Professional Documents
Culture Documents
Configuration Guide SWITCH
Configuration Guide SWITCH
SWITCH CISCO
1|Page
HƯỚNG DẪN CẤU HÌNH SWITCH CISCO
1. Cisco IOS là gì? CLI là gì ?
Cũng giống như các thiết bị phần cứng khác. Switch (Cisco) cần có một OS (Operating
System) để làm việc: thực hiện những tính năng, điều khiển hoạt động, hành vi của người
sử dụng và quản lý hiệu năng,… Cisco đặt tên nó là IOS (Internetwork Operating System).
Cisco IOS cũng kèm theo một giao diện cho người dùng gọi là CLI (Command-Line
Interface). CLI này cho phép người dùng sử dụng một chương trình để nhập các command
gửi đến Switch. Switch sẽ xử lý các command này (nếu nó có trong tập lệnh của IOS) và
đáp trả lại kết quả của việc thực thi các command đó cho người sử dụng biết.
2. Làm sao để truy cập đến CLI của Switch?
Để truy cập đến CLI của SW có 3 cách: Console, Telnet và SSH.
- Console là Port vật lý được thiết kế đặt biệt trên SW cho phép truy cập đến CLI. Sử
dụng Port Console yêu cầu cần phải có một kết nối vật lý giữa PC và Port. Và một
terminal emulator software được cài đặt trên PC.
- Telnet và SSH thì chỉ cần Sofware trên PC. Tất nhiên việc đầu tiên là phải đảm bảo
TCP/IP Network giữa PC và SW phải thông nhau thì mới có thể truyền tín hiệu qua lại
cho nhau được.
3. Dùng Cable gì để thiết lập kết nối vật lý từ PC đến Switch?
Để kết nối đến Switch thông thường người ta sử dụng loại Cable có tên là : Console
Cable. Hình dạng của chúng như hình bên dưới.
2|Page
Hình 3: Kết nối PC và Switch
Chú ý rằng đối với 1 số dòng Laptop thế hệ sau này thì không có hỗ trợ các đầu DB25
hoặc DB9, đa số là các đầu USB vì thế ta cẩn mua thêm một dây dẫn chuyển đổi từ DB25
or DB9 đến USB. Dây chuyển đổi này có tên là USB to Serial (Serial này thực chất nó là đầu
đực DB9 hoặc DB25). Ta nối 2 đầu lại với nhau là xong.
3|Page
Hình 5: USB to Serial
Ngoài ra trên 1 số loại SW khác còn có cổng Console là đầu Mirco USB.
4|Page
Hình 7: Cổng COM giao tiếp
Chú ý: Khi sử dụng USB to Serial. Một số máy có thể không nhận diện được Driver của
Port Console. Vì thế ta cần download Driver (usb-console) về cài đặt.
Bước 2: Download Putty, hiệu chỉnh theo các thông số sau.
5|Page
Hình 9: Hiệu chỉnh thông số cho Serial Line
Các thông số trên là thông số đề nghị mặc định của Port Console để kết nối. Về mặt ý nghĩa
của các thông số trên có thể tham khảo thêm tại: http://en.wikipedia.org/wiki/Serial_port.
5. Một số Command Modes hoạt động của SW?
Khi kết nối bắt đầu phiên làm việc với SW từ (Console, Telnet hay SSH). Ta sẽ được
đưa đến user mode, thường được gọi là user EXEC mode. Ở mode này ta chỉ thực thi
được một số command cơ bản như Show trạng thái cấu hình hiện tại của SW, Clear
counter interface hay để testing…Command sẽ không được lưu lại khi SW reboot.
Để có thể thực hiện được tất cả các Command của SW, ta phải vào privileged EXEC
mode (enable mode). Từ mode này ta có thể thực hiện việc cấu hình SW và vào các mode
khác như (global, interface, line, vlan) để có thể làm thay đổi các cấu hình đang chạy hiện
tại của SW. Khi ta lưu cấu hình ở mode này, các command cũng sẽ được lưu và thực thi
lại khi SW reboot.
Bảng 1 miêu tả một số mode chính của SW , ý nghĩa của từng mode và prompt nhận biết
khi đang ở mode đó.
Bảng 1: Command Mode Sumary
6|Page
Global configuration Switch(config)# Dùng để cấu hình các thông số áp dụng cho toàn bộ
SW
Interface configuration Switch(config-if)# Dùng để cấu hình các thông số cho Ethernet
interfaces.
Line configuration Switch(config-line)# Dùng để cấu hình các thông số cho Terminal Line như
Line console, Line VTY(Telnet, SSH).
Hình 10 mô tả việc dùng command chuyển hướng để vào, ra khỏi mode global
configuration và các submodes với nhau.
Hình 10: Sự chuyển hướng qua lại ra, vào giữa các modes với nhau
6. Vlan là gì?
Trước hết ta cần nhớ lại khái niệm về LAN là gì? 1 LAN bao gồm tất cả những thiết bị
người dùng đầu cuối (Laptop, PC,…), Servers, Switches, Routers, Cables, Access Points kết
nối vào cùng một nơi. Tất cả các thiết bị trong cùng 1 LAN thì cùng nằm trong 1 Broadcast
Domain. Bởi vậy, khi bất kỳ thiết bị nào gửi 1 broadcast frame thì tất cả các thiết bị còn
lại đều nhận được bản copy của frame ấy. Từ đó ta có thể suy ra được rằng:
=> 1 LAN = 1 Broadcast Domain = 1 Subnet mạng.
Vậy nếu ta muốn tạo ra 2 LAN Broadcast domain khác nhau thì buộc ta phải mua 2
cái Switch. Xem Hình 11 .
7|Page
Tuy nhiên với sự hỗ trợ của VLAN. SW có thể thực hiện việc tạo 2 Broadcast domain
như trên trên cùng 1 SW. 1 Switch có thể gán một số Port của nó đến một Broadcast
domain (BD) này và 1 số Port còn lại đến một BD khác, cứ như thế có thể tạo ra nhiều BD
trên cùng 1 SW. Đến đây, đơn giản ta có thể hiểu rằng mỗi BD được tạo ra bởi 1 SW được
gọi là VLAN. Hình 12
Switch sẽ không bao giờ forward 1 frame từ Dino (ở VLAN 1) đến Wilma hoặc Betty
(ở VLAN 2).
Một vài lí do phổ biến khi chia nhỏ thành nhiều VLAN như trên:
- Giảm thiểu được khả năng xử lý của CPU trên mỗi thiết bị. Bởi vì khi chia nhỏ VLAN ta
có thể giới hạn được việc số Host nhận broadcast frame, giảm thiểu được việc những
Host đó xử lý những frame broadcast không cần thiết.
- Giảm thiểu được các nguy cơ bảo mật bằng cách giảm thiểu được số host nhận bản
copy của frame khi SW flood (broadcast, multicast,unknown unicast).
- Tăng tính bảo mật cho những hosts muốn gửi một số data nhạy cảm trong cùng 1 Vlan
riêng biệt.
- Tạo ra được sự thiết kế linh hoạt hơn bằng cách ghép những người dùng cùng một
phòng ban, một team làm việc cùng nhau vào các VLAN riêng rẻ.
- Giải quyết sự cố phát sinh nhanh hơn.
7. Access Port ? Trunk Port? Native Vlan? Allow Vlan?
Access Port thường là những port kết nối với thiết bị đầu cuối như PC,… Và chỉ được cấu
hình thuộc về một VLAN duy nhất. Nó chỉ mang theo traffic của VLAN đó mà thôi.
Trunk Port thường là những port kết nối giữa các Switch với nhau hoặc Switch với Router.
Nó có thể cấu hình thuộc về 2 hoặc nhiều VLAN và đồng thời mang theo traffic của tất cả
các VLAN đó.
Hình 13: Sử dụng mỗi kết nối vật lý cho từng VLAN
8|Page
Trong Hình 13 ta có thể thấy được rằng những port kết nối từ các PC như Fa0/1,
Fa0/2 Fa0/3, Fa0/4 là Access ports, chúng được gán vào những VLAN riêng.
Tuy nhiên giả sử Công ty TGDĐ có 2 phòng ban nằm ở 2 tầng khác nhau trong một
tòa nhà. Mỗi phòng có 1 SW được cấu hình VLAN như Hình 13. Nếu PC 11 (thuộc VLAN
10 ở SW1) muốn liên lạc với PC 13 hoặc 14 (thuộc VLAN 10 ở SW2) thì ta phải có một kết
nối vật lý giữa SW1 với SW2 và hai switch-port này phải thuộc cùng VLAN 10.
Tương tự đối với VLAN 20, ta lại phải cần thêm một kết nối vật lý giữa 2 SW nữa.
Như vậy, với n VLAN được tạo ra ta phải cần đến n dây nối giữa hai SW để các thành viên
trong cùng 1 VLAN mới có thể giao tiếp được với nhau. Điều này gây ra rất nhiều khó khăn
và lãng phí.
Vì thế kĩ thuật Trunking ra đời cho phép ta chỉ dùng một dây nối liên kết giữa các SW.
Các VLAN khác nhau có thể cùng lưu thông qua đường này.
Theo như mô hình Hình 14, các port Gi0/1 của mỗi SW là trunk port.
Native Vlan được giới thiệu trong định nghĩa giao thức 802.1Q (trunking protocol). Mặc
định những frame thuộc VLan này sẽ không được gán "tag" khi đi qua kết nối Trunk.
Allow Vlan: mặc định , trunk port gửi và nhận traffic từ tất cả các VLAN. Tất cả các VLAN
ID đều được cho phép chạy trên đường trunking. Tuy nhiên, ta cũng có thể cấu hình chỉ
cho phép một số VLAN chạy trên nó. Các VLAN không thuộc vào allowed list sẽ bị SW drop
hết các frames.
8. Các bước cấu hình trong mô hình PFSENSE hiện có tại siêu thị
Cùng xem lại mô hình PFSENSE tại siêu thị (Hình 15) ta thấy có 3 đường trunking
trong sơ đồ: 2 đường trunk nối từ 2 WIFI tới SW và đường trunk còn lại nối từ SW đến
NIC card bge0 trên Pfsense (card dành cho rules WIFI).
9|Page
Hình 15: Mô hình nối SW tới các thiết bị khác
Ta sẽ quy hoạch các port theo mô hình sau để tiện cho việc troubleshoot sau này.
Fa0/1: Dùng để nối tới card 3COM xl1 (thực hiện rules LAN).
Fa0/23, Fa0/24, Gi0/1: Dùng để nối tới các WIFI hiện có tại siêu thị.
Gi0/2: Dùng để nối tới card bge0 (thực hiện rules WIFI).
Tùy vào số lượng WIFI hiện có tại siêu thị ta có thể chuyển một số ports từ VLAN 100
qua làm port trunk.
Kết nối SW từ port console và cài đặt software như ở mục 4. Lần đầu connect vào
SW sẽ hiện ra thông báo sau.
Ta nhập no và Enter để vào user mode. Tiếp theo nhập enable để vào Privileged
mode (Enable mode).
10 | P a g e
Bước 1 : Vào Global configuration tạo các VLAN có trong mô hình và đặt tên cho chúng
Bước 2: Gán các port như đã quy ước vào các VLAN
- Gán Access ports vào VLAN Nhân Viên
Ta có thể dùng cách gán từng port.
Hoặc gán range ports cho nhanh (cách gõ rút gọn sẽ nói đến trong phần sau)
Khi khởi chạy SW, mặc định SW sẽ enable giao thức Spanning Tree Protocol (Giao
thức chống Loop ở Layer 2 Network: Data Link). Các Port khi tham gia vào tiến trình xử lý
STP mặc định phải trải qua 5 trạng thái (States): Blocking, Listening, Learning, Fowarding,
Disabled. Port ở Forwarding States mới có thể gửi và nhận tất cả các data frames. Ta cấu
hình portfast mục đích dùng để rút ngắn được thời gian luân chuyển giữa các states trong
11 | P a g e
khi chờ đợi spanning-tree hội tụ. Cấu hình PortFast ngay tức khắc mang một port chuyển
thành forwarding states từ blocking states. Việc này làm cho các thiết bị trong hệ thống
có thể nhanh chóng kết nối vào mạng mà không phải đợi lâu. Port Fast thường được dùng
khi connected đến các thiết bị đầu cuối (PC,Laptop,…).
Bước 4: Tắt tính năng DTP (Dynamic Trunking Protocol) trên tất cả các Port
Bước 5: Lưu lại các cấu hình hiện thời của Switch
Tắt tính năng HTTP server trên Switch vì mục đích bảo mật.
Cấu hình chức năng xác thực tài khoản login vào SW
user: admin và pass:Tgdd2013! ở trên sẽ được lưu vào local database của SW.
Khi ta connect vào SW ở những lần sau bằng Line console, hoặc VTY (Telnet, SSH) nó
sẽ bắt ta nhập username và password để xác thực (authentication). Sau bước xác thực nó
sẽ kiểm tra user đó có quyền hạn ở level nào (authorization). Privileged level 0 -> 15. Level
15 là có quyền cao nhất để thực thi đầy đủ các command.
12 | P a g e
Bật tính năng loggin synchronous
Trong lúc ta cấu hình sẽ có những logging message của SW tự động bật lên (pop up)
giữa những dòng (line) ta đang cấu hình. Nó sẽ che khuất các command mà ta đang gõ,
gây rắc rối. Ta có thể cấu hình để chúng hiển thị trên những dòng riêng biệt và giữ prompt
để ta có thể nhìn thấy được.
Việc cấu hình manually khi set time cho SW như trên sẽ bị mất trong lần restart lại
SW. Ta cũng có thể sử dụng NTP để synchronize time cho SW.
Cấu hình gửi Log debug đến SW buffer memory
Giá trị buffer size (65536) được tính bằng bytes. Giá trị này càng lớn thì lượng lưu
trữ log vào buffer càng nhiều. Nhưng ta cũng cần xem xét dung lượng còn trống trên RAM
còn lại là bao nhiêu để chọn giá trị thích hợp.
Để xem dung lượng của RAM ta sử dụng command:
Cấu hình trên giúp khi ta xem lại file log (với việc đã cấu hình clock ở mục 9.6), sẽ
hiển thị số thứ tự (sequence number) từng log và thời gian các events xảy ra đến
millisecond.
Để xem lại log ta dùng command
Ví dụ về Log Message
13 | P a g e
10. Một số câu lệnh verify lại các cấu hình.
#show version
Xem version của IOS SW sử dụng, thời gian uptime của SW, System Image sử dụng,
Model là gì, tổng số port Ethernet và tốc độ của nó.
14 | P a g e
#show interface trunk
Xem thông tin các port trunk đã up trên SW, đóng gói frames VLAN theo protocol
nào (802.1q), số VLAN được cho phép gửi và nhận trên đường trunk đó và native vlan.
#show processes cpu hoặc #show processes memory : xem trạng thái xử lý CPU or Ram.
#show clock : Xem thời gian SW
#show logging: Xem log message
#show running-config: Xem cấu hình đang chạy trên RAM.
#show history : Xem lại các command đã sử dụng trước đó
Ta có thể tìm kiếm thêm nhiều command nữa.
15 | P a g e
11. Một số lưu ý khi sử dụng SW.
Lưu lại cấu hình SW
Cần lưu lại cấu hình SW sau những lần sử dụng command để khi Reboot lại SW nó
vẫn applied những gì ta cấu hình. Có thể sử dụng 1 trong những command sau.
Hoặc
16 | P a g e
Để sử dụng được ta phải biết được rằng các từ gõ tắt đó chỉ là duy nhất (unique) ứng với
command ta muốn sử dụng. Như ví dụ trên tại sao ta không gõ là #sh r để ngắn gọn hơn.
Vì từ r đại diện cho nhiều command khác nữa. Cách gõ #sh r là không rõ ràng.
Để tắt chức năng này tránh làm phiền, ta sử dụng command sau:
Cách dùng do
Sử dụng “do” cho phép ta dùng các command ở privileged mode dù đang ở bất cứ
mode nào.
Ví dụ bình thường ta muốn xem các interface trunk đang up trên SW ta phải trở về
privileged mode rồi dùng lệnh #show int trunk . Ta cũng có thể sử dụng lệnh do để làm
điều này khi đang ở trong global mode hay bất kì mode nào khác mode privileged.
17 | P a g e
Muốn đưa interface nào đó về default value ta có thể dùng command sau thay vì phải sử
dụng nhiều lần no để disable từng function đã cấu hình trước đó.
18 | P a g e