Hướng dẫn liên lạc với Cisco về việc chưa nhận được hoặc thất lạc bằng CCXX

hào mọi người !!!
Hiện nay đã có sự thay đổi từ phía CISCO , trung tâm khảo thí VUE xin phép được update bản hướng dẫn mới nhất .

Hướng dẫn liên lạc với cisco

Click vào link sau: http://www.cisco.com/go/certsupport
Tạo một tài khoản dùng để liên lạc với cisco à create new account

Điền thông tin theo yêu cầu à create account

sau đó cisco sẽ gởi về cho bạn một email xác nhận việc tạo account. Kể từ bây giờ bạn dùng username và password này để liên lạc trực tiếp với cisco.

Vào lại link: http://www.cisco.com/go/certsupport. Sau khi nhập username và passwordbạn sẽ được hiển thị các giải đáp thắc mắc khác của bộ phận Online Support cùng với profile của riêng bạn. Bạn click vào My Cases&Profile. 

Tiếp tục click vào mục Questions để kiểm tra nội dung mà bạn yêu cầu hỗ trợ.

 Bạn sẽ nhìn thấy nội dung bạn yêu cầu. Click vào tiêu đề nội dung.

Toàn bộ nội dung liên lạc của bạn với cisco sẽ được hiển thị tại đây. \

Tiếp tục click vào Update Questions để tiếp tục update những yêu cầu của bạn với cisco.

Lưu ý: mỗi một địa chỉ email bạn cung cấp để dùng làm username đều sẽ được ghi nhận trên hệ thống. Sau khi yêu cầu của bạn được giải đáp bạn phải nhớ username vàpassword này để có thể dùng cho những lần tiếp theo. Nếu trong những lần hỗ trợ tiếp theo bạn không thể nhớ được bạn đã dùng địa chỉ email nào cho lần hỗ trợ đầu tiên bạn phải dùng một địa chỉ email khác, sau đó tiếp tục create new account
 
Sưu tầm !

Kiểm tra xác thực có Certificate qua Cisco

Link :
http://www.ciscocertificates.com/verify.cfm

CCNP Security

Chương trình CCNP Security :

Như thường lệ thì các chứng chỉ Cisco cứ 3 năm lại thay đổi một lần.Hiện tại chứng chỉ CCSP đã có những thay đổi bắt đầu từ 19/10/2010. Với sự thay đổi lần nầy,Cisco đã đổi tên chứng chỉ CCSP thành chứng chỉ CCNP Security với các Module : Secure, Firewall, IPS, VPN.Thực ra việc bạn lấy CCSP và CCNP Security hoàn toàn có thể xem như nhau, chỉ khác về tên gọi các Module và bổ sung thêm 1 số kiến thức.

Bảng so sánh các course trong CCSP và CCNP Security

Bảng so sánh 3 course của CCSP cũ với 3 course mới trong CCNP Security code mới :

Các môn học trong CCNP Security  

Các kỳ thi quốc tế :

Để có được chứng chỉ CCNP Security, thí sinh cần phải có chứng chỉ CCNA Security và pass 4 môn sau :
- 642-637 SECURE v1.0 (lệ phí thi: 150$; thời gian thi: 90 phút; số lượng câu hỏi: 60 - 70 câu).
- 642-617 FIREWALL v1.0 (lệ phí thi: 150$; thời gian thi: 90 phút; số lượng câu hỏi: 60 - 70 câu).
- 642-647 VPN v1.0(lệ phí thi: 150$; thời gian thi: 90 phút; số lượng câu hỏi: 60 - 70 câu).
- 642-627 IPS v7.0—Có hiệu lực 26/11/2010(lệ phí thi: 150$; thời gian thi: 90 phút; số lượng câu hỏi: 60 - 70 câu).

So sánh các module của CCSP và CCNP Security

 

 

Các câu hỏi liên quan

1) Hỏi : Tôi đã thi qua CCNA Security, SNAF và tôi đang hoàn tất học SNAA (tôi sẽ tham gia kỳ thi trong một vài tuần).Nếu tôi vượt qua SNRS và IPS trước khi kết thúc kỳ thi cấp chứng chỉ của tôi sẽ được CCSP hay CCNP security?

Đáp : Có thể, IPSv6 hay IPSv7 bạn đều được lấy chứng chỉ CCNP Security.


2) Hỏi : Nếu tôi đã thi đậu các kỳ thi SNAF, SNRS, SNAA & IPSv7 tôi sẽ được cấp chứng chỉ CCSP hay CCNP security?

Đáp : Sẽ có được 2 chứng chỉ CCSP và CCNP Security.

3) Hỏi : Những kỳ thi phải vượt qua để có chứng chỉ CCNP Security?

Đáp : Bảng dưới đây liệt kê các mới các môn thi mà bạn sẽ cần phải thực hiện.

 

Ngoài ra, bạn cần phải có chứng chỉ CCNA Security thì mới được Cisco cấp bằng CCNP Security.

4) Hỏi : Không có chứng chỉ CCNA Security có được thi và cấp chứng chỉ CCNP Security hay không ?
Đáp : Không có chứng chỉ CCNA Security, thí sinh vẫn được thi các môn trong CCNP Security ,nhưng sẽ không được Cisco cấp chứng chỉ CCNP Security. Khi thí sinh đã pass CCNA Security thì Cisco mới cấp chứng chỉ CCNP Security cho thí sinh


5) Hỏi : Có những môn tự chọn cho chương trình CCNP Security?
Đáp : Không

6) Hỏi: Tôi có thể sử dụng điểm đậu của một môn thi mới trong chương trình CCNP Security để gia hạn (recertify) cho chứng chỉ CCSP được không?

Đáp: Được, các môn thi của CCNP Security là các môn thi của cấp độ chữ P (Professional) và có thể được sử dụng để gia hạn cho chứng chỉ CCSP.

7) Hỏi : Tôi đã có chứng chỉ CCSP, tôi có thể thi một môn trong CCNP Security để lấy thêm chứng chỉ CCNP Security hay không?

Đáp: Điều này phụ thuộc vào việc bạn đã vượt qua đủ các môn CCSP cần thiết hay chưa (đó là các môn SNRS, SNAF,SNAA & IPSv6). Không phải tất cả các môn thi CCSP nào cũng tạo đủ điều kiện để lấy thêm chứng chỉ CCNP Security, chẳng hạn nếu trước đó, bạn thi các môn SNAF,SNRS, IPSv6, CANAC hay MARS để có chứng chỉ CCSP thì phải thi thêm SNAA hoặc VPN để đạt được chứng chỉ mức độ P của hệ thống chứng chỉ Security của Cisco. Bạn nên thi VPN vì nếu thi SNAA (kỳ thi cho môn này chỉ có hiệu lực đến tháng 04/2011), bạn sẽ chỉ có chứng chỉ CCSP còn thi VPN bạn sẽ có cả 2 chứng chỉ CCSP và CCNP Security.

8) Hỏi : Thời hạn thi các môn CCSP?

Đáp: thời hạn cuối cùng cho các kỳ thi CCSP được Cisco công bố như sau.
- SNRS: ngày được thi cuối cùng là ngày 08/04/2011.
- SNAF: ngày được thi cuối cùng là ngày 08/04/2011.
- IPS v6.0: ngày thi cuối cùng là ngày 31/05/2011.
- SNAA: ngày thi cuối cùng là ngày 08/04/2011.

9) Hỏi : CCSP của tôi sắp hết hạn, có cách nào gia hạn chứng chỉ CCSP?

Đáp : Bạn có thể thi gia hạn CCSP theo quy trình bình thường:
Thi một môn 642- XXX Proffessional hoặc
Lấy chứng chỉ CCIE written hoặc CCIE Lab trong lĩnh vực Security.

10) Hỏi : Có thể sử dụng các môn thi của CCNP Security để gia hạn thêm chứng chỉ CCSP?

Đáp : Có thể. Chương trình CCNP Security Professional có thể dùng để gia hạn CCSP.

11) Hỏi : Có phải quy trình gia hạn bằng CCNP Security và CCSP giống nhau ???
Đáp : Đúng. Cả hai chứng chỉ đều có quy trình gia hạn giống nhau.

Với 4 courses đã thi: SNRS, SNAF,SNAA & IPSv6
Hôm nay mình vừa nhận được cả 2 certs cho SP (giá trị tương tự nhau): CCSP và CCNP Security
Vậy là không nhất thiết phải thi VPN, thay vào đó là SNAA cũng ok.

Lệnh ip default-gateway [ ip address ] cấu hình trên switch

Lệnh này thực hiện nhằm đặt default-gateway trên những thiết bị không bật lệnh ip routing (router, switch layer3 với no ip routing, hoặc switch layer 2). Lệnh này cũng giống như bạn đặt Default-gateway cho PC vậy.

Giải thích thêm tích trường hợp router với no ip routing (router trong boot mode). Hay cụ thể hơn bạn chỉnh cho router boot với IOS ở một mạng khác với mạng của router hiện tại (không phải boot trực tiếp từ Flash hay từ TFTP cùng mạng của router), trong lúc boot IOS thì sẽ không có ip routing được bật (tức default-gateway trong bảng routing table của router vô dụng nên phải cần lệnh này)

Phương thức hoạt động của dịch vụ DHCP

Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau.

B1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client.

: Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broad cast sau mỗi 5 phút để xin cấp IP từ DHCP Server.
B2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server. Server sẽ không cấp phát đia chỉ IP vừa đề nghị cho client thuê trông suốt thời gian thương thuyết.




B3:Máy Client sẽ lựa chọn một trong những lời đền nghị ( DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST và chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các Client khác.
B4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ xung như địa chỉ Gateway mặc định, địa chỉ DNS Server...

( Nhưng cũng có thể Server sẽ gửi gói tin DHCP NAK ( Negative Acknowledgment) nếu lời đề nghị lúc đầu không chính xác nữa hoặc thông số IP đó đã có máy tính khác sử dụng. Và lúc này Client lại phải bắt đầu lại quy trình xin cấp IP từ đầu)

EtherChannel

Giới Thiệu Về EtherChannel :


Mục đích:
Đo các đường trunk giữa các Switch thường có băng thông không dủ lớn đo đó khôn đáp ứng được nhu cầu ở bên trong mạng dể gây ra nghẽn do đó mà ngườI ta sử dụng etherchannel để ghép nhiều đường trunk lạI thành một đường để tăng dung lượng, thứ hai là đốI vớI các server có nhu cầu truy nhập cao do đó cũng cần một lượng băng thông lớn để tránh nghẽn, để ta sử ta cũng sử dụng etherchannel

Nguyên tắc phân phối tải qua etherchannel:

Việc phân phối tải qua các đường của một bundle(etherchannel) được thực hiện theo thuật toán hashing: Thuật toán này có thể sử dụng : Địa chỉ IP nguồn, đích; Hoặc địa chỉ MAC nguồn, dích, hoặc có thể sử dụng TCP/UDP port.
- Nếu chỉ sử dụng một địa chỉ hay một port thì việc truyền tải qua port này hay port khác được thực hiện dựa vào các bit cuối cùng, và phụ thuộc vào số port của etherchannel
- Nếu sử dụng cả địch, và nguồn thì thuật toán này được thực hiện nhờ phép toán XOR các bit cuối của địa chỉ.
Các lệnh cơ bản để cấu hình Ethechannel :

- Cấu hình PAGP Ethechannel:
Switch(config-if)#channel-protocol pagp
Switch(config-if)#channel-group number mode {on | auto | desirable }

- Các mode:
- ON mode: ở mode này thì Switch tự động enale etherchannel tuy nhiên nó lại không gởI hay nhận bất kỳ gói PAGP nào, do đó mà phải cấu hình on mode ở hai đầu
- Auto mode: Nó sẽ tự động enable ethechannel nếu nó nhận được PAGP packet.
- Desirable: Nó sẽ tự động cố gắng yêu cầu đầu kia enable ethechannel.

