ThietKeMang

Hướng dẫn thực hành Thiết kế mạngNhóm biên soạn: Trần Doãn Thành - Lê Bảo Thiện

Ngày hoàn thành: 20/3/200Trường Đại học khoa học tự nhiên Thành Phố Hồ Chí Minh

Mục lụcHướng dẫn thực hành Thiết kế mạng..................................................................................11 Làm quen với chương trình Router Sim......................................................................2

1.1 Thiết lập một mạng trong Router Sim.................................................................21.2 Kết nối các thiết bị trong Router Sim..................................................................31.3 Net Detective.......................................................................................................3

2 Cấu hình Router...........................................................................................................52.1 Đăng nhập vào router...........................................................................................52.2 Xem thông tin một router....................................................................................52.3 Đặt Password cho router......................................................................................52.4 Cấu hình cho router.............................................................................................6

3 Cài đặt Routing............................................................................................................63.1 Cấu hình Static routing........................................................................................63.2 Cấu hình Default routing.....................................................................................73.3 Cấu hình RIP routing...........................................................................................73.4 Cấu hình IGRP routing........................................................................................7

4 Cấu hình Switch...........................................................................................................84.1 Kết nối đến Switch và đặt password....................................................................84.2 Đặt hostname cho Switch....................................................................................94.3 Đặt IP Address cho Switch..................................................................................94.4 Cấu hình VLANs...............................................................................................104.5 Cấu hình Trunk port...........................................................................................12

Trong Switch 1900 cổng 26 được xác định bởi trunk A và cổng f0/27 là trunk B...........135 Backup và Restore Cisco Router IOS........................................................................13

5.1 Kỹ thuật hồi phục mật khẩu...............................................................................135.2 Sao chép dự phòng Cisco IOS...........................................................................145.3 Hồi phục hoặc nâng cấp IOS.............................................................................155.4 Sao lưu dự phòng cấu hình Cisco......................................................................175.5 Hồi phục Cấu hình Cisco Router từ tftp server.................................................185.6 Sử dụng Cisco Discovery Protocol để lấy thông tin về các thiết bị láng giềng.185.7 Sử dụng telnet....................................................................................................205.8 Tạo một bảng các Host trên một Router và lấy IP của một Host......................23

6 Cấu hình IPX Routing...............................................................................................246.1 Cấu hình định tuyến IPX cơ bản........................................................................246.2 Cấu hình IPX cho Internetwork (mạng ảo trong sim).......................................246.3 Kiểm tra lại IPX Internetwork...........................................................................256.4 Thêm một mạng IPX phụ..................................................................................266.5 Thêm một mạng IPX phụ sử dụng Subinterface................................................276.6 Kiểm tra lại với CDP và IPX ping.....................................................................28

7 Cấu hình Access-Lists...............................................................................................287.1 Danh sách địa chỉ IP chuẩn cho phép truy cập vào mạng.................................28

1

7.2 Kiểm tra lại Danh sách truy cập chuẩn..............................................................287.3 Gắn một Danh sách IP truy cập mạng vào một dòng VTY...............................297.4 Danh sách IP truy cập mạng mở rộng................................................................297.5 Kiểm tra lại danh sách truy cập IP mở rộng......................................................317.6 Danh sách truy cập IPX chuẩn...........................................................................317.7 Kiểm tra lại danh sách truy cập IPX chuẩn.......................................................31

8 Cấu hình Truy cập từ xa............................................................................................328.1 Cấu hình PPP Encapsulation.............................................................................328.2 Kiểm tra PPP Encapsulation..............................................................................338.3 Cấu hình PPP Authentication dùng CHAP........................................................338.4 Kiểm tra PPP Authentication.............................................................................348.5 Tìm hiểu về Cấu hình Frame Relay...................................................................358.6 Cấu hình Frame Relay Switching......................................................................368.7 Cấu hình Frame Relay với Subinterface............................................................388.8 Kiểm tra lại Frame Relay...................................................................................39

2

1 Làm quen với chương trình Router SimChương trình Router Sim là một chương trình giả lập dùng cho việc thiết lập một mạng máy tính với các thiết bị như: Router, Switch và các máy tính.Các màn chính trong trong RouterSim:

Network Visualizer Screen

Là màn hình giao diện đồ hoạ chính trong Router Sim 3.0. Đây là nơi bạn sẽ tạo và cấu hình các thiết bị được kéo, thả vào trong màn hình Network Visualizer. Nhấn đúp chuột lên thiết bị để cấu hình một thiết bị đó, khi đó sẽ chuyển sang màn hình Simulation.

Simulation Screen

Là màn hình giả lập các thiết bị, dùng để cấu hình các thiết bị như router, switch, …

1.1 Thiết lập một mạng trong Router Sim

1. Nhấp chuột vào nút Net Visualizer, khi đó màn hình lưới Network Visualizer sẽ xuất hiện.2. Kéo các “thiết bị” từ cửa sổ bên trên trái thả vào màn hình Net Visualizer.3. Tiếp tục kéo các thiết bị cần thiết để tạo thành một mạng máy tính.

Chú ý:: Có một giới hạn trong số lượng các “thiết bị” có thể kéo thả vào trong màn hình Network Visualizer:o 5 2501 Routerso 1 2600 Routero 6 1900A Switcheso 8 Hosts

Muốn bỏ một thiết bị ra khỏi màn hình Net Visualizer, chúng ta kéo thiết bị đó vào thùng rác ở dưới trái màn hình. Nếu chúng ta muốn xóa toàn bộ các thiết bị, click vào nút Clear Visualizer.

1.2 Kết nối các thiết bị trong Router Sim

Sau khi kéo thả các thiết bị trong màn hình Network Visualizer, chúng ta phải kết nối chúng lại với nhau.

1. Nhấp chuột phải trên thiết bị.

3

2. Nhấp chuột trên các cổng muốn kết nối, ví dụ: E0, S0, S1.

3. Đối với các cổng S0, S1, sẽ yêu cầu kết nối DTE hay DCE. Chú ý đối với DCE chúng ta phải cấu hình clock rate cho cổng đó.

4. Tương tự chúng ta nhấn chuột phải lên thiết bị cần kết nối tới và click chuột trái lên port kết nối.

Nếu muốn bỏ các kết nối chúng ta làm tương tự như việc kết nối:

1. Click chuột phải lên thiết bị.2. Click chuột trái lên kết nối muốn bỏ.3. Chương trình sẽ hỏi chúng ta muốn bỏ kết nối đó hay không? OK

1.3 Net Detective

Nếu bạn không thành thạo trong việc sử dụng router và switch , bạn có thể gặp phải trường hợp thực thi một lệnh nào đó mà nó không thực hiện theo ý mình muốn, và bạn không biết mình sai chỗ nào. Chúng ta sẽ sử dụng Net Detective để xem tại sao mạng bị lỗi. Ví dụ: nếu bạn không thành công trong việc ping giữa 2501 A và 2501C, Net Detective sẽ cung cấp mạng bị lỗi chỗ nào.

4

2 Cấu hình Router

2.1 Đăng nhập vào router

- Để kết nối vào router chúng ta nhấn enter từ màn hình Network Visualizer, chúng ta sẽ vào user mode. Trong chế độ user mode chúng ta chỉ có thể sử dụng được một số lệnh như: ping, traceroute, …

- Muốn cấu hình router chúng ta vào ở trong chế độ privileged mode, bằng cách sử dụng lệnh enable để vào privileged mode ( Router# )

- Dùng lệnh logout, exit để thoát- Các dấu nhắc trong Router:

o Router # : Đang ở chế độ privileged (enable)o Router (config) # : Đang ở chế độ global config mode (config)o Router (config-if) # : Đang ở chế độ config các interface của

router (interface ethernet0)o Router (config-subif) # : subinterfacce (int f0/0.1)o Router (config-line) # : cấu hình trên các line (line console 0)o Router (config-router) # : Cấu hình routing (router rip)

2.2 Xem thông tin một router

- ? : Xem các lệnh có thể thực hiện được ở chế độ này- command? : Xem các lệnh có các kí tự bắt đầu như vậy- Command ? : Xem các tham số của một lệnh- show version : Xem version của HDH của router- show running-config (sh run), show startup-config (sh start)

o Xem cấu hình đang chạy của router và cấu hình của router được lưu trong NVRAM.

2.3 Đặt Password cho router

Trong router chúng ta có 5 password để bảo vệ router. Hai password đầu tiên để bảo vệ chế độ privileged mode, khi sử dụng lệnh enable. Và 3 password khác dùng để bảo vệ router khi người dùng đăng nhập từ console port, auxiliary port hoặc là telnet (ở mức user mode).

2.3.1 Password cho Privileged mode

- Config T : Để vào cấu hình router (Router(config)#)- enable secret : Đặt password cho router (1)- enable password : Đặt password cho router (2)

o Chú ý: Khi đã đặt password theo lệnh (1) thì password trong lệnh (2) sẽ không có tác dụng nữa.

5

2.3.2 Password cho console port, auxiliary port và Telnet- Sử dụng lệnh line để đặc password user mode cho các cổng phụ như:

Router(config)#line ? <0-6> First Line number aux Auxiliary line console Primary terminal line vty Virtual terminal

Trong đó:o aux: config router qua modemo console : config router thông qua console porto vty : config router qua telnet. (Nếu không được đặt password thì không thể

sử dụng Telnet để cấu hình router)- Line [aux/console/vty] [0]- Login- Password <pass>

2.3.3 Mã hóa mật mã- Config t- Service password-encryption- Bắt đầu đặt password như trên- No service password-encryption

2.4 Cấu hình cho router

2.4.1 Cài đặt câu thông báo khi logon vào router- banner motd # Câu thông báo #

2.4.2 Cấu hình các giao tiếp của router- interface (int) e0/ s0/ s1 / [fastethernet 0/0]- no shutdown (no shut)- ip address A.B.C.D subnetmask- ip address A.B.C.D subnetmask secondary- description (desc) câu miêu tả

2.4.3 Đặt Router hostname- con t- hostname Tên_của_router

3 Cài đặt Routing

3.1 Cấu hình Static routingChúng ta sẽ phải xây dựng bảng routing tĩnh cho mỗi router => để có thể dẫn đường cho toàn mạng. Chúng ta phải cấu hình cho tất cả các router thì việc tìm đường mới có thể hoạt động được.

6

Các lệnh để cấu hình router:- con t- ip route NetID Subnetmask DestIP- …- exit- show ip route

Ví dụ:

Router#con tRouter(config)#ip route 172.16.20.0 255.255.255.0 172.16.20.1Router(config)#ip route 172.16.30.0 255.255.255.0 172.16.20.1Router(config)#ip route 172.16.40.0 255.255.255.0 172.16.20.1Router(config)#exitRouter#

3.2 Cấu hình Default routingCấu hình Default routing thì không giống như cấu hình default gate-way trtrên host. Nên nhớ rằng router là dafault gateway và chúng ta không thể đặt một default gateway trên router. Default gateway sẽ thực hiện : nếu một packet cho một mạng không nằm trong routing table thì router sẽ chuyển packet này đến một default route.Chúng ta chỉ có thể cấu hình default routing trên các router gốc, là các router chỉ có một đường in và out.Cấu hình default routing sử dụng các lệnh sau:- con t- no ip route NetID Subnetmask DestIP- ip route 0.0.0.0 0.0.0.0 DestIP- ip classless- exit

Ví dụ:

Router>enRouter#con tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.20.1Router(config)#ip classlessRouter(config)#exitRouter#

3.3 Cấu hình RIP routing- con t- router rip- network 172.16.0.0- ^z

3.4 Cấu hình IGRP routing- con t- router IGRP 10- network 172.16.0.0

7

- ^z

4 Cấu hình Switch

4.1 Kết nối đến Switch và đặt passwordNhấp đúp vào switch cần cấu hình sẽ nhận được các thông tin sau:

Catalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-30-80-C7-BE-C0

PCA Number: 73-3122-04PCA Serial Number: FAB033723WJModel Number: WS-C1912-ASystem Serial Number: FAB0338S10APower Supply S/N: APQ032404SAPCB Serial Number: FAB033723WJ,73-3122-04-------------------------------------------------

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus [K] Command Line

Enter Selection:K

Nhấn K để vào CLI (Command Line Interface) CLI session with the switch is open.

To end the CLI session, enter [Exit].

Để đặt password cho switch chúng ta thi hành các lệnh sau:

>enable#config tEnter configuration commands, one per line. End with CNTL/Z.(config)#(config)#enable password level 1 user(config)#enable password level 15 priv(config)#exit

Level 1 : là password vào user mode Level 15: là password vào privilge mode

Chúng ta sẽ kiểm tra các password bằng cách thoát ra ngoài và login vào lại. Ban đầu sẽ là password để vào user mode và tiếp theo là password cho privileged mode.

Catalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-30-80-C7-BE-C0

8

PCA Number: 73-3122-04PCA Serial Number: FAB033723WJModel Number: WS-C1912-ASystem Serial Number: FAB0338S10APower Supply S/N: APQ032404SAPCB Serial Number: FAB033723WJ,73-3122-04-------------------------------------------------

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus [K] Command Line

Enter Selection:Enter password: **** CLI session with the switch is open. To end the CLI session, enter [Exit].>en

Enter password:****#

4.2 Đặt hostname cho SwitchHostname trong switch cũng giống như trong router chỉ có ý nghĩa logic. Có nghĩa là nó không giữ một chức năng nào trong mạng hay phân giải tên bất cứ cái gì. Tuy nhiên nó cũng có ích giúp chúng ta xác định được đó là switch nào khi kết nối vào nó. Thông thường người ta đặt hostname cho switch dựa vào cái vùng nó phục vụ.Các lệnh đặt hostname cho Switch 1900 tương tự như trong router :

#con tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname PMMang01PMMang01(config)#

4.3 Đặt IP Address cho SwitchChúng ta không cần đặt IP cho Switch, chỉ cần gắn vào là nó sẽ hoạt động như HUB. Nhưng chúng ta đặt IP cho Switch để chúng ta có thể cấu hình nó thông qua Telnet hay là các cương trình quản lý khác. Hoặc để phục vụ cho VLAN hoặc các tính năng khác.Mặc định Switch không có IP và Default gateway. (sử dụng lệnh show ip để xem thông tin (trong chế độ privileged mode))

PMMang01#show ipIP Address: 0.0.0.0Subnet Mask: 0.0.0.0Default Gateway: 0.0.0.0Management VLAN: 1Domain name: Name server 1: 0.0.0.0Name server 2: 0.0.0.0HTTP server : EnabledHTTP port : 80RIP : disabledPMMang01#

9

Sử dụng các lệnh sau để cài đặt IP cho switch:

PMMang01#show ipIP Address: 0.0.0.0Subnet Mask: 0.0.0.0Default Gateway: 0.0.0.0Management VLAN: 1Domain name: Name server 1: 0.0.0.0Name server 2: 0.0.0.0HTTP server : EnabledHTTP port : 80RIP : disabledPMMang01#con tEnter configuration commands, one per line. End with CNTL/Z.PMMang01(config)#ip address 172.16.10.16 255.255.255.0PMMang01(config)#ip default-gateway 172.16.10.1PMMang01(config)#exitPMMang01#sh ipIP Address: 172.16.10.16Subnet Mask: 255.255.255.0Default Gateway: 172.16.10.1Management VLAN: 1Domain name: Name server 1: 0.0.0.0Name server 2: 0.0.0.0HTTP server : EnabledHTTP port : 80RIP : disabledPMMang01#

4.4 Cấu hình VLANsChúng ta có thể cấu hình 64 VLAN trên Switch 1900. Chúng ta sử dụng các lệnh sau: vlan [vlan#] name [vlan name]Ví dụ:

PMMang1#con tEnter configuration commands, one per line. End with CNTL/Z.PMMang1(config)#vlan 1 name salesPMMang1(config)#vlan 2 name marketingPMMang1(config)#vlan 4 name misPMMang1(config)#exit

Để xem thông tin các vlan trong switch, sử dụng lệnh sh vlan

PMMang1#sh vlanVLAN Name Status Ports--------------------------------------1 sales Enabled 1-12, AUI, A, B2 marketing Enabled 4 mis Enabled1002 fddi-default Suspended1003 token-ring-default Suspended1004 fddinet-default Suspended1005 trnet-default Suspended--------------------------------------

VLAN Type SAID MTU Parent RingNo BridgeNo Stp Trans1 Trans2

10

--------------------------------------------------------------------------1 Ethernet 100001 1500 0 0 0 Unkn 0 02 Ethernet 100002 1500 0 0 0 Unkn 0 04 Ethernet 100003 1500 0 0 0 Unkn 0 01002 FDDI 101002 1500 0 0 0 Unkn 0 01003 Token-Ring 101003 1500 0 0 0 Unkn 0 01004 FDDI-Net 101004 1500 0 0 0 IEEE 0 01005 Token-Ring-Net 101005 1500 0 0 0 IBM 0 0--------------------------------------------------------------------------PMMang1#

Để ý rằng tất cả các port đều thuộc VLAN 1 => Chúng ta sẽ cấu hình phân các port về các VLAN khác nhau.

PMMang1#con tEnter configuration commands, one per line. End with CNTL/Z.PMMang1(config)#int e0/1PMMang1(config-if)#vlan-membership ? dynamic Set VLAN membership type as dynamic static Set VLAN membership type as static

PMMang1(config-if)#vlan-membership static ? <1-1005> ISL VLAN index

PMMang1(config-if)#vlan-membership static 1PMMang1(config-if)#int e0/2PMMang1(config-if)#vlan-membership static 2PMMang1(config-if)#int e0/4PMMang1(config-if)#vlan-membership static 4PMMang1(config-if)#^Z%SYS-5-CONFIG_I: Configured from console by console

PMMang1#show vlanVLAN Name Status Ports--------------------------------------1 sales Enabled 3,5-12, AUI, A, B2 marketing Enabled 24 mis Enabled 41002 fddi-default Suspended1003 token-ring-default Suspended1004 fddinet-default Suspended1005 trnet-default Suspended--------------------------------------

PMMang1#

Chúng ta có thể xem các thông tin các port thuộc VLAN nào bằng cách:

PMMang1#show vlan-membership Port VLAN Membership Type ----------------------------- 1 1 Static 2 2 Static 3 1 Static 4 4 Static 5 1 Static 6 1 Static 7 1 Static 8 1 Static 9 1 Static

11

10 1 Static 11 1 Static 12 1 Static

AUI 1 Static A 1 Static B 1 StaticPMMang1#

4.5 Cấu hình Trunk portTrunk link là liên kết 100 hoặc 1000Mbps giữa 2 switch, giữa switch và router

hoặc giữa switch và server. Trunk link là cầu nối cho nhiều VLANm từ 1 – 1005 cùng 1 lúc. Chúng ta không thể sử dụng trunk link cho liên kết 10Mbps.

Để cấu hình port fast ethernet sử dụng lệnh : trunk [parameter]

PMMang1#con tEnter configuration commands, one per line. End with CNTL/Z.PMMang1(config)#int f0/26PMMang1(config-if)#trunk ? auto Set DISL state to AUTO desirable Set DISL state to DESIRABLE nonegotiate Set DISL state to NONEGOTIATE off Set DISL state to OFF on Set DISL state to ON

PMMang1(config-if)#trunk on PMMang1(config-if)#

Trong đó : Interface trở thành trunk chỉ khi thiết bị kết nối được cấu hình on hoặc

desirable. Nếu thiết bị kết nối được cấu hình hoặc on, desirable hoặc auto nó sẽ dàn xếp

để trở thành trunk port. Interface là cổng ISL trunk thì nó sẽ không điều đình với bất kỳ thiết bị nào

gắn vào nó.

Để kiểm tra các trunk port chúng ta sử dụng lệnh show trunk [port_number]

PMMang1#sh trunk ? A Trunk A B Trunk B

PMMang1#sh trunk aDISL state: On , Trunking: On , Encapsulation type: ISL

PMMang1#Trong Switch 1900 cổng 26 được xác định bởi trunk A và cổng f0/27 là trunk B.

5 Backup và Restore Cisco Router IOS

5.1 Kỹ thuật hồi phục mật khẩuTất cả các Router Cisco đều có một thanh ghi mềm 16 bit được lưu trong NVRAM. Thanh ghi cấu hình được đặt mặc định để khởi động từ bộ nhớ flash và tìm kiếm đọc file cấu hình từ NVRAM.Bằng cách thay đổi thanh ghi cấu hình ta có thể hồi phục mật khẩu.

12

Bit 6 của thanh ghi cấu hình được sử dụng để xác định cho Router biết là đọc cấu hình từ NVRAM hay không. Giá trị mặc định của thanh ghi cấu hình là 0x2102 (bit 6 = 0). Để hồi phục mật khẩu ta cần phải bật bit 6 lên tức là yêu cầu Router bỏ qua không đọc cấu hình từ NVRAM. Giá trị cần đặt cho thanh ghi cấu hình để bật bit 6 là 0x2142.1. Ta có thể xem giá trị của thanh ghi cấu hình hiện thời bằng lệnh show version.

2500A#show versionCisco Internetwork Operating System SoftwareIOS (tm) 2500 Software (C2500-JS-L), Version 12.0(8), RELEASE SOFTWARE (fc1)[output cut]Configuration register is 0x2102

Dòng cuối cho biết giá trị của thanh ghi cấu hình.2. Ta có thể thay đổi giá trị đó bằng lệnh config-register.

2500A(config)#config-register 0x01012500A(config)#^Z2500A#sh ver[cut]Configuration register is 0x2102 (will be 0x0101 at next reload)

Lưu ý là các thay đổi trên router chỉ có tác dụng sau khi router khởi động lại.3. Với router 2500A ta gõ lệnh reload tại dấu nhắc đặc quyền (privileged mode)

2500A#reload4. Khi router đang khởi động nhấn ctrl-delete, ta sẽ vào chế độ quản lý ROM

System Bootstrap, Version 11.0(10c), SOFTWARECopyright (c) 1986-1996 by cisco Systems2500 processor with 14336 Kbytes of main memoryAbort at 0x10151E4 (PC)>

Lưu ý là đối với router thực thì nhấn ctrl-break5. Để thay đổi thanh ghi cấu hình của các router 2500 nhấn o. Nó sẽ hiện ra một menu các lựa chọn cài đặt cho thanh ghi cấu hình. Để thay đổi thanh ghi cấu hình ta nhập lệnh o/r sau đó là giá trị mới của thanh ghi cấu hình.

System Bootstrap, Version 11.0(10c), SOFTWARECopyright (c) 1986-1996 by cisco Systems2500 processor with 14336 Kbytes of main memoryAbort at 0x1098FEC (PC)>oConfiguration register = 0x2102 at last bootBit# Configuration register option settings:15 Diagnostic mode disabled14 IP broadcasts do not have network numbers13 Boot default ROM software if network boot fails12-11 Console speed is 9600 baud10 IP broadcasts with ones08 Break disabled07 OEM disabled06 Ignore configuration disabled03-00 Boot file is cisco2-2500 (or 'boot system' command)>o/r 0x2142

Sau khi thay đổi thanh ghi cấu hình bật bit 6. Ta nhấn i để khởi tạo lại router>o/r 0x2142>iSystem Bootstrap, Version 11.0(10c), SOFTWARECopyright (c) 1986-1996 by cisco Systems

13

6. Cho phép router khởi động lại hoàn toàn, nó sẽ cho ta vào chế độ Setup7. Chọn “No” để vào chế độ setup và gõ enable để vào chế độ đặc quyền8. Gõ copy startup-config running-config, lệnh này sẽ chép tập tin config sẵn lên bộ nhớ. Bởi vì ta đã vượt qua điểm đòi mật khẩu nên ta bây giờ đang trong phần cấu hình.9. Đổi mật khẩu và lưu cấu hình lại10. Đổi thanh ghi cấu hình trở lại 0x2102

2500A#config t2500A(config)#config-register 0x2102

như vậy là ta đã thành công trong việc hồi phục mật khẩu trên Router 2500A11. Đối với các router 2600 thì có một số thao tác hơi khácsau khi khởi động ta nhấn ctrl-delete

2600A#reloadSystem Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)Copyright (c) 1999 by cisco Systems, Inc.TAC:Home:SW:IOS:Specials for infoPC = 0xfff0a530, Vector = 0x500, SP = 0x680127b0C2600 platform with 32768 Kbytes of main memoryPC = 0xfff0a530, Vector = 0x500, SP = 0x80004374monitor: command "boot" aborted due to user interruptrommon 1 >

12. Để thay đổi thanh ghi cấu hình trên 2600 ta dùng confreg rommon 1 > confreg 0x2142

sau đó khởi động lạirommon 1 > reset

13. Sau khi khởi động lại ta chọn “no” để vào chế độ setup, sau đó làm tương tự các bước như 2500

5.2 Sao chép dự phòng Cisco IOSTrước khi nang cấp hay hồi phục một Cisco IOS, bạn nên sao chép một bản có sẵn vào một máy có tftp để dự phòng trong trường hợp bản mới không chạy. Bạn có thể dùng bất kỳ máy tftp nào để làm việc này. Mặc định, bộ nhớ flash trong router được dùng để lưu Cisco IOS. Sau đây sẽ mô tả phương pháp để kiểm tra kích thước của bộ nhớ flash, sao chép một Cisco IOS từ bộ nhớ flash vào một máy tftp, sau đó sao chép một IOS từ máy tftp vào bộ nhớ.1. Trước khi nâng cấp IOS trong router của bạn, cần phải kiểm tra lịa rằng bộ nhớ flash đủ để lưu file mới. Bạn có thể kiểm tra kích thước flash và các file đang lưu trong fnó thông qua lệnh show flash (sh fla).

