Thứ Ba, 25 tháng 6, 2013
Cisco ASA: RIP, OSPF, EIGRP
Task:
- configure dynamic routing rip, eigrp, ospf as topology above.
- configure authentication between Router R1, R2, R4, ASA.
- Redistribute between Dynamic Routing protocols.
- ensure the network in topology can be full reachability.
On ASA, you should type command "passive interface" in RIP to suppress rmulticast updates send out interfaces e0/2 and e0/0 but will allow listerning to incomming updates. Because all interfaces on ASA have the same major network of 10.0.0.0/8.
Thứ Hai, 24 tháng 6, 2013
Cisco ASA: Security Level & Access Rule
Concepts relate to this LAB:
By default, ASA automatically assigns “level security” parameter of 100 if user configures an interface name of “inside”, and it assigns security level of 0 if user configures an interface name of “outside”. User can manually assign security lever for an interface by command “security-level <level>”. Other ASA interfaces that connect to other areas of the network should receive a security level between 1 and 99. Security level must be unique.
Interfaces with a higher security level are considered to be more trusted than interface with a lower security level. Usually, interface name is assigned to “outside” if that interface faces a public and interface name is assigned to “inside” if that interface faces a local.
Cisco ASA bases on security level to determine that traffic is inbound connection or outbound connection.
It’s an inbound connection, if traffic is initiated from a lower security lever toward a higher security level. By default, an inbound connection is considered unsecure, so traffic from a lower-security interface to a higher one can’t pass unless additional explicit inspection and filtering checks are passed.
It’s an outbound connection, if traffic is initiated from a higher security level toward a lower security level. An outbound connection is considered secure and automatically being inspection, so traffic doesn’t require any access list for returning traffic.
Note that, ICMP traffic is stateless and no icmp inspection is enabled by default so that ICMP coming from a higher security level interface to a lower security level interface will be blocked. To permit ICMP traffic in this case, user can enable ICMP inspection globally or configure an inbound ACL.
Interfaces on ASA can be configured as a trunk link. However, ASA’s interface can’t auto negotiate Trunk through the Dynamic Trunking Protocol (DTP) as a Cisco switch.
LAB Security Level & Access Rule
Chủ Nhật, 23 tháng 6, 2013
Mô Hình Mạng Kênh Thuê Riêng
1. Hướng
Dẫn Cấu Hình Kênh Thuê Riêng Trên Router Vigor3100
Bước
1:
- Cấu hình lớp mạng LAN 50.50.50.0/24 cho Router phía CPE chúng ta vào LAN >> General Setup.
- Cấu hình lớp mạng LAN 50.50.50.0/24 cho Router phía CPE chúng ta vào LAN >> General Setup.
- Click
Enable tính năng For IP Routing Usage và khai báo IP for Route cho Vigor3100 là 50.50.50.1,
nhấn Ok và nhấn Ok lần nữa để lưu cấu hình.
Bước 2:
- Vào Internet Access >> DSL Setting. Cấu hình các thông số CPE, Annex B, tốc độ đường truyền.
- Vào Internet Access >> DSL Setting. Cấu hình các thông số CPE, Annex B, tốc độ đường truyền.
Bước 3:
- Khai báo Channel2 cho dịch vụ kênh thuê riêng.
- Khai báo Channel2 cho dịch vụ kênh thuê riêng.
Chú ý: hãy đảm bảo VPI/VCI của các channel phải khác nhau, nếu không sẽ không thể kết nối.
Bước 4:
- Cấu hình IP WAN trong mục Internet Access >> MPoA (RFC1483/2684).
- Cấu hình IP WAN trong mục Internet Access >> MPoA (RFC1483/2684).
-
Chọn Specify an IP Address.
-
Khai báo IP Address, Subnet Mask, Gateway IP
Address.
Bước 5:
- Tới bước này Router đã kết nối được dịch vụ kênh thuê riêng, tuy nhiên chúng ta chỉ có thể ping thấy IP WAN, mà không ping thấy lớp mạng của CO.
- Tới bước này Router đã kết nối được dịch vụ kênh thuê riêng, tuy nhiên chúng ta chỉ có thể ping thấy IP WAN, mà không ping thấy lớp mạng của CO.
- Bạn
có thể không cần làm bước này, nếu biết chắc ISP đã routing lớp mạng của CO.
2. Hướng
Dẫn Cấu Hình Kênh Thuê Riêng Trên Atrie 5300
Bước 1: Cấu
hình lớp mạng LAN 50.50.50.0/24 cho Router phía CPE.
Bước 2:
- Vào Basic Configuration >> System
- Vào Basic Configuration >> System
·
Operation
Mode: Router
·
Service
Type: RT (CPE);
COT (CO)
·
Standard
Mode: ETSI(Annex B); ANSI(Annex A).
·
Khởi gán tốc độ Data Rate: chọn Fixed và được tính bằng kbps.
Bước 3: Khai báo Channel1 cho dịch vụ kênh thuê riêng.
-
Vào Basic Configuration >> WAN >> Channel1.
·
Active: Yes
·
VPI/VCI : 8/35
·
Encapsulation: RFC2684
·
Multiplex: LLC
·
IP Address: 192.168.100.10;
·
Subnet Mask: 255.255.255.252;
·
Remote IP: 192.168.100.9
·
IP Sharing: Disable
(Disable chạy Routing và Enable để chạy NAT).
Bước 4:
- Mặc định Atrie không trỏ default router, nên ta cần add default route chỉ về Gateway: 192.168.100.9.
- Mặc định Atrie không trỏ default router, nên ta cần add default route chỉ về Gateway: 192.168.100.9.
Bước 5:
- Đến đây thì Atrie 5300 đã kết nối dịch vụ, chúng ta cần add static route về lớp mạng 20.20.20.0/24 với Gateway là IP WAN của CO.
- Đến đây thì Atrie 5300 đã kết nối dịch vụ, chúng ta cần add static route về lớp mạng 20.20.20.0/24 với Gateway là IP WAN của CO.
3. Cấu
Hình VPN LAN to LAN từ Router Vigor3100 đến Router Cisco
I. Cấu
hình trên Router Vigor3100
1. Common Settings:
a. nhập tên Profile Name.
b. chọn "Enable this Profile".
c. chọn Dial-Out, chọn Always_on.
a. nhập tên Profile Name.
b. chọn "Enable this Profile".
c. chọn Dial-Out, chọn Always_on.
2. Dial-Out Settings:
a. enable “IPSec tunnel”.
b. nhập IP WAN của Router Cisco: 192.168.100.2
c. nhập “IKE Pre-shared Key”.
a. enable “IPSec tunnel”.
b. nhập IP WAN của Router Cisco: 192.168.100.2
c. nhập “IKE Pre-shared Key”.
d. Enable “IPSec Security Method”, chọn DES with Authentication.
3. TCP/IP Network Settings:
- Điền IP: 20.20.20.0, Subnet Mask: 255.255.255.0
- Điền IP: 20.20.20.0, Subnet Mask: 255.255.255.0
II. Cấu hình Router
Cisco
version 12.2
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
service password-encryption
hostname Cisco1720
logging rate-limit console 10 except errors
enable password
memory-size iomem 15
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip domain-lookup
ip dhcp pool 1
network 20.20.20.0 255.255.255.0
default-router 20.20.20.1
ip audit notify log
ip audit po max-events 100
ip ssh time-out 120
ip ssh authentication-retries 3
no ip dhcp-client network-discovery
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 123 address 192.168.100.10
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
crypto map cm-cryptomap local-address Ethernet0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 192.168.100.10
set transform-set cm-transformset-1
match address 100
interface Ethernet0
description connected to Internet
ip address 192.168.100.2 255.255.255.252
half-duplex
crypto map cm-cryptomap
interface FastEthernet0
description connected to EthernetLAN_1
ip address 20.20.20.1 255.255.255.0
speed auto
router rip
version 1
passive-interface Ethernet0
network 192.168.100.0
network 20.20.20.0
no auto-summary
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
access-list 100 permit ip 20.20.20.0
0.0.0.255
50.50.50.0
0.0.0.255
snmp-server community public RO
line con 0
exec-timeout 0 0
password 7 06575D7218
login
line aux 0
line vty 0 4
password
login
line vty 5 15
login
no scheduler allocate
end
no parser cache
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
service password-encryption
hostname Cisco1720
logging rate-limit console 10 except errors
enable password
memory-size iomem 15
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip domain-lookup
ip dhcp pool 1
network 20.20.20.0 255.255.255.0
default-router 20.20.20.1
ip audit notify log
ip audit po max-events 100
ip ssh time-out 120
ip ssh authentication-retries 3
no ip dhcp-client network-discovery
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 123 address 192.168.100.10
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
crypto map cm-cryptomap local-address Ethernet0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 192.168.100.10
set transform-set cm-transformset-1
match address 100
interface Ethernet0
description connected to Internet
ip address 192.168.100.2 255.255.255.252
half-duplex
crypto map cm-cryptomap
interface FastEthernet0
description connected to EthernetLAN_1
ip address 20.20.20.1 255.255.255.0
speed auto
router rip
version 1
passive-interface Ethernet0
network 192.168.100.0
network 20.20.20.0
no auto-summary
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
access-list 100 permit ip 20.20.20.0
0.0.0.255
50.50.50.0
0.0.0.255
snmp-server community public RO
line con 0
exec-timeout 0 0
password 7 06575D7218
login
line aux 0
line vty 0 4
password
login
line vty 5 15
login
no scheduler allocate
end
Port Type Switch DrayTek
Port can be one of the
following types: Unaware, C-port, S-port, and
S-custom-port.
Ingress action
|
Egress action
|
|
Unaware
|
When the port
received untagged frames, an untagged frame obtain a tag (based on PVID) and
is forwarded.
When the port
received tagged frames :
No matter which is
TPID value, it will add one outer tag that is PVID , and is forwarded.
|
The TPID of
frame transmitted by Unaware port will be set to 0x8100.
The final status
of the frame after egressing are also effected by Egress Rule.
|
C-port
|
When the port
received untagged frames, an untagged frame obtain a tag (based on PVID) and
is forwarded.
When the port
received tagged frames :
1.
if
an tagged frame with TPID=0x8100, it is forwarded. (not add tag)
2.
if
an tagged frame with TPID is not 0x8100,and not Ox88a8 , and not Ethertype ,
it is forwarded.( will add one outer tag that is PVID)
3. if the TPID of tagged frame is 0x88A8 or
Ethertype, it will be discarded.
|
The TPID of
frame transmitted by C-port will be set to 0x8100.
|
S-port
|
When the port
received untagged frames, an untagged frame obtain a tag (based on PVID) and
is forwarded.
When the port
received tagged frames:
1.
Only
the TPID of tagged frame is 0x8100, it will be discarded , others TPID will
be forwarded.
2.
This
mode will not add tag.
|
The TPID of
frame transmitted by S-port will be set to 0x88A8.
|
S-custom-port
|
When the port
received untagged frames, an untagged frame obtain a tag (based on PVID) and
is forwarded.
When the port
received tagged frames :
1.
Only
the TPID of tagged frame is 0x8100, it will be discarded , others TPID will
be forwarded.
2.
This
mode will not add tag.
|
The TPID of
frame transmitted by S-custom-port will be set to an self-customized value,
which can be set by the user using the column of Ethertype for Custom S-ports.
|
Port type - Ingress sample ( each arrow
color represents its operate behavior to
individual packet)
S-custom-port is used for user defined
TPID .While Ethertype for Custom S-ports
is configured to 8888 , outgoing packet will bring with TPID 8888 tag .
Thứ Bảy, 22 tháng 6, 2013
Dynamic Multipoint VPN
Sử dụng tính năng Dynamic Multipoint VPN (DMVPN) để kết nối tất cả các điểm của khách hàng khác nhau về mạng ISP.
Mô hình
HA Vigor3900
Hướng dẫn cấu
hình tính năng
High
Availability trên Vigor3900
Router
Draytek Vigor3300/V, Vigor3900 hỗ trợ giao thức CARP (Common Address Redundancy
Protocol) cho giải pháp dự phòng thiết bị Vigor bằng cách cho phép nhiều Router
Vigor3900 trong cùng một mạng Local chia sẽ cùng một địa chỉ IP address.
Một nhóm
các thiết bị Vigor sẽ có một địa chỉ IP đại diện, trong một nhóm sẽ có một
Router làm “Master” và những Router còn lại làm “Slave”. Master Router là thiết
bị giữ IP đại diện tại thời điểm hiện tại và có nhiệm vụ trả lời lại bất kỳ lưu
lượng hay ARP request nào hướng đến nó.
Thiết bị
Master trong một nhóm có nhiệm vụ gửi thông tin quảng bá đến các thiết bị trong
cùng một phân đoạn mạng để các thiết bị Slave có thể biết được là nó còn sống.
nếu thiết bị Slave không nhận được thông tin quảng bá trong một chu kỳ thời
gian, thì một trong những thiết bị ở trạng thái Slave sẽ lên làm quyền Master.
Để hiểu rõ
hơn về tính năng High Availability, hãy xem ví dụ theo mô hình bên dưới. mô
hình gồm 2 thiết bị Vigor3900 tham gia vào một Group, Vigor3900 bên trái đóng
vai trò là Master, Vigor3900 đóng vai trò là Slave. Khi Slave phát hiện kết nối
giữa nó và Vigor3900 Master trong cùng một phân đoạn mạng bị ngắt, lúc này
Vigor3900 Slave sẽ lên thay thế đống vai trò như Master cho đến khi thiết bị
Vigor3900 Master hoạt động trở lại.
Thứ Sáu, 21 tháng 6, 2013
DHCP-Snooping
DHCP-Snooping là tính năng chống giả mạo DHCP Server, chỉ những DHCP Server được sự cho phép của Admin mới có quyền cấp DHCP cho máy tính trong mạng.
Tính năng chống giả mạo IP hay chống giả mạo MAC Address (ARP Inspection) đều hoạt động dựa trên DHCP-Snooping. Chính vì vậy DHCP-Snooping là công cụ không thể thiếu khi muốn nâng cao tính bảo mật cho mạng LAN bằng cách ngăn chặn những người dùng sử dụng phần mềm giả mạo MAC, IP với mục đích xấu.
Sau đây là một ví dụ cụ thể cho tính năng DHCP-Snooping trên VigorSwitch G2260.
Thứ Bảy, 15 tháng 6, 2013
IPTV on VigorSwitch G2240
Simulation Scenario is as follows:
I. Multicast Server
Install VLC media player software into Multicast Server. In this example, I use VLC media player version 1.1.9.
To run VLC software by double click vlc.exe. Go to Media >> Streaming
At the dialog box Open Media, click button Add to choose video file (007_3M_Transport.mpeg or .mpg)
And click button Open.
Click button Stream to create multicast streaming for video file
At the dialog box Stream Output, Click Next
New destination: choose UDP (legacy)
Enable Display locally
And click button Add
Modify IP multicast and port for multicast streaming
In this example,
Address: 224.1.1.1
Port: 1234
Enable Activate transcoding,
Choose Video-H.264 + AAC (MP4) which is the type of video file that you want to create multicast streaming, in this example I choose MP4/MOV.
Click button Stream to play video file in Multicast Server
II. Switch Draytek G2240 Configuration
Created VLAN 1100 for Multicast Streaming, VLAN 2650 for PPPoE.
VLAN 1100: port 1, port 2, Enable IGMP Aware.
VLAN 2650: port 3, port 2.
Go to VLAN >> Ports to set role and PVID.
Port 1 is Access with PVID: 1100
Port 2 is Trunk
Port 3 is Access with PVID: 2650
Go to Multicast >> IGMP Mode, choose Snooping, click Apply
Go to Multicast >> Snooping, set port 2 is Fast Leave, port 1 is Router Ports
Go to Multicast >> IGMP Group Allow, specify range IP multicast and click button Add.
III. Vigor2920n configuration
IV. Wireless Client
Run VLC software version 1.1.9 by double click vlc.exe
Go to Media >> Open Network Stream
At Network Tab, type a network URL is udp://@224.1.1.1:1234, and click Play
kiến thức nền tảng Wireless
- Trước khi đi vào khái niệm WDS (Wireless Distribution System), chúng ta cần phân biêt rõ ràng sự khác nhau giữa WDS, AP, Bridge, Repeater. Nói cách khác WDS, Bridge, Repeater hoàn toàn khác nhau.
- Trong đó Bridge, Repeater là 2 chuẩn truyền thống và máy tính wifi không thể nhìn thấy sóng. Bridge dùng để kết nối giữa các thiết bị không dây thay cho đường backbone và có thể kết nối 2 kiểu giao thức kết nối với nhau (802.11 a,b,g,n). Repeater có tính năng như bridge, nhưng có thể khuếch đại tín hiệu wifi từ thiết bị ở xa mà nó kết nối đến và cùng kiểu giao thức kết nối.
- Wireless Distribution System (WDS) cho phép kết nối giữa các APs thông qua chuẩn 802.11, công nghệ WDS ra đời cho phép mở rộng vùng phủ sống mạng không dây bằng cách tăng số lượng các điểm truy cập không dây (AP) mà không cần đến đường Backbone truyền thống để kết nối gữa các APs với nhau. ưu điểm nỗi trội của WDS so với các giải pháp khác là cho phép frame đi qua các đường kết nối giữa những APs.
- Tất cả các thiết bị không dây khi kết nối với nhau thông qua các kết nối WDS phải sử dụng cùng một kênh, phương thức mã hóa và cùng key, tuy nhiên chúng có thể khác SSID.
Đăng ký:
Bài đăng (Atom)