- Cấu hình LACP:
Switch(config)#lacp system-priority priority
Switch(config-if)#channel-protocol lacp
Switch(config-if)#channel-group number mode {on | passive | active}
Switch(config-if)# lacp port-priority priority

- Giải thích:
- Lệnh đầu tiên để xác định system priority để xác định Switch nào làm Switch điều khiển Ethechannel, hoặc nếu Priority bằng nhau thì Switch nào có điạc chỉ mac nhỏ hơn sẽ được chọn
- Ta còn xác định priority của port để xác định xem port nào là active và port nào ở trạng thái standby. Port có priority nhỏ sẽ active và, lớn sẽ ở trạng thái standby
- Các mode trong lệnh channel-group On, Passive, active tuần tự tương tự như On, Auto , Desirable trong PAGP
Cấu hình cho sơ đồ thực tế:
1. Giải thích sơ bộ về sơ đồ trên:

Ở sơ đồ này ta lấy lại sơ đồ bài QoS trước để thực hiện Etherchannel giữa Core va Access Switch. Ở đây thì ta sử dụng 4 port fastethernet 0/1 – 0/4 làm etherchannel, Ta sẽ cấu hình ehterchannel dùng cả PAGP, và LACP. Trước hết ta cấu hình PAGP.
2. Show run

Access#show run
Building configuration...
Current configuration : 2238 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Access
!
enable password cisco
!
ip subnet-zero
no ip domain-lookup
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport trunk encapsulation isl
switchport mode trunk
no ip address
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/2
switchport trunk encapsulation isl
switchport mode trunk
no ip address
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/3
switchport trunk encapsulation isl
switchport mode trunk
no ip address
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/4
switchport trunk encapsulation isl
switchport mode trunk
no ip address
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/5
switchport access vlan 2
switchport mode access
no ip address
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
no ip address
!
interface FastEthernet0/10
no ip address
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface FastEthernet0/13
no ip address
!
interface FastEthernet0/14
no ip address
!
interface FastEthernet0/15
no ip address
!
interface FastEthernet0/16
no ip address
!
interface FastEthernet0/17
no ip address
!
interface FastEthernet0/18
no ip address
!
interface FastEthernet0/19
no ip address
!
interface FastEthernet0/20
no ip address
!
interface FastEthernet0/21
no ip address
!
interface FastEthernet0/22
no ip address
!
interface FastEthernet0/23
no ip address
!
interface FastEthernet0/24
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
ip address 192.168.5.2 255.255.255.0
define interface-range cuong FastEthernet0/1 - 4
!
ip classless
ip http server
!
!
!
line con 0
logging synchronous
line vty 0 4
no login
line vty 5 15
login
!
end
Core#show run
Building configuration...
Current configuration : 3016 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Core
enable password cisco
!
ip subnet-zero
ip routing
!
no ip domain-lookup
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface Port-channel1
switchport trunk encapsulation isl
switchport mode dynamic desirable
!
interface FastEthernet0/1
switchport trunk encapsulation isl
switchport mode dynamic desirable
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/2
switchport trunk encapsulation isl
switchport mode dynamic desirable
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/3
switchport trunk encapsulation isl
switchport mode dynamic desirable
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/4
switchport trunk encapsulation isl
switchport mode dynamic desirable
duplex full
speed 100
channel-group 1 mode desirable
!
interface FastEthernet0/5
no switchport
ip address 192.168.3.2 255.255.255.0
duplex half
speed 100
!
interface FastEthernet0/6
switchport mode dynamic desirable
!
interface FastEthernet0/7
switchport mode dynamic desirable
!
interface FastEthernet0/8
switchport mode dynamic desirable
interface FastEthernet0/9
switchport mode access
!
interface FastEthernet0/10
switchport mode dynamic desirable
!
interface FastEthernet0/11
switchport mode dynamic desirable
!
interface FastEthernet0/12
switchport mode dynamic desirable
!
interface FastEthernet0/13
switchport mode dynamic desirable
!
interface FastEthernet0/14
switchport mode dynamic desirable
!
interface FastEthernet0/15
switchport mode dynamic desirable
!
interface FastEthernet0/16
switchport mode dynamic desirable
!
interface FastEthernet0/17
switchport mode dynamic desirable
!
interface FastEthernet0/18
switchport mode dynamic desirable
!
interface FastEthernet0/19
switchport mode dynamic desirable
!
interface FastEthernet0/20
switchport mode dynamic desirable
!
interface FastEthernet0/21
switchport mode dynamic desirable
!
interface FastEthernet0/22
switchport mode dynamic desirable
!
interface FastEthernet0/23
switchport mode dynamic desirable
!
interface FastEthernet0/24
switchport mode dynamic desirable
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 192.168.5.1 255.255.255.0
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
define interface-range cuong FastEthernet0/1 - 4
!
router ospf 1
log-adjacency-changes
passive-interface Port-channel1
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0
!
ip classless
ip http server
line con 0
logging synchronous
line vty 0 4
password cisco
no login
line vty 5 15
login
!
!
monitor session 1 source interface Po1
monitor session 1 destination interface Fa0/10
end

R1# show run
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
enable password cisco
!
memory-size iomem 10
ip subnet-zero
no ip domain-lookup
!
interface Loopback1
ip address 11.1.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
half-duplex
!
interface Serial0/0
no ip address
encapsulation frame-relay
no fair-queue
clockrate 64000
!
interface Serial0/0.122 point-to-point
ip address 172.16.1.1 255.255.255.0
frame-relay interface-dlci 122
!
interface Serial0/1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 11.0.0.0 0.0.0.255 area 0
network 172.16.1.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip classless
ip http server
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
!
line con 0
logging synchronous
transport input none
line aux 0
line vty 0 4
no login
!
end
R2#show run
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R2
!
enable password cisco
memory-size iomem 10
ip subnet-zero
no ip domain-lookup
!
-max-time 200
!
interface FastEthernet0/0
ip address 192.168.3.1 255.255.255.0
no ip directed-broadcast
speed 100
!
interface Serial0/0
no ip address
no ip directed-broadcast
encapsulation frame-relay
no ip mroute-cache
no fair-queue
clockrate 64000
cdp enable
frame-relay lmi-type cisco
!
interface Serial0/0.221 point-to-point
ip address 172.16.1.2 255.255.255.0
no ip directed-broadcast
frame-relay interface-dlci 221
!
interface Serial0/1
no ip address
no ip directed-broadcast
shutdown
!
router ospf 1
network 172.16.1.0 0.0.0.255 area 0
network 172.16.3.0 0.0.0.255 area 0
network 0.0.0.0 255.255.255.255 area 0
!
router rip
network 192.168.3.0
!
ip classless
ip http server
!
access-list 101 permit ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
line con 0
logging synchronous
transport input none
line aux 0
line vty 0 4
no login
!
no scheduler allocate
end
3. Kiểm tra:

- Show etherchannel port : để xem trạng thái của tất cả các port trong group

Core#show etherchannel port
Channel-group listing:
-----------------------
Group: 1
----------
Ports in the group:
-------------------
Port: Fa0/1
------------
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Desirable-Sl Gcchange = 0
Port-channel = Po1 GC = 0x00010001 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/1 SC U6/S7 H 30s 1 128 Any 29
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/1 Access 000d.bc33.2b00 Fa0/1 0s SC 10001
Age of the port in the current state: 00d:00h:06m:04s
Port: Fa0/2
------------
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Desirable-Sl Gcchange = 0
Port-channel = Po1 GC = 0x00010001 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/2 SC U6/S7 H 30s 1 128 Any 29
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/2 Access 000d.bc33.2b00 Fa0/2 2s SC 10001
Age of the port in the current state: 00d:00h:32m:20s
Port: Fa0/3
------------
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Desirable-Sl Gcchange = 0
Port-channel = Po1 GC = 0x00010001 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/3 SC U6/S7 H 30s 1 128 Any 29
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/3 Access 000d.bc33.2b00 Fa0/3 14s SC 10001
Age of the port in the current state: 00d:00h:04m:19s
Channel group = 1 Mode = Desirable-Sl Gcchange = 0
Port-channel = Po1 GC = 0x00010001 Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = PAgP
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Local information:
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/4 SC U6/S7 H 30s 1 128 Any 29
Partner's information:
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/4 Access 000d.bc33.2b00 Fa0/4 14s SC 10001
Age of the port in the current state: 00d:00h:48m:29s

- Ta có thể sử dụng lệnh show etherchannel summary để dễ xem xét hơn.
Core#show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) PAgP Fa0/1(P) Fa0/2(P) Fa0/3(P)
Fa0/4(P)
4. Kiểm tra bằng Ethereal:


- Khi 4 port đều up


- Khi ta shut dow một cổng của group đó là fa0/2 và fa0/3 ta có kết quả sau :
5. Cấu hình LACP :

Đối với cấu hình này thì ta cũng sữ dụng 4 interface fa0/1- fa0/4 làm etherchannel, Ở đây chỉ xét đến 2 Switch Core và Switch Access thôi
- Show run để kiểm tra cấu hình
Core#sho run
Building configuration...
Current configuration : 2142 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Core
!
enable password cisco
!
ip subnet-zero
!
lacp system-priority 100
!
interface Port-channel1
no ip address
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/4
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/5
switchport mode access
no ip address
spanning-tree portfast
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
!
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
no ip address
interface FastEthernet0/10
no ip address
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface FastEthernet0/13
no ip address
!
interface FastEthernet0/14
no ip address
!
interface FastEthernet0/15
no ip address
!
interface FastEthernet0/16
no ip address
!
interface FastEthernet0/17
no ip address
!
interface FastEthernet0/18
no ip address
!
interface FastEthernet0/19
no ip address
!
interface FastEthernet0/20
no ip address
!
interface FastEthernet0/21
no ip address
!
interface FastEthernet0/22
no ip address
!
interface FastEthernet0/23
no ip address
!
interface FastEthernet0/24
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
ip address 192.168.5.1 255.255.255.0
define interface-range cuong FastEthernet0/1 - 4
!
ip classless
ip http server
!
line con 0
line vty 0 4
no login
line vty 5 15
login
monitor session 1 source interface Po1
monitor session 1 destination interface Fa0/5
end

