Tác giả: Đặng Quang Minh
Tài liệu tham khảo cho học viên CCNA của VnPro
I. THIẾT KẾ VLAN:
Trong khi triển khai VLAN trong một hệ thống mạng campus, người quản
trị có thể thiết kế VLAN theo hai cách thức:

* Thiết kế VLAN theo dạng end-to-end: còn gọi là campus-wide.
Trong kiểu chia VLAN này, VLAN sẽ trải rộng trên toàn campus. Một
thành viên của VLAN đó di chuyển trong mạng, thuộc tính là thành viên
của VLAN đó không thay đổi. Điều này có nghĩa là, mỗi VLAN phải sẵn
có ở từng switch, đặc biệt là những switch nằm ở layer access trong mô
hình 3-layer: core-distribution-access.
Như v
ậy, trong end-to-end VLAN, các người dùng sẽ được nhóm vào
thành những nhóm dựa theo chức năng, theo nhóm dự án hoặc theo cách
mà những người dùng đó sử dụng tài nguyên mạng.
* Chia VLAN dạng cục bộ:
VLAN được giới hạn trong một switch hoặc một khu vực địa lý hẹp (
trong
một wiring closet). L y do để dùng dạng VLAN này là các VLAN dạng
end-to-end trở nên khó duy trì. Các người dùng thường xuyên yêu cầu
nhiều tài nguyên khác nhau. Các tài nguyên này thường nằm trong nhìều
VLAN khác nhau.
II. TRIỂN KHAI VLAN:
Chia VLAN trên Cisco Catalyst Switch có 2 bước:

1. Tạo VLAN
2. Gán SW port vào VLAN có 2 kiểu:
- Static: áp dụng cho các mạng nhỏ và gán port vào VLAN nhân công
- Dynamic

N
ếu bạn sử dụng SW Catalyst 2900XL tạo VLAN static thì bạn có thể cấu
hình như sau:


1. Tạo VLAN
vlan database
vlan #vlan name vlanname
Chú ý: không nên sử dụng VLAN 1 nếu không muốn cho telnet vào SW
2. Gán SW port vào VLAN
interface FastEthernet 0/n
switchport mode access
switchport access vlan n
Khi đã chia được VLAN trên switch, giả sử thành 4 VLAN. Làm thế nào
để định tuyến được các VLAN đó.

N
ếu ta dùng 4 con router nối vào Switch để định tuyến 4 VLAN đó thì
cồng kềnh quá (có vẻ không tiết kiệm) Để các Vlan này có thể thông suốt
với nhau,bắt buộc phải dùng L3 routing.

Bạn cần phải dành ra 1 port (Fast ethernet) để làm trunk port.Khi ấy,đư
ờng
nối từ Fast ethernet của router đến port đó được gọi là đường trunking.

Thế thì đường trunking có vai trò gì trong việc liên lạc giữa các VLAN.?

Khi đã có đường trunking,các traffic qua lại giữa các vlan đều đi qua
đây,trên đó các frame sẽ được gắn thêm thông tin về VLAN gọi là tagg

ing.
Thông tin trong tagging sẽ chứa VLAN-ID mà frame đó thuộc về.

Interface Fastethernet của Router sẽ được chia ra làm nhiểu sub-interface
(tương ứng với số VLAN).Mỗi sub-interfaces xem như thuộc về một
VLAN tương ứng trên switch. Công việc của các sub-int này là làm
gateway cho các host bên trong mỗi VLAN.

Bài viết Port Security


Tác giả Lê Quảng Hà
I. Mục đích của bài lab
Giúp người thực hành hiểu được chức năng của port security
II. Sơ đồ và yêu cầu cấu hình
Yêu cầu : Bạn cần có 1 Switch 2950, 2 host
Sơ đồ:
Error!

