Thứ Tư, 17 tháng 9, 2014

Backup file config IOS

Backup file cấu hình


Như chúng ta đã biết bất kỳ thay đổi nào làm trên cấu hình router đều được lưu trong tập tin running-config. Nếu ta không thực hiện lệnh copy run start sau khi thay đổi running-config thì các thay đổi sẽ mất nếu router khởi động lại hay bị mất điện. Ta có thể cần tạo một sao lưu dự phòng khác cho thông tin cấu hình trong trường hợp router hoặc switch hoàn toàn chết hoặc để làm tài liệu.
Bài này sẽ mô tả làm cách để sao chép cấu hình của router đến một máy tftp.
 
- Đầu tiên ta cần cấu hình cho router các thông số sau:
 

- Đặt IP cho server là 192.168.10.10 kiểm tra đảm bảo kết nối thành công.
 

- Để kiểm tra lại cấu hình trên DRAM ta sử dụng lệnh.
 

- Để kiểm tra cấu hình lưu trong NVRAM sử dụng lệnh.
 

- Để chép cấu hình router từ một router đến máy tftp, ta có thể dùng lệnh copy running-config tftp hoặc copy starting-config tftp. Cả hai lệnh đều sao lưu cấu hình router đang chạy trên DRAM hoặc được lưu trên NVRAM.
- Nếu chúng ta không chắc các tập tin là giống nhau và tập tin running-config là cái mà ta cần dùng thì sử dụng lệnh copy running-config startup-config để cho hai tập tin đều giống nhau. Bằng cách sao lưu dự phòng vào NVRAM như dưới đây, ta được bảo đảm là running-config sẽ luôn được đọc lên nếu router phải khởi động lại.
 

-Khi tập tin đã được chép vào NVRAM, ta có thể tạo một sao lưu dự phòng thứ hai vào máy tftp bằng cách sử dụng lệnh như sau (tương tự backup IOS)
 

 
Nguồn tin: IPEXPERT 
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/Backup-file-cau-hinh-126/
Người đăng: vào lúc Không có nhận xét nào:

STATIC ROUTE

STATIC ROUTE



Định tuyến là một quá trình mà Router thực thi và sử dụng để chuyển một gói tin từ một địa chỉ nguồn đến một địa chỉ đích trong mạng. Trong quá trình này Router phải dựa vào những thông tin bảng định tuyến để đưa ra những quyết định nhằm chuyển gói tin đến những địa chỉ đích đã được định trước.
Đối với định tuyến tĩnh các thông tin về đường đi phải do người quản trị mạng nhập cho router .Khi cấu trúc mạng có bất kỳ thay đổi nào thì chính người quản trị mạng phải xoá hoặc thêm các thông tin về đường đi cho router .Những loại đường đi như vậy gọi là đường đi cố định .Đối với hệ thống mạng lớn thì công việc bảo trì mạng định tuyến cho router như trên tốn rất nhiều thời gian .Còn đối với hệ thống mạng nhỏ ,ít có thay đổi thì công việc này đỡ mất công hơn .Chính vì định tuyến tĩnh đòi hỏi người quản trị mạng phải cấu hình mọi thông tin về đường đi cho router nên nó không có được tính linh hoạt như định tuyến động .
- Hoạt động của định tuyến tĩnh có thể chia ra làm 3 bước như sau:
          + Đầu tiên ,người quản trị mạng cấu hình các đường cố định cho router.
          + Router cài đặt các đường đi này vào bảng định tuyến.
          + Gói dữ liệu được định tuyến theo các đường cố định này.

- Bài Lab này sử dụng mô hình như sau:


-      Yêu cầu: Cấu hình định tuyến tĩnh cho tất cả các mạng thông nhau và kết nối được ra internet.
-      Đầu tiên chúng ta cấu hình cho các Router như sau:





-      Bây giờ chúng ta cấu hình định tuyến tĩnh cho các router trong mạng. Cụ thể ở đây cấu hình định tuyến tĩnh cho các router HN, VINH, HCM.
-      Khi sử dụng câu lệnh ip route, ta có thể xác định nơi mà các gói tin có thể được định tuyến theo hai cách sau:
+ Địa chỉ ip của router tiếp theo (next-hop).
+ Interface trên Router đang cấu hình (outboud).




-      Sau khi cấu hình định tuyến tĩnh cho các router trong mạng chúng ta có thể kiểm tra để đảm bảo định tuyến thành công.
-      ở đây ta sẽ kiểm tra router HN.


Như vậy việc định tuyến trong mạng đã thành công.
-      Bây giờ chúng ta sẽ cấu hình định tuyến tĩnh cho các router kết nối ra được internet.
-      Trên router ISP ta cấu hình như sau:


-      Trên các router HN, VINH, HCM chúng ta sẽ cấu hình các đường default route.
-      Đường default route là đường mà router sẽ sử dụng trong trường hợp router không tìm thấy đường nào phù hợp trong bảng định tuyến để tới đích của gói dữ liệu (Độ ưu tiên thấp nhất trong bảng định tuyến) ,ta thường cấu hình đường ra internet cho router là đường default vì router không cần lưu thông tin của từng mạng trên internet.




-      Đến đây thì việc cấu hình định tuyến cho các router ra internet đã hoàn thành, ta đặt IP cho PC ngoài internet và kiểm tra các kết nối từ các router ra internet, ở đây ta sử dụng router HCM.



-      Chúng ta có thể vào PC và kiểm tra các kết nối tới các mạng.
-      Vậy công việc cấu hình định tuyến tính đã fhoàn thành, ta có thể kiểm tra nội dung bảng định tuyến như sau: (Router HN) Trong đó:
+ S: biểu thị cho kết nối định tuyến.
+ C: biểu thị cho kết nối trực tiếp.
+ S*: default route.


Nguồn tin: IPEXPERT 
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/STATIC-ROUTE-128/
Người đăng: vào lúc Không có nhận xét nào:

VLAN Trunking Protocol

Ở bài Lab này trước hết chúng ta cần nắm các nội dụng sau:
- VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo, VLAN thực chất là các broadcast domain được tạo ra từ một hay nhều Switch. Nó có tác dụng làm giảm lưu lượng truyền và tăng băng thông của mạng.
- Trong khuôn khổ môi trường chuyển mạch VLAN, một đường Trunk là một kết nối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau. Một đường được cấu hình Trunk sẽ gộp nhiều liên kết ảo trên một liên kết vật lý để chuyển tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý.
Giao thức Trunking được phát triển để nâng cao hiệu quả quản lý việc lưu chuyển các Frame từ các VLAN khác nhau trên một đường truyền vật lý. Giao thức trunking thiết lập các thoả thuận cho việc sắp sếp các Frame vào các cổng được liên kết với nhau ở hai đầu đường trunk.
Hiện tại có 2 kỹ thuật Trunking là Frame Filtering và Frame Tagging. Giao thức Trunking sử dụng kỹ thuật Frame Tagging để phân biệt các Frame và để dễ dàng quản lý và phân phát các Frame nhanh hơn. Các tag được thêm vào trên đường gói tin đi ra vào đường trunk và được bỏ đi khi ra khỏi đường trunk. Các gói tin có gắn tag không phải là gói tin Broadcast.
Một đường vật lý duy nhất kết nối giữa hai switch thì có thể truyền tải cho mọi VLAN. Để lưu trữ, mỗi Frame được gắn tag để nhận dạng trước khi gửi đi, Frame của VLAN nào thì đi về VLAN đó.
-VTP là một giao thức lớp 2 sử dụng các Trunk Frame để quản lý việc thêm bớt, xoá và đổi tên các VLAN trên một domain. Thêm nữa, VTP cho phép tập trung các thay đổi tới tất cả các switch trong mạng. Thông điệp VTP được đóng gói trong một chuẩn CISCO là giao thức ISL hoặc IEEE 802.1q và sau đó đi qua các liên kết Trunk tới thiết bị khác.
VTP hoạt động trên một trong ba chế độ sau:
• Server
• Client
• Transparent
-Bài Lab này sử dụng mô hình như sau:
Yêu cầu đặt ra: Chúng ta cần cấu hình cho các vlan trên 3 switch có cùng một cấu hình và kết nối được với nhau.
-      Đầu tiên chúng ta cấu hình các thông số sau cho các Switch: Server, Client1 và Client2.
 


 

-      Ở mô hình này chúng ta sẽ cấu hình switch server là VTP server và hai switch client là VTP client. VTP server sẽ quảng bá cấu hình VLAN tới các switch trên cùng một VTP domain và đồng bộ cấu hình VLAN tới các switch khác dựa trên các quảng cáo nhận được qua đường Trunk.
 





-      Tiếp đến chúng ta sẽ cấu hình chia vlan trên Switch server, có hai cách thông dụng dùng để chia vlan, chúng ta có thể dùng một trong hai cách sau:
 
 

-      Sau khi chia vlan thành công chúng ta thực hiện gán các port vào các vlan tương ứng. Riêng port f0/1-2 chúng ta access vào mode trunk.
 

-      Như vậy việc cấu hình trên switch server đã hoàn tất, chúng ta có thể kiểm tra thông tin đã cấu hình bằng các lệnh sau:
 

 
 

-      Chúng ta cũng kiểm tra thông tin vtp trên switch client. ( Ở đây chúng ta lưu ý thông số Configuration Revision là: 0)
 

-      Tiếp đến chúng ta cấu hình đường trunk trên hai switch client và gán các port vào các vlan vừa đồng bộ.
 
 
 
 

-      Sau khi thực hiện công việc trên kết quả chúng ta nhận được ở các switch client sẽ giống switch server. (Ở đây ta chỉ kiểm tra trên Switch client2)
 

-      Như vậy công việc cấu hình đã hoàn tất, bây giờ chúng ta có thể kiểm tra kết nối giữa các PC trong cùng một vlan để đảm bảo việc cấu hình thành công. Theo như mô hình thì mỗi switch sẽ gồm 3 PC thuộc 3 vlan khác nhau, ở đây ta tiến hành kiểm tra kết nối giữa các PC thuộc vlan 10 lần lượt ở 3 switch với địa chỉ IP tương ứng là: 192.168.10.10; 192.168.10.11; 192.168.10.12.
 

 
Nguồn tin: IPEXPERT 
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/VLAN-Trunking-Protocol-129/
Người đăng: vào lúc Không có nhận xét nào:

Inter Vlan Routing

Inter Vlan Routing


Mỗi mạng có nhu cầu riêng của nó, tuy nhiên cho dù đó là một mạng lưới rộng lớn hay nhỏ, định tuyến nội bộ, trong hầu hết các trường hợp, là điều cần thiết. Khả năng để phân chia mạng bằng cách tạo ra VLANs, do đó giảm broadcasts mạng và tính bảo mật ngày càng tăng. Các thiết lập phổ biến bao gồm một broadcast domain riêng biệt cho các dịch vụ quan trọng ngày càng nhiều.
  Vấn đề ở đây là làm thế nào có thể từ một trong những người sử dụng VLAN ( thuộc về 1 broadcast domain), sử dụng được các dịch vụ được cung cấp bởi một VLAN khác? Do vậy giải pháp định tuyến trên VLAN đã được đề cập đến.
  Có nhiều phương pháp định tuyến, nhưng trong phạm vi bài Lab này chúng ta chỉ đề cập đến phương pháp định tuyến giữa các VLAN sử dụng Router ngoài. Tuy nhiên phương pháp định tuyến giữa các VLAN tốt nhất sử dụng Switch Layer 3 sẽ được đề cập trong chương trình CCNP.
  Phương pháp này được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.
  Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.
Bài Lab này sử dụng mô hình như sau:


Yêu cầu đặt ra: Sử dụng Router định tuyến giữa các VLAN, đảm bảo các VLAN kết nối được với nhau.
-      Mô hình này tương tự như bài VLAN trunking protocol: Chúng ta sử dụng switch thứ nhất làm VTP server, hai switch còn lại là VTP client. Ở SWServer chúng ta chia làm 3 VLAN: VLAN10, VLAN20 và VLAN30 trong đó các port f0/3-10 gán vào VLAN10, f0/11-18 gán vào VLAN20, f0/19-24 gán vào VLAN30. Hai port còn lại f0/1-2 sử dụng làm mode trunk.
-      Sau khi cấu hình các switch tương tự như ở bài VLAN trunking protocol chúng ta sẽ cấu hình cho router để định tuyến giữa các VLAN.
-      Thực hiện các lệnh sau:
 

-      Đặt IP cho các PC thuộc 3 VLAN khác nhau của 3 switch lần lượt là:
VLAN 10:      192.168.1.10
                   192.168.1.20
                   192.168.1.30
 VLAN 20:      192.168.2.10
                   192.168.2.20
                   192.168.2.30
 VLAN30:       192.168.3.10
                   192.168.3.20
                   192.168.3.30
-    Kiểm tra kết nối giữa các PC thuộc 3 VLAN khác nhau.


