Quản trị mạng lan wan CCNA trọn bộ phần 2

-Access List có 2 lo i là Standard Access List và Extended Access List... version 12.0 service timestamps debug uptime service timestamps log uptime... service timestamps log uptime... T

Trang 1

BÀI 20: C U HÌNH OSPF GI A WINDOWS SERVER 2003 VÀ ROUTER

1 Gi i thi u :

Trong bài lab này chúng ta s kh o sát c u hình OSPF gi a m t máy Server s d ng

Windows 2003 và router

PC có th đ c s d ng làm Router, đ ng th i có th tích h p vào h th ng router và đ nh

tuy n thông qua giao th c chu n OSPF

2 Mô t bài lab và đ hình :

hình bài lab nh hình v , chúng ta s c u hình loopback 0 cho các router a ch IP

c a các interface đ c ghi trên hình L u ý, khi c u hình IP cho server, chúng ta không c u

Current configuration : 592 bytes version 12.1

hostname Vsic1 interface Loopback0

ip address 10.0.0.1 255.255.0.0 interface Serial0

Trang 2

ip address 192.168.1.1 255.255.255.0

router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.255.255 area 0 network 192.168.1.0 0.0.0.255 area 0

end

Vsic2#sh run Building configuration

ip address 170.1.0.1 255.255.0.0

router ospf 1 log-adjacency-changes network 11.1.0.0 0.255.255.255 area 0 network 15.0.0.0 0.255.255.255 area 0 network 170.1.0.0 0.0.255.255 area 0 network 192.168.1.0 0.0.0.255 area 0

end

Vsic3#sh run Building configuration

ip address 12.1.0.1 255.255.255.252 interface Serial0

ip address 170.1.0.2 255.255.0.0 clockrate 64000

router ospf 1 log-adjacency-changes network 12.1.0.0 0.0.0.3 area 0 network 170.1.0.0 0.0.255.255 area 0

end

4 C u hình cho server :

Trang 3

Chúng ta vào Start Program Administrative Tools Routing And Remote Access

Sau đó ch n PC chúng ta mu n c u hình r i nh p chu t ph i ch n Configure and Enable

Routing and Remote Access

R i nh n Next ch n Custom Configuration Next ch n Lan routing Next Finish

Yes

Click vào IP routing, bên ô c a s bên ph i chúng ta nh p chu t ph i vào General r i ch n

New Routing Protocol …

Ch n Open Shortest Path Frist (OSPF) OK

Nh p chu t ph i vào OSPF (trong IP routing) ch n New Interface Trong ô c a s hi n ra

ch n Local Area Connection OK

Trong c a s hi n ra, đánh d u ch n Enable OSPF for this address, trong ph n Network Type,

ta ch n m c Broadcast Sau đó nh n OK

Trang 4

Chúng ta có th set cost cho route này b ng cách nh p giá tr vàp ô Cost, và đ u tiên cho

router b ng cách nh p giá tr vào ô Router priority Router nào có đ u tiên cao nh t s là

designated router

Nh p chu t ph i vào OSPF ch n Properties Trong c a s hi n ra ch n Enable antonomous

system boundary router

Trang 5

Click vào tab Areas, ch n 0.0.0.0 nh n Edit

Trong c a s v a hi n ra, b Enable plaintext password OK

Trang 6

Chúng ta nh n chu t ph i vào OSPF ch n Show Link-state Database Trong c a s hi n ra

chúng ta s th t đ c các m ng c a router Vsic1, Vsic2, Vsic3

Bây gi chúng ta s ping t i các m ng c a ba router đ ki m tra

Trang 7

Chúng ta ping thành công m ng 10.0.0.0 c a Vsic1, các b n ti p t c ping t i các m ng khác

đ ki m tra và ch c ch n s thành công Nh v y toàn m ng đã liên l c đ c v i nhau Vi c

ch y OSPF gi a Winserver 2003 và router đã thành công

5 T th c hành s d ng Dynagen :

i v i bài th c hành này, ta có th s d ng máy tính hi n hành ch y h đi u hành

2003 hay có th s d ng máy o

Tr c tiên ta ki m tra vi c cài đ t admin tool “ Routing và Remote Access” trong Win

