Final LAB

Đây là bài LAB cuối cùng của chuyên mục Hạ Tầng Mạng, bài LAB tổng hợp các kiến thức về hạ tầng mạng cơ bản được mình soạn ra, mô hình LAB là một ví dụ thực tiễn căn bản về một mạng trong một công ty doanh nghiệp vừa và nhỏ nhằm giúp các bạn hình dung được một mạng LAN trong công ty và nó kết nối ra ngoài Internet như thế nào.
Chúng ta cùng đi vào vấn đề nhé !

Do hình có kích thước lớn nên khi cho vào Blog bị thu nhỏ lại, các bạn bấm vào hình để xem rõ hơn nha.

Giả sử có một công ty thuê 3 tầng của một tòa nhà để làm văn phòng, tầng 1 và tầng 2 gồm có các phòng P.11 P.12 P.13 P.14 P.21 P.22 P.23 P.24 dùng làm các phòng ban, tầng 3 là phòng họp và đặt các Server như mô hình LAB. Tầng 1 và tầng 2 đều có Wifi Access Point.

Mạng công ty kết nối ra ngoài Internet thông qua Local Router, trên vùng ISP chạy OSPF, vùng ISP kết nối với 2 máy chủ tượng trưng cho Google và Facebook.

Yêu cầu:

· Hoạch định IP tùy ý cho mạng nội bộ (số lượng máy tính tùy ý, mô hình LAB chỉ mang tính minh họa).

· Cấu hình VTP, VLAN, mỗi phòng và mỗi Wifi Access Point là một VLAN riêng.

· Cấu hình Routing VLAN, DHCP cấp IP động cho các máy tính tầng 1 tầng 2, các Server tầng 3 sử dụng IP tĩnh (thực tế). Kiểm tra các máy tính trong mạng công ty đều thấy nhau.

· Công ty quảng bá Website ra ngoài với địa chỉ 69.69.69.69. Các máy tính ra ngoài Internet bằng địa chỉ cổng kết nối trực tiếp với ISP (196.169.1.1). Sử dụng câu lệnh “debug ip nat” để kiểm tra.

· Trên vùng ISP chạy OSPF, redistribute static địa chỉ mà ISP cung cấp cho công ty, mạng Google, Facebook được redistribute connected vào vùng OSPF sau cho các máy tính trong công ty NAT ra ngoài và truy cập được.

· Cấu hình ACL trên Local Router sau cho:

- Các máy tính tầng 1 không truy cập Web ra Internet mà chỉ được truy cập Web mạng nội bộ nhưng các thiết bị kết nối Wifi đều truy cập Internet được.

- P.21 P.22 không được phép truy cập Facebook.

Thực hiện:

· Hoạch định IP:

Wifi Access Point 1 (VLAN10)	192.168.10.0/24
P.11 (VLAN11)	192.168.11.0/24
P.12 (VLAN12)	192.168.12.0/24
P.13 (VLAN13)	192.168.13.0/24
P.14 (VLAN14)	192.168.14.0/24
Wifi Access Point 2 (VLAN20)	192.168.20.0/24
P.21 (VLAN21)	192.168.21.0/24
P.22 (VLAN22)	192.168.22.0/24
P.23 (VLAN23)	192.168.23.0/24
P.24 (VLAN24)	192.168.24.0/24
Domain Controller (VLAN30)	192.168.30.2/24
Local Web Server (VLAN30)	192.168.30.3/24

· Cấu hình VTP, VLAN, trunk ports, gán ports vào VLAN:

Cấu hình VTP:

Ở Privileged mode:

VTP-Server:

vtp mode server

vtp version 2

vtp domain hocmangcoban.com

vtp password Aa123

Các Client Switch:

vtp mode client

vtp version 2

vtp domain hocmangcoban.com

vtp password Aa123

Cấu hình VLAN trên VTP-Server:

vlan database

vlan 11

vlan 12

vlan 13

vlan 14

vlan 10

vlan 21

vlan 22

vlan 23

vlan 24

vlan 20

vlan 30

interface range f0/1-5

switchport mode trunk

Cấu hình trên các Switch Client:

