MỤC LỤC
LỜI NÓI ĐẦU...................................................................................................... 5
THUẬT NGỮ VÀ TỪ VIẾT TẮT................................................................. 15
PHẦN I: LÝ THUYẾT ISCW............................................................................... 21
Chương 1 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS.............. 23
I. TỔNG QUAN VỀ MPLS................................................................................ 23
1. Giới thiệu về chuyển mạch nhãn đa giao thức (MPLS)................................ 23
2. Một số ứng dụng của MPLS.......................................................................... 24
3. Điểm vượt trội của MPLS so với mô hình IP qua ATM............................... 25
4. Các hình thức hoạt động của MPLS.............................................................. 26
5. Nhãn trong MPLS.......................................................................................... 27
6. Cấu trúc nút của MPLS................................................................................. 29
7. Mặt phẳng chuyển tiếp.................................................................................. 29
8. Mặt phẳng điều khiển.................................................................................... 29
9. Các thành phần mặt phẳng dữ liệu và mặt phẳng điều khiển của MPLS...... 30
10. Thuật toán chuyển tiếp nhãn........................................................................ 32
11. Hoạt động chuyển tiếp của MPLS............................................................... 32
12. Phân phối nhãn bằng giao thức phân phối nhãn LDP................................. 33
13. Sự duy trì nhãn MPLS................................................................................. 34
14. Các loại nhãn đặc biệt.................................................................................. 34
II. CẤU HÌNH MPLS CƠ BẢN......................................................................... 35
1. Cấu hình và kiểm chứng MPLS ở chế độ khung........................................... 35
2. MPLS chế độ khung cơ bản.......................................................................... 36
3. Biểu đồ tiến trình cấu hình MPLS chế độ khung.......................................... 36
4. Các bước cấu hình MPLS chế độ khung cơ bản........................................... 36
5. Kiểm tra hoạt động của MPLS chế độ khung cơ bản:................................... 37
6. Sự chuyển tiếp ở mặt phẳng điều khiển và mặt phẳng dữ liệu...................... 38
LAB 1.1 - CẤU HÌNH MPLS CHẾ ĐỘ KHUNG CƠ BẢN............................ 39
III. TỔNG QUAN VỀ MPLS VPN.................................................................... 53
1. Tổng quan về VPN........................................................................................ 53
2. Kiến trúc và thuật ngữ trong MPLS VPN..................................................... 56
3. Mô hình định tuyến MPLS VPN................................................................... 57
4. Bảng chuyển tiếp và định tuyến ảo - VRF.................................................... 58
5. RD, RT, MP-BGP và họ địa chỉ.................................................................... 59
6. Hoạt động của mặt phẳng điều khiển MPLS VPN........................................ 63
7. Hoạt động của mặt phẳng dữ liệu MPLS VPN............................................. 65
8. Cấu hình MPLS VPN cơ bản........................................................................ 66
IV. GIAO THỨC ĐỊNH TUYẾN EIGRP PE-CE............................................ 70
1. Giao thức định tuyến EIGRP PE-CE............................................................. 70
2. Quảng bá tuyến EIGRP................................................................................. 72
3. Sơ đồ cấu hình định tuyến EIGRP PE-CE.................................................... 74
LAB 1.2 - CẤU HÌNH ĐỊNH TUYẾN EIGRP PE-CE CƠ BẢN.................... 75
4. Vòng lặp tuyến.............................................................................................. 88
5. Định tuyến kém tối ưu (Suboptimal Routing)............................................... 91
6. BGP Cost Community................................................................................... 92
7. EIGRP SoO................................................................................................... 93
LAB 1.3 - CẤU HÌNH MẠNG SỬ DỤNG BGP CC VÀ EIGRP SOO........... 95
V. GIAO THỨC ĐỊNH TUYẾN OSPF PE-CE.............................................. 109
1. Mô hình định tuyến OSPF truyền thống...................................................... 109
2. MPLS VPN hay khái niệm OSPF Superbackbone...................................... 111
3. Các BGP Extended Community cho định tuyến OSPF PE-CE.................. 112
4. Quảng bá tuyến OSPF qua MPLS VPN Superbackbone............................ 114
5. Ảnh hưởng của việc cấu hình OSPF Domain ID trên router PE................. 117
6. OSPF Down Bit........................................................................................... 118
7. OSPF Route Tag hay VPN Route Tag........................................................ 120
8. Cấu hình và kiểm chứng định tuyến OSPF PE-CE..................................... 122
LAB 1.4 - CẤU HÌNH ĐỊNH TUYẾN OSPF PE-CE..................................... 122
9. OSPF Sham-Link......................................................................................... 138
LAB 1.5 - OSPF SHAM-LINKS....................................................................... 142
VI. KỸ THUẬT LƯU LƯỢNG TRONG MPLS............................................ 154
1. Khái niệm về kỹ thuật lưu lượng................................................................. 154
2. Kỹ thuật lưu lượng trước MPLS.................................................................. 155
3. Kỹ thuật lưu lượng với MPLS..................................................................... 157
VII. GIAO THỨC DÀNH RIÊNG TÀI NGUYÊN (RSVP).......................... 174