2003 Sau đó ti n hành Bridge card m ng c a máy s d ng v i Router VSIC2

Trang 8

Ch y file lab20ospfs.net đ th c hành và ch nh đ a ch card m ng phù h p v i PC win

2003

# Simple lab

[localhost]

[[3640]]

image = \Program Files\Dynamips\images\C3640_IS_MZ122_3.BIN

# On Linux / Unix use forward slashes:

# No need to specify an adapter here, it is taken care of

# by the interface specification under Router VSIC1

Chúng ta b t đ u th c hành, ta hãy th thêm 1 giao th c có trong admin tool “Routing

và Remote Access “ là RIP

Trang 9

Ph n 4 : ACCESS LIST và NAT

BÀI 21: STANDAR ACCESS LIST

1 Gi i thi u:

-M t trong nh ng công c r t quan tr ng trong Cisco Router đ c dùng trong l nh v c

security là Access List ây là m t tính n ng giúp b n có th c u hình tr c ti p trên

Router đ t o ra m t danh sách các đ a ch mà b n có th cho phép hay ng n c n vi c truy

c p vào m t đ a ch nào đó

-Access List có 2 lo i là Standard Access List và Extended Access List

-Standard Access List: đ y là lo i danh sách truy c p mà khi cho phép hay

ng n c n vi c truy c p,Router ch ki m tra m t y u t duy nh t là đ a ch ngu n(Source

Address)

-Extended Access List: đây là lo i danh sách truy c p m r ng h n so v i lo i

Stanhdar,các y u t v đ a ch ngu n, đ a ch đích,giao th c,port s đ c ki m tra tr c khi

Router cho phép vi c truy nh p hay ng n c n

-Bài Lab này giúp b n th c hi n vi c c u hình Standard Access List cho Cisco

Router v i m c đích ng n không cho host truy c p đ n router VSIC2

3 C u hình router :

Router Vsic1

Vsic1#show run

Trang 10

Building configuration

Current configuration:

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

Trang 11

Trang 12

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms

Vsic2#ping 11.0.0.1

!!!!!

Vsic2#ping 11.0.0.2

!!!!!

-Sau quá trình đ nh tuy n,ki m tra ch c ch n r ng m ng đã đ c thông,b n th c hi n vi c

t o Access List Standar đ ng n không cho Router Vsic 2 ping vào Host

-Vì khi l u thông,gói tin mu n đ n đ c đ a ch c a Host b t bu t ph i đi qua Router

Trang 13

-B n th y l nh Ping th c hi n v n thành công, lý do là b n ch a m ch đ Access list trên interface ethernet0 c a router Vsic1

Vsic1(config)#int e0

Vsic1(config-if)#ip access-group 1 in

//ng n c n đ ng vào c a serial 0 theo access group 1//

-Sau khi apply access list vào interface ethernet 0, ta ping t PC1 đ n VSIC2

Bây gi ta đ i đ a ch c a PC thành 11.0.0.3, và th ping l i 1 l n n a

Trang 14

-B n th y l nh Ping v n không thành c ng, lý do là khi không tìm th y đ a ch source

(đ a ch l ) trong danh sách Access list, router s m c đ nh th c hi n Deny any,vì v y b n

ph i thay đ i m c đ nh này Sau đây là l nh debug ip packet t i VSIC1 khi th c hi n l nh

ping trên

Vsic1(config)#access-list 1 permit any

-Lúc này b n th c hi n l i l nh Ping t PC1 đ n VSIC2

Trang 15

-B n th y l nh Ping đã thành công, đ n đây b n đã c u hình xong Standard Access

List

4 T c u hình b ng Dynagen:

Click file lab21acls.net và c u hình theo s đ sau:

Thay vì apply ACL t i interface Fa0/0 theo chi u in, ta có th hi n đ i v i interface

s1/0 theo chi u out Ta c u hình t ng t và test theo h ng d n c a bài trên

Trang 16

BÀI 22: EXTENDED ACCESS LIST

1 Gi i thi u :

- bài tr c b n đã th c hi n vi c c u hình Standard Access List, bài Lab này b n s

ti p t c tìm hi u sâu h n v Extended Access List ây là m r ng c a Standard Access List,

trong quá trình ki m tra, Router s ki m tra các y u t v đ a ch ngu n, đích,giao th c và

port…

-M c đích c a bài Lab:B n th c hi n c u hình Extended Access List sao cho Host1

không th Telnet vào Router Vsic 2 nh ng v n có th duy t web qua Router Vsic2

Trang 17

Trang 18

Building configuration

Current configuration:

!

version 12.1

vsic1(config-router)#net 11.0.0.0

vsic1(config-router)#net 192.168.1.0

Trang 19

-T i Router Vsic2 b n th c hi n câu l nh:

vsic2(config)#ip http server //Câu l nh này dùng đ gi m t http server trên Router//

-Lúc này Router s đóng vai trò nh m t Web Server

-Sau khi quá trình đ nh tuy n đã thành công,b n th c hi n các b c Telnet và duy t

Web t Host 1 vào Router Vsic2

-Chú ý : đ thành công vi c Telnet b n ph i Login cho đ ng line vty và đ t m t

kh u cho đ ng này( đây là Cisco)

Telnet:

Duy t web

Trang 21

B n nh p vào User Name và Password

User name:Vsic2

Password:Router

-Các b c trên đã thành công,b n th c hi n vi c c u hình Access list

vsic2#conf t

Enter configuration commands, one per line End with CNTL/Z

vsic2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet

vsic2(config)#int s0

vsic2(config-if)#ip access-group 101 in

-B n th c hi n l i vi c Telnet nh trên,b n nh n th y quá trình Telnet không thành

công nh ng b c duy t Web c a b n c ng không thành công

-Theo yêu c u b n ch ng n c m Telnet nh ng cho phép quá trình duy t Web

Telnet

Trang 22

Duy t Web

- thành công b c duy t Web,b n th c hi n câu l nh thay đ i vi c Deny any m c

đ nh c a Access List

vsic2(config)#access-list 101 permit ip any any

-B n chú ý r ng các câu l nh trong Access List extended không gi ng nh trong

Access List Standard vì trong Access List Extended,Router s ki m tra c đ a ch

ngu n,đích,giao th c và port Permit ip any any có ngh a là cho phép t t c các đ a ch

ngu n và đích khác(không tìm th y trong danh sách Access List) ch y trên n n giao th c IP đi

qua

Lúc này b n th c hi n l i quá trình duy t web

Trang 23

B n nh p vào User Name và Password

User name:Vsic2

Password:Router

- n đây b n đã thành công vi c c u hình cho Extended Access List,b n đã th c hi n

đ c yêu c u t o Access List cho Router v i m c đích ng n c m vi c Telnet vào Router

và cho phép quá trình duy t Web vào Router.B n c ng có th m r ng thêm đ hình v i

nhi u Router đ th c t p vi c c u hình Access List cho Router v i nh ng yêu c u b o m t

khác nhau

4 T Th c hành b ng Dynagen:

S d ng file lab22acle.net đ th c hành S đ và cách c u hình t ng t nh trên

Trang 24

BÀI 23: T N CÔNG ROUTER B NG FLOOD

1 Mô t bài lab và c u hình :

hình bài lab trên hình trên, chúng ta s b t http server trên router Vsic2 và Deny

Service này b ng DoS trên S0 c a router Vsic2 đ a ch là 192.168.1.2, ta c u hình access-list

101 áp vào interface S0, n i dung c a access-list 101 này là c m t t c các gói đi vào interface

Trang 25

access-list 101 deny tcp any 10.1.0.0 0.0.0.255

access-list 101 permit ip any any

end

Chúng ta b t http server trên router Vsic2 b ng cách :

Vsic2(config)#ip http server

3 Th c thi DoS :

Sau khi c u hình xong, ta ch y th Web Service trên router 2501 b ng vào Internet

explorer browser, và nh p vào khung Address : http://192.168.3.1/ và ch c ch n Service này

đang ch y

Bây gi , chúng ta vào command prompt kh i đ ng ch ng trình bonk (http://www.packetstorm.net/ )

Ch ng trình này s g i packet liên t c đ n đ a ch mà chúng ta nh p vào (Interface

S0 c a Vsic2) Lúc này t o router Vsic2 chúng ta đã c u hình access-list là deny t t c các gói

đ n đ a ch 192.168.1.2 (interface S0 c a Vsic2) Chúng ta có th xem quá trình đ u tiên là

khi m i b t đ u g i gói t ph n m m file ch y bonk, nh ng gói t ph n m m này g i b deny

: (s d ng câu l nh debug ip packet detail đ hi n th thông tin v các gói trên Vsic2)

01:35:27: IP: s=192.168.1.2 (local), d=58.78.126.160, len 56, unroutable

01:35:28: IP: s=234.163.97.104 (Serial0), d=192.168.1.2, len 56, access denied

Trang 26

Tuy nhiên trong quá trình deny router Vsic2 ph i đ a gói vào d li u c a mình đ

phân tích Trong khi file ch y bonk g i gói m t cách liên t c, nên ch a đ y 2 phút sau thì

interface serial 0 c a Vsic2 b down và service http c a nó vì v y c ng s b down luôn

Chúng ta không th duy t web lúc này

01:35:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,

changed state to down

Sau khi down m t th i gian, router s t đ ng up interface S0 lên l i N u không còn

gh n n a thì s ho t đ ng bình th ng

01:35:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state

to up

Trang 27

BÀI 24: C U HÌNH NAT STATIC

1 Gi i thi u :

Nat (Network Address Translation) là m t giao th c dùng đ cung c p s chuy n đ i IP

trong 1 mi n đ đ a ra m t môi tr ng khác thông qua m t IP đã đ c đ ng ký đ chuy n

đ i thông tin gi a 2 môi tr ng (either Local or Global)

u đi m c a NAT( Network Nat Translation ) là chuy n đ i các IP adress riêng trong

m ng đ n IP adress inside đ c Cung c p khi đã đ ng ký

Các lo i đ a ch :

Inside Local : là các đ a ch bên trong m ng n i b ( gateway)

Inside Global :là các đ a ch ngoài c ng GATEWAY , đó là đ a ch Nat đã đ c

đ ng ký Trong bài nay là :172.17.0.1/24

Outside Global : là các h th ng m ng bên ngoài các môi tr ng

Cách th c chuy n đ i m t IP public và m t IP private s không có hi u qu khi chúng ta

tri n khai r ng cho t t c các host trong m ng, b i vì khi làm nh v y ta s không có đ đ a

ch đ cung c p Nat t nh th ng đ c áp d ng khi ta s d ng đ a ch public làm WebServer

hay FTP Server,v.v

Các PC n i v i router b ng cáp chéo, hai router n i v i nhau b ng cáp serial a ch

IP c a các interface và PC đ c cho trên hình v

Trong bài lab này, router Vsic2 đ c c u hình nh m t ISP, router Vsic1 đ c c u hình nh

m t gateway

3 C u hình :

Chúng ta c u hình cho các router nh sau :

Router#conf t

Vsic2(config)#enable password cisco

Route r(config)#hostname Vsic2

Trang 28

Vsic1(config)#ip nat outside c u hình interface S0 là interface outside

Vsic1(config)#interface ethernet 0

Vsic1(config-if)#ip address 11.1.0.1 255.255.0.0

Vsic1(config-if)#no shut

Vsic1(config-if)#ip nat intside C u hình interface E0 là interface inside

Chúng ta ti n hành c u hình Static NAT cho Vsic1 b ng câu l nh :

Vsic1(config)#ip nat inside source static 10.1.0.2 172.17.0.1

Câu l nh trên có ý ngh a là : các gói tin xu t phát t PC2 khi qua router( vào t interface

E0) Vsic1 ra ngoài( ra kh i interface S0) s đ c đ i đ a ch IP source t 11.1.0.2 thành đ a

ki m tra vi c NAT c a router Vsic1 nh th nào chúng ta s d ng câu l nh sau:

Vsic1#sh ip nat translation

Pro Inside global Inside local Outside local Outside global

- 172.17.0.1 11.1.0.2 - -

ki m tra router Vsic1 chuy n đ i đ a ch nh th nào chúng ta s d ng câu l nh

debug ip nat trên router Vsic1 và và ping t PC1 đ n PC2( hay interface loopback gi l p)

