HƯỚNG DẪN CẤU HÌNH

SWITCH CISCO

APRIL 30, 2014

Contents
1. Cisco IOS là gì? CLI là gì ?....................................................................................................................... 2
2. Làm sao để truy cập đến CLI của Switch? ............................................................................................. 2
3. Dùng Cable gì để thiết lập kết nối vật lý từ PC đến Switch? ................................................................. 2
4. Dùng Software gì để truy cập vào CLI của Switch? ............................................................................... 4
5. Một số Command Modes hoạt động của SW? ..................................................................................... 6
6. Vlan là gì? .............................................................................................................................................. 7
7. Access Port ? Trunk Port? Native Vlan? Allow Vlan? ............................................................................ 8
8. Các bước cấu hình trong mô hình PFSENSE hiện có tại siêu thị ........................................................... 9
9. Administering Switch .......................................................................................................................... 12
Cấu hình Hostname ..................................................................................................................... 12
Cấu hình IP for remote access..................................................................................................... 12
Tắt tính năng HTTP server trên Switch vì mục đích bảo mật. ..................................................... 12
Cấu hình chức năng xác thực tài khoản login vào SW ................................................................ 12
Bật tính năng loggin synchronous ............................................................................................... 13
Cấu hình System Clock và Time Zone.......................................................................................... 13
Cấu hình gửi Log debug đến SW buffer memory........................................................................ 13
Cấu hình định dạng (format) hiển thị Log message .................................................................... 13
10. Một số câu lệnh verify lại các cấu hình. .............................................................................................. 14
#show version ......................................................................................................................................... 14
#show vlan brief hoặc #show vlan .......................................................................................................... 14
#show interface status ............................................................................................................................ 14
#show interface trunk ............................................................................................................................. 15
#show mac-address-table hoặc #show mac-address-table vlan [vlan number] .................................... 15
#show processes cpu hoặc #show processes memory . ......................................................................... 15
#show clock ............................................................................................................................................. 15
#show logging ......................................................................................................................................... 15
#show running-config. ............................................................................................................................ 15
#show history .......................................................................................................................................... 15
11. Một số lưu ý khi sử dụng SW. ............................................................................................................ 16
Lưu lại cấu hình SW ..................................................................................................................... 16
Ghi nhớ command phức tạp ....................................................................................................... 16
Gõ rút gọn và sử dụng phím tab ................................................................................................. 16
Tắt chức năng domain-lookup .................................................................................................... 17
Cách dùng do............................................................................................................................... 17
Cách dùng no và default ............................................................................................................. 17

1|Page
 HƯỚNG DẪN CẤU HÌNH SWITCH CISCO
1. Cisco IOS là gì? CLI là gì ?
Cũng giống như các thiết bị phần cứng khác. Switch (Cisco) cần có một OS (Operating
System) để làm việc: thực hiện những tính năng, điều khiển hoạt động, hành vi của người
sử dụng và quản lý hiệu năng,… Cisco đặt tên nó là IOS (Internetwork Operating System).
Cisco IOS cũng kèm theo một giao diện cho người dùng gọi là CLI (Command-Line
Interface). CLI này cho phép người dùng sử dụng một chương trình để nhập các command
gửi đến Switch. Switch sẽ xử lý các command này (nếu nó có trong tập lệnh của IOS) và
đáp trả lại kết quả của việc thực thi các command đó cho người sử dụng biết.
2. Làm sao để truy cập đến CLI của Switch?
Để truy cập đến CLI của SW có 3 cách: Console, Telnet và SSH.
- Console là Port vật lý được thiết kế đặt biệt trên SW cho phép truy cập đến CLI. Sử
dụng Port Console yêu cầu cần phải có một kết nối vật lý giữa PC và Port. Và một
terminal emulator software được cài đặt trên PC.
- Telnet và SSH thì chỉ cần Sofware trên PC. Tất nhiên việc đầu tiên là phải đảm bảo
TCP/IP Network giữa PC và SW phải thông nhau thì mới có thể truyền tín hiệu qua lại
cho nhau được.
3. Dùng Cable gì để thiết lập kết nối vật lý từ PC đến Switch?
Để kết nối đến Switch thông thường người ta sử dụng loại Cable có tên là : Console
Cable. Hình dạng của chúng như hình bên dưới.

Hình 1: RJ45 to DB9 Hình 2: RJ45 to DB25

Kết nối PC đến Switch đơn giản ta chỉ cần:

- Cắm đầu RJ45 vào Port có kí hiệu Console trên SW.
- Cắm đầu DB9 or DB25 còn lại vào PC.

2|Page
 Hình 3: Kết nối PC và Switch

Chú ý rằng đối với 1 số dòng Laptop thế hệ sau này thì không có hỗ trợ các đầu DB25
hoặc DB9, đa số là các đầu USB vì thế ta cẩn mua thêm một dây dẫn chuyển đổi từ DB25
or DB9 đến USB. Dây chuyển đổi này có tên là USB to Serial (Serial này thực chất nó là đầu
đực DB9 hoặc DB25). Ta nối 2 đầu lại với nhau là xong.

Hình 4: Cable chuyển đổi USB to Console

Tóm lại để kết nối Laptop đến Swich ta chỉ cần:

- Nối 2 đầu DB9 lại với nhau.
- Cắm đầu RJ45 vào Port có kí hiệu Console trên SW.
- Cắm đầu USB còn lại vào Laptop.

3|Page
 Hình 5: USB to Serial

Ngoài ra trên 1 số loại SW khác còn có cổng Console là đầu Mirco USB.

Hình 6: Micro USB Console

4. Dùng Software gì để truy cập vào CLI của Switch?

Có rất nhiều Software hỗ trợ cho việc truy xuất đến Command-Line của Switch ví dụ:
SecureCRT, Putty, Hyper Terminal, Tera Term, Minicom (for Linux),…
Trong hướng dẫn này sử dụng Software Free là Putty. 1 Software nhỏ gọn và có rất
nhiều tiện ích đi kèm. Sau khi hoàn tất việc cắm cable giữa Laptop và SW.
Bước 1: Kiểm tra cổng COM trên Laptop giao tiếp với SW là gì? Vào phần Device Manager
(devmgmt.msc) trên Laptop.

4|Page
 Hình 7: Cổng COM giao tiếp

Chú ý: Khi sử dụng USB to Serial. Một số máy có thể không nhận diện được Driver của
Port Console. Vì thế ta cần download Driver (usb-console) về cài đặt.
Bước 2: Download Putty, hiệu chỉnh theo các thông số sau.

Hình 8: Chỉnh số hiệu cổng COM

5|Page
 Hình 9: Hiệu chỉnh thông số cho Serial Line

Các thông số trên là thông số đề nghị mặc định của Port Console để kết nối. Về mặt ý nghĩa
của các thông số trên có thể tham khảo thêm tại: http://en.wikipedia.org/wiki/Serial_port.
5. Một số Command Modes hoạt động của SW?
Khi kết nối bắt đầu phiên làm việc với SW từ (Console, Telnet hay SSH). Ta sẽ được
đưa đến user mode, thường được gọi là user EXEC mode. Ở mode này ta chỉ thực thi
được một số command cơ bản như Show trạng thái cấu hình hiện tại của SW, Clear
counter interface hay để testing…Command sẽ không được lưu lại khi SW reboot.
Để có thể thực hiện được tất cả các Command của SW, ta phải vào privileged EXEC
mode (enable mode). Từ mode này ta có thể thực hiện việc cấu hình SW và vào các mode
khác như (global, interface, line, vlan) để có thể làm thay đổi các cấu hình đang chạy hiện
tại của SW. Khi ta lưu cấu hình ở mode này, các command cũng sẽ được lưu và thực thi
lại khi SW reboot.
Bảng 1 miêu tả một số mode chính của SW , ý nghĩa của từng mode và prompt nhận biết
khi đang ở mode đó.
Bảng 1: Command Mode Sumary

Mode Prompt About this Mode

User EXEC Switch> Dùng mode này để thực hiện 1 vài command testing
cơ bản, hiển thị thông tin hệ thống,….
Privileged EXEC Switch# Dùng để cấu hình SW.
VLAN configuration Switch(config-vlan)# Dùng để cấu hình các thông số riêng biệt cho VLAN.

6|Page
Global configuration Switch(config)# Dùng để cấu hình các thông số áp dụng cho toàn bộ
SW
Interface configuration Switch(config-if)# Dùng để cấu hình các thông số cho Ethernet
interfaces.
Line configuration Switch(config-line)# Dùng để cấu hình các thông số cho Terminal Line như
Line console, Line VTY(Telnet, SSH).

Hình 10 mô tả việc dùng command chuyển hướng để vào, ra khỏi mode global
configuration và các submodes với nhau.

Hình 10: Sự chuyển hướng qua lại ra, vào giữa các modes với nhau

6. Vlan là gì?
Trước hết ta cần nhớ lại khái niệm về LAN là gì? 1 LAN bao gồm tất cả những thiết bị
người dùng đầu cuối (Laptop, PC,…), Servers, Switches, Routers, Cables, Access Points kết
nối vào cùng một nơi. Tất cả các thiết bị trong cùng 1 LAN thì cùng nằm trong 1 Broadcast
Domain. Bởi vậy, khi bất kỳ thiết bị nào gửi 1 broadcast frame thì tất cả các thiết bị còn
lại đều nhận được bản copy của frame ấy. Từ đó ta có thể suy ra được rằng:
=> 1 LAN = 1 Broadcast Domain = 1 Subnet mạng.
Vậy nếu ta muốn tạo ra 2 LAN Broadcast domain khác nhau thì buộc ta phải mua 2
cái Switch. Xem Hình 11 .

Hình 11: Tạo 2 Broadcast domain với 2 Switch vật lý

7|Page
 Tuy nhiên với sự hỗ trợ của VLAN. SW có thể thực hiện việc tạo 2 Broadcast domain
như trên trên cùng 1 SW. 1 Switch có thể gán một số Port của nó đến một Broadcast
domain (BD) này và 1 số Port còn lại đến một BD khác, cứ như thế có thể tạo ra nhiều BD
trên cùng 1 SW. Đến đây, đơn giản ta có thể hiểu rằng mỗi BD được tạo ra bởi 1 SW được
gọi là VLAN. Hình 12

Hình 12: Tạo 2 Broadcast Domain trên cùng 1 Switch

Switch sẽ không bao giờ forward 1 frame từ Dino (ở VLAN 1) đến Wilma hoặc Betty
(ở VLAN 2).
Một vài lí do phổ biến khi chia nhỏ thành nhiều VLAN như trên:
- Giảm thiểu được khả năng xử lý của CPU trên mỗi thiết bị. Bởi vì khi chia nhỏ VLAN ta
có thể giới hạn được việc số Host nhận broadcast frame, giảm thiểu được việc những
Host đó xử lý những frame broadcast không cần thiết.
- Giảm thiểu được các nguy cơ bảo mật bằng cách giảm thiểu được số host nhận bản
copy của frame khi SW flood (broadcast, multicast,unknown unicast).
- Tăng tính bảo mật cho những hosts muốn gửi một số data nhạy cảm trong cùng 1 Vlan
riêng biệt.
- Tạo ra được sự thiết kế linh hoạt hơn bằng cách ghép những người dùng cùng một
phòng ban, một team làm việc cùng nhau vào các VLAN riêng rẻ.
- Giải quyết sự cố phát sinh nhanh hơn.
7. Access Port ? Trunk Port? Native Vlan? Allow Vlan?
Access Port thường là những port kết nối với thiết bị đầu cuối như PC,… Và chỉ được cấu
hình thuộc về một VLAN duy nhất. Nó chỉ mang theo traffic của VLAN đó mà thôi.
Trunk Port thường là những port kết nối giữa các Switch với nhau hoặc Switch với Router.
Nó có thể cấu hình thuộc về 2 hoặc nhiều VLAN và đồng thời mang theo traffic của tất cả
các VLAN đó.

Hình 13: Sử dụng mỗi kết nối vật lý cho từng VLAN

8|Page
 Trong Hình 13 ta có thể thấy được rằng những port kết nối từ các PC như Fa0/1,
Fa0/2 Fa0/3, Fa0/4 là Access ports, chúng được gán vào những VLAN riêng.
Tuy nhiên giả sử Công ty TGDĐ có 2 phòng ban nằm ở 2 tầng khác nhau trong một
tòa nhà. Mỗi phòng có 1 SW được cấu hình VLAN như Hình 13. Nếu PC 11 (thuộc VLAN
10 ở SW1) muốn liên lạc với PC 13 hoặc 14 (thuộc VLAN 10 ở SW2) thì ta phải có một kết
nối vật lý giữa SW1 với SW2 và hai switch-port này phải thuộc cùng VLAN 10.
Tương tự đối với VLAN 20, ta lại phải cần thêm một kết nối vật lý giữa 2 SW nữa.
Như vậy, với n VLAN được tạo ra ta phải cần đến n dây nối giữa hai SW để các thành viên
trong cùng 1 VLAN mới có thể giao tiếp được với nhau. Điều này gây ra rất nhiều khó khăn
và lãng phí.
Vì thế kĩ thuật Trunking ra đời cho phép ta chỉ dùng một dây nối liên kết giữa các SW.
Các VLAN khác nhau có thể cùng lưu thông qua đường này.

Hình 14: Kết nối Trunk cho các VLAN

Theo như mô hình Hình 14, các port Gi0/1 của mỗi SW là trunk port.
Native Vlan được giới thiệu trong định nghĩa giao thức 802.1Q (trunking protocol). Mặc
định những frame thuộc VLan này sẽ không được gán "tag" khi đi qua kết nối Trunk.
Allow Vlan: mặc định , trunk port gửi và nhận traffic từ tất cả các VLAN. Tất cả các VLAN
ID đều được cho phép chạy trên đường trunking. Tuy nhiên, ta cũng có thể cấu hình chỉ
cho phép một số VLAN chạy trên nó. Các VLAN không thuộc vào allowed list sẽ bị SW drop
hết các frames.
8. Các bước cấu hình trong mô hình PFSENSE hiện có tại siêu thị
Cùng xem lại mô hình PFSENSE tại siêu thị (Hình 15) ta thấy có 3 đường trunking
trong sơ đồ: 2 đường trunk nối từ 2 WIFI tới SW và đường trunk còn lại nối từ SW đến
NIC card bge0 trên Pfsense (card dành cho rules WIFI).

9|Page
 Hình 15: Mô hình nối SW tới các thiết bị khác

Ta sẽ quy hoạch các port theo mô hình sau để tiện cho việc troubleshoot sau này.

Hình 16: Quy hoạch Port SW

Fa0/1: Dùng để nối tới card 3COM xl1 (thực hiện rules LAN).
Fa0/23, Fa0/24, Gi0/1: Dùng để nối tới các WIFI hiện có tại siêu thị.
Gi0/2: Dùng để nối tới card bge0 (thực hiện rules WIFI).
Tùy vào số lượng WIFI hiện có tại siêu thị ta có thể chuyển một số ports từ VLAN 100
qua làm port trunk.
Kết nối SW từ port console và cài đặt software như ở mục 4. Lần đầu connect vào
SW sẽ hiện ra thông báo sau.

Ta nhập no và Enter để vào user mode. Tiếp theo nhập enable để vào Privileged
mode (Enable mode).

10 | P a g e
Bước 1 : Vào Global configuration tạo các VLAN có trong mô hình và đặt tên cho chúng

Bước 2: Gán các port như đã quy ước vào các VLAN
- Gán Access ports vào VLAN Nhân Viên
Ta có thể dùng cách gán từng port.

Hoặc gán range ports cho nhanh (cách gõ rút gọn sẽ nói đến trong phần sau)

- Gán Trunk ports

Bước 3: Cấu hình Portfast cho các access port

Khi khởi chạy SW, mặc định SW sẽ enable giao thức Spanning Tree Protocol (Giao
thức chống Loop ở Layer 2 Network: Data Link). Các Port khi tham gia vào tiến trình xử lý
STP mặc định phải trải qua 5 trạng thái (States): Blocking, Listening, Learning, Fowarding,
Disabled. Port ở Forwarding States mới có thể gửi và nhận tất cả các data frames. Ta cấu
hình portfast mục đích dùng để rút ngắn được thời gian luân chuyển giữa các states trong

11 | P a g e
 khi chờ đợi spanning-tree hội tụ. Cấu hình PortFast ngay tức khắc mang một port chuyển
thành forwarding states từ blocking states. Việc này làm cho các thiết bị trong hệ thống
có thể nhanh chóng kết nối vào mạng mà không phải đợi lâu. Port Fast thường được dùng
khi connected đến các thiết bị đầu cuối (PC,Laptop,…).
Bước 4: Tắt tính năng DTP (Dynamic Trunking Protocol) trên tất cả các Port

Bước 5: Lưu lại các cấu hình hiện thời của Switch

Hiện ra thông báo Destination filename nhấn Enter

Hoặc sử dụng câu lệnh Write ở để ghi cấu hình hiện tại vào NVRAM
Ta cần phải lưu lại cấu hình để khi Reboot lại SW nó vẫn applied những gì ta cấu hình. Cần
làm điều này sau mỗi bước cấu hình quan trọng.
9. Administering Switch
Cấu hình Hostname

Nhớ dùng lệnh Write để lưu lại cấu hình cho SW

Cấu hình IP for remote access

Ta có thể gán IP cho SW để dùng Telnet, SSH hoặc SNMP.

Tắt tính năng HTTP server trên Switch vì mục đích bảo mật.

Cấu hình chức năng xác thực tài khoản login vào SW

user: admin và pass:Tgdd2013! ở trên sẽ được lưu vào local database của SW.
Khi ta connect vào SW ở những lần sau bằng Line console, hoặc VTY (Telnet, SSH) nó
sẽ bắt ta nhập username và password để xác thực (authentication). Sau bước xác thực nó
sẽ kiểm tra user đó có quyền hạn ở level nào (authorization). Privileged level 0 -> 15. Level
15 là có quyền cao nhất để thực thi đầy đủ các command.

12 | P a g e
 Bật tính năng loggin synchronous
Trong lúc ta cấu hình sẽ có những logging message của SW tự động bật lên (pop up)
giữa những dòng (line) ta đang cấu hình. Nó sẽ che khuất các command mà ta đang gõ,
gây rắc rối. Ta có thể cấu hình để chúng hiển thị trên những dòng riêng biệt và giữ prompt
để ta có thể nhìn thấy được.

Cấu hình System Clock và Time Zone

Việc cấu hình manually khi set time cho SW như trên sẽ bị mất trong lần restart lại
SW. Ta cũng có thể sử dụng NTP để synchronize time cho SW.
Cấu hình gửi Log debug đến SW buffer memory

Giá trị buffer size (65536) được tính bằng bytes. Giá trị này càng lớn thì lượng lưu
trữ log vào buffer càng nhiều. Nhưng ta cũng cần xem xét dung lượng còn trống trên RAM
còn lại là bao nhiêu để chọn giá trị thích hợp.
Để xem dung lượng của RAM ta sử dụng command:

Cấu hình định dạng (format) hiển thị Log message

Cấu hình trên giúp khi ta xem lại file log (với việc đã cấu hình clock ở mục 9.6), sẽ
hiển thị số thứ tự (sequence number) từng log và thời gian các events xảy ra đến
millisecond.
Để xem lại log ta dùng command

Ví dụ về Log Message

13 | P a g e
10. Một số câu lệnh verify lại các cấu hình.
#show version
Xem version của IOS SW sử dụng, thời gian uptime của SW, System Image sử dụng,
Model là gì, tổng số port Ethernet và tốc độ của nó.

#show vlan brief hoặc #show vlan

Xem các thông tin như: ID vlan, name, trạng thái, các ports được gán vào vlan đó.

#show interface status

Xem trạng thái của port đã connected với các thiết bị, Port thuộc vlan bao nhiêu,
trạng thái Auto Full-Duplex (vì là port của SW: có thể gửi và nhận đồng thời). Tốc độ hỗ
trợ và tốc độ tối đa cho phép.

14 | P a g e
#show interface trunk
Xem thông tin các port trunk đã up trên SW, đóng gói frames VLAN theo protocol
nào (802.1q), số VLAN được cho phép gửi và nhận trên đường trunk đó và native vlan.

#show mac-address-table hoặc #show mac-address-table vlan [vlan number]

Xem các mac address mà SW học được từ các port mà nó connected thuộc vlan nào.
Là loại static (gán tĩnh) hay dynamic.

#show processes cpu hoặc #show processes memory : xem trạng thái xử lý CPU or Ram.
#show clock : Xem thời gian SW
#show logging: Xem log message
#show running-config: Xem cấu hình đang chạy trên RAM.
#show history : Xem lại các command đã sử dụng trước đó
Ta có thể tìm kiếm thêm nhiều command nữa.

15 | P a g e
11. Một số lưu ý khi sử dụng SW.
Lưu lại cấu hình SW
Cần lưu lại cấu hình SW sau những lần sử dụng command để khi Reboot lại SW nó
vẫn applied những gì ta cấu hình. Có thể sử dụng 1 trong những command sau.

Hoặc

Ghi nhớ command phức tạp

Tất nhiên việc nhớ hết các command phức tạp là điều không tưởng. Vì thế khi cấu
hình một số command khó nhớ ta có thể sử dụng dấu ? để liệt kê các sub command phía
sau và ý nghĩa của chúng để ta dể dàng biết ta cần cấu hình cái gì.
Giả sử trong command cấu hình format cho log message dưới đây ta quên command
sử dụng tiếp theo là gì. Ta sử dụng ? SW sẽ liệt kê các command tiếp theo có thể sử dụng
được là gì và ý nghĩa của từng subcommand. Ở ? đầu tiên, SW sẽ hỏi ta muốn sử dụng
timestamps cho debug message hay log message. Ở ? thứ hai, SW sẽ hỏi ta muốn sử dụng
debug message theo phương thức hiển thị là ngày giờ hay thời gian uptime của hệ thống.

Gõ rút gọn và sử dụng phím tab

Ta có thể sử dụng kiểu gõ rút gọn các command cho nhanh hoặc sử dụng phím tab
để tự động điền các từ còn thiếu vào các command (completes partial command). Ví dụ
muốn hiển thị cấu hình đang chạy. Thông thường ta dùng
#show running-config
Thay vì vậy ta có thể sử dụng cách gõ rút gọn #sh ru

Hoặc sử dụng phím tab để auto fill.

16 | P a g e
Để sử dụng được ta phải biết được rằng các từ gõ tắt đó chỉ là duy nhất (unique) ứng với
command ta muốn sử dụng. Như ví dụ trên tại sao ta không gõ là #sh r để ngắn gọn hơn.
Vì từ r đại diện cho nhiều command khác nữa. Cách gõ #sh r là không rõ ràng.

Tắt chức năng domain-lookup

Khi gõ một command ở Privileged mode không có trong tập lệnh IOS ta sẽ nhận được
thông báo sau. Việc này xảy ra khi ta nhập nhầm (mistype) . Và phải cần đợi một khoảng
thời gian 30s -> 45s delay để SW trả lại prompt. Vì mặc định SW sẽ nghĩ rằng ta đang cố
gắng telnet đến một host nào đó. Bởi vậy nó sẽ thực hiện DNS lookup.

Để tắt chức năng này tránh làm phiền, ta sử dụng command sau:

Cách dùng do
Sử dụng “do” cho phép ta dùng các command ở privileged mode dù đang ở bất cứ
mode nào.
Ví dụ bình thường ta muốn xem các interface trunk đang up trên SW ta phải trở về
privileged mode rồi dùng lệnh #show int trunk . Ta cũng có thể sử dụng lệnh do để làm
điều này khi đang ở trong global mode hay bất kì mode nào khác mode privileged.

Cách dùng no và default

Sử dụng “no” để disable một function nào đó đã cấu hình hoặc sử dụng “default” để
set về giá trị mặc định của đối tượng đó.
Ví dụ ta muốn xóa vlan nào đó đã cấu hình ta dùng command

Muốn xóa function port-fast cho một interface nào đó ta dùng

17 | P a g e
Muốn đưa interface nào đó về default value ta có thể dùng command sau thay vì phải sử
dụng nhiều lần no để disable từng function đã cấu hình trước đó.

18 | P a g e