Như vậy công việc cấu hình Inter Vlan Routing đã hoàn tất.
Nguồn tin: IPEXPERT 
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/Inter-Vlan-Routing-130/
Người đăng: vào lúc Không có nhận xét nào:

PORT SECURITY


PORT SECURITY

Như chúng ta đã biết những interface lớp 2 của Cisco được hiểu như là các Port. Một Switch mà không cung cấp khả năng bảo vệ Port, thì cho phép kẻ tấn công tấn công vào hệ thống không dùng đến, enable Port, thu thập thông tin hoặc tấn công. Một Switch có thể cấu hình để hoạt động giống như Hub. Điều đó có nghĩa là mỗi hệ thống kết nối đến Switch có thể thấy tất cả các traffic di chuyển qua Switch để tới các hệ thống kết nối đến Switch. Như vậy 1 kẻ tấn công có thể thu thập traffic chứa đựng các thông tin như: username, passord, những thông tin cấu hình…
Port Security giới hạn số lượng của địa chỉ MAC hợp lệ được cho phép trên Port. Tất cả những port trên Switch hoặc những interface nên được đảm bảo trước khi triển khai. Theo cách này, những đặt tính được cài đặt hoặc gỡ bỏ như là những yêu cầu để thêm vào hoặc làm dài thêm những đặt tính một cách ngẫu nhiên hoặc là những kết quả bảo mật vốn đã có sẵn.
Bài Lab này sử dụng mô hình như sau:
 
Ta sẽ cấu hình hai phần chính sau:
-      Cấu hình Port security manual.
-      Cấu hình Port security sticky.
Để cấu hình trước hết ta đặt IP cho Vlan.
 

1.   Cấu hình Port security manual.
Ở mô hình trên ta sẽ cấu hình Port security manual trên interface fa0/1 kết nối trực tiếp với PC1. Sau đó sẽ kết nối PC Hacker1 với interface đã cấu hình.
Thực hiện các lệnh sau:


 
-      Đầu tiên chúng ta phải đưa port vào chế độ access, đây là chế độ bắt buộc cho port khi cấu hình port security.
-      Khởi động port security.
-      Tiếp đến chỉ định số lần địa chỉ MAC được thay đổi, số lần thay đổi tối thiểu là 1 tối đa là 1024.
-      Chỉ định địa chỉ MAC cần được bảo mật trên interface. Với lệnh này khi host có địa chỉ MAC tương ứng sẽ hoạt động bình thường khi kết nối vào Switch trên interface này. Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên interface thì port sẽ vào trạng thái lỗi và hiển nhiên sẽ không có sự chuyển tiếp gói tin trên port này. Lưu ý: Để tìm địa chỉ MAC với PC ta sử dụng lệnh: ipconfig /all, đối với Router ta dùng lệnh: show run.
-      Và cuối cùng chỉ định trạng thái của port sẽ thay đổi khi địa chỉ MAC kết nối bị sai. 3 trạng thái được chỉ định khi sử dụng lệnh này.
           + Shutdown: Port sẽ được đưa vào trạng thái lỗi và bị shutdown.
           + Retrict: Port sẽ vẫn ở trạng thái up, tuy nhiên các gói tin đến port này đều bị hủy và sẽ có một bản thông báo về số lượng gói tin bị hủy.
           + Protect: Port vẫn up như retrict, các gói tin đến port bị hủy và không có thông báo về việc hủy bỏ gói tin.
-      Sau khi hoàn thành các lệnh ta cắm interface đã cấu hình vào PC Hacker1 tiến hành gửi một số gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.

2.    Cấu hình Port security sticky.
-      Tương tự như cấu hình port security manual, chúng ta cấu hình port security sticky cho interface fa0/2 cho PC2,PC3,PC4. Sử dụng PC Hacker2 để kiểm tra.
-      Thực hiện các lệnh sau:
 

-      Các câu lệnh sử dụng tương tự cấu hình port security manual, tuy nhiên mac-address sticky sẽ tự động nhận địa chỉ MAC mà ta không phải nhập vào.
-      Khi ta cắm interface fa0/2 vào PC Hacker2 tiến hành gửi gói tin lập tức trở thành trạng thái error-disable và đèn LED sẽ tắt.
-      Chúng ta có thể kiểm tra port-security bằng lệnh sau:


-     Để khôi phục lại các interface sau khi sử dụng port-security chúng ta vào các interface dùng lệnh shutdown và sau đó no shutdown.
Nguồn tin: IPEXPERT 
http://ipexpert.vn/edu/index.php/vi/news/Bai-huong-dan/PORT-SECURITY-123/
Người đăng: vào lúc Không có nhận xét nào:
Đăng ký: Bài đăng (Atom)