2500A#show flashSystem flash directory:File Length Name/status1 8121000 c2500-js-l.112-18.bin[8121064 bytes used, 8656152 available, 16777216 total]16384K bytes of processor board System flash (Read ONLY)2500A#

2. Lưu ý tên tập tin trong ví dụ là c2500-js-l.112-18.bin. Tên của file xác định nền và được cấu thành như sau:- c2500 là nền.- j chỉ ta biết file là một enterprise image- s chỉ ta biết bao gồm cả phần khả năng mở rộng.

14

- l chỉ ta biết nó có thể xoá khỏi flash và không nén.- 11.2-18 là số xem lại- .bin cho biết Cisco IOS là tập tin thi hành được.3. Dòng cuối cùng cho biết flash có 16Mb tức là thừa chỗ cho một file 10Mb của chúng ta. Khi đã kiểm tra lại dung lượng của bộ nhớ flash có thể chứa đủ file ta muốn, ta tiến hành công việc sao chép dự phòng.4. Bí quyết để thành công là phải bảo đảm phải có một kết nối tốt đến máy tftp. Ta có thể kiểm tra điều này bằng cách ping đến máy đó từ màn hình console của router như sau:

2500A#ping 172.16.60.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.60.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms

5. Sau khi ping máy tftp để đảm bảo IP của nó đang hoạt động, bạn có thể dùng lệnh sao chép tftp để sao chép IOS đến máy đó như dưới đây. Lưu ý rằng sau khi nhấn enter tên của tập tin trong bộ nhớ được hiển thị. Điều này làm bạn dễ dàng hơn.

2500A#copy flash tftpSystem flash directory:File Length Name/status1 8121000 c2500-js-l.112-18.bin[8121064 bytes used, 8656152 available, 16777216 total]Address or name of remote host [255.255.255.255]? 172.16.60.3Source file name? c2500-js-l.112-18.binDestination file name [c2500-js-l.112-18.bin]? (press enter)Verifying checksum for 'c2500-js-l.112-18.bin')file #1)...OKCopy '/c2500-js-l.112-18' from Flash to serveras '/c2500-js-l.112-18'? [yes/no]y!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [output cut]Upload to server doneFlash copy took 00:02:30 [hh:mm:ss]2500A#

trong ví dụ trên, toàn bộ bộ nhớ flash được chép thành công vào máy tftp. địa chỉ của máy ở xa chính là địa chỉ của máy tftp. Tập tin nguồn chính là tập tin trên bộ nhớ flash.

5.3 Hồi phục hoặc nâng cấp IOSBạn có thể cần phải hồi phục IOS vào bộ nhớ flash để thay thế một tập tin có sẵn mà đã bị hỏng hoặc là cần nâng cấp IOS. Bạn có thể download tập tin từ một máy tftp đến bộ nhớ flash bằng lệnh copy tftp flash lệnh này yêu cầu địa chỉ IP của máy tftp và tên tập tin ta cần download vào bộ nhớ flash.1. Gõ copy tftp flash từ dấu nhắc lệnh trạng thái đặc quyền. bạn sẽ thấy một thông điệp hướng dẫn bạn là router phải khởi động lạivà chạy dưới chế độ ROM based IOS image để thực hiện quá trình này.

2500A#copy tftp flash**** NOTICE ****Flash load helper v1.0This process will accept the copy options and then terminatethe current system image to use the ROM based image for the copy.Routing functionality will not be available during that time.If you are logged in via telnet, this connection will terminate.Users with console access can see the results of the copy operation.---- ******** ----

15

Proceed? [confirm](press return)2. Sau khi nhấn enter để xác nhận là bạn hiểu và router cần phải khởi động lại, router sẽ hiển thị như dưới đây. Khi router đã sử dụng máy tftp, nó sẽ nhớ địa chỉ này và chỉ yêu cầu bạn khẳng định lại mà thôi.

System flash directory:File Length Name/status1 8121000 /c2500-js-l.112-18[8121064 bytes used, 8656152 available, 16777216 total]Address or name of remote host [172.16.60.3]? (press return)

3. Dòng đợi lệnh kế là tên của tập tin mà bạn muốn chép vào flash. Tên tập tin cần nâng cấp là c2500-js65i-l.120-9.bin.

Source file name? c2500-js56i-l.120-9.binDestination file name [c2500-js56i-l.120-9.bin]? (press return)Accessing file 'c2500-js56i-l.120-9.bin' on 172.16.60.3...Loading c2500-js56i-l.120-9.bin from 172.16.60.3 (via Ethernet0): ! [OK]

4. Sau khi bạn cho router đường dẫn và tên tập tin, nó sẽ hỏi bạn để xác nhận rằng bạn hiểu nội dung của flash sẽ bị xoá. Bạn sẽ được hỏi 3 lần để đảm bảo chắc là bạn thực sự muốn xoá bộ nhớ flash. Nếu bạn chưa thực hiện lệnh copy run start, bạn sẽ được yêu cầu làm điều đó bởi vì router cần phải khởi động lại.Erase flash device before writing? [confirm] (press return)Flash contains files. Are you sure you want to erase?[confirm](press return)System configuration has been modified. Save? [yes/no]: yBuilding configuration...[OK]Copy 'c2500-js56i-l.120-9.bin' from serveras 'c2500-js56i-l.120-9.bin' into Flash WITH erase? [yes/no] y5. Sau khi xác nhận xoá bộ nhớ flash, router phải khởi động lại để chạy một hệ điều hành IOS nhỏ từ ROM bởi vì bạn không thể xoá flash file nếu nó đang được sử dụng. Toàn bộ những gì chứa trong flash sẽ bị xoá và tập tin từ máy tftp sẽ được chép vào bộ nhớ flash.

%SYS-5-RELOAD: Reload requested%FLH: c2500-js56i-l.120-9.bin from 172.16.60.3 to flash ...System flash directory:File Length Name/status1 8121000 /c2500-js-l.112-18[8121064 bytes used, 8656152 available, 16777216 total]Accessing file 'c2500-js56i-l.120-9.bin' on 172.16.60.3...Loading c2500-js56i-l.120-9.bin .from 172.16.60.3 (via Ethernet0):! [OK]Erasing device...eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeLoading c2500-js56i-l.120-9.bin from 172.16.60.3 (via Ethernet0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [output cut]

Dòng chứa các ký tự e cho biết nội dung của flash đang được xoá. Mỗi dấu chấm than (!) tực alf một phần của UDP đã được truyền.6. Một khi chép xong, bạn sẽ nhận được thông điệp sau:

[OK - 10935532/16777216 bytes]Verifying checksum... OK (0x2E3A)Flash copy took 0:06:14 [hh:mm:ss]%FLH: Re-booting system after download

Sau khi tập tin được chép vào flash và checksum xong, router sẽ khởi động lại để chạy tâp tin IOS mới.Lưu ý là trong bài tập sẽ không có tập tin thực. Đây chỉ là bài tập để thể hiện nó thực hiện như thế nào.

16

5.4 Sao lưu dự phòng cấu hình CiscoBất kỳ thay đổi nào bạn làm trên cấu hình router đều được lưu trong tập tin running-config. Nếu bạn không thực hiện lệnh copy run start sau khi thay đổi running-config thì các thay đổi sẽ mất nếu router khởi động lại hay bị mất điện. Bạn có thể cần tạo một sao lưu dự phòng khác cho thông tin cấu hình trong trường hợp router hoặc switch hoàn toàn chết hay để làm tài liệu. Bài này sẽ mô tả làm cách nào để sao chép cấu hình của router đến một máy tftp.1. Để chép cấu hình router từ một router đến máy tftp, bạn có thể dùng lệnh copy running-config tftp hoặc copy starting-config tftp. Cả hai lệnh đều sao lưu cấu hình router đang chạy trên DRAM hoặc được lưu trên NVRAM.2. Để kiểm tra lại cấu hình trên DRAM, sử dụng lệnh show running-config (sh run) như sau:

2500A#sh runBuilding configuration...Current configuration:!version 12.0

Thông tin cấu hình hiện tại là đang chạy phiên bản 12.0 của IOS.3. Tiếp theo phải kiểm tra cấu hình lưu trong NVRAM. Để xem ta dùng lệnh show starting-config (sh start) như sau:

2500A#sh startUsing 366 out of 32762 bytes!version 11.2

dòng thứ 2 cho biết cấu hình dự phòng chiếm chỗ bao nhiêu. Trong ví dụ này, NVRAM là 32KB và chỉ có 366 bytes được sử dụng. Lưu ý rằng phiên bản của cấu hình trong NVRAM là 11.2 (bởi vì ta không sao chép running-config vào startup-config từ lúc nâng cấp router).nếu bạn không chắc các tập tin là giống nhau và tập tin running-config là cái mà bạn cần dùng thì dùng lệnh copy running-config startup-config để cho hai tập tin đều giống nhau. Bằng cách sao lưu dự phòng vào NVRAM như dưới đây, bạn được bảo đảm là running-config sẽ luôn được đọc lên nếu router phải khởi động lại. Trong hệ điều hành IOS 12.0, bạn được yêu cầu nhập tên tập tin muốn dùng. Tương tự, trong ví dụ này, bởi vì IOS là 11.2 vào lần cuối chạy copy run start, router sẽ cho bạn biết nó sẽ thay thế tập tin đó với tập tin phiên bản 12.0.