Trang 30

B t thêm “debug ip packet” VSIC2 đ xem packet t PC1 t i VSIC2

Trang 31

BÀI 25:C U HÌNH NAT OVERLOAD

1 Gi i thi u :

NAT (Network Address Translation) dùng đ chuy n đ i các private address thành đ a ch

public address Các gói tin t m ng n i b c a user g i ra ngoài, khi đ n router biên đ a ch IP

source s đ c chuy n đ i thành đ a ch public mà user đã đ ng ký v i ISP i u này cho

phép các gói tin t m ng n i b có th đ c g i ra m ng ngoài (Internet)

NAT có các lo i : NAT static, NAT pool, NAT overload

NAT static cho phép chuy n đ i m t đ a ch n i b thành m t đ a ch public

NAT pool cho phép chuy n đ i các đ a ch n i b thành m t trong dãy đ a ch public

NAT overload cho phép chuy n đ i các đ a ch n i b thành m t đ a ch public

Trong k thu t NAT overload, router s s d ng thêm các port cho các đ a ch khi chuy n

đ i

2 Các câu l nh s d ng trong bài lab :

ip nat {inside | outside}

C u hình interface là inside hay outside

ip nat inside source {list {access−list−number | name} pool name [overload] | static

local−ip global−ip}

Cho phép chuy n đ a ch n i b thành đ a ch public

ip nat pool name start−ip end−ip {netmask | prefix−length prefix−length} [type

rotary]

T o NAT pool

show ip nat translations

Xem các thông tin v NAT

debug ip nat

Xem ho t đ ng c a NAT

hình bài lab nh hình trên Router Vsic1 đ c c u hình inteface loopback 0, loopback

1, loopback 2 Router Vsic2 đ c c u hình interface loopback 0 Hai router đ c n i v i nhau

b ng cáp Serial Ta gi l p 3 l p m ng lo0, lo1, lo2 là nh ng m ng bên trong, khi các traffic

bên trong m ng này đi ra ngoài ( ra kh i S0) s đ c chuy n đ i đ a ch

4 C u hình router :

Trang 32

Hai router đ c c u hình các interface nh sau :

Chúng ta c u hình NAT trên router Vsic1 theo các b c sau :

B c 1 : C u hình các interface inside và outside

Trong bài lab này, chúng ta c u hình cho các interface loopback c a Vsic1 là inside

còn interface serial 0 là out side

Vsic1(config)#in lo0 Vsic1(config-if)#ip nat inside Vsic1(config)#in lo1

Vsic1(config-if)#ip nat inside Vsic1(config-if)#in lo2 Vsic1(config-if)#ip nat inside Vsic1(config-if)#in s0

Vsic1(config-if)#ip nat outside Vsic1(config-if)#exit

B c 2 : T o access list cho phép m ng nào đ c NAT

Chúng ta c u hình cho phép m ng 10.1.0.0/16 và m ng 11.1.0.0/16 đ c cho phép,

c m m ng 12.1.0.0/16

Vsic1(config)# access-list 1 deny 12.1.0.0 0.0.255.255 Vsic1(config)#access-list 1 permit any

Trang 33

B c 3 : T o NAT pool cho router Vsic1

C u hình NAT pool tên Vsic1 có đ a ch t 172.1.1.1/24 đ n 172.1.1.5/24

Vsic1(config)#ip nat pool Vsic1 172.1.1.1 172.1.1.5 netmask 255.255.255.0

B c 4 : C u hình NAT cho router

Vsic1(config)#ip nat inside source list 1 pool Vsic1 overload

Câu l nh trên c u hình overload cho NAT pool

B c 5 : nh tuy n cho router

Vsic1(config)#ip route 13.1.0.0 255.255.0.0 192.168.1.2

Vsic2(config)#ip route 172.1.1.0 255.255.255.0 192.168.1.1

L u ý : đ i v i router Vsic2, n u ta đ nh tuy n theo d ng :

Vsic2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

thì chúng ta có th ping th y đ c các m ng trong router Vsic1 (10.1.0.0/16,

11.1.0.0/16) Nh ng th c t , ISP ch đ nh tuy n xu ng cho user b ng đ a ch mà user đã

đ ng ký (Inside global address)

B c 6 : Ki m tra ho t đ ng c a NAT

Chúng ta s ki m tra NAT b ng câu l nh debug ip nat

Vsic1#debug ip nat

IP NAT debugging is on

Sau khi b t debug NAT, chúng ta s ping đ n loopback0 c a Vsic2 t loopback0 c a Vsic1

Ta gi l p traffic t host 10.1.0.1 đ n m ng 13.1.0.1 Lúc này khi traffic c a 10.1.0.1 qua S0

s chuy n đ i đ a ch

Vsic1#ping Protocol [ip]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Trang 34

S d ng câu l nh show ip nat translations đ xem các thông v NAT

Vsic1#sh ip nat translations Pro Inside global Inside local Outside local Outside global

icmp 172.1.1.1:2459 10.1.0.1:2459 13.1.0.1:2459 13.1.0.1:2459 icmp 172.1.1.1:2460 10.1.0.1:2460 13.1.0.1:2460 13.1.0.1:2460 icmp 172.1.1.1:2461 10.1.0.1:2461 13.1.0.1:2461 13.1.0.1:2461 icmp 172.1.1.1:2462 10.1.0.1:2462 13.1.0.1:2462 13.1.0.1:2462 icmp 172.1.1.1:2463 10.1.0.1:2463 13.1.0.1:2463 13.1.0.1:2463

Các s đ c in đ m là port NAT s d ng cho đ a ch 10.1.0.1

L p l i các b c trên đ ki m tra NAT cho loopback 1, loopback 2 c a router Vsic1

Trang 35

Vsic1#sh ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 172.1.1.1:6407 11.1.0.1:6407 13.1.0.1:6407 13.1.0.1:6407 icmp 172.1.1.1:6408 11.1.0.1:6408 13.1.0.1:6408 13.1.0.1:6408 icmp 172.1.1.1:6409 11.1.0.1:6409 13.1.0.1:6409 13.1.0.1:6409 icmp 172.1.1.1:6410 11.1.0.1:6410 13.1.0.1:6410 13.1.0.1:6410 icmp 172.1.1.1:6411 11.1.0.1:6411 13.1.0.1:6411 13.1.0.1:6411

…

Success rate is 0 percent (0/5)

i v i 12.1.0.1, chúng ta không ping ra ngoài đ c vì m ng 12.1.0.0/16 đã b c m

trong access list 1

ng router Vsic2, chúng ta ping xu ng các loopback c a router Vsic1

Vsic2#ping 10.1.0.1 Type escape sequence to abort

Vsic2#ping 11.1.0.1

Vsic2#ping 12.1.0.1

Nh n xét : t t c đ u không thành công Nguyên nhân là router Vsic2 không có route

nào đ n các loopback c a router Vsic1 Trong th c t , ta c ng có k t qu t ng t do ISP ch

Trang 36

đ nh tuy n xu ng đ a ch mà user đ ng ký, còn các đ a ch m ng bên trong c a user thì không

đ c ISP đ nh tuy n

5 T th c hành b ng Dynagen:

Ta click vào file lab25nato.net đ th c hành t ng t nh bài trên Tuy nhiên ta có

thay m ng gi l p lo0 b ng m t m ng LAN

Ta s d ng PC ping ra ngoài và b t debug theo dõi trên router, ta s th y s chuy n

đ i đ a ch x y ra t i router

H c viên trong bài t th c hành nên k t h p gi a static NAT và dynamip NAT Ta có

có th gi s tr ng h p là trong m ng có 1 Web Server, và Web Server đ c NAT static khi

đi ra ngoài và ng c l i Còn l i nh ng PC khác trong m ng s d ng NAT overload đ ra

Internet

th c hi n thành công đ c bài này, ta test b ng cách PC bên trong có th ping ra

ngoài và ngoài có th truy c p Web Server bên trong

Trang 37

Ph n 5 : WAN

BÀI 26: C U HÌNH PPP PAP VÀ CHAP

1 Gi i thi u :

PPP (Point-to-Point Protocol) là giao th c đóng gói đ c s d ng đ th c hi n k t n i

trong m ng WAN PPP bao g m LCP (Link Control Protocol) và NCP (Network Control

Protocol) LCP đ c dùng đ thi t l p k t n i point-to-point, NCP dùng đ c u hình cho các

giao th c l p m ng khác nhau

PPP có th đ c c u hình trên các interface v t lý sau :

Asynchronous serial : c ng serial b t đ ng b Synchronous serial : c ng serial đ ng b

High-Speed Serial Interface (HSSI) : c ng serial t c đ cao Integrated Services Digital Network (ISDN)

Quá trình t o session c a PPP g m ba giai đo n (phase):

Link-establishment phase

Authentication phase (tùy ch n) Network layer protocol phase Tùy ch n xác nh n (authentication) giúp cho vi c qu n lý m ng d dàng h n PPP s

d ng hai cách xác nh n là PAP (Password Authentication Protocol) và CHAP (Challenge

Handshake Authentication Protocol)

PAP là d ng xác nh n two-way handshake Sau khi t o liên k t node đ u xa s g i

usename và password l p đi l p l i cho đ n khi nh n đ c thông báo ch p nh n ho c t ch i

Password trong PAP đ c g i đi d ng clear text (không mã hóa)

CHAP là d ng xác nh n three-way handshake Sau khi t o liên k t, router s g i thông

đi p “challenge” cho router đ u xa Router đ u xa s g i l i m t giá tr đ c tính toán d a

trên password và thông đi p “challenge” cho router Khi nh n đ c giá tr này, router s ki m

tra l i xem có gi ng v i giá tr c a nó đã tính hay không N u đúng, thì router xem g i xác

nh n đúng và k t n i đ c thi t l p; ng c l i, k t n i s b ng t ngay l p t c

2 Các câu l nh s d ng trong bài lab :

username name password password

C u hình tên và password cho CHAP và PAP Tên và password này ph i gi ng v i

router đ u xa

encapsulation ppp

C u hình cho interface s d ng giao th c PPP

ppp authentication (chap chap pap pap chap pap)

C u hình cho interface s d ng PAP, CHAP, ho c c hai Trong tr ng h p c hai

đ c s d ng, giao th c đ u tiên đ c s d ng trong quá trình xác nh n; n u nh giao

th c đ u b t ch i ho c router đ u xa yêu c u dùng giao th c th hai thì giao th c th

hai đ c dùng

ppp pap sent-username username password password

C u hình username và password cho PAP

debug ppp authentication

Xem trình t xác nh n c a PAP và CHAP

Trang 38

hình bài lab nh hình v Hai router đ c đ t tên là Vsic, Vsic2 và đ c n i v i nhau

b ng cáp serial a ch IP c a các interface nh hình trên

Chúng ta s ki m tra tr ng thái c a các c ng b ng câu l nh show ip interface brief

Vsic2#sh ip interface brief

Interface IP-Address OK? Method Status Protocol

Ethernet0 unassigned YES unset administratively down down

Serial0 192.168.1.2 YES manual up up

Serial1 unassigned YES unset administratively down down

C ng serial c a router Vsic2 đã up Làm t ng t đ ki m tra tr ng thái các c ng c a

router Vsic1

Chúng ta s d ng câu l nh show interfaces serial đ bi t đ c các thông s c a

interface serial các router

Vsic2#sh interfaces serial 0

Trang 39

Serial0 is up, line protocol is up

Hardware is HD64570

Internet address is 192.168.1.2/24

MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

Keepalive set (10 sec)

Last input 00:00:02, output 00:00:01, output hang never

Last clearing of "show interface" counters never

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: weighted fair

Output queue: 0/1000/64/0 (size/max total/threshold/drops)

Conversations 0/1/256 (active/max active/max total)

Reserved Conversations 0/0 (allocated/max allocated)

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

15 packets input, 846 bytes, 0 no buffer

Received 15 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

19 packets output, 1708 bytes, 0 underruns

0 output errors, 0 collisions, 2 interface resets

0 output buffer failures, 0 output buffers swapped out

MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation HDLC, loopback not set

Keepalive set (10 sec)

Last input 00:00:00, output 00:00:00, output hang never

Last clearing of "show interface" counters 00:11:35

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

Queueing strategy: fifo

Output queue :0/40 (size/max)

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

21 packets input, 2010 bytes, 0 no buffer

Received 21 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

23 packets output, 1280 bytes, 0 underruns

0 output errors, 0 collisions, 4 interface resets

0 output buffer failures, 0 output buffers swapped out

7 carrier transitions

DCD=up DSR=up DTR=up RTS=up CTS=up

Định dạng
Số trang	78
Dung lượng	5 MB