432

Thay vì khai báo
đ
ị
a
chỉ MAC bảo vệ cố
đ
ị
nh
thì bạn có thể thực hiện như sau.
Trước tiên là bật chế
đ
ộ

port bảo vệ trên port mà bạn muốn. Số lượng
đ
ị
a
chỉ MAC
trên port
đ
ó
giới hạn là 1 thôi. Như vậy
đ
ị
a
chỉ MAC
đ
ầ
u

tiên mà switch tự
đ
ộ
ng

học
đ
ư
ợ
c
sẽ trở thành
đ
ị
a
chỉ cần bảo vệ.
Đ
ể

kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security.
Hình 6.2.5

Các bước cơ bản để cấu hình port bảo vệ:

1.
2.
3.
4.
Vào chế
đ
ộ


cấu hình của port mà bạn cần.
mở chế
đ
ộ

truy cập cho port
đ
ó.

mở chế
đ
ộ

port bảo vệ.
Giới hạn số lượng
đ
ị
a
chỉ MAC bảo vệ trên port
đ
ó
(thường giới hạn 1
đ
ị
a

chỉ MAC )
5. Chỉ
đ

ị
nh
loại
đ
ị
a
chỉ MAC bảo vệ là
đ
ị
a
chỉ cố
đ
ị
nh
(static), học tự
đ
ộ
ng

(dynamic) hay sticky.
•
Static: là
đ
ị
a
chỉ MAC do người quản trị mạng khai báo cố
đ
ị
nh
bằng

tay. Sau khi khai báo xong,
đ
ị
a
chỉ này
đ
ư
ợ
c
lưu cố
đ
ị
nh
trong bảng
đ
ị
a
chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch
bị mất
đ
i
ệ
n,
khởi
đ
ộ
ng
lại cũng không xóa mất
đ
ị

a
chỉ cố
đ
ị
nh.

•
Dynamic: là
đ
ị
a
chỉ MAC do switch tư
đ
ộ
ng
học
đ
ư
ợ
c.
Loại
đ
ị
a
chỉ
đ
ộ
ng
này
đ

ư
ợ
c
lưu có thời hạn trên switch . Nếu trong một khoảng
thời gian nhất
đ
ị
nh
mà switch không nhận
đ
ư
ợ
c
gói dữ liệu nào có
đ
ị
a

chỉ MAC
đ
ó
nữa thì nó sẽ xóa
đ
ị
a
chỉ này ra khỏi bảng.
433

•
Sticky: là

đ
ị
a
chỉ MAC do switch học
đ
ư
ợ
c
tự
đ
ộ
ng
nhưng sau khi học
xong thì switch ghi
đ
ị
a
chỉ này cố
đ
inh
vào bảng luôn và không xóa
đ
i
ạ

chỉ
đ
ó
nữa ngay cả khi switch bị tắt
đ

i
ệ
n
và khởi
đ
ộ
ng
lại.
6. Cấu hình cho switch thực hiện
đ
ộ
ng
tác
đ
óng
port (Shutdown) hoặc treo port
(Restrict) khi số lượng
đ
ị
a
chỉ MAC học
đ
ư
ợ
c
trên port
đ
ó

vượt quá giới hạn

cho phép.
Câu lệnh cụ thể
đ
ể

cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác
nhau nhưng nhìn chung
đ
ề
u
theo các bước cơ bản như trên.
Sau
đ
ây
là ví dụ về cấu hình port bảo vệ trên switch 2950:
ALSwitch (config)#interface fastethernet 0/4
ALSwitch (config-if)# switchport port-security ?
Aging Port-security aging commands
Mac-address Secure mac address
Maximum Max secure addrs
Violation Security Violation Mode
<cr>
ALSwitch (config-if)# switchport mode access
ALSwitch (config-if)# switchport port-security
ALSwitch (config-if)# switchport port-security maximum 1
ALSwitch (config-if)# switchport port-security mac-address sticky
ALSwitch (config-if)# switchport port-security violation shutdown
6.2.6. Thêm, bớt, chuyển đổi switch
Khi thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin
sau cho switch :

•
Tên switch
•
Đ
ị
a
chỉ IP của switch trong VLAN quản lý.
•
Default gateway.
434

•
Mật mã cho các
đ
ư
ờ
ng
truy cập switch.
Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng
nên xóa một số cấu hình có thể gây tác
đ
ộ
ng
không tốt
ở

vị trí cũ và thêm cấu hình
mới cho vi trí mới của host. Ví dụ khi chuyển một host
đ
ang

kết nối vào một port
có chế
đ
ộ

bảo vệ sang port khác hoặc switch khác, thì
ở

port cũ bạn nên xóa cấu
hình port bảo vệ và cấu hình port bảo vệ cho port mới của host
đ
ó.

6.2.7. Quản lý tập tin hoạt động hệ thống của switch

Nhà qu
ản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin hoạt
đ
ộ
ng
hệ thống c
ủ
a

các thiết bị mạng. Tập tin cấu hình hoạt
đ
ộ
ng
mới nhất nên
đ

ư
ợ
c
lưu dự phòng ra
server hoặc ra
đ
ĩ
a.
Tập tin này không chỉ là thông tin nhạy cảm mà còn rất hữu
dụng khi cần khôi phục lại cấu hình cho thiết bị mạng.
IOS c
ũ
ng
nên
đ
ư
ợ
c
lưu dự phòng trên một server nội bộ
đ
ể

sau
đ
ó
có thể tải về bộ
nhớ flash khi cần thiết.
6.2.8. Khôi phục mật mã trên switch 1900/2950
Vì lý do quản lý và bảo mật, switch thường
đ

ư
ợ
c
đ
ặ
t
mật mã trên
đ
ư
ờ
ng
console và
vty. Ngoài ra còn có mật mã c
ủ
a
chế
đ
ộ

EXEC
đ
ặ
c
quyền
đ
ư
ợ
c
cài
đ

ặ
t
bằng lênh
enable password hoặc enable secret password. Mật mã này giúp
đ
ả
m
bảo chỉ có
nhưng user
đ
ư
ợ
c
phép mới có thể truy cập vào chế
đ
ộ

EXEC người dùng và
đ
ặ
c

quyền trên switch.
Tuy nhiên có một số tình huống bạn cần truy cập vào switch nhưng b
ạ
n
truy cập về
mặt vật lý
đ
ư

ợ
c
nhưng lại không thể vào
đ
ư
ợ
c
chế
đ
ộ

EXEC người dùng hoặc
đ
ặ
c

quyền vì không biết hoặc quên mật mã. Trong những trường hợp như vậy bạn cần
phải khôi phục lại mật mã trên switch .
Sau
đây là các bước thực hiện để khôi phục mật mã trên switch 2900:
1.
Đ
ả
m
bảo rằng bạn
đ
ã
kết nối PC của mình vào cổng console trên switch và
đ
ã

mở xong màn hình HyperTerminal.
2. Tắt
đ
i
ệ
n
của switch
đ
i.
Sau
đ
ó
bạn vừa nhấn nút Mode
ở

mặt trước của
switch vừa cắm
đ
i
ệ
n
lại cho switch. Khi nào LED STAT trên switch tắt
đ
i

thì bạn mới buông nút Mode ra.
3. Khi
đ
ó
trên màn hình HyperTerminal sẽ có hiện thị như sau:

C2950 Boot Loader (C2950-HBOOT-MAC) Version
435

12.1 (11r) EA1, RELEASE
SOFT (fc1)
Compiled Mon 22-Jul-02 18:57 by antonio
WS-C2950-24 starting…
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The system has been interrupted prior to initializing the flash files
System. The following commands will initialize the flash files system.
And finish loading the operating system software:
Flash_init
Load_helper
Boot
4.
Đ
ể

khởi
đ
ộ
ng
tập tin hệ thống và kết thúc quá trình tải hệ
đ
i
ề
u
hành, bạn
nhập các lệnh sau theo thứ tự như sau:

Flash_init
Load_helper
Dir flash:
Chú ý: Không
đ
ư
ợ
c
quên dấu hai chấm (:)
ở

liền sau chữ flash trong câu lệnh
thứ 3
ở

trên.
Kết quả hiện thị của lệnh dir flash: sẽ cho biết nội dung của thư mục flash. Mặc
đ
ị
nh,
tên c
ủ
a
tập tin cấu hình switch lưu trong thư m
ụ
c
flash sẽ có tên là
config.text.
5. Bạn
đ