2500A#copy running-config startup-configDestination filename [startup-config]? (press enter)Warning: Attempting to overwrite an NVRAM configurationpreviously written by a different version of the system image.Overwrite the previous NVRAM configuration?[confirm](press return)Building configuration...[OK]

4. Bây giờ khi bạn chạy show starting-config, phiên bản là 12.0:2500A#show startup-configUsing 487 out of 32762 bytes!version 12.0

5. Khi tập tin đã được chép vào NVRAM, bạn có thể tạo một sao lưu dự phòng thứ hai vào máy tftp bằng cách dùng lệnh copy running-config tftp (copy run tftp) như sau:

2500A#copy run tftpAddress or name of remote host []? 172.16.60.3

17

Destination filename [2500A-confg]? 2500A-confg!!487 bytes copied in 12.236 secs (40 bytes/sec)2500A#

6. Lưu ý là chỉ xuất hiện hai dấu chấm than (!), tức là 2 UDP ack. Nếu tên máy đã cấu hình, lệnh sẽ tự động dùng tên máy cộng với confg như là tên của tập tin

5.5 Hồi phục Cấu hình Cisco Router từ tftp serverNếu bạn thay đổi cấu hình router trong running-config và muốn hồi phục lại giống trong startup-config thì dùng lệnh copy startup-config running-config (copy start run). Bạn cũng có thể dùng lệnh cũ, config mem,để hồi phục cấu hình. Tất nhiên, điều này chỉ được khi bạn đã chép running-config vào NVRAM trước khi thay đổi.1. Nếu bạn chép cấu hình router vào máy tftp như là một sao lưu dự phòng thứ 2, bạn có thể hồi phục cấu hình dùng lẹnh copy tftp running-config (copy tftp run) hoặc copy tftp startup-config (copy tftp start) như sau:

2500A#copy tftp runAddress or name of remote host []? 172.16.60.3Source filename []? 2500A-confgDestination filename [running-config]? (press return)Accessing tftp://172.16.60.3/2500A-confg...Loading 2500A-confg from 172.16.60.3 (via Ethernet0):!![OK - 487/4096 bytes]487 bytes copied in 5.400 secs (97 bytes/sec)2500A#00:38:31: %SYS-5-CONFIG: Configured from tftp://172.16.60.3/2500A-confg2500A#

5.6 Sử dụng Cisco Discovery Protocol để lấy thông tin về các thiết bị láng giềng

CDP là một giao thức thích đáng được thiết kế bởi Cisco để giúp các nhà quản trị thu thập các thông tien về các thiết bị gắn nội bộ và các thiết bị ở xa. Bạn có thể lấy thông tin phần cứng cũng như thông tin giao thức của các thiết bị láng giềng. Thông tin này rất hữu dụng đối với những rắc rối và làm sưu liệu về mạng.1. Đầu tiên lấy thông tin CDP trên router của bạn bằng cách lấy CDP Timer và Holdtime Information. Dùng lệnh show cdp (sh cdp) sẽ cho biết hai tham số CDP chung mà có thể cấu hình trên thiết bị của Cisco. Kết quả xuất ra giống như sau:

Router#sh cdpGlobal CDP information:Sending CDP packets every 60 secondsSending a holdtime value of 180 secondsRouter#

- CDP Timer cho biết khoảng thời gian giữa các packet CDP được gửi đi đến tất cả các cổng hoạt động.- CDP holdtime là khoảng thời gian mà thiết bị sẽ giữ packet nhận được từ thiết bị láng giềng.Cả Cisco router và switch dùng chung tham số.2. Sử dụng lệnh chung để xem cdp holdtime và cdp timer để cấu hình chúng trên router.

18

Router#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#cdp ?holdtime Specify the holdtime (in sec) to be sent in packetstimer Specify the rate at which CDP packets are sent(in sec)runRouter(config)#cdp timer 90Router(config)#cdp holdtime 240Router(config)#^Z

3. bạn có thể tắt CDP hoàn toàn trên router bằng lệnh no cdp run trong chế độ cấu hình chung của router (global configuration mode). Bật CDP dùng cdp run.

Router(config)#no cdp runRouter(config)#cdp runRouter(config)#^Z

4. Để tắt hoặc mở CDP trên một cổng router, dùng no cdp enable và cdp enable.Router(config)#interface ethernet 0Router(config-if)#no cdp enableRouter(config-if)#cdp enableRouter(config-if)#^Z

5. Lệnh show cdp neighbor (sh cdp nei) cho biết thông tin về các thiết bị kết nối trực tiếp. Cần phải nhớ các CDP packet không được gửi thông qua Cisco switch và bạn chỉ thấy những gì kết nối trực tiếp. Trên một router kết nối đến switch, bạn sẽ khong thấy các thiết bị kết nối đến switch. Sau đây là kết quả thực hiện trên 2500A.

Todd2500A#sh cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source Route BridgeS - Switch, H - Host, I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID1900C Eth 0 238 T S 1900 12500E Ser 0 138 R 2500 Ser 0Todd2501#

Dưới đây là bảng giải thích các cột hiển thị của routerCột Giải thíchDevice ID Hostname của thiết bị kết nối trực tiếpLocal Interface Cổng hoặc giao diện mà bạn nhận được CDP packet từ nó.Holdtime Thời gian Reuter giữ thông tin nhận từ thiết bị đó.Capability Chức năng của các láng giềng như router, switch, repeater. Mã khả

năng được liệt kê tại phần đầu của màn hình kết quảPlatform Loại của thiết bị Cisco. Trong màn hình xuất trên, một Cisco 2509,

Cisco 2511 và Catalyst 5000 gắn vào switch. 2509 chỉ thấy switch và router 2501 qua cổng tuần tự 0 của nó.

Port ID Cổng hoặc giao diện của thiết bị láng giềng mà từ đó CDP packet phát ra.

6. Một lệnh khác cung cấp thông tin của các láng giềng là show cdp neighbor detail (show cdp nei de) và có thể chạy trên router lẫn switch. Lệnh này cho biết thông tin chi tiết về mỗi thiết bị kết nối vào nó như một router xuất sau:

Todd2500A#sh cdp neighbor detail-------------------------Device ID: 1900CEntry address(es):IP address: 172.16.60.2Platform: cisco 1900, Capabilities: Trans-Bridge SwitchInterface: Ethernet0, Port ID (outgoing port): 1

19

Holdtime : 166 secVersion :V9.00-------------------------Device ID: 2500EEntry address(es):IP address: 172.16.20.1Platform: cisco 2500, Capabilities: RouterInterface: Serial0, Port ID (outgoing port): Serial0Holdtime : 154 secVersion :Cisco Internetwork Operating System SoftwareIOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASESOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems,Inc.Compiled Mon 05-Aug-96 11:48 by mkamsonTodd2500E#

Trên đây cho biết tên và địa chỉ IP của các thiết bị kết nối trực tiếp. Ngoài một số thông tin giống như lệnh sh cdp nei, còn có thêm phiên bản của IOS.7. Lệnh show cdp entry * hiển thị thông tin tương tự như show cdp nei de. Sau đây là ví dụ của lệnh này.

Todd2509#sh cdp entry *-------------------------Device ID: 1900CEntry address(es):IP address: 172.16.60.2Platform: cisco 1900, Capabilities: Trans-Bridge SwitchInterface: Ethernet0, Port ID (outgoing port): 1Holdtime : 166 secVersion :V9.00-------------------------Device ID: 2500EEntry address(es):IP address: 172.16.20.1Platform: cisco 2500, Capabilities: RouterInterface: Serial0, Port ID (outgoing port): Serial0Holdtime : 154 secVersion :Cisco Internetwork Operating System SoftwareIOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASESOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems,Inc.Compiled Mon 05-Aug-96 11:48 by mkamsonTodd2500E#

8. Lệnh show cdp traffic hiển thị thông tin đường truyền của interface, bao gồm cả số lượng CDP packet đã gửi và nhận và các lỗi với CDP. Kết quả của lệnh trên router.

2500A#sh cdp trafficCDP counters :Packets output: 13, Input: 8Hdr syntax: 0, Chksum error: 0, Encaps failed: 0No memory: 0, Invalid packet: 0, Fragmented: 02500A#

5.7 Sử dụng telnetTelnet là một giao thức đầu cuối ảo và là một phần của bộ giao thức TCP/IP. Telnet cho phép bạn tạo kết nối đến thiết bị ở xa và lấy thông tin, chạy chương trình.Sau khi router và switch được cấu hình, bạn có thể sử dụng chương trình Telnet để cấu hình và kiểm tra router và switch thay vì phải dùng cổng gắn cáp. Bạn dùng Telnet bằng

20

cách đánh telnet từ bất kỳ dấu nhắc đợi lệnh nào. Mật khẩu VTY phải được cài đặt trên router để làm điều này.Bạn không thể dùng CDP để lấy thông tin về router và switch mà không kết nối trực tiếp đến thiết bị của bạn. Tuy nhiên, bạn có thể dùng telnet để kết nối đến các thiết bị láng giềng và dùng CDP trên đó để lấy thông tin các thiết bị ở xa.1. Sau đây là cách bỏ telnet và mật khẩu từ router 2600A.

2600A>enable2600A#config tEnter configuration commands, one per line. End with CNTL/Z.2600A(config)#no enable secret2600A(config)#no enable password2600A(config)#line vty 0 42600A(config-line)#no password2600A(config-line)#^Z2600A#

2. Bạn có thể dùng telnet từ bất cứ dấu nhắc lệnh nào của router như sau:Todd2500A#telnet 172.16.10.2Trying 172.16.10.2 ... OpenPassword required, but none set[Connection to 172.16.10.2 closed by foreign host]Todd2500A#

Nhớ rằng cổng VTY trên router được cấu hình để login tức là bạn phải đặt mật khẩu VTY hoặc sử dụng lệnh no login.

3. Trong một Cisco router, bạn không cần sử dụng telnet. Chỉ cần nhập một địa chỉ IP là router tự hiểu bạn cần sử dụng telnet.

Todd2500A#172.16.10.2Trying 172.16.10.2 ... OpenUser Access VerificationPassword:2600A>

4. Đây là lúc để nhập mật khẩu VTY trên router mà bạn muốn telnet vào. Sau đây là ví dụ2600A#config tEnter configuration commands, one per line. End with CNTL/Z.2600A(config)#line vty 0 42600A(config-line)#login2600A(config-line)#password todd2600A(config-line)#^Z2600A#

5. Bây giờ kết nối với router một lần nữa (từ 2500A)Todd2500A#172.16.10.2Trying 172.16.10.2 ... OpenUser Access VerificationPassword:2600A>

6. Nhớ là mật khẩu VTY là mật khẩu chế độ người dùng, không phải mật khẩu enableSau đây là kết quả khi thử chuyển sang chế độ đặc quyền sau khi telnet vào 2600A:

2600A>en% No password set2600A>

21

Đây là một chức năng bảo mật tốt. Bạn không muốn ai đó chỉ telnet vào thiết bị của bạn và có thể chỉ enable là vào được chế độ đặc quyền. Bạn phải nhập mật khẩu enable hoặc enable secret password để sử dụng telnet cấu hình thiết bị của bạn từ xa.

7. Nếu bạn telnet đến một router hoặc switch, bạn có thể cắt kết nối bằng exit. Tuy nhiên, nếu bạn muốn vẫn giữ kết nối trong khi quay lại với thiết bị của mình, nhấn Ctrl-Shift-6, sau đó nhấn X.Sau đây là ví dụ

2500A#telnet 172.16.10.1Trying 172.16.10.1 ... OpenUser Access VerificationPassword:2500E> [press cntl+shift+6 then x]2500A#

Theo trên, bạn telnet vào router 2500E, sau đó nhập mật khẩu để vào chế độ người dùng.Tiếp theo nhấn Ctrl-Shift-6, sau đó X, trở về 2500A.8. Bạn cũng có thể telnet vào switch 1900. Tuy nhiên bạn phải cài mật khẩu level 15 hoặc enable secret trong switch trước khi có thể truy cập vào thông qua ứng dụng telnet. Trong ví dụ sau đây là telnet vào switch 1900:

Todd2509#telnet 172.16.60.2Trying 172.16.60.2 ... OpenCatalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-B0-64-75-6B-C0PCA Number: 73-3122-04PCA Serial Number: FAB040131E2Model Number: WS-C1912-ASystem Serial Number: FAB0401U0JQPower Supply S/N: PHI033108SDPCB Serial Number: FAB040131E2,73-3122-04-------------------------------------------------1 user(s) now active on Management Console.User Interface Menu[M] Menus[K] Command LineEnter Selection:

9. Lúc này nhấn Ctrl-Shift-6, sau đó X, trở về router 2500A.10. Để xem kết nối tạo từ router đến một thiết bị ở xa, sử dụng lệnh show sessions như sau:

2500A#sh sessionsConn Host Address Byte Idle Conn Name1 172.16.10.1 172.16.10.1 0 0 172.16.10.1* 2 172.16.60.2 172.16.60.2 0 0 172.16.60.22500A#

11. hú ý dấu * bên cạnh kết nối thứ 2 tức là session 2 là session cuối. ta có thể quay lại session cuối bằng cách gõ Enter 2 lần.12. Bạn có thể hiển thị tất cả các console hoạt động và các cổng VTY đang dùng trong Router của mình bằng lệnh show users như sau:

2500A#sh users

22

Line User Host(s) Idle Location* 0 con 0 172.16.10.1 00:07:52172.16.60.2 00:07:18

Trên màn hình xuất ta thấy con đại diện cho console cục bộ. console này kết nối đến 2 IP hay thiết bị ở xa.13. Gõ lệnh show users từ router 2500E mà 2500A đã telnet vào.

