CCNA - Cấu hình DHCP relay agent khi đã có lệnh NAT và ACLs

Duy25

Member
02/08/2018
0
7 bài viết
CCNA - Cấu hình DHCP relay agent khi đã có lệnh NAT và ACLs
Chào mọi người
Mình đang tìm hiểu về cấu hình trong CCNA và có gặp 1 trở ngại về cấu hình lệnh DHCP cho hệ thống mạng như sau:
  • R1 của mình sẽ là DHCP relay agent. Tuy nhiên, R1 đã được cấu hình các lệnh:
1/ Nat để chuyển đổi các mạng sang 100.0.0.1
2/ ACLs để hạn chế kết nối giữa các Vlan và internet.
  • R2 là cung cấp DHCP cho các Vlan
Mình đã cấu hình thêm các lệnh ACLs để cho phép kết nối Vlan với R2 và cấu hình R1 là DHCP agent.
Nhưng vẫn không nhận được IP từ R2.
Nếu mình bỏ hêt lệnh NAT và ACLs thì các Vlan mới nhận được IP từ R2.
Mọi người có cách nào không cần xóa các lệnh đã lập mà Vlan vẫn nhận được IP từ R2 không?
Cảm ơn mọi người.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Nếu không muốn bỏ NAT thì bạn dùng VPN Site-to-Site giữa R1 và R2 nhé :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thanks bạn. Để mình tìm hiểu thêm về VPN site to site để thực hiện
Bạn xem giúp mình, các lệnh cấu hình của 2 router. Mình vẫn chưa thành công trong việc DHCP từ R2.

  1. Trên R1:
Router(config)#crypto isakmp policy 8
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#ex
Router(config)#crypto isakmp key VPN address 100.0.0.2
Router(config)#crypto ipsec security-association lifetime seconds 86400
Router(config)#access-list 104 permit ip host 100.0.0.1 host 100.0.0.2
Router(config)#crypto ipsec transform-set DHCP esp-3des esp-md5-hmac
Router(config)#crypto map MAPNAME 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

Router(config-crypto-map)#set peer 100.0.0.2
Router(config-crypto-map)#set transform-set DHCP
Router(config-crypto-map)#match address 104
Router(config-crypto-map)#int s0/0/0
Router(config-if)#crypto map MAPNAME

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Router(config-if)#ex
Router(config)#int f0/0.10
Router(config-subif)#ip help
Router(config-subif)#ip helper-address 100.0.0.2

2/ Trên R2
Router(config)#crypto isakmp policy 8
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#ex
Router(config)#crypto isakmp key VPN address 100.0.0.1
Router(config)#crypto ipsec security-association lifetime seconds 86400
Router(config)#access-list 104 permit ip host 100.0.0.2 host 100.0.0.1
Router(config)#crypto ipsec transform-set DHCP esp-3des esp-md5-hmac
Router(config)#crypto map MAPNAME 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.

Router(config-crypto-map)#set peer 100.0.0.1
Router(config-crypto-map)#set transform-set DHCP
Router(config-crypto-map)#match address 104
Router(config-crypto-map)#int s0/0/0
Router(config-if)#crypto map MAPNAME

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Router(config)#ip dhcp pool vlan10
Router(dhcp-config)#net 192.168.10.0 255.255.255.224
Router(dhcp-config)#default-router 192.168.10.1
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mọi người xem giúp mình
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Router 3 - PC = G0/1 ip=10.0.0.1
Router 3 - Router 2 = G0/0 ip=192.168.12.1 ip tunnel=172.16.12.1
Router 2 - Router 3 = G0/0 ip=192.168.12.2 ip tunnel=172.16.12.2

Router 3:

Building configuration...

[OK]

Router#show run

Building configuration...



Current configuration : 881 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Router

!

!

!

!

!

!

!

!

ip cef

no ipv6 cef

!

!

!

!

license udi pid CISCO2911/K9 sn FTX15243P13

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface Tunnel1

ip address 172.16.12.1 255.255.255.0

mtu 1476

tunnel source GigabitEthernet0/0

tunnel destination 192.168.12.2

!

!

interface GigabitEthernet0/0

ip address 192.168.12.1 255.255.255.0

duplex auto

speed auto

!

interface GigabitEthernet0/1

ip address 10.0.0.1 255.255.255.0

ip helper-address 192.168.12.2

duplex auto

speed auto

!

interface GigabitEthernet0/2

no ip address

duplex auto

speed auto

shutdown

!

interface Vlan1

no ip address

shutdown

!

ip classless

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

!

line aux 0

!

line vty 0 4

login

!

!

!

end
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Router 2:
Building configuration...



Current configuration : 959 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Router

!

!

!

!

!

ip dhcp pool NET1

network 10.0.0.0 255.255.255.0

default-router 10.0.0.1

!

!

!

ip cef

no ipv6 cef

!

!

!

!

license udi pid CISCO2911/K9 sn FTX15249TGY

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface Tunnel1

ip address 172.16.12.2 255.255.255.0

mtu 1476

tunnel source GigabitEthernet0/0

tunnel destination 192.168.12.1

!

!

interface GigabitEthernet0/0

ip address 192.168.12.2 255.255.255.0

duplex auto

speed auto

!

interface GigabitEthernet0/1

no ip address

duplex auto

speed auto

shutdown

!

interface GigabitEthernet0/2

no ip address

duplex auto

speed auto

shutdown

!

interface Vlan1

no ip address

shutdown

!

ip classless

ip route 10.0.0.0 255.255.255.0 172.16.12.1

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

!

line aux 0

!

line vty 0 4

login

!

!

!

end
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Router 2:
Building configuration...



Current configuration : 959 bytes

!

version 15.1

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname Router

!

!

!

!

!

ip dhcp pool NET1

network 10.0.0.0 255.255.255.0

default-router 10.0.0.1

!

!

!

ip cef

no ipv6 cef

!

!

!

!

license udi pid CISCO2911/K9 sn FTX15249TGY

!

!

!

!

!

!

!

!

!

!

!

spanning-tree mode pvst

!

!

!

!

!

!

interface Tunnel1

ip address 172.16.12.2 255.255.255.0

mtu 1476

tunnel source GigabitEthernet0/0

tunnel destination 192.168.12.1

!

!

interface GigabitEthernet0/0

ip address 192.168.12.2 255.255.255.0

duplex auto

speed auto

!

interface GigabitEthernet0/1

no ip address

duplex auto

speed auto

shutdown

!

interface GigabitEthernet0/2

no ip address

duplex auto

speed auto

shutdown

!

interface Vlan1

no ip address

shutdown

!

ip classless

ip route 10.0.0.0 255.255.255.0 172.16.12.1

!

ip flow-export version 9

!

!

!

!

!

!

!

line con 0

!

line aux 0

!

line vty 0 4

login

!

!

!

end
Mình đã làm theo cách của bạn nhưng vẫn không thể cấp được DHCP từ R2. Mà bài của bạn hình như không có lệnh ACLs và NAT
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã VPN site-to-site rồi thì NAT làm gì nữa bạn ơi :D
Lab mình dựng mình đã test :D PC Nhận được DHCP nhé :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Đã VPN site-to-site rồi thì NAT làm gì nữa bạn ơi :D
Lab mình dựng mình đã test :D PC Nhận được DHCP nhé :D
Vấn đề nằm ở chỗ đó đó bạn. Nếu ko có Nat và acls thì dễ dàng rồi. Vì yêu cầu là sau khi cấu hình xong Acls và Nat thì mới cấp DHCP
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
À vậy là đề bắt tại R1 NAT nữa đúng không ?
Thế thì thêm câu lệnh NAT tại R1 nữa thôi, NAT trên R1 không ảnh hưởng đến việc xin DHCP thông qua tunnel nhé :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
À vậy là đề bắt tại R1 NAT nữa đúng không ?
Thế thì thêm câu lệnh NAT tại R1 nữa thôi, NAT trên R1 không ảnh hưởng đến việc xin DHCP thông qua tunnel nhé :D
Mình làm tunnel theo cách bạn chỉ sau khi có NAT và ACLs vẫn không được :(
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
19 này mình thi nên chắc qua thi mới support cụ thể cho bạn được
Nhưng mà mình chắc là cách của mình hoạt động nhé :D :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
ccna
Bên trên