CCNA Part2

Tài liệu này được upload và download tại website: http://hutonline.
net
CCNA Tài liệu dành cho học viên
BÀI 20: CẤU HÌNH OSPF GIỮA

WINDOWS SERVER 2003 VÀ ROUTER
1. Giới thiệu :
Trong bài lab này chúng ta sẽ khảo sát cấu hình OSPF giữa một máy Server sử dụng
Windows 2003 và router.
PC có thể được sử dụng làm Router, đồng thới có thể tích hợp vào hệ thống router và định
tuyến thông qua giao thức chuẩn OSPF.
2. Mô tả bài lab và đồ hình :
Đồ hình bài lab như hình vẽ, chúng ta sẽ cấu hình loopback 0 cho các router. Địa chỉ IP
của các interface được ghi trên hình. Lưu ý, khi cấu hình IP cho server, chúng ta không cấu
hình default gateway.
Server hoạt động giống như Router, nó sẽ trao đổi các thông tin định tuyến thông qua giao
thức OSPF và có thể biết được các mạng 10.0.0.0, 12.0.0.0 ở đầu xa.
3. Cấu hình cho các router :

Chúng ta cấu hình cho cho các router như sau :
Vsic1#sh run
Building configuration...
Current configuration : 592 bytes
version 12.1
hostname Vsic1
interface Loopback0
ip address 10.0.0.1 255.255.0.0
interface Serial0
VSIC Education Corporation Trang 128

Tài liệu này được upload và download tại website: http://hutonline.net
Bách Khoa Online

Giao lưu - Học hỏi - Chia sẻ kinh nghiệm
của các thế hệ sinh viên Bách Khoa
hutonline.net
ip address 192.168.1.1 255.255.255.0

router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Loopback0
ip address 11.1.0.1 255.0.0.0
interface Ethernet0
ip address 15.1.0.1 255.0.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
interface Serial1
ip address 170.1.0.1 255.255.0.0
router ospf 1
network 11.1.0.0 0.255.255.255 area 0
network 15.0.0.0 0.255.255.255 area 0
network 170.1.0.0 0.0.255.255 area 0
network 192.168.1.0 0.0.0.255 area 0
end
Vsic3#sh run
version 12.1
hostname Vsic3
interface Loopback0
ip address 12.1.0.1 255.255.255.252
interface Serial0
ip address 170.1.0.2 255.255.0.0
clockrate 64000
router ospf 1
network 12.1.0.0 0.0.0.3 area 0
network 170.1.0.0 0.0.255.255 area 0
end
4. Cấu hình cho server :

Chúng ta vào Start Program Administrative Tools Routing And Remote Access.
Sau đó chọn PC chúng ta muốn cấu hình rồi nhấp chuột phải chọn Configure and Enable
Routing and Remote Access.
Rồi nhấn Next chọn Custom Configuration Next chọn Lan routing Next Finish
Yes.
Click vào IP routing, bên ô cửa sổ bên phải chúng ta nhấp chuột phải vào General rồi chọn
New Routing Protocol …
Chọn Open Shortest Path Frist (OSPF) OK

Nhấp chuột phải vào OSPF (trong IP routing) chọn New Interface. Trong ô cửa sổ hiện ra
chọn Local Area Connection OK
Trong cửa sổ hiện ra, đánh dấu chọn Enable OSPF for this address, trong phần Network Type,
ta chọn mục Broadcast. Sau đó nhấn OK.

Chúng ta có thể set cost cho route này bằng cách nhập giá trị vàp ô Cost, và độ ưu tiên cho
router bằng cách nhập giá trị vào ô Router priority. Router nào có độ ưu tiên cao nhất sẽ là
designated router.
Nhấp chuột phải vào OSPF chọn Properties. Trong cửa sổ hiện ra chọn Enable antonomous
system boundary router.

Click vào tab Areas, chọn 0.0.0.0 nhấn Edit
Trong cửa sổ vừa hiện ra, bỏ Enable plaintext password OK

Chúng ta nhấn chuột phải vào OSPF chọn Show Link-state Database. Trong cửa sổ hiện ra
chúng ta sẽ thất được các mạng của router Vsic1, Vsic2, Vsic3.
Bây giờ chúng ta sẽ ping tới các mạng của ba router để kiểm tra.

Chúng ta ping thành công mạng 10.0.0.0 của Vsic1, các bạn tiếp tục ping tới các mạng khác
để kiểm tra và chắc chắn sẽ thành công. Như vậy toàn mạng đã liên lạc được với nhau. Việc
chạy OSPF giữa Winserver 2003 và router đã thành công.
5. Tự thực hành sử dụng Dynagen :

Đối với bài thực hành này, ta có thể sử dụng máy tính hiện hành chạy hệ điều hành
2003 hay có thể sử dụng máy ảo.
Trước tiên ta kiểm tra việc cài đặt admin tool “ Routing và Remote Access” trong Win
2003. Sau đó tiến hành Bridge card mạng của máy sử dụng với Router VSIC2.

Chạy file lab20ospfs.net để thực hành và chỉnh địa chỉ card mạng phù hợp với PC win
2003
# Simple lab
[localhost]
[[3640]]
image = \Program Files\Dynamips\images\C3640_IS_MZ122_3.BIN
# On Linux / Unix use forward slashes:
# image = /opt/7200-images/c7200-jk9o3s-mz.124-7a.image
ram=96
[[ROUTER VSIC1]]
model=3640
s1/0 = VSIC2 s1/0
[[router VSIC2]]
s1/1 = VSIC3 s1/1
F0/0 = NIO_gen_eth:\Device\NPF_{3E56FAD7-7D96-4763-AD9E-6232CA66410B}
Æthay đổi địa chỉ mạng ở dòng này
model=3640
[[ROUTER VSIC3]]
model=3640
# No need to specify an adapter here, it is taken care of

# by the interface specification under Router VSIC1
Chúng ta bắt đầu thực hành, ta hãy thử thêm 1 giao thức có trong admin tool “Routing
và Remote Access “ là RIP.

Phần 4 : ACCESS LIST và NAT

BÀI 21: STANDAR ACCESS LIST
1. Giới thiệu:
-Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực
security là Access List. Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên
Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy
cập vào một địa chỉ nào đó.
-Access List có 2 loại là Standard Access List và Extended Access List.
-Standard Access List: đậy là loại danh sách truy cập mà khi cho phép hay
ngăn cản việc truy cập,Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn(Source
Address)
-Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại
Stanhdar,các yếu tố về địa chỉ nguồn, địa chỉ đích,giao thức,port..sẽ được kiểm tra trước khi
Router cho phép việc truy nhập hay ngăn cản.
-Bài Lab này giúp bạn thực hiện việc cấu hình Standard Access List cho Cisco
Router với mục đích ngăn không cho host truy cập đến router VSIC2.
3. Cấu hình router :
Router Vsic1
Vsic1#show run

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
no ip directed-broadcast
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
transport input none
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2
Vsic2#show run
!
version 12.1


!
hostname Vsic2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Host:
IP Address:11.0.0.2
Subnet mask:255.255.255.0
Gateway:11.0.0.1
-Bạn thực hiện việc định tuyến cho các Router như sau(Dùng giao thức RIP):
Vsic1(config)#router rip
Vsic1(config-router)#net 192.168.1.0
Vsic2(config)#router rip
-Bạn thực hiện kiểm tra quá trình định tuyến:
Vsic2#ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms
Vsic2#ping 11.0.0.1

!!!!!
Vsic2#ping 11.0.0.2

!!!!!
-Sau quá trình định tuyến,kiểm tra chắc chắn rằng mạng đã được thông,bạn thực hiện việc
tạo Access List Standar để ngăn không cho Router Vsic 2 ping vào Host.
-Vì khi lưu thông,gói tin muốn đến được địa chỉ của Host bắt buột phải đi qua Router
Vsic1.
-Bạn thực hiện tạo Access List trên Router Vsic 1 như sau:
Vsic1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Vsic1(config)#access-list 1 deny 11.0.0.2 0.0.0.0
//từ chối sự truy nhập của địa chỉ 11.0.0.2//
-Lúc này bạn thực hiện lệnh Ping từ Host đến VSIC2

-Bạn thấy lệnh Ping thực hiện vẫn thành công, lý do là bạn chưa mở chế độ
Access list trên interface ethernet0 của router Vsic1
Vsic1(config)#int e0
Vsic1(config-if)#ip access-group 1 in
//ngăn cản đường vào của serial 0 theo access group 1//
-Sau khi apply access list vào interface ethernet 0, ta ping từ PC1 đến VSIC2.
Bây giờ ta đổi địa chỉ của PC thành 11.0.0.3, và thử ping lại 1 lần nữa.

-Bạn thấy lệnh Ping vẫn không thành cộng, lý do là khi không tìm thấy địa chỉ source
(địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực hiện Deny any,vì vậy bạn
phải thay đổi mặc định này. Sau đây là lệnh debug ip packet tại VSIC1 khi thực hiện lệnh
ping trên.
Vsic1(config)#access-list 1 permit any
-Lúc này bạn thực hiện lại lệnh Ping từ PC1 đến VSIC2

-Bạn thấy lệnh Ping đã thành công, đến đây bạn đã cấu hình xong Standard Access
List.
4. Tự cấu hình bằng Dynagen:
Click file lab21acls.net và cấu hình theo sơ đồ sau:
Thay vì apply ACL tại interface Fa0/0 theo chiều in, ta có thể hiện đối với interface
s1/0 theo chiều out. Ta cấu hình tương tự và test theo hướng dẫn của bài trên.

BÀI 22: EXTENDED ACCESS LIST
1. Giới thiệu :
-Ở bài trước bạn đã thực hiện việc cấu hình Standard Access List, bài Lab này bạn sẽ
tiếp tục tìm hiểu sâu hơn về Extended Access List. Đây là mở rộng của Standard Access List,
trong quá trình kiểm tra, Router sẽ kiểm tra các yếu tố về địa chỉ nguồn, đích,giao thức và
port…
-Mục đích của bài Lab:Bạn thực hiện cấu hình Extended Access List sao cho Host1
không thể Telnet vào Router Vsic 2 nhưng vẫn có thể duyệt web qua Router Vsic2
Bạn thực hiện đồ hình như sau:
Bạn thực hiện việc cấu hình cho Router và Host như đồ hình trên:
Host1:
IP Address:11.0.0.2
Gateway:11.0.0.1

Host2:
IP Address:10.0.0.2
Gateway:10.0.0.1
Router Vsic1:
vsic1#show run
!
version 12.0
!
hostname vsic1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
!
interface Serial1
no ip address
shutdown
!
line con 0
line 1 8
line aux 0
line vty 0 4
!
end
Router Vsic2

!
version 12.1
!
hostname vsic2
!
enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //mật khẩu secret l à
Router//
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end
-Bạn thực hiện việc định tuyến(sử dụng Rip)
vsic1(config)#router rip
vsic1(config-router)#net 11.0.0.0

vsic2(config)#router rip
-Bạn thực hiện lệnh Ping để kiểm tra quá trình định tuyến.Sau khi chắc chắn rằng quá
trình định tuyến đã thành công.
-Tại Router Vsic2 bạn thực hiện câu lệnh:
vsic2(config)#ip http server //Câu lệnh này dùng để giả một http server trên Router//
-Lúc này Router sẽ đóng vai trò như một Web Server
-Sau khi quá trình định tuyến đã thành công,bạn thực hiện các bước Telnet và duyệt
Web từ Host 1 vào Router Vsic2.
-Chú ý :để thành công việc Telnet bạn phải Login cho đường line vty và đặt mật
khẩu cho đường này(ở đây là Cisco)
Telnet:
Duyệt web


Bạn nhập vào User Name và Password

User name:Vsic2
Password:Router
-Các bước trên đã thành công,bạn thực hiện việc cấu hình Access list
vsic2#conf t
vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
vsic2(config)#int s0
vsic2(config-if)#ip access-group 101 in
-Bạn thực hiện lại việc Telnet như trên,bạn nhận thấy quá trình Telnet không thành
công nhưng bước duyệt Web của bạn cũng không thành công.
-Theo yêu cầu bạn chỉ ngăn cấm Telnet nhưng cho phép quá trình duyệt Web
Telnet

Duyệt Web
-Để thành công bước duyệt Web,bạn thực hiện câu lệnh thay đổi việc Deny any mặc
định của Access List.
vsic2(config)#access-list 101 permit ip any any
-Bạn chú ý rằng các câu lệnh trong Access List extended không giống như trong
Access List Standard vì trong Access List Extended,Router sẽ kiểm tra cả địa chỉ
nguồn,đích,giao thức và port..Permit ip any any có nghĩa là cho phép tất cả các địa chỉ
nguồn và đích khác(không tìm thấy trong danh sách Access List) chạy trên nền giao thức IP đi
qua.
Lúc này bạn thực hiện lại quá trình duyệt web

Bạn nhập vào User Name và Password

User name:Vsic2
Password:Router
-Đến đây bạn đã thành công việc cấu hình cho Extended Access List,bạn đã thực hiện
được yêu cầu tạo Access List cho Router với mục đích ngăn cấm việc Telnet vào Router
và cho phép quá trình duyệt Web vào Router.Bạn cũng có thể mở rộng thêm đồ hình với
nhiều Router để thực tập việc cấu hình Access List cho Router với những yêu cầu bảo mật
khác nhau.
4. Tự Thực hành bằng Dynagen:
Sử dụng file lab22acle.net để thực hành. Sơ đồ và cách cấu hình tương tự như trên.

BÀI 23: TẤN CÔNG ROUTER BẰNG FLOOD
1. Mô tả bài lab và cấu hình :
Đồ hình bài lab trên hình trên, chúng ta sẽ bật http server trên router Vsic2 và Deny
Service này bằng DoS trên S0 của router Vsic2 địa chỉ là 192.168.1.2, ta cấu hình access-list
101 áp vào interface S0, nội dung của access-list 101 này là cấm tất cả các gói đi vào interface
này (sử dụng để Defense).
2. Cấu hình của Router :

Cấu hình của các router :
Vsic1#show run
version 12.1
hostname Vsic1
interface Ethernet0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
no fair-queue
clockrate 64000
router rip
network 10.0.0.0
network 192.168.1.0
end
Vsic2#show run
version 12.1
hostname Vsic2
interface Loopback0

ip address 11.1.0.1 255.255.255.0

interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip
network 11.0.0.0
network 192.168.1.0
ip http server
access-list 101 deny tcp any 10.1.0.0 0.0.0.255
access-list 101 permit ip any any
end
Chúng ta bật http server trên router Vsic2 bằng cách :
Vsic2(config)#ip http server
3. Thực thi DoS :

Sau khi cấu hình xong, ta chạy thử Web Service trên router 2501 bằng vào Internet
explorer browser, và nhập vào khung Address : http://192.168.3.1/ và chắc chắn Service này
đang chạy.
Bây giờ, chúng ta vào command prompt khởi động chương trình bonk (http://www.packetstorm.net/)
Chương trình này sẽ gởi packet liên tục đến địa chỉ mà chúng ta nhập vào (Interface
S0 của Vsic2). Lúc này tạo router Vsic2 chúng ta đã cấu hình access-list là deny tất cả các gói
đến địa chỉ 192.168.1.2 (interface S0 của Vsic2). Chúng ta có thể xem quá trình đầu tiên là
khi mới bắt đầu gởi gói từ phần mềm file chạy bonk, những gói từ phần mềm này gởi bị deny
: (sử dụng câu lệnh debug ip packet detail để hiện thị thông tin về các gói trên Vsic2)
01:35:27: IP: s=192.168.1.2 (local), d=58.78.126.160, len 56, unroutable

01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied


Tuy nhiên trong quá trình deny router Vsic2 phải đưa gói vào dữ liệu của mình để
phân tích. Trong khi file chạy bonk gởi gói một cách liên tục, nên chưa đầy 2 phút sau thì
interface serial 0 của Vsic2 bị down và service http của nó vì vậy cũng sẽ bị down luôn.
Chúng ta không thể duyệt web lúc này.
01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
changed state to down
01:35:32: IP: s=192.168.1.2 (local), d=68.190.155.4, len 56, unroutable.
Sau khi down một thời gian, router sẽ tự động up interface S0 lên lại. Nếu không còn
ghẽn nữa thì sẽ hoạt động bình thường.
01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state
to up

BÀI 24: CẤU HÌNH NAT STATIC
1. Giới thiệu :
Nat (Network Address Translation) là một giao thức dùng để cung cấp sự chuyển đổi IP
trong 1 miền để đưa ra một môi trường khác thông qua một IP đã được đăng ký để chuyển
đổi thông tin giũa 2 môi trường (either Local or Global) .
Ưu điểm của NAT( Network Nat Translation ) là chuyển đổi các IP adress riêng trong
mạng đến IP adress inside được Cung cấp khi đã đăng ký .
Các loại địa chỉ :
Inside Local : là các địa chỉ bên trong mạng nội bộ ( gateway)
Inside Global :là các địa chỉ ngoài cổng GATEWAY , đó là địa chỉ Nat đã được
đăng ký. Trong bài nay là :172.17.0.1/24
Outside Global : là các hệ thống mạng bên ngoài các môi trường
Cách thức chuyển đổi một IP public và một IP private sẽ không có hiệu quả khi chúng ta
triển khai rộng cho tất cả các host trong mạng, bởi vì khi làm như vậy ta sẽ không có đủ địa
chỉ để cung cấp. Nat tĩnh thường được áp dụng khi ta sử dụng địa chỉ public làm WebServer
hay FTP Server,v.v.
Các PC nối với router bằng cáp chéo, hai router nối với nhau bằng cáp serial. Địa chỉ
IP của các interface và PC được cho trên hình vẽ
Trong bài lab này, router Vsic2 được cấu hình như một ISP, router Vsic1 đươc cấu hình như
một gateway
3. Cấu hình :
Chúng ta cấu hình cho các router như sau :
Router#conf t
Vsic2(config)#enable password cisco
Route r(config)#hostname Vsic2
Vsic2(config)#interface serial 0
Vsic2(config-if)#ip address 192.168.0.1 255.255.255.0
Vsic2(config-if)# no shut
Vsic2(config-if)#clock rate 64000
Vsic2(config)#interface ethernet 0
Vsic2(config-if)#no shut
Vsic1(config)#interface serial 0

Vsic1(config)#ip nat outside cấu hình interface S0 là interface outside

Vsic1(config)#interface ethernet 0
Vsic1(config-if)#ip nat intside Cấu hình interface E0 là interface inside
Chúng ta tiến hành cấu hình Static NAT cho Vsic1 bằng câu lệnh :
Vsic1(config)#ip nat inside source static 10.1.0.2 172.17.0.1
Câu lệnh trên có ý nghĩa là : các gói tin xuất phát từ PC2 khi qua router( vào từ interface
E0) Vsic1 ra ngoài( ra khỏi interface S0) sẽ được đổi địa chỉ IP source từ 11.1.0.2 thành địa
chỉ 172.17.0.1 (đây là địa chỉ đã được đăng ký với ISP)
Chúng ta tiến hành đặt Static Route cho 2 Router Vsic2 và Vsic1.
Vsic1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1

Địa chỉ 172.17.0.1 là Address đã được đăng ký. Trên thực tế ISP chỉ route xuống user
bằng địa chỉ đã đăng ký này.
Để kiểm tra việc NAT của router Vsic1 như thế nào chúng ta sử dụng câu lệnh sau:
Vsic1#sh ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 172.17.0.1 11.1.0.2 --- ---
Để kiểm tra router Vsic1 chuyển đổi địa chỉ như thế nào chúng ta sử dụng câu lệnh
debug ip nat trên router Vsic1 và và ping từ PC1 đến PC2( hay interface loopback giả lập).

Ta có thể sử dụng lệnh ping từ Router Vsic2 vào bên trong Server( địa chỉ 172.17.0.1)
của chúng ta,
Như vậy ở bên ngoài muốn tương tác được với Server ở bên trong phải truy cập vào
địa chỉ IP là 172.17.0.1.
4. Tự thực hành bằng Dynagen :

Ta sử dụng file lab24nats.net để thực hành. Ta thực hành tương tự như trên với sơ đồ
như sau :

Bật thêm “debug ip packet” ở VSIC2 để xem packet từ PC1 tới VSIC2.