SW1: *interface range f0/1-2* *switchport mode trunk* *interface range f0/3-12* *switchport mode access* *switchport access vlan 11* *interface range f0/13-24* *switchport mode access* *switchport access vlan 12*	SW2: *interface range f0/1-4* *switchport mode trunk* *interface range f0/5-12* *switchport mode access* *switchport access vlan 13* *interface range f0/13-23* *switchport mode access* *switchport access vlan 14* *interface f0/24* *switchport mode access* *switchport access vlan 10*
SW3: *interface range f0/1-2* *switchport mode trunk* *interface range f0/3-12* *switchport mode access* *switchport access vlan 21* *interface range f0/13-24* *switchport mode access* *switchport access vlan 22*	SW4: *interface range f0/1-4* *switchport mode trunk* *interface range f0/5-12* *switchport mode access* *switchport access vlan 23* *interface range f0/13-23* *switchport mode access* *switchport access vlan 24* *interface f0/24* *switchport mode access* *switchport access vlan 20*
SW5: *interface range f0/1-2* *switchport mode trunk* *interface range f0/3-4* *switchport mode access* *switchport access vlan 30*

· Cấu hình Routing VLAN, DHCP:

Routing VLAN:

Ở Configured mode:

interface f0/0

no shutdown

interface f0/0.10

encapsulation dot1q 10

ip address 192.168.10.1 255.255.255.0

interface f0/0.11

encapsulation dot1q 11

ip address 192.168.11.1 255.255.255.0

interface f0/0.12

encapsulation dot1q 12

ip address 192.168.12.1 255.255.255.0

interface f0/0.13

encapsulation dot1q 13

ip address 192.168.13.1 255.255.255.0

interface f0/0.14

encapsulation dot1q 14

ip address 192.168.14.1 255.255.255.0

interface f0/0.20

encapsulation dot1q 20

ip address 192.168.20.1 255.255.255.0

interface f0/0.21

encapsulation dot1q 21

ip address 192.168.21.1 255.255.255.0

interface f0/0.22

encapsulation dot1q 22

ip address 192.168.22.1 255.255.255.0

interface f0/0.23

encapsulation dot1q 23

ip address 192.168.23.1 255.255.255.0

interface f0/0.24

encapsulation dot1q 24

ip address 192.168.24.1 255.255.255.0

interface f0/0.30

encapsulation dot1q 30

ip address 192.168.30.1 255.255.255.0

Cấu hình DHCP:

ip dhcp pool VLAN10

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN11

network 192.168.11.0 255.255.255.0

default-router 192.168.11.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN12

network 192.168.12.0 255.255.255.0

default-router 192.168.12.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN13

network 192.168.13.0 255.255.255.0

default-router 192.168.13.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN14

network 192.168.14.0 255.255.255.0

default-router 192.168.14.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN20

network 192.168.20.0 255.255.255.0

default-router 192.168.20.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN21

network 192.168.21.0 255.255.255.0

default-router 192.168.21.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN22

network 192.168.22.0 255.255.255.0

default-router 192.168.22.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN23

network 192.168.23.0 255.255.255.0

default-router 192.168.23.1

dns-server 192.168.30.2

exit

ip dhcp pool VLAN24

network 192.168.24.0 255.255.255.0

default-router 192.168.24.1

dns-server 192.168.30.2

· Công ty quảng bá Website ra ngoài với địa chỉ 69.69.69.69. Các máy tính ra ngoài Internet bằng địa chỉ cổng kết nối trực tiếp với ISP (196.169.1.1).

Static NAT:

ip nat inside source static 192.168.30.3 69.69.69.69

PAT:

ip access-list standard NAT_LAN

permit 192.168.0.0 0.0.255.255

exit

ip nat inside source list NAT_LAN interface s1/0 overload

Áp dụng vào cổng:

interface f0/0.10

ip nat inside

interface f0/0.11

ip nat inside

interface f0/0.12

ip nat inside

interface f0/0.13

ip nat inside

interface f0/0.14

ip nat inside

interface f0/0.20

ip nat inside

interface f0/0.21

ip nat inside

interface f0/0.22

ip nat inside

interface f0/0.23

ip nat inside

interface f0/0.24

ip nat inside

interface f0/0.30

ip nat inside

interface s1/0

ip nat outside

Ping ISP debug NAT:

Local Web Server:

PC trong mạng NAT ra ngoài:

Lưu ý: Phải vào từng Sub-interface (gateway của các VLAN) cấu hình “ip nat inside”, nếu chỉ đứng trên cổng vật lý (f0/0) thực hiện thì sẽ không NAT được.

Cấu hình Route:

Trên Local Router trỏ một tuyến default route lên ISP:

ip route 0.0.0.0 0.0.0.0 s1/0

ISP trỏ một tuyến static route tới các địa chỉ mà ISP cấp cho công ty:

ip route 69.69.69.69 255.255.255.255 s1/0

ip route 196.169.1.1 255.255.255.255 s1/0

· Cấu hình OSPF, redistribute:

ISP:

router ospf 100

network 167.0.0.0 0.0.0.255 area 0

network 168.0.0.0 0.0.0.255 area 0

redistribute static subnets

R1:

router ospf 100

network 167.0.0.0 0.0.0.255 area 0

network 169.0.0.0 0.0.0.255 area 0

redistribute connected

R2:

router ospf 100

network 168.0.0.0 0.0.0.255 area 0

network 169.0.0.0 0.0.0.255 area 0

redistribute connected

"redistribute static subnets": ISP quảng bá các tuyến static route vào OSPF.

"redistribute connected":R1 R2 quảng bá các mạng Facebook, Google vào OSPF.

Bảng định tuyến của R1 và R2:

· Access Control List:

Các máy tính tầng 1 không truy cập Web ra Internet mà chỉ truy cập được mạng nội bộ nhưng các thiết bị kết nối Wifi đều truy cập Internet được:

ip access-list extended deny_tang1

permit tcp 192.168.11.0 0.0.0.255 host 192.168.30.3 eq 80

permit tcp 192.168.12.0 0.0.3.255 host 192.168.30.3 eq 80

deny tcp 192.168.11.0 0.0.0.255 any any eq 80

deny tcp 192.168.12.0 0.0.3.255 any any ep 80

permit ip any any

Giải thích: Các mạng tầng 1:

192.168.11.0 : 192.168.00001011.0

192.168.12.0 : 192.168.00001100.0

192.168.13.0 : 192.168.00001101.0

192.168.14.0 : 192.168.00001110.0

=> các Wildcard Mask:

192.168.11.0 0.0.0.255

192.168.12.0 0.0.3.255 (dư mạng 192.168.15.0)

Do trong mô hình mạng không có mạng 192.168.15.0 nên ta sử dụng luôn Wildcard Mask 192.168.12.0 0.0.3.355, nếu có mạng 192.168.15.0 thì ta loại ra, trong yêu cầu này thì thêm lệnh permit 192.168.15.0 0.0.0.255.

Cần có 2 entry:

permit tcp 192.168.11.0 0.0.0.255 host 192.168.30.3 eq 80

permit tcp 192.168.12.0 0.0.3.255 host 192.168.30.3 eq 80

Vì yêu cầu tầng 1 không truy cập Web ngoài Internet nhưng vẫn truy cập được Web nội bộ. Hai entry permit này phải đặt trước các entry deny để không bị chặn.

P.21 P.22 không được phép truy cập Facebook:

ip access-list extended deny_facebook

deny tcp 192.168.21.0 0.0.0.255 host 9.9.9.9 eq 80

deny tcp 192.168.22.0 0.0.0.255 host 9.9.9.9 eq 80

permit ip any any

Áp dụng vào cổng:

in f0/0.11

ip access-group deny_tang1 in

in f0/0.12

ip access-group deny_tang1 in

in f0/0.13

ip access-group deny_tang1 in

in f0/0.14

ip access-group deny_tang1 in

in f0/0.21

ip access-group deny_facebook in

in f0/0.22

ip access-group deny_facebook in

Lưu ý: Tương tự như câu lệnh “ip nat inside/outside” thì lệnh “ip access-group in/out” cũng phải áp dụng trên Sub-interface khi các VLAN có gateway là Sub-interface.

Tầng 1 bị chặn ra truy cập Web ngoài Internet: