Tài liệu hướng dẫn Version 1.0 (Học kỳ 3)

216 trang phuongnguyen 4390

Download

Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu hướng dẫn Version 1.0 (Học kỳ 3)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

tai_lieu_huong_dan_version_1_0_hoc_ky_3.pdf

Nội dung text: Tài liệu hướng dẫn Version 1.0 (Học kỳ 3)

CCNA HỌC K Ỳ 3 Tài li ệu h ướng d ẫn Version 1.0
Mục L ục (H ọc k ỳ 2) Bài 1 : Gi ới thi ệu Review LAB . 1-1 Bài 2 : Tri ển khai VLANs và Trunks . 2-1 Bài 3 : Cải ti ến hi ệu su ất v ới Spanning Tree. 3-1 Bài 4 : Định tuy ến gi ữa các VLAN . 4-1 Bài 5 : Bảo m ật m ạng m ở r ộng 5-1 Bài 6 : Xử lý l ỗi m ạng Switch . 6-1 Bài 7 : Tổng quan h ọat độ ng đị nh tuy ến 7-1 Bài 8 : Thi ết l ập VLSM 8-1 Bài 9 : Tir ển khai OSPF . 9-1 Bài 10 : Chu ần đoán và x ử lý l ỗi OSPF 10-1
Bài 1 : Gi i thi u Review Lab Thi ết l ập m ột m ạng nh ỏ 1-1 1-1
Các ch ức n ăng c ủa Cisco IOS User Interface CLI c dùng nh p l nh. Có nh ng h at ng khác nhau gi a router và , nhng c hai dùng chung CLI. Phím Enter dùng thi t b phân tích và th c thi m t l nh. CLI dùng t p l nh có phân t ng theo t ng ch cu hình. Ng i s dng có th ánh tr c ti p ho c dán c u hình thông qua c ng console. Các ch cu hình có các giao di n khác nhau. 2 ch cu hình chính la ch User và ch Privileged. Nh ng s i c u hình không c l u tr tng. 1-2 1-2
Overview of Cisco IOS Configuration Modes 1-3 1-3
Help Facilities of the Cisco IOS CLI 1-4 1-4
Commands Review Discussion What does the command accomplish? From what configuration mode is the command executed? 1-5 1-5
Access to the Remote Labs Use this module review to complete an introductory lab, which will become the basis for all subsequent lab activities. 1-6 1-6
Tóm t ắt Cu hình c ơ b n c a router va switch bao g m c u hình hostname xác nh thi t b , c u hình các m t kh u (passwords) bo m t, và cu hình a ch to k t nôi. Bn dùng CLI nh p l nh. Bn dùng l nh configure terminal chuy n vào Global configuration mode. thóat kh i Global configuration mode b n có th dùng l nh end ho c nh n t hp phím Ctrl-Z. CLI cung c p cho b n c ơ ch context-sensitive help, console error messages, và command history buffer. 1-7 1-7
1-8 1-8
Bài 2 : Tri n khai VLANs và Trunks Xây d ng m ng switch kích th ưc trung bình 2-1 2-1
Nh ng v n trong m t m ng ưc thi t k nghèo nàn Không phân ranh gi i c nh ng domain l i Broadcast domain l n Kh i l ng không bi t a ch MAC c a thông tin unicast l n Không phân ranh gi i c nh ng thông tin multicast Khó n lý và h tr Có th b tn th ơ ng v bo mt 2-2 Mt m ng c thi t k nghèo nàn s làm t ng chi phí h tr , làm gi m nh ng dch v có sn, và hn ch h tr nh ng ng d ng và gi i pháp m i. Hi u su t ít làm nh h ng n nh ng ng i dùng cu i và truy c p n nh ng tài nguyên trung tâm. M t vài v n c a ra t vi c thi t k mng nghèo nàn nh sau: •Domain l i: m t trong nh ng lý do quan tr ng nh t tri n khai m t thi t k mng hi u qu là li x y ra trong ph m vi nh nh t. Khi nh ng ng biên tng 2 và không c nh ngh a rõ ràng, l i trong m t m ng có th có nh hng r ng •Broadcast domain: broadcast t n t i trong m i m ng. Nhi u ng d ng và thao tác m ng yêu c u tính n ng broadcast; vì th không th lai b chúng tri t . Trong hòan c nh này ph i nh ngh a nh ng ng ranh gi i m t cách rõ ràng, broadcast domain c ng nên cóng biên rõ ràng và mt s thi t b làm gi m t i thi u nh h ng broadcast •Kh i l ng không bi t a ch MAC c a thông tin unicast l n: cisco catalyst switch gi i h n chuy n nh ng unicast frame, cóa ch , n các port. Tuy nhiên, khi m t frame có a ch ích không t n t i trong b ng a ch MAC, nóc flood ra t t c các port ng ai tr port nh n. Hành vi này c gi là “unknown MAC unicast flooding”. Hành ng flood này làm v t traffic trên t t c các port c a switch, card m ng ph i u tranh v i s ng frame ln trên dây. Và khi d li u c lan truy n trên dây mà nó không có mc ích, b o m t có th ba 2-2
•Thông tin multicast n các port không mong mu n: a ch IP multicast là mt k thu t cho phép thông tin IP c lan truy n t mt ng i g i n m t nhóm ng i nh n b ng cách dùng c p a ch IP và MAC multicast. Gi ng nh vi c flood unicast và broadcast, nh ng multicast frame c ng c flood ra t t c các port trên switch. M t thi t k thích h p cho phép ng n ch n nh ng multicast frame trong khi v n cho phép chúng h at ng •Khóc qu n lý và h tr : m t m ng c thi t k nghèo nàn có th b phá ri và cung c p t li u nghèo nàn và thi u dòng thông tin c nh ngh a. Nó làm cho vi c h tr , duy trì, và gi i quy t v n khó à tn th i gian. •Có th b tn th ơ ng v bo m t: m t m ng switch, n u ít s quan tâm v bo mt t i t ng access có th a n tính tòan v n c a tòan m ng Mt m ng c thi t k nghèo nàn luôn luôn có tác ng ng c l i và tr thành m t gánh n ng v tài chính và h tr cho b t k t ch c nào 2-3
Tng quan v VLAN Phân an Linh h at Bo m t VLAN = Broadcast Domain = Logical Network (Subnet) 2-4 Mt VLAN là mt broadcast domain logic mà có th m rng trên nhi u LAN v t lý. Trong m t m ng switch, VLAN cung c p s an và linh h at trong t ch c. B n có th thi t k mt c u trúc VLAN mà cho phép b n nhóm nh ng máy tr m l i v i nhau theo tính n ng, i d án, và các ng d ng mà n v tri c a ng i dùng. B n có th gán m i port c a switch n m t VLAN, theo cách ó to m t t ng b o m t. Nh ng port trong cùng VLAN chia s mt broadcast domain, nh ng port trong các VLAN khác nhau không cùng broadcast domain. VLAN c i ti n hi u su t c a m ng Trong m t m ng switch, VLANs cung c p phân an và linh h at trong t ch c. Dùng k thu t VLAN, b n có th nhóm nh ng port và user k t n i n port thành nh ng nhóm logic, ch ng h n nh nh ng ng i c ng s trong cùng phòng ban, nh ng nhóm s n xu t theo tính n ng, ho c nh ng nhóm ng i dùng chia s cùng ng d ng m ng Mt VLAN có th tn t i trên m t switch ơ n ho c m rng trên nhi u switch. Nh ng VLAN có th gm nh ng máy tr m trong m t tòa nhà ho c trên nhi u. Nh ng VLAN c ng có th kt n i ngang qua WAN 2-4
Thi t k VLANs cho m t t ch c Thi t k VLAN ph i quan tâm n vi c tri n khai c ơ ch a ch mng phân c p. Nh ng l i ích c a a ch phân c p: – D qu n ý và x lý l i – Hn ch li t i thi u – Gi m s dòng trong b ng nh tuy n 2-5 Mi VLAN trong m ng switch t ơ ng ng v i m t m ng IP. Vì th thi t k VLAN ph i quan tâm n c ơ ch a ch mng phân c p. a ch mng phân cp ngh a là s mng IP c gán n nh ng an m ng hay các VLAN trong mt mô hình có tr t t . Nh ng nhóm a ch mng liên t c c gi li và cu hình trên nh ng thi t b trong m t vùng m ng riêng bi t. Mt vài l i ích c a c ơ ch a ch phân c p: •D qu n lý và x lý l i: m t c ơ ch a ch phân c p nhóm nh ng a ch mng m t cách liên t c. Do ó, m t c ơ ch a ch IP phân c p giúp cho tìm, qu n lý m ng và x lý l i nhi u hi u qu ơ •Ít l i h ơn: gán a ch mng m t cách có tr t t có th hn ch li và gán a ch trùng l p •Gi m các dòng trong b ng nh tuy n: trong m t k hach a ch phân c p, các giao th c nh tuy n có th thi hành route summarization, cho phép m t dòng nh tuy n ơ n bi u di n m t t p h p m ng IP. Route summarization làm cho b ng nh tuy n có nhi u kh n lý và cung c p nh ng l i ích sau: •Chu k CPU ít h ơn khi tính tóan l i b ng nh tuy n ho c s p x p nh ng dòng c a b ng nh tuy n tìm m t dòng phù hp •Gi m b nh router •Hi t ơt thay i x y ra trong m ng •X lý l i d ơ 2-5
Hưng d n gán vùng a ch IP Gán m t IP Subnet trên m t VLAN. Gán nh ng vùng a ch IP trong nh ng block liên t c 2-6 Mô hình ki n trúc c a hãng Cisco cung c p m t khung làm vi c theo module cho vi c thi t k và tri n khai m ng. Nó cng cung c p m t c u trúc lý t ng ph mt c ơ ch a ch IP phân c p. Sau ây là mt vài h ng d n: •Thi t k ơa ch cho các block a ch mng là 2^n (ví d 4,8,16,32, ) c gán n các subnet c a các switch t ng access và distibution. V i ph ơ ng này cho phép b n summarize thành m t a ch mng l n h ơn. •Ti t ng distribution, ti p t c gán a ch mng liên t c ngòai nh ng thi t b tng access •Mt subnet cho m t VLAN. M i VLAN là mt broadcast domain riêng bi t •Khi có th , subnet nên bi u di n d ng binary tránh chi u dài subnet mask thay i. Cách này giúp h n ch li và mâu thu n khi x lý l i ho c khi c u hình nh ng thi t b ho c segment m i 2-6
Nh ng l ai thông tin trên m ng Khi thi t k VLAN c n ph i xem xét nh ng l ai thông tin trên m ng nh : qu n lý m ng IP telephone IP Multicast D li u thông th ng Scavenger class 2-7 Sau ây li t kê nh ng l ai thông tin m ng khác nhau mà cn ph i xem xét tr c khi t thi t b và cu hình VLAN •Network management: nhi u l ai thông tin qu n lý m ng khác nhau có th tn ti trên m ng, ch ng h n nh BPDU, CDP update, SNMP, RMON. Làm cho x lý l i m ng d ơ , m t vài ng i thi t k gán m t VLAN riêng mang nh ng l ai thông tin qu n lý m ng chính •Ip telephone: có 2 l ai thông tin IP telephone: thông tin tín hi u gi a các thi t bu cu i (in th ai IP và , nh Cisco Unified CallManager) và nh ng gói tin d li u c a chính cu c h i th ai voice. Ng i thi t k ng c u hình d li u n và tn tho i IP trên m t VLAN riêng bi t c thi t k cho thông tin voice mà chúng có th áp d ng QoS xét thông tin voice •Ip multicast: thông tin IP multicast c g i t mt a ch ngu n n m t nhóm mà nóc nh ngh a b i m t c p a ch IP và ích. Ví d, ng dng t o ra lo i thông tin này là Cisco IP/TV broadcast và ph n m m b ng giao di n ha cu hình nhanh máy tr m và máy ch . Thông tin multicast có th to ra kh i l ng dòng d li u l n ngang qua m ng. Ví d, d li u video t ch ơ ng trình d y tr c tuy n, ng d ng b o m t, cisco meeting place, và TelePresence t ng nhanh trên m t vài m ng. Switch ph i c c u hình theo dõi nh ng thông tin này c làm tràn ng p t mt thi t b không yêu c u, và các router ph i c c u hình ch c ch n r ng thông tin multicast c chuy n n úng m ng c yêu c u. 2-7