BÀI 25:CẤU HÌNH NAT OVERLOAD

1. Giới thiệu :
NAT (Network Address Translation) dùng để chuyển đổi các private address thành địa chỉ
public address. Các gói tin từ mạng nội bộ của user gửi ra ngoài, khi đến router biên địa chỉ IP
source sẽ được chuyển đổi thành địa chỉ public mà user đã đăng ký với ISP. Điều này cho
phép các gói tin từ mạng nội bộ có thể được gửi ra mạng ngoài (Internet).
NAT có các loại : NAT static, NAT pool, NAT overload.
NAT static cho phép chuyển đổi một địa chỉ nội bộ thành một địa chỉ public.
NAT pool cho phép chuyển đổi các địa chỉ nội bộ thành một trong dãy địa chỉ public.
NAT overload cho phép chuyển đổi các địa chỉ nội bộ thành một địa chỉ public
Trong kỹ thuật NAT overload, router sẽ sử dụng thêm các port cho các địa chỉ khi chuyển
đổi.
2. Các câu lệnh sử dụng trong bài lab :
ip nat {inside | outside}
Cấu hình interface là inside hay outside
ip nat inside source {list {access−list−number | name} pool name [overload] | static
local−ip global−ip}
Cho phép chuyển địa chỉ nội bộ thành địa chỉ public
ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length} [type
rotary]
Tạo NAT pool
show ip nat translations
Xem các thông tin về NAT
debug ip nat
Xem hoạt động của NAT
Đồ hình bài lab như hình trên. Router Vsic1 được cấu hình inteface loopback 0, loopback
1, loopback 2. Router Vsic2 được cấu hình interface loopback 0. Hai router được nối với nhau
bằng cáp Serial. Ta giả lập 3 lớp mạng lo0, lo1, lo2 là những mạng bên trong, khi các traffic ở
bên trong mạng này đi ra ngoài ( ra khỏi S0) sẽ được chuyển đổi địa chỉ.

Hai router được cấu hình các interface như sau :

Vsic1#sh run
hostname Vsic1
interface Loopback0
ip address 10.1.0.1 255.255.0.0
interface Loopback1
ip address 11.1.0.1 255.255.0.0
interface Loopback2
ip address 12.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
end
Vsic2#sh run
hostname Vsic2
interface Loopback0
ip address 13.1.0.1 255.255.0.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 64000
end
Chúng ta cấu hình NAT trên router Vsic1 theo các bước sau :
Bước 1 : Cấu hình các interface inside và outside
Trong bài lab này, chúng ta cấu hình cho các interface loopback của Vsic1 là inside
còn interface serial 0 là out side.
Vsic1(config)#in lo0
Vsic1(config-if)#ip nat inside
Vsic1(config)#in lo1
Vsic1(config-if)#in lo2
Vsic1(config-if)#in s0
Vsic1(config-if)#ip nat outside
Vsic1(config-if)#exit
Bước 2 : Tạo access list cho phép mạng nào được NAT.
Chúng ta cấu hình cho phép mạng 10.1.0.0/16 và mạng 11.1.0.0/16 được cho phép,
cấm mạng 12.1.0.0/16
Vsic1(config)# access-list 1 deny 12.1.0.0 0.0.255.255
Vsic1(config)#access-list 1 permit any

Bước 3 : Tạo NAT pool cho router Vsic1

Cấu hình NAT pool tên Vsic1 có địa chỉ từ 172.1.1.1/24 đến 172.1.1.5/24
Vsic1(config)#ip nat pool Vsic1 172.1.1.1 172.1.1.5 netmask 255.255.255.0
Bước 4 : Cấu hình NAT cho router

Vsic1(config)#ip nat inside source list 1 pool Vsic1 overload
Câu lệnh trên cấu hình overload cho NAT pool
Bước 5 : Định tuyến cho router

Lưu ý : đối với router Vsic2, nếu ta định tuyến theo dạng :
thì chúng ta có thể ping thấy được các mạng ở trong router Vsic1 (10.1.0.0/16,
11.1.0.0/16). Nhưng thực tế, ISP chỉ định tuyến xuống cho user bằng địa chỉ mà user đã
đăng ký (Inside global address).
Bước 6 : Kiểm tra hoạt động của NAT

Chúng ta sẽ kiểm tra NAT bằng câu lệnh debug ip nat
Vsic1#debug ip nat
IP NAT debugging is on
Sau khi bật debug NAT, chúng ta sẽ ping đến loopback0 của Vsic2 từ loopback0 của Vsic1.
Ta giả lập traffic từ host 10.1.0.1 đến mạng 13.1.0.1. Lúc này khi traffic của 10.1.0.1 qua S0
sẽ chuyển đổi địa chỉ.
Vsic1#ping
Protocol [ip]:
Target IP address: 13.1.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 10.1.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
!!!!!
Vsic1#
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [190]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [190]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [191]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [191]

00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [192]

00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [192]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [193]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [193]
00:31:12: NAT: s=10.1.0.1->172.1.1.1, d=13.1.0.1 [194]
00:31:12: NAT*: s=13.1.0.1, d=172.1.1.1->10.1.0.1 [194]
Từ kết quả trên ta thấy được, các gói tin từ mạng 10.1.0.1 đã được đổi source IP thành
171.1.1.1.
Sử dụng câu lệnh show ip nat translations để xem các thông về NAT
Vsic1#sh ip nat translations
icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459
icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460
icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461
icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462
icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463
Các số được in đậm là port NAT sử dụng cho địa chỉ 10.1.0.1.
Lập lại các bước trên để kiểm tra NAT cho loopback 1, loopback 2 của router Vsic1
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
!!!!!
Vsic1#
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [210]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [210]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [211]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [211]
00:33:16: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [212]
00:33:16: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [212]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [213]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [213]
00:33:17: NAT: s=11.1.0.1->172.1.1.1, d=13.1.0.1 [214]
00:33:17: NAT*: s=13.1.0.1, d=172.1.1.1->11.1.0.1 [214]

Vsic1#sh ip nat translations

icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407
icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408
icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409
icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410
icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411
Vsic1#ping
Protocol [ip]:
Repeat count [5]:
…..
Success rate is 0 percent (0/5)
Đối với 12.1.0.1, chúng ta không ping ra ngoài được vì mạng 12.1.0.0/16 đã bị cấm
trong access list 1.
Đứng ở router Vsic2, chúng ta ping xuống các loopback của router Vsic1
Vsic2#ping 10.1.0.1
.....
Vsic2#ping 11.1.0.1
.....
Vsic2#ping 12.1.0.1
.....
Nhận xét : tất cả đều không thành công Nguyên nhân là router Vsic2 không có route
nào đến các loopback của router Vsic1. Trong thực tế, ta cũng có kết quả tương tự do ISP chỉ

định tuyến xuống địa chỉ mà user đăng ký, còn các địa chỉ mạng bên trong của user thì không
được ISP định tuyến.
5. Tự thực hành bằng Dynagen:

Ta click vào file lab25nato.net để thực hành tương tự như bài trên. Tuy nhiên ta có
thay mạng giả lập lo0 bằng một mạng LAN.
Ta sử dụng PC ping ra ngoài và bật debug theo dõi trên router, ta sẽ thấy sự chuyển
đổi địa chỉ xảy ra tại router.
Học viên trong bài tự thực hành nên kết hợp giữa static NAT và dynamip NAT. Ta có
có thể giả sử trường hợp là trong mạng có 1 Web Server, và Web Server được NAT static khi
đi ra ngoài và ngược lại. Còn lại những PC khác trong mạng sử dụng NAT overload để ra
Internet.
Để thực hiện thành công được bài này, ta test bằng cách PC bên trong có thể ping ra
ngoài và ở ngoài có thể truy cập Web Server ở bên trong.

Phần 5 : WAN
BÀI 26: CẤU HÌNH PPP PAP VÀ CHAP
1. Giới thiệu :
PPP (Point-to-Point Protocol) là giao thức đóng gói được sử dụng để thực hiện kết nối
trong mạng WAN. PPP bao gồm LCP (Link Control Protocol) và NCP (Network Control
Protocol). LCP được dùng để thiết lập kết nối point-to-point, NCP dùng để cấu hình cho các
giao thức lớp mạng khác nhau.
PPP có thể được cấu hình trên các interface vật lý sau :
Asynchronous serial : cồng serial bất đồng bộ
Synchronous serial : cổng serial đồng bộ
High-Speed Serial Interface (HSSI) : cổng serial tốc độ cao
Integrated Services Digital Network (ISDN)
Quá trình tạo session của PPP gồm ba giai đoạn (phase):
Link-establishment phase
Authentication phase (tùy chọn)
Network layer protocol phase
Tùy chọn xác nhận (authentication) giúp cho việc quản lý mạng dễ dàng hơn. PPP sử
dụng hai cách xác nhận là PAP (Password Authentication Protocol) và CHAP (Challenge
Handshake Authentication Protocol).
PAP là dạng xác nhận two-way handshake. Sau khi tạo liên kết node đầu xa sẽ gửi
usename và password lặp đi lặp lại cho đến khi nhận được thông báo chấp nhận hoặc từ chối.
Password trong PAP được gửi đi ở dạng clear text (không mã hóa).
CHAP là dạng xác nhận three-way handshake. Sau khi tạo liên kết, router sẽ gửi thông
điệp “challenge” cho router đầu xa. Router đầu xa sẽ gửi lại một giá trị được tính toán dựa
trên password và thông điệp “challenge” cho router. Khi nhận được giá trị này, router sẽ kiểm
tra lại xem có giống với giá trị của nó đã tính hay không. Nếu đúng, thì router xem gủi xác
nhận đúng và kết nối được thiết lập; ngược lại, kết nối sẽ bị ngắt ngay lặp tức.

username name password password
Cấu hình tên và password cho CHAP và PAP. Tên và password này phải giống với
router đầu xa.
encapsulation ppp
Cấu hình cho interface sử dụng giao thức PPP
ppp authentication (chap chap pap pap chap pap)
Cấu hình cho interface sử dụng PAP, CHAP, hoặc cả hai. Trong trường hợp cả hai
được sử dụng, giao thức đầu tiên được sử dụng trong quá trình xác nhận; nếu như giao
thức đầu bị từ chối hoặc router đầu xa yêu cầu dùng giao thức thứ hai thì giao thức thứ
hai được dùng.
ppp pap sent-username username password password
Cấu hình username và password cho PAP
debug ppp authentication
Xem trình tự xác nhận của PAP và CHAP

Đồ hình bài lab như hình vẽ. Hai router được đặt tên là Vsic, Vsic2 và được nối với nhau
bằng cáp serial. Địa chỉ IP của các interface như hình trên.

a) Bước 1 : Đặt tên và địa chỉ cho các interface
Vsic1#sh run
version 12.1
hostname Vsic1
enable password cisco
interface Serial0
ip address 192.168.1.1 255.255.255.0
clockrate 64000
end
Vsic2#sh run
version 12.1
hostname Vsic2
interface Serial0
ip address 192.168.1.2 255.255.255.0
end
Chúng ta sẽ kiểm tra trạng thái của các cổng bằng câu lệnh show ip interface brief
Vsic2#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.2 YES manual up up
Serial1 unassigned YES unset administratively down down
Cổng serial của router Vsic2 đã up. Làm tương tự để kiểm tra trạng thái các cổng của
router Vsic1.
Chúng ta sử dụng câu lệnh show interfaces serial để biết được các thông số của
interface serial các router
Vsic2#sh interfaces serial 0

Serial0 is up, line protocol is up

Hardware is HD64570
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
Last input 00:00:02, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
15 packets input, 846 bytes, 0 no buffer
Received 15 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
19 packets output, 1708 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
Vsic1#sh int s 0
Hardware is HD64570
Encapsulation HDLC, loopback not set
Last clearing of "show interface" counters 00:11:35
Queueing strategy: fifo
Output queue :0/40 (size/max)

Cả hai cổng serial của hai router đều sử dụng giao thức đóng gói là HDLC và trạng thái của cả
hai đều là up
b) Bước 2 : Cấu hình PPP PAP, CHAP

Cấu hình PPP PAP
Đứng ở router Vsic1, chúng ta sẽ cấu hình PPP cho interface serial 0 bằng câu lệnh
encapsulation ppp
Vsic1(config)#in s0
Vsic1(config-if)#encapsulation ppp
Kiểm tra trạng thái interface serial 0 của router Vsic1
Vsic1#sh ip int brie
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned YES unset administratively down down
Serial0 192.168.1.1 YES manual up down
Vsic1#sh int s 0
Serial0 is up, line protocol is down
Hardware is HD64570
Encapsulation PPP, loopback not set
LCP REQsent
Closed: IPCP, CDPCP
Queueing strategy: fifo
Output queue :0/40 (size/max)
Nhận xét : interface serial 0 của router Vsic1 đã bị down, đồng nghĩa với interface serial 0
của router Vsic2 cũng bị down. Nguyên nhân là hai interface này sử dụng giao thức đóng gói
khác nhau. (Interface serial 0 của router Vsic1 sử dụng PPP còn Vsic2 sử dụng HDLC).
Ví vậy chúng ta phải cấu hình cho interface serial 0 của router Vsic2 cũng sử dụng giao thức
PPP.
Vsic2(config)#in s0

Bây giờ chúng ta sẽ kiểm tra trạng thái của các interface
Vsic2#sh int s0
Hardware is HD64570
LCP Open
Open: IPCP, CDPCP
Cả hai interface của hai router đã up trở lại. Do cả hai đã được cấu hình sử dụng cùng
giao thức đóng gói là PPP.
Trước khi cấu hình PAP cho hai interface chúng ta sử dụng câu lệnh debug ppp
authentication để xem trình tự trao đổi thông tin của PAP.
Vsic2#debug ppp authentication
PPP authentication debugging is on
Chúng ta sẽ cấu hình PAP cho cả hai interface serial 0 như sau :
Vsic1(config)#username Vsic2 password cisco
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication pap
Vsic1(config-if)#ppp pap sent-username Vsic1 password cisco

Vsic2(config)#in s0
Vsic2(config-if)#ppp authentication pap
Vsic2(config-if)#ppp pap sent-username Vsic2 password cisco
Lưu ý :
Trong câu lệnh username name password password , name và password phải trùng
với name và password của router đầu xa.

Còn trong câu lệnh ppp pap sent-username name password password , name và
password là của chính router chúng ta cấu hình
Sau khi chúng ta cấu hình PAP xong trên route Vsic2, thì màn hình sẽ xuất hiện trình
tự của PAP
00:09:49: Se0 PPP: Phase is AUTHENTICATING, by both
00:09:49: Se0 PAP: O AUTH-REQ id 1 len 18 from "Vsic2"
00:09:49: Se0 PAP: I AUTH-REQ id 1 len 18 from "Vsic1"
00:09:49: Se0 PAP: Authenticating peer Vsic1
00:09:49: Se0 PAP: O AUTH-ACK id 1 len 5
00:09:49: Se0 PAP: I AUTH-ACK id 1 len 5
00:09:50: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed
state to up
Ý nghĩa của các thông báo :

Dòng thông báo 1 : PPP thực hiện xác nhận hai chiều
Dòng thông báo 2 : Vsic2 gửi yêu cầu xác nhận
Dòng thông báo 3 : Nhận yêu cầu xác nhận từ Vsic1
Dòng thông báo 4 : Nhận xác nhận của Vsic1
Dòng thông báo 5 : Gửi xác nhận đúng đến Vsic1
Dòng thông báo 6 : Nhận xác nhận đúng từ Vsic1
Dòng thông báo 7 : Trạng thái của interface được chuyển sang UP
Như vậy hai interface của router Vsic1 và Vsic2 đã up. Chúng ta đứng ở router Vsic2 ping
interface serial 0 của router Vsic1 để kiểm tra.
Vsic2#ping 192.168.1.1
!!!!!
Cấu hình PPP CHAP

Trước khi cấu hình PPP CHAP cho hai interface chúng ta gở bỏ PAP ở cả hai router
Vsic1(config)#in s0
Vsic1(config-if)#no ppp authentication pap
Vsic1(config-if)#no ppp pap sent-username Vsic1 password cisco
Vsic2(config)#in s0
Vsic2(config-if)#no ppp authentication pap
Vsic2(config-if)#no ppp pap sent-username Vsic2 password cisco
Bây giờ chúng ta sẽ cấu hình CHAP bằng câu lệnh ppp authentication chap
Vsic1(config)#in s0
Vsic1(config-if)#ppp authentication chap
Vsic2(config)#in s0
Lưu ý : khi cấu hình PPP CHAP chúng ta vẫn phải cấu hình cho interface serial đó sử dụng
giao thức đóng gói PPP bằng câu lệnh encapsulation ppp và cũng phải sử dụng câu lệnh

username name password password để cấu hình name và password cho giao thức CHAP thực
hiện xác nhận. Ở đây, chúng ta không thực hiện lại các câu lệnh đó vì ở bước cấu hình PAP
chúng ta đã thực hiện rồi.
Do chúng ta đã sử dụng câu lệnh debug ppp authentication ở router Vsic2, nên khi cấu hình
CHAP xong ở hai router thì màn hình sẽ hiện thông báo như sau : (console được nối với
router Vsic2)
00:15:08: Se0 CHAP: O CHALLENGE id 1 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I CHALLENGE id 2 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O RESPONSE id 2 len 28 from "Vsic2"
00:15:08: Se0 CHAP: I RESPONSE id 1 len 28 from "Vsic1"
00:15:08: Se0 CHAP: O SUCCESS id 1 len 4
00:15:08: Se0 CHAP: I SUCCESS id 2 len 4
00:15:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to
up
Ý nghĩa của các câu thông báo :
Dòng thông báo 1 : Vsic2 gửi thông báo “challenge” đến router Vsic1
Dòng thông báo 2 : Vsic2 nhận thông báo “challenge” từ router Vsic1
Dòng thông báo 3 : Vsic2 gửi response đến router Vsic1
Dòng thông báo 4 : Vsic2 nhận response từ router Vsic1
Dòng thông báo 5 : Vsic2 gửi xác nhận thành công đến Vsic1
Dòng thông báo 6 : Vsic2 nhận xác nhận thành công từ Vsic1
Dòng thông báo 7 : Trạng thái của interface serial được chuyển sang UP
Hai interface serial của router Vsic1 và Vsic2 đã UP, chúng ta đứng ở router Vsic2 ping đến
interface serial 0 của router Vsic1 để kiểm tra
Vsic2#ping 192.168.1.1
!!!!!
Nếu như name và password trong câu lệnh username name password password không đúng
thì trạng thái của interface sẽ bị down. Do quá trình xác nhận giữa hai interface sẽ sử dụng
name và password này. Nếu như không khớp thì kết nối sẽ bị hủy
5. Tư thực hành bằng Dynagen:
Đây là sơ đồ đơn giản, học viên chỉ cần chạy file lab26ppp.net để thực hành bài trên.

BÀI 27:CẤU HÌNH ISDN BASIC

1. Giới thiệu :
ISDN (Integrated Services Digital Network) là một công nghệ truyền dẫn tốc độ cao
và quay số được sử dụng rộng rãi .Hệ thống mạng này được tạo ra cach đây 20 năm và đươc
ứng dụng rộng rãi tại U.S.A đầu năm 1990.
ISDN l à mạng phục vụ cho viêc truyền dẫn dữ liệu số một mạng ISDN BRI đạt
tiêu chuẩn có thể đạt tới tốc độ 128Kbps.
Dữ liệu được up lên sau mỗi 10 giây mạng ISDN cho phép truyền dẫn các tín hiệu
số,các kênh số đồng thời trên dây điện thoại analog thông thường và đầu bên kia được giải
mã qua modem hay các thiết bị khác .
Trong bài này chúng ta sẽ sử dụng một thiết bị mô phỏng ISDN. Chúng ta sẽ nối hai
router vào thiết bị đó bằng cáp thẳng.
3. Cấu hình :
a. Cấu hình cho router Vsic2:
Router#conf t
Router(config)#hostname Vsic2
Vsic2(config)#isdn switch-type basic-ni cấu hình loại ISDN switch
Vsic2(config)#dialer-list 1 protocol ip permit
Vsic2(config)#interface bri 0
Vsic2(config-if)#encapsulation ppp cầu hình giao thức đóng gói là PPP
Vsic2(config-if)#isdn spid1 21 21 Số SPID number 21 –phone numbers 21
Vsic2(config-if)#dialer-group 1
Vsic2(config-if)#dialer map ip 200.10.1.1 name Vsic1 broadcast 11 cấu hình
số của router đầu xa để Ahena2 thực hiện cuộc gọi
Vsic2(config-if)#ppp authentication chap cấu hình PPP CHAP
Vsic2(config-if)#
b. Cấu hình cho router Vsic1 :

