Trước khi cấu hình cho switch yêu cầu người quản trị thực hiện các bước sau: Bước 1: Trước khi khởi động switch cần kiểm tra:
Tất cả cáp mạng được kết nối đến switch chắc chắn và thẩm mĩ.
Máy tính PC của bạn kết nối đến cổng console trên switch.
Hình 3.1 PC cắm vào cổng console trên switch
Bước 2: Cắm cáp nguồn từ switch vào ổ cắm. Switch sẽ bắt đầu khởi động, lưu ý vài Catalyst switch không có nút bật tắt nguồn.
Bước 3: Giám sát quá trình Boot
Khi bắt đầu cắm điện, switch sẽ tiến hành một loạt các bước kiểm tra gọi là tự kiểm
tra khi bật nguồn POST ( Power-On Self Test). POST tự động kiểm tra các thành phần phần cứng để đảm bảo switch hoạt động đúng. LED hệ thống sẽ cho biết quá
trình POST kết thúc thành cụng hay bị lỗi. Khi switch mới được cắm điện, quá trình
POST đang chạy thì LED hệ thống cũn tắt. Nếu sau đó LED hệ thống bật lên màu xanh có nghĩa là quá trìnhPOST đó kết thúc thành cụng. Nếu LED hệ thống bật lên màu vàng có nghĩa là quá trình POST đó gặp lỗi. POST gặp lỗi thường là những lỗi
vật lý nghiêm trọng. switch không thể hoạt động tin cậy nếu POST bị lỗi. LED trạng thái của các port cũng thay đổi trong suốt quá trình POST. LED trạng
thái trên mỗi port sẽ bật lên màu cam trong khoảng 30 giây là quá trình đang phát
hiện cấu trúc mạng. Nếu sau đó LED chuyển sang màu xanh tức là thiết bị đã kết
nối thành công đến cổng switch.
Ví dụ về quan sát quá trình BOOT của switch C2960
C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)
Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.
2960-24TT starting...
Base ethernet MAC Address: 0090.0C57.35CB Xmodem file system is available.
Initializing Flash... ...done Initializing Flash.
Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"...
################################################################### ####### [OK]
Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.
24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) Motherboard assembly number : 73-9832-06 Power supply part number : 341-0097-02 Motherboard serial number : FOC103248MJ Power supply serial number : DCA102133JA Model revision number : B0
Motherboard revision number : C0
Model number : WS-C2960-24TT System serial number : FOC1033Z1EY Top Assembly Part Number : 800-26671-02 Top Assembly Revision Number : B0
Version ID : V02
CLEI Code Number : COM3K00BRA Hardware Board Revision Number : 0x01
Switch Ports Model SW Version SW Image --- --- --- --- ---
* 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Wed 12-Oct-05 22:05 by pt_team Press RETURN to get started!
4.2.Cấu hình Giao diện quản lý switch
Một switch lớp access tương đương với một máy tính PC nên cần phải cấu hình một địa chỉ IP, một subnet mask và một default Gateway. Để quản lý switch từ xa qua
trên switch được quản lý qua VLAN 1. Tuy nhiên, người quản trị nên tạo một
VLAN quản lý riêng trên switch
Ví dụ tạo VLAN 99 là VLAN quản lý trên switch và đặt địa chỉ IP quản lý là
172.17.99.10; Sau đó gán Port 0/18 vào VLAN 99 để làm cổng quản lý Switch.
Switch(config)#vlan 99 Switch(config-vlan)#name manager Switch(config-vlan)#exit Switch(config)#interface vlan 99 Switch(config-if)#ip address 172.17.99.10 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#end Switch(config)#interface fastEthernet 0/18 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 99 Switch(config-if)#no shutdown
Switch(config-if)# end
Gắn địa chỉ IP default Gateway cho Switch là 172.17.99.1 Switch#configure terminal
Switch(config)#ip default-gateway 172.17.99.1 Switch(config)# end
Kiểm tra lại kết quả thực hiện:
Switch# show ip interface brif
Vlan1 unassigned YES manual administratively down down Vlan99 172.17.99.10 YES manual up down
Hình 3.2 Cấu hình địa chỉ IP quản lý cho switch
Sử dụng lệnh cấu hình trên một giao diện để chỉ định phương thức hoạt động duplex
cho các cổng switch là full duplex hay half duplex ( Lưu ý với phương thức hoạt động half duplex hiệu năng của cổng trên switch sẽ giảm xuống). Việc lựa chọn phương thức hoạt động duplex mode và speed cho cổng để tránh việc tự động xác
lập phương thức hoạt động cho cổng vì đôi khi sẽ các cổng trên switch sẽ hoạt động không đúng như mong muốn của người quản trị.
Ví dụ cấu hình duplex mode và speed cho cổng F0/1 trên switch S1
Hình 3.3 Cấu hình Duplex và Speed
Switch#configure terminal
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#duplex ?
auto Enable AUTO duplex configuration full Force full duplex operation
half Force half-duplex operation Switch(config-if)#duplex full
Switch(config-if)#speed auto Switch(config-if)#end
Switch#copy running-config startup-config Destination filename [startup-config]? Building configuration...
[OK]
4.4.Quản lý bảng địa chỉ MAC
Switch sử dụng các bảng địa chỉ MAC để xác định đường chuyển tiếp lưu lượng
giữa các port. Những bảng MAC này gồm các địa chỉ MAC tĩnh và động.
Các địa chỉ MAC động là những địa chỉ MAC nguồn mà switch học được và sau một thời gian không sử dụng sẽ bị xóa khỏi bảng địa chỉ. Có thể thay đổi thời gian aging time cho các địa chỉ MAC. Thời gian mặc định là 300 giây. Đặt thời gian
aging time quá ngắn sẽ dẫn đến một địa chỉ MAC sớm bị loại bỏ khỏi bảng địa chỉ.
Khi switch nhận một gói tin mà không biết địa chỉ đích nó sẽ tràn lụt (flood) gói tin tới tất cả các cổng trong mạng LAN trừ cổng nhận. Việc tràn lụt gói không cần thiết
như vậy sẽ làm giảm hiệu năng của switch. Ngược lại đặt thời gian aging time quá
dài sẽ dẫn đến bảng địa chỉ MAC bị đầy với những địa chỉ MAC không còn sử
dụng, switch có thể không học được địa chỉ MAC mới và tràn lụt gói không cần
thiết.
Switch học địa chỉ nguồn MAC tự động từ các khung mà nó nhận được trên mỗi
cổng, sau đó thêm địa chỉ MAC nguồn và số port gắn với nó vào bảng địa chỉ MAC. Người quản trị mạng cũng có thể gắn địa chỉ MAC tĩnh cho một cổng trên switch. Trong bảng địa chỉ MAC tĩnh thì địa chỉ này luôn tồn tại gắn với một cổng trên switch và sẽ không tự động bị xóa khỏi bảng địa chỉ MAC.
Có thể kiểm tra bảng địa chỉ MAC như sau:
Switch#show mac-address-table dynamic
4.5.Các lệnh kiểm tra cấu hình Switch
Lệnh Cisco IOS CLI
Hiển thị trạng và cấu hình cho một hoặc
nhiều giao diện khả dụng trên switch
Show interface
Hiển thị cấu hình startup-config (lưu
trong NVRAM)
Show startup-config
Hiển thị cấu hình đang chạy (trong
RAM)
Show runnig-config
Hiển thị thông tin về file hệ thống Show flash: Hiển thị thông tin về phần cứng và phần
mềm trên hệ thống
Show verison
Hiển thị các lệnh đã dùng trong quá khứ Show history Hiển thị thông tin IP Show ip interface Hiển thị thông tin bảng địa chỉ MAC Show mac-address-table
4.6.Backup và Restore cấu hình switch
Trong phần này bạn sẽ học cách load và lưu file cấu hình vào bộ nhớ FLASH trên switch và tới một TFTP server.
Switch#copy running-config startup-config Destination filename [startup-config]? Building configuration...
[OK]
Hệ điều hành IOS trên switch sẽ copy cấu hình đang chạy đến NVRAM (là một
phần của bộ nhớ Flash). Khi switch khởi động nó sẽ load cấu hình của switch từ
NVRAM. Nếu người quản trị muốn sử dụng nhiều file config có thể sử dụng lệnh
Switch#copy startup-config flash: backup11122009
(trong đó backup11122009 là tên file)
Restoring cấu hình switch
Restoring cấu hình switch là một xử lý đơn giản. Bạn chỉ cần copy cấu hình đã lưu
từ NVRAM đến DRAM để thành cấu hình hiện tại.Ví dụ, bạn đã có file cấu hình là
backup11122009 lưu trong NVRAM để restoring thành cấu hình đang chạy trên switch sử dụng lệnh dưới đây:
Switch# copy flash:backup11122009 startup-config Back up Configuration Files tới một TFTP Server
Khi switch bị lỗi phần cứng, một switch mới được thay thế. Nếu không có file
backup cấu hình bạn phải thực hiện cấu hình lại trên switch. Để đảm bảo an toàn,
trong trường hợp trên người quản trị có thể sử dụng giao thức TFTP để backup file
cấu hình qua mạng. Phần mềm Cisco IOS đã tích hợp sẵn giao thức TFTP client cho
phép bạn kết nối đến một TFTP server trên mạng. Có thể sử dụng TFTP server từ
trang web www.solarwinds.com.
Các bước thực hiện backup
Bước 1: Kiểm tra TFTP server đang chạy trên mạng của bạn.
Bước 2: Log in vào switch qua cổng console hoặc Telnet session. Ping đến TFTP
server.
Bước 3: Upload cấu hình switch đến TFTP server. Chỉ định địa chỉ IP hoặc
hostname của TFTP server và tên file đích. Lệnh Cisco IOS
Switch# copy system:running-config tftp:[[[//location]/directory]/filename] hoặc
Switch# copy nvram:startup-config tftp:[[[//location]/directory]/filename]. Ví dụ chi tiết:
Switch# copy system:running-config tftp://172.17.2.155/toky-config
Các bước thực hiện restore
Bước 1: Copy file cấu hình đến một thư mục TFTP trên TFTP server nếu file cấu
hình không nằm trên TFTP server.
Bước 2: Kiểm tra chắc chắn rằng TFTP server đang chạy trên mạng của bạn.
Bước 3: Log in vào switch thông qua cổng console hoặc phiên Telnet. Sử dụng lệnh ping đến TFTP server để kiểm tra kết nối mạng.
Bước 4. Download file cấu hình từ TFTP server đến cấu hình switch. Lệnh cisco IOS như sau
Switch#copy tftp:[[[//location]/directory]/filename] system:running-config Hoặc Switch #copy tftp:[[[//location]/directory]/filename] nvram:startup-config. Xóa thông tin cấu hình switch
Để xóa thông tin cấu hình trên switch lưu trong NVRAM và đưa cấu hình switch về default ban đầu bạn có thể sử dụng lệnh cisco IOS như sau:
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Switch#reload (đưa cấu hình switch về cấu hình default)
Lưu ý: Bạn không thể khôi phục lại file cấu hình sau khi đã xóa, vì vậy để đảm bảo
chắc chắn bạn phải backup cấu hình trước khi xóa để có thể restore lại cấu hình switch khi cần thiết.
Xóa một file cấu hình từ bộ nhớ Flash sử dụng lệnh
Switch#delete flash:filename Cấu hình bảo mật cho switch
Cấu hình cổng Console
Để thực hiện cấu hình password cho cổng console port trên switch, thực hiện các bước cấu hình dưới đây:
Bước 1: chuyển từ privileged EXEC mode sang global configuration mode trên switch:
Switch>enable Switch#configure terminal Switch(config)#
Bước 2: Vào giao diện line console 0 cấu hình password; Lệnh login yêu cầu nhập
password khi truy cập từ cổng console 0
Switch(config)#line console 0 Switch(config-line)#password cisco Switch(config-line)#login
Bước 3: Để loại bỏ password sử dụng lệnh no password
Cấu hình password cho các cổng VTY
Các cổng vty trên switch cisco cho phép bạn truy nhập từ xa. Bạn không cần phải
kết nối vật lý đến switch, vì vậy đảm bảo an ninh cho các cổng vty là rất quan trọng.
Bất kỳ người dùng nào trên mạng đều có thể kết nối đến switch thông qua các cổng
vty.
Để đặt password hoặc loại bỏ password cho các cổng vty trên switch thực hiện theo các bước sau:
Bước 1: chuyển từ privileged EXEC mode sang global configuration mode trên switch:
Switch>enable Switch#configure terminal Switch(config)#
Bước 2: Vào giao diện live vty, đặt password
witch(config)#line vty 0 4
Switch(config-line)#password cisco Switch(config-line)#login
Bước 3: Loại bỏ password sử dụng lệnh no password
Bước 4: Để loại bỏ yêu cầu nhập password khi login vào vty line sử dụng lệnh no
login.
Cấu hình password cho EXEC mode
Privileged EXEC mode cho phép bất kỳ user nào cũng có thể kiểm tra được cấu
hình trền switch cisco, vì vậy để đảm bảo an ninh cần đặt password cho privileged
EXEC mode. Bạn có thể lựa chọn hai cách cấu hình enable password global
configuration hoặc enable secret password. Điểm khác nhau cơ bản là phương thức
cấu hình password lưu trong file cấu hình switch dưới dạng text hoàn toàn không
được mã hóa, còn secret lưu dưới dạng mã hóa. Do vậy enable secret password an toàn hơn enable password global configuration
Các lệnh cấu hình enable password global configuration Switch(config)#enable password cisco
Switch(config)#end
Switch#show running-config ( Kiểm tra lại cấu hình) Current configuration : 1106 bytes
enable password cisco
Switch(config)#no enable password (loại bỏ password)
Các lệnh cấu hình enable secret configuration Switch(config)#enable secret cisco
Building configuration..
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 Switch(config)#no enable secret (loại bỏ password)
Cấu hình Encrypted Passwords
Để đảm bảo an toàn cho switch tất cả password trên các cổng giao diện của switch
phải được cấu hình mã hóa. Để tránh việc lộ mật khẩu khi truy cập vào switch. Lệnh cấu hình như sau:
Switch#configure terminal
Switch(config)#service password-encryption
Switch#show running-config (Kiểm tra lại cấu hình) Buildingconfiguration...
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 line con 0 password 7 0822455D0A16 line vty 0 4 password 7 0822455D0A16 login line vty 5 15 login 5. VLAN
Một trong những công nghệ chia nhỏ một miền broadcast lớn thành nhỏ hơn là sử
dụng VLAN. Miền Broadcast nhỏ hơn giới hạn số lượng thiết bị tham gia vào broadcast và cho phép phân chia các nhóm thiết bị theo chức năng như các database dành cho tính cước…
5.1.Tổng quan về VLAN
Công nghệ chia VLAN cho phép người quảng trị mạng tạo các nhóm thiết bị mạng
logíc phân chia theo chức năng. Khi bạn cấu hình một VLAN, bạn có thể đặt tên cho VLAN. Ví dụ các máy tính của sinh viên trong trường có thể cấu hình thành VLAN “Students”.
Một VLAN là một subnetwork IP logic. Các VLAN cho phép nhiều mạng IP và subnet cùng tồn tại trên một switch. Các thiết bị trong cùng một VLAN trên switch phải có địa chỉ IP thuộc cùng một lớp mạng và có thể truyền thông với nhau. Nếu
các thiết bị nằm trong các VLAN khác nhau thì để truyền thông với nhau phải thông
Hình 4.1 VLAN
Lợi ích của việc chia VLAN
Bảo mật: - Các nhóm thiết bị được người quảng trị chia vào các nhóm chức năng
khác nhau, mỗi nhóm thuộc 1 VLAN. Như vậy, người quản trị mạng có thể cho
phép hoặc không cho phép các nhóm thiết bị này truyền thông với nhau bằng việc định tuyến giữa các VLAN qua Router (Layer3).
Giảm chi phí: - Tiết kiệm chi phí cho việc đầu tư thiết bị mạng và nâng cao hiệu quả
sử dụng băng tần.
Giới hạn miền Broadcast: Chia mỗi mạng vào một VLANs giảm số thiết bị tham gia
vào miền broadcast.
Nâng cao hiệu quả của người quảng trị IP: Chia VLANs giúp dễ dàng hơn cho việc
quản lý mạng bởi vì người dùng có chức năng tương tự nhau sẽ nằm trong cùng một VLAN như là các phòng ban Kế toán trên một VLAN, Kinh doanh trên một VLAN
khác….
5.2. Dải VLAN ID
Các VLAN được chia thành hai dải thông thường hoặc mở rộng.
Dải VLANs thông thường:
1-1005
1002-1005 dành cho Tokenring và FDDI
1 và 1002 đến 1005 là tự động được tạo và không thể xóa trên switch
Lưu cấu hình VLAN trong file vlan.dat trong flash memory. Dải VLAN mở rộng
1006-4094
Thiết kế cho nhà cung cấp dịch vụ Lưu trong file running configuration file
Có ít lựu chọn hơn dải VLAN thông thường.
5.3. Phân loại VLAN
Data VLAN
Một data VLAN là một VLAN mà được cấu hình chỉ để mang lưu lượng do người
dùng tạo ra.
Default VLAN
Sau khi khởi động switch, tất cả các cổng switch đều là thành viên của default
VLAN. Tất cả các cổng switch tham gia vào default VLAN thuộc cùng một miền
broadcast, và cho phép các thiết bị trên các cổng switch khác nhau truyền thông được với nhau. Default VLAN của các Cisco switches là VLAN 1. VLAN 1 giống
các VLAN khác ngoại trừ việc bạn không thể xóa nó.
Native VLAN
Một native VLAN được chỉ định cho một 802.1Q trunk port. Một 802.1Q trunk port
hỗ trợ lưu lượng đến từ nhiều VLAN (tagged traffic) cũng như lưu lượng không đến
từ một VLAN (untagged traffic). Cổng 802.Q trunk đưa lưu lượng untagged traffic
vào native VLAN.
Management VLAN
Một Management VLAN là VLAN bạn cấu hình để có thể truy nhập quản lý một switch. Để quản lý switch bạn phải chỉ định địa chỉ IP và subnet cho giao diện của
5.4.Trunk là gì?
Trunk là một liên kết điểm điểm giữa một hoặc nhiều giao diện Ethernet switch và các thiết bị mạng khác, như là một router hoặc một switch. Ethernet trunk mang