CCNA - Cấu hình DHCP relay agent khi đã có lệnh NAT và ACLs

Thảo luận trong 'Hỏi đáp' bắt đầu bởi Duy25, 01/09/18, 02:09 PM.

  1. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào mọi người
    Mình đang tìm hiểu về cấu hình trong CCNA và có gặp 1 trở ngại về cấu hình lệnh DHCP cho hệ thống mạng như sau:
    • R1 của mình sẽ là DHCP relay agent. Tuy nhiên, R1 đã được cấu hình các lệnh:
    1/ Nat để chuyển đổi các mạng sang 100.0.0.1
    2/ ACLs để hạn chế kết nối giữa các Vlan và internet.
    • R2 là cung cấp DHCP cho các Vlan
    Mình đã cấu hình thêm các lệnh ACLs để cho phép kết nối Vlan với R2 và cấu hình R1 là DHCP agent.
    Nhưng vẫn không nhận được IP từ R2.
    Nếu mình bỏ hêt lệnh NAT và ACLs thì các Vlan mới nhận được IP từ R2.
    Mọi người có cách nào không cần xóa các lệnh đã lập mà Vlan vẫn nhận được IP từ R2 không?
    Cảm ơn mọi người.
     

    Các file đính kèm:

    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Nếu không muốn bỏ NAT thì bạn dùng VPN Site-to-Site giữa R1 và R2 nhé :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Thanks bạn. Để mình tìm hiểu thêm về VPN site to site để thực hiện
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Bạn xem giúp mình, các lệnh cấu hình của 2 router. Mình vẫn chưa thành công trong việc DHCP từ R2.

    1. Trên R1:
    Router(config)#crypto isakmp policy 8
    Router(config-isakmp)#hash md5
    Router(config-isakmp)#authentication pre-share
    Router(config-isakmp)#ex
    Router(config)#crypto isakmp key VPN address 100.0.0.2
    Router(config)#crypto ipsec security-association lifetime seconds 86400
    Router(config)#access-list 104 permit ip host 100.0.0.1 host 100.0.0.2
    Router(config)#crypto ipsec transform-set DHCP esp-3des esp-md5-hmac
    Router(config)#crypto map MAPNAME 10 ipsec-isakmp

    % NOTE: This new crypto map will remain disabled until a peer
    and a valid access list have been configured.

    Router(config-crypto-map)#set peer 100.0.0.2
    Router(config-crypto-map)#set transform-set DHCP
    Router(config-crypto-map)#match address 104
    Router(config-crypto-map)#int s0/0/0
    Router(config-if)#crypto map MAPNAME

    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

    Router(config-if)#ex
    Router(config)#int f0/0.10
    Router(config-subif)#ip help
    Router(config-subif)#ip helper-address 100.0.0.2

    2/ Trên R2
    Router(config)#crypto isakmp policy 8
    Router(config-isakmp)#hash md5
    Router(config-isakmp)#authentication pre-share
    Router(config-isakmp)#ex
    Router(config)#crypto isakmp key VPN address 100.0.0.1
    Router(config)#crypto ipsec security-association lifetime seconds 86400
    Router(config)#access-list 104 permit ip host 100.0.0.2 host 100.0.0.1
    Router(config)#crypto ipsec transform-set DHCP esp-3des esp-md5-hmac
    Router(config)#crypto map MAPNAME 10 ipsec-isakmp

    % NOTE: This new crypto map will remain disabled until a peer
    and a valid access list have been configured.

    Router(config-crypto-map)#set peer 100.0.0.1
    Router(config-crypto-map)#set transform-set DHCP
    Router(config-crypto-map)#match address 104
    Router(config-crypto-map)#int s0/0/0
    Router(config-if)#crypto map MAPNAME

    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
    Router(config)#ip dhcp pool vlan10
    Router(dhcp-config)#net 192.168.10.0 255.255.255.224
    Router(dhcp-config)#default-router 192.168.10.1
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Mọi người xem giúp mình
     

    Các file đính kèm:

    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Router 3 - PC = G0/1 ip=10.0.0.1
    Router 3 - Router 2 = G0/0 ip=192.168.12.1 ip tunnel=172.16.12.1
    Router 2 - Router 3 = G0/0 ip=192.168.12.2 ip tunnel=172.16.12.2

    Router 3:

    Building configuration...

    [OK]

    Router#show run

    Building configuration...



    Current configuration : 881 bytes

    !

    version 15.1

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    !

    !

    !

    !

    !

    !

    !

    ip cef

    no ipv6 cef

    !

    !

    !

    !

    license udi pid CISCO2911/K9 sn FTX15243P13

    !

    !

    !

    !

    !

    !

    !

    !

    !

    !

    !

    spanning-tree mode pvst

    !

    !

    !

    !

    !

    !

    interface Tunnel1

    ip address 172.16.12.1 255.255.255.0

    mtu 1476

    tunnel source GigabitEthernet0/0

    tunnel destination 192.168.12.2

    !

    !

    interface GigabitEthernet0/0

    ip address 192.168.12.1 255.255.255.0

    duplex auto

    speed auto

    !

    interface GigabitEthernet0/1

    ip address 10.0.0.1 255.255.255.0

    ip helper-address 192.168.12.2

    duplex auto

    speed auto

    !

    interface GigabitEthernet0/2

    no ip address

    duplex auto

    speed auto

    shutdown

    !

    interface Vlan1

    no ip address

    shutdown

    !

    ip classless

    !

    ip flow-export version 9

    !

    !

    !

    !

    !

    !

    !

    line con 0

    !

    line aux 0

    !

    line vty 0 4

    login

    !

    !

    !

    end
     

    Các file đính kèm:

    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Router 2:
    Building configuration...



    Current configuration : 959 bytes

    !

    version 15.1

    no service timestamps log datetime msec

    no service timestamps debug datetime msec

    no service password-encryption

    !

    hostname Router

    !

    !

    !

    !

    !

    ip dhcp pool NET1

    network 10.0.0.0 255.255.255.0

    default-router 10.0.0.1

    !

    !

    !

    ip cef

    no ipv6 cef

    !

    !

    !

    !

    license udi pid CISCO2911/K9 sn FTX15249TGY

    !

    !

    !

    !

    !

    !

    !

    !

    !

    !

    !

    spanning-tree mode pvst

    !

    !

    !

    !

    !

    !

    interface Tunnel1

    ip address 172.16.12.2 255.255.255.0

    mtu 1476

    tunnel source GigabitEthernet0/0

    tunnel destination 192.168.12.1

    !

    !

    interface GigabitEthernet0/0

    ip address 192.168.12.2 255.255.255.0

    duplex auto

    speed auto

    !

    interface GigabitEthernet0/1

    no ip address

    duplex auto

    speed auto

    shutdown

    !

    interface GigabitEthernet0/2

    no ip address

    duplex auto

    speed auto

    shutdown

    !

    interface Vlan1

    no ip address

    shutdown

    !

    ip classless

    ip route 10.0.0.0 255.255.255.0 172.16.12.1

    !

    ip flow-export version 9

    !

    !

    !

    !

    !

    !

    !

    line con 0

    !

    line aux 0

    !

    line vty 0 4

    login

    !

    !

    !

    end
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  8. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình đã làm theo cách của bạn nhưng vẫn không thể cấp được DHCP từ R2. Mà bài của bạn hình như không có lệnh ACLs và NAT
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Đã VPN site-to-site rồi thì NAT làm gì nữa bạn ơi :D
    Lab mình dựng mình đã test :D PC Nhận được DHCP nhé :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Vấn đề nằm ở chỗ đó đó bạn. Nếu ko có Nat và acls thì dễ dàng rồi. Vì yêu cầu là sau khi cấu hình xong Acls và Nat thì mới cấp DHCP
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    À vậy là đề bắt tại R1 NAT nữa đúng không ?
    Thế thì thêm câu lệnh NAT tại R1 nữa thôi, NAT trên R1 không ảnh hưởng đến việc xin DHCP thông qua tunnel nhé :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. Duy25

    Duy25 Member

    Tham gia: 02/08/18, 02:08 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Mình làm tunnel theo cách bạn chỉ sau khi có NAT và ACLs vẫn không được :(
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. nguyễn minh chiến

    nguyễn minh chiến Member

    Tham gia: 01/09/18, 04:09 PM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    19 này mình thi nên chắc qua thi mới support cụ thể cho bạn được
    Nhưng mà mình chắc là cách của mình hoạt động nhé :D :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: