Vietnamese Professional - CCNP Security Core

[PHẦN 4/6] CCNP SCOR 350-701 | Infrastructure Security + Cisco Secure Firewall (Part 1)

anhnguyxn — Tue, 02 Jun 2026 06:58:00 GMT

CHƯƠNG 6: Infrastructure Security
Hardening Network Devices — Cisco IOS
Management Plane Hardening:
ios
! Dùng SSH v2, disable Telnet
ip ssh version 2
line vty 0 15
transport input ssh
login local
! Encrypted enable password
enable secret
service password-encryption
! Disable unused services
no ip http server
no ip http secure-server ! (nếu không dùng web management)
no cdp run ! (nếu không cần)
no ip finger
no ip source-route
! Timeout
line vty 0 15
exec-timeout 10 0
! Login banner
banner motd ^
UNAUTHORIZED ACCESS PROHIBITED
^
Control Plane Policing (CoPP):
Rate-limit traffic đến CPU của router/switch.
Ngăn CPU exhaustion attacks (SYN flood, ICMP flood targeting control plane).
ios
! Ví dụ CoPP policy
policy-map CONTROL-PLANE-POLICY
class ICMP-CLASS
police rate 64000 bps
class ROUTING-PROTOCOLS
police rate 1000000 bps
class DEFAULT
police rate 128000 bps
Data Plane Hardening:
DHCP Snooping:
ios
ip dhcp snooping
ip dhcp snooping vlan 10,20
interface gi0/1 ! Uplink = trusted
ip dhcp snooping trust
Chỉ cho phép DHCP offers từ trusted ports. Ngăn rogue DHCP server.
Dynamic ARP Inspection (DAI):
ios
ip arp inspection vlan 10,20
Ngăn ARP poisoning bằng cách validate ARP packets với DHCP snooping binding table.
IP Source Guard:
Validate IP packets dựa trên DHCP snooping table. Ngăn IP spoofing từ hosts.
uRPF (Unicast Reverse Path Forwarding):
ios
interface gi0/0
ip verify unicast source reachable-via rx
Drop packets nếu source IP không có valid return path. Ngăn IP spoofing.
Port Security:
ios
interface fa0/1
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
SNMPv3 — Why It Matters
SNMPv1/v2c: Community string plaintext. Easy to sniff.
SNMPv3: Authentication + Encryption.
Security Levels:
- noAuthNoPriv: Không auth, không encrypt. Dùng với SNMP v1/v2 community.
- authNoPriv: Auth (MD5 hoặc SHA), không encrypt.
- authPriv: Auth + Encrypt (DES hoặc AES). ← Dùng cái này.
ios
snmp-server group ADMIN-GROUP v3 priv
snmp-server user admin ADMIN-GROUP v3 auth sha priv aes 128
#InfrastructureSecurity #CiscoFirepower #NGFW #IPS #AMP