Access#show run
Building configuration...
Current configuration : 2693 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Access
!
enable password cisco
!
ip subnet-zero
!
no ip domain-lookup
!
spanning-tree mode pvst
spanning-tree extend system-id
lacp system-priority 10
!
interface Port-channel1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
speed 100
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
speed 100
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
speed 100
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/4
switchport trunk encapsulation dot1q
switchport mode trunk
duplex full
speed 100
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/5
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/6
switchport mode dynamic desirable
!
interface FastEthernet0/7
switchport mode dynamic desirable
!
interface FastEthernet0/8
switchport mode dynamic desirable
!
interface FastEthernet0/9
switchport mode dynamic desirable
!
interface FastEthernet0/10
switchport mode dynamic desirable
!
interface FastEthernet0/11
switchport mode dynamic desirable
!
interface FastEthernet0/12
switchport mode dynamic desirable
!
interface FastEthernet0/13
switchport mode dynamic desirable
!
interface FastEthernet0/14
switchport mode dynamic desirable
!
interface FastEthernet0/15
switchport mode dynamic desirable
interface FastEthernet0/16
switchport mode dynamic desirable
!
interface FastEthernet0/17
switchport mode dynamic desirable
!
interface FastEthernet0/18
switchport mode dynamic desirable
!
interface FastEthernet0/19
switchport mode dynamic desirable
!
interface FastEthernet0/20
switchport mode dynamic desirable
!
interface FastEthernet0/21
switchport mode dynamic desirable
!
interface FastEthernet0/22
switchport mode dynamic desirable
!
interface FastEthernet0/23
switchport mode dynamic desirable
!
interface FastEthernet0/24
switchport mode dynamic desirable
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 192.168.5.2 255.255.255.0
define interface-range cuong FastEthernet0/1 - 4
!
ip classless
ip http server
line con 0
logging synchronous
line vty 0 4
no login
line vty 5 15
login
!
end
6. Kiểm tra :

- Lệnh show lacp neighbor:
SW1#show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 1 neighbors
Partner's information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/1 00010,000d.299a.7e00 0x0 29s SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3D
Partner's information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/2 00010,000d.299a.7e00 0x1 11s SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3D
Partner's information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/3 00010,000d.299a.7e00 0x2 27s SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3D
Partner's information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/4 00010,000d.299a.7e00 0x3 12s SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3D
- Kiểm tra trạng thái các port bằng show lacp internal hoặc show etherchannel detail
SW1#show lacp internal
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 1
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
Fa0/1 SA bndl 32768 0x1 0x1 0x0 0x3D
Fa0/2 SA bndl 32768 0x1 0x1 0x1 0x3D
Fa0/3 SA bndl 32768 0x1 0x1 0x2 0x3D
Fa0/4 SA bndl 32768 0x1 0x1 0x3 0x3D
- Kiểm tra sys priority bằng lệnh
Sw2#show lacp sys-id
150 ,000d.299a.7e00

- Bằng Ethereal thì tương tự như trong trường hợp PAGP

Lab GLBP - Gateway Load-balancing Protocol

Mô hình Lab:

Yêu cầu

1) Cấu hình cơ bản
2) Cấu hình địa chỉ IP như mô hình LAB
3) Định tuyến OSPF giữa Core và Distribution
4) Cấu hình GLBP cho các DS như sau :

- DS 1 : priority 150
weight 150 lower 90 upper 120
chiếm quyền sau 30s

- DS2 : priority 120
weight 120 lower 80 upper 100
chiếm quyền sau 30s

- DS3 : priority default
weight default
chiếm quyền sau 30s

5) Dùng command để kiểm tra các trạng thái của GLBP

6) Cấu hình tracking trên DS1 như sau

- Track line - protocol : interface f0/0 của R1 bị up/down thì giảm weight 80
- Track ip routing : interface f0/0 của R1 bị mất địa chỉ IP thì giảm weight 50
- Track ip route : nếu địa chỉ 1.1.1.0/24 không có trong bảng định tuyến thì giảm weight 40

7) Test

Trên client :

- Cấu hình default route chỉ về ip next-hop là 192.168.123.254
- Ping liên tục địa chỉ 1.1.1.1
- Shutdown lần lượt các interface DS1-f0/1 & DS2-f0/0. Sau đó quan sát kết quả

Thực hiện

1) Cấu hình cơ bản

Router(config)#hostname DS1
DS1(config)#line con 0
DS1(config-line)#logg synch
DS1(config-line)#exec-timeout 0 0
DS1(config-line)#exit
DS1(config)#no ip domain lookup

Tương tự cho các Router còn lại


2) Đặt IP như mô hình lab

DS1(config)#int f0/0
DS1(config-if)#no shut
DS1(config-if)#ip add 192.168.14.1 255.255.255.0
DS1(config-if)#exit
DS1(config)#int f0/1
DS1(config-if)#no shut
DS1(config-if)#ip add 192.168.123.1 255.255.255.0


DS2(config)#int f0/1
DS2(config-if)#ip address 192.168.24.2 255.255.255.0
DS2(config-if)#exit
DS2(config)#int f0/0
DS2(config-if)#no shut
DS2(config-if)#ip add 192.168.123.2 255.255.255.0


DS3(config)#int f0/1
DS3(config-if)#no shut
DS3(config-if)#ip address 192.168.34.3 255.255.255.0
DS3(config-if)#exit
DS3(config)#int f0/0
DS3(config-if)#no shut
DS3(config-if)#ip add 192.168.123.3 255.255.255.0


Core(config)#int f0/0
Core(config-if)#no shut
Core(config-if)#ip address 192.168.14.4 255.255.255.0
Core(config-if)#exit
Core(config)#int f0/1
Core(config-if)#no shut
Core(config-if)#ip add 192.168.24.4 255.255.255.0
Core(config-if)#exit
Core(config)#int f1/0
Core(config-if)#no shut
Core(config-if)#ip add 192.168.34.4 255.255.255.0
Core(config-if)#exit
Core(config)#int loo0
Core(config-if)#ip address 1.1.1.1 255.255.255.0
Core(config-if)#ip ospf network point-to-point

3) Định tuyến OSPF giữa Core & Distribution

DS1(config)#router ospf 1
DS1(config-router)#network 192.168.14.0 0.0.0.255 a 0
DS1(config-router)#network 192.168.123.0 0.0.0.255 a 0
DS1(config-router)#router-id 1.1.1.1

DS2(config)#router ospf 1
DS2(config-router)#network 192.168.24.0 0.0.0.255 a 0
DS2(config-router)#network 192.168.123.0 0.0.0.255 a 0
DS2(config-router)#router-id 2.2.2.2


DS3(config)#router ospf 1
DS3(config-router)#network 192.168.34.0 0.0.0.255 a 0
DS3(config-router)#network 192.168.123.0 0.0.0.255 a 0
DS3(config-router)#router-id 3.3.3.3

Core(config)#router ospf 1
Core(config-router)#network 192.168.14.0 0.0.0.255 a 0
Core(config-router)#network 192.168.24.0 0.0.0.255 a 0
Core(config-router)#network 192.168.34.0 0.0.0.255 a 0
Core(config-router)#network 1.1.1.1 0.0.0.0 a 0
Core(config-router)#router-id 4.4.4.4

4) Cấu hình GLBP

DS1(config)#int f0/1
DS1(config-if)#glbp 1 ip 192.168.123.254
DS1(config-if)#glbp 1 priority 150
DS1(config-if)#glbp 1 weighting 150 lower 90 upper 120
DS1(config-if)#glbp 1 preempt
DS1(config-if)#glbp 1 preempt delay minimum 30

DS2(config)#int f0/0
DS2(config-if)#glbp 1 ip 192.168.123.254
DS2(config-if)#glbp 1 priority 120
DS2(config-if)#glbp 1 weighting 120 lower 80 upper 100
DS2(config-if)#glbp 1 preempt
DS2(config-if)#glbp 1 preempt delay minimum 30

DS3(config)#int f0/0
DS3(config-if)#glbp 1 ip 192.168.123.254
DS3(config-if)#glbp 1 preempt
DS3(config-if)#glbp 1 preempt delay minimum 30

5) Dùng command : show glbp brief để kiểm tra

6) Cấu hình tracking

a) Tracking line - protocol

DS1(config)#track 80 interface f0/0 line-protocol

DS1(config)#int f0/1
DS1(config-if)#glbp 1 weighting track 80 decrement 80

Vào shutdown interface f0/0 của R1

DS1(config)#int f0/0
DS1(config-if)#shutdown

Ta thấy khoảng thời gian từ lúc interface f0/0 bị down cho đến khi Router DS1 chuyển trạng thái từ Active sang Listen là 30s – thời gian preempt, và giá trị weighting đã giảm xuống còn 70

 

b) Track ip routing

DS1(config)#track 50 interface f0/0 ip routing
DS1(config-if)#glbp 1 weighting track 50 decrement 50

Vào interface f0/0 của DS1, xóa địa chỉ IP, sau đó dùng command show để xem kết quảDS1(config)#interface f0/0
DS1(config-if)#no ip address

c) Track IP route

DS1(config)#track 40 ip route 1.1.1.0/24 reachability

DS1(config-if)#glbp 1 weighting track 40 decrement 40

Vào Router Core,shutdown interface Loopback0

Core(config)# interface loopback0
Core(config-if)# shutdown

Dùng command show để xem kết quả

7) Cấu hình trên Client

Client(config)#int f0/0
Client(config-if)#no shut
Client(config-if)#ip address 192.168.123.5 255.255.255.0

Client(config)#ip route 0.0.0.0 0.0.0.0 192.168.123.254

Client ping liên tục tới địa chỉ 1.1.1.1/24

Sau đó lần lượt shutdown các interface DS1-f0/1 và DS2-f0/0.

DS1(config)#interface f0/1
DS1(config-if)#shutdown

DS2(config)#interface f0/0
DS2(config-if)#shutdown

Quan sát kết quả ping.

Lab về DMVPN

Các bước thực hiện cho cấu hình:

Bước 1 : Cấu hình cho các Router thấy nhau

Spoke 1:
Router#config terminal
Router(config)# hostname Spoke1
Spoke1(config)# interface f0/0
Spoke1(config-if)# ip address 172.30.1.1 255.255.255.0
Spoke1(config-if)# no shutdown
Spoke1(config-if)# exit
Spoke1(config)# interface f0/1
Spoke1(config-if)# ip address 192.168.1.1 255.255.255.0
Spoke1(config-if)# no shutdown
Spoke1(config-if)# exit
Spoke1(config)# ip route 0.0.0.0 0.0.0.0 172.30.1.2

Spoke 2:
Router# config terminal
Router(config)# hostname Spoke2
Spoke2(config)# interface f0/0
Spoke2(config-if)# ip address 172.30.3.1 255.255.255.0
Spoke2(config-if)# no shutdown
Spoke2(config-if)# exit
Spoke2(config)# interface f0/1
Spoke2(config-if)# ip address 192.168.2.1 255.255.255.0
Spoke2(config-if)# no shutdown
Spoke2(config-if)# exit
Spoke2(config)# ip route 0.0.0.0 0.0.0.0 172.30.3.2

HUB

Router#config terminal
Router(config)# hostname Hub
Hub(config)# interface f0/0
Hub(config-if)# ip address 172.30.2.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# interface loop back 0
Hub(config-if)# ip address 192.168.0.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# ip route 0.0.0.0 0.0.0.0 172.30.2.2

Thực hiện cấu hình đối với Spoke1

Bước 2: cấu hình phase 1 cho Spoke1

Spoke1(config)# crypto isakmp enable
Spoke1(config)# crypto isakmp policy 1
Spoke1(config-isakmp)# authentication pre-share
Spoke1(config-isakmp)# hash md5
Spoke1(config-isakmp)# exit
Spoke1(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0

Bước 3: cấu hình dmvpn cho Spoke1

Spoke1(config)# interface tunnel 0
Spoke1(config-if)# ip address 10.0.0.2 255.255.255.0
Spoke1(config-if)# ip mtu 1400
Spoke1(config-if)# ip nhrp authentication cisco47
Spoke1(config-if)# ip nhrp map 10.0.0.1 172.30.2.1
Spoke1(config-if)# ip nhrp hold-time 600
Spoke1(config-if)# ip nhs 10.0.0.1
Spoke1(config-if)# no ip next-hop-self eigrp 1
Spoke1(config-if)# ip map multicast 172.30.2.1
Spoke1(config-if)# ip nhrp network-id 100
Spoke1(config-if)# tunnel source f0/0
Spoke1(config-if)# tunnel key 1000
Spoke1(config-if)# tunnel mode gre multipoint
Spoke1(config-if)# tunnel protection ipsec profile dmvpn

Bước 4: cấu hình phase 2 cho Spoke1

Spoke1(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Spoke1(config)# crypto map dmvpn local-address f0/0
Spoke1(config)# crypto map dmvpn 10 ipsec-isakmp
Spoke1(config-crypto-map)# set peer 172.30.2.1
Spoke1(config-crypto-map)# set security-association level per-host
Spoke1(config-crypto-map)# set transform-set myset
Spoke1(config-crypto-map)# match address 101
Spoke1(config-crypto-map)# exit
Spoke1(config)# access-list 101 permit gre 172.30.1.0 0.0.0.255 host 172.30.2.1

Bước 5: định tuyến dùng giao thức EIGRP

Spoke1(config)# router eigrp 1
Spoke1(config-router)# network 10.0.0.0 0.0.0.255
Spoke1(config-router)# network 192.168.1.0 0.0.0.255
Spoke1(config-router)# no auto-summary

Thực hiện cấu hình đối với Spoke2

Bước 2: cấu hình phase 1 cho Spoke2

Spoke2(config)# crypto isakmp enable
Spoke2(config)# crypto isakmp policy 1
Spoke2(config-isakmp)# authentication pre-share
Spoke2(config-isakmp)# hash md5
Spoke2(config-isakmp)# exit
Spoke2(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0

Bước 3: cấu hình dmvpn cho Spoke2

Spoke2(config)# interface tunnel 0
Spoke2(config-if)# ip address 10.0.0.3 255.255.255.0
Spoke2(config-if)# ip mtu 1400
Spoke2(config-if)# ip nhrp authentication cisco47
Spoke2(config-if)# ip nhrp map 10.0.0.1 172.30.2.1
Spoke2(config-if)# ip nhrp hold-time 600
Spoke2(config-if)# ip nhs 10.0.0.1
Spoke2(config-if)# no ip next-hop-self eigrp 1
Spoke2(config-if)# ip map multicast 172.30.2.1
Spoke2(config-if)# ip nhrp network-id 100
Spoke2(config-if)# tunnel source f0/0
Spoke2(config-if)# tunnel key 1000
Spoke2(config-if)# tunnel mode gre multipoint
Spoke2(config-if)# tunnel protection ipsec profile dmvpn

Bước 4: cấu hình phase 2 cho spoke2

Spoke2(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Spoke2(config)# crypto map dmvpn local-address f0/0
Spoke2(config)# crypto map dmvpn 10 ipsec-isakmp
Spoke2(config-crypto-map)# set peer 172.30.2.1
Spoke2(config-crypto-map)# set security-association level per-host
Spoke2(config-crypto-map)# set transform-set myset
Spoke2(config-crypto-map)# match address 101
Spoke2(config-crypto-map)# exit
Spoke2(config)# access-list 101 permit gre 172.30.3.0 0.0.0.255 host 172.30.2.1

Bước 5: định tuyến dùng giao thức EIGRP

Spoke2(config)# router eigrp 1
Spoke2(config-router)# network 10.0.0.0 0.0.0.255
Spoke2(config-router)# network 192.168.2.0 0.0.0.255
Spoke2(config-router)# no auto-summary

Thực hiện cấu hình cho HUB

Router(config)# hostname Hub
Hub(config)# crypto isakmp enable
Hub(config)# crypto isakmp policy 1
Hub(config-isakmp)# authentication pre-share
Hub(config-isakmp)# hash md5
Hub(config-isakmp)# exit
Hub(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
Hub(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac

# tạo IPSec profile
Hub(config)# crypto ipsec profile dmvpn
Hub(config-profile)# set transform-set myset
Hub(config)# interface tunnel 0

# cấu hình dmvpn
Hub(config-if)# ip address 10.0.0.1 255.255.255.0
Hub(config-if)# ip mtu 1400
Hub(config-if)# ip nhrp authentication cisco47
Hub(config-if)# ip nhrp multicast dynamic
Hub(config-if)# ip nhrp hold-time 600
Hub(config-if)# tunnel source f0/0
Hub(config-if)# tunnel mode gre multipoint
Hub(config-if)# tunnel key 1000
Hub(config-if)# tunnel protection ipsec profile dmvpn
Hub(config-if)# exit
Hub(config)# interface f0/1
Hub(config-if)# ip address 192.168.0.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# interface f0/0
Hub(config-if)# ip address 172.30.2.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit

# định tuyến dùng giao thức EIGRP
Hub(config)# router eigrp 1
Hub(config-router)# network 10.0.0.0 0.0.0.255
Hub(config-router)# network 192.168.0.0 0.0.0.255
Hub(config-router)# no auto-summary

Kiểm tra kết quả
Thực hiện ping từ PC1 đến PC2

Thực hiện Ping từ PC1 đến 192.168.0.1

KHÁI QUÁT VỀ DMVPN

I. KHÁI QUÁT VỀ DMVPN

1) DMVPN là gì ?

Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo một cách dễ dàng.

2) Ưu điểm của DMVPN

Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels

3) Các công nghệ sử dụng

· IPSec (Internet Protocol SECurity)

Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên mode Tunnel , nội dung và tiêu đề của gói tin được mã hoá. cả hai đều được bảo vệ

· mGRE (Generic Routing Encapsulation)

Giao thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các Router ở xa trong cấu trúc mạng IP.

· NHRP (Next Hop Resolution Protocol)

Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác.

4. Hoạt động của DMVPN

DMVPN là giải pháp phần mềm của hệ điều hành cisco.

DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm :

- Next Hop Resolution Protocol (NHRP)

o HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke

§ mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động.

§ Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp.

o Multipoint GRE Tunnel Interface

§ Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels

§ Kích thước đơn giản và cấu hình phức tạp

- DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.

- Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server.

- Khi 1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích.

- đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích.

- Tunnel từ spoke-to-spoke được xây dựng qua mGRE tunnel

5. Định tuyến với DMVPN

- Định tuyến động được yêu cầu qua tunnel Hub-to-spoke.

- Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub.

- IP next-hop cho 1 mạng spoke là interface tunnel cho spoke.

- Các giao thức định tuyến được dùng:

o Enhanced Interior Gateway Routing Protocol (EIGRP)

o Open Shortest Path First (OSPF)

o Border Gateway Protocol (BGP)

o Routing Information Protocol (RIP)

6. DMVPN phase

o Phase 1 : Tính năng của Hub và Spoke

o Phase 2 : Tính năng của spoke-to-spoke

o Phase 3 : Khả năng thay đổi spoke-to-spoke để quy mô các mạng được mở rộng .

IPSec + GRE đối với DMVPN phase 1

Hub-to-Spoke

Tính năng :

- Tất cả lưu lượng đi qua phải thông qua Hub

- Triển khai dễ dàng

- Files cấu hình Hub nhỏ

Ưu điểm của DMVPN phase 1

- Hub và spoke cấu hình đơn giản và nhỏ gọn

- Hỗ trợ Multicast traffic từ Hub đến các spoke

- Hỗ trợ địa chỉ cho các spoke một cách linh động

phase 2:

- Trong phase 2 NHRP khởi động NHC-to-NHS tunnel và giao thức định tuyến động thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà Hub có và tất cả các spoke. Các thông tin này là : ip next hop của spoke đích và hỗ trợ riêng mạng đích.

- Khi 1 gói tin được forward nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu . Nếu interface NHRP là interface outbound nó sẽ tìm NHRP mapping vào IP next hop . Nếu không có sự trùng khớp của bảng NHRP mapping, thì NHRP được kích khởi để gửi NHRP resolution request đến thông tin mapping (địa chỉ IP next hop đến địa chỉ vật lý layer). NHRP registration reply packet chứa thông tin mapping này và khi thông tin này được nhận các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng.

Phase 3:

- NHRP khởi động NHC và NHS tunnel và giao thức định tuyến động được dùng để phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến Hub. Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke, nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến . Nó sẽ đặt IP next hop của tất cả các mạng đích đến NHS (hub). Điều này làm giảm lượng thông tin trong bảng giao thức định tuyến cần để phân phối từ Hub đến các spoke, giảm việc cập nhật giao thức định tuyến đang chạy trên hub.

- Khi data packet được forward, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface outbound thì nó sẽ tìm mapping NHRP vào IP next hop . Trong trường hợp này IP next hop sẽ được hub coi như là NHRP mapping (nó đã cài 1 tunnel với hub) , các spoke sẽ chỉ gửi data packet đến Hub.

- Hub nhận được data packet và nó kiểm tra bảng định tuyến. Vì data packet này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ forward ra khỏi interface NHRP đến next hop về hướng spoke. Tại đây, hub phát hiện packet đến và gửi nó ra khỏi interface NHRP. Có nghĩa là data packet chiếm ít nhất 2 hop trong mạng NHRP và do đó đường này thông qua hub không phải là 1 đường tối ưu . Cho nên hub gửi trực tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này kích khởi NHRP.

- Khi spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại . NHRP resolution request sẽ forward đến spoke đầu xa các dịch vụ mạng cho IP đích.

- Spoke đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA của nó và toàn bộ subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP resolution reply trực tiếp trở lại spoke nội bộ . Đến thời điểm này đã đầy đủ thông tin cho data traffic được gửi trực tiếp qua spoke-to-spoke mà đường dẫn vừa được tạo.

- Bảng định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng khi xây dựng tunnel spoke-to-spoke. Do đó khả năng của NHS (các hub) là tới hạn cho tính năng của mạng NHRP . khi chỉ có 1 hub mà hub đó bị down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. bởi vì nó bị mất hub giống như mất đi routing neighbor. Tuy nhiên, spoke không xoá bất kỳ tunnels spoke-to-spoke (NHRP mapping) mà vẫn còn hoạt động. Mặc dù tunnel spoke-to-spoke vẫn còn nhưng nó không được sử dụng vì trong bảng định tuyến không còn đường đi nào đến mạng đích nữa.

- Trong quá trình bổ sung thêm , Khi bảng định tuyến đưa vào bị xoá không được kích hoạt đến NHRP. kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down.

- Trong phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là định tuyến tĩnh) với chính xác IP next hop thì spoke vẫn có thể dùng spoke-to-spoke tunnel ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi NHRP mapping đưa vào vì NHRP resolution yêu cầu hoặc cần đáp ứng để đi qua hub.

- Trong phase 3, ta chỉ cần định tuyến ra interface tunnel, không cần phải chính xác IP next hop ( NHRP bỏ qua IP next-hop trong phase 3). NHRP có khả năng làm tươi NHRP mapping . Vì NHRP resolution yêu cầu hoặc đáp ứng sẽ đi qua trực tiếp spoke-to-spoke tunnel.

Nếu ta có 2 (hoặc nhiều hơn) NHS Hub trong 1 mạng NBMA (1 mGRE, frame-relay , hoặc ATM interface) , sau khi hub đầu tiên bị down, spoke Router sẽ loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này, nhưng nó sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc này định tuyến sẽ được thiết lập ngay. Do đó lưu lượng spoke-to-spoke sẽ tiếp tục đi qua spoke-spoke tunnel, và nó không bị ảnh hưởng bởi hub đầu tiên.