1. Tổng quan về RSVP.................................................................................... 174
2. Thiết lập đường đi (Path Setup).................................................................. 175
3. Duy trì đường đi (Path Maintenance).......................................................... 177
4. Hủy đường đi (Path Teardown)................................................................... 177
5. Báo lỗi......................................................................................................... 178
6. Các gói RSVP.............................................................................................. 178
7. Định dạng lớp đối tượng RSVP................................................................... 179
8. Hoạt động của RSVP – TE.......................................................................... 188
9. Chuyển tiếp lưu lượng xuống đường hầm................................................... 193
CHƯƠNG 2: PHƯƠNG PHÁP GIẢM TẤN CÔNG MẠNG................ 196
I. TỔNG QUAN VỀ CÁC NGUY CƠ TẤN CÔNG MẠNG......................... 196
1. Các tác nhân có cấu trúc.............................................................................. 196
2. Các tác nhân không có cấu trúc................................................................... 196
3. Các tác nhân xuất phát từ bên ngoài............................................................ 197
4. Các tác nhân có nguồn gốc từ bên trong..................................................... 197
II. CÁC LOẠI TẤN CÔNG MẠNG CHỦ YẾU............................................. 197
1. Tấn công theo kiểu do thám........................................................................ 197
2. Tấn công theo kiểu truy xuất và một số phương pháp làm giảm
kiểu tấn công này............................................................................................. 199
III. CÁC GIAO THỨC QUẢN LÝ TRONG MẠNG
VÀ CHỨC NĂNG CỦA CHÚNG.................................................................... 211
1. Một số vấn đề liên quan đến Telnet............................................................. 211
2. Các giao thức quản lý.................................................................................. 211
IV. BẢO MẬT TRONG VIỆC THIẾT LẬP LẮP ĐẶT
VÀ CÀI ĐẶT THIẾT BỊ CISCO..................................................................... 213
1. Bảo mật quyền truy nhập quản lý thiết bị................................................... 215
2. Tăng cường tính bảo mật cho các thông tin tài khoản
được lưu trong thiết bị Cisco........................................................................... 220
3. Giới thiệu về mô hình AAA trên thiết bị router Cisco................................ 223
4. Giới thiệu về các giao thức RADIUS và TACACS+.................................. 226
5. Bảng so sánh các phương thức xác thực và mức độ dễ sử dụng................. 227
V. CISCO IOS FIREWALL & IPS................................................................. 262
1. Các đặc tính điều khiển truy nhập theo ngữ cảnh (CBAC)......................... 262
2. Sử dụng đặc tính Authentication Proxy....................................................... 275
3. Cisco IOS IPS.............................................................................................. 281
VI. PUBLIC KEY INFRASTRUCTURE (PKI)............................................. 289
1. Tổng quan về PKI........................................................................................ 289
2. Các thành phần của PKI.............................................................................. 290
3. Cơ sở hạ tầng của PKI................................................................................. 292
PHẦN II: LAB ISCW............................................................................................. 295
CHƯƠNG 3: ADSL.............................................................................................. 297
LAB 3.1 - CẤU HÌNH ADSL............................................................................ 297
A) Cấu hình ban đầu cho hệ thống.................................................................. 297
B) Cấu hình các thông số kích hoạt đường ADSL.......................................... 298
C) Khi hoàn tất cấu hình thì đường ADSL sẽ hoạt động................................ 300
D) Cấu hình NAT trên CPE............................................................................. 302
E) Cấu hình hệ thống....................................................................................... 302
CHƯƠNG 4: MPLS.............................................................................................. 306
LAB 4.1 - CẤU HÌNH MPLS CƠ BẢN........................................................... 306
A) Cấu hình ban đầu........................................................................................ 306
B) Cấu hình MPLS.......................................................................................... 310
C) Kiểm tra thông tin cấu hình........................................................................ 310
LAB 4.2 - MPLS VPN ROUTING VRF.......................................................... 322
A) Mô hình...................................................................................................... 322
B) Cấu hình...................................................................................................... 324
C) Kiểm tra hoạt động..................................................................................... 334
CHƯƠNG 5: IPSec VPN.................................................................................. 339
LAB 5.1 - CẤU HÌNH VPN SITE TO SITE BẰNG CLI.............................. 339
A) Cấu hình ban đầu........................................................................................ 339
B) Cấu hình VPN giữa 2 site........................................................................... 342
C) Kiểm tra các thông số cấu hình.................................................................. 344
D) Cấu hình cuối cùng của hệ thống............................................................... 348