[PHẦN 3/6] CCNP SCOR 350-701 | AAA + Network Visibility & Segmentation

anhnguyxn — Wed, 27 May 2026 00:46:41 GMT

CHƯƠNG 4: AAA & Identity Management
Framework AAA
Authentication: Bạn là AI?
Authorization: Bạn được làm GÌ?
Accounting: Bạn đã làm GÌ?
Authentication Deep Dive
Authentication Factors:
| Factor | Type | Ví dụ |
|--------|------|-------|
| Something you know | Knowledge | Password, PIN, security question |
| Something you have | Possession | Hardware token (RSA SecurID), smart card, TOTP app |
| Something you are | Inherence | Fingerprint, face recognition, retina |
| Somewhere you are | Location | IP geolocation, GPS |
MFA (Multi-Factor Authentication): Kết hợp 2+ factors từ KHÁC NHAU loại.
Password + SMS OTP = 2FA nhưng weak (SMS có thể bị SIM swapping).
Password + Hardware token (YubiKey) = Strong 2FA.
Authentication Protocols:
RADIUS (Remote Authentication Dial-In User Service):
- Port: 1812 (Authentication), 1813 (Accounting). Port cũ: 1645/1646.
- Transport: UDP.
- Mã hóa: Chỉ password** được mã hóa. Phần còn lại plaintext.
- Combines Authentication + Authorization trong cùng response.
- Use case: Network Access (WiFi 802.1X, VPN, dial-up).
TACACS+ (Terminal Access Controller Access-Control System Plus):
- Cisco proprietary (mặc dù có RFC).
- Port: 49.
- Transport: TCP (reliable).
- Mã hóa: Toàn bộ packet body được mã hóa.
- Tách biệt hoàn toàn A-A-A** — có thể dùng RADIUS cho Auth, TACACS+ cho Authorization.
- Use case: Device administration (router, switch management). Granular command authorization.
> Exam tip quan trọng:
> - RADIUS: UDP, mã hóa password, kết hợp AuthN + AuthZ. → Network Access
> - TACACS+: TCP, mã hóa full packet, tách A-A-A. → Device Management
LDAP/Active Directory:
- LDAP: Port 389 (plain), 636 (LDAPS).
- AD: Microsoft's LDAP implementation với Kerberos authentication.
- Dùng cho enterprise user directory.
SAML 2.0: XML-based. Dùng cho web SSO (Single Sign-On). Identity Provider (IdP) + Service Provider (SP).
OAuth 2.0: Authorization framework (không phải authentication!). Cho phép apps access resources mà không cần credentials. Grant types: Authorization Code, Client Credentials, Device Flow.
OpenID Connect (OIDC): Authentication layer on top of OAuth 2.0. Adds ID Token (JWT).
---
Access Control Models
DAC (Discretionary Access Control):
Chủ sở hữu resource quyết định quyền. Flexible nhưng khó quản lý tập trung.
Windows file permissions là ví dụ điển hình.
MAC (Mandatory Access Control):
Security labels (Top Secret, Secret, Classified, Unclassified).
System quyết định access dựa trên label của user và resource.
Dùng trong government/military. Linux SELinux là implementation.
RBAC (Role-Based Access Control):
Permissions gán cho roles, users gán vào roles.
Dễ quản lý ở scale. "Principle of Least Privilege."
Ví dụ: Admin role, ReadOnly role, Auditor role.
ABAC (Attribute-Based Access Control):
Access decisions dựa trên attributes (department, location, device type, time of day).
Flexible hơn RBAC nhưng complex hơn.
IF user.department == "Finance" AND device.type == "managed" AND time == "business_hours"
THEN allow access to financial_reports
Zero Trust Architecture
Nguyên tắc cốt lõi: "Never trust, always verify."
Traditional: Trust everything inside the perimeter.
Zero Trust: Trust NOTHING by default. Verify every request, every time.
Pillars of Zero Trust:
1. Verify explicitly: Authenticate và authorize dựa trên tất cả data points (identity, location, device health, service/workload, data classification, anomalies).
2. Least privilege access: Limit user access với JIT (Just-In-Time) và JEA (Just-Enough-Access).
3. Assume breach: Minimize blast radius. Encrypt everything. Segment network.
Cisco Zero Trust Components:
- Cisco Duo: MFA + device trust assessment.
- Cisco ISE: Policy engine cho network access.
- Cisco Umbrella: DNS security + CASB.
- Cisco Secure Endpoint: Endpoint posture.
CHƯƠNG 5: Network Visibility & Segmentation
Network Segmentation
Mục tiêu: Limit lateral movement sau khi attacker đã vào network.
VLANs (Virtual LANs):
- Layer 2 segmentation.
- Traffic giữa VLANs phải qua router/L3 switch hoặc firewall.
- Trunk ports (802.1Q): carry multiple VLANs.
- VLAN Hopping: Attack bypass VLAN segmentation (via double tagging, switch spoofing). Fix: Disable DTP, native VLAN ≠ data VLAN.
DMZ (Demilitarized Zone):
Internet → [Firewall] → DMZ (Web servers, Mail, DNS) → [Firewall] → Internal Network
Servers cần truy cập từ internet đặt trong DMZ, không phải internal network.
Micro-segmentation:
Segmentation ở workload level (VM, container). Dùng trong cloud và SDN.
Mỗi workload có policy riêng, không chỉ mạng/VLAN.
Cisco TrustSec / SGT (Scalable Group Tags):
Gán tags (SGT) cho users và devices dựa trên identity.
Enforce policy dựa trên SGT, không phải IP address.
SGT follow user/device dù họ di chuyển trong mạng.
Network Telemetry & Visibility
NetFlow:
Layer 3/4 flow metadata (không phải full packet capture).
Fields: Src/Dst IP, Src/Dst Port, Protocol, Bytes, Packets, Timestamp.
Versions: v5 (fixed), v9 (flexible), IPFIX (v10, IETF standard).
Cisco Secure Network Analytics (Stealthwatch):
- Collect và analyze NetFlow từ toàn mạng.
- Behavioral analytics: Tạo baseline, phát hiện deviations.
- Detects: DDoS, data exfiltration, insider threats, C2 communication, scanning.
- Encrypted Traffic Analytics (ETA): Phát hiện malware trong encrypted (HTTPS) traffic mà không decrypt — dùng Machine Learning trên flow metadata và TLS handshake info.
Cisco Cognitive Threat Analytics:
Web traffic analysis. Detect malware C2 channels ẩn trong normal-looking HTTP/HTTPS.
MITRE ATT&CK:
Matrix tactics và techniques của adversaries.
Dùng cho: threat hunting, detection coverage assessment, red team/blue team exercises.
Tactics (Goals): Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Exfiltration → Impact.
Threat Hunting:
Proactive search for hidden threats — không chờ alerts.
Methodology:
1. Form hypothesis ("Nếu có lateral movement, tôi sẽ thấy gì?")
2. Investigate bằng tools (NetFlow, EDR telemetry, logs).
3. Uncover → Remediate / Update detections.
Cisco pxGrid
Platform chia sẻ security context giữa các products.
Ví dụ: ISE phát hiện infected host → chia sẻ thông tin qua pxGrid → Firewall tự động quarantine host đó.
Hệ sinh thái: ISE pxGrid FMC/Stealthwatch/Splunk/QRadar/...
Key Terms Chương 4-5
- RADIUS, TACACS+, LDAP, SAML, OAuth, OIDC
- DAC, MAC, RBAC, ABAC
- Zero Trust, Least Privilege, JIT Access
- VLAN, DMZ, Micro-segmentation, SGT, TrustSec
- NetFlow, IPFIX, Stealthwatch/Secure Network Analytics
- ETA (Encrypted Traffic Analytics)
- pxGrid, MITRE ATT&CK
- Threat Hunting
Phần 4: Infrastructure Security + Cisco Secure Firewall (NGFW) — phần nhiều Cisco-specific nhất!
#AAA #ZeroTrust #RADIUS #TACACS #NetworkSegmentation #Stealthwatch

Vacl

dangquangminh — Mon, 25 May 2026 10:46:11 GMT

Ôn tập tính năng VACL (VLAN Access Control List) – “Lọc gói tin nội bộ” ngay bên trong cùng một VLAN

Thông thường khi học switching, nhiều người nghĩ rằng các thiết bị nằm cùng VLAN thì mặc nhiên được phép nói chuyện với nhau. Điều này đúng trong hầu hết trường hợp. Nhưng nếu bạn muốn kiểm soát chi tiết hơn — ví dụ PC1 không được ping hoặc telnet tới PC2, nhưng vẫn được truy cập các dịch vụ khác — thì sao?
Protected Port hay Private VLAN (PVLAN) có thể giúp cô lập thiết bị, nhưng chúng khá “thô”. Hoặc cho phép toàn bộ, hoặc chặn toàn bộ. Không có khả năng chọn lọc từng loại traffic. Đó là lúc VACL (VLAN Access Control List) xuất hiện. VẬY THẬT RA, VACL là gì?

VACL là cơ chế lọc traffic ngay bên trong VLAN, cho phép kiểm soát traffic giữa các host cùng subnet/VLAN. VLACL hoàn toàn khác với Router ACL / RACL (Loại ACL này kiểm soát traffic đi qua interface Layer 3). Còn PACL (Port ACL) thì chỉ kiểm soát traffic đi vào một switchport cụ thể. Trong khi đó, VACL giúp chúng ta kiểm soát traffic bên trong VLAN, kể cả traffic không đi qua router. Tóm lại là switch hỗ trợ đến 3 loại ACL khác nhau:

RACL = bảo vệ ở cửa ra vào router

PACL = bảo vệ tại cổng switch

VACL = bảo vệ ngay trong hành lang nội bộ

VACL gồm 3 thành phần chính

1. ACL

ACL dùng để định nghĩa traffic nào sẽ được kiểm tra. ACL này có thể là IP ACL hoặc MAC ACL. Ví dụ:
SW1# show access-lists
Extended IP access list 100
10 permit icmp host 10.1.1.10 host 10.1.1.20
20 permit tcp host 10.1.1.10 host 10.1.1.20 eq telnet
ACL này match (Lựa ra):

ICMP từ PC1 → PC2

TCP Telnet từ PC1 → PC2

Chú ý là trong VACL, ACL permit = traffic được match để xử lý, KHÔNG có nghĩa là traffic được cho phép đi qua. Đây là điểm khiến rất nhiều người nhầm. 2. VLAN Access Map

Đây là nơi quyết định làm gì với traffic đã match. Ví dụ:
vlan access-map TSHOOT 10
match ip address 100
action drop
Nghĩa là:
"Nếu traffic match ACL 100 → drop"
Tiếp theo:
vlan access-map TSHOOT 20
action forward
Nghĩa là "Các Traffic còn lại → sẽ forward" 3. VLAN Filter: Gắn access map vào VLAN thực tế. Ví dụ:

vlan filter TSHOOT vlan-list 10
Nghĩa là Áp dụng policy TSHOOT cho VLAN 10. Nếu chúng ta quên bước này thì cấu hình coi như vô nghĩa. Làm xong VACL mà không áp dụng vào VLAN nào hết!!! Luồng xử lý VACL

Ví dụ topology:
PC1 (10.1.1.10) ---- SW1 ---- PC2 (10.1.1.20)
VLAN 10
PC1 gửi ping đến PC2.
Switch kiểm tra: Bước 1

Traffic có match ACL 100?
Ping = ICMP
Có:
permit icmp host 10.1.1.10 host 10.1.1.20
=> MATCH Bước 2

Match VLAN access-map sequence 10:
action drop
=> Ping bị chặn

Nếu PC1 truy cập HTTP tới PC2:
ACL 100 không match.
Switch xuống sequence tiếp theo:
vlan access-map TSHOOT 20
action forward
=> HTTP được phép Kết quả

TrafficKết quả
Ping Drop
Telnet -> Drop
HTTP -->Forward
SMB --> Forward Các lỗi troubleshooting phổ biến

1. ACL cấu hình sai

Sai kiểu rất thường gặp: Permit / deny nhầm

Sai:
deny icmp host 10.1.1.10 host 10.1.1.20
Nhiều người nghĩ deny = block.
Nhưng với VACL:
ACL chỉ dùng để MATCH. (Lựa ra traffic)
Nếu ACL deny thì traffic không match access-map.
Kết quả là traffic sẽ lọt xuống rule tiếp theo để kiểm tra với VACL. Sai protocol

Muốn chặn ping nhưng viết:
permit tcp ...
ICMP sẽ không match. Sai địa chỉ IP

Typo kiểu:
10.1.1.200
thay vì:
10.1.1.20 Sai port

Telnet:
eq 23
SSH:
eq 22
Nhầm là policy fail. 2. Sequence access-map sai

VACL xử lý top-down giống ACL.
Ví dụ lỗi:
vlan access-map TSHOOT 10
action forward

vlan access-map TSHOOT 20
match ip address 100
action drop
Traffic sẽ hit rule đầu tiên:
forward
Rule drop không bao giờ được dùng. 3. Sai HÀNH ĐỘNG CHO VACL (action)

Ví dụ:
action forward
thay vì:
action drop
Nhìn đúng cấu trúc nhưng logic sai. 4. Sai ACL được match

Ví dụ:
match ip address 101
trong khi ACL thật là:
100 5. VLAN filter sai

Ví dụ:
vlan filter TSHOOT vlan-list 20
trong khi PC nằm VLAN 10.
Không có tác dụng. 6. Quên gắn VLAN filter

Có đủ:

access-map

Nhưng thiếu:
vlan filter ...
Policy không active. Các lệnh troubleshooting quan trọng

Kiểm tra ACL

show access-lists Kiểm tra access map

show vlan access-map
hoặc
show run | section vlan access-map Kiểm tra VLAN filter

show vlan filter
hoặc
show run | include vlan filter vài tips thực chiến CCNP/CCIE

Nếu câu hỏi là:
"Hai host cùng VLAN vẫn ping nhau dù đã cấu hình VACL"
Checklist:

ACL match đúng chưa?

permit hay deny?

protocol đúng chưa?

access-map sequence đúng chưa?

action drop chưa?

vlan filter đã apply chưa?

apply đúng VLAN chưa?

TÓM TẮT BÀI ÔN TẬP VACL

VACL là một công cụ cực mạnh khi bạn cần micro-segmentation trong Layer 2 switching mà không muốn ép traffic phải đi qua firewall hay router. Nó giống như đặt điểm kiểm tra checkpoint bảo mật ngay bên trong switch. Hiểu đúng VACL là một kỹ năng rất hữu ích cho CCNP EnterprisE, CCIE Enterprise, Network Security, Campus segmentation design.....

[PHẦN 2/6] CCNP SCOR 350-701 | Cryptography + SDN Security

anhnguyxn — Thu, 21 May 2026 07:23:44 GMT

Tiếp nối từ Phần 1, hôm nay chúng ta cover hai chương quan trọng: Mật mã học và SDN Security / Network Programmability.
CHƯƠNG 2: Cryptography

Symmetric Encryption
Dùng cùng 1 key để encrypt và decrypt. Vấn đề chính: làm sao chia sẻ key an toàn?

Algorithms:

| Thuật toán | Key Size | Ghi chú |
|-----------|---------|---------|
| DES | 56-bit | Đã bị phá — tránh dùng |
| 3DES | 112/168-bit | Legacy, đang thay thế |
| AES-128 | 128-bit | Đủ cho most use cases |
| AES-256 | 256-bit | Recommended, post-quantum resistant |
| ChaCha20 | 256-bit | Nhanh hơn AES trên mobile |

Modes of Operation trong AES:
- ECB (Electronic Codebook): Dangerous! Same plaintext → same ciphertext. KHÔNG dùng.
- CBC (Cipher Block Chaining): Mỗi block XOR với block trước. Cần IV (Initialization Vector).
- GCM (Galois/Counter Mode): Authenticated encryption (encrypt + integrity). Khuyến nghị.

Asymmetric Encryption

Dùng cặp key: Public Key + Private Key. Giải quyết key distribution problem.

RSA:
- Security dựa trên độ khó factoring large numbers.
- Key sizes: 1024-bit (đã yếu), 2048-bit (minimum hiện nay), 4096-bit (cho long-term).
- Chậm hơn AES ~100x.

Elliptic Curve Cryptography (ECC):
- Cùng security level với RSA nhưng key ngắn hơn nhiều.
- P-256 (256-bit ECC) ≈ RSA-3072 về security.
- Phổ biến trên mobile, IoT, TLS 1.3.

Diffie-Hellman (DH):
- Key exchange protocol — tạo shared secret qua kênh không bảo mật.
- DH Groups: Group 1 (768-bit, broken), Group 2 (1024-bit, weak), Group 14+ (2048-bit, OK), Group 19/20/21 (ECC, recommended).

Hashing

One-way function. Input bất kỳ → output fixed-length.

| Algorithm | Output Size | Trạng thái |
|-----------|------------|------------|
| MD5 | 128-bit | Broken — chỉ dùng cho checksums không nhạy cảm |
| SHA-1 | 160-bit | Legacy — deprecated cho certs |
| SHA-256 | 256-bit | ✅ Recommended |
| SHA-384 | 384-bit | ✅ Cho thông tin phân loại cao |
| SHA-512 | 512-bit | ✅ Post-quantum secure |
| SHA-3 | Variable | Thiết kế khác hoàn toàn SHA-2 |

Tính chất quan trọng:
- Collision resistance: Khó tìm 2 inputs cho cùng hash.
- Avalanche effect: Thay 1 bit → hash thay đổi hoàn toàn.
- Pre-image resistance: Không thể reverse hash → plaintext.

HMAC (Hash-based Message Authentication Code):

HMAC = Hash(Key || Message)

Kết hợp hash với secret key → xác thực cả integrity lẫn authenticity.
HMAC-SHA256 là recommended. HMAC-MD5 là legacy (acceptable nhưng nên tránh).

Salted Hashing:

hash = SHA-256(salt + password)

Salt là random string thêm vào trước khi hash, stored cùng hash.
Ngăn rainbow table attacks. Bcrypt, Argon2 là các algorithm thiết kế đặc biệt cho password hashing (slow by design).

Digital Signatures

Cung cấp 3 đảm bảo:
1. Authentication: Ai đã ký?
2. Integrity: Dữ liệu chưa bị sửa?
3. Non-repudiation: Người ký không thể phủ nhận.

Process:

Signing: Hash(document) → Encrypt(hash, PrivateKey) = Signature
Verifying: Decrypt(signature, PublicKey) = hash1
Hash(received_document) = hash2
If hash1 == hash2 → Valid!

PKI (Public Key Infrastructure)

Components:
- CA (Certificate Authority): Tổ chức uy tín cấp digital certificates.
- RA (Registration Authority): Xác minh identity trước khi CA cấp cert.
- CRL (Certificate Revocation List): Danh sách certs đã bị thu hồi. Nhược: không real-time.
- OCSP (Online Certificate Status Protocol): Real-time cert status check.
- Certificate (X.509): Gồm Public Key + Subject info + Issuer info + Validity + CA signature.

Chain of Trust:

Root CA (self-signed, offline)
└── Intermediate CA
└── End-entity Certificate (website, user, device)

Root CA phải được browsers/OS tin tưởng để chain work.

Certificate Types:
- DV (Domain Validation): Chỉ verify domain ownership. Let's Encrypt.
- OV (Organization Validation): Verify organization info.
- EV (Extended Validation): Strict verification. Hiển thị company name trong thanh địa chỉ (cũ).

Perfect Forward Secrecy (PFS):
Mỗi session dùng ephemeral key khác nhau (DHE, ECDHE).
Kể cả server private key bị lộ sau này, các session cũ vẫn không decrypt được.
TLS 1.3 bắt buộc PFS. TLS 1.0/1.1 đã bị deprecated.

[PHẦN 1/6] CCNP SCOR 350-701 | Cybersecurity Fundamentals — Tổng quan toàn diện

anhnguyxn — Tue, 19 May 2026 03:21:16 GMT

Chào anh em,
Mình đang học CCNP Security SCOR 350-701 và quyết định viết lại từng chương theo cách dễ hiểu nhất — vừa để ôn thi, vừa để chia sẻ với cộng đồng. Đây là Phần 1/6, bao gồm Chương 1 của cuốn Official Cert Guide 2nd Edition của Omar Santos.

🎯 Tại sao học SCOR?
SCOR 350-701 là **core exam** bắt buộc cho cả CCNP Security lẫn CCIE Security. Nó cover 6 domain lớn:
1. Security Concepts (~25%)
2. Network Security (~20%)
3. Securing the Cloud (~15%)
4. Content Security (~15%)
5. Endpoint Protection & Detection (~15%)
6. Secure Network Access, Visibility, Automation (~10%)
Không có prerequisite chính thức, nhưng kiến thức CCNA là cần thiết trước khi tackle cái này.

1. NIST Framework & Tiêu chuẩn quốc tế
NIST Cybersecurity Framework (CSF)** là bộ guidelines được phát triển bởi National Institute of Standards and Technology. 5 core functions:

Identify → Protect → Detect → Respond → Recover

Ngoài NIST, hai tiêu chuẩn quan trọng khác:
- ISO 27001/27002:** Information Security Management System (ISMS) — chuẩn quốc tế, nhiều tổ chức lấy chứng chỉ ISO 27001.
- NIST SP 800-53:** Security controls cho federal information systems.

2. Threat, Vulnerability, Exploit — Phân biệt dứt khoát

Đây là bộ ba hay bị dùng lẫn nhau nhất trong field:
| Khái niệm | Định nghĩa | Ví dụ |
|-----------|-----------|-------|
| **Threat** | Bất kỳ điều gì có khả năng gây hại | Hacker, thiên tai, nhân viên bất mãn |
| **Vulnerability** | Điểm yếu có thể bị khai thác | Apache Log4j RCE, SQL injection |
| **Exploit** | Code/tool khai thác vulnerability | Metasploit module, PoC script |
**CVE (Common Vulnerabilities and Exposures): ID chuẩn cho mỗi vulnerability.
Format: `CVE-YYYY-NNNNN` (ví dụ: `CVE-2021-44228` là Log4Shell)
CVSS (Common Vulnerability Scoring System): Thang điểm 0–10 đánh giá mức độ nghiêm trọng.
- 0.1–3.9: Low
- 4.0–6.9: Medium
- 7.0–8.9: High
- 9.0–10.0: Critical
Threat Intelligence:
Là kiến thức actionable về existing/emerging threats. Sources:
- Cisco Talos (talos-intelligence.com) — top tier
- MITRE ATT&CK (attack.mitre.org)
- US-CERT, FIRST.org
- VirusTotal, Shodan

3. Threat Actors

| Loại | Mục tiêu | Kỹ năng | Ví dụ |
|------|---------|---------|-------|
| Script Kiddies | Nổi tiếng, nghịch ngợm | Thấp | Dùng tools sẵn có |
| Cybercriminals | Tài chính | Trung bình–cao | Ransomware gangs |
| Hacktivists | Chính trị/xã hội | Trung bình | Anonymous |
| Nation-state APT | Gián điệp, sabotage | Rất cao | APT41, Lazarus |
| Insider Threats | Phụ thuộc | Biết hệ thống | Nhân viên bất mãn |

4. Malware — Phân loại chi tiết

Virus: Attach vào file hợp lệ. Lây lan khi file được execute. Cần user action.
Worm: Tự lây lan qua mạng, không cần file host. WannaCry (2017) là worm ransomware.
Trojan: Giả danh phần mềm hữu ích. Chứa payload độc hại ẩn. Types:
- Remote Access Trojan (RAT): kiểm soát từ xa
- Backdoor Trojan: tạo persistent access
- Banking Trojan: đánh cắp thông tin tài chính
Ransomware: Mã hóa dữ liệu + đòi tiền chuộc (thường Bitcoin). Double extortion: vừa mã hóa vừa đe dọa leak dữ liệu.
Keylogger: Ghi lại mọi keystroke. Một số chạy ở kernel level (rất khó phát hiện).
Spyware: Thu thập thông tin user và gửi về C2 server.
Malware Analysis Techniques:
- Static Analysis: Không chạy malware. Dùng: IDA Pro, Ghidra (disassembly), strings command, hash checking.
- Dynamic Analysis: Chạy trong sandbox (Cuckoo Sandbox, Any.run). Quan sát network connections, registry changes, file system changes.

5. Common Software Vulnerabilities (OWASP Top 10)

SQL Injection:

Payload: ' OR '1'='1'
URL: https://example.com/login?user=admin'--&pass=anything

Cách fix: Parameterized queries/Prepared statements. Không bao giờ concat user input vào SQL string.
Cross-Site Scripting (XSS):
- Reflected XSS: Payload trong URL, reflect về browser.
- Stored XSS: Payload lưu trong database, ảnh hưởng tất cả visitors.
- DOM XSS: Xảy ra phía client trong JavaScript.
Cách fix: Input validation + Output encoding. Content Security Policy (CSP) headers.
CSRF: Lừa browser gửi request đến trusted site. Fix: CSRF tokens.
Buffer Overflow: Ghi vượt boundary của buffer → overwrite return address → redirect execution. Fix: Stack canaries, ASLR, DEP/NX.
OWASP Top 10 (2021):
1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable/Outdated Components
7. Identification & Authentication Failures
8. Software & Data Integrity Failures
9. Security Logging & Monitoring Failures
10. Server-Side Request Forgery (SSRF)

6. CIA Triad

Confidentiality: Kiểm soát ai được đọc dữ liệu.
Kỹ thuật: Encryption, Access Control Lists, Need-to-Know principle, Data Classification.
Integrity: Đảm bảo dữ liệu không bị thay đổi trái phép.
Kỹ thuật: Hashing (SHA-256), Digital Signatures, Version Control, Checksums.
Threats: Man-in-the-middle, data tampering, ransomware.
Availability: Đảm bảo dữ liệu/hệ thống sẵn sàng khi cần.
Kỹ thuật: Redundancy, Load Balancing, Anti-DDoS, Backups (3-2-1 rule).
Threats: DDoS, hardware failure, ransomware, natural disasters.

7. Cloud Security Threats

Shared Responsibility Model (quan trọng trong thi !):
| Layer | IaaS | PaaS | SaaS |
|-------|------|------|------|
| Data | Bạn | Bạn | Bạn |
| Applications | Bạn | Bạn | Provider |
| Runtime | Bạn | Provider | Provider |
| OS | Bạn | Provider | Provider |
| Virtualization | Provider | Provider | Provider |
| Hardware | Provider | Provider | Provider |
Top Cloud Threats:
- Data Breaches: Misconfigured S3 buckets (Capital One breach 2019 — 100M records).
- Insecure APIs: API without authentication, rate limiting, input validation.
- Compromised Credentials: Credential stuffing, phishing.
- Insecure Interfaces: Cloud console access không có MFA.

8. IoT Security

IoT devices thường có:
- Default credentials không được đổi.
- Không có update mechanism.
- Limited resources → không chạy được heavy security agents.
Mirai Botnet (2016): Compromise 600,000+ IoT devices (cameras, DVRs) → DDoS 1.1 Tbps → down Dyn DNS → Netflix, Twitter, Reddit sập.
IoT Protocols cần biết:
- MQTT: Lightweight pub/sub. Port 1883 (plain), 8883 (TLS).
- CoAP: HTTP-like nhưng cho constrained devices. UDP-based.
- Zigbee/Z-Wave: Wireless PAN protocols.

9. Digital Forensics & Incident Response (DFIR)
NIST SP 800-61 Incident Response Lifecycle:

Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned

Key Concepts:
- False Positive: Normal event bị classified là malicious. Tốn thời gian điều tra nhầm.
- False Negative: Malicious event không bị phát hiện. Nguy hiểm hơn nhiều!
- True Positive: Attack thực sự được phát hiện đúng.
- True Negative: Normal activity được classified đúng là normal.
CVSS v3.1 Base Metrics: Attack Vector, Attack Complexity, Privileges Required, User Interaction, Scope, Confidentiality/Integrity/Availability Impact.
Chain of Custody: Quy trình bảo toàn evidence. Mọi người tiếp xúc evidence đều phải documented.

Resources thêm
- Cisco Learning Network: learningnetwork.cisco.com
- Omar Santos' GitHub: github.com/The-Art-of-Hacking
- MITRE ATT&CK: attack.mitre.org
- Cisco Talos: talosintelligence.com
- CVSS Calculator: nvd.nist.gov/vuln-metrics/cvss
---
Phần tiếp theo: Cryptography — Symmetric/Asymmetric/Hashing/PKI.
Drop một comment nếu có câu hỏi hoặc muốn mình đào sâu phần nào!

Tổng quan khóa học Cisco SCOR (350-701)

anhnguyxn — Mon, 18 May 2026 03:58:48 GMT

Tổng quan khóa học Cisco SCOR (350-701)
Giới thiệu
Khóa học Implementing and Operating Cisco Security Core Technologies (SCOR) của Cisco là chương trình đào tạo cốt lõi dành cho các kỹ sư bảo mật mạng muốn nâng cao kỹ năng triển khai và vận hành hệ thống bảo mật doanh nghiệp hiện đại.
Khóa học chuẩn bị cho kỳ thi 350-701 SCOR v1.1, đồng thời là điều kiện bắt buộc để đạt các chứng chỉ:

CCNP Security
CCIE Security

Ngoài ra học viên còn nhận được 64 CE Credits để gia hạn chứng chỉ Cisco.

Nội dung chính của khóa học
1. Network Security & Threat Protection
Khóa học tập trung vào:

Phân tích các hình thức tấn công TCP/IP
Endpoint attacks
Network application attacks
Control Plane / Data Plane / Management Plane Security

2. Cisco Secure Firewall
Học viên sẽ được triển khai:

Cisco Secure Firewall ASA
Cisco Secure Firewall Threat Defense (FTD)
IPS Policies
Malware Protection
Access Control Policies

3. VPN & Secure Connectivity
Nội dung VPN bao gồm:

IPsec VPN
Remote Access VPN
SSL VPN
Site-to-Site VPN
Cisco IOS VTI VPN

4. Cloud Security & Endpoint Security
Khóa học còn mở rộng sang:

Cisco Umbrella
Cisco Secure Endpoint
Cloud Analytics
Secure Web Gateway
CASB
Cloud Security

Điểm nổi bật
Học viên sẽ:

Hiểu sâu về Security Architecture
Có khả năng triển khai Firewall thực tế
Xây dựng VPN bảo mật doanh nghiệp
Triển khai hệ thống Email/Web Security
Làm việc với Cloud Security hiện đại
Chuẩn bị cho các vị trí:
- Security Engineer
- SOC Analyst
- Network Security Engineer
- Security Consultant

DHCP Troubleshooting

dangquangminh — Sat, 16 May 2026 10:46:56 GMT

Nền tảng DHCP và tư duy Troubleshooting dành cho System Engineer / Network Engineer

Trong môi trường doanh nghiệp hiện đại, DHCP (Dynamic Host Configuration Protocol) là một dịch vụ nền tảng nhưng cực kỳ quan trọng. Chỉ cần DHCP gặp sự cố, hàng loạt thiết bị có thể mất kết nối: máy tính người dùng không vào mạng, IP phone không đăng ký được, Access Point không join controller, máy chủ PXE không boot được, thậm chí các hệ thống sản xuất có thể bị gián đoạn.

Điều nguy hiểm là lỗi DHCP thường biểu hiện rất mơ hồ.

Người dùng chỉ nói:

"Máy em không có mạng."

Nhưng nguyên nhân thực tế có thể nằm ở rất nhiều nơi:

DHCP server
DHCP relay
Router
Switch VLAN
DHCP snooping
Windows Firewall
Linux iptables/nftables
Scope hết IP
Duplicate IP
Rogue DHCP server
Failover synchronization lỗi

Muốn troubleshoot nhanh, kỹ sư cần hiểu bản chất giao thức trước.

DHCP là gì?

DHCP là giao thức tự động cấp phát cấu hình IP cho client.

Thay vì phải ngồi cấu hình thủ công:

IP address
Subnet mask
Default gateway
DNS server
Domain suffix
NTP
PXE boot server
VoIP options

... thì client chỉ cần bật lên và yêu cầu DHCP server cấp phát.

Ví dụ:

Thay vì cấu hình tay:
IP: 192.168.10.55
Mask: 255.255.255.0
Gateway: 192.168.10.1
DNS: 8.8.8.8

Client sẽ tự động nhận toàn bộ thông tin này.

Điều này cực kỳ quan trọng trong doanh nghiệp có:

hàng trăm PC
hàng ngàn endpoint
IP phone
Wi-Fi clients
camera
printers
IoT devices
VM workloads

DHCP hoạt động như thế nào?

DHCP hoạt động theo mô hình client pull.

Điều này rất quan trọng.

Client chủ động hỏi server.

Server không chủ động đẩy IP xuống client.

Nói cách khác:

DHCP là mô hình:

Client initiated protocol

chứ không phải:

Server push protocol

Điều này ảnh hưởng trực tiếp đến troubleshooting.

Ví dụ:

Nếu admin đổi DNS trên DHCP server, client sẽ không tự động đổi DNS ngay lập tức.

Client chỉ cập nhật khi:

renew lease
reboot
ipconfig /renew
dhclient renew

Quy trình DORA

DHCP hoạt động theo chu trình nổi tiếng:

DORA

Discover
Offer
Request
Acknowledge

Bước 1 — DHCP Discover

Client vừa khởi động chưa có IP.

Nó không biết:

DHCP server ở đâu
subnet là gì
gateway là gì

Vì vậy client phát broadcast:
DHCPDISCOVER

Destination:
255.255.255.255

Layer 2:
FF:FF:FF:FF:FF:FF

Ý nghĩa:

"Có DHCP server nào ngoài kia không? Tôi cần IP."

Bước 2 — DHCP Offer

DHCP server nhận Discover.

Server kiểm tra:

pool còn IP không
client có reservation không
policy nào áp dụng
conflict detection
exclusions
failover state

Nếu hợp lệ:

Server trả lời:
DHCPOFFER

Ví dụ:
IP: 192.168.10.100
Mask: 255.255.255.0
Gateway: 192.168.10.1
DNS: 192.168.10.10
Lease: 8 days

Bước 3 — DHCP Request

Client chưa dùng IP ngay.

Nó gửi:
DHCPREQUEST

Ý nghĩa:

"Tôi đồng ý nhận IP này."

Bước 4 — DHCP ACK

Server xác nhận:
DHCPACK

Client chính thức dùng IP.

Nếu DHCP fail thì fail ở đâu?

Trong thực chiến, failure thường nằm tại 1 trong 4 điểm:
Discover không đi được
Offer không quay về
Request không tới
ACK không quay lại

Đây là tư duy troubleshoot quan trọng nhất.

Đừng đoán mò.

Hãy xác định DORA fail ở bước nào.

Dịch nội dung gốc: Các vấn đề DHCP tiềm ẩn khi Troubleshooting

Dưới đây là bản dịch nội dung kỹ thuật.

1. Router không forward broadcast

Theo mặc định, router không chuyển tiếp broadcast.

Điều này bao gồm cả:
DHCPDISCOVER

Vì DHCP client dùng broadcast để tìm server.

Nếu DHCP client và DHCP server khác subnet:

DHCP sẽ fail nếu không có relay agent.

Cisco:
ip helper-address x.x.x.x

Ví dụ:

Client:
192.168.10.0/24

DHCP server:
10.10.10.10

Router giữa hai mạng nếu không có:
ip helper-address 10.10.10.10

thì DHCP fail.

2. DHCP pool hết IP

DHCP pool luôn hữu hạn.

Ví dụ:
192.168.10.100 → 192.168.10.150

Chỉ có:
51 IP

Khi hết:

Client mới sẽ không nhận IP.

Dấu hiệu:

Windows:
169.254.x.x

Linux:

No lease.

Cisco IP phone:

boot fail.

3. Misconfiguration

Cấu hình sai là lỗi phổ biến nhất.

Ví dụ:

Sai subnet:
192.168.20.0/24

trong khi client thực tế ở:
192.168.10.0/24

Sai gateway:
192.168.10.254

trong khi gateway thật:
192.168.10.1

Sai DNS.

Sai exclusion.

Sai lease.

Sai helper-address.

4. Duplicate IP address

DHCP có thể cấp IP đã bị dùng bởi thiết bị static.

Ví dụ:

Server cấu hình tay:
192.168.10.120

DHCP cũng phát:
192.168.10.120

Kết quả:

ARP conflict
packet loss
intermittent connectivity
random disconnect

5. DHCP redundancy communication failure

Một số DHCP server chạy HA/failover.

Ví dụ:

Windows DHCP failover.

Nếu synchronization fail:

Cả hai server có thể phát IP chồng nhau.

Kết quả:

IP overlap.

Network chaos.

6. DHCP là giao thức pull

Client chủ động lấy config.

Server không push config.

Điều này giải thích vì sao đổi config server mà client chưa cập nhật.

7. Interface không thuộc DHCP subnet

Nếu router Cisco đóng vai DHCP server:

Router phải có interface thuộc subnet pool.

Ví dụ:

Pool:
192.168.10.0/24

Router:
interface vlan 10
ip address 192.168.10.1 255.255.255.0

Nếu router không có interface phù hợp:

DHCP fail.

Ngoại lệ:

Có DHCP relay.

Tư duy Troubleshooting DHCP chuyên gia

Đừng bắt đầu bằng câu:

"DHCP chết rồi."

Hãy bắt đầu bằng:

DORA đang fail ở bước nào?

Checklist tư duy nhanh

Câu 1

Client có gửi Discover không?

Nếu không:

Xem:

NIC down
Wi-Fi disconnected
VLAN sai
switchport shutdown
cable lỗi
client firewall
dhclient issue

Câu 2

Discover tới server chưa?

Nếu chưa:

Xem:

relay
helper-address
routing
ACL
firewall
UDP 67/68

Câu 3

Server có trả Offer không?

Nếu không:

Xem:

service stopped
pool exhausted
scope disabled
authorization fail
config syntax error

Câu 4

Offer có quay về client không?

Nếu không:

Xem:

relay return path
ACL
asymmetric routing
firewall
VLAN mismatch

Câu 5

Client có Request không?

Nếu không:

Có thể:

duplicate IP detect
client reject config
malformed packet

Câu 6

ACK có tới client không?

Nếu không:

Xem:

ACL
firewall
relay issue

Công cụ packet capture bắt buộc biết

Windows:
pktmon

Linux:
tcpdump -ni eth0 port 67 or port 68

Cisco:
monitor capture

Wireshark filter:
bootp

hoặc:
dhcp

Triệu chứng DHCP ngoài đời thực

Nếu thấy:

Windows:
169.254.x.x

=> DHCP fail.

Nếu thấy:
IP đúng nhưng không ra mạng

=> Gateway/DNS sai.

Nếu thấy:
Lúc được lúc mất

=> Duplicate IP / rogue DHCP.

Nếu thấy:
Chỉ VLAN này lỗi

=> relay / helper / scope / VLAN config.

Nếu thấy:
Wi-Fi client fail nhưng wired OK

=> WLAN DHCP relay / controller / Option issue.

Kết luận cho phần 1

DHCP troubleshoot không khó nếu tư duy đúng.

Sai lầm lớn nhất là đoán mò.

Tư duy đúng là:
DORA fail ở đâu?

Khi xác định đúng điểm failure, root cause thường lộ ra rất nhanh.

NAT Troubleshooting

dangquangminh — Mon, 11 May 2026 11:32:56 GMT

NAT Troubleshooting – Những lỗi “kinh điển” khiến NAT/PAT hoạt động sai và cách xử lý

NAT là một trong những công nghệ mà gần như kỹ sư mạng nào cũng từng cấu hình. Nhìn qua thì có vẻ đơn giản: ánh xạ địa chỉ private sang public để thiết bị nội bộ đi ra Internet. Nhưng khi hệ thống không hoạt động, NAT lại trở thành một trong những thành phần gây đau đầu nhất trong quá trình troubleshooting.

Chỉ cần sai một dòng lệnh nhỏ, thiếu một keyword, hoặc quảng bá route chưa đúng là traffic có thể “đi mà không về”.

Dựa trên tài liệu gốc , chúng ta cùng phân tích cách troubleshooting NAT theo góc nhìn thực chiến.

1. Cấu hình NAT/PAT mẫu

Ví dụ một cấu hình Dynamic NAT kết hợp PAT:
R1# show run

interface FastEthernet1/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!

interface GigabitEthernet0/0
ip address 203.0.113.1 255.255.255.248
ip nat outside
!

ip nat pool OUTSIDE_POOL 203.0.113.3 203.0.113.6 netmask 255.255.255.248

ip nat inside source list 1 pool OUTSIDE_POOL overload

access-list 1 permit 10.1.1.0 0.0.0.255

Ý nghĩa:

Mạng nội bộ: 10.1.1.0/24
Router inside interface: 10.1.1.1
Router outside interface: 203.0.113.1
NAT pool: 203.0.113.3 → 203.0.113.6
ACL 1 xác định host nào được NAT
overload cho phép PAT

Thoạt nhìn đơn giản. Nhưng rất nhiều lỗi có thể xảy ra.

2. Những lỗi cấu hình NAT phổ biến

2.1 Inside/Outside interface cấu hình sai

NAT hoạt động dựa trên việc router biết:

đâu là inside
đâu là outside

Ví dụ đúng:
ip nat inside

và
ip nat outside

Nếu đảo ngược:
inside thành outside
outside thành inside

thì translation sẽ không bao giờ hoạt động đúng.

