Tổng hợp cấu hình router

Tổng hợp cấu hình RouterKỳ II >ena #configure terminal config #hostname tên host name config #enable password pass config #enable secret pass config #banner motd #điền banner motd# confi

Trang 1

Tổng hợp cấu hình Router

Kỳ II

>ena

#configure terminal

(config) #hostname (tên host name)

(config) #enable password (pass)

(config) #enable secret (pass)

(config) #banner motd #điền banner motd#

(config) #no ip domain-lookup (lệnh này cấu hình cho router không tự tìm domain khi đánh sai lệnh) (config) #ip hostname (tên Router) (địa chỉ IP trên cổng kết nối của Router đó) (cấu hình telnet và ping bằng tên)

(config) #line vty 0 4

(config-line) #password (pass)

(config-line) #login

(config-line) #exit

(config) #line console 0

(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn thông báo vào dòng lệnh)

(config-line) #exit

(config) #line aux 0

(config-line) #logging synchronous (lệnh này cấu hình cho router không chèn dòng lệnh vào thông báo)

(config-line) #exit

(config) #interface loopback (số loopback)

(config-if) #ip address (địa chỉ IP) (subnetmask)

(config-if) #description (dòng mô tả của cổng)

(config-if) #exit

(config) #interface fastEthernet (số cổng)

(config-if) #no shutdown (up cổng)

(config-if) # ip address (địa chỉ IP) (subnetmask)

(config-if) #exit

(config) #interface serial (số cổng)

(config-if) #no shutdown (up cổng)

(config-if) # ip address (địa chỉ IP) (subnetmask)

(config-if) #clock rate ( clock rate-nếu là DCE thì mới cần cấu hình)

(config-if) #exit

Trang 2

Cấu hình chạy Ripv1:

*Chú ý : Ripv1 không có cấu hình authentication !

(config) #router rip

(config-router) #network (địa chỉ IP mạng-lệnh này nhằm quảng bá các mang xung quanh)

(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng (fa/se/loop))

(config-if) #ip rip send version 2 (tương thích Ripv2 & v1 – cấu hình tại cổng muốn gửi bản tin v2 trên router chạy RIP v1)

Cấu hình chạy Ripv2:

(config) #router rip

(config-router) #version 2

(config-router) #no auto-summary

(config-router)#passive-interface (tên cổng (fa/se/loop) – ngăn gửi bảng định tuyến ra cổng (fa/se/loop))

(config-router) #redistribute eigrp (số AS:1,2,10…) metric (0-max15) (quảng bá EIGRP vào Rip) (config-router) #redistribute ospf (process-id) metric (0-max15) (quảng bá OSPF vào Rip)

-Cấu hình Authentication(xác thực) cho Ripv2:

*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !

Tạo key

(config) #key chain (tên)

(config-keychain) #key (số key)

(config-keychain-key) #key-string (password)

Gán key vào cổng kết nối:

(config) #interface (tên cổng (fa/se))

(config-if) #ip rip authentication key-chain (tên key chain)

Mã hóa dạng MD5:

(config-if) #ip rip authentication mode MD5

Cấu hình chạy EIGRP:

(config) #router eigrp (số)

(config-router) #no auto-summary

(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop)) (config-router) #redistribute rip metric 10000 100 255 1 1500 (quảng bá Rip vào EIGRP)

(config-router) #redistribute ospf (process ip) metric 10000 100 255 1 1500 (quảng bá OSPF vào EIGRP)

(config-router) #redistribute static (quảng bá tuyến default route)

(config-if) #ip summary-address eigrp (số AS:1,2,10…) (địa chỉ IP mạng) (subnetmask) (cấu hình tại cổng muốn quảng bá tuyến summary)

Trang 3

Cấu hình Authentication(xác thực) cho EIGRP :

*Chú ý : Sau khi thông mạng,mạng đã hội tụ thì mới cấu hình authentication !

Tạo key

(config) #key chain (tên)

(config-keychain) #key (số key)

(config-keychain-key) #key-string (password)

Gán key vào cổng kết nối:

(config) #interface (tên cổng (fa/se))

(router-if) #ip authentication key-chain eigrp (số AS:1,2,10…) (tên key chain đã tạo)

Mã hóa dạng MD5:

(router-if) #ip authenrication mode eigrp (số AS:1,2,10…) md5

Note: Khi cấu hình EIGRP: thông số AS, các giá trị K, thời gian hold timer trên các con router chạy EIGRP phải giống nhau.

