Mô phỏng Lan-Internet
I. Cho sơ đồ mạng như sau
Yêu cầu:
- Cấu hình VLAN như trong sơ đồ.
- Định tuyến cho các VLAN dùng SVI trên Switch (cụ thể là Switch SWCore sẽ chịu trách nhiệm định tuyến)
- Cấu hình DHCP Server trên RouterGW để cấp IP cho toàn mạng.
- Cấu hình NAT để cho phép người dùng trong các VLAN đi ra Internet.
- Tất cả các Switch và Router phải được cấu hình mật khẩu để bảo vệ (line console, line vty, …)
- Cấu hình Access-list chỉ cho phép các người dùng trong VLAN 1 được phép Telnet và SSH đến RouterGW; các người dùng khác VLAN 1 sẽ bị cấm Telnet và SSH đến RouterGW.
- Cấu hình Access-list cấm tất cả người dùng trong mạng truy cập web dùng giao thức http, chỉ cho phép https.
- Cấu hình Access-list cấm tất cả người dùng phía Internet dùng Telnet hoặc SSH để kết nối vào các VLAN.
II. Sơ đồ mạng và kế hoạch địa chỉ
2.1. Sơ đồ kết nối
|
Liên kết |
Đầu A |
Đầu B |
Kiểu |
|
PC–SW1 |
VPCVlan10 eth0 |
SW1 e0/0 |
Access VLAN 10 |
|
SW1–Core |
SW1 e0/1 |
SWCore e0/1 |
Trunk 802.1Q |
|
PC–SW2 |
VPCVlan20 eth0 |
SW2 e0/0 |
Access VLAN 20 |
|
SW2–Core |
SW2 e0/2 |
SWCore e0/2 |
Trunk 802.1Q |
|
Core–RGW |
SWCore e0/0 |
RouterGW fa0/0 |
Routed /30 |
|
RGW–Internet |
RouterGW fa0/1 |
Cloud VMnet8 |
DHCP client |
2.2. Bảng VLAN và dải mạng
|
VLAN |
Dải mạng |
Gateway (SVI trên SWCore) |
|
VLAN 1 (quản trị) |
192.168.1.0/24 |
192.168.1.1 |
|
VLAN 10 |
192.168.10.0/24 |
192.168.10.1 |
|
VLAN 20 |
192.168.20.0/24 |
192.168.20.1 |
2.3. Bảng quy hoạch địa chỉ IP
|
Thiết bị |
Cổng |
Địa chỉ IP |
Ghi chú |
|
SW1 |
Vlan1 |
192.168.1.11/24 |
IP quản trị, GW 192.168.1.1 |
|
SW2 |
Vlan1 |
192.168.1.12/24 |
IP quản trị, GW 192.168.1.1 |
|
SWCore |
Vlan1 / Vlan10 / Vlan20 |
…1.1 / …10.1 / …20.1 |
SVI – default gateway các VLAN |
|
SWCore |
Ethernet0/0 |
192.168.99.2/30 |
Cổng định tuyến nối RouterGW |
|
RouterGW |
Fa0/0 |
192.168.99.1/30 |
NAT inside |
|
RouterGW |
Fa0/1 |
DHCP (vd 192.168.88.129) |
NAT outside – ra Internet (VMnet8) |
|
VPCVlan10 |
eth0 |
192.168.10.11 (DHCP) |
GW 192.168.10.1 |
|
VPCVlan20 |
eth0 |
192.168.20.11 (DHCP) |
GW 192.168.20.1 |
Mật khẩu sử dụng trong bài: enable secret = class123; line console & line vty = cisco123; tài khoản đăng nhập (login local / SSH) = admin / admin123.
III. Các bước cấu hình
3.1. Cấu hình SW1 (Access VLAN 10)
Tạo VLAN 10, đặt cổng e0/0 ở chế độ access VLAN 10, e0/1 làm trunk lên SWCore, đặt IP quản trị và mật khẩu.
enable
configure terminal
hostname SW1
vtp mode transparent
vlan 10
name VLAN10
exit
interface Ethernet0/0
switchport mode access
switchport access vlan 10
no shutdown
exit
interface Ethernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
no shutdown
exit
interface Vlan1
ip address 192.168.1.11 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
ip domain-name ccna.lab
username admin privilege 15 secret admin123
enable secret class123
service password-encryption
crypto key generate rsa modulus 1024
line console 0
password cisco123
logging synchronous
login
exit
line vty 0 4
password cisco123
login local
transport input telnet ssh
exit
end
write memory
3.2. Cấu hình SW2 (Access VLAN 20)
Tương tự SW1 nhưng dùng VLAN 20, cổng trunk là e0/2, IP quản trị 192.168.1.12.
enable
configure terminal
hostname SW2
vtp mode transparent
vlan 20
name VLAN20
exit
interface Ethernet0/0
switchport mode access
switchport access vlan 20
no shutdown
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
no shutdown
exit
interface Vlan1
ip address 192.168.1.12 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
! (phần đặt mật khẩu, SSH giống SW1)
end
write memory
3.3. Cấu hình SWCore (Layer 3 – định tuyến Inter-VLAN bằng SVI)
Bật định tuyến (ip routing), tạo VLAN, cấu hình 2 cổng trunk (e0/1, e0/2), 1 cổng định tuyến e0/0 nối RouterGW, các SVI làm gateway và chuyển tiếp DHCP (ip helper-address) về RouterGW, định tuyến mặc định ra RouterGW.
enable
configure terminal
hostname SWCore
ip routing
vtp mode transparent
vlan 10
name VLAN10
exit
vlan 20
name VLAN20
exit
interface Ethernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
interface Ethernet0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
interface Ethernet0/0
no switchport
ip address 192.168.99.2 255.255.255.252
no shutdown
exit
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip helper-address 192.168.99.1
no shutdown
exit
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.99.1
no shutdown
exit
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip helper-address 192.168.99.1
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 192.168.99.1
! (phần đặt mật khẩu, SSH giống SW1)
end
write memory
Lưu ý: ip helper-address trên mỗi SVI giúp chuyển các gói DHCP broadcast của client thành unicast gửi tới DHCP Server (RouterGW – 192.168.99.1), nhờ đó một DHCP Server có thể cấp IP cho nhiều VLAN khác nhau.
3.4. Cấu hình RouterGW (DHCP Server, NAT, ACL, bảo mật)
a) Cổng kết nối và định tuyến
enable
configure terminal
hostname RouterGW
no ip domain-lookup
interface FastEthernet0/0
ip address 192.168.99.1 255.255.255.252
ip nat inside
no shutdown
exit
interface FastEthernet0/1
ip address dhcp
ip nat outside
no shutdown
exit
ip route 192.168.1.0 255.255.255.0 192.168.99.2
ip route 192.168.10.0 255.255.255.0 192.168.99.2
ip route 192.168.20.0 255.255.255.0 192.168.99.2
b) DHCP Server cấp IP cho toàn mạng
ip dhcp excluded-address 192.168.1.1 192.168.1.20
ip dhcp excluded-address 192.168.10.1 192.168.10.10
ip dhcp excluded-address 192.168.20.1 192.168.20.10
ip dhcp pool VLAN1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
exit
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
exit
ip dhcp pool VLAN20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
dns-server 8.8.8.8
exit
c) NAT overload (PAT) cho các VLAN ra Internet — Yêu cầu 4
ip access-list standard NAT-INSIDE
permit 192.168.0.0 0.0.255.255
exit
ip nat inside source list NAT-INSIDE interface FastEthernet0/1 overload
d) Access-list cấm HTTP, cho phép HTTPS — Yêu cầu 7
ip access-list extended FROM-INSIDE
deny tcp any any eq 80
permit ip any any
exit
interface FastEthernet0/0
ip access-group FROM-INSIDE in
exit
e) Access-list cấm Internet Telnet/SSH vào các VLAN — Yêu cầu 8
ip access-list extended FROM-INTERNET
deny tcp any 192.168.1.0 0.0.0.255 eq 22
deny tcp any 192.168.1.0 0.0.0.255 eq 23
deny tcp any 192.168.10.0 0.0.0.255 eq 22
deny tcp any 192.168.10.0 0.0.0.255 eq 23
deny tcp any 192.168.20.0 0.0.0.255 eq 22
deny tcp any 192.168.20.0 0.0.0.255 eq 23
permit ip any any
exit
interface FastEthernet0/1
ip access-group FROM-INTERNET in
exit
f) Access-list chỉ cho VLAN1 Telnet/SSH đến RouterGW — Yêu cầu 6
access-list 1 permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class 1 in
exit
g) Bảo mật mật khẩu, bật SSH — Yêu cầu 5
ip domain-name ccna.lab
username admin privilege 15 secret admin123
enable secret class123
service password-encryption
crypto key generate rsa modulus 1024
line console 0
password cisco123
logging synchronous
login
exit
line vty 0 4
password cisco123
login local
transport input telnet ssh
exit
end
write memory
3.5. Cấu hình máy trạm (VPCS)
Cho 2 PC nhận IP tự động từ DHCP Server:
ip dhcp
show ip
save
IV. Giải thích cơ chế các Access-list
|
Yêu cầu |
ACL / vị trí áp dụng |
Cơ chế |
|
YC6 – chỉ VLAN1 quản trị RouterGW |
access-list 1 + access-class 1 in (line vty) |
Chỉ nguồn 192.168.1.0/24 được mở phiên VTY (Telnet/SSH) tới RouterGW; nguồn khác bị từ chối ngay. |
|
YC7 – cấm HTTP, cho HTTPS |
FROM-INSIDE áp inbound trên Fa0/0 |
Chặn TCP cổng 80 (www) từ nội bộ ra ngoài; các lưu lượng khác (gồm HTTPS 443) được permit. |
|
YC8 – cấm Internet Telnet/SSH vào VLAN |
FROM-INTERNET áp inbound trên Fa0/1 |
Chặn TCP cổng 22/23 từ Internet đến mọi dải VLAN nội bộ; lưu lượng hợp lệ (gồm trả về NAT) vẫn được permit. |
V. Kiểm tra và kết quả (đã test trên EVE-NG)
5.1. DHCP & định tuyến Inter-VLAN
- VPCVlan10 nhận 192.168.10.11/24, GW 192.168.10.1, DHCP Server 192.168.99.1 — ĐẠT.
- VPCVlan20 nhận 192.168.20.11/24, GW 192.168.20.1 — ĐẠT.
- Ping liên VLAN VPCVlan10 ↔ VPCVlan20: thành công (định tuyến SVI trên SWCore hoạt động).
VPCVlan10> show ip
IP/MASK : 192.168.10.11/24
GATEWAY : 192.168.10.1
DHCP SERVER : 192.168.99.1
VPCVlan10> ping 192.168.20.11
84 bytes from 192.168.20.11 icmp_seq=1 ttl=63 time=3.3 ms (OK)
Bảng cấp phát trên RouterGW (show ip dhcp binding):
192.168.10.11 0100.5079.6668.01 Automatic
192.168.20.11 0100.5079.6668.02 Automatic
5.2. NAT ra Internet (Yêu cầu 4)
- RouterGW Fa0/1 nhận DHCP 192.168.88.129 từ VMnet8; ping 8.8.8.8 thành công.
- Ping 8.8.8.8 từ SWCore với source VLAN10 / VLAN20: thành công (NAT dịch địa chỉ nội bộ ra Fa0/1).
RouterGW# show ip nat translations
icmp 192.168.88.129:6201 192.168.10.11:6201 8.8.8.8 8.8.8.8
icmp 192.168.88.129:7481 192.168.20.11:7481 8.8.8.8 8.8.8.8
SWCore# ping 8.8.8.8 source Vlan20 repeat 4
!!! Success rate is 75 percent (3/4) (OK)
Ghi chú: máy ảo VPCS có thể hiển thị "timeout" khi ping Internet do hạn chế xử lý ICMP qua hai lớp NAT (RouterGW + VMware NAT) của trình giả lập; bảng NAT và phép ping từ thiết bị Cisco đã chứng minh NAT hoạt động đúng.
5.3. ACL YC6 — chỉ VLAN1 Telnet/SSH đến RouterGW
SWCore# telnet 192.168.99.1 /source-interface Vlan1
Trying 192.168.99.1 ... Open -> ĐƯỢC PHÉP (hiện Username:)
SWCore# telnet 192.168.99.1 /source-interface Vlan10
% Connection refused by remote host -> BỊ CẤM (đúng yêu cầu)
5.4. ACL YC7 — cấm HTTP, cho HTTPS
RouterGW# show ip access-lists FROM-INSIDE
10 deny tcp any any eq www (3 matches) <- gói HTTP(80) bị chặn
20 permit ip any any (64 matches) <- HTTPS(443) và khác được phép
5.5. ACL YC8 — cấm Internet Telnet/SSH vào VLAN
RouterGW# show ip interface FastEthernet0/1 | include access list
Inbound access list is FROM-INTERNET
RouterGW# show ip access-lists FROM-INTERNET
deny tcp any 192.168.10.0 0.0.0.255 eq 22 / eq telnet ... (đã áp dụng)
5.6. Bảo mật (Yêu cầu 5)
- Tất cả thiết bị: enable secret + mật khẩu line console + line vty (login local), bật SSH (RSA 1024).
- Kiểm chứng SSH server: RouterGW# show ip ssh → "SSH Enabled - version 1.99".
- RoguePlanet: Lỗ hổng Defender mới cho phép chiếm toàn quyền máy tính Windows
- Federated Graph-MAPPO: Hướng Tiếp Cận Mới Cho Điều Khiển Tín Hiệu Giao Thông Thông Minh
- Phân tích công cụ Rational Rose và Visual Paradigm
- Cấu hình Inter-VLAN dùng SVI trên Switch L3
- Các thành phần kiến trúc hệ thống thông tin