CCNA LAB 16: Tổng hợp Switching – ACL– NAT -

I. Sơ đồ
​
​​

II. Quy hoạch IP

​

II. Yêu cầu
1. Cấu hình ban đầu:

• Học viên thực hiện đặt hostname và IP trên cổng của các router theo quy hoạch IP ở bảng trên.
• Cấu hình để ISP rót về cho mạng doanh nghiệp range IP 200.0.0.0/30.

2. Cấu hình layer 2 switching:

• Thiết lập trunking đấu nối giữa các switch.
• Cấu hình các VLAN thích hợp và sử dụng VTP để đồng bộ cấu hình VLAN trên các switch.
• SW1 làm root switch cho VLAN 10, SW2 làm root switch cho VLAN 20 và SW3 làm root switch cho VLAN 30.
• Cấu hình R1 định tuyến giữa các VLAN.

3. Cấu hình định tuyến:

• Thực hiện cấu hình một hình thức định tuyến bất kì đảm bảo mọi địa chỉ trên sơ đồ có thể đi đến nhau được. Lưu ý ISP không chạy định tuyến với mạng doanh nghiệp

4. Cấu hình DHCP:

• Cấu hình để R2 làm DHCP server cấp IP cho các user thuộc các VLAN 10, 20 và 30.

5. Cấu hình NAT:

• Địa chỉ 192.168.2.1 bên trong mạng được đại diện trên Internet bằng địa chỉ 200.0.0.1.
• Các VLAN 10, 20, 30 trong mạng doanh nghiệp đi Internet bằng địa chỉ đấu nối của R2 đến ISP.

6. Cấu hình ACL:

• Sử dụng Standard ACL để cấm các user thuộc VLAN 10 telnet đến R2, cho phép các địa chỉ khác.
• Sử dụng Extended ACL trên cổng E0/0 của R2 cấm VLAN 20 đi Internet bằng Web và cấm VLAN 30 ping đi Internet.

IV. Thực hiện
1. Cấu hình ban đầu:

• Học viên thực hiện đặt hostname và IP trên cổng của các router theo quy hoạch IP ở bảng trên.
• Cấu hình để ISP rót về cho mạng doanh nghiệp range IP 200.0.0.0/30.

ISP(config)#ip route 200.0.0.0 255.255.255.252 100.0.0.1
2. Cấu hình layer 2 switching:

• Thiết lập trunking đấu nối giữa các switch.

Sw1(config)#interface range e0/0-2
Sw1(config-if-range)#switchport trunk encapsulation dot1q
Sw1(config-if-range)#switchport mode trunk

Sw2-3(config)#interface range e0/0-1
Sw2-3(config-if-range)#switchport trunk encapsulation dot1q
Sw2-3(config-if-range)#switchport mode trunk
Cấu hình xong dùng lệnh show interface trunk để kiểm tra các đường trunk

• Cấu hình các VLAN thích hợp và sử dụng VTP để đồng bộ cấu hình VLAN trên các switch.

Sw1-2-3(config)#vtp domain vnpro
Sw1-2-3(config)#vtp password cisco

Sw2-3(config)#vtp mode client

Sw1(config)#vlan 10,20,30
Sw1(config-vlan)#interface e0/3
Sw1(config-if)#switchport access vlan 10

Sw2(config-vlan)#interface e0/2
Sw2(config-if)#switchport access vlan 20

Sw3(config-vlan)#interface e0/2
Sw3(config-if)#switchport access vlan 30
Cấu hình xong show vlan trên các switch để kiểm tra

• SW1 làm root switch cho VLAN 10, SW2 làm root switch cho VLAN 20 và SW3 làm root switch cho VLAN 30.

Sw1(config)#spanning-tree vlan 10 root primary
Sw2(config)#spanning-tree vlan 20 root primary
Sw3(config)#spanning-tree vlan 30 root primary
Cấu hình xong show spanning-tree trên các switch để kiểm tra

• Cấu hình R1 định tuyến giữa các VLAN.

R1(config)#interface e0/0
R1(config-if)#no shutdown
R1(config-if)#interface e0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 192.168.10.1 255.255.255.0
R1(config-if)#interface e0/0.20
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.20.1 255.255.255.0
R1(config-if)#interface e0/0.30
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#ip address 192.168.30.1 255.255.255.0
3. Cấu hình định tuyến:
R1(config)#router ospf 1
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0
R1(config-router)#network 192.168.20.0 0.0.0.255 area 0
R1(config-router)#network 192.168.30.0 0.0.0.255 area 0
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config-router)#network 192.168.2.0 0.0.0.255 area 0
Cấu hình xong dùng lệnh show ip route để kiểm tra
4. Cấu hình DHCP:

• Cấu hình để R2 làm DHCP server cấp IP cho các user thuộc các VLAN 10, 20 và 30.

R2(config)#ip dhcp pool vlan10
R2(dhcp-config)#network 192.168.10.0 255.255.255.0
R2(dhcp-config)#default-router 192.168.10.1
R2(dhcp-config)#dns-server 8.8.8.8
R2(config)#ip dhcp pool vlan20
R2(dhcp-config)#network 192.168.20.0 255.255.255.0
R2(dhcp-config)#default-router 192.168.20.1
R2(dhcp-config)#dns-server 8.8.8.8
R2(config)#ip dhcp pool vlan30
R2(dhcp-config)#network 192.168.30.0 255.255.255.0
R2(dhcp-config)#default-router 192.168.30.1
R2(dhcp-config)#dns-server 8.8.8.8

R1(config)#interface e0/0.10
R1(config-subif)#ip helper-address 192.168.12.2
R1(config)#interface e0/0.20
R1(config-subif)#ip helper-address 192.168.12.2
R1(config)#interface e0/0.30
R1(config-subif)#ip helper-address 192.168.12.2
Cấu hình xong dùng pc để xin IP từ DHCP để kiểm tra
5. Cấu hình NAT:

• Địa chỉ 192.168.2.1 bên trong mạng được đại diện trên Internet bằng địa chỉ 200.0.0.1.

R2(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface e0/1
R2(config-if)#ip nat outside
R2(config)#interface e0/0
R2(config-if)#ip nat inside
R2(config)#interface loopback 0
R2(config-if)#ip nat inside
R2(config)#ip nat inside source static 192.168.2.1 200.0.0.1
Cấu hình xong đứng từ R2 ping 203.162.4.1 source loopback 0 thành công. Kiểm tra bảng NAT trên R2 có data trong bảng NAT 192.168.2.1 200.0.0.1

• Các VLAN 10, 20, 30 trong mạng doanh nghiệp đi Internet bằng địa chỉ đấu nối của R2 đến ISP.

R2(config)#access-list 1 permit 192.168.10.0 0.0.0.255
R2(config)#access-list 1 permit 192.168.20.0 0.0.0.255
R2(config)#access-list 1 permit 192.168.30.0 0.0.0.255
R2(config)#ip nat inside source list 1 interface e0/1 overload
Cấu hình xong đứng từ các PC ảo có thể ping ra được địa chỉ 203.162.4.1 ngoài internet. Kiểm tra bảng NAT trên R2 có data trong bảng NAT đổi các địa chỉ VLAN thành 100.0.0.1
6. Cấu hình ACL:

• Sử dụng Standard ACL để cấm các user thuộc VLAN 10 telnet đến R2, cho phép các địa chỉ khác.

R2 cấu hình ACL
R2(config)#access-list 2 deny 192.168.10.0 0.0.0.255
R2(config)#access-list 2 permit any
R2 cấu hình telnet và áp ACL vào line vty
R2(config)#line vty 0 4
R2(config-line)#password 123
R2(config-line)#login
R2(config-line)#transport input telnet
R2(config-line)#access-class 2 in
Cấu hình xong kiểm tra: đứng từ R1 telnet 192.168.12.2 /source-interface e0/0.10 sẽ không được. Còn R1 telnet 192.168.12.2 /source-interface e0/0.20 sẽ có thể telnet được

• Sử dụng Extended ACL trên cổng E0/0 của R2 cấm VLAN 20 đi Internet bằng Web và cấm VLAN 30 ping đi Internet.

R2 viết ACL
R2(config)#access-list 100 deny tcp 192.168.20.0 0.0.0.255 any eq 80
R2(config)#access-list 100 deny tcp 192.168.20.0 0.0.0.255 any eq 80
R2(config)#access-list 100 deny icmp 192.168.30.0 0.0.0.255 any
R2(config)#access-list 100 permit ip any any
R2 áp ACL vào interface
R2(config)#interface e0/0
R2(config-if)#ip access-group 100 in
Cấu hình xong kiểm tra: lên Router ISP dùng lệnh ISP(config)#ip http server để giả lập làm web server. Dùng PC vlan 20 ping 203.162.4.1 –P 6 –p 80 sẽ bị từ chối do chặn VLAN 20 truy cập web. Còn dùng PC vlan 10 hoặc 30 ping 203.162.4.1 –P 6 –p 80 sẽ có kết quả trả về
Dùng PC vlan 30 ping 203.162.4.1 sẽ bị từ chối do chặn VLAN 30 ping internet. còn dùng PC vlan khác ping 203.162.4.1 sẽ thành công.