Vlan 21
ip address 172.16.21.1 255.255.255.0
ip helper-address 172.16.11.15
ip access-group Student in
ip pim dense-mode

79
!
…..
interface Vlan24
description Vlan 24
ip address 172.16.24.1 255.255.255.0
ip helper-address 172.16.11.15
ip pim dense-mode
!
router rip
version 2
network 172.0.0.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 172.16.248.2
ip http server
no ip http secure-server
!
ip access-list extended Staff
permit udp any any eq bootps
permit udp any any eq bootpc
permit pim any any
permit ip 172.16.25.0 0.0.0.255 172.16.110.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.11.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.21.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.22.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.23.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.24.0 0.0.0.255
permit ip 172.16.25.0 0.0.0.255 172.16.241.0 0.0.0.255
permit icmp 172.16.25.0 0.0.0.255 any
deny ip any any
ip access-list extended Student
permit udp any any eq bootps
permit udp any any eq bootpc
permit ip 172.16.21.0 0.0.0.255 172.16.110.0 0.0.0.255
permit ip 172.16.21.0 0.0.0.255 172.16.11.0 0.0.0.255
permit ip 172.16.21.0 0.0.0.255 172.16.22.0 0.0.0.255
permit ip 172.16.21.0 0.0.0.255 172.16.23.0 0.0.0.255
permit ip 172.16.21.0 0.0.0.255 172.16.24.0 0.0.0.255
permit ip 172.16.21.0 0.0.0.255 172.16.241.0 0.0.0.255
permit icmp 172.16.21.0 0.0.0.255 any
deny ip any any
!
!
!

80
control-plane
!
line con 0
login local
stopbits 1
line vty 0 4
login local
transport input telnet ssh
line vty 5 15
login local
transport input telnet ssh
!
End

3.11.2. Cấu hình Firewall ASA 5510

sh run
: Saved
ASA Version 7.2(2)
!
hostname DHA-ASA5510
domain-name lrc-tnu.edu.vn
enable password jeAOvZvIA1LKyOvZ encrypted
names
!
interface Ethernet0/0 (sua thanh cong giga)
nameif outside
security-level 0
ip address 222.254.76.10 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.248.2 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 172.16.110.1 255.255.255.0
!
interface Ethernet0/3
shutdown
81
 no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd jeAOvZvIA1LKyOvZ encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name lrc-tnu.edu.vn
access-list outside_in extended permit ip any any
access-list inside_in extended permit ip any any
access-list dmz_in extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit any inside
icmp permit any DMZ
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 222.254.76.10
nat (inside) 1 172.16.0.0 255.255.0.0
access-group outside_in in interface outside
access-group inside_in in interface inside
access-group dmz_in in interface DMZ
route outside 0.0.0.0 0.0.0.0 222.254.76.1 1
route inside 172.16.0.0 255.255.0.0 172.16.248.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
<--- More --->
http server enable

82
http 0.0.0.0 0.0.0.0 inside
snmp-server host inside 172.16.11.100 community abcbcbcbc
no snmp-server location
no snmp-server contact
snmp-server community dhtn2009
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:df793b193e213427cda58632e243c0bc
: end

3.11.3. Cấu hình Router 2811

sh run
Building configuration...

83
Current configuration : 1646 bytes
!
! No configuration change since last restart
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname DHTN-R2811-WAN
!
boot-start-marker
boot-end-marker
!
card type e1 0 0
no logging console
!
no aaa new-model
!
resource policy
!
clock calendar-valid
no network-clock-participate wic 0
ip subnet-zero
!
!
ip cef
!
!
!
username admin privilege 15 secret 5 $1$FcRv$viXNF1Zal16u.QjgKSV.3.
!
!
controller E1 0/0/0
channel-group 0 unframed
!
controller E1 0/0/1
channel-group 0 unframed
!
!

interface Multilink6
ip address 10.254.254.2 255.255.255.252
ppp multilink

84
 ppp multilink group 6
!
interface FastEthernet0/0
description Ket noi den CoreSW DH
ip address 172.16.249.2 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface Serial0/0/0:0
no ip address
encapsulation ppp
ppp multilink
ppp multilink group 6
!
interface Serial0/0/1:0
no ip address
encapsulation ppp
ppp multilink
ppp multilink group 6
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip classless
ip route 172.16.0.0 255.255.0.0 172.16.249.1
!
ip http server
!
!
control-plane
!
banner motd ^CChu y!-Chi danh cho che do nguoi quan tri^C
!
line con 0
exec-timeout 15 0
logging synchronous

85
line aux 0
line vty 0 4
password 7 02020C4F05261B2F591E51495D
login local
line vty 5 15
password 7 02020C4F05261B2F591E51495D
login local
!
scheduler allocate 20000 1000
!
End

3.11.4. Cấu hình các acess switch 2960

sh run
Building configuration...

Current configuration : 4496 bytes

!
version 12.2
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname TTHL-SW18
!
enable secret 5 $1$faXf$7r60XVt0E/y3DkztfVZpu/
!
username cisco privilege 15 secret 5 $1$feho$2ov/FR/pPUi1PnqDWMqhl.
no aaa new-model
clock timezone UTC 7
ip subnet-zero
!
no ip domain-lookup
ip domain-name lrc-tnu.edu.vn
!
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
86
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause loopback
errdisable recovery interval 60
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/2
switchport access vlan 25
switchport mode access
spanning-tree portfast
--More-- !
interface FastEthernet0/3 Database:
switchport access vlan 25 172.16.11.11
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/4
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/5
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/6
switchport access vlan 25

87
 switchport mode access
spanning-tree portfast
!
interface FastEthernet0/7
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/8
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/9
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/10
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/11
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/12
switchport access vlan 25
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/13
switchport access vlan 21
switchport mode access
--More-- spanning-tree portfast
! Database:
interface FastEthernet0/14 172.16.11.11
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/15

88
 switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/16
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/17
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/18
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/19
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/20
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/21
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/22
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/23
switchport access vlan 21
switchport mode access
spanning-tree portfast
!

89
interface FastEthernet0/24
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/1
switchport mode trunk
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 172.16.241.5 255.255.255.0
no ip route-cache
!
ip default-gateway 172.16.241.1 (tro den default gateway cua coreswitch 450)
ip http server
!
control-plane
!
!
line con 0
login local
line vty 0 4
login local
transport input telnet
line vty 5 15
login local
transport input telnet
!
end

Chương 4: Tổng kết

90
4.1. Đánh giá kết quả đạt được (kết quả chính, những hạn chế)
Qua thời gian 7 tuần nghiên cứu và tìm hiểu, chúng em đã có những kết quả đạt
được như:
• Được tìm hiểu thêm về các thiết bị mạng như: Fire wall, Core switch,
Router, Accsess Switch….
• Mô hình chuẩn của cisco
• Biết cấu hình cơ bản một số thiết bị
• Biết một số câu lệnh cơ bản

Và những hạn chế như:

• Chưa làm được hệ thống mạng cụ thể
• Chưa thể cấu hình chuẩn cho các thiết bị

4.2. Tài liệu tham khảo

Tài liệu tham khảo gồm có:
1. CCNA tiếng việt
2. CCNA_full
3. Campus Networks
4. CCNA lab guide

91