Cấu hình chạy OSPF :

(config) #router ospf (process-id)

(config-router) #network (địa chỉ IP mạng)( wildcard-mask=255.255.255.255 – subnetmask )area( area

id)

(config-router) #passive-interface (tên cổng (fa/se/loop) – ngăn gửi bản tin hello ra cổng (fa/se/loop)

(config-router) #redistribute rip subnets (quảng bá Rip vào OSPF)

(config-router) #redistribute eigrp (số) subnets (quảng bá EIGRP vào OSPF)

(config-router) #default-information originate (quảng bá tuyến default route)

Cấu hình bầu bán DR và BDR (Designated Router-Backup Designated Router) :

*Chú ý :Chỉ có trong mạng MultiAccess (kết nối cổng fastethernet) các Router chạy OSPF mới có cấu hình này !

Cách 1: Priority (Priovity cao nhất sẽ là DR,tiếp theo là BDR (Default=1, 0 -> 255))

(config-if) #ip ospf priovity (0-255)

Cách 2: Router ID (Router ID cao nhất sẽ là DR)

(config) #router ospf (process id)

(config-router) #router-id (địa chỉ IP cổng Fa)

*Chú ý :Sau khi cấu hình bầu bán DR và BDR xong cần cấu hình lệnh dưới đây để thiết lập lại :

#clear ip ospf process

Reset ALL OSPF processes? [no]:y (chọn yes để hoàn tất)

Trang 4

-Cấu hình Authentication(xác thực) cho OSPF :

Cách 1 : Không có mã hóa

(config-router) #area (area id) authentication (kích hoạt trên Router)

(config-router) #exit

(config-if) #ip ospf authentication-key (số key) (password)

Cách 2 : Có mã hóa MD5

(config-router) #area (area id) authentication message-digest (kích hoạt trên router) (config-router) #exit

(config-if) #ip ospf message-degest-key (số key) md5 (level 0-7) (password)

Trang 5

Kỳ IV

Cấu hình xác thực trong WAN:

Cấu hình PAP (Không có mã hóa):

-Xác thực 1 chiều:

R1(config) #interface serial (số cổng)

R1(config-if) #encapsulation ppp

R1(config-if) #ppp pap sent-username (tên) password (pass) R2(config) #interface serial (số cổng)

R2(config-if) #ppp authentication pap

R2(config-if)#exit

R2(config)# username (tên) password (pass)

-Xác thực 2 chiều:

R1(config-if) # ppp authentication pap

R1(config-if) #ppp pap sent-username (tên) password (pass) R1(config-if)#exit

R1(config)# username (tên2) password (pass2)

R2(config-if) #ppp authentication pap

R2(config-if) #ppp pap sent-username (tên2) password (pass2) R2(config-if)#exit

Cấu hình CHAP (có mã hóa):

Chap 1 chiều:

R1(config-if) #ppp chap hostname (tên)

R1(config-if) #ppp chap password (pass)

R1(config-if)#exit

R2(config-if) #ppp authentication chap

R2(config-if)#exit

Trang 6

Chap 2 chiều

R1(config-if) # ppp authentication chap

R1(config-if)#exit

R1(config)# username R2 password (pass)

R2(config-if) #ppp authentication chap

R2(config-if)#exit

R2(config)# username R1 password (pass)

Cấu hình giả lập Router→Frame-relay Switch:

*Lưu ý:Khi cấu hình định tuyến trong mạng Frame-relay với EIGRP, RIP trên cùng 1 Router 1

cổng mà có nhiều kênh ảo phải tắt

Horizon thì mạng mới hoạt động được,có thể xảy ra loop nhưng khả năng không nhiều.

→Vào cổng đó:

(config) #interface serial (số cổng)

(config-if) #no ip split-horizon

Khi cấu hình định tuyến trong mạng Frame-relay với OSPF phải chuyển kiểu mạng trên các cổng của các Router thì mạng mới hoạt động được

→Vào cổng đó:

(config) # interface serial (số cổng)

(config-if) #ip ospf network point-to-point

Cấu hình Frame-relay Switch:

(config) #frame-relay switching (lệnh khởi tạo chức năng frame-relay-switch trên Router)

(config) #interface serial (số cổng)

(config-if) #encapsulation frame-relay

(config-if) #frame-relay intf-type dce

(config-if) #clock rate (1200,56000,64000….)

