432 Thay vì khai báo đ ị a chỉ MAC bảo vệ cố đ ị nh thì bạn có thể thực hiện như sau. Trước tiên là bật chế đ ộ port bảo vệ trên port mà bạn muốn. Số lượng đ ị a chỉ MAC trên port đ ó giới hạn là 1 thôi. Như vậy đ ị a chỉ MAC đ ầ u tiên mà switch tự đ ộ ng học đ ư ợ c sẽ trở thành đ ị a chỉ cần bảo vệ. Đ ể kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security. Hình 6.2.5 Các bước cơ bản để cấu hình port bảo vệ: 1. 2. 3. 4. Vào chế đ ộ cấu hình của port mà bạn cần. mở chế đ ộ truy cập cho port đ ó. mở chế đ ộ port bảo vệ. Giới hạn số lượng đ ị a chỉ MAC bảo vệ trên port đ ó (thường giới hạn 1 đ ị a chỉ MAC ) 5. Chỉ đ ị nh loại đ ị a chỉ MAC bảo vệ là đ ị a chỉ cố đ ị nh (static), học tự đ ộ ng (dynamic) hay sticky. • Static: là đ ị a chỉ MAC do người quản trị mạng khai báo cố đ ị nh bằng tay. Sau khi khai báo xong, đ ị a chỉ này đ ư ợ c lưu cố đ ị nh trong bảng đ ị a chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch bị mất đ i ệ n, khởi đ ộ ng lại cũng không xóa mất đ ị a chỉ cố đ ị nh. • Dynamic: là đ ị a chỉ MAC do switch tư đ ộ ng học đ ư ợ c. Loại đ ị a chỉ đ ộ ng này đ ư ợ c lưu có thời hạn trên switch . Nếu trong một khoảng thời gian nhất đ ị nh mà switch không nhận đ ư ợ c gói dữ liệu nào có đ ị a chỉ MAC đ ó nữa thì nó sẽ xóa đ ị a chỉ này ra khỏi bảng. 433 • Sticky: là đ ị a chỉ MAC do switch học đ ư ợ c tự đ ộ ng nhưng sau khi học xong thì switch ghi đ ị a chỉ này cố đ inh vào bảng luôn và không xóa đ i ạ chỉ đ ó nữa ngay cả khi switch bị tắt đ i ệ n và khởi đ ộ ng lại. 6. Cấu hình cho switch thực hiện đ ộ ng tác đ óng port (Shutdown) hoặc treo port (Restrict) khi số lượng đ ị a chỉ MAC học đ ư ợ c trên port đ ó vượt quá giới hạn cho phép. Câu lệnh cụ thể đ ể cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác nhau nhưng nhìn chung đ ề u theo các bước cơ bản như trên. Sau đ ây là ví dụ về cấu hình port bảo vệ trên switch 2950: ALSwitch (config)#interface fastethernet 0/4 ALSwitch (config-if)# switchport port-security ? Aging Port-security aging commands Mac-address Secure mac address Maximum Max secure addrs Violation Security Violation Mode <cr> ALSwitch (config-if)# switchport mode access ALSwitch (config-if)# switchport port-security ALSwitch (config-if)# switchport port-security maximum 1 ALSwitch (config-if)# switchport port-security mac-address sticky ALSwitch (config-if)# switchport port-security violation shutdown 6.2.6. Thêm, bớt, chuyển đổi switch Khi thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin sau cho switch : • Tên switch • Đ ị a chỉ IP của switch trong VLAN quản lý. • Default gateway. 434 • Mật mã cho các đ ư ờ ng truy cập switch. Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng nên xóa một số cấu hình có thể gây tác đ ộ ng không tốt ở vị trí cũ và thêm cấu hình mới cho vi trí mới của host. Ví dụ khi chuyển một host đ ang kết nối vào một port có chế đ ộ bảo vệ sang port khác hoặc switch khác, thì ở port cũ bạn nên xóa cấu hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đ ó. 6.2.7. Quản lý tập tin hoạt động hệ thống của switch Nhà qu ản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin hoạt đ ộ ng hệ thống c ủ a các thiết bị mạng. Tập tin cấu hình hoạt đ ộ ng mới nhất nên đ ư ợ c lưu dự phòng ra server hoặc ra đ ĩ a. Tập tin này không chỉ là thông tin nhạy cảm mà còn rất hữu dụng khi cần khôi phục lại cấu hình cho thiết bị mạng. IOS c ũ ng nên đ ư ợ c lưu dự phòng trên một server nội bộ đ ể sau đ ó có thể tải về bộ nhớ flash khi cần thiết. 6.2.8. Khôi phục mật mã trên switch 1900/2950 Vì lý do quản lý và bảo mật, switch thường đ ư ợ c đ ặ t mật mã trên đ ư ờ ng console và vty. Ngoài ra còn có mật mã c ủ a chế đ ộ EXEC đ ặ c quyền đ ư ợ c cài đ ặ t bằng lênh enable password hoặc enable secret password. Mật mã này giúp đ ả m bảo chỉ có nhưng user đ ư ợ c phép mới có thể truy cập vào chế đ ộ EXEC người dùng và đ ặ c quyền trên switch. Tuy nhiên có một số tình huống bạn cần truy cập vào switch nhưng b ạ n truy cập về mặt vật lý đ ư ợ c nhưng lại không thể vào đ ư ợ c chế đ ộ EXEC người dùng hoặc đ ặ c quyền vì không biết hoặc quên mật mã. Trong những trường hợp như vậy bạn cần phải khôi phục lại mật mã trên switch . Sau đây là các bước thực hiện để khôi phục mật mã trên switch 2900: 1. Đ ả m bảo rằng bạn đ ã kết nối PC của mình vào cổng console trên switch và đ ã mở xong màn hình HyperTerminal. 2. Tắt đ i ệ n của switch đ i. Sau đ ó bạn vừa nhấn nút Mode ở mặt trước của switch vừa cắm đ i ệ n lại cho switch. Khi nào LED STAT trên switch tắt đ i thì bạn mới buông nút Mode ra. 3. Khi đ ó trên màn hình HyperTerminal sẽ có hiện thị như sau: C2950 Boot Loader (C2950-HBOOT-MAC) Version 435 12.1 (11r) EA1, RELEASE SOFT (fc1) Compiled Mon 22-Jul-02 18:57 by antonio WS-C2950-24 starting… Base ethernet MAC Address: 00:0a:b7:72:2b:40 Xmodem file system is available. The system has been interrupted prior to initializing the flash files System. The following commands will initialize the flash files system. And finish loading the operating system software: Flash_init Load_helper Boot 4. Đ ể khởi đ ộ ng tập tin hệ thống và kết thúc quá trình tải hệ đ i ề u hành, bạn nhập các lệnh sau theo thứ tự như sau: Flash_init Load_helper Dir flash: Chú ý: Không đ ư ợ c quên dấu hai chấm (:) ở liền sau chữ flash trong câu lệnh thứ 3 ở trên. Kết quả hiện thị của lệnh dir flash: sẽ cho biết nội dung của thư mục flash. Mặc đ ị nh, tên c ủ a tập tin cấu hình switch lưu trong thư m ụ c flash sẽ có tên là config.text. 5. Bạn đ ổ i đ ị nh dạng tên của tập tin cấu hình như sau: Rename flash:config.text flash:config.old 6. Sau đ ó bạn gõ lệnh boot đ ể khởi đ ộ ng lại switch 436 Lúc này tập tin cấu hình của switch đ ã bị đ ổ i đ ị nh dạng nên switch không tải đ ư ợ c tập tin cấu hình. Do đ ó sau khi khởi đ ộ ng xong bạn sẽ gặp câu thoại cấu hình của switch như sau, bạn nhập ký tự N cho câu hỏi này: Continue with the configuration dialog? [yes/no] : N Sau đ ó bạn sẽ vào đ ư ợ c chế đ ộ EXEC người dùng và đ ặ c quyền mà không gặp mật mã nữa. 7. Bạn trả lại tên cũ cho tập tin cấu hình bằng lệnh như sau: Rename flash:config.old flash:config.text 8. Sau đ ó cho switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình này lên RAM: Switch#copy flash:config.text system:ruinning-config Source filename [config.text]?[enter] Destination filename [ruinning-config] [enter] 9. Lúc náy switch sẽ tải tập tin cấu hình xuống RAM đ ể chạy. Khi đ ó bạn có thể thay đ ổ i mật mã nếu muốn: AlSwitch#configure terminal AlSwitch (config)#no enable secret AlSwitch (config)#enable password cisco AlSwitch (config)#line console 0 AlSwitch (config-line)#password cisco AlSwitch (config-line)#exit AlSwitch (config)#exit AlSwitch#copy ruinning-config startup-config Destination filename [startup-config]?[enter] Building configuration…. [OK] 437 AlSwitch# 10. Bạn tắt đ i ệ n cho switch rồi bật lại đ ể kiểm tra xem mật mã mới đ ã đ ư ợ c áp dụng đ úng chưa. Nếu chưa đ úng thì bạn thực hiện quá trình trên lại từ đ ầ u. 6.2.9. Nâng cấp firmware 1900/2950 IOS và firmware thường xuyên đ ư ợ c phát hành phiên bản mới với các khắc phục lỗ hổng cũ, thêm các đ ặ c tính mới và tăng khả năng hoạt đ ộ ng. Nếu bạn muốn hệ thống mạng đ ư ợ c bảo vệ tốt hơn, hoạt đ ộ ng hiệu quả hơn với phiên bản mới hơn của IOS thì bạn nên nâng cấp IOS. Bạn có thể tải phiên bản IOS về server nội bộ của mình từ Trung tâm phần mềm kết nối trực tuyến Cisco (CCO- Cisco Connection Online). TỔNG KẾT Sau khi hoàn tất chương này, bạn cần nắm đ ư ợ c các ý chính sau: • Thành phần cơ bản của Catalyst switch . • Theo dõi trạng thái và hoạt đ ộ ng cảu switch thông qua đ èn báo hiệu LED • Kiểm tra thông tin xuất ra của quá trình khởi đ ộ ng switch bằng HyperTerminal. • Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh. • Các chế đ ộ mặc đ ị nh của switch • Đ ặ t đ ị a chỉ IP và default gateway cho switch đ ể có thể kết nối và quản lý switch qua mạng. • Xem cấu hình switch với trình duyệt Web. • Cài đ ặ t tốc đ ộ và chế đ ộ song công cho port của switch . • Kiểm tra và quản lý bảng đ ị a chỉ MAC của switch . • Cấu hình port bảo vệ. • Quản lý tập tin cấu hình IOS. • Thực hiện khôi phục mật mã cho switch • Nâng cấp IOS cho switch . vệ. Đ ể kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security. Hình 6.2.5 Các bước cơ bản để cấu hình port bảo vệ: 1. 2. 3. 4. Vào chế đ ộ cấu hình của port. đ ộ song công cho port của switch . • Kiểm tra và quản lý bảng đ ị a chỉ MAC của switch . • Cấu hình port bảo vệ. • Quản lý tập tin cấu hình IOS. • Thực hiện khôi phục mật mã cho. bạn nên xóa cấu hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đ ó. 6.2.7. Quản lý tập tin hoạt động hệ thống của switch Nhà qu ản trị mạng luôn phải lập hồ sơ và bảo trì