Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thiết kế mạng, từ lý thuyết đến thực tiễn – lời nói đầu.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • #46
    thanks bài viết rất hay.

    Up lại hình trong bài viết chủ thớt ơi..

    Mong sẽ có thêm bài viết tiếp theo

    Comment


    • #47
      Originally posted by nggianglx View Post
      thanks bài viết rất hay.

      Up lại hình trong bài viết chủ thớt ơi..

      Mong sẽ có thêm bài viết tiếp theo
      Do gioi han dung luong, nen kg up hinh truc tiep len forum duoc, chi up link thoi ban.
      Thanks,

      Comment


      • #48
        cám ơn bài viết của anh, đợi bài viết này của anh : Dự phòng đẩy đủ sử dụng Virtualize Switch, loại bỏ STP

        Comment


        • #49
          Dear Mr Bình ,
          Bài viết rất hay , mong anh hoàn thành sớm mục Configuration template và bài viết về khả năng dự phòng mới thay thế STP !

          Comment


          • #50
            Anh Binh oi bai viet hay qua Anh up luon phan cau hinh len di

            Comment


            • #51
              Chuc anh co nhieu suc khoe de post bai cho dan em than yeu hoc hoi
              Em hoc duoc rat nhieu tu nhung bai cua anh
              cam on anh nhieu

              Comment


              • #52
                Hì .... cao thủ. Mình thích được học thế này: hiểu mục đích sữ dụng trước khi dùng, chưa hiểu dùng 1 vài lần nhưng vẫn quên.

                Comment


                • #53
                  Bài viết chất lượng khá cao, rất thực tiễn cho việc áp dụng các mô hình thực tế, giúp ích các bạn SV rất nhiều, thanks.
                  Chân-Thiện-Nhẫn

                  MCP, MCSA, MCSE, MCITP-Enterprise Admin, MCITP-Virtualization Admin
                  CCNA, CCNA Wireless, CCNP Wireless, CCIE Wireless Written
                  IBM System x Technical Expert V6

                  Comment


                  • #54
                    Configuration Template " Thiết kế hạ tầng mạng lan dự phòng đầy đủ dùng stp"

                    Chào các bạn.
                    Thời gian này cuối năm nên cũng bận quá, tranh thủ viết phần "configuration template" cho phần " Thiết kế hạ tầng mạng lan dự phòng đầy đủ dùng stp".
                    Về cơ bản, phần cấu hình này có một số điểm khác so với phần configuration template cho phần " Thiết kế hạ tầng mạng lan không dự phòng" như sau:
                    - Sử dung OSPF Routing làm định tuyến.
                    - Cấu hình HSRP trên Core/Dist Switch để đảm bảo khả năng HA cho người dùng ở Switch Access Layer.
                    - Cấu hình Failover cho Internal Firewall (ASA5550) và External Firewall (ASA5510).
                    - Cấu hình Redundant Interface cho Internal và External FW.

                    Cấu Hình Mẫu (Configuration Template) phần " Thiết kế hạ tầng mạng lan dự phòng đầy đủ dùng stp"


                    Core/Distribution Switch Cisco Catalyst 3560G/3560-X
                    !Cấu hình VLAN
                    Switch(config)# vlan <Vlan-ID>
                    Switch(config-vlan)# name <Vlan-Name>

                    !Cấu hình VTP mode transparent
                    Switch(config)# vtp mode transparent

                    !Cấu hình STP
                    !Sử dụng Rapid PVST+ hoặc MST
                    Switch(config)# spanning-tree mode rapid-pvst

                    !Cấu hình Core/Distribution là STP Root Bridge
                    Switch(config)# spanning-tree vlan 1-4094 priority 8192

                    !Tối ưu hóa các tính năng của STP
                    Enable BPDU Guard, BPDU Filter một các tự động trên những port được cấu hình Spanning-Tree Portfast
                    Switch(config)# spanning-tree portfast bpduguard default
                    Switch(config)# spanning-tree portfast bpdufilter default

                    !Cấu hình UDLD
                    !Enable UDLD trên các kết nối fiber nhằm phòng tránh hiện tượng “unidirectional connection”
                    Switch(config)# udld aggressive

                    !Cấu hình Broadcast Storm
                    !Cấu hình Storm-Control (10%) trên các cổng Uplink (và Downlink đối với Core/Dist)
                    Switch(config-if)# storm-control broadcast level 10

                    !Cấu hình Port
                    !Cấu hình Trunk đối với các Port kết nối với Access Switch
                    Switch(config-if)# switchport mode trunk
                    ! Nhằm phòng tránh tân công VLAN-Hopping, cấu hình native VLAN 999, là VLAN được tạo ra nhưng không sử dụng.
                    Switch(config-if)# switchport trunk native vlan 999

                    !Cấu hình Access đối với những cổng kết nối đến WAN Router
                    Switch(config-if)# switchport mode access
                    Switch(config-if)# switchport access vlan <Vlan-ID>
                    Switch(config-if)# spanning-tree portfast

                    !Cấu hình Trunk Dot1Q trên các cổng kết nối đến External Firewall
                    Switch(config-if)# switchport mode trunk
                    Switch(config-if)# switchport trunk allow vlan <TRUSTED,UNTRUSTED,DMZ>
                    Switch(config-if)# switchport nonegotiate

                    !Shutdown nhung port không sử dụng hiện tại
                    Switch(config-if)# shutdown

                    !Cấu hình L2 Ether Channel giữa 2 Core/Dist Switch
                    Switch(config)# interface range Gi0/x-y
                    Switch(config-if)# switchport mode trunk
                    Switch(config-if)# switchport nonegotiate
                    Switch(config-if)# channel-protocol lacp
                    Switch(config-if)# channel-group <group-number> mode active
                    Switch(config)# port-channel load-balance src-dst-ip

                    !Cấu hình L3 Ether Channel giữa 2 Core/Dist Switch
                    Switch(config)# interface range Gi0/x-y
                    Switch(config-if)# no switchport
                    Switch(config-if)# channel-protocol lacp
                    Switch(config-if)# channel-group <group-number> mode active