2500E>sh usersLine User Host(s) Idle Location0 con 0 idle 9* 2 vty 0

Kết quả cho thấy console đang hoạt động và cổng VTY2 đang được sử dụng. Dấu * cho biết session đang được sử dụng hiện tại. 14. Bạn có thể kết thúc một session bằng nhiều cách khác nhau. Exit hoặc disconnect là hai cách nhanh nhất để kết thúc từ xa.15. Để kết thúc một session telnet trên máy cục bộ, sử dụng lệnh disconnect như sau:

2500A#disconnect ?<1-2> The number of an active network connectionWORD The name of an active network connection<cr>2500A#disconnect 1Closing connection to 172.16.10.1 [confirm]2500A#

Trong ví dụ trên ta dùng kết nối số 1 vì kết nối đến router 2500e chính là kết nối cần đóng. Dùng lệnh show sessions để xem các kết nối.

5.8 Tạo một bảng các Host trên một Router và lấy IP của một HostNhằm mục đích sử dụng tên host thay vì địa chỉ IP để kết nối đến một thiết bị từ xa, thiết bị mà bạn sử dụng phải có khả năng chuyển tên host sang IP. Sau đây là cách tạo một bảng host trên router của bạn để chuyển tên host sang IP.1. Một bảng host cung cấp việc phân giải tên chỉ cho router mà nó được xây dựng. Lệnh để tạo một bảng host là:

ip host name ip_address2. Sau đây là ví dụ về cấu hình một bảng host với 2 phần tử để cung cấp tên cho router 2500E và switch 1900C:

2500A#config tEnter configuration commands, one per line. End with CNTL/Z.2500A(config)#ip host ?WORD Name of host2500A(config)#ip host 2500e ?<0-65535> Default telnet port numberA.B.C.D Host IP address (maximum of 8)2500A(config)#ip host 2500e 172.16.10.1 ?A.B.C.D Host IP address (maximum of 8)<cr>2500A(config)#ip host 2500e 172.16.10.12500A(config)#ip host 1900c 172.16.60.22500A(config)#^Z

3. Để xem bảng host, ta dùng lệnh show hosts như sau:2500A#sh hostsDefault domain is not setName/address lookup uses domain service

23

Name servers are 255.255.255.255Host Flags Age Type Address(es)2500e (perm, OK) 0 IP 172.16.10.11900c (perm, OK) 0 IP 172.16.60.22500A#

Trong kết quả trên, bạn có thể thấy 2 tên host và địa chỉ IP tương ứng. Chữ perm trong cột flag cho biết phần tử này được cấu hình bằng tay. Nếu là temp thì nó được cung cấp bởi DNS.4. Để kiểm tra xem bảng host có làm việc không, tại dấu nhắc đợi lệnh gõ tên host tức là sử dụng telnet. Dùng tên host để telnet vào thiết bị ở xa, sau đó nhấn Ctrl-Shift-6, sau đó X để trở về màn hình 2500A.

2500A#2500eTrying 2500e (172.16.10.1)... OpenUser Access VerificationPassword:2500E>(control+shift+6,then x)2500A#2500A#1900cTrying 1900c (172.16.60.2)... OpenCatalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-B0-64-75-6B-C0PCA Number: 73-3122-04PCA Serial Number: FAB040131E2Model Number: WS-C1912-ASystem Serial Number: FAB0401U0JQPower Supply S/N: PHI033108SDPCB Serial Number: FAB040131E2,73-3122-04-------------------------------------------------1 user(s) now active on Management Console.User Interface Menu[M] Menus[K] Command LineEnter Selection: (control+shift+6,then x)2500A#

5. Lưu ý trong các phần tử xuất ra bằng lệnh show session dưới đây thì tên host được hiển thị thay vì địa chỉ IP bởi vì địa chỉ IP đã được xử lý.

2500A #sh sessConn Host Address Byte Idle Conn Name1 1900c 172.16.60.2 0 0 1900c* 2 2500e 172.16.10.1 0 0 2500e2500A #

6. Bạn có thể xoá tên host từ bảng bằng cách sử dụng lệnh no ip host như sau:2500A(config)#no ip host 2500e

6 Cấu hình IPX Routing

6.1 Cấu hình định tuyến IPX cơ bản1. Để cấu hình định tuyến IPX, ta sử dụng ipx routing global configuration.

2500A#config t2500A(config)#ipx routing

24

khi bạn kích hoạt định tuyến IPX trong router, RIP và SAP tự động kích hoạt. Tuy nhiên sẽ không có gì xảy ra cho đến khi bạn cấu hình cổng cá nhân với các địa chỉ IPX.2. Khi bạn đã kích hoạt định tuyến IPX trên router, bước tiếp theo là kích hoạt IPX trên cổng cá nhân. Đây là một ví dụ cấu hình hoàn chỉnh IPX trên 2500A:

2500A#config t2500A(config)#ipx routing2500A(config)#int e02500A(config-if)#ipx network 10

Chỉ đơn giản vậy thôi. IPX là một giao thức rất mau phục hồi bởi vì nó broadcast mọi thứ. Tuy nhiên đó chính là vấn đề trong mạng lớn hơn. Số nút mạng được cung cấp bởi người quản trị.

6.2 Cấu hình IPX cho Internetwork (mạng ảo trong sim)

Ta chỉ cấu hình IPX cơ bản tức là rất dễ dàng cấu hình. Số của các nút mạng mà ta sử dụng phụ thuộc vào số của subnet mà ta đã dùng trong mỗi mạng. Tuy nhiên, IPX sẽ không ảnh hưởng gì đến IP nên đừng lo lắng. 1. Kết nối đến router 2500A và cấu hình định tuyến IPX sau đó thêm số mạng IPX vào cả hai cổng. Ethernet0 kết nối vào subnet 60 nên số mạng IPX của nó là 60. Cổng Serial 0 kết nối vào subnet 20 nên số mạng IPX của nó là 20.

2500A>enable2500A#config t2500A(config)#ipx routing2500A(config)#interface ethernet02500A(config-if)#ipx network 602500A(config-if)#interface serial02500A(config-if)#ipx network 202500A(config-if)#^z2500A#

2. Kết nối đến router 2500B, 2500C, 2500D, 2500E và cấu hình nó như sau:2500B>enable2500B#config t2500B(config)#ipx routing2500B(config)#interface ethernet02500B(config-if)#ipx network 702500B(config-if)#interface serial02500B(config-if)#ipx network 302500B(config-if)#^z2500B#2500C>enable2500C#config t2500C(config)#ipx routing2500C(config)#interface ethernet02500C(config-if)#ipx network 802500C(config-if)#interface serial02500C(config-if)#ipx network 402500C(config-if)#^z2500C#2500D>enable2500D#config t2500D(config)#ipx routing2500D(config)#interface ethernet0

25

2500D(config-if)#ipx network 902500D(config-if)#interface serial02500D(config-if)#ipx network 502500D(config-if)#^z2500D#2500E>enable2500E#config t2500E(config)#ipx routing2500E(config)#interface ethernet02500E(config-if)#ipx network 102500E(config-if)#interface serial02500E(config-if)#ipx network 202500E(config-if)#interface serial12500E(config-if)#ipx network 302500E(config-if)#^z2500E#

3. Kết nối đến router 2600A và cấu hình như sau:2600A>enable2600A#config t2600A(config)#ipx routing2600A(config)#interface fastethernet0/0.12600A(config-subif)#ipx network 102600A(config-subif)#interface fastethernet0/0.22600A(config-subif)#ipx network 22600A(config-subif)#interface fastethernet0/0.32600A(config-subif)#ipx network 32600A(config-subif)#interface serial0/02600A(config-if)#ipx network 402600A(config-if)#interface serial0/12600A(config-if)#ipx network 502600A(config-if)#^z2600A#

6.3 Kiểm tra lại IPX Internetwork

Chúng ta đã cấu hình IPX trên toàn bộ internetwork. Nên nhớ là số mạng IPX và số subnet không cần phải giống nhau như đã làm, việc làm như vậy chỉ nhằm mục đích quản trị.1. Từ router 2500A, sử dụng lệnh show ipx route để xem toàn bộ các tuyến IPX. Sau đây sẽ hiển thị các tuyến IPX RIP tìm được....Lưu ý là có 11 tuyến trong bảng định tuyến của 2500C. Hai nối trực tiếp với router còn hai được xác định bởi IPX RIP.2. Làm tương tự với các router 2500B, C, D, E và 2600A3. Từ router 2500A, dùng lệnh show protocols để xem địa chỉ IPX của mỗi cổngBạn phải nhấn thanh space cho đến khi thấy cấu hình của cổng. Lệnh này hiển thị thông tin của giao thức định tuyến của mối cổng đang hoạt động.4. Gõ lệnh show ipx interface để xem số mạng IPX cho mỗi cổngNhớ rằng số mạng IPX luôn được tự động phân cho sử dụng địa chỉ MAC của cổng liên kết với số mạng đó.

26

5. Lệnh show ipx server sẽ hiển thị bảng SAP xây dựng bởi router. Bởi vì chúng ta không có máy dịch vụ Novell nào trên mạng lúc này nên sẽ không có gì được hiển thị. 6. Dùng lệnh debug ipx routing activity để xem thông tin RIP được gởi và nhận trên router.

6.4 Thêm một mạng IPX phụ

Phần này sẽ hướng dẫn bạn thêm các chức năng vào mạng IPX sẵn có của bạn trên router 2500A -> 2500D. Bằng cách dùng lệnh IPX verification đã được trình bày trên, bạn sẽ thấy mạng Ethernet đạng sử dụng kiểu frame IPX của Novell-Ether(802.3).Nếu bạn muốn hỗ trợ kiểu frame khác ngoài Novell-Ether, bạn có thể dùng lệnh secondary trong mạng Ethernet (bạn không thể làm điều này đối với cổng serial.1. Thêm một mạng khác dùng kiểu frame 802.2 trên mạng Ethernet kết nối đến router 2500A, ta sử dụng số mạng IPX là 60a.

2500A#config t2500A(config)#interface ethernet02500A(config-if)#ipx network 60a encapsulation sap secondary2500A(config-if)#^z2500A#

Nếu bạn không sử dụng lệnh secondary tại cuối mỗi lệnh, kiểu frame 802.3 sẽ được thay thế bởi 802.2 (SAP)2. Kiểm tra lại cấu hình này bằng lệnh show running-config. Bạn sẽ nhìn thấy hai mạng IPX chạy trong cổng Ethenet 0.3. Gõ lệnh show ipx route. Lưu ý là mạng IPX 60a được hiển thị là kết nối trực tiếp nhưng với một ký tự “c” tức là secondary.4. Thêm một mạng IPX phụ chạy theo kiểu frame Ethernet_II trên router 2500B. Dùng số mạng IPX 70a.

2500B#config t2500B(config)#interface ethernet02500B(config-if)#ipx network 70a encapsulation arpa secondary2500B(config-if)#^z2500B#

5. Thêm một mạng IPX phụ chạy theo kiểu frame SNAP trên router 2500C. Sử dụng số mạng IPX là 70a.

2500C#config t2500C(config)#interface ethernet02500C(config-if)#ipx network 80a encapsulation snap secondary2500C(config-if)#^z2500C#

Việc cài đặt nhiều loại mạng khác nhau như vậy là không cần thiết trong thực tế. Đây chỉ là hướng dẫn để hiểu về cách thức cài đặt cho 4 kiểu frame khác nhau của IPX.

6.5 Thêm một mạng IPX phụ sử dụng Subinterface.Subinterface là một cách khác để thực hiện các lệnh secondary trên cổng Ethernet. Để tạo một subinterface, bạn dùng lệnh interface với một chấm và một số. Ví dụ ethernet0.55. Số subinterface chỉ quan trọng trong quản trị và phải khác nhau trên mạng internetwork.

27

1. Cho đến lúc này, trên router 2500A, ta có hai kiểu frame được cấu hình là 802.3 và 802.2. Ta cấu hình Ethernet_II và SNAP sử dụng hai subinterface.

2500A#config t2500A(config)#interface ethernet0.12500A(config-subif)#ipx network 60b encap arpa2500A(config-subif)#interface ethernet0.22500A(config-subif)#ipx network 60c encap snap2500A(config-subif)#^z2500A#

Việc cấu hình quan trọng nhất cần lưu ý là số subinterface .1 và .2. Bạn có thể sử dụng bất kỳ số nào. Lưu ý là lệnh encapsulation được sử dụng trong subinterface thay vì secondary và chúng ta cũng sử dụng số mạng IPX khác.2. Trên router 2500B, chúng ta có 802.3 và Ethernet_II. Cấu hình 802.2 và SNAP sử dụng 2 subinterface.

2500B#config t2500B(config)#interface ethernet0.12500B(config-subif)#ipx network 70b encap sap2500B(config-subif)#interface ethernet0.22500B(config-subif)#ipx network 70c encap snap2500B(config-subif)#^z2500B#

3. Trên router 2500C, chúng ta có 802.3 và SNAP. Cấu hình 802.2 và SNAP dùng 2 subinterface.

2500C#config t2500C(config)#interface ethernet0.12500C(config-subif)#ipx network 80b encap sap2500C(config-subif)#interface ethernet0.22500C(config-subif)#ipx network 80c encap arpa2500C(config-subif)#^z2500C#

4. Bởi vì ta không thêm một mạng phụ trên router 2500D, bây giờ ta sẽ cài đặt như là bài luyện tập. Thrêm 3 kiểu frame còn lại vào 2500D sử dụng số mạng IPX 90a, 90b, 90c. Tạo 802.2 sử dụng secondary và Ethernet_II, SNAP dùng subinterface.

2500D#config t2500D(config)#interface ethernet02500D(config-if)#ipx network 90a encapsulation sap secondary2500D(config-if)#interface ethernet0.12500D(config-subif)#ipx network 90b encap arpa2500D(config-subif)#interface ethernet0.22500D(config-subif)#ipx network 90c encap snap2500D(config-subif)#^z2500D#

6.6 Kiểm tra lại với CDP và IPX ping

Bạn có thể kiểm tra lại mạng IPX bằng cách sử dụng các lệnh CDP và IPX Ping. Lệnh CDP có thể sử dụng để tìm địa chỉ IPX của router láng giềng và sau đó địa chỉ có thể sử dụng với lệnh IPX Ping.1. Kết nối đến 2500A và dùng CDP để tìm địa chỉ IPX của 2500E.

2500A#show cdp neighbor detail

28

2. Dùng địa chỉ IPX mà CDP hiển thị để Ping router 2500E2500A#ping ipx address

3. Telnet vào 2500E và lấy địa chỉ IPX của 2500B, sau đó trở về 2500A console và ping 2500B với IPX.

2500A#telnet 172.16.20.12500E#show cdp neighbor detail2500E#[cntl+shift+6 then x]2500A#ping ipx address

7 Cấu hình Access-Lists

7.1 Danh sách địa chỉ IP chuẩn cho phép truy cập vào mạng

Phần này hướng dẫn bạn cấm truy cập vào mạng 172.16.60.0 từ các host G và H. Danh sách truy cập có thể phức tạp bởi vì nếu bạn không tạo danh sách một cách chính xác, bạn có thể làm cho mạng bị down.

1. Kiểm tra là bạn có thể ping từ 1900C và bạn có thể ping máy E từ máy G và H.

2. Kết nối vào 2500A và tạo một danh sách truy cập mà cấm truy cập từ G và H khi muốn vào 172.16.60.0

2500A#config t2500A(config)#access-list 10 deny host 172.16.80.32500A(config)#access-list 10 deny host 172.16.90.32500A(config)#access-list 10 permit any

Lưu ý là danh sách này cần phải được tạo gần với mạng đích nhất, vì thế mà ta tạo tại 2500A.

3. Thêm danh sách truy cập cho cổng serial 0 của 2500A.2500A(config)#interface serial 02500A(config-if)#ip access-group 10 in

Dòng lệnh trên cập nhật danh sách truy cập 10 vào serial 0 và lọc tất cả các packet đi vào.

4. Kiểm tra để thấy rằng G và H không thể nào ping 172.16.60.2 và 172.16.60.35. Nếu danh sách truy cập chính xác, tất cả các thiết bị khác sẽ có thể vào mạng 172.16.60.0. Ping từ 2500C và kiểm tra là có thể thấy 172.16.60.2 và 172.16.60.3

7.2 Kiểm tra lại Danh sách truy cập chuẩn

1. Kết nối đến 2500A và xem danh sách truy cập bằng lệnh show access-list2500A#show access-list

2. Bạn có thể nhập show ip access-list hoặc show-access-list 10 để lấy thông tin cấu hình danh sách.

2500A#show access-list 103. Để xem cổng nào đạng áp dụng danh sách, dùng lệnh show ip interface.

2500A#show access-list 10

29

4. Lệnh show running-config rất tốt để xem cả danh sách truy cập và cổng được áp dụng danh sách đó.

2500A#show running-config

7.3 Gắn một Danh sách IP truy cập mạng vào một dòng VTY

Bạn sẽ rất khó khăn trong việc dừng một user telnet vào router bởi vì bất kỳ cổng hoạt động nào của router đều như nhau cho việc truy cập VTY. Tuy nhiên, bạn có thể dùng danh sách IP truy cập chuẩn để điều khiển bằng cách đặt danh sách truy cập lên chính các dòng VTY.

1. Tạo một danh sách IP truy cập mà cho phép chỉ một số host có thể telnet vào router.2. Áp dụng danh sách này vào các dòng VTY với lệnh access-class.

Chúng ta sẽ dừng host G và H telnet vào router 2600A.2600A#config t2600A(config)#access-list 10 deny host 172.16.80.32600A(config)#access-list 10 deny host 172.16.90.32600A(config)#access-list 10 permit any

1. Kiểm tra rằng G và H có thể telnet vào 2600A.2. Kết nối vào 2600A và cấm telnet đối với G và H nhưng cho phép các thiết bị khác telnet vào 2600A.

2600A(config)#line vty 0 42600A(config-line)#access-class 10 in2600A(config-line)#^z2600A#

3. Áp dụng danh sách truy cập trực tiếp vào các dòng VTY và không phải interface.2600A(config)#line vty 0 42600A(config-line)#access-class 10 in2600A(config-line)#^z2600A#

4. Kiểm tra rằng G và H không thể telnet vào 2600A.5. Kiểtm tra rằng 2500C vẫn có thể telnet vào 2600A.

2500C#telnet 172.16.40.1

7.4 Danh sách IP truy cập mạng mở rộng

Chúng ta sẽ xoá danh sách truy cập IP chuẩn trên 2500A và thay bằng một danh sách ngắn gọn hơn. Chúng ta cần G và H sử dụng các dịch vụ trong mạng 172.16.60.0 nhưng ta không cho phép telnet vào switch 1900C.1. Xoá danh sách truy cập khỏi 2500A

2500A#config t2500A(config)#no access-list 10

2. Xoá danh sách truy cập khỏi cổng serial 0 của 2500A2500A(config)#interface serial 02500A(config-if)#no ip access-group 10 in

30

Lưu ý chỉ cần nhập no access-list 10 on để xoá danh sách truy cập nhưng bạn phải nhập toàn bộ lệnh để xoá danh sách khỏi cổng của router.3. Kiểm tra để thấy G và H đã có thể ping 172.16.60.2 và 3.4. Tạo danh sách truy cập trong 2500A để cấm telnet vào 172.16.60.0 nhưng vẫn cho G và H ping E.

2500A#config t2500A(config)#access-list 110 deny tcp host 172.16.80.3172.16.60.0 0.0.0.255 eq telnet2500A(config)#access-list 110 deny tcp host 172.16.90.3172.16.60.0 0.0.0.255 eq telnet2500A(config)#access-list 110 permit ip any any

Danh sách truy cập này cấm địa chỉ nguồn là 172.16.80.3 và 172.16.90.3 không được kết nối vào mạng 172.16.60.0

5. Cập nhập danh sách này vào serial 0 của 2500A để lọc các gói đi vào.2500A(config)#interface serial 02500A(config-if)#ip access-group 110 in2500A(config-if)#^z2500A#

Danh sách tương tự có thể xây dựng trên 2600A và 2500E. Có thể nơi tốt nhất để cấu hình danh sách này là trên 2600A và lọc các gói cố gắng vượt ra Fastethernet 0/0. Điều này cho phép dừng các packet sẽ bị từ chối khi đến 172.16.60.0 nhưng trước khi nó được đưa vào mạng xương sống.6. Nếu bạn muốn dừng các gói gần với nguồn, tạo danh sách truy cập IP mở rộng trên 2600A. Đầu tiên xoá cấu hình trên 2500A.

2500A#config t2500A(config)#no access-list 110

7. Xoá danh sách truy cập trên serial 0 của 2500A.2500A(config)#interface serial 02500A(config-if)#no ip access-group 110 in

8. Tạo một danh sách truy cập trên 2600A cầm telnet vào 172.16.60.0 nhưng vẫn cho phép G và H ping E.

2600A#config t2600A(config)#access-list 110 deny tcp host 172.16.80.3172.16.60.0 0.0.0.255 eq telnet2600A(config)#access-list 110 deny tcp host 172.16.90.3172.16.60.0 0.0.0.255 eq telnet2600A(config)#access-list 110 permit ip any any

9. Bây giờ áp dụng danh sách này cho cổng fastethernet 0/0 của 2500A để lọc các gói ra khỏi router đến 172.16.60.0

2600A(config)#interface fastethernet0/02600A(config-if)#ip access-group 110 out2600A(config-if)#^z2600A#

10. Kiểm tra danh sách truy cập bằng cách thử telnet 172.16.60.2Tất cả các thiết bị khác phải có thể telnet vào 172.16.60.2.

31

7.5 Kiểm tra lại danh sách truy cập IP mở rộngChúng ta dùng các lệnh tương tự như đã làm để kiểm tra danh sách truy cập IP chuẩn. Đến 2600A và kiểm tra danh sách đó. Nên nhớ telnet thực sự là một công cụ tốt để kiểm tra lại mạng của mình.1. Từ 2600A, gõ show access-list để xem danh sách cấu hình.

2600#show access-list2. Dùng lệnh show access-list 110 để xem một mình danh sách 110

2600#show access-list 1103. Xem các danh sách chỉ ở trên router.

2600#show ip access-list4. Kiểm tra cổng nào được cài đặt một danh sách truy cập bằng show ip interface trên router 2600.

2600#show ip interface

7.6 Danh sách truy cập IPX chuẩn

Danh sách truy cập IPX được cấu hình tương tự như các danh sách khác. Bạn dùng lệnh access-list để tạo cho mình danh sách truy cập của các kiểm tra packet và sau đó áp dụng vào danh sách cho một cổng với lệnh access-group.Danh sách truy cập IPX chuẩn sử dụng máy nguồn hoặc đích hoặc địa chỉ mạng để lọc. cách cấu hình rất giống với cấu hình cho IP.Các tham số để cấu hình danh sách truy cập IPX chuẩn làaccess-list 800-899 deny/permit source_address destination_address

Ta sẽ cấu hình danh sách truy cập IPX chuẩn trên 2600A để chặn mạng IPX 70 không bị hiển thị đến 2500C và 2500D. Điều này rất ích lợi trong một mạng sản xuất khi bạn không muốn mạng Lan của phòng tài chính bị hiện ra trên mạng.

1. Kết nối đến 2600A và xây dựng một danh sách truy cập IPX cấm mạng IPX 70 vào fastethernet 0/0.

2600A#config t2600A(config)#access-list 810 deny 70 -1

Danh sách truy cập đơn giản này cấm các packet IPX với nguồn là mạng IPX hoặc 70 với một đích là mạng IPX bất kỳ.

2. Áp dụng danh sách truy cập này cho cổng fastethernet 0/0 với lệnh ipx access-group.2600A(config)#interface fastethernet 0/02600A(config-if)#ipx access-group 110 in2600A(config-if)#^z2600A#

Sau một vài giây, 2600A, 2500C và 2500D sẽ không thể thấy một tuyến nào đến IPX 70 trong bảng định tuyến IPX.

Trong các router thực cần phải mất đến 60 giây.

32

7.7 Kiểm tra lại danh sách truy cập IPX chuẩn

Chúng làm các công việc kiểm tra danh sách truy cập IPX hầu như tương tự với việc kiểm tra cho IP.

1. Kiểm tra lại mạng IPX 70 để biết rằng nó không xuất hiện trong bảng định tuyến của 2600A.

2600A#show ipx route2. Kiểm tra lại mạng IPX 70 để biết nó không xuất hiện trong bảng định tuyến của 2500D

2500D#show ipx route3. Kiểm tra lại mạng IPX 70 để biết nó không xuất hiện trong bảng định tuyến của 2500E

2500E#show ipx route4. Dùng lệnh show access-list để kiểm tra lại danh sách của bạn trên 2600A.

2600A#show access-list5. Để xem riêng danh sách truy cập IPX, dùng lệnh show ipx access-list

2600A#show ipx access-list6. Bạn cũng có thể dùng lệnh show access-list 810

2600A#show access-list 8107. Kiểm tra lại cổng mà danh sách truy cập đang áp dụng trên router 2600A bằng cách dùng lệnh show ipx interface

2600A#show ipx interface

8 Cấu hình Truy cập từ xa

8.1 Cấu hình PPP EncapsulationEncapsulation là sự kết hợp một cấu trúc bên trong một cấu trúc khác (VD: dữ liệu theo chuẩn TCP/IP được đóng gói bên trong một frame ATM.). Tạm dịch là đóng gói.PPP là một giao thức ở tầng data-link được sử dụng qua các thiết bị truyền thông quay số tuần tự không đồng bộ và sử dụng LCP để xây dựng và duy trì kết nối data-link. Mục đích cơ bản của PPP là vận chuyển các packet tầng thứ 3 thông qua một liên kết điểm-điểm của tầng Data Link.Giao thức HDLC (High-Level Data-Link Control) là một giao thức điểm-điểm sử dụng trên các đường leased line. Không có sử dụng xác thực trong HDLC và là chuẩn đóng gói mặc định được dùng bởi các router Cisco trên các kết nối tuần tự đồng bộ. Cisco HDLC là một phương thức độc quyền giao tiếp với bất kỳ nhà cung cấp hỗ trợ HDLC nào. Nếu bạn muốn hoặc cho phép xác thực trên kết nối tuần tự hoặc kết nối từ router Cisco đến router của các nhà cung cấp khác, khi đó cần phải cấu hình PPP trên cổng serial.Phần này sẽ hướng dẫn bạn cấu hình PPP trên 4 mạng tuần tự và thay thế HDLC thành một phương thức đóng gói trên liên kết tuần tự.

1. Kết nối đến 2500E và tahy đổi phương thức đóng gói (encapsulation) trên kết nối serial từ HDLC sang PPP.

2500E>enable2500E#config t2500E(config)#interface serial 02500E(config-if)#encapsulation ppp2500E(config-if)#interface serial 1

33

2500E(config-if)#encapsulation ppp2500E(config-if)#^z2500E#

2. Kết nối đến 2600A và thay đổi như trên.2600A>enable2600A#config t2600A(config)#interface serial 0/02600A(config-if)#encapsulation ppp2600A(config-if)#interface serial 0/12600A(config-if)#encapsulation ppp2600A(config-if)#^z2600A#

3. Làm tương tự với các router 2500A, 2500B, 2500C, 2500D.

8.2 Kiểm tra PPP Encapsulation

Một khi đã thay thế HDLC bằng phương thức encapsulation tuần tự, bạn cần kiểm tra lại xem mạng của mình có còn đang hoạt động.Đầu tiên phải kiểm tra bằng lệnh show ip route để bảo đảm tất cả các tuyến IP và IPX đều ổn.1. Từ các router đều sử dụng lệnh show ip route để kiểm tra mạng vẫn hoạt động.2. Từ 2600A, dùng lệnh interface để thấy đóng gói liên kết tuần tự.

2600A#show interface s0/02600A#show interface s0/1

3. Từ 2500E, kiểm tra encapsulation bằng lệnh show interface2500E#show interface s02500E#show interface s1

8.3 Cấu hình PPP Authentication dùng CHAP

Bây giờ mạng đã dùng PPP và bạn có thể sử dụng xác thực PPP để cấm các user không cho phép kết nối vào mạng. Mặc dù, thông thường cách này được dùng với dial-up, nó vẫn có thể dùng với serial.Phần này hướng dẫn bạn cấu hình xác thực PPP trên tất cả các cổng serial của các router sử dụng giao thức CHAP.

Giao thức Challenge Authentication được dùng tại thời điểm khởi động của một liên kết và tại thời điểm kiểm tra liên kết để bảo đảm router vẫn đang giao tiếp với cùng một máy chủ. Sau khi PPP kết thúc giai đoạn khởi tạo của nó, router cục bộ gửi một yêu cầu thách thức đến thiết bị ở xa. Thiết bị kia gửi một giá trị đã tính toán sử dụng một hàm băm một chiều gọi là MD5. Router cục bộ sẽ kiểm tra giá trị băm mã hoá này để bảo đảm nó đúng. Nếu giá trị không đúng, liên kết sẽ bị ngắt ngay lập tức.Để cấu hình xác thực PPP, đầu tiên đặt tên của router nếu nó chưa được đặt (bắt buộc). Sau đó dùng tên user và mật khẩu để router ở xa kết nối được đến router của bạn. Ví dụ, nếu bạn kết nối đến 2500A và muốn cấu hình xác thực, bạn sẽ đạt tên host và tạo tên user bao gồm cả router mà bạn sẽ kết nối vào, trong ví dụ sau là 2500E.

Router#config t

34

Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname 2500A2500A(config)#username 2500E password cisco

Khi sử dụng lệnh hostname, nhớ là tên user là tên của router ở xa kết nối đến router của bạn. Phân biệt hoa thường. mật khẩu trên cả hai router đều phải giống nhau. Đó là một mật khẩu text và có thể hiện ra bằng lệnh show run.Bạn phải có tên user và mật khẩu cấu hình cho mỗi hệ thống ở xa mà bạn sẽ kết nối đến. Router ở xa phải được cấu hình với các tên user và mật khẩu. Sau khi bạn đặt tên máy, tên user, mật khẩu thì chọn xác thực.2500A#config tEnter configuration commands, one per line. End with CNTL/Z.

2500A(config)#int s02500A(config-if)#ppp authentication chap2500A(config-if)#^Z2500A#

1. Kết nối đến 2500A và tạo tên user là 2500E và mật khẩu là cisco. Sau đó cấu hình cổng serial 0 để sử dụng xác thực PPP của chap.

2500A#config t2500A(config)#username 2500E password cisco2500A(config)#interface serial 02500A(config-if)#ppp authentication chap2500A(config-if)#^z2500A#

2. Kết nối đến 2500B tạo 2500E với mật khẩu cisco.2500B#config t2500B(config)#username 2500E password cisco2500B(config)#interface serial 02500B(config-if)#ppp authentication chap2500B(config-if)#^z2500B#

3. Kết nối đến 2500C và tạo 2600A với mk cisco.2500C#config t2500C(config)#username 2600A password cisco2500C(config)#interface serial 02500C(config-if)#ppp authentication chap2500C(config-if)#^z2500C#

4. Kết nối đến 2500D và tạo 2600A với mk cisco.5. Kết nối đến 2600A và tạo 2500C, 2500D với mk cisco.

2500E#config t2500E(config)#username 2500A password cisco2500E(config)#username 2500B password cisco2500E(config)#interface serial 02500E(config-if)#ppp authentication chap2500E(config-if)#interface serial 12500E(config-if)#ppp authentication chap2500E(config-if)#^z2500E#

35

8.4 Kiểm tra PPP Authentication

Một khi cấu hình xong PPP với phần xác thực là một phương thức đóng gói tuần tự, bạn cần phải kiểm tra lại xem mạng của mình có hoạt động không.Lênh đầu tiên dùng là show ip route để bảo đảm các tuyến IP và IPX đều hoạt động. Tiếp theo là dùng lệnh show interface.1. Từ các router 2500A, 2500B, 2500C, 2500D, 2500E, 2600A gõ

show ip route2. Từ 2600A, dùng lệnh show interface để xem đóng gói liên kết tuần tự.

2600A#show interface s0/02600A#show interface s0/1

3. Từ 2500E, dùng lệnh show interface để xem đóng gói liên kết tuần tự.2500A#show interface s02500A#show interface s1

8.5 Tìm hiểu về Cấu hình Frame Relay

Frame Relay cung cấp một cổng giao tiếp giữa DTE (data terminal equipment) và DCE (data circuit-terminating equipment, như là switch). DTE bao gồm các thiết bị đầu cuối, PC, router, bridgescustomer-owned end node và các thiết bị mạng. DCE bao gồm các thiết bị carrier-owned internetworking.

Frame Relay sử dụng Virtual Circuit.Frame Relay cung cấp kết nối định hướng, liên kết tầng Data-Link thông qua virtual circuit(VC). Các VC này là các kết nối logic tạo bởi hai DTE thông qua một mạng chuyển mạch gói (được xác định bằng một DLCI, Data Link Connection Identifier).

Tương tự, Frame Relay sử dụng cả PVC (Permanent Virtual Circuit) và SVC (Switched Virtual Circuit dành cho dial up), mặc dù hầu hết các mạng Frame Relay dùng PVC. Virtual circuit này cung cấp một đường dẫn đầy đủ đến mạng đích trước khi gửi frame đầu tiên đi.Cấu hình Frame Relay EncapsulationKhi cấu hình FR trên router Cisco, bạn cần phải xác định nó như là một encapsulation trên cổng serial. Chỉ có 2 loại encapsulation: Cisco và IETF (Internet Engineering Task Force). Kết quả xuất dưới đây thể hiện hai phương thức encapsulation khác nhau khi chọn FR trên router cisco của bạn

RouterA(config)#int s0RouterA(config-if)#encapsulation frame-relay ?ietf Use RFC1490 encapsulation<cr>

Encapsulation mặc định là Cisco trừ khi bạn nhập bằng tay IETF. Ngoài ra, Cisco là kiểu dùng để kết nối giữa hai thiết bị Cisco. Bạn sẽ được lựa chọn sử dụng IETF encapsulation nếu bạn cần phải kết nối giữa một thiết bị Cisco và một thiết bị khác không phải của Cisco.Frame Relay DLCIFR virtual circuit (PVC) được xác định bởi Data Link Connection Identifier (DLCI). Một nhà cung cấp dịch vụ Frame Relay như công ty điện thoại thông thường sẽ gán giá trị

36

DLCI, giá trị được dùng trong FR để phân biệt giữa các VC trên mạng. Bởi vì rất nhiều VC có thể bị ngắt trên một cổng FR nhiều điểm, nhiều DLCI thường được liên kết với nó.Đối với thiết bị IP tại mỗi điểm cuối của một VC, để giao tiếp, địa chỉ IP của chúng cần phải map đến các DLCI. Việc liên kết này có thể thực hiện như là một một thiết bị nhiều điểm mà có thể xác định mạng RT một VC đích thích hợp cho các packet được gửi qua thiết bị vật lý. Việc liên kết này cũng có thể thực hiện tự động bởi IARP (Inverse ARP) hoặc bằng tay thông qua lệnh Frame Relay map.Số DLCI dùng để chỉ định một PVC thường được gán bởi nhà cung cấp và bắt đầu là 16.Cấu hình một số DLCI để áp dụng vào một cổng thể hiện dưới đây:

2500A(config-if)#frame-relay interface-dlci ?<16-1007> Define a DLCI as part of the current subinterface2500A(config-if)#frame-relay interface-dlci 16

Frame Relay RMILocal Management Interface (LMI) được phát triển vào năm 1990 bởi Cisco System, StrataCom, Northern Telecom và Digital Equipment Corporation, sau đó trở thành Gang-of-four LMI hay Cisco LMI. Nhóm này nhận giao thức Frame Relay cơ bản từ CCIT và thêm phần mở rộng vào các tính năng của giao thức để cho phép thiết bị mạng giao tiếp dễ dàng với mạng Frame Relay.LMI là chuần tín hiệu giữa một thiết bị CPE (router) và một frame switch. LMI chịu trách nhiệm quản lý và duy trì trạng thái giữa các thiết bị này.Nếu bạn không dùng tính năng auto-sense của LMI, bạn phải kiểm tra nhà cung cấp Frame Relay để xác định kiểu nào được dùng. Kiểu mặc định là Cisco, tuy nhiên bạn có thể đổi sang ANSI hay Q.933A. Ba kiểu LMI khác nhau này được mô tả trong phần kết quả dưới đây:

2500A(config-if)#frame-relay lmi-type ?ciscoansiq933a2500A(config-if)#frame-relay lmi-type ansi

Bạn có thể có nhiều VC trên một cổng serial và coi chúng như là các cổng khác nhau, có thể gọi chúng là subinterface. Ý tưởng xem subinterface như là một hardware interface được định nghĩa bởi IOS. Một thuận lợi mà ta đạt được thông qua sử dụng subinterface là khả năng gán các đặc điểm của các tầng mạng khác nhau vào mỗi subinterface và VC như là định tuyến IP trên một VC và IPX trên một VC khác.Subinterface với Frame RelayBạn định nghĩa subinterface với lệnh int s0.subinterface numbet như sau: Đầu tiên bạn cài đặt encapsulation trên cổng serial, sau đó bạn có thể định nghĩa subinterface.

2500A(config)#int s02500A(config)#encapsulation frame-relay2500A(config)#int s0.?<0-4294967295> Serial interface number2500A(config)#int s0.16 ?multipoint Treat as a multipoint linkpoint-to-point Treat as a point-to-point link

Bạn có thể định nghĩa hầu như không giới hạn các subinterface trên một cổng vật lý. Trong ví dụ trên, chúng ta chọn subinterface 16 bởi vì số đó đại diện cho số DLCI gán cho cổng đó. Tuy nhiên, bạn có thể chọn bất kỳ số nào khác giữa 0 và 4.292.967.295.

37

8.6 Cấu hình Frame Relay SwitchingBây giờ chúng ta đã có nền tảng để cấu hình Frame Relay trên router Cisco. Phần này sẽ hướng dẫn bạn cấu hình 2500E và 2600A như là một Frame Relay Switch. Sau đó bạn sẽ cấu hình 2500A … 2500D thành các kết nối Frame Relay từ xa. Mạng xương sống Ethernet sẽ không hoạt động trong phần cấu hình này.

Để tiến hành điều này, bạn cần phải xoá cấu hình trên 2 router đầu bởi vì cấu hình Frame Relay switching hoàn toàn khác với những gì ta đã có.1. Từ 2500E, gõ erase start sau đó reload

2500E#erase start2500E#reload

2. Từ 2600A làm tương tự3. Kết nối đến 2500E và cấu hình hostname và mật khẩu

Router>enableRouter#config tRouter(config)#hostname 2500E2500E(config)#enable secret todd2500E(config)#line vty 0 42500E(config-line)#login2500E(config-line)#password cisco2500E(config-line)#line console 02500E(config-line)#login2500E(config-line)#password cisco2500E(config-line)#^z2500E#

4. Kết nối với 2600A và cấu hình hostname và mật khẩu.Router>enableRouter#config tRouter(config)#hostname 2600A2600A(config)#enable secret todd2600A(config)#line vty 0 42600A(config-line)#login2600A(config-line)#password cisco2600A(config-line)#line console 02600A(config-line)#login2600A(config-line)#password cisco2600A(config-line)#^z2600A#

Một khi router của bạn đã rõ ràng, bạn có thể biến chúng thành một frame relay switch với lệnh frame-relay switching. Tuy nhiên, đó là phần dễ. Bạn cần phải liên kết mỗi DLCI trên switch. Cả hai router chỉ có 2 kết nối, vì thế sẽ không tốn nhiều thời gian nhưng bạn có cả tá PVC nên sẽ phải mất công một chút.

Vì 2500A và 2600A sẽ không kết nối với mạng xương sống, chúng ta có thể dùng chung cấu hình

2500Aserial 0 DLCI 16serial 1DLCI 172600Aserial 0/0 DLCI 16serial 0/1 DLCI 17

38

Trên frame relay switch, sử dụng lệnh frame relay route để liên kết mỗi DLCI.Ví dụ:

2600A(config)#interface serial 0/02600A(config-if)#frame-relay route 16 interface Serial0/1 17

Lệnh này yêu cầu switch nếu nó nhận một frame trên serial 0/0 với PVC 16, gửi nó ra serial 0/1 dùng PVC 17. Xin nhắc lại là mạng của chúng ta với cấu hình này sẽ chỉ có 2 tuyến nên nó không mất thời gian.5. Kết nối đến 2500E và cấu hình Frame Switching. Không có địa chỉ IP được gán cho các cổng của router. Nên nhớ đây là các chức năng ở tầng Data Link nên IP không ảnh hưởng gì đến cấu hình này.

2500E#config t2500E(config)#frame-relay switching2500E(config)#interface serial 02500E(config)#clock rate 560002500E(config-if)#frame intf-type dce2500E(config-if)#frame-relay route 16 interface serial1 172500E(config-if)#interface serial 12500E(config-if)#frame-relay route 17 interface serial0 162500E(config-if)#^z2500E#

6. Kết nối đến 2600A và cấu hình Frame Switching2600A#config t2600A(config)#frame-relay switching2600A(config)#interface serial 0/02500A(config)#clock rate 560002500A(config-if)#frame intf-type dce2600A(config-if)#frame-relay route 16 interface serial0/1 172600A(config-if)#interface serial 0/12600A(config-if)#frame-relay route 17 interface serial0/0 162600A(config-if)#^z2600A#

Bây giờ thì cả hai router frame-relay đều được cấu hình, bạn phải cấu hình router ở xa.

8.7 Cấu hình Frame Relay với Subinterface

Phần này sẽ hướng dẫn bạn kết nối đến 2500A … 2500D và cấu hình chúng cho frame relay sử dụng subinterface.Vì frame relay switch không sử dụng đánh địa chỉ IP, kết nối từ 2500A đến 2500B sẽ sử dụng một subnet và xuất hiện như là một kết nối trực tiếp. Dùng subnet 172.16.10.0 và só mạng IPX là 10 giữa các router đó.

1. Kết nối đến 2500A và cấu hình cổng serial 0 với Frame relay subinterface. Để thực hiện điều này bạn phải xoá địa chỉ IP và số mạng IPX trong cổng serial.

2500A#config t2500A(config)#interface serial 02500A(config-if)#no ip address2500A(config-if)#no ipx network2500A(config-if)#encapsulation frame-relay2500A(config-if)#interface serial0.16 point-to-point2500A(config-subif)#ip address 172.16.10.1 255.255.255.02500A(config-subif)#ipx network 10

39

2500A(config-subif)#frame-relay interface-dlci 162500A(config-subif)#^z2500A#

2. Làm tương tự với 2500B2500B#config t2500B(config)#interface serial 02500B(config-if)#no ip address2500B(config-if)#no ipx network2500B(config-if)#encapsulation frame-relay2500B(config-if)#interface serial0.16 point-to-point2500B(config-subif)#ip address 172.16.10.2 255.255.255.02500B(config-subif)#ipx network 102500B(config-subif)#frame-relay interface-dlci 172500B(config-subif)#^z2500B#

3. Kiểm tra lại kết nối Frame-Relay đang chạy. Ping từ 2500A đến 2500E.2500E#ping 172.16.10.2

4. Kết nối đến 2500C và cấu hình cổng serial 0 với Frame Relay subinterface. Sử dụng chung địa chỉ IP và số mạng IPX vì Frame Relay switching router không kết nối.

2500C#config t2500C(config)#interface serial 02500C(config-if)#no ip address2500C(config-if)#no ipx network2500C(config-if)#encapsulation frame-relay2500C(config-if)#interface serial0.16 point-to-point2500C(config-subif)#ip address 172.16.10.1 255.255.255.02500C(config-subif)#ipx network 102500C(config-subif)#frame-relay interface-dlci 162500C(config-subif)#^z2500C#

5. Kết nối đến 2500D và làm tương tự2500D#config t2500D(config)#interface serial 02500D(config-if)#no ip address2500D(config-if)#no ipx network2500D(config-if)#encapsulation frame-relay2500D(config-if)#interface serial0.16 point-to-point2500D(config-subif)#ip address 172.16.10.2 255.255.255.02500D(config-subif)#ipx network 102500D(config-subif)#frame-relay interface-dlci 172500D(config-subif)#^z2500D#

6. Kiểm tra kết nối Frame-Relay đang hoạt động. Ping từ 2500C đến 2500D2500C#ping 172.16.10.2

8.8 Kiểm tra lại Frame Relay

Có nhiều cách để kiểm tra lại trạng thái của các cổng và PVC của bạn khi bạ dùng Frame Relay Encapsulation. Vạn có thể dùng lệnh show frame-relay với dấu ? để biết các thông số của lệnh.

2500A>sho frame ?ip show frame relay IP statisticslmi show frame relay lmi statistics

40

map Frame-Relay map tablepvc show frame relay pvc statisticsroute show frame relay routetraffic Frame-Relay protocol statistics

1. Lệnh show frame-relay lmi sẽ ho biết thống kê của mật độ giao thông LMI trao đổi giữa router nội bộ và Frame Relay switch.

2500A#sh frame lmiLMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = CISCOInvalid Unnumbered info 0 Invalid Prot Disc 0Invalid dummy Call Ref 0 Invalid Msg Type 0Invalid Status Message 0 Invalid Lock Shift 0Invalid Information ID 0 Invalid Report IE Len 0Invalid Report Request 0 Invalid Keep IE Len 0Num Status Enq. Sent 0 Num Status msgs Rcvd 0Num Update Status Rcvd 0 Num Status Timeouts 0Router#

Kết quả hiển thị cho biết các lỗi LMI cùng với loại LMI.2. Lệnh show frame pvc sẽ liệt kê tất cả các PVC được cấu hình và số DLCI. Nó cung cấp trạng thái của mỗi kết nối PVC và thống kê truyền tải. Nó cũng cho bạn số lượng packet BECN và FECN nhận được trên router.

2500A#sho frame pvcPVC Statistics for interface Serial0 (Frame Relay DTE)DLCI = 16,DLCI USAGE = LOCAL,PVC STATUS =ACTIVE,INTERFACE = Serial0.1input pkts 50977876 output pkts 41822892 in bytes 3137403144out bytes 3408047602 dropped pkts 5 in FECN pkts 0in BECN pkts 0 out FECN pkts 0 out BECN pkts 0in DE pkts 9393 out DE pkts 0pvc create time 7w3d, last time pvc status changed 7w3d

Để xem thông tin về PVC 16, gõ lệnh show frame-relay pvc 16.3. Bạn cũng có thể dùng lệnh show interface để kiểm tra thông lượng LMI. Lệnh này hiển thị thông tin về encapsulation cùng với thông tin của lớp 2 và 3.LMI DLCI, in đậm trong lệnh, được dùng để định nghĩa kiểu LMI được dùng. Nếu là 1023, đó là kiểu mặc đinh Cisco. Nếu LMI DLCI là 0, đó là ANSI LMI.

2500A#sho int s0Serial0 is up, line protocol is upHardware is HD64570MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 2/255Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec)LMI enq sent 451751,LMI stat recvd 451750,LMI upd recvd 164,DTE LMI upLMI enq recvd 0, LMI stat sent 0, LMI upd sent 0LMI DLCI 1023 LMI type is CISCO frame relay DTEBroadcast queue 0/64, broadcasts sent/dropped 0/0, interface broadcasts839294

Lệnh show interface hiển thị thông tin dòng, giao thức, DLCI và LMI.4. Lệnh show frame map cho bạn biết việc liên kết tầng mạng với DLCI (Network layer-to-DLCI mapping)

2500A#show frame mapSerial0 (up): ipx 10.0007.7842.3575 dlci 16(0x10,0x400),dynamic, broadcast,, status defined, activeSerial0 (up): ip 172.16.10.1 dlci 16(0x10,0x400), dynamic,broadcast,, status defined, active

Lưu ý là có hai loại liên kết, một cho IP và 1 cho IPX. Thêm vào đó, địa chỉ của tầng mạng được cung cấp bởi giao thức Inverse ARP (IARP). Nếu một người quản trị liên kết các địa chỉ này, kết quả hiển thị sẽ cho là “static”.

41