430 Đ ể kiểm tra các đ ị a chỉ mà switch đ ã học đ ư ợ c, bạn dùng lệnh show mac-address- table trong chế đ ộ EXEC đ ặ c quyền. Switch có thể tự đ ộ ng học vào bảo trì hàng ngàn đ ị a chỉ MAC. Đ ể tiết kiệm bộ nhớ giúp tối ư u hóa hoạt đ ộ ng của switch, các đ ị a chỉ MAC học đ ư ợ c nên xóa đ i khi thiết bị tương ứ ng đ ã bị ngắt kết nối khỏi port, hoặc bị tắt đ i ệ n hoặc đ ã đ ư ợ c chuyển sang port khác trên cùng switch đ ó hoặc trên switch khác. Cho dù vì lý do gì đ i n ữ a, nếu có một đ ị a chỉ MAC nào đ ó trong bảng mà switch không nhận đ ư ợ c gói dữ liệu nào có đ ị a chỉ MAC đ ó nữa thì switch sẽ tự đ ộ ng xóa đ ị a chỉ đ ó sau 300 giây. Thay vì chờ bảng đ ị a chỉ tự đ ộ ng bị xóa vì hết thời hạn thì người quản trị mạng có thể xóa bảng đ ị a chỉ MAC bằng lệnh clear mac-address-table trong chế đ ộ EXEC đ ặ c quyền. Ngay cả những đ ị a chỉ MAC do chính người quản trị mạng cấu hình trước đ ó cũng bị xóa bằng lệnh này. Hình 6.2.3.b 6.2.4. Cấu hình địa chỉ MAC cố định Bạn có thể quy ế t đ inh gán một đ ị a chỉ MAC cố đ ị nh cho một port nào đ ó của switch. Lý do đ ể gán cố đ ị nh một đ ị a chỉ MAC cho một port có thể là một trong những lý do sau: 431 • Giúp cho đ ị a chỉ MAC không bị xóa tự đ ộ ng do hết thời hạn trên bằng đ ị a chỉ • Một server hay m ộ t máy trạm đ ặ c biệt nào đ ó của user đ ự ơ c kết nối vào một port trên switch và đ ị a chỉ MAC của máy này không đ ổ i. • Tăng khả năng bảo mật. Đ ể khai báo một đ ị a ch ỉ MAC cố đ ị nh cho switch, bạn dùng lệnh sau: Switch ( config)#mac-address-table static <mac-address of host> interface FastEthernet <Ethernet number> vlan Đ ể xóa một đ ị a chỉ MAC cố đ ị nh đ ã đ ư ợ c khai báo bạn dùng dạng no của câu lênh trên 6.2.5. Cấu hình port bảo vệ Bảo vệ hệ thống mạng là một trách nhiệm quan trọng của người quản trị mạng. switch tầng truy cập là có khả năng truy cập dễ dàng nhất từ các ổ cắm dây đ ặ t ở các phòng. Bất kỳ người nào cũng có thể cắm PC hoặc máy tính xách tay của mình vào m ộ t trong những ổ cắm dây này. Do đ ó trên switch có một đ ặ c tính gọi là port bảo vệ giúp giới hạn số lượng đ ị a chỉ mà switch có thể học trên một port. Bạn có thể cấu hình cho switch thực hiện một đ ộ ng tác nào đ ó khi số lượng đ ị a chỉ học đ ư ợ c trên port đ ó vượt quá giới hạn cho phép. Đ ị a chỉ MAC bảo vệ có thể đ ư ợ c khai báo cố đ ị nh. Tuy nhiên việc khai báo cố đ ị nh đ i ạ chỉ MAC bảo vệ rất phức tạp và dễ gây ra lỗi. 432 Thay vì khai báo đ ị a chỉ MAC bảo vệ cố đ ị nh thì bạn có thể thực hiện như sau. Trước tiên là bật chế đ ộ port bảo vệ trên port mà bạn muốn. Số lượng đ ị a chỉ MAC trên port đ ó giới hạn là 1 thôi. Như vậy đ ị a chỉ MAC đ ầ u tiên mà switch tự đ ộ ng học đ ư ợ c sẽ trở thành đ ị a chỉ cần bảo vệ. Đ ể kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security. Hình 6.2.5 Các bước cơ bản để cấu hình port bảo vệ: 1. 2. 3. 4. Vào chế đ ộ cấu hình của port mà bạn cần. mở chế đ ộ truy cập cho port đ ó. mở chế đ ộ port bảo vệ. Giới hạn số lượng đ ị a chỉ MAC bảo vệ trên port đ ó (thường giới hạn 1 đ ị a chỉ MAC ) 5. Chỉ đ ị nh loại đ ị a chỉ MAC bảo vệ là đ ị a chỉ cố đ ị nh (static), học tự đ ộ ng (dynamic) hay sticky. • Static: là đ ị a chỉ MAC do người quản trị mạng khai báo cố đ ị nh bằng tay. Sau khi khai báo xong, đ ị a chỉ này đ ư ợ c lưu cố đ ị nh trong bảng đ ị a chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch bị mất đ i ệ n, khởi đ ộ ng lại cũng không xóa mất đ ị a chỉ cố đ ị nh. • Dynamic: là đ ị a chỉ MAC do switch tư đ ộ ng học đ ư ợ c. Loại đ ị a chỉ đ ộ ng này đ ư ợ c lưu có thời hạn trên switch . Nếu trong một khoảng thời gian nhất đ ị nh mà switch không nhận đ ư ợ c gói dữ liệu nào có đ ị a chỉ MAC đ ó nữa thì nó sẽ xóa đ ị a chỉ này ra khỏi bảng. 433 • Sticky: là đ ị a chỉ MAC do switch học đ ư ợ c tự đ ộ ng nhưng sau khi học xong thì switch ghi đ ị a chỉ này cố đ inh vào bảng luôn và không xóa đ i ạ chỉ đ ó nữa ngay cả khi switch bị tắt đ i ệ n và khởi đ ộ ng lại. 6. Cấu hình cho switch thực hiện đ ộ ng tác đ óng port (Shutdown) hoặc treo port (Restrict) khi số lượng đ ị a chỉ MAC học đ ư ợ c trên port đ ó vượt quá giới hạn cho phép. Câu lệnh cụ thể đ ể cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác nhau nhưng nhìn chung đ ề u theo các bước cơ bản như trên. Sau đ ây là ví dụ về cấu hình port bảo vệ trên switch 2950: ALSwitch (config)#interface fastethernet 0/4 ALSwitch (config-if)# switchport port-security ? Aging Port-security aging commands Mac-address Secure mac address Maximum Max secure addrs Violation Security Violation Mode <cr> ALSwitch (config-if)# switchport mode access ALSwitch (config-if)# switchport port-security ALSwitch (config-if)# switchport port-security maximum 1 ALSwitch (config-if)# switchport port-security mac-address sticky ALSwitch (config-if)# switchport port-security violation shutdown 6.2.6. Thêm, bớt, chuyển đổi switch Khi thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin sau cho switch : • Tên switch • Đ ị a chỉ IP của switch trong VLAN quản lý. • Default gateway. 434 • Mật mã cho các đ ư ờ ng truy cập switch. Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng nên xóa một số cấu hình có thể gây tác đ ộ ng không tốt ở vị trí cũ và thêm cấu hình mới cho vi trí mới của host. Ví dụ khi chuyển một host đ ang kết nối vào một port có chế đ ộ bảo vệ sang port khác hoặc switch khác, thì ở port cũ bạn nên xóa cấu hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đ ó. 6.2.7. Quản lý tập tin hoạt động hệ thống của switch Nhà qu ản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin hoạt đ ộ ng hệ thống c ủ a các thiết bị mạng. Tập tin cấu hình hoạt đ ộ ng mới nhất nên đ ư ợ c lưu dự phòng ra server hoặc ra đ ĩ a. Tập tin này không chỉ là thông tin nhạy cảm mà còn rất hữu dụng khi cần khôi phục lại cấu hình cho thiết bị mạng. IOS c ũ ng nên đ ư ợ c lưu dự phòng trên một server nội bộ đ ể sau đ ó có thể tải về bộ nhớ flash khi cần thiết. 6.2.8. Khôi phục mật mã trên switch 1900/2950 Vì lý do quản lý và bảo mật, switch thường đ ư ợ c đ ặ t mật mã trên đ ư ờ ng console và vty. Ngoài ra còn có mật mã c ủ a chế đ ộ EXEC đ ặ c quyền đ ư ợ c cài đ ặ t bằng lênh enable password hoặc enable secret password. Mật mã này giúp đ ả m bảo chỉ có nhưng user đ ư ợ c phép mới có thể truy cập vào chế đ ộ EXEC người dùng và đ ặ c quyền trên switch. Tuy nhiên có một số tình huống bạn cần truy cập vào switch nhưng b ạ n truy cập về mặt vật lý đ ư ợ c nhưng lại không thể vào đ ư ợ c chế đ ộ EXEC người dùng hoặc đ ặ c quyền vì không biết hoặc quên mật mã. Trong những trường hợp như vậy bạn cần phải khôi phục lại mật mã trên switch . Sau đây là các bước thực hiện để khôi phục mật mã trên switch 2900: 1. Đ ả m bảo rằng bạn đ ã kết nối PC của mình vào cổng console trên switch và đ ã mở xong màn hình HyperTerminal. 2. Tắt đ i ệ n của switch đ i. Sau đ ó bạn vừa nhấn nút Mode ở mặt trước của switch vừa cắm đ i ệ n lại cho switch. Khi nào LED STAT trên switch tắt đ i thì bạn mới buông nút Mode ra. 3. Khi đ ó trên màn hình HyperTerminal sẽ có hiện thị như sau: C2950 Boot Loader (C2950-HBOOT-MAC) Version 435 12.1 (11r) EA1, RELEASE SOFT (fc1) Compiled Mon 22-Jul-02 18:57 by antonio WS-C2950-24 starting… Base ethernet MAC Address: 00:0a:b7:72:2b:40 Xmodem file system is available. The system has been interrupted prior to initializing the flash files System. The following commands will initialize the flash files system. And finish loading the operating system software: Flash_init Load_helper Boot 4. Đ ể khởi đ ộ ng tập tin hệ thống và kết thúc quá trình tải hệ đ i ề u hành, bạn nhập các lệnh sau theo thứ tự như sau: Flash_init Load_helper Dir flash: Chú ý: Không đ ư ợ c quên dấu hai chấm (:) ở liền sau chữ flash trong câu lệnh thứ 3 ở trên. Kết quả hiện thị của lệnh dir flash: sẽ cho biết nội dung của thư mục flash. Mặc đ ị nh, tên c ủ a tập tin cấu hình switch lưu trong thư m ụ c flash sẽ có tên là config.text. 5. Bạn đ ổ i đ ị nh dạng tên của tập tin cấu hình như sau: Rename flash:config.text flash:config.old 6. Sau đ ó bạn gõ lệnh boot đ ể khởi đ ộ ng lại switch 436 Lúc này tập tin cấu hình của switch đ ã bị đ ổ i đ ị nh dạng nên switch không tải đ ư ợ c tập tin cấu hình. Do đ ó sau khi khởi đ ộ ng xong bạn sẽ gặp câu thoại cấu hình của switch như sau, bạn nhập ký tự N cho câu hỏi này: Continue with the configuration dialog? [yes/no] : N Sau đ ó bạn sẽ vào đ ư ợ c chế đ ộ EXEC người dùng và đ ặ c quyền mà không gặp mật mã nữa. 7. Bạn trả lại tên cũ cho tập tin cấu hình bằng lệnh như sau: Rename flash:config.old flash:config.text 8. Sau đ ó cho switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình này lên RAM: Switch#copy flash:config.text system:ruinning-config Source filename [config.text]?[enter] Destination filename [ruinning-config] [enter] 9. Lúc náy switch sẽ tải tập tin cấu hình xuống RAM đ ể chạy. Khi đ ó bạn có thể thay đ ổ i mật mã nếu muốn: AlSwitch#configure terminal AlSwitch (config)#no enable secret AlSwitch (config)#enable password cisco AlSwitch (config)#line console 0 AlSwitch (config-line)#password cisco AlSwitch (config-line)#exit AlSwitch (config)#exit AlSwitch#copy ruinning-config startup-config Destination filename [startup-config]?[enter] Building configuration…. [OK] 437 AlSwitch# 10. Bạn tắt đ i ệ n cho switch rồi bật lại đ ể kiểm tra xem mật mã mới đ ã đ ư ợ c áp dụng đ úng chưa. Nếu chưa đ úng thì bạn thực hiện quá trình trên lại từ đ ầ u. 6.2.9. Nâng cấp firmware 1900/2950 IOS và firmware thường xuyên đ ư ợ c phát hành phiên bản mới với các khắc phục lỗ hổng cũ, thêm các đ ặ c tính mới và tăng khả năng hoạt đ ộ ng. Nếu bạn muốn hệ thống mạng đ ư ợ c bảo vệ tốt hơn, hoạt đ ộ ng hiệu quả hơn với phiên bản mới hơn của IOS thì bạn nên nâng cấp IOS. Bạn có thể tải phiên bản IOS về server nội bộ của mình từ Trung tâm phần mềm kết nối trực tuyến Cisco (CCO- Cisco Connection Online). TỔNG KẾT Sau khi hoàn tất chương này, bạn cần nắm đ ư ợ c các ý chính sau: • Thành phần cơ bản của Catalyst switch . • Theo dõi trạng thái và hoạt đ ộ ng cảu switch thông qua đ èn báo hiệu LED • Kiểm tra thông tin xuất ra của quá trình khởi đ ộ ng switch bằng HyperTerminal. • Sử dụng tính năng trợ giúp của giao tiếp dòng lệnh. • Các chế đ ộ mặc đ ị nh của switch • Đ ặ t đ ị a chỉ IP và default gateway cho switch đ ể có thể kết nối và quản lý switch qua mạng. • Xem cấu hình switch với trình duyệt Web. • Cài đ ặ t tốc đ ộ và chế đ ộ song công cho port của switch . • Kiểm tra và quản lý bảng đ ị a chỉ MAC của switch . • Cấu hình port bảo vệ. • Quản lý tập tin cấu hình IOS. • Thực hiện khôi phục mật mã cho switch • Nâng cấp IOS cho switch 438 Cấu hình switch Giới thiệu Switch là một thiết bị mạng Lớp 2 hoạt động nh một điểm tập trung kết nối của máy trạm, server, router, hub và các switch khác. Hub là một thiết bị tập trung kết nố i loại cũ, cấp thấp hơn switch vì tất cả các thiết bị kết nối vào hub chia sẻ cùng một băng thông và có thể xảy ra tranh chấp. Hub chỉ có thể chạy bán song công, nghĩa là tại một thời điểm hub hoặc truyền hoặc nhận dữ liệu chứ không thể thực hiện đồng thời cả hai. Còn switch thì có thể chạy song công, truyền và nhận dữ liệu song song đồng thời. Switch là một brigde đa port: Chuyển mạch đang là một công nghệ chuẩn hiện nay trong cấu trúc hình sao của Ethernet LAN. Khi hai thiết bị kết nối vào switch muốn liên lạc với nhau thì switch thiết lập một mạch ảo điểm đến - điểm dành riêng cho hai thiết bị đó nên không có khả năng xảy ra đụng độ. Chính vì vai trò quan trọng của switch trong hệ thống mạng hiện nay nên việc tìm hiểu và cấu hình switch là rất quan trọng đối với ngời làm về mạng. Một switch hoàn toàn mới luôn có một cấu hình mặc định của nhà sản xuất. Cấu hình này thờng không đáp ứng đủ các yêu cầu của nhà quản trị mạng với switch. Một trong những tác vụ này là bảo trì switch và hệ điều hành IOS (Internetworking Oprating System) của nó. Một số tác vụ khác liên quan đến việc quản lý các cổng giao tiếp của switch, tối u hoá bảng hoạt động của switch để đảm bảo độ tin cậy và bảo mật. Những kỹ năng về cấu hình switch, nâng cấp IOS, khôi phục mật mã là những kỹ năng rất quan trọng của ngời quản trị mạng. 439 Sau khi hoàn tất chơng này, bạn có thể thực hiện những công việc sau: Xác định các thành phần chính của Catalyst switch. Theo dõi hoạt động và trạng thái của switch thông qua các báo cáo hiệu LED. Xác định lợi ích và những nguy cơ của cấu trúc dự phòng. Mô tả vai tro của Spanning - Tree trong mạng chuyển mạch có dự phòng. Xác định các thành phần quan trọng trong hoạt động của Spanning Tree. Mô tả quá trình bầu bridge gốc. Liệt kê các trạng thái Spanning Tree. So sánh giao thức Spanning Tree. 7.1. Cấu trúc dự phòng. 7.1.1. Sự dự phòng. Rất nhiều công ty và tổ chức đã phát triển hoạt động của họ dựa trên mạng máy tính. Việc truy cập vào file server, cơ sở dữ liệu, Internet, Intranet và Extranet đóng vai trò quan trọng cho sự thành công trong kinh doanh vì nếu mạng bị đứt, năng suất giảm và khách hàng không hài lòng. Do đó các công ty luôn mong muốn hệ thống mạng may tính của họ luôn hoạt động suốt 24 giờ, 7 ngày một tuần. Việc thực hiện 100% thời gian hoạt động thì có thể không khả thi nhng mục tiêu đặt ra là phải bảo đảm đợc 99,999% thời gian hoạt động. Tỉ lệ này có nghĩa là chỉ cho phép mạng ngng hoạt động trung bình một ngà y trong 30 năm, hay 1 giờ trong 4000 ngày, hay 5,25 phút trong một năm. Nếu có thể thực hiện đợc mục tiêu trên thì hệ thống mạng sẽ thực sự hoạt động rất tin cậy. Độ tin cậy của hệ thống mạng đợc đảm bảo từ việc trang bị các thiết bị có độ tin cậy cao đến việc thiết kế hệ thống mạng có dự phòng, có khả năng chịu đợc lỗi, hội tụ nhanh để vợt qua sự cố. . nên xóa cấu hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đ ó. 6.2.7. Quản lý tập tin hoạt động hệ thống của switch Nhà qu ản trị mạng luôn phải lập hồ sơ và bảo trì các. trong hệ thống mạng hiện nay nên việc tìm hiểu và cấu hình switch là rất quan trọng đối với ngời làm về mạng. Một switch hoàn toàn mới luôn có một cấu hình mặc định của nhà sản xuất. Cấu hình. những công việc sau: Xác định các thành phần chính của Catalyst switch. Theo dõi hoạt động và trạng thái của switch thông qua các báo cáo hiệu LED. Xác định lợi ích và những nguy cơ của cấu