LAB 5.2 - CẤU HÌNH VPN SITE TO SITE SỬ DỤNG
GIAO DIỆN SDM.............................................................................................. 353
LAB 5.3 - CẤU HÌNH VPN CLIENT TO SITE SỬ DỤNG SDM................ 358
LAB 5.4 - CẤU HÌNH EZVPN – SERVER SỬ DỤNG SDM....................... 373
A) Tạo Cisco VPN Server............................................................................... 373
B) Cấu hình phía VPN Remote....................................................................... 381
LAB 5.5 - VPN BACKUP SỬ DỤNG IPSEC - DPD...................................... 386
A) Mô hình...................................................................................................... 386
B) Cấu hình...................................................................................................... 387
LAB 5.6 - CẤU HÌNH DMVPN SỬ DỤNG GRE OVER IPSEC
GIỮA CÁC ROUTER....................................................................................... 392
A) Cấu hình Router HUB................................................................................ 392
B) Cấu hình Router Spoke 1............................................................................ 394
C) Cấu hình Router Spoke 2............................................................................ 396
D) Debug quá trình mã khóa........................................................................... 398
LAB 5.7 - CẤU HÌNH IPSEC TUNNEL MẠNG
PRIVATE-TO-PRIVATE VỚI NAT VÀ ĐỊNH TUYẾN TĨNH.................. 400
A) Cấu hình Router R1.................................................................................... 401
B) Cấu hình Router R2.................................................................................... 403
LAB 5.8 - CẤU HÌNH QOS VỚI DMVPN..................................................... 404
A) Cấu hình Router HUB................................................................................ 405
B) Cấu hình Router Spoke 1............................................................................ 411
C) Cấu hình Router Spoke 2............................................................................ 414
LAB 5.9 - CẤU HÌNH ROUTER-TO-ROUTER TUNNEL
VỚI ROUTER KHỞI TẠO CHẾ ĐỘ IKE AGGRESSIVE.......................... 416
A) Cấu hình Router A...................................................................................... 416
B) Cấu hình Router B...................................................................................... 417
LAB 5.10 - CẤU HÌNH WINDOWS SERVER 2003 LÀM CA SERVER... 418
A) Mô hình...................................................................................................... 418
B) Client 1....................................................................................................... 419
C) Client 2....................................................................................................... 420
D) Cấu hình CAServer.................................................................................... 421
LAB 5.11 - IPSEC GRE TUNNEL DỰ PHÒNG CHO LEASED-LINE...... 436
A) Mô hình...................................................................................................... 436
B) Yêu cầu....................................................................................................... 436
C) Cấu hình mẫu của các router...................................................................... 436
Chương 6: CISCO DEVICES HARDENING.............................................. 439
LAB 6.1 - GIÁM SÁT LƯU LƯỢNG VÀ DỮ LIỆU TRONG MẠNG........ 439
A) Sơ đồ mạng................................................................................................. 439
B) Các yêu cầu thực hiện................................................................................. 440
LAB 6.2 - AUTO SECURE 1............................................................................ 464
LAB 6.3 - AUTO SECURE 2............................................................................ 476
LAB 6.4 - DÙNG ACL LỌC TRAFFIC.......................................................... 505
A) Mục tiêu...................................................................................................... 505
B) Mô hình...................................................................................................... 505
C) Hướng dẫn.................................................................................................. 505
D) Cấu hình tham khảo.................................................................................... 506
LAB 6.5 - DÙNG REFLEXIVE ACL LỌC TRAFFIC.................................. 509
A) Mục đích..................................................................................................... 509
B) Mô hình...................................................................................................... 509
C) Hướng dẫn.................................................................................................. 509
D) Cấu hình tham khảo.................................................................................... 510
LAB 6.6 - DÙNG REFLEXIVE ACL LỌC TRAFFIC
ĐƯỢC TẠO RA TỪ ROUTER........................................................................ 514
A) Mục đích..................................................................................................... 514
B) Mô hình...................................................................................................... 514
C) Hướng dẫn.................................................................................................. 514
D) Cấu hình tham khảo.................................................................................... 515
LAB 6.7 - TIME-OF-DAY EXTENDED ACL............................................... 519
A) Mục đích..................................................................................................... 519
B) Mô hình...................................................................................................... 519
C) Hướng dẫn.................................................................................................. 519