(config-if)#no shut

(config-if) #frame-relay route (DLCI) interface serial (số cổng) (DLCI)

Gán DLCI cho cổng sub:

Trang 7

(config) #interface serial (số cổng)

(config-if) #encapsulation frame-relay

(config-if)#no shut

Tạo DLCI cho cổng sub P-t-P,Multipoint :

(config) #interface serial (cổng sub) (point–to–point,multipoint)

(config-if) #ip address (IP) (subnet)

(config-if) #frame-relay interface-dlci (DLCI)

Tắt inverse ARP (mục đích để map static):

(config-if) #no frame-relay inverse-arp

Map static trên từng Router(chỉ áp dụng trên cổng vật lý và cổng Multipoint):

(config-if) #frame-relay map ip (ip của Router đích) (DLCI của Router nguồn(chính là router đang cấu

hình))

Phải dùng static map trong những trường hợp sau:

1 Tắt inverse-arp

Or:

2 Hai cổng thuộc cùng 1 mạng, không có kênh ảo trực tiếp sang nhau, không phải sub poin-to-point

Cấu hình Access List:

Numbered (Cấu hình ACL theo kiểu số,không sửa được khi sai) :

Standard : 1→99,1300→1999,lọc bản tin dựa vào IP nguồn

Extended : 99→1299,2000→over,lọc bản tin dựa vào IP nguồn và đích,port dịch vụ,các giao thức TCP,UDP…

Tạo ACL :

(config) #access-lists (số) (deny,permit) (network address) (Wildcard mask)

Named (Cấu hình ACL theo kiểu tên,sửa được khi sai) :

(config) #ip access-lists (standard,extended) (tên)

(config-(std,ext)-nacl) #(deny,permit) (IP) (Wildcard mask)

Kết thúc bằng lệnh : permit any

Cấu hình tạo khoảng thời gian cho ACL:

*Chú ý: cần đặt clock cho Router trước khi cấu hình

(config) #clock timezone (tên) (hh) (mm)

Trang 8

R# clock set …….

Tạo chu kỳ thời gian :

(config) #time-range (tên)

(config-time-range) #periodic (day) (day) (start time) to (end time)

*Để gán Time-range chỉ cần điền (tên) khoảng thời gian đã tạo sau câu acl

Cấu hình VPN:

VPN Site-to-Site :

-Tạo key :

(config) #crypto isakmp policy (số)

-Xác thực :

(config-isakmp) #authentication pre-share (xác thực theo kiểu share key)

-Sử dụng thuật toán :

(config-isakmp) #hash (sha hoặc md5)

-Mã hóa bản tin gửi đi :

(config-isakmp) #encryption (aes,3des,des) (số bit mã hóa :128,192…)

-Chia sẻ key cho Site kết nối :

(config) #crypto isakmp key (key) address (IP Site kết nối)

-Kiểu đóng gói :

(config) #crypto ipsec transform-set (tên) (esp-aes,esp-3des…) (số bit mã hóa :128,192…) (esp-md5-hmac

esp-sha-hmac (thuật toán xác thực phần header))

-Tạo ACLists:

Permit dải IP nguồn_dải IP đích

-Tạo Map :

(config) #crypto map (tên map) (1-165535) ipsec-isakmp

(config-crypto-map) #set peer (IP Site kết nối)

#match address (tên ACLists đã tạo↑)

#set transform-set (tên đã tạo ở bước đóng gói↑)

-Gán vào cổng :

(config-if) #crypto map (tên map đã tạo↑)

Trang 9

*Chú ý :Cấu hình ở 2 Site với thông số xác thực,key,map…giống nhau sau đó dùng lệnh ping để kích hoạt

VPN remote (easy VNP) :

Cấu hình trên VPN server:

Ví dụ:

Tạo user xác thực trên router

HQ(config)# usernam cisco password cisco

HQ(config)# aaa new-model

HQ(config)# aaa authentication login default local none

HQ(config)# ip local pool VPNLIENTS 172.16.2.100 172.16.2.200 (dải địa chỉ sẽ cấp cho các client)

HQ(config)# aaa authorization network VPNAUTH local

HQ(config)# crypto isakmp policy 10

HQ(config-isakmp)# authentication pre-share

HQ(config-isakmp)# encryption aes 256

HQ(config-isakmp)# group 2

Tạo nhóm:

HQ(config)# crypto isakmp client configuration group ciscogroup

HQ(config-isakmp-group)# key ciscogroup

HQ(config-isakmp-group)# pool VPNCLIENTS

HQ(config-isakmp-group)# acl 100

HQ(config-isakmp-group)# netmask 255.255.255.0

HQ(config)# access-list 100 permit ip 172.16.0.0 0.0.255.255 any

HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac

HQ(config)# crypto dynamic-map mymap 10

HQ(config-crypto-map)# set transform-set mytrans

HQ(config-crypto-map)# reverse-route

HQ(config)# crypto map mymap client configuration address respond

HQ(config)# crypto map mymap isakmp authorization list VPNAUTH

HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

HQ(config)# int s0/0/0

HQ(config-if)# crypto map mymap

HQ(config)# aaa authentication login VPNAUTH local

HQ(config)# usernam ciscouser password ciscouser

HQ(config)# crypto map mymap client authentication list VPNAUTH

Trên client:

Trang 10

Dùng phần mềm vpn client để connect

Cấu hình DHCP cho Router :

Bỏ dải IP không cấp :

(config) #ip dhcp excluded-address (from IP) (to IP)

Tạo Pool cho LAN :

(config) #ip dhcp pool (tên pool)

(dhcp-config) #network (IP mạng) ( subnet mạng)

Cấp IP gateway cho thiết bị trong mạng :

(dhcp-config) #default-router (IP gateway)

Cấp IP DNS :

(dhcp-config) #dns-server (IP DNS)

(dhcp-config) #lease ? (lệnh này cấu hình cấp DHCP trong thời gian bao lâu,infinite:vô hạn)

Cấu hình NAT :

Static :

(config) #ip nat inside source static (local-ip) (global-ip)

Dynamic :

netmask (subnetmask)

(config) #ip nat pool (tên pool muốn tạo) (start IP) (end IP) => 2 cách gõ xược

prefix-lengh (số xược của dải)

→Sau đó tạo ACLists rồi NAT :

(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑)

Overload :

Tạo ACLists sau đó NAT :

(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) interface (số cổng ra) overload Hoặc:

(config) #ip nat inside source list (tên hoặc số ACLists vừa tạo↑) pool (tên pool↑) overload

Sau khi cấu hình NAT bằng 1 trong các cách trên → gán vào cổng vào,ra :

-Cổng vào :

(config-if) #ip nat inside

-Cổng ra :

Trang 11

(config-if) #ip nat outside

Port forwarding

R(config)# ip nat inside source static tcp 10.0.25.16 80 222.25.249.34 80

(bản tin vào có port 80 sẽ được chuyển sang pc có địa chỉ 10.0.25.16)

Phá pass Router :

*Tắt Router→bật lại,trong lúc Router đang khởi động nhấn : Ctrl+Break , Router sẽ chuyển vào chế độ rommon>

Thiết lập giá trị thanh ghi :

Rommon1 >confreg 0x2142

Rommon2 >reset

*Nếu không muốn giữ file cứ cấu hình bình thường rồi write đè lên file cấu hình cũ,nếu muốn giữ :

(config) #copy startup-config running-config

*Sau khi hoàn thành các bước trên cần đổi lại giá trị thanh ghi :

(config) #config-register 0x2102

Xóa hệ điều hành trong Router :

#delete flash: (tên hệ điều hành)

Load file IOS (hệ điều hành) cho Router :

*Bắt buộc phải load qua cổng fastEthernet qua DHCP Server :

Rommon >tftpdnld

Rommon >IP_ADDRESS =

Rommon >IP_SUBNETMASK =

Rommon >DEFAULT_GATEWAY =

Rommon >TFTP_SERVER = (địa chỉ TFTP Server)

Rommon >TFTP_FILE = (tên file cần load)

Reset Router về chế độ Default :

#erase nvram

#reload

*Nếu còn file cấu hình cũ Router sẽ hỏi có muốn giữ lại file cấu hình cũ y/n→n

Một số lệnh show :

#dir flash (lệnh xem hệ điều hành của Router)

Định dạng
Số trang	12
Dung lượng	30 KB