MỤC LỤC             

LỜI NÓI ĐẦU...................................................................................................... 5

THUẬT NGỮ VÀ TỪ VIẾT TẮT................................................................. 15

PHẦN I: LÝ THUYẾT ISCW............................................................................... 21

Chương 1 CHUYỂN MẠCH NHÃN ĐA GIAO THỨC MPLS.............. 23

I. TỔNG QUAN VỀ MPLS................................................................................ 23

1. Giới thiệu về chuyển mạch nhãn đa giao thức (MPLS)................................ 23

2. Một số ứng dụng của MPLS.......................................................................... 24

3. Điểm vượt trội của MPLS so với mô hình IP qua ATM............................... 25

4. Các hình thức hoạt động của MPLS.............................................................. 26

5. Nhãn trong MPLS.......................................................................................... 27

6. Cấu trúc nút của MPLS................................................................................. 29

7. Mặt phẳng chuyển tiếp.................................................................................. 29

8. Mặt phẳng điều khiển.................................................................................... 29

9. Các thành phần mặt phẳng dữ liệu và mặt phẳng điều khiển của MPLS...... 30

10. Thuật toán chuyển tiếp nhãn........................................................................ 32

11. Hoạt động chuyển tiếp của MPLS............................................................... 32

12. Phân phối nhãn bằng giao thức phân phối nhãn LDP................................. 33

13. Sự duy trì nhãn MPLS................................................................................. 34

14. Các loại nhãn đặc biệt.................................................................................. 34

II. CẤU HÌNH MPLS CƠ BẢN......................................................................... 35

1. Cấu hình và kiểm chứng MPLS ở chế độ khung........................................... 35

2. MPLS chế độ khung cơ bản.......................................................................... 36

3. Biểu đồ tiến trình cấu hình MPLS chế độ khung.......................................... 36

4. Các bước cấu hình MPLS chế độ khung cơ bản........................................... 36

5. Kiểm tra hoạt động của MPLS chế độ khung cơ bản:................................... 37

6. Sự chuyển tiếp ở mặt phẳng điều khiển và mặt phẳng dữ liệu...................... 38

LAB 1.1 - CẤU HÌNH MPLS CHẾ ĐỘ KHUNG CƠ BẢN............................ 39

III. TỔNG QUAN VỀ MPLS VPN.................................................................... 53

1. Tổng quan về VPN........................................................................................ 53

2. Kiến trúc và thuật ngữ trong MPLS VPN..................................................... 56

3. Mô hình định tuyến MPLS VPN................................................................... 57

4. Bảng chuyển tiếp và định tuyến ảo - VRF.................................................... 58

5. RD, RT, MP-BGP và họ địa chỉ.................................................................... 59

6. Hoạt động của mặt phẳng điều khiển MPLS VPN........................................ 63

7. Hoạt động của mặt phẳng dữ liệu MPLS VPN............................................. 65

8. Cấu hình MPLS VPN cơ bản........................................................................ 66

IV. GIAO THỨC ĐỊNH TUYẾN EIGRP PE-CE............................................ 70

1. Giao thức định tuyến EIGRP PE-CE............................................................. 70

2. Quảng bá tuyến EIGRP................................................................................. 72

3. Sơ đồ cấu hình định tuyến EIGRP PE-CE.................................................... 74

LAB 1.2 - CẤU HÌNH ĐỊNH TUYẾN EIGRP PE-CE CƠ BẢN.................... 75

4. Vòng lặp tuyến.............................................................................................. 88

5. Định tuyến kém tối ưu (Suboptimal Routing)............................................... 91

6. BGP Cost Community................................................................................... 92

7. EIGRP SoO................................................................................................... 93

LAB 1.3 - CẤU HÌNH MẠNG SỬ DỤNG BGP CC VÀ EIGRP SOO........... 95

V. GIAO THỨC ĐỊNH TUYẾN OSPF PE-CE.............................................. 109

1. Mô hình định tuyến OSPF truyền thống...................................................... 109

2. MPLS VPN hay khái niệm OSPF Superbackbone...................................... 111

3. Các BGP Extended Community cho định tuyến OSPF PE-CE.................. 112

4. Quảng bá tuyến OSPF qua MPLS VPN Superbackbone............................ 114

5. Ảnh hưởng của việc cấu hình OSPF Domain ID trên router PE................. 117

6. OSPF Down Bit........................................................................................... 118

7. OSPF Route Tag hay VPN Route Tag........................................................ 120

8. Cấu hình và kiểm chứng định tuyến OSPF PE-CE..................................... 122

LAB 1.4 - CẤU HÌNH ĐỊNH TUYẾN OSPF PE-CE..................................... 122

9. OSPF Sham-Link......................................................................................... 138

LAB 1.5 - OSPF SHAM-LINKS....................................................................... 142

VI. KỸ THUẬT LƯU LƯỢNG TRONG MPLS............................................ 154

1. Khái niệm về kỹ thuật lưu lượng................................................................. 154

2. Kỹ thuật lưu lượng trước MPLS.................................................................. 155

3. Kỹ thuật lưu lượng với MPLS..................................................................... 157

VII. GIAO THỨC DÀNH RIÊNG TÀI NGUYÊN (RSVP).......................... 174

1. Tổng quan về RSVP.................................................................................... 174

2. Thiết lập đường đi (Path Setup).................................................................. 175

3. Duy trì đường đi (Path Maintenance).......................................................... 177

4. Hủy đường đi (Path Teardown)................................................................... 177

5. Báo lỗi......................................................................................................... 178

6. Các gói RSVP.............................................................................................. 178

7. Định dạng lớp đối tượng RSVP................................................................... 179

8. Hoạt động của RSVP – TE.......................................................................... 188

9. Chuyển tiếp lưu lượng xuống đường hầm................................................... 193

CHƯƠNG 2: PHƯƠNG PHÁP GIẢM TẤN CÔNG MẠNG................ 196

I. TỔNG QUAN VỀ CÁC NGUY CƠ TẤN CÔNG MẠNG......................... 196

1. Các tác nhân có cấu trúc.............................................................................. 196

2. Các tác nhân không có cấu trúc................................................................... 196

3. Các tác nhân xuất phát từ bên ngoài............................................................ 197

4. Các tác nhân có nguồn gốc từ bên trong..................................................... 197

II. CÁC LOẠI TẤN CÔNG MẠNG CHỦ YẾU............................................. 197

1. Tấn công theo kiểu do thám........................................................................ 197

2. Tấn công theo kiểu truy xuất và một số phương pháp làm giảm
kiểu tấn công này............................................................................................. 199

III. CÁC GIAO THỨC QUẢN LÝ TRONG MẠNG
VÀ CHỨC NĂNG CỦA CHÚNG.................................................................... 211

1. Một số vấn đề liên quan đến Telnet............................................................. 211

2. Các giao thức quản lý.................................................................................. 211

IV. BẢO MẬT TRONG VIỆC THIẾT LẬP LẮP ĐẶT
VÀ CÀI ĐẶT THIẾT BỊ CISCO..................................................................... 213

1. Bảo mật quyền truy nhập quản lý thiết bị................................................... 215

2. Tăng cường tính bảo mật cho các thông tin tài khoản
được lưu trong thiết bị Cisco........................................................................... 220

3. Giới thiệu về mô hình AAA trên thiết bị router Cisco................................ 223

4. Giới thiệu về các giao thức RADIUS và TACACS+.................................. 226

5. Bảng so sánh các phương thức xác thực và mức độ dễ sử dụng................. 227

V. CISCO IOS FIREWALL & IPS................................................................. 262

1. Các đặc tính điều khiển truy nhập theo ngữ cảnh (CBAC)......................... 262

2. Sử dụng đặc tính Authentication Proxy....................................................... 275

3. Cisco IOS IPS.............................................................................................. 281

VI. PUBLIC KEY INFRASTRUCTURE (PKI)............................................. 289

1. Tổng quan về PKI........................................................................................ 289

2. Các thành phần của PKI.............................................................................. 290

3. Cơ sở hạ tầng của PKI................................................................................. 292

PHẦN II: LAB ISCW............................................................................................. 295

CHƯƠNG 3: ADSL.............................................................................................. 297

LAB 3.1 - CẤU HÌNH ADSL............................................................................ 297

A) Cấu hình ban đầu cho hệ thống.................................................................. 297

B) Cấu hình các thông số kích hoạt đường ADSL.......................................... 298

C) Khi hoàn tất cấu hình thì đường ADSL sẽ hoạt động................................ 300

D) Cấu hình NAT trên CPE............................................................................. 302

E) Cấu hình hệ thống....................................................................................... 302

CHƯƠNG 4: MPLS.............................................................................................. 306

LAB 4.1 - CẤU HÌNH MPLS CƠ BẢN........................................................... 306

A) Cấu hình ban đầu........................................................................................ 306

B) Cấu hình MPLS.......................................................................................... 310

C) Kiểm tra thông tin cấu hình........................................................................ 310

LAB 4.2 - MPLS VPN ROUTING VRF.......................................................... 322

A) Mô hình...................................................................................................... 322

B) Cấu hình...................................................................................................... 324

C) Kiểm tra hoạt động..................................................................................... 334

CHƯƠNG 5: IPSec VPN.................................................................................. 339

LAB 5.1 - CẤU HÌNH VPN SITE TO SITE BẰNG CLI.............................. 339

A) Cấu hình ban đầu........................................................................................ 339

B) Cấu hình VPN giữa 2 site........................................................................... 342

C) Kiểm tra các thông số cấu hình.................................................................. 344

D) Cấu hình cuối cùng của hệ thống............................................................... 348

LAB 5.2 - CẤU HÌNH VPN SITE TO SITE SỬ DỤNG
GIAO DIỆN SDM.............................................................................................. 353

LAB 5.3 - CẤU HÌNH VPN CLIENT TO SITE SỬ DỤNG SDM................ 358

LAB 5.4 - CẤU HÌNH EZVPN – SERVER SỬ DỤNG SDM....................... 373

A) Tạo Cisco VPN Server............................................................................... 373

B) Cấu hình phía VPN Remote....................................................................... 381

LAB 5.5 - VPN BACKUP SỬ DỤNG IPSEC - DPD...................................... 386

A) Mô hình...................................................................................................... 386

B) Cấu hình...................................................................................................... 387

LAB 5.6 - CẤU HÌNH DMVPN SỬ DỤNG GRE OVER IPSEC
GIỮA CÁC ROUTER....................................................................................... 392

A) Cấu hình Router HUB................................................................................ 392

B) Cấu hình Router Spoke 1............................................................................ 394

C) Cấu hình Router Spoke 2............................................................................ 396

D) Debug quá trình mã khóa........................................................................... 398

LAB 5.7 - CẤU HÌNH IPSEC TUNNEL MẠNG
PRIVATE-TO-PRIVATE VỚI NAT VÀ ĐỊNH TUYẾN TĨNH.................. 400

A) Cấu hình Router R1.................................................................................... 401

B) Cấu hình Router R2.................................................................................... 403

LAB 5.8 - CẤU HÌNH QOS VỚI DMVPN..................................................... 404

A) Cấu hình Router HUB................................................................................ 405

B) Cấu hình Router Spoke 1............................................................................ 411

C) Cấu hình Router Spoke 2............................................................................ 414

LAB 5.9 - CẤU HÌNH ROUTER-TO-ROUTER TUNNEL
VỚI ROUTER KHỞI TẠO CHẾ ĐỘ IKE AGGRESSIVE.......................... 416

A) Cấu hình Router A...................................................................................... 416

B) Cấu hình Router B...................................................................................... 417

LAB 5.10 - CẤU HÌNH WINDOWS SERVER 2003 LÀM CA SERVER... 418

A) Mô hình...................................................................................................... 418

B) Client 1....................................................................................................... 419

C) Client 2....................................................................................................... 420

D) Cấu hình CAServer.................................................................................... 421

LAB 5.11 - IPSEC GRE TUNNEL DỰ PHÒNG CHO LEASED-LINE...... 436

A) Mô hình...................................................................................................... 436

B) Yêu cầu....................................................................................................... 436

C) Cấu hình mẫu của các router...................................................................... 436

Chương 6: CISCO DEVICES HARDENING.............................................. 439

LAB 6.1 - GIÁM SÁT LƯU LƯỢNG VÀ DỮ LIỆU TRONG MẠNG........ 439

A) Sơ đồ mạng................................................................................................. 439

B) Các yêu cầu thực hiện................................................................................. 440

LAB 6.2 - AUTO SECURE 1............................................................................ 464

LAB 6.3 - AUTO SECURE 2............................................................................ 476

LAB 6.4 - DÙNG ACL LỌC TRAFFIC.......................................................... 505

A) Mục tiêu...................................................................................................... 505

B) Mô hình...................................................................................................... 505

C) Hướng dẫn.................................................................................................. 505

D) Cấu hình tham khảo.................................................................................... 506

LAB 6.5 - DÙNG REFLEXIVE ACL LỌC TRAFFIC.................................. 509

A) Mục đích..................................................................................................... 509

B) Mô hình...................................................................................................... 509

C) Hướng dẫn.................................................................................................. 509

D) Cấu hình tham khảo.................................................................................... 510

LAB 6.6 - DÙNG REFLEXIVE ACL LỌC TRAFFIC
ĐƯỢC TẠO RA TỪ ROUTER........................................................................ 514

A) Mục đích..................................................................................................... 514

B) Mô hình...................................................................................................... 514

C) Hướng dẫn.................................................................................................. 514

D) Cấu hình tham khảo.................................................................................... 515

LAB 6.7 - TIME-OF-DAY EXTENDED ACL............................................... 519

A) Mục đích..................................................................................................... 519

B) Mô hình...................................................................................................... 519

C) Hướng dẫn.................................................................................................. 519

D) Cấu hình tham khảo.................................................................................... 519

E) Kiểm tra...................................................................................................... 520

LAB 6.8 - CẤU HÌNH CBAC CHO VIỆC KIỂM TRA
(INSPECTION) TRAFFIC............................................................................... 520

A) Mục tiêu...................................................................................................... 520

B) Mô hình...................................................................................................... 520

C) Hướng dẫn.................................................................................................. 521

D) Cấu hình tham khảo.................................................................................... 521

LAB 6.9 - SỬ DỤNG NBAR ĐỂ LỌC TRAFFIC.......................................... 525

A) Mục đích..................................................................................................... 525

B) Mô hình...................................................................................................... 525

C) Hướng dẫn.................................................................................................. 526

D) Cấu hình tham khảo.................................................................................... 526

LAB 6.10 - DÙNG POLICY-BASE ROUTING ĐỂ LỌC TRAFFIC.......... 530

A) Mục đích..................................................................................................... 530

B) Mô hình...................................................................................................... 530

C) Hướng dẫn.................................................................................................. 530

D) Cấu hình tham khảo.................................................................................... 531

LAB 6.11 - PHÒNG CHỐNG TẤN CÔNG DOS VỚI
TCP INTERCEPT MODE INTERCEPT....................................................... 534

A) Tổng quan về TCP Intercept...................................................................... 534

B) Lab.............................................................................................................. 536

LAB 6.12 - PHÒNG CHỐNG TẤN CÔNG DOS VỚI
TCP INTERCEPT MODE WATCH............................................................... 540

A) Mục tiêu...................................................................................................... 540

B) Mô tả........................................................................................................... 540

C) Cấu hình tham khảo.................................................................................... 541

LAB 6.13 - CẤU HÌNH APPLICATION PORT-MAPPING VỚI CBAC... 544

A) Mục tiêu...................................................................................................... 544

B) Mô tả........................................................................................................... 544

C) Cấu hình tham khảo.................................................................................... 544

LAB 6.14 - DÙNG CAR ĐỂ HẠN CHẾ SMURF ATTACK......................... 548

A) Mục tiêu...................................................................................................... 548

B) Mô tả........................................................................................................... 548

C) Cấu hình tham khảo.................................................................................... 549

LAB 6.15 - CHỐNG IP ADDRESS SPOOFING BẰNG ACLS.................... 551

A) Mục tiêu...................................................................................................... 551

B) Mô tả........................................................................................................... 551

C) Cấu hình tham khảo.................................................................................... 552

LAB 6.16 - DÙNG URPF ĐỂ CHỐNG IP ADRESS SPOOFING................ 556

A) Mục tiêu...................................................................................................... 556

B) Mô tả........................................................................................................... 556

C) Cấu hình tham khảo.................................................................................... 557

LAB 6.17 - CẤU HÌNH AAA AUTHORIZATION
VÀ ACCOUNTING TRÊN CISCO ROUTER............................................... 561

A) Cấu hình trên Router.................................................................................. 561

B) Cấu hình AAA authorization...................................................................... 566

LAB 6.18 - XÁC THỰC VỚI TACACS + SERVER...................................... 572

A) Mô hình...................................................................................................... 572

B) Yêu cầu....................................................................................................... 573

C) Cấu hình...................................................................................................... 573

D) Kiểm tra...................................................................................................... 573

LAB 6.19 - CẤU HÌNH IOS FIREWALL / IPS TRÊN CISCO ROUTER. 574

A) Mục tiêu bài lab.......................................................................................... 574

B) Các bước tiến hành..................................................................................... 575

TÀI LIỆU THAM KHẢO.................................................................................. 593