D) Cấu hình tham khảo.................................................................................... 519
E) Kiểm tra...................................................................................................... 520
LAB 6.8 - CẤU HÌNH CBAC CHO VIỆC KIỂM TRA
(INSPECTION) TRAFFIC............................................................................... 520
A) Mục tiêu...................................................................................................... 520
B) Mô hình...................................................................................................... 520
C) Hướng dẫn.................................................................................................. 521
D) Cấu hình tham khảo.................................................................................... 521
LAB 6.9 - SỬ DỤNG NBAR ĐỂ LỌC TRAFFIC.......................................... 525
A) Mục đích..................................................................................................... 525
B) Mô hình...................................................................................................... 525
C) Hướng dẫn.................................................................................................. 526
D) Cấu hình tham khảo.................................................................................... 526
LAB 6.10 - DÙNG POLICY-BASE ROUTING ĐỂ LỌC TRAFFIC.......... 530
A) Mục đích..................................................................................................... 530
B) Mô hình...................................................................................................... 530
C) Hướng dẫn.................................................................................................. 530
D) Cấu hình tham khảo.................................................................................... 531
LAB 6.11 - PHÒNG CHỐNG TẤN CÔNG DOS VỚI
TCP INTERCEPT MODE INTERCEPT....................................................... 534
A) Tổng quan về TCP Intercept...................................................................... 534
B) Lab.............................................................................................................. 536
LAB 6.12 - PHÒNG CHỐNG TẤN CÔNG DOS VỚI
TCP INTERCEPT MODE WATCH............................................................... 540
A) Mục tiêu...................................................................................................... 540
B) Mô tả........................................................................................................... 540
C) Cấu hình tham khảo.................................................................................... 541
LAB 6.13 - CẤU HÌNH APPLICATION PORT-MAPPING VỚI CBAC... 544
A) Mục tiêu...................................................................................................... 544
B) Mô tả........................................................................................................... 544
C) Cấu hình tham khảo.................................................................................... 544
LAB 6.14 - DÙNG CAR ĐỂ HẠN CHẾ SMURF ATTACK......................... 548
A) Mục tiêu...................................................................................................... 548
B) Mô tả........................................................................................................... 548
C) Cấu hình tham khảo.................................................................................... 549
LAB 6.15 - CHỐNG IP ADDRESS SPOOFING BẰNG ACLS.................... 551
A) Mục tiêu...................................................................................................... 551
B) Mô tả........................................................................................................... 551
C) Cấu hình tham khảo.................................................................................... 552
LAB 6.16 - DÙNG URPF ĐỂ CHỐNG IP ADRESS SPOOFING................ 556
A) Mục tiêu...................................................................................................... 556
B) Mô tả........................................................................................................... 556
C) Cấu hình tham khảo.................................................................................... 557
LAB 6.17 - CẤU HÌNH AAA AUTHORIZATION
VÀ ACCOUNTING TRÊN CISCO ROUTER............................................... 561
A) Cấu hình trên Router.................................................................................. 561
B) Cấu hình AAA authorization...................................................................... 566
LAB 6.18 - XÁC THỰC VỚI TACACS + SERVER...................................... 572
A) Mô hình...................................................................................................... 572
B) Yêu cầu....................................................................................................... 573
C) Cấu hình...................................................................................................... 573
D) Kiểm tra...................................................................................................... 573
LAB 6.19 - CẤU HÌNH IOS FIREWALL / IPS TRÊN CISCO ROUTER. 574
A) Mục tiêu bài lab.......................................................................................... 574
B) Các bước tiến hành..................................................................................... 575
TÀI LIỆU THAM KHẢO.................................................................................. 593
TRUNG TÂM TIN HỌC VNPRO
149/1D Ung Văn Khiêm, Phường 25, Quận Bình Thạnh, Tp. Hồ Chí Minh
Điện Thoại: (028)3 5124 257
Website: www.vnpro.vn
Email: vnpro@vnpro.org
Fanpage: www.facebook.com/VnPro
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedIn/in/VnPro
Youtube Channel: www.youtube.com/c/trungtamtinhocvnpro
Khách hàng muốn mua sản phẩm vui lòng nhấn vào nút ĐẶT MUA, nhân viên tư vấn sẽ gọi điện xác nhận và lên đơn hàng.