CCNA




















HỌC KỲ 3

Tài liệu hướng dẫn
Version 1.0



Mục Lục
(Học kỳ 2)


Bài 1: Giới thiệu Review LAB……………………………………………………………. 1-1
Bài 2: Triển khai VLANs và Trunks………………………………………………………. 2-1
Bài 3: Cải tiến hiệu suất với Spanning Tree.……………………………………………… 3-1
Bài 4: Định tuyến giữa các VLAN ………………………………………………………. 4-1
Bài 5: Bảo mật mạng mở rộng……… …………………………………………………… 5-1
Bài 6: Xử lý lỗi mạng Switch……….…………………………………………………… 6-1
Bài 7: Tổng quan họat động định tuyến…… …………………………………………… 7-1

Bài 8: Thiết lập VLSM… ………………………………………………………………… 8-1
Bài 9: Tirển khai OSPF……………………………………………….…………………… 9-1
Bài 10: Chuần đoán và xử lý lỗi OSPF…………………………………………………… 10-1

1-1
1-1
Thiết lập một mạng nhỏ
Bài 1: Giới thiệu
Review Lab
1-2
1-2
Các chức năng của Cisco IOS User Interface
 CLI được dùng để nhập lệnh.
 Có những họat động khác nhau giữa router
và switch, nhưng cả hai dùng chung CLI.
 Phím Enter dùng để thiết bị phân tích và
thực thi một lệnh.
 CLI dùng tập lệnh có phân tầng theo từng chế
độ cấu hình.
 Người sử dụng có thể đánh trực tiếp hoặc
dán cấu hình thông qua cổng console.
 Các chế độ cấu hình có các giao diện khác
nhau.
 2 chế độ cấu hình chính la chế độ User và
chế độ Privileged.
 Những sự thay đổi cấu hình không được lưu
trữ tự động.
1-3
1-3
Overview of Cisco IOS

Configuration Modes
1-4
1-4
Help Facilities of the Cisco IOS CLI
1-5
1-5
Commands Review Discussion
 What does the command accomplish?
 From what configuration mode is the command executed?
1-6
1-6
Access to the Remote Labs
Use this module review to complete an introductory lab,
which will become the basis for all subsequent lab activities.
1-7
1-7
Tóm tắt
 Cấu hình cơ bản của router va switch bao gồm cấu hình
hostname để xác định thiết bị, cấu hình các mật khẩu
(passwords) để bảo mật, và cấu hình địa chỉ IP để tạo kết nôi.
 Bạn dùng CLI để nhập lệnh.
 Bạn dùng lệnh configure terminal để chuyển vào Global
configuration mode. Để thóat khỏi Global configuration mode bạn
có thể dùng lệnh end hoặc nhấn tổ hợp phím Ctrl-Z.
 CLI cung cấp cho bạn cơ chế context-sensitive help, console
error messages, và command history buffer.
1-8
1-8
2-1
2-1

Xây dựng mạng switch kích thước trung bình
Bài 2: Triển khai
VLANs và Trunks
2-2
2-2
Những vấn đề trong một mạng được thiết kế
nghèo nàn
 Không phân ranh giới được
nhứng domain lỗi
 Broadcast domain lớn
 Khối lượng không biết địa
chỉ MAC của thông tin
unicast lớn
 Không phân ranh giới được
những thông tin multicast
 Khó khăn trong quản lý và
hỗ trợ
 Có thể bị tổn thương về bảo
mật
Một mạng được thiết kế nghèo nàn sẽ làm tăng chi phí hỗ trợ, làm giảm những
dịch vụ có sẵn, và hạn chế hỗ trợ những ứng dụng và giải pháp mới. Hiệu suất
ít làm ảnh hưởng đến những người dùng cuối và truy cập đến những tài nguyên
trung tâm. Một vài vấn đề được đưa ra từ việc thiết kế mạng nghèo nàn như
sau:
•Domain lỗi: một trong những lý do quan trọng nhất để triển khai một thiết kế
mạng hiệu quả là lỗi xảy ra trong phạm vi nhỏ nhất. Khi những đường biên
tầng 2 và 3 không được định nghĩa rõ ràng, lỗi trong một mạng có thể có ảnh
hưởng rộng
•Broadcast domain: broadcast tồn tại trong mỗi mạng. Nhiều ứng dụng và thao
tác mạng yêu cầu tính năng broadcast; vì thế không thể lọai bỏ chúng triệt để.

Trong hòan cảnh này phải định nghĩa những đường ranh giới một cách rõ ràng,
broadcast domain cũng nên có đường biên rõ ràng và một số thiết bị để làm
giảm tối thiểu ảnh hưởng broadcast
•Khối lượng không biết địa chỉ MAC của thông tin unicast lớn: cisco catalyst
switch giới hạn chuyển những unicast frame, có địa chỉ unicast, đến các port.
Tuy nhiên, khi một frame có địa chỉ đích không tồn tại trong bảng địa chỉ
MAC, nó được flood ra tất cả các port ngọai trừ port nhận. Hành vi này được
gọi là “unknown MAC unicast flooding”. Hành động flood này làm vượt traffic
trên tất cả các port của switch, card mạng phải đấu tranh với số lượng frame
lớn trên dây. Và khi dữ liệu được lan truyền trên dây mà nó không có mục
đích, bảo mật có thể bị đe dọa
2-3
•Thông tin multicast đến các port không mong muốn: địa chỉ IP multicast là
một kỹ thuật cho phép thông tin IP được lan truyền từ một người gởi đến một
nhóm người nhận bằng cách dùng cặp địa chỉ IP và MAC multicast. Giống như
việc flood unicast và broadcast, những multicast frame cũng được flood ra tất
cả các port trên switch. Một thiết kế thích hợp cho phép ngăn chặn những
multicast frame trong khi vẫn cho phép chúng họat động
•Khó khăn trong việc quản lý và hỗ trợ: một mạng được thiết kế nghèo nàn có
thể bị phá rối và cung cấp tư liệu nghèo nàn và thiếu dòng thông tin được định
nghĩa. Nó làm cho việc hỗ trợ, duy trì, và giải quyết vấn đề khó khăn và tốn
thời gian.
•Có thể bị tổn thương về bảo mật: một mạng switch, nếu ít sự quan tâm về bảo
mật tại tầng access có thể đe dọa đến tính tòan vẹn của tòan mạng
Một mạng được thiết kế nghèo nàn luôn luôn có tác động ngược lại và trở
thành một gánh nặng về tài chính và hỗ trợ cho bất kỳ tổ chức nào
2-4
2-4
Tổng quan về VLAN
VLAN = Broadcast Domain = Logical Network (Subnet)

 Phân đọan
 Linh họat
 Bảo mật
Một VLAN là một broadcast domain logic mà có thể mở rộng trên nhiều LAN vật
lý. Trong một mạng switch, VLAN cung cấp sự phân đọan và linh họat trong tổ
chức. Bạn có thể thiết kế một cấu trúc VLAN mà cho phép bạn nhóm những máy
trạm lại với nhau theo tính năng, đội dự án, và các ứng dụng mà không quan tâm
đến vị tri của người dùng. Bạn có thể gán mỗi port của switch đến một VLAN,
theo cách đó tạo một tầng bảo mật. Những port trong cùng VLAN chia sẻ một
broadcast domain, những port trong các VLAN khác nhau không cùng broadcast
domain. VLAN cải tiến hiệu suất của mạng
Trong một mạng switch, VLANs cung cấp phân đọan và linh họat trong tổ chức.
Dùng kỹ thuật VLAN, bạn có thể nhóm những port và user kết nối đến port thành
những nhóm logic, chẳng hạn như những người cộng sự trong cùng phòng ban,
những nhóm sản xuất theo tính năng, hoặc những nhóm người dùng chia sẻ cùng
ứng dụng mạng
Một VLAN có thể tồn tại trên một switch đơn hoặc mở rộng trên nhiều switch.
Những VLAN có thể gồm những máy trạm trong một tòa nhà hoặc trên nhiều.
Những VLAN cũng có thể kết nối ngang qua WAN
2-5
2-5
Thiết kế VLANs cho một tổ chức
 Thiết kế VLAN phải quan tâm đến việc triển khai cơ chế địa chỉ
mạng phân cấp.
 Những lợi ích của địa chỉ phân cấp:
– Dễ quản ý và xử lý lỗi
– Hạn chế lỗi tối thiểu
– Giảm số dòng trong bảng định tuyến
Mỗi VLAN trong mạng switch tương ứng với một mạng IP. Vì thế thiết kế
VLAN phải quan tâm đến cơ chế địa chỉ mạng phân cấp. Địa chỉ mạng phân

cấp nghĩa là số mạng IP được gán đến những đọan mạng hay các VLAN trong
một mô hình có trật tự. Những nhóm địa chỉ mạng liên tục được giữ lại và cấu
hình trên những thiết bị trong một vùng mạng riêng biệt.
Một vài lợi ích của cơ chế địa chỉ phân cấp:
•Dễ quản lý và xử lý lỗi: một cơ chế địa chỉ phân cấp nhóm những địa chỉ
mạng một cách liên tục. Do đó, một cơ chế địa chỉ IP phân cấp giúp cho tìm,
quản lý mạng và xử lý lỗi nhiều hiệu quả hơn
•Ít lỗi hơn: gán địa chỉ mạng một cách có trật tự có thể hạn chế lỗi và gán địa
chỉ trùng lặp
•Giảm các dòng trong bảng định tuyến: trong một kế họach địa chỉ phân cấp,
các giao thức định tuyến có thể thi hành route summarization, cho phép một
dòng định tuyến đơn biểu diễn một tập hợp mạng IP. Route summarization làm
cho bảng định tuyến có nhiều khả năng quản lý và cung cấp những lợi ích sau:
•Chu kỳ CPU ít hơn khi tính tóan lại bảng định tuyến hoặc sắp xếp
những dòng của bảng định tuyến để tìm một dòng phù hợp
•Giảm bộ nhớ router
•Hội tụ nhanh hơn sau khi một thay đổi xảy ra trong mạng
•Xử lý lỗi dễ hơn
2-6
2-6
Hướng dẫn gán vùng địa chỉ IP
 Gán một IP Subnet trên một VLAN.
 Gán những vùng địa chỉ IP trong những block liên tục
Mô hình kiến trúc của hãng Cisco cung cấp một khung làm việc theo module cho việc
thiết kế và triển khai mạng. Nó cũng cung cấp một cấu trúc lý tưởng để phủ một cơ chế
địa chỉ IP phân cấp. Sau đây là một vài hướng dẫn:
•Thiết kế cơ chế địa chỉ IP để cho các block địa chỉ mạng là 2^n (ví dụ 4,8,16,32,…)
được gán đến các subnet của các switch tầng access và distibution. Với phương này cho
phép bạn summarize thành một địa chỉ mạng lớn hơn.
•Tại tầng distribution, tiếp tục gán địa chỉ mạng liên tục ngòai những thiết bị tầng access

•Một subnet cho một VLAN. Mỗi VLAN là một broadcast domain riêng biệt
•Khi có thể, subnet nên biểu diễn dạng binary để tránh chiều dài subnet mask thay đổi.
Cách này giúp hạn chế lỗi và mâu thuẫn khi xử lý lỗi hoặc khi cấu hình những thiết bị
hoặc segment mới
2-7
2-7
Những lọai thông tin trên mạng
Khi thiết kế VLAN cần phải xem xét
những lọai thông tin trên mạng
như:
 quản lý mạng
 IP telephone
 IP Multicast
 Dữ liệu thông thường
 Scavenger class
Sau đây liệt kê những lọai thông tin mạng khác nhau mà cần phải xem xét
trước khi đặt thiết bị và cấu hình VLAN
•Network management: nhiều lọai thông tin quản lý mạng khác nhau có thể tồn
tại trên mạng, chẳng hạn như BPDU, CDP update, SNMP, RMON. Để Làm
cho xử lý lỗi mạng dễ hơn, một vài người thiết kế gán một VLAN riêng để
mang những lọai thông tin quản lý mạng chính
•Ip telephone: có 2 lọai thông tin IP telephone: thông tin tín hiệu giữa các thiết
bị đầu cuối (điện thọai IP và softswitch, như Cisco Unified CallManager) và
những gói tin dữ liệu của chính cuộc hội thọai voice. Người thiết kế thường cấu
hình dữ liệu đến và từ điện thoại IP trên một VLAN riêng biệt được thiết kế
cho thông tin voice để mà chúng có thể áp dụng QoS để xét độ ưu tiên cao cho
thông tin voice
•Ip multicast: thông tin IP multicast được gởi từ một địa chỉ nguồn đến một
nhóm mà nó được định nghĩa bởi một cặp địa chỉ IP và MAC đích. Ví dụ, ứng
dụng tạo ra loại thông tin này là Cisco IP/TV broadcast và phần mềm bằng giao

diện đồ họa để cấu hình nhanh máy trạm và máy chủ. Thông tin multicast có
thể tạo ra khối lượng dòng dữ liệu lớn ngang qua mạng. Ví dụ, dữ liệu video từ
chương trình dạy trực tuyến, ứng dụng bảo mật, cisco meeting place, và Cisco
TelePresence tăng nhanh trên một vài mạng. Switch phải được cấu hình để
theo dõi những thông tin này được làm tràn ngập từ một thiết bị không yêu cầu,
và các router phải được cấu hình để chắc chắn rằng thông tin multicast được
chuyển đến đúng mạng được yêu cầu.
2-8
•Normal data: thông tin dữ liệu thông thường là thông tin ứng dụng điển hình
mà nó liên quan đến tập tin và dịch vụ in ấn, email, trình duyệt internet, truy
cập database, và các ứng dụng mạng chia sẻ khác. Dữ liệu này sẽ cần đối xử
cùng cách hoặc khác cách trong những phần khác nhau của mạng, phụ thuộc
vào khối lượng của mỗi lọai. Ví dụ lọai thông tin này là SMB, NCP, SMTP,
SQL, HTTP
•Scavenger class: gồm tất cả thông tin của các giao thức hay những mẫu mà
vượt quá dòng dữ liệu bình thường của chúng. Lọai thông tin này được sử dụng
để bảo vệ mạng từ dòng thông tin khác thường mà có thể làm nguy hiểm đến
các chương trình đang chạy ở các PC. Nó cũng được dùng cho thông tin “less
than best effort”, như thông tin peer-to-peer
2-9
2-9
Ưu điểm của Voice VLANs
 Các điện thọai được
phân đọan thành
những mạng logic
riêng biệt
 Cung cấp điều khiển
và phân đọan mạng
 Cho phép người
quản trị tạo và áp

dụng QoS
 Cho phép người
quản trị tạo và áp
dụng chính sách bảo
mật
Một vài Cisco Catalyst switch đưa ra một tính năng gọi là voice VLAN, mà cho phép bạn
triển khai một kỹ thuật voice trên mạng dữ liệu. Bạn có thể phân các điện thọai thành
những mạng logic riêng biệt, xem cơ sở hạ tầng voice và dữ liệu cùng vật lý
Tính năng voice VLAN đặt các điện thọai vào VLAN ngòai bất kỳ sự can thiệp của người
dùng cuối. Đơn giản, người dùng gắn điện thoại vào switch, và switch cung cấp cho điện
thọai những thông tin VLAN cần thiết
Có rất nhiều ưu điểm khi sử dụng voice VLAN. Người quản trị mạng có thể duy trì sự
phân chia VLAN một cách không ranh giới, ngay cả các điện thọai di chuyển đến vị trí
mới. Bằng cách đặt các điện thọai vào VLAN, người quản trị mạng có những ưu điểm về
phân đọan và điều khiển mạng. Nó cũng cho phép người quản trị giữ lại kỹ thuật IP đang
tồn tại và dễ gán điện thọai IP vào các subnet khác nhau bằng cách dùng DHCP.
Thêm vào đó, với điện thọai trong VLAN và subnet, người quản trị mạng có thể nhận
dạng và xử lý lỗ imạng một cách dễ dàng và tạo ra và áp dụng QoS hoặc chính sách bảo
mật
Với tính năng voice VLAN, người quản trị có tất cả ưu điểm về hội tụ cấu trúc hạ tầng vật
lý, trong lúc duy trì kỹ thuật logic riêng biệt cho thiết bị đầu cuối voice và data. Cấu hình
này tạo nhiều hiệu quả khi quản lý mạng có nhiều dịch vụ
2-10
2-10
Họat động của VLAN
Switch có họat động tương tự bridge. Mỗi VLAN mà bạn cấu hình trên switch
thi hành học, quyết định chuyển và lọc, và cơ chế tránh lặp khi nếu VLAN là
một bridge vật lý riêng biệt
Switch thi hành VLAN bằng cách giới hạn chuyển thông tin đến port đích
trong cùng VLAN. Vì thế, khi một frame đến 1 port trên switch, switch phải