Router(config)#hostname Vsic1
Vsic1(config)#isdn switch-type basic-ni

Vsic1(config)#dialer-list 1 protocol ip permit

Vsic1(config)#interface bri 0
Vsic1(config-if)#
Vsic1(config-if)#isdn spid1 11 11
Vsic1(config-if)#dialer-group 1
Vsic1(config-if)#dialer map ip 200.10.1.2 name Vsic2 broadcast 21
Sau khi cấu hình xong chúng ta kiểm tra lại bằng cách :
Vsic2#sh run
!
version 12.1
!
hostname Vsic2
!
username Vsic1 password 0 cisco
!
ip subnet-zero
!
isdn switch-type basic-ni
!
interface BRI0
ip address 200.10.1.2 255.255.255.0
encapsulation ppp
dialer map ip 200.10.1.1 name Vsic1 broadcast 11
dialer-group 1
isdn switch-type basic-ni
isdn spid1 21
ppp authentication chap
!
dialer-list 1 protocol ip permit
end
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Last input never, output 00:00:22, output hang never


Chúng ta kiểm tra trạng thái kết nối của liên kết ISDN bằng câu lệnh sau :
Vsic1#sh isdn status
Global ISDN Switchtype = basic-net3
ISDN BRI0 interface
dsl 0, interface ISDN Switchtype = basic-net3
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 64, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Active dsl 0 CCBs = 0
The Free Channel Mask: 0x80000003
Number of L2 Discards = 0, L2 Session ID = 13
Total Allocated ISDN CCBs = 0
Vsic2#sh isdn status

ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED

Đứng ở router Vsic2, chúng ta ping địa chỉ 200.10.1.1 để kiểm tra kết nối :
Vsic2#ping 200.10.1.1
!!!!!
Nhận xét : ping thành công và router Vsic2 thực hiện kết nối với router Vsic1 sử dùng
interface dialer 0
Vsic2#sh interfaces bri 0

BRI0 is up, line protocol is up (spoofing)
Hardware is BRI
Lệnh show dialer dùng để chỉ trạng thái kênh B sẽ ngắt, sụt giảm (drop) sau 120 giây
inactive.
Trạng thái giao tiếp BRI của router Athen2 được xác định với trạng thái của router
Athnena1.Cổng giao tiếp BRI0 được chỉ dẫn đến kênh D của mạng trong trang thái này là
UP/UP (spoofing state) chứng tỏ rằng kênh D đã hoạt động
Vsic2#sh dialer
BRI0 - dialer type = ISDN

Dial String Successes Failures Last DNIS Last status
11 1 0 01:31:13 successful
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.
BRI0:1 - dialer type = ISDN
Idle timer (120 secs), Fast idle timer (20 secs)

Wait for carrier (30 secs), Re-enable (15 secs)

Dialer state is idle

Vsic1#show dialer
BRI0 - dialer type = ISDN
Dial String Successes Failures Last DNIS Last status
21 0 1 00:01:43 failed
0 incoming call(s) have been screened.
0 incoming call(s) rejected for callback.


Bây giờ nếu như đổi số số SPID hay là số Phone numbers thì trạng thái sẽ thay đổi,
hệ thống đương nhiên là sẽ không thể kết nối được.
Vsic2(config)#interface bri0
Vsic2(config-if)#no isdn spid1 21 21
Vsic2(config-if)#isdn spid1 14 14
Vsic2(config-if)#
02:16:31: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BRI0, TEI 70 changed to
down
Vsic2(config-if)#dialer idle-timeout 20 cấu hình thời gian idle-timeout là 20s
Vsic2(config-if)#^Z
Vsic2#
Vsic1#ping 200.10.1.2
.....
4. Cách tự thực hành bằng Boson Netsim :

Mở chương trình Boson Netsim để bắt đầu thực hành. Ta vào FileÆLoad
NetmapÆChọn file lab27ISDN.top. Sơ đồ giống như sơ đồ thực hành trên, spid1 vẫn là 11 và
22..
Ta chú ý rằng trong trương trình simulation Boson Netsim khác 1 chút so với cấu hình
thực tế, chúng ta phải thêm “dial string” và trong lệnh “isdn spid1” chỉ cần chỉ số spid1 là đủ,
không cần phải chỉ ra số điện thoại trong lệnh này.
Sau đây là cấu hình trên Router VSIC1 vào VSIC2 của Boson Netsim, khi cấu hình
xong ta test bằng lệnh ping giữa 2 đầu router VSIC1 và VSIC2.



BÀI 28: CẤU HÌNH ISDN DDR

1. Giới thiệu :
ISDN (Integrated Services Digital Network) là mạng số tích hợp đa dịch vụ, cung cấp cho
chúng ta nhiều loại hình dịch vụ số khác nhau, bao gồm : data và thoại. ISDN cho phép truyền
các kênh số đồng thời trên dây điện thoại thông thường.
Kỹ thuật dial-on-demand routing (DDR) được phát triển bởi Cisco cho phép chúng ta sử
dụng đường dây điện thoại để tạo thành một mạng WAN. DDR cho phép router thực hiện kết
nối khi có traffic được gửi và ngắt kết nối khi không cần đến. Điều này giúp chúng ta tiết
kiệm được chi phí rất nhiều.
Trong kỹ thuật DDR, chỉ khi gặp interesting traffic router mới thực hiện kết nối, ngoài ra
thì không. Điều này giúp chúng ta quản lý được mạng tốt hơn.
Ngoài ra, DDR sử dụng idle timeout để xác định thời gian để router ngắt kết nối nếu như
không có interesting traffic nào được gửi.

isdn switch-type switch-type
Cấu hình loại của ISDN switch
isdn spid1 spid−number [ldn]
Cấu hình số SPID và ldn
dialer-list dialer-group-num protocol protocol-name {permit | deny | list access-list-
number}
Tạo dialer list để định nghĩa intersting traffic cho router.
dialer-group group-number
Nhúng dialer list vào một interface
dialer idle-timeout seconds
Cấu hình thời gian idle-timeout
dialer pool−member number
Tạo dialer pool
dialer pool number
Nhúng một dialer interface vào dialer pool
dialer remote−name username
Cấu hình tên của router đầu xa
dialer string dial−string
Cấu hình số để quay kết nối với router đầu xa

Trong bài Lab này chúng ta sử dụng hai router có cổng BRI và thiết bị mô phỏng môi
trường ISDN. Cáp nối từ cổng BRI của router đến thiết bị mô phỏng môi trường BRI là cáp
thằng.
Chúng ta khởi tạo Loopback 0, Loopback 1, Loopback 2 ở cả hai router. Địa chỉ các
cổng được chú thích ngay trên đồ hình. Password của cả hai router là : cisco
4. Mục tiêu bài lab :

Cấu hình kết nối giữa hai router thông qua môi trường ISDN trong chế dộ Dial-on-
demand routing (DDR) sử dụng interface dialer.

Bước 1: cấu hình tên router, các interface loopback và mở đường telnet ở hai router
VSIC1#sh run
version 12.1
hostname VSIC1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
VSIC2#sh run
version 12.1
hostname VSIC2
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1
ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end

Bước 2: Cấu hình loại ISDN Switch sử dụng và số SPID và ldn.

Số SPID và ldn được cung cấp bởi nhà cung cấp dịch vụ ISDN.
VSIC1#conf t
VSIC1(config)#isdn switch-type basic-net3 Cấu hình loại ISDN witch
VSIC1(config)# in bri0
VSIC1(config-if)#isdn spid1 21 21 Cấu hình số SPID và ldn
VSIC2#conf t
VSIC2(config)#isdn switch-type basic-net3
VSIC2(config)# in bri0
VSIC2(config-if)#isdn spid1 11 11
Bước 3 : Định tuyến cho các router

Ở đây chúng ta dùng Static route để định tuyến cho các router chứ không dùng các
giao thức định tuyến động như RIP, IGRP … Lý do ta phải dùng static route se được giải
thích ở mục Nguyên nhân không nên dùng các giao thức định tuyến động trong cấu hình
ISDN DDR
VSIC1#conf t
VSIC1(config)#ip route 13.1.0.0 255.255.255.0 192.168.0.2
VSIC2#conf t
Bước 4 : Cấu hình interesting traffic

Router chỉ thực hiện kết nối khi và chỉ khi gặp các interesting traffic; ngoài ra, router
sẽ không kết nối. Interesting traffic được định nghĩa cho router bằng : loại traffic, nguồn hoặc
đích đến của một gói tin. (thông qua access list).
Interesting traffic được cấu hình bằng câu lệnh dialer-list.
Trong bài này, đối với router VSIC1, chúng ta cấu hình interesting traffic là tất cả các traffic
khác traffic telnet đến mạng 14.1.0.0/24. Chúng ta dùng Extended access list để cấu hình.
VSIC1#conf t
VSIC1(config)#access-list 101 deny tcp any 14.1.0.0 0.0.0.255 eq telnet
VSIC1(config)#access-list 101 permit ip any any
VSIC1(config)#dialer-list 1 protocol ip list 1
Đối với router VSIC2, cấu hình các traffic của mạng 13.1.0.0/24 và 14.1.0.0/24 là interesting
traffic. Chúng ta dùng Standard access list để cấu hình.
VSIC2#conf t
VSIC2(config)#access-list 1 permit 13.1.0.0 0.0.0.255
VSIC2(config)#access-list 1 permit 14.1.0.0 0.0.0.255
VSIC2(config)#dialer-list 1 protocol ip list 1
Bước 5 : Cấu hình interface dialer cho router

Trong bài chúng ta sử dụng PPP thay cho HDLC vì PPP có tính bảo mật cao. Mặc
định của router Cisco sử dụng HDLC.
VSIC1(config)#username VSIC2 password cisco
VSIC1(config-if)#in bri0
VSIC1(config-if)#encapsulation ppp
VSIC1(config-if)#ppp authentication chap
VSIC1(config-if)#dialer pool-member 1 Cấu hình interface BRI0 thuộc
dialer pool 1
VSIC1(config-if)#no shut
VSIC1(config-if)#exit
VSIC1(config)#in dialer 1
VSIC1(config-if)# ip address 192.168.0.1 255.255.255.0
VSIC1(config-if)#dialer remote-name VSIC2 Cấu hình tên router kết nối
VSIC1(config-if)#dialer string 11 Cấu hình số để gọi cho router đó
VSIC1(config-if)#dialer pool 1 Cấu hình interface dialer 1 thuộc pool 1
VSIC1(config-if)#dialer idle-timeout 180 Router sẽ ngắt kết nối nếu như
không có traffic nào truyền trong
khoảng thời gian cấu hình
VSIC1(config-if)#dialer-group 1 Sử dụng dialer list 1 cho interface này
Cấu hình tương tự cho router VSIC2

VSIC2(config)#username VSIC1 password cisco
VSIC2(config-if)#in bri0
VSIC2(config-if)#dialer pool-member 1
VSIC2(config)#in dialer 0
VSIC2(config-if)# ip address 192.168.0.2 255.255.255.0
VSIC2(config-if)#dialer remote-name VSIC1
VSIC2(config-if)#dialer string 21
VSIC2(config-if)#dialer pool 1
VSIC2(config-if)#dialer idle-timeout 180
VSIC2(config-if)#dialer-group 1
6. Kiểm tra kết quả :

Kiểm tra trạng thái kết nối của interface BRI0
VSIC1#sh isdn status


ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
Layer 3 Status:
CCB:callid=8004, sapi=0, ces=1, B-chan=1, calltype=DATA
Nếu cấu hình đúng thì trạng thái của Layer 1 là ACTIVE và Layer 2 là
MULTIPLE_FRAME_ESTABLISHED.
Kiểm tra các interesting traffic.

Đứng ở router VSIC2, chúng ta ping từ interface loopback 1 (14.1.0.1) đến interface
loopback 2 (12.1.0.1) của router VSIC1
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
00:30:15: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up

00:30:15: %DIALER-6-BIND: Interface BR0:1 bound to profile Di0.!!!!
00:30:16: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1,
changed state to up
00:30:21: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 21
VSIC1
Nhận xét : ping thành công và router VSIC2 thực hiện kết nối với router VSIC1 sử dùng
interface dialer 0

Chúng ta dùng câu lệnh show isdn active để xem những thông tin về cuộc kết nối hiện hành
VSIC2#sh isdn active

ISDN ACTIVE
Call Calling Called Remote Seconds Seconds Seconds Charges
Type Number Number Name Used Left Idle Units/currency
Out 21 VSIC1 14 167 12 0
Còn 167 giây nữa thì router sẽ ngắt kết nối nếu như không có interesting traffic nào gửi qua
đường kết nối.
Chúng ta chờ khoảng 180 giây nữa để kiểm tra việc router ngắt kết nối tự động (Lưu ý :
không ping bất cứ mạng nào!)
Sau 180 giây chúng ta sẽ được kết quả như sau :
VSIC2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 VSIC1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:33:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed
state to down
Router đã ngắt tự động ngắt kết nối khi không có interesting traffic nào được gửi qua đường
truyền.
Làm lại các bước trên để kiểm tra các interesting traffic còn lại của router VSIC2.
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
state to up
00:30:21: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 21 VSIC1
và sau 180 giây, ta được :

VSIC2#
00:33:16: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di0
00:33:16: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 21 VSIC1,
call lasted 181 seconds
00:33:17: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
state to down
Khi ta thực hiện ping một mạng nào đó của router VSIC1 từ interface loopback 2 (15.1.0.1)
thì router sẽ không kết nối. Do các gói tin từ mạng 15.1.0.0/24 không phải là interesting
traffic.
VSIC2#ping
Protocol [ip]:
Repeat count [5]:
.....

ISDN ACTIVE
Bây giờ chúng ta se kiểm tra interesting traffic của router VSIC1. Đứng ở router VSIC1,
chúng ta ping đến 14.1.0.1 từ một interface loopback bất kỳ.
VSIC1#ping
Protocol [ip]:
Repeat count [5]:


VSIC1#
00:38:31: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1,
changed state to up
VSIC1#
Nhận xét : router thực hiện kết nối với router VSIC2, và gói tin được truyền đi.
Chờ sau 180 giây để router tự động ngắt kết nối. Sau đó chúng ta thực hiện telnet đến
14.1.0.1.
VSIC1#telnet 14.1.0.1
Trying 14.1.0.1 ...
% Connection timed out; remote host not responding
Nhận xét : chúng ta không thể telnet được. Nguyên nhân là do chúng ta đã cấm telnet đến
mạng 14.1.0.0 từ bất kỳ một mạng nào(access-list 101 deny tcp any 14.1.0.0 0.0.0.255 eq
telnet). Do đó, traffic telnet đến 14.1.0.1 không phải là interesting traffic nên router không
thực hiện kết nối.
Chúng ta telnet đến 13.1.0.1 :
VSIC1#telnet 13.1.0.1
Trying 13.1.0.1 ...
00:42:30: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 open
state to up
User Access Verification
Password: cisco Chúng ta nhập password là cisco để telnet vào VSIC2
VSIC2>
Nhận xét : router thực hiện kết nối. Do chúng ta telnet vào mạng 13.1.0.0/24 chứ không phải
mạng 14.1.0.0. Đây là một interesting traffic.
7. Nguyên nhân không nên dùng các giao thức định tuyến động trong cấu hình ISDN
DDR
Để thấy được nguyên nhân chúng ta sẽ cấu hình giao thức RIP trên cả 2 router thay cho
static route.

Chúng ta xóa NVRAM, reload cả hai route trước khi cấu hình lại các router như sau :
VSIC1#sh run
version 12.1
no service single-slot-reload-enable
hostname VSIC1
username VSIC2 password cisco
isdn switch-type basic-net3
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Loopback1
ip address 11.1.0.1 255.255.255.0
interface Loopback2
ip address 12.1.0.1 255.255.255.0
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn spid1 21 21
interface Dialer1
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name VSIC2
dialer idle-timeout 180
dialer string 11
dialer-group 1

access-list 1 permit any

dialer-list 1 protocol ip list 1
router rip
network 10.0.0.0
network 11.0.0.0
network 12.0.0.0
network 192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
VSIC2#sh run
version 12.1
hostname VSIC2
username VSIC1 password cisco
interface Loopback0
ip address 13.1.0.1 255.255.255.0
interface Loopback1
ip address 14.1.0.1 255.255.255.0
interface Loopback2
ip address 15.1.0.1 255.255.255.0
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn spid1 11 11
interface Dialer0
ip address 192.168.0.2 255.255.255.0
encapsulation ppp
dialer pool 1
dialer remote-name VSIC1
dialer idle-timeout 180
dialer string 21
dialer-group 1

access-list 1 permit any

dialer-list 1 protocol ip list 1
router rip
network 13.0.0.0
network 14.0.0.0
network 15.0.0.0
network 192.168.0.0
line con 0
line aux 0
line vty 0 4
password cisco
login
end
Sử dụng câu lệnh show ip route để kiểm tra lại bảng định tuyến của các router :
VSIC2#sh ip
Gateway of last resort is not set
R 10.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
R 11.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, Dialer0
C 192.168.0.1/32 is directly connected, Dialer0
R 12.0.0.0/8 [120/1] via 192.168.0.1, 00:00:03, Dialer0
13.0.0.0/24 is subnetted, 1 subnets
C 13.1.0.0 is directly connected, Loopback0
Kiểm tra lại kết nối hiện hành bằng lệnh show isdn active (lúc này hai router đã kết
nối với nhau, do ta cấu hình tất cả các gói tin đều là interesting traffic : access-list 1 permit
any nên khi RIP gửi các gói routing update thì router tự động kết nối).
ISDN ACTIVE
Out 11 VSIC2 350 152 27 0
Cứ sau khoảng 30 giây chúng ta lập lại câu lệnh show isdn active để kiểm tra thời gian
còn lại để router ngắt kết nối (Lưu ý : không truyền bất kỳ một traffic nào qua lại giữa hai
router để ta có được kết quả chính xác)

ISDN ACTIVE


Out 11 VSIC2 359 171 8 0

ISDN ACTIVE
Out 11 VSIC2 375 154 25 0

ISDN ACTIVE
Out 11 VSIC2 377 179 0 0
Nhận xét : thời gian còn lại để router tự động ngắt kết nối (idle-timeout) không bao giờ
xuống được 0. Do giao thức RIP cứ 30 giây gửi update một lần. Tương tự cho các giao thức
định tuyến động khác.
Trong trường hợp thời gian idle-timeout nhỏ hơn 30 giây thì router sẽ đóng ngắt kết nối liên
tục.
Vì vậy chúng ta không nên sử dụng định tuyến động trong cấu hình ISDN DDR. Sử dụng
static route sẽ cho hiệu quả cao hơn.

BÀI 29: CẤU HÌNH FRAME RELAY CĂN BẢN

1. Giới thiệu :
Frame Relay là kỹ thuật mở rộng của kỹ thuật ISDN. Frame relay sử dụng kỹ thuât
chuyển mạch gói để thiết lập một mạng WAN. Frame Relay tạo ra những đường kết nối ảo để
nối các mạng LAN lại với nhau tạo thành một mạng WAN. Mạng Frame Relay sử dụng các
switch để kết nối các mạng lại với nhau. Kỹ thuật Frame Relay được sử dụng rộng rãi ngày
nay, do có giá thành rẻ hơn rất nhiều so với leased line.
Frame Relay hoạt động ở lớp Data link trong OSI và sử dụng giao thức LAPF (Link
Access Procedure for Frame Relay). Frame Relay sử dụng các frame để chuyển dữ liệu qua
lại giữa các thiết bị đầu cuối của user (DTE) thông qua các thiết bị DCE của mạng Frame
Relay.
Đường kết nối giữa hai DTE thông qua mạng Frame Relay được gọi là một mạch ảo
(VC : Virtual Circuit). Các VC được thiết lập bằng cách gửi các thông điệp báo hiệu
(signaling message) đến mạng; được gọi là switched virtual circuits (SVCs). Nhưng ngày nay,
người ta thường sử dụng permanent virtual circuits (PVCs) để tạo kết nối. PVC là các đường
kết nối được cấu hình trước bởi các Frame Relay Switch và các thông tin chuyển mạch của
gói được lưu trong switch.
Trong Frame Relay, nếu một frame bị lỗi thì sẽ bị hủy ngay mà không có một thông
báo nào.
Các router nối với mạng Frame Relay có thể có nhiều đường kết nối ảo đến nhiều
mạng khác nhau. Do đó, Frame Relay giúp chúng ta tiết kiệm rất nhiều vì không cần các
mạng phải liên kết trực tiếp với nhau.
Các đường kết nối ảo (VC) có các DLCI (Data Link Channel Identifier) của riêng nó.
DLCI được chứa trong các frame khi nó được chuyển đi trong mạng Frame Relay.
Trong Frame Relay, người ta thường sử dụng mạng hình sao để kết nối các mạng
LAN với nhau hình thành một mạng WAN (được gọi là hub and spoke topology)
trong đồ hình này, mạng trung tâm được gọi là hub, các mạng remote1, remote2, remote3,
remote4 và remote5 được gọi là spoke. Mỗi spoke nối với hub bằng một đường kết nối ảo
(VC). Trong đồ hình trên nếu ta muốn các spoke có thể liên lạc được với nhau thì chỉ cần tạo

ra các VC giữa các spoke với nhau. Đồ hình này giúp ta tạo ra một mạng WAN có giá thành
rẻ hơn rất nhiều so với sử dụng leased line, do các mạng chỉ cần một đường nối với mạng
Frame Relay.
Frame Relay sử dụng split horizon để chống lặp. Split horizon không cho phép routing
update trả ngược về interface gửi. Vì trong frame relay, chúng ta có thể tạo nhiều đường PVC
trên một interface vật lý, do đó sẽ bị lặp nếu không có split horizon.
Trong mạng WAN sử dụng leased line, các DTE được nối trực tiếp với nhau nhưng trong
mạng sử dụng Frame Relay, các DTE được nối với nhau thông qua một mạng Frame Relay
gồm nhiều Switch. Do đó chúng ta phải map địa chỉ lớp mạng Frame Relay với địa chỉ IP của
DTE đầu xa. Chúng ta có thể map bằng cách sử dụng các câu lệnh. Nhưng việc này có thể
được thực hiện tự động bằng LMI và Inverse ARP. LMI (Local Management Interface) được
trao đổi giữa DTE và DCE (Frame Relay switch), được dùng để kiểm tra hoạt động và thông
báo tình trạng của VC, điều khiển luồng, và cung cấp số DLCI cho DTE. LMI có nhiều loại là
: cisco (chuẩn riêng của Cisco), ansi (theo chuẩn ANSI Annex D) và q933a (theo chuẩn ITU
q933 Annex A). Khi router mới được nối với mạng Frame Relay, router sẽ gửi LMI đến mạng
để hỏi tình trạng. Sau đó mạng sẽ gửi lại router một thông điệp LMI với các thông số của
đường VC đã được cấu hình. Khi router muốn map một VC với địa chỉ lớp mạng, router sẽ
gửi thông điệp Inverse ARP bao gồm địa chỉ lớp mạng (IP) của router trên đường VC đó đến
với DTE đầu xa. DTE đầu xa sẽ gửi lại một Inverse ARP bao gồm địa chỉ lớp mạng của nó, từ
đó router map địa chỉ này với số DLCI của VC.

encapsulation frame−relay [cisco | ietf]
Cấu hình giao thức đóng gói Frame Relay cho interface. Router hổ trợ hai loại đóng
gói Frame Relay là Cisco và ietf.
frame−relay intf−type [dce | dte | nni]
Cấu hình cho loại Frame Relay switch cho interface. Sử dụng cho router đóng vai trò
là một frame relay switch.
frame−relay lmi−type {ansi | cisco | q933a}
Cấu hình loại LMI sử dụng cho router
frame−relay route in−dlci out−interface out−dlci
Tạo PVC giữa các interface trên router đóng vai trò là một frame relay switch
frame−relay switching
Cấu hình cho router hoạt động như một frame relay switch
show frame−relay pvc [type number [dlci]]
Xem thông số của các đường PVC được cấu hình trêm router
show frame−relay route
Xem tình trạng cũng như thông số đã được cấu hình cho các đường PVC. Câu lệnh
này được sử dụng cho router đóng vai trò là frame relay switch
show frame−relay map
Xem các thông số về map giữa DLCI đầu gần với IP đầu xa
show frame−relay lmi [type number]
Xem các thông số của LMI giữa router với Frame relay switch.

Đồ hình bài lab như hình trên. Router FrameSwitch được cấu hình là một frame relay
switch. Hai đầu cáp serial nối với router FrameSwitch là DCE.
Router VSIC1 và VSIC2 sử dụng giao thức RIP.

Chúng ta cấu hình cho các interface của router VSIC1 và VSIC2 như sau :
VSIC1#sh run
version 12.1
hostname VSIC1
interface Loopback0
ip address 10.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.1 255.255.255.0
router rip
network 10.0.0.0
network 192.168.1.0
end
VSIC2#sh run
version 12.1
hostname VSIC2
interface Loopback0
ip address 11.1.0.1 255.255.255.0
interface Serial0
ip address 192.168.1.2 255.255.255.0
router rip

network 11.0.0.0
network 192.168.1.0
end
Chúng ta tiến hành cấu hình frame realy cho hai router VSIC1 và VSIC2
VSIC1(config)#in s0
VSIC1(config-if)#encapsulation frame-relay Sử dụng giao thức đóng gói
Frame Relay cho interface S0
VSIC1(config-if)#frame-relay lmi-type ansi Cấu hình kiểu của LMI là ANSI
VSIC2(config)#in s0
VSIC2(config-if)#encapsulation frame-relay
VSIC2(config-if)#frame-relay lmi-type ansi
Sau khi cấu hình frame relay cho router VSIC1 và VSIC2, chúng ta sẽ cấu hình cho router
FrameSwitch trở thành một frame relay switch như sau :
FrameSwitch(config)#frame-relay switching Cấu hình cho router trở thành
một Frame Relay Switch
FrameSwitch(config)#in s0
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce Cấu hình interface serial 0
là Frame Relay DCE
FrameSwitch(config-if)#clock rate 64000 Cung cấp xung clock 64000 bps
cho DTE
FrameSwitch(config-if)#frame-relay route 102 interface s1 201
FrameSwitch(config-if)#no shut
FrameSwitch(config)#in s1
FrameSwitch(config-if)#encapsulation frame-relay
FrameSwitch(config-if)#frame-relay lmi-type ansi
FrameSwitch(config-if)#frame-relay intf-type dce
FrameSwitch(config-if)#clock rate 64000
FrameSwitch(config-if)#frame-relay route 201 interface s0 102
FrameSwitch(config-if)#no shut
Câu lệnh frame-relay route 102 interface s1 201 có ý nghĩa : bất kỳ một frame relay traffic
nào có DLCI là 102 đến interface serial 0 của router sẽ được gửi ra interface serial 1 với
DLCI là 201. Tương tự cho câu lệnh frame-relay route 201 interface s0 102 : bất kỳ frame
relay traffic nào có DCLI là 201 đến interface serial 1 sẽ được gửi ra serial 0 với DLCI là 102.
Hai câu lệnh trên được sử dụng để tạo ra một PVC giữa S0 và S1.
Để kiểm tra xem router FrameSwitch có hoạt động như một frame relay switch hay
chưa chúng ta sử dụng câu lệnh show frame-relay pvc
FrameSwitch#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DCE)
Active Inactive Deleted Static
Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0

DLCI = 102, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial0
input pkts 3 output pkts 3 in bytes 186

out bytes 166 dropped pkts 1 in FECN pkts 0
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0
in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0 Num Pkts Switched 3
pvc create time 00:01:04, last time pvc status changed 00:00:40

Local 0 0 0 0
Switched 1 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE =

Serial1

DLCI USAGE chỉ cho ta biết hai interface S0, S1 hoạt động ở chế độ frame relay
switch và đã ACTIVE. Đồng thời thông báo của câu lệnh còn cho ta biết được số gói
đã được chuyển mạch qua interface (Num Pkts Switched 3).
Như vậy, từ kết quả trên ta biết được rằng router FrameSwitch đang hoạt động như một Frame
Relay Switch.
Chúng ta sẽ kiểm tra tình trạng của LMI giữa router FrameSwitch và hai router VSIC1,
VSIC2 bằng câu lệnh show frame lmi
FrameSwitch#show frame lmi
LMI Statistics for interface Serial0 (Frame Relay DCE) LMI TYPE = ANSI
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Rcvd 20 Num Status msgs Sent 20
Num Update Status Sent 0 Num St Enq. Timeouts 0
LMI Statistics for interface Serial1 (Frame Relay DCE) LMI TYPE = ANSI


Num Status Enq. Rcvd 16 Num Status msgs Sent 16
Num Update Status Sent 0 Num St Enq. Timeouts 0
Câu lệnh cho ta biết được thông tin của tất cả các interface của router hoạt động ở chế
độ Frame relay. (Ở đây là interface S0 và S1)
Bây giờ chúng ta sẽ kiểm tra các frame relay route trên router Frameswitch bằng câu lệnh
show frame route
FrameSwitch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
Serial0 102 Serial1 201 active
Serial1 201 Serial0 102 active
Kết quả câu lệnh cho chúng ta biết rằng traffic đến interface serial 0 với DLCI 102sẽ
được chuyển mạch qua serial 1 với DLCI 201; ngược lại, traffic đến serial 1 với DLCI
201 sẽ được chuyển mạch qua serial 0 với DLCI 102. Đồng thời câu lệnh cũng chỉ ra
là cả hai DLCI đều hoạt động.
Chuyển sang router VSIC1, chúng ta sẽ kiểm tra xem DLCI 102 trên interface serial 0
có hoạt động hay chưa bằng cách :
VSIC1#sh frame-relay pvc
PVC Statistics for interface Serial0 (Frame Relay DTE)

Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 102, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0

out bcast pkts 7 out bcast bytes 570
Nhận xét : Interface serial 0 của router VSIC1 hoạt động như một frame relay DTE, và DLCI
102 đã hoạt động.
Mặc định Cisco sử dụng Inverse ARP để map địa chỉ IP đầu xa của PVC với DLCI
của interface đầu gần. Do đó chúng ta không cần phải thực hiện thêm bước này. Để kiểm tra
việc này chúng ta sử dụng câu lệnh show frame-relay map
VSIC1#sh frame-relay map
Serial0 (up): ip 192.168.1.2 dlci 102(0xC9,0x3090), dynamic,
broadcast, status defined, active

Kết quả câu lệnh cho ta biết, DLCI 102 hoạt động trên interface serial 0 và được map
với địa chỉ IP 102.168.1.2 của interface serial 0 VSIC2, và việc map này là tự động.
Lặp lại các bước tương tự để kiểm tra cho router VSIC2
VSIC2#sh frame-relay pvc
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0
DLCI = 201, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0
VSIC2#sh frame-relay map

Serial0 (up): ip 192.168.1.1 dlci 201(0xC9,0x3090), dynamic,
broadcast,, status defined, active
Nhận xét : DLCI 201 hoạt động trên interface serial 0 của VSIC2 và được map với địa chỉ IP
192.168.1.1
Bây giờ chúng ta sẽ kiểm tra các mạng có thể liên lạc được với nhau chưa bằng cách
lần lượt đứng ở hai router và ping đến các interface loopback của router đầu xa.
VSIC1#ping 11.1.0.1
!!!!!
VSIC2#ping 10.1.0.1
!!!!!
Như vậy, các mạng đã có thể liên lạc được với nhau. Và router FrameSwitch đã thực hiện tốt
chức năng frame relay switch.

Chạy file lab29frcb.net để thực hành với sơ đồ sau:

Ngoài việc thực hành giống như bài lab trên,học viên sử dụng thêm các routing
protocol khác để nắm rõ hơn các routing hoạt động trên môi trường mạng Frame Relay.

BÀI 30:CẤU HÌNH FRAME RELAY SUBINTERFACE

1. Giới thiệu :
Fame relay hầu như rất phổ biến trong công nghệ WAN .Frame Relay cung cấp nhiều hơn
các đặc tính và các lợi nhuận việc kết nối point –to- point WAN .
Trong môi trường Frame Relay hoạt động để đảm bảo việc kết nối làm việc thì 2 đầu thiết
bị bên ngoài Frane Relay phải là data terminal equepment (DTE) và môi trường Frame relay
switch bên trong phải là data communication equepmet(DCE) .Suninterface hoạt động giống
như lease lines mỗi point-to-point suninterface đòi hỏi phải được các subnet riêng biệt.Trong
bài thực hành ta sử dụng mô hình Hub và Spoke. Trong đó Router VSIC là HUB và các
Spoke là router VSIC và VSIC2.
3. Cấu hình :
a) Cấu hình cho router FR-SWITCHING
!
version 12.1
hostname switch
!
frame-relay switching
!
interface Serial0
no ip address

encapsulation frame-relay
no fair-queue
clockrate 64000
frame-relay lmi-type ansi dùng kiểu frame relay ansi
frame-relay intf-type dce
frame-relay route 52 interface Serial1 51 thực hiện route cho các PVC
frame-relay route 53 interface Serial2 51
!
interface Serial1
no ip address
clockrate 64000
frame-relay lmi-type ansi
!
interface Serial2
no ip address
clockrate 64000
!
interface Serial3
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
ip classless
ip http server
line con 0
line aux 0
line vty 0 4
!
end
b) Cấu hình cho router Vsic3 :

!
version 12.1
hostname Vsic3
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0

!
interface Serial0
no ip address
!
interface Serial0.301 point-to-point
ip address 192.168.5.2 255.255.255.0
frame-relay interface-dlci 51
!
router igrp 100
network 192.168.3.0
network 192.168.5.0
!
end
c) Cấu hình cho router VSIC:

version 12.1
hostname VSIC
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Serial0
no ip address
no fair-queue
!
ip address 192.168.4.1 255.255.255.0
!
ip address 192.168.5.1 255.255.255.0
!
router igrp 100
network 192.168.1.0
network 192.168.4.0
network 192.168.5.0
d) Xây dựng cấu hình cho router Vsic2

!
version 12.1

hostname Vsic2
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Serial0
no ip address
!
ip address 192.168.4.2 255.255.255.0
router igrp 100

network 192.168.2.0
network 192.168.4.0
end
Chúng kiểm tra route map của các router bằng câu lệnh sau :
VSIC#sh frame-relay map
Serial0.103 (up): point-to-point dlci, dlci 53(0x35,0xC50), broadcast
status defined, active
Như vậy 4
Sử dụng câu lệnh show frame-relay pvc để kiểm tra các đường PVC
Vsic2#sh frame-relay pvc
DLCI = 51, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE =
Serial0.52

Chúng ta sử dụng câu lệnh sau để xem thông tin về LMI

VSIC#sh frame-relay lmi
LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = ANSI

Num Status Enq. Sent 74 Num Status msgs Rcvd 37

Num Update Status Rcvd 0 Num Status Timeouts 37
switch#show frame-relay pvc

DLCI = 52, DLCI USAGE = SWITCHED, PVC STATUS = ACTIVE, INTERFACE
= Serial0

= Serial0
input pkts17 output pkts 16 in bytes 1620

= Serial1
Đối với lệnh show frame pvc ta cần chú ý các chế độ sau của PVC status :
ACTIVE : Cả 2 đầu của Frame relay PVC ở trạng thái hoạt động
INACTIVE : Đầu Frame relay của đầu bên kia của router đang có vấn đề về cấu hình, nhưng
tại đầu Frame Relay hiện tại router đã hoạt động tốt.
DELETED : Vấn đề xảy ra với Router hiện tại. LMI chưa hoạt động.
Bây giờ chúng ta sẽ kiểm tra trạng thái của các cổng:
Vsic2#sh ip int brief

Interface IP-Address OK? Method Status Prot
ocol
Loopback0 192.168.2.1 YES manual up up
Serial0 unassigned YES unset up up
Serial0.201 192.168.4.2 YES manual up up

TokenRing0 unassigned YES unset administratively down down
Vsic2#sh frame-relay map

Chúng ta kiểm tra lại bảng định tuyến của các router:
Vsic2#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - IGRP, EX - IGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.4.0/24 is directly connected, Serial0.201

I 192.168.5.0/24 [100/10476] via 192.168.4.1, 00:00:25, Serial0.201
I 192.168.1.0/24 [100/8976] via 192.168.4.1, 00:00:25, Serial0.201
C 192.168.2.0/24 is directly connected, Loopback0
I 192.168.3.0/24 [100/10976] via 192.168.4.1, 00:00:25, Serial0.201
Vsic2#ping 192.168.4.2
!!!!!
Vsic2#ping 192.168.4.1
!!!!!
Vsic3#ping 192.168.5.1
!!!!!
Vsic2#ping 192.168.3.1
!!!!!

Như vậy ta đã hoàn thành việc định tuyến trên mạng Frame Relay.

Sơ đồ sau khi chạy file lab30Frnc.net :
Ta cấu hình các router Frame Relay SW, VSIC, VSIC2, VSIC3 giống như trên. Tuy
nhiên ở nhà học viên nên sử dụng những giao thức khác như EIGRP hay OSPF,RIP. Và cần
phải test đã định tuyến được hay chưa.

CCNA Part2

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CCNA Part2

Uploaded by

Copyright:

Available Formats

Tài liệu này được upload và download tại website: http://hutonline.

BÀI 20: CẤU HÌNH OSPF GIỮA

2. Mô tả bài lab và đồ hình :

3. Cấu hình cho các router :

VSIC Education Corporation Trang 128

Bách Khoa Online

ip address 192.168.1.1 255.255.255.0

4. Cấu hình cho server :

VSIC Education Corporation Trang 129

Chọn Open Shortest Path Frist (OSPF) OK

VSIC Education Corporation Trang 130

VSIC Education Corporation Trang 131

Click vào tab Areas, chọn 0.0.0.0 nhấn Edit

Trong cửa sổ vừa hiện ra, bỏ Enable plaintext password OK

VSIC Education Corporation Trang 132

VSIC Education Corporation Trang 133

5. Tự thực hành sử dụng Dynagen :

VSIC Education Corporation Trang 134

# No need to specify an adapter here, it is taken care of

VSIC Education Corporation Trang 135

Phần 4 : ACCESS LIST và NAT

3. Cấu hình router :

VSIC Education Corporation Trang 136

VSIC Education Corporation Trang 137

service timestamps log uptime

-Bạn thực hiện kiểm tra quá trình định tuyến:

VSIC Education Corporation Trang 138

Type escape sequence to abort.

Type escape sequence to abort.

Type escape sequence to abort.

VSIC Education Corporation Trang 139

VSIC Education Corporation Trang 140

Vsic1(config)#access-list 1 permit any

VSIC Education Corporation Trang 141

VSIC Education Corporation Trang 142

BÀI 22: EXTENDED ACCESS LIST

VSIC Education Corporation Trang 143

VSIC Education Corporation Trang 144

-Bạn thực hiện việc định tuyến(sử dụng Rip)

VSIC Education Corporation Trang 145

VSIC Education Corporation Trang 146

VSIC Education Corporation Trang 147

Bạn nhập vào User Name và Password

VSIC Education Corporation Trang 148

VSIC Education Corporation Trang 149

Bạn nhập vào User Name và Password

VSIC Education Corporation Trang 150

BÀI 23: TẤN CÔNG ROUTER BẰNG FLOOD

1. Mô tả bài lab và cấu hình :

2. Cấu hình của Router :

VSIC Education Corporation Trang 151

ip address 11.1.0.1 255.255.255.0

3. Thực thi DoS :

01:35:27: IP: s=192.168.1.2 (local), d=58.78.126.160, len 56, unroutable

VSIC Education Corporation Trang 152

01:35:29: IP: s=95.72.43.45 (Serial0), d=192.168.1.2, len 56, access denied

VSIC Education Corporation Trang 153

BÀI 24: CẤU HÌNH NAT STATIC

2. Mô tả bài lab và đồ hình :

VSIC Education Corporation Trang 154

Vsic1(config)#ip nat outside cấu hình interface S0 là interface outside

Vsic2(config)#ip route 172.17.0.0 255.255.0.0 192.168.0.2

VSIC Education Corporation Trang 155

4. Tự thực hành bằng Dynagen :