III. Cấu hình
1. Cấu hình port security
Bước 1: Tiến hành nối dây như sơ đồ .Khởi động Switch.
Bước 2:
Bước 2-1:
Switch>enable
Switch#conf t
Switch(config)#interface f0/1
Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt
buộc cho port khi cấu hình port security
Switch(config-if)#switchport mode access

Bước 2-3: Khởi động port security
Switch(config-if)#switchport port-security
Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.
Đây là thông s
ố chỉ định số lần tối đa mà port vẫn còn chấp
nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có
nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch.
Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay
đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như
n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban
đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là
1024, và mặc định là 1.
Ví dụ nếu chỉ định số lần là 3:
Switch(config-if)#switchport port-security maximum maximum
Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý
là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn
hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC
không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu
bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port
sẽ hoạt động bình thường trở lại.
Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay
đổi là 1, đây là thông số mặc định và do đó không cần phải cấu
hình lệnh này cho switch
Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface.
Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt
động bình thường khi kết nối vào switch trên interface này.
Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên
interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có
sự chuyển tiếp gói tin trên port này.
Switch(config-if)#switchport port-security mac-address

mac-address
Chú ý :
Định dạng về địa chỉ MAC trong câu lệnh trên là:
AAAA.BBBB.CCCC
Địa chỉ này phải giống với địa chỉ của host cần được
bảo mật.
Đối với host là PC, để tìm địa chỉ MAC này làm
như sau:
- Mở DOS command bằng cách vào Start\Run rồi
gõ lệnh cmd
- Trong giao diện DOS này gõ lệnh C:\>ipconfig /all.
Màn hình sẽ hiện ra các thông số về địa chỉ MAC
của card mạng.
Error!

Đối với host là Router, để tìm địa chỉ host:
- Kết nối cổng console máy tính với router
- Dùng lênh show version để tìm địa chỉ MAC
Cấu hình cho Switch:
Switch(config-if)#switchport port-security mac-address
00e0.4d01.2978
Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi
địa chỉ MAC kết nối bị sai:

Cấu trúc lệnh :
Switch(config-if)#switchport port-security violation
[shutdown | restrict protect]
· shutdown: port sẽ được đưa vào trạng thái
lỗi và bị shutdown
· restrict: port sẽ vẫn ở trạng thái up mặc dù

địa chỉ MAC kết nối bị sai. Tuy nhiên các gói
tin đến port này đều bị hủy, và sẽ có một bản
thông báo về số lượng gói tin bị hủy.
· protect: port vẫn up như restrict, các gói tin
đến port bị hủy và không có thông báo về việc
hủy bỏ gói tin này
Trong bài lab này sẽ chỉ định trạng thái port là shut down.
Switch(config-if)#switchport port-security violation
shutdown
Đến đây bạn đã hoàn tất phần cấu hình port security.
Bước tiếp theo sẽ là thử nghiệm.
Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi:
Switch#debug port-security
Bước 4: Sử dụng một host khác để thay thể cho host
ban đầu. Kiểm tra địa chỉ MAC của host mới :
Error!


Host mới có địa chỉ MAC là 0006.7b08.cab5
Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào
host đã chuẩn bị ở bước 3. Quan sát:
+ Đèn trên port f0/1 sẽ bị tắt
+ Thông báo trên giao diện
00:22:24: %PM-4-ERR_DISABLE: psecure-violation error
detected on Fa0/1, putting Fa0/1 in err-disable state
00:22:24: %PORT_SECURITY-2-PSECURE_VIOLATION:
Security violation occurred, caused by MAC address
0006.7b08.cab5 on port FastEthernet0/1.
00:22:25: %LINEPROTO-5-UPDOWN: Line protocol
on Interface FastEthernet0/1, changed state to down

00:22:26: %LINK-3-UPDOWN: Interface FastEthernet0/1,
changed state to down
Bước 5: Dùng lệnh show để xem trạng thái của port f0/1
Switch#show interface f0/1
FastEthernet0/1 is down, line protocol is down
(err-disabled)
Hardware is Fast Ethernet, address is 000f.239d.c641
(bia 000f.239d.c641)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 10Mb/s
Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1
đều vô ích
1. Khôi phục port về trạng thái bình thường
Để khôi phục lại port thì bạn phải can thiệp vào switch.
Bước 1: Nối cổng console vào switch
Switch>enable
Switch#conf t
Bước 2: Có hai cách để khôi phục port
Cách 1: khôi phục nhân công, bạn sẽ thực hiện
trực tiếp quá trình khôi phục này.
Switch(config)#interface f0/1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown