Bảo vệ hệ thống mạng là một trách nhiệm quan trọng của người quản trị mạng.
vào m
switch tầng truy cập là có khả năng truy cập dễ dàng nhất từ các ổ cắm dây đặt ở các phòng. Bất kỳ người nào cũng có thể cắm PC hoặc máy tính xách tay của mình
ột trong những ổ cắm dây này. Do đó trên switch có một đặc tính gọi là port bảo vệ giúp giới hạn số lượng địa chỉ mà switch có thể học trên một port. Bạn có thể cấu hình cho switch thực hiện một động tác nào đó khi số lượng địa chỉ học được trên port đó vượt quá giới hạn cho phép. Địa chỉ MAC bảo vệ có thể được khai báo cố định. Tuy nhiên việc khai báo cố định điạ chỉ MAC bảo vệ rất phức tạp và dễ gây ra lỗi.
CD4pro.info CD4pro.info
Thay vì khai báo địa chỉ MAC bảo vệ cố định thì bạn có thể thực hiện như sau.
Trước tiên là bật chế độ port bảo vệ trên port mà bạn muốn. Số lượng địa chỉ MAC trên port đó giới hạn là 1 thôi. Như vậy địa chỉ MAC đầu tiên mà switch tự động học được sẽ trở thành địa chỉ cần bảo vệ.
Để kiểm tra mạng trạng thái của port bảo vệ, bạn dùng lệnh show port security.
Hình 6.2.5 Các bước cơ bản để cấu hình port bảo vệ:
1. Vào chế độ cấu hình của port mà bạn cần.
2. mở chế độ truy cập cho port đó.
3. mở chế độ port bảo vệ.
4. Giới hạn số lượng địa chỉ MAC bảo vệ trên port đó (thường giới hạn 1 địa chỉ MAC )
5. Chỉ định loại địa chỉ MAC bảo vệ là địa chỉ cố định (static), học tự động (dynamic) hay sticky.
• Static: là địa chỉ MAC do người quản trị mạng khai báo cố định bằng tay. Sau khi khai báo xong, địa chỉ này được lưu cố định trong bảng địa chỉ và không có giới hạn về thời hạn lưu giữ. Ngay cả khi switch bị mất điện, khởi động lại cũng không xóa mất địa chỉ cố định.
• Dynamic: là địa chỉ MAC do switch tư động học được. Loại địa chỉ động này được lưu có thời hạn trên switch . Nếu trong một khoảng thời gian nhất định mà switch không nhận được gói dữ liệu nào có địa chỉ MAC đó nữa thì nó sẽ xóa địa chỉ này ra khỏi bảng.
CD4pro.info CD4pro.info
• Sticky: là địa chỉ MAC c được tự động nhưng sau khi học xong thì switch ghi địa chỉ này cố đinh vào bảng luôn và không xóa c hiện động tác đóng port (Shutdown) hoặc treo port
hể để cấu hình port bảo vệ trên mỗi dòng switch khác nhau sẽ khác nhau nhưng nhìn chung đều theo các bước cơ bản như trên.
Sau đây là ví dụ về cấu hình port bảo vệ trên switch 2950:
ALSwitch (config)#interface fastethernet 0/4 ALSwitch (config-if)# switchport port-security ? Aging Port-security aging commands
Mac-address Secure mac address Maximum Max secure addrs
Violation Security Violation Mode
<cr>
ALSwitch (config-if)# switchport mode access ALSwitch (config-if)# switchport port-security
ximum 1 AL
Thêm, bớt, chuyển đổi switch Kh
au cho switch :
• Default gateway.
do switch họ
điạ chỉ đó nữa ngay cả khi switch bị tắt điện và khởi động lại.
6. Cấu hình cho switch thự
(Restrict) khi số lượng địa chỉ MAC học được trên port đó vượt quá giới hạn cho phép.
Câu lệnh cụ t
ALSwitch (config-if)# switchport port-security ma
Switch (config-if)# switchport port-security mac-address sticky ALSwitch (config-if)# switchport port-security violation shutdown 6.2.6.
i thêm một switch mới vào hệ thống mạng, bạn cần cấu hình các thông tin s
• Tên switch
• Địa chỉ IP của switch trong VLAN quản lý.
CD4pro.info CD4pro.info
• Mật mã cho các đường truy cập switch.
Khi chuyển một host từ port này sang port khác hoặc sang switch khác, bạn cũng
hình port bảo vệ và cấu hình port bảo vệ cho port mới của host đó.
ủa
S c ng trên một server nội bộ để sau đó có thể tải về bộ nhớ flash khi cần thiết.
ủa chế độ EXEC đặc quyền được cài đặt bằng lênh
ạn truy cập về mặt vật lý được nhưng lại không thể vào được chế độ EXEC người dùng hoặc đặc
uyền
Sau đây là các bước thực hiện để khôi phục mật mã trên switch 2900:
xong màn hình HyperTerminal.
2. Tắt điện của switch đi. Sau đó bạn vừa nhấn nút Mode ở mặt trước của switch vừa cắm điện lại cho switch. Khi nào LED STAT trên switch tắt đi thì bạn mới buông nút Mode ra.
3. Khi đó trên màn hình HyperTerminal sẽ có hiện thị như sau:
C2950 Boot Loader (C2950-HBOOT-MAC) Version