430

Đ
ể

kiểm tra các
đ
ị
a
chỉ mà switch
đ
ã
học
đ
ư
ợ
c,
bạn dùng lệnh show mac-address-
table trong chế
đ
ộ

EXEC
đ
ặ
c
quyền.
Switch có thể tự
đ
ộ
ng

học vào bảo trì hàng ngàn
đ
ị
a
chỉ MAC.
Đ
ể

tiết kiệm bộ nhớ
giúp tối
ư
u
hóa hoạt
đ
ộ
ng
của switch, các
đ
ị
a
chỉ MAC học
đ
ư
ợ
c
nên xóa
đ
i
khi
thiết bị tương

ứ
ng
đ
ã
bị ngắt kết nối khỏi port, hoặc bị tắt
đ
i
ệ
n
hoặc
đ
ã
đ
ư
ợ
c

chuyển sang port khác trên cùng switch
đ
ó
hoặc trên switch khác. Cho dù vì lý do
gì
đ
i
n
ữ
a,
nếu có một
đ
ị

a
chỉ MAC nào
đ
ó
trong bảng mà switch không nhận
đ
ư
ợ
c

gói dữ liệu nào có
đ
ị
a
chỉ MAC
đ
ó
nữa thì switch sẽ tự
đ
ộ
ng
xóa
đ
ị
a
chỉ
đ
ó
sau
300 giây.

Thay vì chờ bảng
đ
ị
a
chỉ tự
đ
ộ
ng
bị xóa vì hết thời hạn thì người quản trị mạng có
thể xóa bảng
đ
ị
a
chỉ MAC bằng lệnh clear mac-address-table trong chế
đ
ộ

EXEC
đ
ặ
c
quyền. Ngay cả những
đ
ị
a
chỉ MAC do chính người quản trị mạng cấu hình
trước
đ
ó
cũng bị xóa bằng lệnh này.

Hình 6.2.3.b

6.2.4. Cấu hình địa chỉ MAC cố định

Bạn có thể quy
ế
t
đ
inh
gán một
đ
ị
a
chỉ MAC cố
đ
ị
nh
cho một port nào
đ
ó
của
switch. Lý do
đ
ể

gán cố
đ
ị
nh
một

đ
ị
a
chỉ MAC cho một port có thể là một trong
những lý do sau:
431

•
Giúp cho
đ
ị
a
chỉ MAC không bị xóa tự
đ
ộ
ng
do hết thời hạn trên bằng
đ
ị
a

chỉ
•
Một server hay m
ộ
t
máy trạm
đ
ặ
c

biệt nào
đ
ó
của user
đ
ự
ơ
c
kết nối vào một
port trên switch và
đ
ị
a
chỉ MAC của máy này không
đ
ổ
i.

•
Tăng khả năng bảo mật.
Đ
ể

khai báo một
đ
ị
a
ch
ỉ


MAC cố
đ
ị
nh
cho switch, bạn dùng lệnh sau:
Switch ( config)#mac-address-table static <mac-address of host> interface
FastEthernet <Ethernet number> vlan
Đ
ể

xóa một
đ
ị
a
chỉ MAC cố
đ
ị
nh
đ
ã
đ
ư
ợ
c
khai báo bạn dùng dạng
no
của câu lênh
trên
6.2.5. Cấu hình port bảo vệ


Bảo vệ hệ thống mạng là một trách nhiệm quan trọng của người quản trị mạng.
switch tầng truy cập là có khả năng truy cập dễ dàng nhất từ các
ổ

cắm dây
đ
ặ
t
ở

các phòng. Bất kỳ người nào cũng có thể cắm PC hoặc máy tính xách tay của mình
vào m
ộ
t
trong những
ổ

cắm dây này. Do
đ
ó
trên switch có một
đ
ặ
c
tính gọi là port
bảo vệ giúp giới hạn số lượng
đ
ị
a
chỉ mà switch có thể học trên một port. Bạn có

thể cấu hình cho switch thực hiện một
đ
ộ
ng
tác nào
đ
ó
khi số lượng
đ
ị
a
chỉ học
đ
ư
ợ
c
trên port
đ
ó
vượt quá giới hạn cho phép.
Đ
ị
a
chỉ MAC bảo vệ có thể
đ
ư
ợ
c

khai báo cố

đ
ị
nh.
Tuy nhiên việc khai báo cố
đ
ị
nh
đ
i
ạ

chỉ MAC bảo vệ rất phức tạp
và dễ gây ra lỗi.
432

Thay vì khai báo
đ
ị
a
chỉ MAC bảo vệ cố
đ
ị
nh
thì bạn có thể thực hiện như sau.
Trước tiên là bật chế
đ
ộ

port bảo vệ trên port mà bạn muốn. Số lượng
đ

ị
a
chỉ MAC
trên port
đ
ó
giới hạn là 1 thôi. Như vậy
đ
ị
a
chỉ MAC
đ
ầ
u
tiên mà switch tự
đ
ộ
ng

học
đ
ư
ợ
c
sẽ trở thành
đ
ị
a
chỉ cần bảo vệ.
Đ

ể

kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security.
Hình 6.2.5

Các bước cơ bản để cấu hình port bảo vệ:

1.
2.
3.
4.
Vào chế
đ
ộ

cấu hình của port mà bạn cần.
mở chế
đ
ộ

truy cập cho port
đ
ó.

mở chế
đ
ộ

port bảo vệ.
Giới hạn số lượng

đ
ị
a
chỉ MAC bảo vệ trên port
đ
ó
(thường giới hạn 1
đ
ị
a

chỉ MAC )
5. Chỉ
đ
ị
nh
loại
đ
ị
a
chỉ MAC bảo vệ là
đ
ị
a
chỉ cố
đ
ị
nh
(static), học tự
đ

ộ
ng

(dynamic) hay sticky.
•
Static: là
đ
ị
a
chỉ MAC do người quản trị mạng khai báo cố
đ
ị
nh
bằng
tay. Sau khi khai báo xong,
đ
ị
a
chỉ này
đ
ư
ợ
c
lưu cố
đ
ị
nh
trong bảng
đ
ị

a
chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch
bị mất
đ
i
ệ
n,
khởi
đ
ộ
ng
lại cũng không xóa mất
đ
ị
a
chỉ cố
đ
ị
nh.

•
Dynamic: là
đ
ị
a
chỉ MAC do switch tư
đ
ộ
ng
học

đ
ư
ợ
c.
Loại
đ
ị
a
chỉ
đ
ộ
ng
này
đ
ư
ợ
c
lưu có thời hạn trên switch . Nếu trong một khoảng
thời gian nhất
đ
ị
nh
mà switch không nhận
đ
ư
ợ
c
gói dữ liệu nào có
đ
ị

a

chỉ MAC
đ
ó
nữa thì nó sẽ xóa
đ
ị
a
chỉ này ra khỏi bảng.
433

•
Sticky: là
đ
ị
a
chỉ MAC do switch học
đ
ư
ợ
c
tự
đ
ộ
ng
nhưng sau khi học
xong thì switch ghi
đ
ị

a
chỉ này cố
đ
inh
vào bảng luôn và không xóa
đ
i
ạ

chỉ
đ
ó
nữa ngay cả khi switch bị tắt
đ
i
ệ
n
và khởi
đ
ộ
ng
lại.
6. Cấu hình cho switch thực hiện
đ
ộ
ng
tác
đ
óng
port (Shutdown) hoặc treo port

(Restrict) khi số lượng
đ
ị
a
chỉ MAC học
đ
ư
ợ
c
trên port
đ
ó

vượt quá giới hạn
cho phép.
Câu lệnh cụ thể
đ
ể

cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác
nhau nhưng nhìn chung
đ
ề
u
theo các bước cơ bản như trên.
Sau
đ
ây
là ví dụ về cấu hình port bảo vệ trên switch 2950:
ALSwitch (config)#interface fastethernet 0/4

ALSwitch (config-if)# switchport port-security ?
Aging Port-security aging commands
Mac-address Secure mac address
Maximum Max secure addrs
Violation Security Violation Mode
<cr>
ALSwitch (config-if)# switchport mode access
ALSwitch (config-if)# switchport port-security
ALSwitch (config-if)# switchport port-security maximum 1
ALSwitch (config-if)# switchport port-security mac-address sticky
ALSwitch (config-if)# switchport port-security violation shutdown
6.2.6. Thêm, bớt, chuyển đổi switch
Khi thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin
sau cho switch :
•
Tên switch
•
Đ
ị
a
chỉ IP của switch trong VLAN quản lý.
•
Default gateway.
434

•
Mật mã cho các
đ
ư
ờ

ng
truy cập switch.
Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng
nên xóa một số cấu hình có thể gây tác
đ
ộ
ng
không tốt
ở

vị trí cũ và thêm cấu hình
mới cho vi trí mới của host. Ví dụ khi chuyển một host
đ
ang
kết nối vào một port
có chế
đ
ộ

bảo vệ sang port khác hoặc switch khác, thì
ở

port cũ bạn nên xóa cấu
hình port bảo vệ và cấu hình port bảo vệ cho port mới của host
đ
ó.

6.2.7. Quản lý tập tin hoạt động hệ thống của switch

Nhà qu

ản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin hoạt
đ
ộ
ng
hệ thống c
ủ
a

các thiết bị mạng. Tập tin cấu hình hoạt
đ
ộ
ng
mới nhất nên
đ
ư
ợ
c
lưu dự phòng ra
server hoặc ra
đ
ĩ
a.
Tập tin này không chỉ là thông tin nhạy cảm mà còn rất hữu
dụng khi cần khôi phục lại cấu hình cho thiết bị mạng.
IOS c
ũ
ng
nên
đ
ư

ợ
c
lưu dự phòng trên một server nội bộ
đ
ể

sau
đ
ó
có thể tải về bộ
nhớ flash khi cần thiết.
6.2.8. Khôi phục mật mã trên switch 1900/2950
Vì lý do quản lý và bảo mật, switch thường
đ
ư
ợ
c
đ
ặ
t
mật mã trên
đ
ư
ờ
ng
console và
vty. Ngoài ra còn có mật mã c
ủ
a
chế

đ
ộ

EXEC
đ
ặ
c
quyền
đ
ư
ợ
c
cài
đ
ặ
t
bằng lênh
enable password hoặc enable secret password. Mật mã này giúp
đ
ả
m
bảo chỉ có
nhưng user
đ
ư
ợ
c
phép mới có thể truy cập vào chế
đ
ộ


EXEC người dùng và
đ
ặ
c

quyền trên switch.
Tuy nhiên có một số tình huống bạn cần truy cập vào switch nhưng b
ạ
n
truy cập về
mặt vật lý
đ
ư
ợ
c
nhưng lại không thể vào
đ
ư
ợ
c
chế
đ
ộ

EXEC người dùng hoặc
đ
ặ
c


quyền vì không biết hoặc quên mật mã. Trong những trường hợp như vậy bạn cần
phải khôi phục lại mật mã trên switch .
Sau
đây là các bước thực hiện để khôi phục mật mã trên switch 2900:
1.
Đ
ả
m
bảo rằng bạn
đ
ã
kết nối PC của mình vào cổng console trên switch và
đ
ã
mở xong màn hình HyperTerminal.
2. Tắt
đ
i
ệ
n
của switch
đ
i.
Sau
đ
ó
bạn vừa nhấn nút Mode
ở

mặt trước của

switch vừa cắm
đ
i
ệ
n
lại cho switch. Khi nào LED STAT trên switch tắt
đ
i

thì bạn mới buông nút Mode ra.
3. Khi
đ
ó
trên màn hình HyperTerminal sẽ có hiện thị như sau:
C2950 Boot Loader (C2950-HBOOT-MAC) Version
435

12.1 (11r) EA1, RELEASE
SOFT (fc1)
Compiled Mon 22-Jul-02 18:57 by antonio
WS-C2950-24 starting…
Base ethernet MAC Address: 00:0a:b7:72:2b:40
Xmodem file system is available.
The system has been interrupted prior to initializing the flash files
System. The following commands will initialize the flash files system.
And finish loading the operating system software:
Flash_init
Load_helper
Boot
4.

Đ
ể

khởi
đ
ộ
ng
tập tin hệ thống và kết thúc quá trình tải hệ
đ
i
ề
u
hành, bạn
nhập các lệnh sau theo thứ tự như sau:
Flash_init
Load_helper
Dir flash:
Chú ý: Không
đ
ư
ợ
c
quên dấu hai chấm (:)
ở

liền sau chữ flash trong câu lệnh
thứ 3
ở

trên.

Kết quả hiện thị của lệnh dir flash: sẽ cho biết nội dung của thư mục flash. Mặc
đ
ị
nh,
tên c
ủ
a
tập tin cấu hình switch lưu trong thư m
ụ
c
flash sẽ có tên là
config.text.
5. Bạn
đ
ổ
i
đ
ị
nh
dạng tên của tập tin cấu hình như sau:
Rename flash:config.text flash:config.old
6. Sau
đ
ó
bạn gõ lệnh boot
đ
ể

khởi
đ

ộ
ng
lại switch
436

Lúc này tập tin cấu hình của switch
đ
ã
bị
đ
ổ
i
đ
ị
nh
dạng nên switch không tải
đ
ư
ợ
c
tập tin cấu hình. Do
đ
ó
sau khi khởi
đ
ộ
ng
xong bạn sẽ gặp câu thoại cấu
hình của switch như sau, bạn nhập ký tự N cho câu hỏi này:
Continue with the configuration dialog? [yes/no] : N

Sau
đ
ó
bạn sẽ vào
đ
ư
ợ
c
chế
đ
ộ

EXEC người dùng và
đ
ặ
c
quyền mà không gặp
mật mã nữa.
7. Bạn trả lại tên cũ cho tập tin cấu hình bằng lệnh như sau:
Rename flash:config.old flash:config.text
8. Sau
đ
ó
cho switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình
này lên RAM:
Switch#copy flash:config.text system:ruinning-config
Source filename [config.text]?[enter]
Destination filename [ruinning-config] [enter]
9. Lúc náy switch sẽ tải tập tin cấu hình xuống RAM
đ

ể

chạy. Khi
đ
ó
bạn có
thể thay
đ
ổ
i
mật mã nếu muốn:
AlSwitch#configure terminal
AlSwitch (config)#no enable secret
AlSwitch (config)#enable password cisco
AlSwitch (config)#line console 0
AlSwitch (config-line)#password cisco
AlSwitch (config-line)#exit
AlSwitch (config)#exit
AlSwitch#copy ruinning-config startup-config
Destination filename [startup-config]?[enter]
Building configuration….
[OK]
437

AlSwitch#
10. Bạn tắt
đ
i
ệ
n

cho switch rồi bật lại
đ
ể

kiểm tra xem mật mã mới
đ
ã
đ
ư
ợ
c
áp
dụng
đ
úng
chưa. Nếu chưa
đ
úng
thì bạn thực hiện quá trình trên lại từ
đ
ầ
u.

6.2.9. Nâng cấp firmware 1900/2950

IOS và firmware thường xuyên
đ
ư
ợ
c

phát hành phiên bản mới với các khắc
phục lỗ hổng cũ, thêm các
đ
ặ
c
tính mới và tăng khả năng hoạt
đ
ộ
ng.
Nếu bạn
muốn hệ thống mạng
đ
ư
ợ
c
bảo vệ tốt hơn, hoạt
đ
ộ
ng
hiệu quả hơn với phiên
bản mới hơn của IOS thì bạn nên nâng cấp IOS.
Bạn có thể tải phiên bản IOS về server nội bộ của mình từ Trung tâm phần mềm
kết nối trực tuyến Cisco (CCO- Cisco Connection Online).
TỔNG KẾT

Sau khi hoàn tất chương này, bạn cần nắm
đ
ư
ợ
c

các ý chính sau:
•
Thành phần cơ bản của Catalyst switch .
•
Theo dõi trạng thái và hoạt
đ
ộ
ng
cảu switch thông qua
đ
èn
báo hiệu LED
•
Kiểm tra thông tin xuất ra của quá trình khởi
đ
ộ
ng
switch bằng
HyperTerminal.
•
Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh.
•
Các chế
đ
ộ

mặc
đ
ị
nh

của switch
•
Đ
ặ
t
đ
ị
a
chỉ IP và default gateway cho switch
đ
ể

có thể kết nối và quản lý
switch qua mạng.
•
Xem cấu hình switch với trình duyệt Web.
•
Cài
đ
ặ
t
tốc
đ
ộ

và chế
đ
ộ

song công cho port của switch .

•
Kiểm tra và quản lý bảng
đ
ị
a
chỉ MAC của switch .
•
Cấu hình port bảo vệ.
•
Quản lý tập tin cấu hình IOS.
•
Thực hiện khôi phục mật mã cho switch
•
Nâng cấp IOS cho switch
438

Cấu hình switch

Giới thiệu

Switch là một thiết bị mạng Lớp 2 hoạt động nh một điểm tập trung kết nối

của máy trạm, server, router, hub và các switch khác.

Hub là một thiết bị tập trung kết nố
i loại cũ, cấp thấp hơn switch vì tất cả các

thiết bị kết nối vào hub chia sẻ cùng một băng thông và có thể xảy ra tranh chấp.

Hub chỉ có thể chạy bán song công, nghĩa là tại một thời điểm hub hoặc truyền


hoặc nhận dữ liệu chứ không thể thực hiện đồng thời cả hai. Còn switch thì có thể

chạy song công, truyền và nhận dữ liệu song song đồng thời.

Switch là một brigde đa port: Chuyển mạch đang là một công nghệ chuẩn

hiện nay trong cấu trúc hình sao của Ethernet LAN. Khi hai thiết bị kết nối vào

switch muốn liên lạc với nhau thì switch thiết lập một mạch ảo điểm đến - điểm

dành riêng cho hai thiết bị đó nên không có khả năng xảy ra đụng độ.

Chính vì vai trò quan trọng của switch trong hệ thống mạng hiện nay nên

việc tìm hiểu và cấu hình switch là rất quan trọng đối với ngời làm về mạng.

Một switch hoàn toàn mới luôn có một cấu hình mặc định của nhà sản xuất.

Cấu hình này thờng không đáp ứng đủ các yêu cầu của nhà quản trị mạng với

switch. Một trong những tác vụ này là bảo trì switch và hệ điều hành IOS

(Internetworking Oprating System) của nó. Một số tác vụ khác liên quan đến việc

quản lý các cổng giao tiếp của switch, tối u hoá bảng hoạt động của switch để
đảm bảo độ tin cậy và bảo mật. Những kỹ năng về cấu hình switch, nâng cấp IOS,

khôi phục mật mã là những kỹ năng rất quan trọng của ngời quản trị mạng.
439


Sau khi hoàn tất chơng này, bạn có thể thực hiện những công việc sau:
Xác định các thành phần chính của Catalyst switch.
Theo dõi hoạt động và trạng thái của switch thông qua các báo cáo hiệu
LED.

Xác định lợi ích và những nguy cơ của cấu trúc dự phòng.
Mô tả vai tro của Spanning - Tree trong mạng chuyển mạch có dự phòng.
Xác định các thành phần quan trọng trong hoạt động của Spanning Tree.

Mô tả quá trình bầu bridge gốc.
Liệt kê các trạng thái Spanning Tree.

So sánh giao thức Spanning Tree.
7.1. Cấu trúc dự phòng.

7.1.1. Sự dự phòng.

Rất nhiều công ty và tổ chức đã phát triển hoạt động của họ dựa trên mạng

máy tính. Việc truy cập vào file server, cơ sở dữ liệu, Internet, Intranet và Extranet

đóng vai trò quan trọng cho sự thành công trong kinh doanh vì nếu mạng bị đứt,

năng suất giảm và khách hàng không hài lòng.

Do đó các công ty luôn mong muốn hệ thống mạng may tính của họ luôn

hoạt động suốt 24 giờ, 7 ngày một tuần. Việc thực hiện 100% thời gian hoạt động


thì có thể không khả thi nhng mục tiêu đặt ra là phải bảo đảm đợc 99,999% thời
gian hoạt động. Tỉ lệ này có nghĩa là chỉ cho phép mạng ngng hoạt động trung
bình một ngà
y trong 30 năm, hay 1 giờ trong 4000 ngày, hay 5,25 phút trong một

năm.

Nếu có thể thực hiện đợc mục tiêu trên thì hệ thống mạng sẽ thực sự hoạt
động rất tin cậy. Độ tin cậy của hệ thống mạng đợc đảm bảo từ việc trang bị các
thiết bị có độ tin cậy cao đến việc thiết kế hệ thống mạng có dự phòng, có khả năng

chịu đợc lỗi, hội tụ nhanh để vợt qua sự cố.