Menu

1/30/19

Wmware Workstation pro và GNS3


Thực tế, ta có thể liên kết cloud thông qua interface loopback của windows cho mục đích xây dựng lab GNS3, các dịch vụ cần thiết như http server, thực hành Access control lists...

Nhưng, sẽ rất bất tiện và không chuyên nghiệp, mình sẽ hướng dẫn các bạn cài wmware workstation pro và cấu hình interface giao tiếp với GNS3.

Sau khi tải về từ trang chủ và cài đặt như 1 phần mềm thông thường,




Ta cài wmware XP sp3 để giả lập host,

Vào menu File chọn New Virtual Machine,


Chọn source ISO,


Điền serial key cài đặt windows Xp,

Sau khi hoàn tất, ta vào tắt chế độ Firewall trong Windows Xp để giao thức Ping (ICMP) hoạt động tốt mà không bị lỗi timeout khi triển khai labs GNS3.

Vào control panel thao tác như ảnh,


 Thêm interface ảo cho (dùng cho kết nối Cloud trong GNS3)



Chọn change settings,




Bạn có thể add nhiều interfaces nếu cần,

Ok, ở trên mình thêm interface VMnet2,
Bây giờ ta tiến hành kết nối WMware và GNS3 nhé,



Nối dây, ta chọn interface VMnet2,

Xây dựng đồ hình lab sau, lựa chọn giao thức định tuyến phù hợp Static route, Rip v2, OSPF....


Kết quả,



1/29/19

Giả lập http server trong GNS3


Một số trường hợp bạn cần test ACL khi học CCNA, ta cần giả lập http server.

Xây dựng đồ hình lab sau:
Đặt IP cho card loopback


Các lệnh giả lập sau cho R1,

R1(config)#ip http server // có thể dùng ip http secure-server

R1(config)#ip http authentication local
R1(config)#ip http port 80

---Tạo user xác thực,

 R1(config)#user abc privilege 15 password 12345


Thực hiện ping trên windows


 Kết quả test đăng nhập,




ACL - Access Control Lists


Access control list (ACL một danh sách các câu lệnh được áp đặt vào các cổng (Interface) của thiết bị mạng. Danh sách này chỉ ra loại packet nào được chấp nhận và loại packet nào bị hủy bỏ. Người ta ví ACLs như 1 chính sách của Firewall.
 

+STANDARD ACL


- standard ACL thiết lập  permit or deny trafiic dựa vào địa chỉ nguồn. Nó là dạng căn bản.

Cấu trúc lệnh:  

ACL number for the standard ACLs has to be between 1–99 and 1300–1999.
R1(config)# access-list ACL_NUMBER permit|deny host IP_ADDRESS|IP_ADDRESS WILDCARD_MASK|any

Lưu ý:

-Sau câu lệnh permit mặc định là deny, ta không cần thêm lệnh deny.
-Sau câu lệnh deny là mặc định deny tất cả, nên ta cần phải thêm permit phía sau lệnh deny. 

Ta khảo sát dạng Standard ACLs thông qua đồ hình sau:

Cấu hình các PCs trong LAN, và interface cho Router.

PC-1> ip 20.20.20.2/24 20.20.20.1
PC-2> ip 10.10.10.2/24 10.10.10.1
PC-3> ip 30.30.30.5/24 30.30.30.1


interface FastEthernet0/0
 ip address 20.20.20.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 30.30.30.1 255.255.255.0
 duplex auto
 speed auto

Tiến hành permit subnet 10.10.10.0/24 truy cập đến Server, mặc định nó sẽ deny các subnet khác.

R1(config)#access-list 1 permit 10.10.10.0 0.0.0.255 

==>chỉ cho phép subnet 10 truy cập đến server.

Ta áp lên interface f1/0 theo chiều out

R1(config-if)#ip access-group 1 out

Ta kiểm tra lại kết quả trên PC1, và PC2

PC-1> ping 30.30.30.5

*20.20.20.1 icmp_seq=1 ttl=255 time=10.000 ms (ICMP type:3, code:13, Communicati                                on administratively prohibited)
*20.20.20.1 icmp_seq=2 ttl=255 time=2.001 ms (ICMP type:3, code:13, Communicatio                                n administratively prohibited)
*20.20.20.1 icmp_seq=3 ttl=255 time=1.000 ms (ICMP type:3, code:13, Communicatio                                n administratively prohibited)
*20.20.20.1 icmp_seq=4 ttl=255 time=4.000 ms (ICMP type:3, code:13, Communicatio                                n administratively prohibited)
*20.20.20.1 icmp_seq=5 ttl=255 time=9.000 ms (ICMP type:3, code:13, Communicatio                                n administratively prohibited)

PC-2> ping 30.30.30.5

84 bytes from 30.30.30.5 icmp_seq=1 ttl=63 time=19.001 ms
84 bytes from 30.30.30.5 icmp_seq=2 ttl=63 time=13.001 ms
84 bytes from 30.30.30.5 icmp_seq=3 ttl=63 time=19.001 ms
84 bytes from 30.30.30.5 icmp_seq=4 ttl=63 time=12.000 ms
84 bytes from 30.30.30.5 icmp_seq=5 ttl=63 time=20.001 ms

Kết quả như mong đợi, làm ngược lại nhé, nhưng có 1 điều thú vị ở đay khi bạn dùng câu lệnh deny thì phải permit ở cuối ACL. Không thì ACL sẽ block tát cả các subnets khác trong LAN

R1(config)#access-list 2 deny 10.10.10.0 0.0.0.255
R1(config)#access-list 2 permit any
R1(config-if)#ip access-group 2 out

==> chỉ cho phép subnet 20 truy cập đến server.

Kiểm tra kết quả,

PC-1> ping 30.30.30.5
84 bytes from 30.30.30.5 icmp_seq=1 ttl=63 time=19.001 ms
84 bytes from 30.30.30.5 icmp_seq=2 ttl=63 time=12.001 ms
84 bytes from 30.30.30.5 icmp_seq=3 ttl=63 time=20.001 ms
84 bytes from 30.30.30.5 icmp_seq=4 ttl=63 time=12.000 ms
84 bytes from 30.30.30.5 icmp_seq=5 ttl=63 time=20.001 ms

PC-2> ping 30.30.30.5
*10.10.10.1 icmp_seq=1 ttl=255 time=8.000 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.10.10.1 icmp_seq=2 ttl=255 time=10.001 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.10.10.1 icmp_seq=3 ttl=255 time=9.001 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.10.10.1 icmp_seq=4 ttl=255 time=10.000 ms (ICMP type:3, code:13, Communication administratively prohibited)
*10.10.10.1 icmp_seq=5 ttl=255 time=4.000 ms (ICMP type:3, code:13, Communication administratively prohibited)

-EXTENDED ACL 

Thiết lập permit or deny traffic dựa vào địa chỉ nguồn, địa chỉ đích cùng với các giao thức tcp/udp/icmp trafic. Nó là dạng nâng cao, chi tiết.

Cấu trúc lệnh:

-Theo số,

Router(config)#access-list ACL_Identifier_number permit|deny IP_protocol
source_address  source_wildcard_mask [protocol_information] destination_address destination_wildcard_mask [protocol_information]

-Theo tên,

Router(config)#ip access-list extended ACL_name_number
Router(config-ext-acl)# permit|deny IP_protocol source_IP_address wildcard_mask [protocol_information] destination_IP_address wildcard_mask [protocol_information] 


Xây dựng đồ hình lab,





Yêu cầu: windows Xp không thể telnet đến R2, nhưng có thể duyệt web qua R2.

Cấu hinh cơ bản,

-IP cho Windows XP sp3,



Cầu hình IP cho PC1,



Cấu hình R1,

!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0

 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 20.20.20.1 255.255.255.0

 duplex auto
 speed auto
!
interface FastEthernet1/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 30.30.30.0 255.255.255.0 FastEthernet0/1 //static route


Cấu hình R2,

enable password @123 //pass enable cho phep tenet
 
 line vty 0 4
 password 12345 //password telnet
 login



!
username abc privilege 15 password 0 abc123
archive
 log config
  hidekeys
!
!
!

ip http server
ip http authentication local
!

ip tcp synwait-time 5
!
!
!
!
interface FastEthernet0/0
 ip address 30.30.30.1 255.255.255.0

 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 20.20.20.2 255.255.255.0

 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 10.10.10.0 255.255.255.0 FastEthernet0/1 .//static route
!
!


Từ window XP kiểm tra telnet và dịch dụ web đến R2 thông qua IP 20.20.20.2



Kích hoạt dịch vụ telnet trên Window XP,




Kết quả telnet thành công,


Duyệt web đến R2,


Triễn khai ACL extended,

Yêu cầu: windows Xp không thể telnet đến R2, nhưng có thể duyệt web qua R2.

Cấu hình trên R2,


R2(config)# access-list 100 deny  tcp host 10.10.10.2 host 20.20.20.2 eq telnet
R2(config)# access-list 100 permit tcp any any

 

Áp lên interface f0/1 của R2,

R2(config)# interface FastEthernet0/1
R2(config-if)#ip access-group 100 in


 Kiểm tra kết quả- như mong đợi.






1/26/19

VPN site to site (IPsec)

Từ mô hình thực tế, ta xây dựng đồ hình lab sau trên GNS3.



Cấu hình VPN rất đơn giản qua 2 pha,

Pha 1:  Configure ISAKMP (ISAKMP Phase 1)
Pha 2: Configure IPSec  (ISAKMP Phase 2, ACLs, Crypto MAP)

Trải qua 5 bước thiết lập,




Bước 1: Host A ping 1 traffic sang host B
Bước 2: Hai router đàm phán thiết lâp IKE pha 1
Bước 3:Tiếp tục đàm phán thiết lâp IKE pha 2
Bước 4: Trao đổi thông tin thông qua đường hầm IPSEC.
Bước 5: Kết thúc quá trình trao đổi và chấm dứt tunnel IPSEC

Các thiết lệnh thiết lập căn bản ban đầu,

-Trên PC1,

PC-1> ip 10.10.10.2/24 10.10.10.1

-Trên PC2,

PC-2> ip 20.20.20.2/24 20.20.20.1


-Trên Router R1,

 --------------------Default gate của LAN.

R1(config)#int f0/1
R1(config-if)#ip add 10.10.10.2 255.255.255.0
R1(config-if)#no shut


-------------------IP public ta thuê từ ISP (1.1.1.1)

R1(config-if)#int f0/0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#no shut


-Trên Router R2,

--------------------Default gate của LAN.

R2(config)#int f0/1
R2(config-if)#ip add 20.20.20.2 255.255.255.0
R2(config-if)#no shut


 -------------------IP public ta thuê từ ISP (1.1.1.2)

R2(config-if)#int f0/0
R2(config-if)#ip add 1.1.1.2 255.255.255.0
R2(config-if)#no shut


Cấu hình các thông số đàm phán Phase 1 cho 2 router,
  • Kiểu mã hóa
  • Thuật toán băm MD5 để xác thực
  • Kiểu xác thực
  • Group DH sử dụng để trao đổi khóa
  • Lifetime: Quy đinh thời gian sống của đường hầm
Trên Router R1,

R1(config)#  crypto isakmp policy 1
R1(config-isakmp)# encr 3des

R1(config-isakmp)# hash md5

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# lifetime 86400 
Trên Router R2,

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des

R2(config-isakmp)# hash md5

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
 Xác định thông tin key và peer.
Trên R1,

R1(config)# crypto isakmp key firewallcx address 1.1.1.2
Trên R2,
R2(config)# crypto isakmp key firewallcx address 1.1.1.1
Tạo ACL cho 2 chi nhánh tham gia VPN.
Trên R1,
R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

 Trên R2,


R2(config)# ip access-list extended VPN-TRAFFIC

R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
-Cấu hình thông số cho Phase 2  cho 2 router,
 -Tạo IP set transform
 R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
 R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

-Tạo cryto map 
Trên  R1,

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2

R1(config-crypto-map)# set transform-set TS

R1(config-crypto-map)# match address VPN-TRAFFIC
 Trên R2,


R2(config)# crypto map CMAP 10 ipsec-isakmp

R2(config-crypto-map)# set peer 1.1.1.1

R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
Gán cryto map lên interface của ip public
Trên R1,
R1(config)# interface FastEthernet0/0

R1(config- if)# crypto map CMAP
Trên R2,
 R2(config)# interface FastEthernet0/0

R2(config- if)# crypto map CMAP
Để PC từ các chi nhánh có thể ping thấy nhau ta cầu static router,
R1(config)# ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
R2(config)# ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

 Tiến hành thiết lập kết nối, từ PC1 ta thực hiện ping sang PC2.

PC-1> ping 20.20.20.2
20.20.20.2 icmp_seq=1 timeout
20.20.20.2 icmp_seq=2 timeout
84 bytes from 20.20.20.2 icmp_seq=3 ttl=62 time=28.005 ms
84 bytes from 20.20.20.2 icmp_seq=4 ttl=62 time=28.030 ms
84 bytes from 20.20.20.2 icmp_seq=5 ttl=62 time=28.076 ms
Kết quả show các lệnh VPN trên các Router


Xem thiết lập kết nối.
 
R1#sh crypto session

Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 1.1.1.2 port 500
  IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
  IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
        Active SAs: 2, origin: crypto map
R1#sh crypto isakmp sa
 
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
1.1.1.2         1.1.1.1         QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA
 R2#sh crypto session

Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 1.1.1.1 port 500
  IKE SA: local 1.1.1.2/500 remote 1.1.1.1/500 Active
  IPSEC FLOW: permit ip 20.20.20.0/255.255.255.0 10.10.10.0/255.255.255.0
        Active SAs: 2, origin: crypto map

R2#sh crypto isakmp sa
 
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
1.1.1.2         1.1.1.1         QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA
 


Xem các gói tin đóng gói mã hóa và giải mã,
R1#sh crypto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: CMAP, local addr 1.1.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (20.20.20.0/255.255.255.0/0/0)
   current_peer 1.1.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 20, #pkts encrypt: 20, #pkts digest: 20
    #pkts decaps: 22, #pkts decrypt: 22, #pkts verify: 22
 Kết thúc bài lab

--------- ĐÂU CHỈ CÓ THẾ?

Trên thực tế ta thường triển khai công nghệ VPN cùng với PPPOE tức là người dùng trong LAN vừa muốn truy cập internet vừa truy cập VPN phía chi nhánh khác. Vậy phải làm sau đây?

Thông thường ta thường cấu hình ACL để NAT overload phục vụ việc quay số PPPOE như sau:

R1(config)# ip nat inside source list 100 interface fastethernet0/0 overload
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
R1(config)# access-list 100 remark
Nếu như vậy, từ host A khi ping đén host 20.20.20.2 (PC2 đầu xa) thì phương thức NAT overload vẫn được thực thi 1 cách vô nghĩa, ta hãy phân luồn traffic ACL như sau
--Dùng cho VPN
--Dùng cho quay số PPPOE 

===> Chỉ NAT overload cho packets nào ra internet, deny (không NAT overload) packets nào đến VPN đầu xa.


 

R1(config)# access-list 100 remark -=[Define NAT Service]=-
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255 //không thực thi NAT overload
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any //ra internet luôn thực thi NAT overload
R1(config)# access-list 100 remark_--[END]
R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload

1/2/19

Tạo PCB-layout cho linh kiện chưa có footprint

Trong ARES, ta vẽ mạch in cho linh kiện, không phải lúc nào cũng có sẵn footprint cho chân linh kiện. Điển hình là 1 con LED đơn.

Cùng kiểm chứng bới thao tác đơn giản sau,

Bạn hãy click phải lên 1 con LED-GREEN chọn "Packaging tool"


Ta sẽ thấy thông điệp "No packages available for preview"


Ta cùng nhau xây dựng footprint cho LED nhé, trên giao diện ISIS bạn phải phân biệt được cực âm và dương của LED,





Chọn biểu tượng PCB-layout để chuyển sang chế độ vẽ ARES.




Chuyển sang cửa số footprint,



 Để vẽ được footprint cho linh kiện, ta hãy xem datasheet thực tế.


Bạn xem, khoảng cách giữa 2 chân led người ta ghi là 2.54mm. Ta hãy tham chiếu quan hệ của các đơn vị sau:

1 inch=2.54cm=25,4mm=1000th (mil). Từ đó suy ra, 

 2.54mm=0.1 inch  =100th (mil)

Nếu ta chọn kích thước lưới trong ARES là mm thì rất nhỏ và khó vẽ, vì vậy tôi chọn kích thước là TH nhé.


Dùng scroll chuột phóng to lưới lên 1 chút,
chọn dimesion tool để đo khoảng cách giữa 2 ô lưới, ta thấy nó là 100TH, như vậy đây là kích thước đúng giữa 2 chân linh kiện.



Bước tiếp theo, bạn chọn vào dạng footprint tròn cho 2 chân của LED,


Rồi bạn chọn viền bao cho nó,


Vì led có phân cực, nên ta cần chú thích cực + cho footprint.







Tiếp theo, quét bôi footprint của LED, ta chọn make device, hãy xem hình ảnh 3D thực tế, rồi điền các thông số sau:



Như vậy, tôi đã hướng dẫn các bạn tạo footprint cho linh kiện LED, thư viện footprint có tên "LED-PCB" đã có trong thư viện ARES, tuy nhiên bạn phải gán nó vào linh kiện LED-GREEN. Ta quay lại giao diện ISIS

Click phải lên LED ta chọn packaging tool,















Cửa sổ hiện ra, ta thêm thư viện footprint vào,



Vì chân A (cực dương) đang ứng với chân số 1 có dấu cộng của footprint nên ta chọn A là chân số 1, làm tương tự cho chân số 2.




 Kết quả như sau, sau đó nhấn nút assign package để hoàn tất.


Chương trình sẽ hỏi mình muốn lưu tại thư viện nào, bạn chọn như sau,



Hoàn thành!!

Hãy kiểm tra lại nhé,

Bên ISIS, bạn thử nối 2 chân led lại, rồi chuyển sang ARES xem có đúng ko??



Đúng như vậy, 2 chân của nó được nối bằng 1 đường màu xanh.