truyền lại frame đó chỉ đến những port cùng VLAN. Trong thực tế, một VLAN
mà họat động trên một switch giới hạn truyền thông tin unicast, multicast, và
broadcast.
Một port thường chỉ mang thông tin cho VLAN đơn mà nó thuộc. Đối với một
VLAN mở rộng ngang qua nhiều switch, một đường trunk yêu cầu kết nối 2
switch. Một đường trunk có thể mang thông tin cho nhiều VLAN.
2-11
2-11
Những cơ chế thành viên của VLAN
Bạn cấu hình các port thuộc một VLAN phù hợp. Các port của Cisco catalyst
switch có thể có một trong các cơ chế thành viên sau:
•Static VLAN: người quản trị sẽ gán các port vào các VLAN một cách tĩnh
•Dynamic VLAN: cisco catalyst switch hỗ trợ dynamic VLAN bằng cách dùng
một VLAN Management Policy Server (VMPS). Một vài switch được thiết kế như
là một VMPS; bạn cũng có thể thiết kế một máy chủ như một VMPS. VMPS chứa
một cơ sở dữ liệu mà nó ánh xạ địa chỉ MAC được gán vào VLAN nào. Khi một
frame đến một port động trên switch, switch truy vấn VMPS server để biết VLAN
nào được gán với địa chỉ MAC nguồn của frame vừa nhận. Tại một thời điểm, một
port động chỉ thuộc một VLAN. Nhiều host có thể họat động trên một port động
chỉ khi chúng cùng VLAN.
•Voice VLAN: một voice VLAN port là một access port được gắn đến một Cisco
IP phone, được cấu hình để dùng VLAN cho thông tin voice và VLAN khác cho
thông tin dữ liệu mà được nhận từ một thiết bị được gắn đến phone
2-12
2-12
Giao thức trunking 802.1Q
Một đường trunk là một kết nối điểm nối điểm giữa một hay nhiều interface của
switch và các thiết bị khác như router hoặc switch. Đường trunk Ethernet mang
thông tin của nhiều VLAN trên một kết nối đơn và cho phép bạn mở rộng VLAN
ngang qua mạng. Cisco hỗ trợ IEEE 802.1Q cho interface Fast Ethernet và gigabit

Ethernet
Các đường trunk ethernet hỗ trợ những cơ chế trunk các nhau. Bạn có thể cấu
hình interface là trunk hay không trunk, hoặc nó đàm phán trunk với interface kia.
Mỗi port 802.1q được gán đến một đường trunk. Tất cả các port trên một đường
trunk là một native VLAN. Mỗi port 802.1q được gán một giá trị nhận dạng mà
nó dựa trên native VLAN ID (VID) của port (mặc định là VLAN1). Tất cả frame
không gắn thẻ ghi địa chỉ được gán vào VLAN chỉ ra trong biến VID
2-13
2-13
802.1Q Frame
IEEE 802.1Q sử dụng một cơ chế gắn địa chỉ nội bộ bằng cách thêm một cột
4byte vào cột Source Address và Type hoặc Length của ethernet frame gốc. Bởi
vì 802.1q thay đổi frame, thiết bị trunk tính tóan lại FCS của frame đã được
chỉnh sửa.
Switch có nhiệm vụ tìm tại cột địa chỉ 4byte đã gắn vào và quyết định sẽ phân
phát frame đến nơi nào. Một phần nhỏ của cột địa chỉ 4byte, chính xác là 3bit,
được sử dụng để chỉ ra độ ưu tiên của frame. Chi tiết của cái này được chỉ ra
trong chuẩn IEEE 802.1p. Header của 802.1q chứa cột 802.1p, vì thế bạn phải có
802.1q để có 802.1p