ổ
i
đ
ị
nh
dạng tên của tập tin cấu hình như sau:
Rename flash:config.text flash:config.old
6. Sau
đ
ó
bạn gõ lệnh boot
đ
ể

khởi
đ
ộ
ng
lại switch
436

Lúc này tập tin cấu hình của switch
đ
ã
bị
đ
ổ
i
đ
ị

nh
dạng nên switch không tải
đ
ư
ợ
c
tập tin cấu hình. Do
đ
ó
sau khi khởi
đ
ộ
ng
xong bạn sẽ gặp câu thoại cấu
hình của switch như sau, bạn nhập ký tự N cho câu hỏi này:
Continue with the configuration dialog? [yes/no] : N
Sau
đ
ó
bạn sẽ vào
đ
ư
ợ
c
chế
đ
ộ

EXEC người dùng và
đ

ặ
c
quyền mà không gặp
mật mã nữa.
7. Bạn trả lại tên cũ cho tập tin cấu hình bằng lệnh như sau:
Rename flash:config.old flash:config.text
8. Sau
đ
ó
cho switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình
này lên RAM:
Switch#copy flash:config.text system:ruinning-config
Source filename [config.text]?[enter]
Destination filename [ruinning-config] [enter]
9. Lúc náy switch sẽ tải tập tin cấu hình xuống RAM
đ
ể

chạy. Khi
đ
ó
bạn có
thể thay
đ
ổ
i
mật mã nếu muốn:
AlSwitch#configure terminal
AlSwitch (config)#no enable secret
AlSwitch (config)#enable password cisco

AlSwitch (config)#line console 0
AlSwitch (config-line)#password cisco
AlSwitch (config-line)#exit
AlSwitch (config)#exit
AlSwitch#copy ruinning-config startup-config
Destination filename [startup-config]?[enter]
Building configuration….
[OK]
437

AlSwitch#
10. Bạn tắt
đ
i
ệ
n
cho switch rồi bật lại
đ
ể

kiểm tra xem mật mã mới
đ
ã
đ
ư
ợ
c
áp
dụng
đ

úng
chưa. Nếu chưa
đ
úng
thì bạn thực hiện quá trình trên lại từ
đ
ầ
u.

6.2.9. Nâng cấp firmware 1900/2950

IOS và firmware thường xuyên
đ
ư
ợ
c
phát hành phiên bản mới với các khắc
phục lỗ hổng cũ, thêm các
đ
ặ
c
tính mới và tăng khả năng hoạt
đ
ộ
ng.
Nếu bạn
muốn hệ thống mạng
đ
ư
ợ

c
bảo vệ tốt hơn, hoạt
đ
ộ
ng
hiệu quả hơn với phiên
bản mới hơn của IOS thì bạn nên nâng cấp IOS.
Bạn có thể tải phiên bản IOS về server nội bộ của mình từ Trung tâm phần mềm
kết nối trực tuyến Cisco (CCO- Cisco Connection Online).
TỔNG KẾT

Sau khi hoàn tất chương này, bạn cần nắm
đ
ư
ợ
c
các ý chính sau:
•
Thành phần cơ bản của Catalyst switch .
•
Theo dõi trạng thái và hoạt
đ
ộ
ng
cảu switch thông qua
đ
èn
báo hiệu LED
•
Kiểm tra thông tin xuất ra của quá trình khởi

đ
ộ
ng
switch bằng
HyperTerminal.
•
Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh.
•
Các chế
đ
ộ

mặc
đ
ị
nh
của switch
•
Đ
ặ
t
đ
ị
a
chỉ IP và default gateway cho switch
đ
ể

có thể kết nối và quản lý
switch qua mạng.

•
Xem cấu hình switch với trình duyệt Web.
•
Cài
đ
ặ
t
tốc
đ
ộ

và chế
đ
ộ

song công cho port của switch .
•
Kiểm tra và quản lý bảng
đ
ị
a
chỉ MAC của switch .
•
Cấu hình port bảo vệ.
•
Quản lý tập tin cấu hình IOS.
•
Thực hiện khôi phục mật mã cho switch
•
Nâng cấp IOS cho switch