Triệu chứng:

ping ra Internet thất bại
không thấy translation entry
routing vẫn đúng nhưng traffic fail

Kiểm tra:
show ip nat statistics

2.2 NAT Pool cấu hình sai

Ví dụ:
ip nat pool OUTSIDE_POOL 203.0.113.3 203.0.113.6 netmask 255.255.255.248

Nếu nhập sai:
203.0.113.30

hoặc netmask không đúng:
255.255.255.0

thì NAT mapping sẽ lỗi.

Router vẫn nhận cấu hình nhưng translation không đúng như mong đợi.

2.3 Public IP không reachable

Đây là lỗi cực kỳ phổ biến.

NAT chỉ đổi địa chỉ.

Nó không tự động làm cho Internet biết đường quay lại.

Ví dụ host nội bộ:
10.1.1.10

được NAT thành:
203.0.113.4

Remote server sẽ reply về:
203.0.113.4

Nhưng nếu ISP không biết route tới subnet này thì gói phản hồi bị drop.

Triệu chứng:

translation xuất hiện
packet đi ra
không có return traffic

Kiểm tra:
show ip route

và xác minh ISP đã quảng bá subnet public.

2.4 ACL xác định sai inside local addresses

ACL quyết định host nào được NAT.

Ví dụ đúng:
access-list 1 permit 10.1.1.0 0.0.0.255

Nếu cấu hình nhầm:
access-list 1 permit 10.1.2.0 0.0.0.255

thì host thật:
10.1.1.10

sẽ không match ACL.

Kết quả:

Không NAT.

2.5 Mapping ACL với pool sai

Lệnh quan trọng:
ip nat inside source list 1 pool OUTSIDE_POOL overload

Đây là nơi “ghép đôi”:

ACL
NAT pool

Nếu:

ACL sai
pool sai tên
mapping sai list number

thì NAT fail.

Ví dụ:
ip nat inside source list 10 pool OUTSIDE_POOL overload

trong khi ACL thật là:
access-list 1 ...

=> mismatch.

2.6 Thiếu keyword overload

Nếu muốn PAT mà quên:
overload

thì router chỉ làm Dynamic NAT.

Khác biệt:

Dynamic NAT:

1 private IP → 1 public IP

PAT:

nhiều private IP → 1 hoặc vài public IP qua port translation

Nếu số lượng host lớn mà không overload:

pool sẽ nhanh chóng hết IP.

Triệu chứng:

một vài host ra được
host còn lại fail

3. Những vấn đề troubleshooting thực tế với NAT

NAT over VPN

Một số giao thức VPN kiểm tra checksum để đảm bảo packet integrity.

Ví dụ IPsec.

Trước NAT:
Source IP = 10.1.1.10

Sau NAT:
Source IP = 203.0.113.4

Checksum thay đổi.

VPN peer có thể hiểu packet đã bị chỉnh sửa và reject.

Đây là lý do NAT traversal (NAT-T) tồn tại.

NAT che giấu IP thật

Ví dụ:

Client:
10.1.1.25

bị NAT thành:
203.0.113.5

Firewall log chỉ thấy:
203.0.113.5

Không thấy IP private gốc.

Điều này làm troubleshooting end-to-end khó hơn rất nhiều.

Lệnh hữu ích:
show ip nat translations

Ứng dụng không tương thích NAT

Một số ứng dụng nhúng IP address vào payload.

Ví dụ:

SIP
H.323
FTP active mode
một số VoIP protocol

NAT chỉ sửa header Layer 3/4.

Nếu payload vẫn chứa:
10.1.1.10

remote peer sẽ cố reply về địa chỉ private.

=> fail.

NAT tạo thêm độ trễ

NAT không miễn phí về mặt xử lý.

Router phải:

kiểm tra translation table
tạo mapping
sửa packet header
tính lại checksum

Nếu router xử lý hàng triệu flows:

latency tăng rõ rệt.

Đặc biệt với router CPU yếu.

4. Các lệnh troubleshooting NAT quan trọng

show ip nat translations

Lệnh số 1.
show ip nat translations

Ví dụ:
Pro Inside global Inside local Outside local Outside global
tcp 192.168.1.27:23 192.168.0.27:23 192.168.1.50:1158 192.168.1.50:1158

Ý nghĩa:

Inside local = IP private gốc
Inside global = IP sau NAT
Outside global = destination thật

Nếu không thấy entry động:

host chưa được NAT.

clear ip nat translation *

Xóa toàn bộ dynamic translations:
clear ip nat translation *

Hữu ích khi:

test lại từ đầu
reset stale sessions
xác minh translation mới

Lưu ý:

Không xóa static NAT entries.

show ip nat statistics

Rất hữu ích.
show ip nat statistics

Ví dụ:
Total active translations : 4
Outside interfaces:
FastEthernet0/0
Inside interfaces:
FastEthernet0/1
Hits: 10
Misses: 0

Quan sát:

interface inside/outside đúng chưa?
có translation không?
hits tăng không?

Nếu misses tăng mạnh:

traffic không match NAT rule.

debug ip nat

Lệnh mạnh nhưng nguy hiểm.
debug ip nat

Ví dụ:
NAT: s=192.168.1.11->192.168.1.27

Nghĩa là:
192.168.1.11

được dịch thành:
192.168.1.27

Nhược điểm:

debug có thể làm router CPU tăng mạnh.

Theo tài liệu, cần dùng cực kỳ cẩn thận vì có thể làm router crash

Trong production:

chỉ bật ngắn hạn.

5. Quy trình troubleshooting NAT thực chiến

Khi NAT lỗi, nên đi theo thứ tự:

Bước 1:

Kiểm tra routing
show ip route

Bước 2:

Kiểm tra inside/outside
show ip nat statistics

Bước 3:

Kiểm tra ACL
show access-lists

Bước 4:

Kiểm tra translation
show ip nat translations

Bước 5:

Clear translation
clear ip nat translation *

Bước 6:

Debug nếu cần
debug ip nat

Kết luận cho bài NAT Troubleshooting

NAT nhìn đơn giản nhưng khi sự cố xảy ra, nguyên nhân có thể nằm ở nhiều lớp:

interface role
ACL matching
NAT pool
overload
routing
ứng dụng
VPN interaction
performance bottleneck

Một nguyên tắc thực chiến rất đáng nhớ:

Nếu routing đúng mà traffic vẫn không đi, hãy kiểm tra NAT ngay lập tức.