                    !Cấu hình InterVlan Routing và HSRP
                    !Cấu hình Layer 3 Interface và InterVlan Routing
                    Switch(config)# Interface vlan <VLAN-ID>
                    Switch(config-if)# ip address x.x.x.x y.y.y.y
                    Switch(config-if)# standby <HSRP-Group-ID> ip <x1.x1.x1.x1> <y1.y1.y1.y1>
                    Switch(config-if)# standby <HSRP-Group-ID> priority <Priority-Number>
                    Switch(config-if)# standby <HSRP-Group-ID> preempt
                    Switch(config-if)# no shutdown
                    Switch(config-if)# no ip proxy-arp
                    Switch(config-if)# no ip unreachables
                    Switch(config-if)# no ip redirects
                    Switch(config-if)# no ip mask-reply
                    Switch(config-if)# no ip directed-broadcast
                    !
                    !Cấu hình interface L3 port-channel giữa 2 core/dist switch
                    Switch(config)# interface port-channel <group-number>
                    Switch(config-if)# ip address x.x.x.x y.y.y.y
                    Switch(config-if)# no shutdown
                    Switch(config-if)# no ip proxy-arp
                    Switch(config-if)# no ip unreachables
                    Switch(config-if)# no ip redirects
                    Switch(config-if)# no ip mask-reply
                    Switch(config-if)# no ip directed-broadcast
                    !
                    Switch(config)# Interface loopback 0
                    Switch(config-if)# ip address x.x.x.x 255.255.255.255
                    Switch(config-if)# no ip proxy-arp
                    Switch(config-if)# no ip unreachables
                    Switch(config-if)# no ip redirects
                    Switch(config-if)# no ip mask-reply
                    Switch(config-if)# no ip directed-broadcast
                    !
                    Switch(config)# ip routing



                    !Cấu hình OSPF và Static Routing
                    Ip route 0.0.0.0 0.0.0.0 <External-FW>
                    !
                    Switch(config)# router ospf 1
                    Switch(config-router)# router-id <x.x.x.x>
                    Switch(config-router)# network <x.x.x.x> <y.y.y.y> area 0
                    Switch(config-router)# default-information originate always
                    Switch(config-router)# auto-cost reference-bandwidth 10000
                    Switch(config-router)# passive-interface vlan <User-VLAN-ID>
                    !
                    Switch(config-if)# interface port-channel <group-number>
                    Switch(config-if)# ip ospf authentication message-digest
                    Switch(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    Switch(config-if)# ip ospf network point-to-point
                    !
                    Switch(config)# interface vlan <WAN-VLAN-ID>
                    Switch(config-if)# ip ospf authentication message-digest
                    Switch(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    !
                    Switch(config)# interface vlan <TRUSTED-VLAN-ID>
                    Switch(config-if)# ip ospf authentication message-digest
                    Switch(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    !
                    Switch(config)# interface vlan <INTERNAL-FW-UNTRUSTED-VLAN-ID>
                    Switch(config-if)# ip ospf authentication message-digest
                    Switch(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    !




                    !OSPF Routing cho WAN Router ở các chi nhánh
                    Router(config)# router ospf 1
                    Router(config-router)# router-id <x.x.x.x>
                    Router(config-router)# network <x.x.x.x> <y.y.y.y> area <n>
                    Router(config-router)# area <n> stub
                    Router(config-router)# auto-cost reference-bandwidth 10000
                    !
                    Router(config)# interface Fa x/y
                    Router(config-if)# description connect to peer WAN Router
                    Router(config-if)# ip ospf authentication message-digest
                    Router(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    Router(config-if)# ip ospf network point-to-point
                    !
                    Router(config)# interface tunnel 0
                    Router(config-if)# description connect to peer WAN Router in HQ
                    Router(config-if)# ip ospf authentication message-digest
                    Router(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    Router(config-if)# ip ospf network point-to-point


                    !Cấu hình Device Hardening
                    !Cấu hình password
                    Switch(config)# service password-encryption
                    Switch(config)# no enable password
                    Switch(config)# enable secret <password>
                    Switch(config)# username <admin user> secret <password>

                    !Disable các dịch vụ không cần thiết
                    Switch(config)# no service tcp-small-servers
                    Switch(config)# no service udp-small-servers
                    Switch(config)# no ip bootp server
                    Switch(config)# no ip finger
                    Switch(config)# no service finger
                    Switch(config)# no service config
                    Switch(config)# no boot host
                    Switch(config)# no boot network
                    Switch(config)# no boot system
                    Switch(config)# no service pad
                    Switch(config-if)# no ip proxy-arp
                    Switch(config-if)# no ip unreachables
                    Switch(config-if)# no ip redirects
                    Switch(config-if)# no ip mask-reply
                    Switch(config-if)# no ip directed-broadcast
                    Switch(config)# no ip domain-lookup

                    !Disable ip source-route trong IP header
                    Switch(config)# no ip source-route

                    !Set timeout cho console laf 5 phút
                    Switch(config)# line console 0
                    Switch(config-line)# exec-time 5 0

                    !Chỉ cho phép truy cập vào Switch thông qua SSH
                    Switch(config)# access-list 11 permit x.x.x.x y.y.y.y
                    Switch(config)# access-list 11 deny any log
                    Switch(config)# line vty 0 4
                    Switch(config-line)# transport input ssh
                    Switch(config-line)# transport output none
                    Switch(config-line)# privilege level 1
                    Switch(config-line)# exec-timeout 5 0
                    Switch(config-line)# access-class 11 in
                    Switch(config-line)# login local
                    Switch(config)# line vty 0 15
                    Switch(config-line)# transport input none

                    !Tắt dịch vụ HTTP Server
                    Switch(config)# no ip http server

                    !Ngăn chặn tấn công vào từ chối dịch vụ vào Switch Processor làm Switch không thể xử lý các management traffic hợp lệ (STP, VTP, DTP, CDP, Routing, …)
                    Switch(config)# scheduler interval 500

                    !Cấu hình Management
                    !Cấu hình Syslog
                    Switch(config)# no logging console
                    Switch(config)# logging buffered 128000

                    !Cấu hình NTP
                    Switch(config)# ntp server <IP Address> key <Secret-key>
                    Switch(config)# ntp source loopback 0
                    Switch(config)# clock timezone GMT +7
                    Switch(config)# service timestamps log datetime msec localtime show-timezone
                    Switch(config)# service timestamps debug datetime msec localtime show-timezone

                    !Cấu hình CDP
                    !Mặc định CDP đã được tự động bật trên trên Switch.

                    !Cấu hình SNMP
                    Cấu hình SNMP Community Read-Only string để các Management Server (SolarWind, WhatsUpGold, …) có thể truy xuất vào thiết bị nhằm mục đích !monitor.
                    Switch(config)# snmp-server community <SNMP-String> RO 10
                    Switch(config)# access-list 10 remark Permit Read-Only SNMP Access from NMS only
                    Switch(config)# access-list 10 permit x.x.x.x y.y.y.y
                    Switch(config)# access-list 10 deny any log
                    Switch(config)# snmp-server location <Server Room A> <5th Floor>

                    !Cấu hình Banner
                    !cấu hình banner để cảnh báo mỗi khi có người truy cập vào thiết bị
                    Switch(config)# banner motd ^
                    **************************** NOTICE *******************************
                    This is a private network facility protected by a security system.
                    Access to and use of this facility requires explicit written,
                    current authorisation and is strictly limited to the purposes of
                    this organization's business.
                    Unauthorised or any attempt at unauthorised access, use, copying,
                    alteration, destruction, or damage to its data, program, or
                    equipment may result in criminal or civil liability or both.
                    ************************************************** *******************
                    ^



                    Access/DMZ/Server Switch Cisco Catalyst 2960/2960S
                    !Cấu hình VLAN
                    Switch(config)# vlan <Vlan-ID>
                    Switch(config-vlan)# name <Vlan-Name>

                    !Cấu hình VTP mode transparent
                    Switch(config)# vtp mode transparent

                    !Cấu hình STP
                    !Sử dụng Rapid PVST+ hoặc MST
                    Switch(config)# spanning-tree mode rapid-pvst

                    !Tối ưu hóa các tính năng của STP
                    Enable BPDU Guard, BPDU Filter một các tự động trên những port được cấu hình Spanning-!Tree Portfast
                    Switch(config)# spanning-tree portfast bpduguard default
                    Switch(config)# spanning-tree portfast bpdufilter default

                    !Cấu hình UDLD
                    !Enable UDLD trên các kết nối fiber nhằm phòng tránh hiện tượng “unidirectional connection”
                    Switch(config)# udld aggressive

                    !Cấu hình Broadcast Storm
                    !Cấu hình Storm-Control (10%) trên các cổng Uplink (và Downlink đối với Core/Dist)
                    Switch(config-if)# storm-control broadcast level 10

                    !Cấu hình Layer 2 Port
                    !Cấu hình Trunk đối với các Port kết nối với Access Switch
                    Switch(config-if)# switchport mode trunk
                    ! Nhằm phòng tránh tân công VLAN-Hopping, cấu hình native VLAN 999, là VLAN được tạo ra nhưng không sử dụng.
                    Switch(config-if)# switchport trunk native vlan 999

                    !Cấu hình Access đối với những cổng kết nối đến WAN Router
                    Switch(config-if)# switchport mode access
                    Switch(config-if)# switchport access vlan <Vlan-ID>
                    Switch(config-if)# spanning-tree portfast

                    !Shutdown nhung port không sử dụng hiện tại
                    Switch(config-if)# shutdown

                    !Cấu hình Ether Channel
                    Switch(config)# interface range Gi0/x-y
                    Switch(config-if)# channel-protocol lacp
                    Switch(config-if)# channel-group <group-number> mode active
                    Switch(config)# port-channel load-balance src-dst-ip


                    !Cấu hình Device Hardening
                    !Cấu hình password
                    Switch(config)# service password-encryption
                    Switch(config)# no enable password
                    Switch(config)# enable secret <password>
                    Switch(config)# username <admin user> secret <password>

                    !Disable các dịch vụ không cần thiết
                    Switch(config)# no service tcp-small-servers
                    Switch(config)# no service udp-small-servers
                    Switch(config)# no ip bootp server
                    Switch(config)# no ip finger
                    Switch(config)# no service finger
                    Switch(config)# no service config
                    Switch(config)# no boot host
                    Switch(config)# no boot network
                    Switch(config)# no boot system
                    Switch(config)# no service pad
                    Switch(config)# no ip domain-lookup
                    Switch(config-if)# no ip proxy-arp
                    Switch(config-if)# no ip unreachables
                    Switch(config-if)# no ip redirects
                    Switch(config-if)# no ip mask-reply
                    Switch(config-if)# no ip directed-broadcast

                    !Disable ip source-route trong IP header
                    Switch(config)# no ip source-route

                    !Set timeout cho console laf 5 phút
                    Switch(config)# line console 0
                    Switch(config-line)# exec-time 5 0

                    !Chỉ cho phép truy cập vào Switch thông qua SSH
                    Switch(config)# access-list 11 permit x.x.x.x y.y.y.y
                    Switch(config)# access-list 11 deny any log
                    Switch(config)# line vty 0 4
                    Switch(config-line)# transport input ssh
                    Switch(config-line)# transport output none
                    Switch(config-line)# privilege level 1
                    Switch(config-line)# exec-timeout 5 0
                    Switch(config-line)# access-class 11 in
                    Switch(config-line)# login local
                    Switch(config)# line vty 0 15
                    Switch(config-line)# transport input none

                    !Tắt dịch vụ HTTP Server
                    Switch(config)# no ip http server

                    !Ngăn chặn tấn công vào từ chối dịch vụ vào Switch Processor làm Switch không thể xử lý các management traffic hợp lệ (STP, VTP, DTP, CDP, Routing, …)
                    Switch(config)# scheduler interval 500

                    !Cấu hình Management
                    !Cấu hình Syslog
                    Switch(config)# no logging console
                    Switch(config)# logging buffered 128000

                    !Cấu hình NTP
                    Switch(config)# ntp server <IP Address> key <Secret-key>
                    Switch(config)# ntp source loopback 0
                    Switch(config)# clock timezone GMT +7
                    Switch(config)# service timestamps log datetime msec localtime show-timezone
                    Switch(config)# service timestamps debug datetime msec localtime show-timezone

                    !Cấu hình CDP
                    !Mặc định CDP đã được tự động bật trên trên Switch.

                    !Cấu hình SNMP
                    Cấu hình SNMP Community Read-Only string để các Management Server (SolarWind, WhatsUpGold, …) có thể truy xuất vào thiết bị nhằm mục đích !monitor.
                    Switch(config)# snmp-server community <SNMP-String> RO 10
                    Switch(config)# access-list 10 remark Permit Read-Only SNMP Access from NMS only
                    Switch(config)# access-list 10 permit x.x.x.x y.y.y.y
                    Switch(config)# access-list 10 deny any log
                    Switch(config)# snmp-server location <Server Room A> <5th Floor>

                    !Cấu hình Banner
                    !cấu hình banner để cảnh báo mỗi khi có người truy cập vào thiết bị
                    Switch(config)# banner motd ^
                    **************************** NOTICE *******************************
                    This is a private network facility protected by a security system.
                    Access to and use of this facility requires explicit written,
                    current authorisation and is strictly limited to the purposes of
                    this organization's business.
                    Unauthorised or any attempt at unauthorised access, use, copying,
                    alteration, destruction, or damage to its data, program, or
                    equipment may result in criminal or civil liability or both.
                    ************************************************** *******************
                    ^



                    WAN Router Cisco 2900 ISR2
                    !Cấu hình WAN Interface
                    Router(config-if)# encapsulation ppp
                    Router(config-if)# no cdp enable
                    Router(config-if)# ip address x.x.x.x y.y.y.y
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip unreachables
                    Router(config-if)# no ip redirects
                    Router(config-if)# no ip mask-reply
                    Router(config-if)# no ip directed-broadcast


                    !Cấu hình LAN Interface
                    Router(config-if)# ip address x.x.x.x y.y.y.y
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip unreachables
                    Router(config-if)# no ip redirects
                    Router(config-if)# no ip mask-reply
                    Router(config-if)# no ip directed-broadcast

                    !Cấu hình VTI IPSEC VPN Site-to-Site
                    !Cấu hình VPN Policy Phase 1 (ISAKMP)
                    Router(config)# crypto isakmp policy 1
                    Router(config-isakmp)# encr 3des
                    Router(config-isakmp)# authentication pre-share
                    Router(config-isakmp)# group 2
                    Router(config)# crypto isakmp key <secret-key> address <IP-Address> <Subnet-Mask>
                    Router(config)# crypto isakmp keepalive 10

                    !Cấu hình VPN Policy Phase 2 (IPSEC)
                    Router(config)# crypto ipsec transform-set TRAN_TEST esp-3des esp-sha-hmac
                    Router(config)# crypto ipsec profile VTI
                    Router(config-vti)# set transform-set TRAN_TEST

                    !Cấu hình Interface VTI và apply IPSEC profile
                    Router(config)# interface tunnel 0
                    Router(config-if)# ip address x.x.x.x y.y.y.y
                    Router(config-if)# tunnel source <IP-WAN-Interface> <SubnetMask>
                    Router(config-if)# tunnel destination <IP-Router-Next-Hop> <SubnetMask>
                    Router(config-if)# tunnel protection ipsec ipv4
                    Router(config-if)# tunnel protection ipsec profile VTI

                    !Cấu hình OSPF Routing
                    Router(config)# router ospf 1
                    Router(config-router)# router-id <x.x.x.x>
                    Router(config-router)# network <x.x.x.x> <y.y.y.y> area 0
                    Router(config-router)# network <x.x.x.x> <y.y.y.y> area <n>
                    Router(config-router)# area <n> stub no-summary
                    Router(config-router)# area <n> range <ip-subnet> <subnet-mask>
                    Router(config-router)# auto-cost reference-bandwidth 10000
                    !
                    Router(config)# interface Fa x/y
                    Router(config-if)# description connect to peer WAN Router
                    Router(config-if)# ip ospf authentication message-digest
                    Router(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    Router(config-if)# ip ospf network point-to-point
                    !
                    Router(config)# interface Tunnel 0
                    Router(config-if)# description connect to peer WAN Router in Branch
                    Router(config-if)# ip ospf authentication message-digest
                    Router(config-if)# ip ospf message-digest-key <key-id> md5 <key>
                    Router(config-if)# ip ospf network point-to-point



                    !Cấu hình Device Hardening
                    !Cấu hình password
                    Router(config)# service password-encryption
                    Router(config)# no enable password
                    Router(config)# enable secret <password>
                    Router(config)# username <admin user> secret <password>

                    !Disable các dịch vụ không cần thiết
                    Router(config)# no service tcp-small-servers
                    Router(config)# no service udp-small-servers
                    Router(config)# no ip bootp server
                    Router(config)# no ip finger
                    Router(config)# no service finger
                    Router(config)# no service config
                    Router(config)# no boot host
                    Router(config)# no boot network
                    Router(config)# no boot system
                    Router(config)# no service pad
                    Router(config)# no ip domain-lookup

                    !Disable ip source-route trong IP header
                    Router(config)# no ip source-route

                    !Set timeout cho console la 5 phút
                    Router(config)# line console 0
                    Router(config-line)# exec-time 5 0

                    !Chỉ cho phép truy cập vào Router thông qua SSH
                    Router(config)# access-list 11 permit x.x.x.x y.y.y.y
                    Router(config)# access-list 11 deny any log
                    Router(config)# line vty 0 4
                    Router(config-line)# transport input ssh
                    Router(config-line)# transport output none
                    Router(config-line)# privilege level 1
                    Router(config-line)# exec-timeout 5 0
                    Router(config-line)# access-class 11 in
                    Router(config-line)# login local
                    Router(config)# line vty 0 15
                    Router(config-line)# transport input none

                    !Tắt dịch vụ HTTP Server
                    Router(config)# no ip http server

                    !Cấu hình Device Management
                    !Cấu hình Syslog
                    Router(config)# no logging console
                    Router(config)# logging buffered 128000

                    !Cấu hình NTP
                    Router(config)# ntp server <IP Address> key <Secret-key>
                    Router(config)# ntp source loopback 0
                    Router(config)# clock timezone GMT +7
                    Router(config)# service timestamps log datetime msec localtime show-timezone
                    Router(config)# service timestamps debug datetime msec localtime show-timezone

                    !Cấu hình Management
                    !Cấu hình CDP
                    !Mặc định CDP đã được tự động bật trên trên Router.

                    !Cấu hình SNMP
                    Cấu hình SNMP Community Read-Only string để các Management Server (SolarWind, WhatsUpGold, …) có thể truy xuất vào thiết bị nhằm mục đích !monitor.
                    Router(config)# snmp-server community <SNMP-String> RO 10
                    Router(config)# access-list 10 remark Permit Read-Only SNMP Access from NMS only
                    Router(config)# access-list 10 permit x.x.x.x y.y.y.y
                    Router(config)# access-list 10 deny any log
                    Router(config)# snmp-server location <Server Room A> <5th Floor>

                    !Cấu hình Banner
                    !cấu hình banner để cảnh báo mỗi khi có người truy cập vào thiết bị
                    Router(config)# banner motd ^
                    **************************** NOTICE *******************************
                    This is a private network facility protected by a security system.
                    Access to and use of this facility requires explicit written,
                    current authorisation and is strictly limited to the purposes of
                    this organization's business.
                    Unauthorised or any attempt at unauthorised access, use, copying,
                    alteration, destruction, or damage to its data, program, or
                    equipment may result in criminal or civil liability or both.
                    ************************************************** *******************
                    ^



                    Internet Router Cisco 1900 ISR2
                    !Cấu hình Internet Interface
                    Router(config# interface Gi0/1
                    Router(config-if)# no cdp enable
                    Router(config-if)# ip address 203.162.123.2 255.255.255.252
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip unreachables
                    Router(config-if)# no ip redirects
                    Router(config-if)# no ip mask-reply
                    Router(config-if)# no ip directed-broadcast


                    !Cấu hình LAN Interface
                    Router(config)# interface Gi0/0
                    Router(config-if)# ip address 203.162.100.1 255.255.255.240
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip proxy-arp
                    Router(config-if)# no ip unreachables
                    Router(config-if)# no ip redirects
                    Router(config-if)# no ip mask-reply
                    Router(config-if)# no ip directed-broadcast


                    !Cấu hình Static Route
                    Router(config)# ip route 0.0.0.0 0.0.0.0 203.162.123.1


                    !Cấu hình Device Hardening
                    !Cấu hình password
                    Router(config)# service password-encryption
                    Router(config)# no enable password
                    Router(config)# enable secret <password>
                    Router(config)# username <admin user> secret <password>

                    !Disable các dịch vụ không cần thiết
                    Router(config)# no service tcp-small-servers
                    Router(config)# no service udp-small-servers
                    Router(config)# no ip bootp server
                    Router(config)# no ip finger
                    Router(config)# no service finger
                    Router(config)# no service config
                    Router(config)# no boot host
                    Router(config)# no boot network
                    Router(config)# no boot system
                    Router(config)# no service pad
                    Router(config)# no ip domain-lookup

                    !Disable ip source-route trong IP header
                    Router(config)# no ip source-route

                    !Set timeout cho console la 5 phút
                    Router(config)# line console 0
                    Router(config-line)# exec-time 5 0

                    !Chỉ cho phép truy cập vào Router thông qua SSH
                    Router(config)# access-list 11 permit x.x.x.x y.y.y.y
                    Router(config)# access-list 11 deny any log
                    Router(config)# line vty 0 4
                    Router(config-line)# transport input ssh
                    Router(config-line)# transport output none
                    Router(config-line)# privilege level 1
                    Router(config-line)# exec-timeout 5 0
                    Router(config-line)# access-class 11 in
                    Router(config-line)# login local
                    Router(config)# line vty 0 15
                    Router(config-line)# transport input none

                    !Tắt dịch vụ HTTP Server
                    Router(config)# no ip http server

                    !Cấu hình Device Management
                    !Cấu hình Syslog
                    Router(config)# no logging console
                    Router(config)# logging buffered 128000

                    !Cấu hình NTP
                    Router(config)# ntp server <IP Address> key <Secret-key>
                    Router(config)# ntp source loopback 0
                    Router(config)# clock timezone GMT +7
                    Router(config)# service timestamps log datetime msec localtime show-timezone
                    Router(config)# service timestamps debug datetime msec localtime show-timezone

                    !Cấu hình CDP
                    !Mặc định CDP đã được tự động bật trên trên Router.

                    !Cấu hình SNMP
                    Cấu hình SNMP Community Read-Only string để các Management Server (SolarWind, WhatsUpGold, …) có thể truy xuất vào thiết bị nhằm mục đích !monitor.
                    Router(config)# snmp-server community <SNMP-String> RO 10
                    Router(config)# access-list 10 remark Permit Read-Only SNMP Access from NMS only
                    Router(config)# access-list 10 permit x.x.x.x y.y.y.y
                    Router(config)# access-list 10 deny any log
                    Router(config)# snmp-server location <Server Room A> <5th Floor>

                    !Cấu hình Banner
                    !cấu hình banner để cảnh báo mỗi khi có người truy cập vào thiết bị
                    Router(config)# banner motd ^
                    **************************** NOTICE *******************************
                    This is a private network facility protected by a security system.
                    Access to and use of this facility requires explicit written,
                    current authorisation and is strictly limited to the purposes of
                    this organization's business.
                    Unauthorised or any attempt at unauthorised access, use, copying,
                    alteration, destruction, or damage to its data, program, or
                    equipment may result in criminal or civil liability or both.
                    ************************************************** *******************
                    ^



                    Internet Firewall ASA5510
                    !Cấu hình Failover cho ASA5510 Active
                    ASA5510(config)# interface redundant 2
                    ASA5510(config-if)# member-interface Fa0/2
                    ASA5510(config-if)# member-interface Fa0/3
                    !
                    ASA5510(config)# interface Fa0/2
                    ASA5510(config-if)# no shutdown
                    ASA5510(config)# interface Fa0/3
                    ASA5510(config-if)# no shutdown
                    !
                    ASA5510(config)# failover lan unit primary
                    ASA5510(config)# failover lan interface FOLINK redundant 2
                    ASA5510(config)# failover interface ip FOLINK 10.1.1.1 255.255.255.252 standby 10.1.1.2
                    ASA5510(config)# failover link STATELINK redundant 2
                    ASA5510(config)# failover replication http
                    ASA5510(config)# failover

                    !Cấu hình Failover cho ASA5510 Standby
                    ASA5510(config)# interface redundant 2
                    ASA5510(config-if)# member-interface Fa0/2
                    ASA5510(config-if)# member-interface Fa0/3
                    !
                    ASA5510(config)# interface Fa0/2
                    ASA5510(config-if)# no shutdown
                    ASA5510(config)# interface Fa0/3
                    ASA5510(config-if)# no shutdown
                    !
                    ASA5510(config)# failover lan unit secondary
                    ASA5510(config)# failover lan interface FOLINK redundant 2
                    ASA5510(config)# failover interface ip FOLINK 10.1.1.1 255.255.255.252 standby 10.1.1.2
                    ASA5510(config)# failover link STATELINK redundant 2
                    ASA5510(config)# failover replication http
                    ASA5510(config)# failover

                    !Cấu hình Interface
                    ASA5510(config)# interface redundant 1
                    ASA5510(config-if)# member-interface Fa0/0
                    ASA5510(config-if)# member-interface Fa0/1
                    !
                    ASA5510(config)# interface Fa0/0
                    ASA5510(config-if)# no shutdown
                    ASA5510(config)# interface Fa0/1
                    ASA5510(config-if)# no shutdown
                    !
                    ASA5510(config)# interface redundant 1.1
                    ASA5510(config-subif)# vlan <TRUSTED-VLAN-ID>
                    ASA5510(config-subif)# nameif TRUSTED
                    ASA5510(config-subif)# ip address 192.168.10.1 255.255.255.0 standby 192.168.10.2
                    ASA5510(config-subif)# security-level 100
                    !
                    ASA5510(config)# interface redundant 1.2
                    ASA5510(config-subif)# vlan <DMZ-VLAN-ID>
                    ASA5510(config-subif)# nameif DMZ
                    ASA5510(config-subif)# ip address 192.168.20.1 255.255.255.0 standby 192.168.20.2
                    ASA5510(config-subif)# security-level 50
                    !
                    ASA5510(config)# interface redundant 1.3
                    ASA5510(config-subif)# vlan <UNTRUSTED-VLAN-ID>
                    ASA5510(config-subif)# nameif UNTRUSTED
                    ASA5510(config-subif)# ip address 203.162.100.2 255.255.255.240 standby 203.162.100.3
                    ASA5510(config-subif)# security-level 0
                    !

                    !Cấu hình Static Route
                    ASA5510(config)# route UNTRUSTED 0.0.0.0 0.0.0.0 203.162.100.1
                    ASA5510(config)# route TRUSTED <x.x.x.x> <y.y.y.y> <Core/Dist Switch>


                    !Cấu hình Remote Access VPN
                    !Cấu hình VPN policy phase 1 (ISAKMP)
                    ASA5510(config)# crypto isakmp policy 1
                    ASA5510(config-isakmp)# authentication pre-share
                    ASA5510(config-isakmp)# encryption 3des
                    ASA5510(config-isakmp)# group 2

                    !Cấu hình VPN policy phase 2 (IPSEC)
                    ASA5510(config)# crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
                    ASA5510(config)# crypto dynamic-map DYMAP 1 set transform-set 3DES-SHA
                    ASA5510(config)# crypto dynamic-map DYMAP 1 set reserve-route
                    ASA5510(config)# crypto map CRYPMAP ipsec-isakmp dynamic DYMAP

                    !Apply VPN policy phase 1 và phase 2 vào Interface UNTRUSTED
                    ASA5510(config)# crypto isakmp enable UNTRUSTED
                    ASA5510(config)# crypto map interface UNTRUSTED

                    !Cấu hình VPN Group Policy cho Group IT Admin
                    ASA5510(config)# access-list ACL_SPLIT_TUNNEL standard permit 192.168.0.0 255.255.0.0
                    ASA5510(config)# access-list ACL_VPN_IT extended permit ip any 192.168.0.0 255.255.0.0
                    ASA5510(config)# ip local pool VPN_IPPOOL_IT 192.168.50.21-192.168.50.254 mask 255.255.255.0
                    ASA5510(config)# group-policy VPN_IT internal
                    ASA5510(config)# group-policy VPN_IT attributes
                    ASA5510(config-vpn-att)# dns-server value 192.168.11.11 192.168.11.12
                    ASA5510(config-vpn-att)# vpn-filter value ACL_VPN_IT
                    ASA5510(config-vpn-att)# ip-comp enable
                    ASA5510(config-vpn-att)# split-tunnel-policy tunnelspecified
                    ASA5510(config-vpn-att)# split-tunnel-network-list value ACL_SPLIT_TUNNEL
                    ASA5510(config-vpn-att)# address-pools value VPN_IPPOOL_IT

                    !Cấu hình VPN tunnel-group
                    ASA5510(config)# tunnel-group TG_IT type remote-access
                    ASA5510(config)# tunnel-group TG_IT general-attributes
                    ASA5510(config-vpn-tunnel-ge)# address-pool VPN_IPPOOL_IT
                    ASA5510(config-vpn-tunnel-ge)# default-group-policy VPN_IT
                    ASA5510(config)# tunnel-group TG_IT ipsec-attributes
                    ASA5510(config-vpn-tunnel-att)# pre-shared-key 123456

                    !Tạo VPN user
                    ASA5510(config)# Username vpn-user1 password <password>
                    ASA5510(config)# Username vpn-user1 attributes
                    ASA5510(config-user-att)# vpn-group-policy TG_IT
                    ASA5510(config-user-att)# service-type remote-access

                    !Cấu hình NAT Publich Web (TCP:80) va Mail (POP3) ra ngoài Internet
                    ASA5510(config)# static (DMZ,UNTRUSTED) tcp interface 80 192.168.20.20 80 netmask 255.255.255.255
                    ASA5510(config)# static (DMZ,UNTRUSTED) tcp interface 110 192.168.20.20 110 netmask 255.255.255.255

                    !Cấu hình NAT n-1 cho phép người dùng có thể truy cập Internet
                    ASA5510(config)# global (UNTRUSTED) 1 interface

                    !Cấu hình NAT Exempt traffic tu DMZ->TRUSTED, DMZ->VPN, TRUSTED->DMZ, TRUSTED->VPN
                    ASA5510(config)# access-list DMZ_nat0 remark NO NAT Traffic DMZ->VPN, DMZ->TRUSTED
                    ASA5510(config)# access-list DMZ_nat0 extended permit ip 192.168.20.0 192.168.10.0 255.255.255.0
                    ASA5510(config)# access-list DMZ_nat0 extended permit ip 192.168.20.0 192.168.50.0 255.255.255.0
                    !
                    ASA5510(config)# access-list TRUSTED_nat0 remark NO NAT Traffic TRUSTED->DMZ, TRUSTED->VPN
                    ASA5510(config)# access-list TRUSTED_nat0 extended permit ip 192.168.10.0 192.168.20.0 255.255.255.0
                    ASA5510(config)# access-list TRUSTED_nat0 extended permit ip 192.168.10.0 192.168.50.0 255.255.255.0

                    ASA5510(config)# nat (DMZ) 0 access-list DMZ_nat0
                    ASA5510(config)# nat (TRUSTED) 0 access-list TRUSTED_nat0

                    !Cấu hình Firewall Policy
                    !Cấu hình ACL
                    ASA5510(config)# access-list TRUSTED_IN remark Permit traffic from Internal Network access Internet
                    ASA5510(config)# access-list TRUSTED_IN extended permit ip any any
                    !
                    ASA5510(config)# access-list DMZ_IN remark Permit Servers from DMZ zone to access Internet and Internal IP Address 192.168.11.11
                    ASA5510(config)# access-list DMZ_IN extended permit ip any host 192.168.11.11
                    ASA5510(config)# access-list DMZ_IN extended deny ip any 192.168.0.0 255.255.0.0 log
                    ASA5510(config)# access-list DMZ_IN extended permit ip any any
                    !
                    ASA5510(config)# access-list UNTRUSTED_IN remark Permit Some traffic (mail,web) access to DMZ Zone from Internet
                    ASA5510(config)# access-list DMZ_IN extended permit tcp any host 203.162.100.2 eq 80
                    ASA5510(config)# access-list DMZ_IN extended permit tcp any host 203.162.100.2 eq 110

                    !Apply ACL to Interface
                    ASA5510(config)# access-group TRUSTED_IN in interface TRUSTED
                    ASA5510(config)# access-group DMZ_IN interface DMZ
                    ASA5510(config)# access-group UNTRUSTED_IN interface UNTRUSTED

                    !Cấu hình Management
                    !Cho phép ping đến TRUSTED interface để troubleshoot
                    ASA5510(config)# icmp permit any TRUSTED

                    !Cấu hình PC có IP 192.168.44.44 được phép telnet vào ASA
                    ASA5510(config)# telnet 192.168.44.44 255.255.255.255 TRUSTED

                    !Cấu hình cho phép PC có IP 192.168.44.44 quản lý ASA thông qua ASDM (TCP port 4443)
                    ASA5510(config)# http server enable 4443
                    ASA5510(config)# http 192.168.44.44 255.255.255.255 TRUSTED


                    Internal Firewall ASA5550
                    !Cấu hình Failover cho ASA5550 Active
                    ASA5550(config)# interface redundant 2
                    ASA5550(config-if)# member-interface Gi0/2
                    ASA5550(config-if)# member-interface Gi0/3
                    !
                    ASA5550(config)# interface Gi0/2
                    ASA5550(config-if)# no shutdown
                    ASA5550(config)# interface GI0/3
                    ASA5550(config-if)# no shutdown
                    !
                    ASA5550(config)# failover lan unit primary
                    ASA5550(config)# failover lan interface FOLINK redundant 2
                    ASA5550(config)# failover interface ip FOLINK 10.2.2.1 255.255.255.252 standby 10.2.2.2
                    ASA5550(config)# failover link STATELINK redundant 2
                    ASA5550(config)# failover replication http
                    ASA5550(config)# failover

                    !Cấu hình Failover cho ASA5550 Standby
                    ASA5550(config)# interface redundant 2
                    ASA5550(config-if)# member-interface Gi0/2
                    ASA5550(config-if)# member-interface Gi0/3
                    !
                    ASA5550(config)# interface Gi0/2
                    ASA5550(config-if)# no shutdown
                    ASA5550(config)# interface Gi0/3
                    ASA5550(config-if)# no shutdown
                    !
                    ASA5550(config)# failover lan unit secondary
                    ASA5550(config)# failover lan interface FOLINK redundant 2
                    ASA5550(config)# failover interface ip FOLINK 10.2.2.1 255.255.255.252 standby 10.2.2.2
                    ASA5550(config)# failover link STATELINK redundant 2
                    ASA5550(config)# failover replication http
                    ASA5550(config)# failover

                    !Cấu hình Interface
                    ASA5550(config)# interface redundant 1
                    ASA5550(config-if)# member-interface Gi0/0
                    ASA5550(config-if)# member-interface Gi0/1
                    !
                    ASA5550(config)# interface Gi0/0
                    ASA5550(config-if)# no shutdown
                    ASA5550(config)# interface Gi0/1
                    ASA5550(config-if)# no shutdown
                    !
                    ASA5550(config)# interface redundant 1.1
                    ASA5550(config-if)# vlan <TRUSTED-VLAN-ID>
                    ASA5550(config-if)# nameif TRUSTED
                    ASA5550(config-if)# ip address 192.168.100.1 255.255.255.0
                    ASA5550(config-if)# security-level 100
                    !
                    ASA5550(config)# interface redundant 1.2
                    ASA5550(config-if)# vlan <UNTRUSTED-VLAN-ID>
                    ASA5550(config-if)# nameif UNTRUSTED
                    ASA5550(config-if)# ip address 192.168.101.1 255.255.255.0
                    ASA5550(config-if)# security-level 0

                    !Cấu hình OSPF Routing
                    ASA5550(config)# router ospf 1
                    ASA5550(config-router)# network <x.x.x.x> <y.y.y.y> area 0
                    ASA5550(config-router)# auto-cost reference-bandwidth 10000
                    !
                    ASA5550(config)# interface redundant 1.1
                    ASA5550(config-if)# ospf authentication message-digest
                    ASA5550(config-if)# ospf authentication-key <key>
                    !
                    ASA5550(config)# interface redundant 1.2
                    ASA5550(config-if)# ospf authentication message-digest
                    ASA5550(config-if)# ospf authentication-key <key>

                    !Cấu hình no NAT-Control
                    ASA5550(config)# no nat-control

                    !Cấu hình Firewall Policy
                    ASA5550(config)# access-list TRUSTED_IN remark Permit traffic from Server Farrm access outside network
                    ASA5550(config)# access-list TRUSTED_IN extended permit ip any any
                    !
                    ASA5550(config)# access-list UNTRUSTED_IN remark Permit traffic access from outside to some Servers in Server Farm
                    ASA5550(config)# access-list UNTRUSTED_IN extended permit tcp any host 192.168.100.10 eq 443
                    ASA5550(config)# access-list UNTRUSTED_IN extended permit tcp any host 192.168.100.10 eq 445
                    ASA5550(config)# access-list UNTRUSTED_IN extended deny ip any any

                    !Apply ACL to Interface
                    ASA5550(config)# access-group TRUSTED_IN in interface TRUSTED
                    ASA5550(config)# access-group UNTRUSTED_IN in interface UNTRUSTED

                    !Cấu hình Management
                    !Cho phép ping đến TRUSTED interface để troubleshoot
                    ASA5550(config)# icmp permit any TRUSTED

                    !Cấu hình PC có IP 192.168.44.44 được phép telnet vào ASA
                    ASA5550(config)# telnet 192.168.44.44 255.255.255.255 TRUSTED

                    !Cấu hình cho phép PC có IP 192.168.44.44 quản lý ASA thông qua ASDM (TCP port 4443)
                    ASA5550(config)# http server enable 4443
                    ASA5550(config)# http 192.168.44.44 255.255.255.255 TRUSTED



                    Thảo Luận Về Ưu / Khuyết Điểm Trong Thiết Kế Kể Trên

                    Ưu Điểm:
                    - Hệ thống mạng có tính dự phòng cao.
                    - Thích hợp cho SMB không chấp nhận downtime, hoặc downtime rất ngắn (vài phút đến vài giây), khi hệ thống có sự cố: thiết bị hư hỏng, mất kết nối vật lý.

                    Khuyết Điểm:
                    - Chi phí đầu tư cao do phải thiết kế dự phòng.
                    - Vẫn dựa trên STP để đảm bảo tính dự phòng, nên không loadbalance 2 đường Uplink Port (1 uplink active, uplink còn lại standby).





                    Phần tới: Thiết kế hệ thống mạng LAN dự phòng đẩy đủ sử dụng Virtualize Switch, loại bỏ STP ... To be continue
                    Last edited by binhhd; 18-12-2011, 12:25 PM.

                    Comment


                    • #55
                      Nhìn bài viết của anh hấp dẫn quá, đáng tiếc là em chưa đủ trình hiểu được. Thế này phải đi tu luyện, mấy bữa nữa quay lại vậy. Chúc anh sức khỏe và có nhiều bài viết hay cho lớp trẻ chúng em học tập nhé!.

                      Comment


                      • #56
                        Những bài viết đỉnh cao, xứng đáng gối đầu giường cho tất cả networker.
                        Thank you!
                        #21578 (R&S)
                        SP, Voice on the way

                        Comment


                        • #57
                          để mà thiết kế và cấu hình một mạng hoàn chỉnh như thế này thì kiến thức thật là rộng.không biết bao giờ mới được Mr Bình nhỉ

                          Comment


                          • #58
                            xứng đáng gối đầu giường cho tất cả networker.

                            Thanks! ^_^

                            Comment


                            • #59
                              Originally posted by nguyenminh View Post
                              để mà thiết kế và cấu hình một mạng hoàn chỉnh như thế này thì kiến thức thật là rộng.không biết bao giờ mới được Mr Bình nhỉ
                              "cu di roi se toi, cu tim roi se thay" thoi ban :)

                              Comment


                              • #60
                                Mr Binh oi anh dang lam o dau vay bai viet cua anh rat chat luong copy ve de nghien cuu thank anh nhieu nha

                                Comment

                                Working...
                                X