Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1.
51
Finace VLAN

* Chú ý: Đối với dòng switch 2960 có 12 hoặc 24 Fast Ethernet port thì tên của các port đó
sẽ bắt đầu từ: fa0/1, fa0/2…. Fa0/24. Không có port Fa0/0.

9. Cấu hình Duplex
2960Switch(config)# interface
fastethernet 0/1
Chuyển cấu hình vào chế độ interface
fa0/1
2960Switch(config-if)# duplex full Cấu hình cho interface fa0/1 hoạt động ở
chế độ full duplex.
2960Switch(config-if)# duplex auto Cấu hình cho interface fa0/1 hoạt động ở
chế độ auto duplex.
2960Switch(config-if)# duplex half Cấu hình cho interface fa0/1 hoạt động ở
chế độ half duplex.

10. Cấu hình tốc độ
2960Switch(config)# interface
fastethernet 0/1
Chuyển cấu hình vào chế độ fa0/1
2960Switch(config-if)# speed 10 Cấu hình tốc độ cho interface fa0/1 là
10Mbps
2960Switch(config-if)# speed 100 Cấu hình tốc độ cho interface fa0/1 là
100 Mbps
2960Switch(config-if)# speed auto Cho phép interface fa0/1 sẽ tự động điều
chỉnh tốc độ phù hợp.

11. Quản lý bảng địa chỉ MAC
Switch# show mac address-table Hiển thị nội dung bảng địa chỉ mac hiện
thời của switch
Switch# clear mac address-table Xóa toàn bộ các danh mục của bảng địa
chỉ mac hiện tại
Switch# clear mac address-table
dynamic
Xóa toàn bộ các danh mục được xây
dựng tự động trong bảng địa chỉ mac
hiện tại của switch

12. Cấu hình Static MAC address
2960Switch(config)#mac address-table
static
aaaa.aaaa.aaaa vlan 1 interface
fastethernet
0/1
Gán một địa chỉ MAC cố định vào port
fa0/1 nằm trong Vlan 1

Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1.
52
2960Switch(config)#no mac address-
table
static aaaa.aaaa.aaaa vlan 1
interface
fastethernet 0/1
Xóa bỏ một địa chỉ mac đã được gán cố
định vào port fa0/1 nằm trong VLAN 1


13. Cấu hình switch port security
Switch(config)# interface fastEthernet
0/1
Chuyển cấu hình vào chế độ interface
fa0/1
Switch(config-if)# switchport port-
security
Enable tính năng port security trên
interface.
Switch(config-if)# switch port-security
maximum 4
Cấu hình giới hạn số địa chỉ mac sẽ được
học trên port này.
Switch(config-if)#switchport port-
security
mac-address 1234.5678.90ab
Gán cố định địa chỉ MAC 1234.5678.90ab
vào port fa0/1. Nếu bạn muốn gán thêm
địa chỉ MAC vào port này thì bạn phải cấu
hình thêm giá trị cho phép địa chỉ MAC
được học vào một port bằng câu lệnh
trên.
Switch(config-if)#switchport port-
security
violation shutdown
Cấu hình port security sẽ trở về trạng
thái shutdown nếu vi phạm luật đặt ra ở
trên.
* Chú ý: trong chế độ shutdown, thì port
này sẽ ở trạng thái errdisabled, một danh

mục log sẽ được tạo ra, và bạn muốn
khôi phục lại trạng thái hoạt động bình
thường của port này thì bạn sẽ phải
Enable lại interface này.
Switch(config-if)#switchport port-
security
violation restrict
Nếu vi phạm vào tính năng bảo mật thì
port security sẽ trở về trạng thái restrict
(là trạng thái mà port sẽ hủy dữ liệu
nhận và đồng thời tạo ra một danh muc
log, và interface vẫn sẽ hoạt động bình
thường)
Switch(config-if)#switchport port-
security
violation protect
Nếu vi phạm vào tính năng bảo mật đã
đặt ra cho mức độ port thì port đó sẽ trở
về trạng thái Protect.
* Chú ý: Trong chế độ protect thì frame
sẽ bị hủy khi port đó nhận được, và
không có log được tạo ra. Port này vẫn

Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1.
53
hoạt động bình thường

14. Kiểm tra switch port security
Switch# show port-security Hiển thị thông tin bảo mật cho các
interface

Swtich# show port-security interface
fastethernet 0/5
Hiển thị thông tin bảo mật cho interface
fa0/5
Switch# show port-security address Hiển thị thông tin bảo mật của bảng địa
chỉ MAC
Switch# show mac address-table Hiển thị bảng địa chỉ MAC
Switch# clear mac address-table
dynamic
Xóa toàn bộ các địa chỉ MAC được học
thông qua phương pháp dynamic
Switch# clear mac address-table
dynamic address aaaa.bbbb.cccc
Xóa một địa chỉ MAC cụ thể nào đó được
chi ra
Switch# clear mac address-table
dynamic interface fastethernet 0/5
Xóa tất cả những địa chỉ MAC nào được
học tự động trên interface fa0/5
Switch# clear mac address-table
dynamic vlan 10
Xóa toàn bộ địa chỉ MAC được học tự
động trên VLAN 10.
* Chú ý: Bắt đầu từ phiên bản Cisco IOS
12.1(11) EA1, thì câu lệnh clear mac
address-table sẽ được thay thế bằng
câu lệnh clear mac-address-table.

15.Cấu hình Sticky MAC address
- Sticky MAC address là tính năng của port security. Sticky MAC address sẽ giới hạn số

lượng địa chỉ MAC có thể tự động học vào một switch port access. Người quản trị mạng
cũng có thể cấu hình bằng tay để gán một địa chỉ MAC vào một port nào đó. Những địa chỉ
này sẽ được lưu trong file running configuration. Nều file này được lưu lại, thì sticky MAC
address sẽ không được phép học lại khi switch khởi động lại, và điều này sẽ cung cấp thêm
tính năng bảo mật tốt hơn cho switch port security.
Switch(config)# interface fastethernet
0/5
Chuyển cấu hình vào chế độ Interface
fa0/5
Switch(config-if)# switchport port-
security mac-address sticky
Chuyển tất cả port security từ chế độ học
địa chỉ MAC tự động sang Sticky MAC
address.
Switch(config-if)# switchport port-
security mac-address sticky vlan 10
voice
Chuyển tất cả các port security từ chế độ
học địa chỉ mac tự động sang chế độ học
địa chỉ MAC sticky trên VLAN 10 là vlan
voice.


Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1.
54
16. Ví dụ
- Hình 8-1 hiển thị sơ đồ mạng được dùng cho ví dụ cấu hình cơ bản switch 2960 sử dụng
những câu lệnh nằm trong phạm vi của chương này.
Hinh 8-1



switch>enable Chuyển cấu hình vào chế độ privileged.
switch#configure terminal Chuyển cấu hình vào chế độ Global
configuration
switch(config)#no ip domain-lookup Tắt tính năng Domain Name System
(DNS)
switch(config)#hostname 2960 Cấu hình tên cho switch là 2960
2960(config)#enable secret cisco Cấu hình password enable là Cisco
2960(config)#line console 0 Vào chế độ cấu hình line console
2960(config-line)#logging
synchronous
Cho phép những thông tin log hiển thị
trên màn hình console sẽ không ngắt các
câu lệnh hiện thời.
2960(config-line)#login Người dùng sẽ phải login vào switch
trước khi sử dụng.
2960(config-line)#password switch Cấu hình password cho console là switch
2960(config-line)#exec-timeout 0 0 Console sẽ không bao giờ bị logout
2960(config-line)#exit Trở về chế độ Global configuration
2960(config)#line aux 0 Chuyển cấu hình vào chế độ line aux
2960(config-line)#login Người dùng sẽ phải login vào cổng aux
trước khi sử dụng cổng này
2960(config-line)#password class Cấu hình password cho cổng aux là class

Created by: Dương Văn Toán – CCNP, CCSP, MCSE, LPI level 1.
55
2960(config-line)#exit Trở về chế độ cấu hình Global
configuration
2960(config)#line vty 0 15 Chuyển cấu hình vào chế độ line vty
2960(config-line)#login Người dùng sẽ phải login vào vty port

trước khi sử dụng
2960(config-line)#password class Cấu hình password cho phép telnet là
class
2960(config-line)#exit Chuyển cấu hình về chế độ Global
configuration
2960(config)#ip default-gateway
192.168.1.1
Cấu hình địa chỉ default gateway cho
switch
2960(config)#interface vlan 1 Chuyển cấu hình vào chế độ interface
vlan 1
2960(config-if)#ip address
192.168.1.2
255.255.255.0
Gán địa chỉ IP và subnetmask cho
interface vlan 1
2960(config-if)#no shutdown Enable interface vlan 1
2960(config-if)#interface fastethernet
0/1
Chuyển vào chế độ cấu hình của
interface fa0/1
2960(config-if)#description Link to
Bismarck
Router
Đặt lời mô tả cho interface fa0/1
2960(config-if)#interface fastethernet
0/4
Chuyển vào chế độ cấu hình của
interface fa0/4
2960(config-if)#description Link to

Workstation A
Đặt lời mô tả cho interface fa0/4
2960(config-if)#switchport port-
security
Enable tính năng port secrity trên port
này
2960(config-if)#switchport port-
security
maximum 1
Giới hạn số lượng địa chỉ MAC có thể
được học vào port này là 1
2960(config-if)#switchport port-
security
violation shutdown
Cấu hình trạng thái mà port này sẽ hoạt
động khi tính năng bảo mật bị vi phạm
2960(config-if)#interface fastethernet
0/8
Chuyển vào chế độ cấu hình của
interface fa0/8
2960(config-if)#description Link to
Workstation B
Đặt lời mô tả cho interface fa0/8
2960(config-if)#switchport port-
security
Enable tính năng port security trên port
fa0/8