Switch học địa chỉ MAC của các thiết bị kết nối vào port vủa nó bằng cách kiểm tra địa chỉ nguồn của gói dữ liệu mà nó nhận vào từ mỗi port. Các địa chỉ MAC học được sẽ được ghi vào bảng địa chỉ MAC đích nằm trong bảng này sẽ được chuyển mạch ra đúng port đích.
Hình 3.2.2.3.a: Kiểm tra các địa chỉ mà Switch đã cập nhật
Để kiểm tra các địa chỉ mà Switch đã học được, chúng ta dùng lệnh show mac€ address€table trong chế độ EXEC đặc quyền.
Switch có thể tự động học và bảo trì hàng ngàn địa chỉ MAC. Để tiết kiệm bộ nhớ giúp tối ưu hoá hoạt động của Switch, các địa chỉ MAC học được nên xoá đi khi thiết bị tương ứng đã bị ngắt kết nối khỏi port, hoặc bị tắt điện hoặc đã được chuyển sang port khác trên cùng Switch đó hoặc trên Switch khác. Cho dù vì lý do gì đi nữa, nếu có một địa chỉ MAC nào đó trong bảng mà Switch không nhận được gói dữ liệu nào có địa chỉ MAC đó nữa thì Switch sẽ tự động xoá địa chỉ đó sau 300 giây.
Thay vì chờ bảng địa chỉ tự động xoá vì hết thời hạn thì người quản trị mạng có thể xoá bảng địa chỉ MAC bằng lệnh clear mac€address€table trong chế độ EXEC đặc quyền. Ngay cả những địa chỉ MAC do chính người quản trị mạng cấu hình trước đó cũng bị xoá bằng lệnh này.
Hình 3.2.2.3.b: Xóa bảng địa chỉ MAC 3.2.2.4. Cấu hình địa chỉ MAC cố định
Chúng ta có thể quyết định gán một địa chỉ MAC cố định cho một port nào đó của Switch. Lý do để gán cố định một địa chỉ MAC cho một port có thể là một trong những lý do sau:
• Giúp cho địa chỉ MAC không bị xóa tự động do hết thời hạn trên bảng địa chỉ. • Một server hay một máy trạm đặc biệt nào đó của user được kết nối vào một port trên Switch và địa chỉ MAC của máy này không đối.
• Tăng khả năng bảo mật.
Để khai báo một địa chỉ MAC cố định cho Switch, chúng ta dùng lệnh sau:
Switch(config)#mac€address€table static <mac€address of host> interface FastEthernet <Ethernet numer> vlan
Để xóa một địa chỉ MAC cố định đã được khai báo chúng ta dùng dạng no của câu lệnh trên.
Hình 3.2.2.4: Xóa địa chỉ MAC cố định trên Switch 3.2.2.5. Cấu hình port bảo vệ
Bảo vệ hệ thống mạng là một trách nhiệm quan trọng của người quản trị mạng. Switch tầng truy cập là có khả năng truy cập dễ dàng nhất từ các ổ cắm dây đặt ở các phòng. Bất kỳ người nào cũng có thể cắm PC hoặc máy tính xách tay của mình vào một trong những ổ cắm dây này. Do đó trên Switch có một đặc tính gọi là port bảo vệ giúp giới hạn số lượng địa chỉ mà Switch có thể đọc trên một port. Chúng ta có thể cấu hình cho Switch thực hiện một động tác nào đó khi số lượng địa chỉ học được trên port đó vượt quá giới hạn cho phép. Địa chỉ MAC bảo vệ có thể được khai báo cố định. Tuy nhiên việc khai báo cố định địa chỉ MAC bảo vệ rất phức tạp và dễ gây ra lỗi.
Thay vì khai báo địa chỉ MAC bảo vệ cố định thì chúng ta có thể thực hiện như sau. Trước tiên là bật chế độ port bảo vệ trên port mà chúng ta muốn. Số lượng địa chỉ MAC trên port đó giới hạn là 1 thôi. Như vậy địa chỉ MAC đầu tiên mà Switch tự động học được sẽ trở thành địa chỉ cần bảo vệ.
Để kiểm tra trạng thái của port bảo vệ, chúng ta dùng lệnh show port security.
Hình3.2.2.5: Kiểm tra trạng thái của port bảo vệ trên Switch Các bước cơ bản để cấu hình port bảo vệ:
• Vào chế độ cấu hình của port mà chúng ta cần. • Mở chế độ truy cập cho port đó.
• Giới hạn số lượng địa chỉ MAC bảo vệ trên port đó (thường giới hạn 1 địa chỉ MAC).
• Chỉ định loại địa chỉ MAC bảo vệ là địa chỉ cố định (static), học tự động (dynamic) hay sticky.
• Static: là địa chỉ MAC do người quản trị mạng khai báo cố định bằng tay. Sau khi khai báo cố định bằng tay. Sau khi khai báo xong, địa chỉ này được lưu cố định trong bảng địa chỉ và không có giới hạn về thời hạn về thời hạn lưu giữ. Ngay cả khi Switch bị mất điện, khởi động lại cũng không xóa mất địa chỉ cố định.
• Dynamic: là địa chỉ MAC do Switch tự động học được. Loại địa chỉ động này được lưu có thời hạn trên Switch. Nếu trong một khoảng thời gian nhất định mà Switch không nhận được gói dữ liệu nào có địa chỉ MAC đó nữa thì nó sẽ xóa địa chỉ này ra khỏi bảng.
• Sticky: là địa chỉ MAC do Switch học được tự động nhưng sau khi học xong thì Switch ghi địa chỉ này cố định vào bảng luôn và không xóa địa chỉ đó nữa ngay cả khi Switch bị tắt điện và khởi động lại.
Cấu hình cho Switch thực hiện động tác đóng port (Shutdown) hoặc treo port (Retrict) khi số lượng địa chỉ MAC học được trên port đó vượt quá giới hạn cho phép. Câu lệnh cụ thể để cấu hình port bảo vệ trên mỗi dòng Switch khác nhau sẽ khác nhau nhưng nhìn chung đều theo các bước cơ bản như trên.
3.2.2.6. Thêm, bớt, chuyển đổi Switch
Khi thêm một Switch mới vào hệ thống mạng, chúng ta cần cấu hình các thông tin sau cho Switch:
• Tên Switch.
• Địa chỉ IP của Switch trong VLAN quản lý. • Default gateway.
• Mật mã cho các đường truy cập Switch.
Khi chuyển một host từ port này sang port khác hoặc sang Switch khác, chúng ta cũng nên xóa một số cấu hình có thể gây tác động không tốt ở vị trí cũ và thêm cấu hình mới cho vị trí mới của host. Ví dụ khi chuyển một host đang kết nối vào một port có chế độ bảo vệ sang port khác hoặc Switch khác, thì ở port cũ chúng ta nên xóa cấu hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đó.
3.2.2.7. Quản lý tập tin hoạt động hệ thống của Switch
Nhà quản trị mạng luôn phải lập hồ sơ và bảo trì các tập tin họat động hệ thống của các thiết bị mạng. Tập tin cấu hình hoạt động mới nhất nên được lưu dự phòng ra server hoặc đĩa. Tập tin này không chỉ là những thông tin nhạy cảm mà nó còn rất hữu dụng khi cần khôi phục lại cấu hình cho thiết bị mạng.
IOS cũng nên được lưu dự phòng trên một server nội bộ để sau đó có thể tải về bộ nhớ flash khi cần thiết.
3.2.2.8. Khôi phục mật mã trên Switch 1900/2950
Vì lý do quản lý và bảo mật, Switch thường được đặt mật mã trên đường console và vty. Ngoài ra còn có mật mã của chế độ EXEC đặc quyền được cài đặt bằng lệnh
enable password hoặc enable secret password. Mật mã này giúp đảm bảo chỉ có những user được phép mới có thể truy cập vào chế độ EXEC người dùng và đặc quyền trên Switch.
Tuy nhiên có một số tình huống chúng ta cần truy cập vào Switch nhưng chúng ta truy cập về mặt vật lý được nhưng lại không thể vào được chế độ EXEC người dùng hoặc đặc quyền vì không biết hoặc quên mật mã. Trong những trường hợp như vậy chúng ta cần phải khôi phục lại mật mã trên Switch.
Sau đây là các bước thực hiện để khôi phục mật mã trên Switch 2900:
• Đảm bảo rằng chúng ta đã kết nối PC của mình vào cổng console trên Switch và đã mở xong màn hinh HyperTerminal.
• Tắt điện của Switch đi. Sau đó chúng ta vừa nhấn nút Mode ở mặt trước của Switch vừa cắm điện lại cho Switch. Khi nào LED STAT trên Switch tắt đi thì chúng ta mới buông nút Mode ra.
• Khi đó trên màn hình HyperTerminal sẽ hiển thị như sau: C2950 Boot Loader (C2950•HBOOT•M) version 12.1 (11r) EA1, RELEASE
SOFWARE (fc1)
compiled Mon 22•Jul•02 18:57 by antonino WS•C2950•24 starting …
Base ethernet MAC Address: 00:0a:b7:72:2b:40 Xmodem file system is available.
The system has been interrupted prior to initializing the flash files system. The flolowing commands will initialize the flash files system, fnd finish loading the operating system sofware:
flash_init load_helper boot
• Để khởi động tập tin hệ thống và kết thúc quá trình tải hệ điều hành, chúng ta nhập các lệnh sau theo thứ tự như sau:
flash_init load_helper dir flash:
Kết quả hiển thị của lệnh dir flash: sẽ cho biết nội dung của thư mục flash. Mặc định, tên của tập tin cấu hình Switch lưu trong thư mục flash sẽ có tên là config.text.
• Chúng ta đổi định dạng tên của tập tin cấu hình sau: rename flash:config.text flash:config.old
• Sau đó chúng ta gõ bỏ lệnh boot để khởi động lại Switch.
Lúc này tập tin cấu hình của Switch đã bị đổi định dạng nên Switch không tải được tập tin cấu hình. Do đó sau khi khởi động xong chúng ta sẽ gặp câu thoại cấu hình của Switch như sau, chúng ta nhập ký tự N cho câu hỏi này:
continue with the configuration dialog? [yes/no] :N
Sau đó chúng ta sẽ vào được chế độ EXEC người dùng và đặc quyền mà không gặp mật mã nữa.
rename flash:config.old flash:config.text
• Sau đó cho Switch chạy tập tin cấu hình này bằng cách copy tập tin cấu hình này lên RAM:
switch#copy flash:config.text system:running€config source filename [config.text] ? [enter]
Destination filename [running•config] [enter]
• Lúc này Switch sẽ tải tập tin cấu hình xuống RAM để chạy. Khi đó chúng ta có thể thay đổi mật mã nếu muốn:
ALSwitch#configure terminal ALSwitch(config)#no enable secret
ALSwitch(config)#enable password Cisco ALSwitch(config)#line console 0
ALSwitch(config•line)#password cisco ALSwitch(config•line)#exit
ALSwitch(config)#line vty 0 15
ALSwitch(config•line)#password cisco ALSwitch(config•line)#exit
ALSwitch(config)#exit
ALSwitch#copy running€config startup€config Destination filename [startup•config] ? [enter] Building configuration …
[OK] ALSwitch#
• Chúng ta tắt nguồn điện của Switch rồi bật lại để kiểm tra xem mật mã mới đã được áp dụng đúng chưa. Nếu chưa thì chúng ta thực hiện quá trình trên lại từ đầu.
3.2.2.9: Xử lý một số sự cố trong mạng VLAN khi dùng thiết bị mạng Switch Switch
Các lệnh Show và debug cực kỳ hữu dụng khi xử lý sự cố với mạng VLAN. Khi xử lý sự cố về hoạt động giữa cổng Fast Ethernet của Router và Switch, chúng ta cần kiểm tra cấu hình cổng Fast Ethernet của Router để chắc chắn là cấu hình đúng và đầy đủ. Bạn kiểm tra xem địa chỉ IP đã được cấu hình cho mỗi cổng phụ (subinterface) tương ứng với từng VLAN đã đúng chưa. Cấu hình hoạt động song công (truyền song công là cho phép truyền một gói dữ liệu đồng thời nhận một gói dữ liệu khác tại cùng một thời điểm) có phù hợp với port kết nối của Switch hay không.
Lệnh show vlan sẽ hiển thị các VLAN ID, tên VLAN, trạng thái VLAN và các port được gán cho VLAN.
Sự cố Giải thích và giải pháp
Đường trunk kết thúc trên VLAN khác nhau
Các VLAN ở hai đầu đường trunk khác nhau. Ví dụ ở một đầu của đường trunk có hỗ trợ VLAN 1, VLAN 2, VLAN 3 nhưng 3 VLAN này lại không được cấu hình cho đầu kia của đường trunk.
hình hai giao thức khác nhau. Ví dụ một đầu được cấu hình ISL, đầu kia lại là giao thức khác.
VLAN khác nhau tại hai đầu của một kết nối đơn
Khi Switch không có khả năng hỗ trợ nhiều VLAN trên một đường kết nối và cũng không chạy một giao thức đóng gói trunking nào thì một kết nối giữa hai Switch này hỗ trợ cho một VLAN trên cả hai Switch. Sự cố xảy ra khi VLAN trên hai Switch của một kết nối lại khác nhau.
Trùng tên Hai tập hợp Switch không kết nối vào
nhau nhưng lại có các VLAN trùng tên với nhau.
Một VLAN bị cắt ra thành nhiều phần và không kết nối lại với nhau. Gói dữ liệu từ phần này không thể chuyển sang phần kia của cùng VLAN.
Giải pháp: Đổi tên một trong hai VLAN bị trùng tên.
Đụng độ chỉ số VLAN index Cùng tên VLAN trên hai Switch khác
nhau với chỉ số VLAN Index khác nhau. Giao thông từ một port của VLAN này trên Switch không thể đến port của cùng VLAN nhưng có số khác.
Giải pháp:
Đặt lại tên cho một trong hai VLAN. Xóa cả hai VLAN và tạo lại một VLAN.
Đụng độ SAID Khác số SAID trong cùng một VLAN.
Bảng 3.2.2.9: Một số sự cố trong VLAN của mạng
Lệnh show spanning€tree sẽ hiển thị cấu trúc hình cây kết nối vào Router. Lệnh này cũng cho biết các thông số cài đặt STP được sử dụng cho Router.
Phần đầu tiên của lệnh show spanning€tree cho biết các thông tin về cấu hình spanning•tree toàn cục. Sau đó là các thông tin chi tiết của từng cổng giao tiếp.
Bridge Group 1 is executing the IEEE compatible Spanning€tree protocol. Những dòng sau cho biết các thông số hoạt động của spanning•tree:
Bridge Identifier has priority 32768, address 0008.e32e.e600 configured hello time 2, Max age 20, forward delay 15
Dòng kết quả sau cho biết Router hiện đang là gốc của cấu trúc hình cây: We are the root of the spanning tree.
Từ những thông tin chính của dòng lệnh show spanning•tree chúng ta có thể vẽ lại sơ đồ cấu trúc của mạng STP.
Chúng ta dùng lệnh debug sw•vlan packets để hiển thị những thông tin tổng quát về các gói VLAN nhân được. Số lượng gói VLAN đã được cấu hình để định tuyến và chuyển mạch trên Router được thể hiện trong lệnh show sw•vlan.
Sau đây là một số tình huống sự cố thường gặp với topo trên:
a. Không thiết lập được đường truyền trunk giữa Switch và Router Chúng ta nên kiểm tra các khả năng sau:
• Đảm bảo là port đã được kết nối và không có frame bị lỗi. Chúng ta dùng lệnh show interface để kiểm tra điều này.
• Kiểm tra tốc độ và hoạt động song công đã được cài đặt đúng giữa Switch và Router chưa. Chúng ta dùng lệnh show int startus trên Switch và lệnh show interface trên Router.
• Trên cổng vật lý của Router, cấu hình một cổng phụ tương ứng với một VLAN kết nối vào Router. Dùng lệnh show interface, show running€config để kiểm tra xem các cổng phụ đã được cấu hình đúng chưa. Trên mỗi cấu hình của một cổng phụ, kiểm tra chỉ số VLAN, kiểu đóng gói, địa chỉ IP và subnet mask.
• Xác định là Router đang chạy phiên bản IOS có hỗ trợ trunking. Chúng ta dùng lệnh show version để xác nhận điều này.
b. VTP không truyền đúng các thay đổi cấu hình VLAN
Khi VTP (VLAN Trunking Protocol) không truyền đúng các thông tin cập nhật về thay đổi cấu hình VLAN cho các Switch khác trong miền VTP thì chúng ta cần kiểm tra các khả năng sau:
• Chắc chằn rằng các Switch đã được kết nối với nhau bằng đường trunk vì thông tin cập nhật VTP chỉ được trao đổi trên đường trunk. Chúng ta dùng lệnh show int status để kiểm tra điều này.
• Chắc chắn rằng tất cả các Switch cần thông tin liên lạc với nhau đều có cùng tên miền VTP vì thông tin cập nhật chỉ được trao đổi giữa các Switch trong cùng một miền VTP. Trường hợp này là lỗi thường gặp nhất của VTP. Chúng ta có thể kiểm tra tên miền VTP trên Switch bằng lệnh show vtp status.
• Kiểm tra chế độ VTP trên Switch. Nếu Switch đang ở chế độ VTP transparent thì nó sẽ không tự động áp dụng các thông tin cập nhật mà nó nhận được vào cấu hình của nó. Chỉ có Switch ở chế độ VTP server hoặc VTP client mới cập nhật cấu hình VLAN của mình theo các thông tin cập nhật VTP mà nó nhận được từ Switch khác. Chúng ta vẫn dùng lệnh show vty status để kiểm tra chế độ VTP trên Switch.
• Nếu VTP có sử dụng mật mã thì tất cả các Switch trong cùng một miền VTP phải có cùng một mật mã. Để xóa mật mã của VTP đang có trên Switch bạn dùng lệnh no vty passwordpassword trong chế độ cấu hình VLAN.
c. Bị rớt gói và lặp vòng
Các bridge chạy Spanning•Tree sử dụng gói Bridge Protoco Data Unit (BPDU) để thông báo cho các Switch khác về sự thay đổi của cấu trúc hình cây trong mạng.