•Normal data: thông tin d li u thông th ng là thông tin ng d ng in hình mà nón t p tin và dch v in n, email, trình duy t internet, truy cp database, và các ng d ng m ng chia s khác. D li u này s cn i x cùng cách ho c khác cách trong nh ng ph n khác nhau c a m ng, ph thu c vào kh i l ng c a m i l ai. Ví d lai thông tin này là SMB, NCP, SMTP, SQL, HTTP •Scavenger class: g m t t c thông tin c a các giao th c hay nh ng m u mà vt quá dòng d li u bình th ng c a chúng. L ai thông tin này c s dng bo v mng t dòng thông tin khác th ng mà có th làm nguy hi m n các ch ơ ng trình ang ch y các PC. Nó cng c dùng cho thông tin “less than best effort”, nh thông tin peer-to-peer 2-8
u im c a Voice VLANs Các in th ai c phân an thành nh ng m ng logic riêng bi t Cung c p iu khi n vàan m ng Cho phép ng i qu n tr to và áp dng QoS Cho phép ng i qu n tr to và áp dng chính sách b o mt 2-9 Mt vài Cisco Catalyst switch a ra m t tính n ng g i là voice VLAN, mà cho phép b n tri n khai m t k thu t voice trên m ng d li u. B n có th phân các in th ai thành nh ng m ng logic riêng bi t, xem c ơ s h tng voice và d li u cùng v t lý Tính n ng voice VLAN t các in th ai vào VLAN ngòai b t k s can thi p c a ng i dùng cu i. ơn, ng i dùng g n in tho i vào switch, và switch cung c p cho in th ai nh ng thông tin VLAN c n thi t Có rt nhi u u im khi s dng voice VLAN. Ng i qu n tr mng có th duy trì s phân chia VLAN m t cách không ranh gi i, ngay c các in th ai di chuy n n v trí mi. B ng cách t các in th ai vào VLAN, i qu n tr mng có nh ng u im v phân an vàu khi n m ng. Nó cng cho phép ng i qu n tr gi li k thu t IP ang tn t i và d gán in th ai IP vào các subnet khác nhau b ng cách dùng DHCP. Thêm vào ó, v i in th ai trong VLAN và , ngi qu n tr mng có th nh n dng và x lý l im ng m t cách d dàng và to ra và áp d ng QoS ho c chính sách b o mt Vi tính n ng voice VLAN, ngi qu n tr có tt c m v hi t cu trúc h tng v t lý, trong lúc duy trì k thu t logic riêng bi t cho thi t b u cu i voice và data. C u hình này t o nhi u hi u qu khi qu n lý m ng có nhi u d ch v 2-9
Hat ng c a VLAN 2-10 Switch có hat ng t ơ ng t bridge. M i VLAN mà bn c u hình trên switch thi hành h c, quy t nh chuy n và lc, vàơ tránh l p khi n u VLAN là mt bridge v t lý riêng bi t Switch thi hành VLAN b ng cách gi i h n chuy n thông tin n port ích trong cùng VLAN. Vì th , khi m t frame n 1 port trên switch, switch ph i truy n l i frame ó ch n nh ng port cùng VLAN. Trong th c t , m t VLAN mà hat ng trên m t switch gi i h n truy n thông tin unicast, multicast, và broadcast. Mt port th ng ch ơ à nó thu c. i v i m t VLAN m rng ngang qua nhi u switch, m t ng trunk yêu c u k t n i 2 switch. M t ng trunk có th mang thông tin cho nhi u VLAN. 2-10
Nh ng c ơ ch thành viên c a VLAN 2-11 Bn c u hình các port thu c m t VLAN phù hp. Các port c a Cisco catalyst switch có th có mt trong các c ơ ch thành viên sau: •Static VLAN: ngi qu n tr s gán các port vào các VLAN m t cách t nh •Dynamic VLAN: cisco catalyst switch h tr dynamic VLAN b ng cách dùng mt VLAN Management Policy Server (VMPS). M t vài switch c thi t k là mt VMPS; b n c ng có th thi t k mt máy ch t VMPS. VMPS ch a mt c ơ s d li u mà nó ánh x a ch c gán vào VLAN nào. Khi m t frame n m t port ng trên switch, switch truy v n VMPS server bi t VLAN nào c gán v i a ch MAC ngu n c a frame v a nh n. T i m t th i im, m t port ng ch thu c m t VLAN. Nhi u host có th hat ng trên m t port ng ch khi chúng cùng VLAN. •Voice VLAN: m t voice VLAN port là mt access port c g n n m t Cisco IP phone, c c u hình dùng VLAN cho thông tin voice và VLAN khác cho thông tin d li u màc nh n t mt thi t b c g n n phone 2-11
Giao th c trunking 802.1Q 2-12 Mt ng trunk là mt k t n i im n i im gi a m t hay nhi u interface c a switch và các thi t b khác nh router ho c switch. ng trunk Ethernet mang thông tin c a nhi u VLAN trên m t k t n i ơ n và cho phép b n m rng VLAN ngang qua m ng. Cisco h tr IEEE 802.1Q cho interface Fast Ethernet và gigabit Ethernet Các ng trunk ethernet h tr nh ng c ơ ch trunk các nhau. B n có th cu hình interface là trunk hay không trunk, ho c nó àm phán trunk v i interface kia. Mi port 802.1q c gán n m t ng trunk. T t c các port trên m t ng trunk là mt native VLAN. M i port 802.1q c gán m t giá tr nh n d ng mà nó da trên native VLAN ID (VID) c a port (m c nh là VLAN1). T t c frame không g n th a ch c gán vào VLAN ch ra trong bi n VID 2-12
802.1Q Frame 2-13 IEEE 802.1Q s dng m t c ơ ch gn a ch ni b bng cách thêm m t c t 4byte vào c t Source Address và Type ho c Length c a ethernet frame g c. B i vì .1q thay i frame, thi t b trunk tính tóan l i FCS c a frame ã c ch nh s a. Switch có nhi m v tìm t i c t a ch byte ã g n vào và quy t nh s phân phát frame n n ơi nào. M t ph n nh ca c t a ch 4byte, chính xác là bit, c s dng ch a frame. Chi ti t c a cái này c ch ra trong chu n IEEE 802.1p. Header c a 802.1q ch a c t 802.1p, vì th bn ph i có 802.1q có 802.1p 2-13
Hi u v Native VLANs 2-14 Mt ng trunk 802.1q và nh ng port trunk c gán n nó có mt giá tr native VLAN. 802.1q không g n c t a ch cho native VLAN . Vì th , các tr m g c có th c nh ng frame không g n c t a ch c bt k frame khác b i vì các frame này g n c t a ch 2-14
Tính n ng VTP 2-15 VTP là mt giao th c thông ip t ng 2 nh m duy trì tính n nh cho c u hình VLAN b ng cách qu n lý vi c t o, xóa, vài tên c a các VLAN ngang qua m ng. VTP h n ch cu hình l i và cu hình không n nh mà có th là nguyên nhân các v n , ch ng h n nh trùng lên VLAN ho c ch ra l ai VLAN không úng Mt VTP domain là mt hay nhi u switch k t n i v i nhau chia s cùng môi tr ng VTP. B n có th cu hình m t switch ch thu c 1 VTP domain Mc nh, m t cisco catalyst switch không có domain qu n lý n khi nh n mt qu ng bá cho m t domain trên ng trunk ho c n khi b n c u hình m t domain. C u hình làm trên m t VTP server c lan truy n ngang qua ng trunk n t t c switch k t n i trong m ng 2-15
Cơ ch VTP To VLANs Ch nh s a VLANs Xóa VLANs Gi và chuy n quáng bá ng b Không th to, Ch to VLANs c c b thay i, ho c Ch nh s a VLANs cc b xóa VLANS Xóa VLANs cc b Gi và chuy n Chuy n qu ng bá nh ng qu ng bá Không ng b ng b 2-16 VTP h at ng trong 3 cơ ch : server, transparent, ho c client. B n có th hòan thành nh ng tác v khác nhau ph thu c vào c ơ ch hat ng c a VTP. c im c a 3 ơ này nh sau: •Server: àơ VTP m c nh., nhng VLAN không c lan truy n trên mng n khi tên domain qu n lý c ch ra ho c c h c. Khi b n thay i cu hình VLAN trên m t VTP server, các thay i c lan truy n n t t c switch trong domain. Thông ip VTP c g i ra ngòai t t c các k t n i trunk •Transparent: khi b n thay i c u hình VLAN trong c ơ ch , thay i ch nh h ng n switch c c b và không lan truy n n các switch khác trong domain. Cơ ch transparent chuy n thông ip VTP mà nó c nh n trong domain •Client: b n không th i c u hình VLAN khi ơ client, tuy nhiên, m t client có th gi b t k VLAN hi n hành c li t kê trong database ca nón nh ng switch trong c ơ ch khác. Thông ip VTP c ng c chuy n trong c ơ ch client VTP Client ch y h u hành Cisco Catalyst không l u VLAN trong NVRAM. Khi switch kh i ng l i, VLAN không c gi li và revision number có giá tr bng 0. , Cisco IOS VTP client l u VLAN trong t p tin vlan.dat trong b nh flash, b ng VLAN vàc gi li. 2-16
Hat ng c a VTP Thông ip VTP c g i nh là multicast. VTP servers and clients c ng b n revision number sau cùng. Thông ip VTP c g i m i l n 5phút ho c khi cói. 2-17 Thông ip VTP c flood ngang qua domain qu n lý. p VTP c gi m i l n 5 phút ho c khi cói x y ra. Nh ng quáng bác truy n trên VLAN m c nh (VLAN 1) dùng m t multicast frame. M t revisin number c a vào m i thông ip VTP. ơ c qu ng bá là hi n hành h ơn thông tin ã l u Mt trong nh ng thành ph n chính nh t c a VTP là revision number. M i l n VTP server ch nh s a thông tin VLAN c a nó, VTP server t ng revision number lên m t. Sau ó, server g i ra ngòai m t thông ip VTP v i revision number m i hơn. N u revision number ang qu ng báơc l u trên switch khác trong VTP domain, switch s ghi thông tin m i è . Revision number c a c ơ ch transparent luôn luôn b ng 0 Mt thi t b nh n thông ip VTP ph i ki m tra s khác nhau c a các bi n tr c khi c ng tác nh n thông tin VLAN. u tiên, tên domain và mt kh u trong thông ip ph i trùng v i c u hình c a switch c c b . K ti p, n u revision number ch ra trong thông ip cao h ơn s , switch c ng tác qu ng bá VLAN. kh i t o l i revision number trên m t vài Cisco catalyst switch, dùng l nh delete vtp . Trên nhi u Cisco Catalyst switch b n có th i VTP domain thành m t tên khác và ói nó tr li kh i t o l i revisin number 2-17
VTP Pruning 2-18 VTP Pruning dùng thông ip VLAN quy t nh khi nào m t ng trunk ang flood thông tin không c n thi t Mc nh, m t ng trunk mang thông tin c a t t c VLAN trong VTP domain. Nóng dùng cho m t vài switch trong m t m ng l n không có port c c b c c u hình trong m i VLAN. Hình v ch ra m t m ng switch v i VTP pruning c c u hình. Ch có switch 2,4, và 5 h tr các port c c u hình trong VLAN 3. Switch 5 khong chuy n thông tin broadcast t máy X n switch 1 và 3. VTP pruning làm t ng b ng thông có sn b ng cách gi i h n flood thông tin n nh ng ng trunk mà thông tin ph i dùng truy c p n nh ng thi t b mng phù hp. Bn ch cu hình VTP puning trên VTP server vàc trên client. 2-18
Cu hình VLANs và Trunks 1. Cu hình và ki m tra VTP. 2. Cu hình và ki m tra 802.1Q trunks. 3. To hay ch nh s a m t VLAN trên VTP server switch. 4. Gán port n VLAN và ki m tra. 5. Th c hi n t o, di chuy n vài. 6. Lu c u hình VLAN. 2-19 Bn s dng các b c sau cu hình và ki m tra m t switch: •Quy t nh có s dng VTP hay không. N u VTP c dùng, c u hình VTP trong c ơ ch server, client, ho c transparent •Cho phép trunking trên các switch k t n i v i nhau •To VLAN trên VTP server và có nh ng VLAN lan truy n n switch khác •Gán port n VLAN b ng cách t nh hay ng •Th c thi thêm, di chuy n, vài các port •Lu c u hình VLAN 2-19
Hưng d n c u hình VTP VTP mc nh trên Cisco Catalyst switch: – VTP domain name: None – VTP mode: Server mode – VTP pruning: Enabled or disabled (model specific) – VTP password: Null – VTP version: Version 1 Mt switch mi có th tng tr thành ph n c a domain khi nó nh n c m t thông ip t server. Mt VTP client có th vi t è mt database c a VTP server database nu client có revision number cao h ơn. Mt domain name không th xóa sau khi nóc gán; nó ch có th c gán l i. 2-20 Khi t o VLAN, b n ph i quy t nh có s dng VTP hay không. V i VTP, b n có th làm thay i c u hình trên m t hay nhi u switch, và nh ng thay i này t ng lan truy n n switch khác trong cùng VTP domain Mc nh giá tr cu hình VTP ph thu c vào mô hình switch và phiên b n ph n mm. Giá tr mc nh c a cisco catalyst switch nh sau: •VTP domain name: None •VTP mode: Server mode •VTP pruning: Enabled or disabled (model specific) •VTP password: Null •VTP version: Version 1 VTP domain name có th c ch ra ho c c h c. M c nh, domain name không c c u hình. B n có th thi t l p password cho VTP domain name. tuy nhiên, n u b n không gán password gi ng nhau trên các switch trong domain , VTP không h at ng c. VTP pruning là mt bi n VLAN mà giao th c VTP qu ng bá. C u hình hay không c u hình VTP pruning trên m t VTP server lan truy n thay i ngang qua domain 2-20
To m t VTP Domain SwitchX# configure terminal SwitchX(config)# vtp mode [ server | client | transparent ] SwitchX(config)# vtp domain domain-name SwitchX(config)# vtp password password SwitchX(config)# vtp pruning SwitchX(config)# end 2-21 Dùng l nh vtp ch nh s a c u hình VTP, g m tên t p tin l u tr , domain name, interface, vàơ. Dùng no vtp xóa tên t p tin ho c tr ra giá tr mc nh. Khi c ơ ch VTP là transparent, b n có th u hình VTP trong t p tin c u hình c a switch b ng cách dùng l nh copy running-config startup-config . 2-21
Ví d v cu hình và ki m tra VTP SwitchX(config)# vtp domain ICND Changing VTP domain name to ICND SwitchX(config)# vtp mode transparent Setting device to VTP TRANSPARENT mode. SwitchX(config)# end SwitchX# show vtp status VTP Version : 2 Configuration Revision : 0 Maximum VLANs supported locally : 64 Number of existing VLANs : 17 VTP Operating Mode : Transparent VTP Domain Name : ICND VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x7D 0x6E 0x5E 0x3D 0xAF 0xA0 0x2F 0xAA Configuration last modified by 10.1.1.4 at 3-3-93 20:08:05 SwitchX# 2-22 Hình v ch ng minh nh ng l nh mà bn dùng cu hình VTP và hi n th tr ng thái VTP. c im c a switch trong ví d : •Switch là transparent trong VTP domain •VTP domain name là •Pruning không c c u hình •Revision number là 0 2-22
Nh ng v n 802.1Q Ch c ch n r ng native VLAN cho m t ng trunk 802.1Q là gi ng nhau trên c 2 u c a ng trunk. Chú ý: native VLAN frames không c g n c t a ch . Mt trunk port không th là mt secure port. Tt c 802.1Q trunking ports trong m t nhóm EtherChannel ph i có cùng cu hình 2-23 Giao th c 802.1q mang thông tin nhi u VLAN trên m t liên k t ơ n trên m t mng nhi u hãng khác nhau. ng trunk 802.1q có nhi u gi i h n. B n nên xem xét nh ng v n sau: •Ch c ch n r ng native VLAN cho m t ng trunk 802.1q là gi ng nhau trên c 2 u c a ng trunk. N u chúng khác, k t qu là lp spanning tree. •Nh ng frame c a native VLAN không c gán c t a ch Sau ây ch ra cách 802.1q tơ ng tác v i nh ng tính n ng khác c a switch •Secure ports: m t trunk port không th là mt secure port •Port grouping: b n có th nhóm nh ng ng trunk thành nh ng nhóm EtherChannel, nhng t t c ng trunk trong cùng nhóm ph i có cùng c u hình. Khi b n t o m t nhóm u tiên, t t c các port, sau khi các bi n màc c u hình cho port u tiên b n gán n group, u nh n giá tr này. N u b n thay i cu hình c a m t trong các bi n này, switch s lan truy n nh ng thay i này n tt c các port trong nhóm. Nh ng thi t l p g m: •Danh sách VLAN c cho phép •Giá thành ng Spanning Tree Protocol cho m i VLAN •a STP port i v i m i VLAN •Cu hình STP PortFast •Tr ng thái trunkl; n u m t port trong nhóm ng ng trunk, t t c các port ng ng trunk 2-23
Cu hình 802.1Q Trunking SwitchX(config-if)# switchport mode {access | dynamic {auto | desirable} | trunk} Cu hình c im trunk c a port SwitchX(config-if)# switchport mode trunk Cu hình m t port nh là port trunk 2-24 • Dùng l nh switchport mode trong mode c u hình interface xét m t Fast Ethernet ho c giagabit ethernet port tr thành trunk port. Nhi u Cisco Catalyst Switch h tr Dynamic Trunking Protocol (DTP), mà qu n lý àm phán trunk tng Lnh có 4 tùy ch n: • Trunk: c u hình port tr thành trunk c nh 802.1q và àm phán v i thi t b kt n i chuy n liên k t thành trunk • Access: xóa trunk và àm phán v i thi t b kt n i chuy n k t n i thành không trunk • Dynamic desirable: port s tng àm phán v i thi t b kt n i tr thành trunk hay không trunk. N u thi t b kt n i n tr ng thái trunk ho c tr ng thái auto thì port tr thành trunk. Ng c l i, port s là không trunk • Dynamic auto: cho phép port tr thành trunk ch khi n u thi t b kt n i n co tr ng thái trunk ho c mong mu n. N u không thi port tr thàh port không trunk •Lnh switchport nonegotiate ch ra r ng gói tin àm phán DTP không c gi trên interface t ng 2. switch không cam k t trong àm phán DTP trên interface này. L nh này ch có giá tr khi interface trong mode trunk ho c access. L nh này tr ra 1 l i n u b n c gng th c thi nó trong mode dynamic. Thêm no tr c l nh này tr ra nh ng thi t l p m c nh. Khi b n c u hình mt port v i l nh switchport nonegotiate, port trunk ch khi n u u bên kia ca link c c u hình trunk. 2-24
•Lnh switchport nonegotiate không hình thành m t ng trunk mode dynamic desirable ho c dynamic auto Sau ây ch ra nh ng b c c u hình m t port là mt port trunk theo 802.1q, b t u trong priviledge EXEC mode Step 1: vào mode c u hình interface và cu hình trunking SwitchX(config)# interface int_type int_number Step 2: C u hình m t port nh là VLAN trunk SwitchX(config-if)# switchport mode trunk Mt vài Cisco Catalyst Switch ch h tr cách óng gói 802.1q, màc c u hình t ng khi trunk c cho phép trên interface b ng cách dùng l nh switchport mode trunk 2-25
Ki m tra m t ưng Trunk SwitchX# show interfaces interface [switchport | trunk] SwitchX# show interfaces fa0/11 switchport Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) . . . SwitchX# show interfaces fa0/11 trunk Port Mode Encapsulation Status Native vlan Fa0/11 desirable 802.1q trunking 1 Port Vlans allowed on trunk Fa0/11 1-4094 Port Vlans allowed and active in management domain Fa0/11 1-13 2-26 ki m tra c u hình trunk trên nhi u cisco catalyst switch, dùng l nh show interface inerface switchport ho c show interface interface trunk hi n th nh ng bi n trunk và thông tin VLAN c a port 2-26
Hưng d n t o VLAN S VLANs ti a là ph thu c vào switch. Hu h t switch h tr 128 spanning tree instance riêng bi t, m t cái trên m t VLAN. VLAN 1 là Ethernet VLAN m c nh Nh ng qu ng bá Cisco Discovery Protocol và VTP c g i trên VLAN 1. a ch IP c a switch là trong VLAN qu n lý (m c nh VLAN 1). Nu s dng VTP, switch ph i là VTP server ho c transparent mi có th to ho c xóa VLANs. 2-27 Tr c khi t o VLAN, b n quy t nh xem có s dng VTP duy thông tin c u hình VLAN tòan c c c a m ng Hu h t switch h tr ti a 128 th c th spanning-tree. N u s switch v t quá s th c th c h tr , khuyên r ng b n nên c u hình Multiple Spanning Tree Protocol (MSTP) trên switch ánh x nhi u VLAN vào m t th c th spanning-tree S VLAN t i a ph thu c vào switch. Nhi u switch t i t ng access có th h tr n 250 VLAN Cisco catalyst switch có mt c u hình m c nh c a hãng h tr các l ai môi tr ng truy n và giao th c khác nhau. Ethernet VLAN m c nh là VLAN 1. nh ng qu ng bá CDP vàc g i trên VLAN1 Bn có th giao ti p v i Cisco Catalyst Switch qu n lý, switch ph i có mt a ch . a ch IP này ph i làa ch ca VLAN qu n lý, m c nh là VLAN1. n u VTP c c u hình, trc khi t o VLAN, switch ph i ơ VTP server ho c VTP transparent 2-27
To m t VLAN SwitchX# configure terminal SwitchX(config)# vlan 2 SwitchX(config-vlan)# name switchlab99 2-28 Sau ây li t kê các l nh c dùng to VLAN: •Vlan vlan-id : ID c a VLAN c t o và cu hình. Vlan-id, trong kh ang 1-4094 khi enhanced software image c cài, trong kh ang 1-1005 khi standard software image c cài. Không c gõ vào 0. b n có th gõ vào m t VID, ho c nhi u VID b ng cách phân cách nhau b i d u “,”, ho c m t kh ang b ng d u n i “_” •Name vlan-name : (tùy ch n) ch ra tên VLAN, m t chu i ASCII t n 32 kí t mà ph i là duy nh t trong domain Mc nh, m t switch trong c ơ ch VTP server thì bn có th to, thay i, ho c xóa VLAN. N u switch trong c ơ ch VTP client, b n không th to, thay i, ho c xóa VLAN Nhi u Cisco Catalyst switch, b n dùng l nh vlan trong global configuration to VLAN và vào c ơ ch cu hình VLAN. Thêm no tr c l nh này xóa VLAN. to m t VLAN n c ơ s d li u c a VLAN, gán m t s và tên cho VLAN. VLAN 1 là VLAN m c nh c a hãng. Kh ang VLAN bình th ng c nh ngh a t 1-1001. s VLAN t n 1005 c dành cho VLAN Token Ring và FDDI. N u switch trong c ơ ch VTP Server ho c VTP transparent, b n có th to, ch nh s a, ho c xóa c u hình VLAN 2 n 1001 trong c ơ s d li u VLAN (VID 1 vàn 1005 c t o t ng và không th xóa) Các c u hình VID t n 1005 c l u vào t p tin vlan.dat (cơ s d li u c a VLAN). B n có th hi n th thông tin VLAN b ng cách gõ l nh show vlan. Tp tin vlan.dat c l u trong flash 2-28
to m t Ethernet VLAN, b n ph i ch ra ít nh t 1 s . N u tên c a VLAN không c ch ra, m c nh nó s ni s ó vào t vlan. Ví d, VLAN0004 s là tên m c nh c a VLAN 4 n u tên không c ch ra. 2-29
Ki m tra m t VLAN SwitchX# show vlan [brief | id vlan-id || name vlan-name ] SwitchX# show vlan id 2 VLAN Name Status Ports 2 switchlab99 active Fa0/2, Fa0/12 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 2 enet 100002 1500 - - - - - 0 0 . . . SwitchX# 2-30 Sau khi c u hình VLAN, b n nên ki m tra nh ng bi n c a VLAN ó. Dùng l nh show vlan id vlan_number ho c show vlan name vlan_name hi n th thông tin v mt VLAN nào ó Dùng l nh show vlan brief hi n th mt dòng cho m i VLAN mà hi n th tên VLAN, tr ng thái, và các port c a switch Dùng l nh show vlan hi n th thông tin c a t t c c c u hình. Lnh này hi n th nh ng port c gán n VLAN. Nh ng bi n VLAN khác c hi n th gm type (m c nh là ); security association ID (SAID), c s dng cho ng trunk FDDI; MTU (m c nh là 1500 cho ethernet VLAN); STP; và các bi n khác c dùng cho Token Ring ho c FDDI VLAN. 2-30
Gán Port c a switch n m t VLAN SwitchX(config-if)# switchport access [vlan vlan# | dynamic] SwitchX# configure terminal SwitchX(config)# interface range fastethernet 0/2 - 4 SwitchX(config-if)# switchport access vlan 2 SwitchX# show vlan VLAN Name Status Ports 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4 2-31 Sau khi t o m t VLAN, b n có th gán m t port ho c m t s port b ng tay n VLAN ó. T i m t th i im, m t port ch có th thu c m t VLAN. Khi b n gán mt port n VLAN b ng cách này, nóc bi t nh là mt static-access port Trên h u h t Cisco catalyst switch, b n gán port n VLAN t mode c u hình interface b ng l nh switchporrt access . Dùng tùy ch n vlan vlan_number thi t l p m i quan h static-access. Dùng tùy ch n dynamic u khi n và gán bng VMPS. 2-31
Ki m tra các thành viên c a VLAN SwitchX# show vlan brief SwitchX# show vlan brief VLAN Name Status Ports 1 default active Fa0/1 2 switchlab99 active Fa0/2, Fa0/3, Fa0/4 3 vlan3 active 4 vlan4 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup VLAN Name Status Ports 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 2-32 Dùng l nh show vlan brief xem các thành viên c a t t c VLAN 2-32
Ki m tra các thành viên c a VLAN(tt.) SwitchX(config-if)# show interfaces interface switchport SwitchX# show interfaces fa0/2 switchport Name: Fa0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 2 (switchlab99) Trunking Native Mode VLAN: 1 (default) output omitted 2-33 Cách khác, dùng l nh show interfaces interface switchport trong priviledge EXEC hi n th thông tin VLAN c a m t interface 2-33
Th c th to, di chuy n, vài cho các VLAN Khi dùng VTP, switch ph i là VTP server ho c transparent thì mi có th to, thay i, ho c xóa VLAN. Khai thay i VLAN t mt switch trong c ơ ch VTP server, nh ng thay i c lan truy n n các switch khác trong VTP domain. Thay i VLAN hàm ý thay i m ng IP Sau khi m t port c gán l i m t VLAN m i, port ó tng xóa kh i VLAN tr c ó. Khi xóa m t VLAN, bt k các port trong VLAN óc di chuy n n m t active VLAN s không th giao ti p v i các tr m khác. 2-34 Tạo, di chuy ển, và thay đổi VLAN Khi s ơ mng, nh ng yêu c u c a doanh nghi p, vài cá nhân, yêu c u VLAN c ng thay i. to, thay i, xóa VLAN, Switch ph i là VTP server ho c VTP transparent. Khi b n thay i VLAN t mt switch trong c ơ ch VTP server, nh ng thay i t ng lan truy n n các switch trong domain. Nh ng thay i c a switch trong c ơ ch VTP transparent ch có ý ngh a c c b ti switch ó; nh ng thay i này không lan truy n trong domain Tạo VLAN và gán port Sau khi t o VLAN m i, ch c ch n ph i làm nh ng thay i c n thi t n vi c gán port Nh ng VLAN riêng bi t ng ý là nh ng m ng IP riêngt bi t. Ch c ch n lên k hach a ch IP m i và tri n khai n các tr m tr c khi di chuy n ng i dùng n VLAN m i. Nh ng VLAN riêng bi t c ng yêu c u nh tuy n gi a các VLAN i dùng trong VLAN m i có th giao ti p v i nh ng VLAN khác. nh tuy n gi a các VLAN g m thi t l p nh ng bi n IP và dch v thích hp, g m default gateway và DHCP. Thay đổi VLAN và các port thành viên ch nh s a các thu c tính c a VLAN, , dùng l nh vlan vlan- id trong global configuration 2-34
di chuy n m t port n VLAN khác, dùng cùng l nh mà bn ã dùng gán port t u. Không c n ph i xóa port kh i VLAN làm thay i này. Sau khi b n gán l i mt port n VLAN m i, port ó tng xóa kh i VLAN tr c ó. Xóa VLAN và các port Khi xóa m t VLAN t mt switch trong VTP server, c xóa t tt c switch trong domain. Khi b n xóa m t VLAN t mt switch trong VTP transparent,, VLAN ch b xóa trên switch ó. Dùng l nh no vlan vlan-id xóa m t VLAN gán l i m t port n VLAN m c nh (VLAN1), dùng l nh no switchport access vlan trong interface configuration 2-35
Tóm t t Mt m ng c thi t k nghèo nàn làm t ng h tr chi phí, gi m tính s n sàng c a ng d ng, và gi i h n h tr nh ng ng d ng và gi i pháp m i. VLANs cung c p phân an và t ch c linh h at. ng trunk Ethernet mang thông tin c a nhi u VLAN trên m t liên k t ơ n và cho phép b n m rng VLAN ngang qua m ng. VTP là mt giao th c thông ip t ng 2 mà nó duy trì tính tòan vn c a c u hình VLAN. 2-36 2-36
2-37 2-37
Bài 3 : C i ti n hi u su t v i Spanning Tree Xây d ng m ng switch có kích th ưc trung bình 3-1 3-1
Nh ng k thu t k t n i K thu t S dng Fast Ethernet Kt n i nh ng thi t b ca ng ưi dùng n switch t ng access Gigabit Ethernet Kt n i các switch tng access n switch tng distribution và các server truy su t cao n switch 10-Gigabit Cung c p switch t c Ethernet n nh ng liên k t c a switch, backbone EtherChannel Cung c p switch t c n nh ng liên k t c a switch, backbone v i s d phòng 3-2 Mt s k thu t có sn kt n i các thi t b trong m ng switch. B n ch n k thu t k t n i nào ph thu c vào kh i l ng thông tin mà link gánh ch u. B n s thích s dng cáp h n h p g m cáp ng và cáp quang, d a trên kh ang cách, nhi u, b o m t, và nh ng yêu c u th ơ ng m i khác. M t vài k thu t sau: •Fast Ethernet (100Mp/s Ethernet): nh ng tiêu chu n LAN này (IEEE 802.3u) hat ng 100Mbps trên cáp xo n ôi. Chu n Fast Ethernet c i ti n t c Ethernet t 10Mbps thành 100Mbps ch vi m t thay i nh n c u trúc cáp ang t n t i. M t switch có các port h tr c 10Mb và 100Mb có th di chuy n frame gi a các port mà không c n chuy n i giao th c t ng 2. •Gigabit Ethernet: m t m rng c a chu n Ethernet IEEE802.3, Gigabit Ethernet t ng t c Fast Ethernet lên 10 l n, n 1000Mbps, ho c 1Gbps. IEEE802.3z ch ra thao tác trên cáp quang, và IEEE802.3ab ch ra thao tác trên cáp xo n ôi. •10Giagabit Ethernet: 10Gigabit Ethernet c phê chu n nh là mt chu n Ethernet 802.3 vào tháng 6 nm 2002. k thu t này làc k ti p cho vi c m rng hi u su t và tính n ng c a m t enterprise. V i s phát tri n c a Gigabit Ethernet s tr thành in hình cho uplink •EtherChannel: tính n ng này cung c p h i t ng liên k t tng 2 gi a 2 switch. EtherChannel ghép nh ng port Ethernet riêng r thành mt port ho c m t liên k t logic. T t c interface trong m i bó EtherChannel ph i c c u hình v i t c , duplex vàơ 3-2
Ch n thi t b và cáp c n thi t Mi link cung c p b ng thông thích h p cho t ng bng thông trên link ó. 3-3 Có 4 v n trong vi c thi t k mng cho hi u su t cao: b o m t, tính s n sàng, tính m rng, và kh n lý. vi c ch n nh ng thi t b và cáp mà bn nên xem xét: •Thay th nh ng hub và switch th a k vi nh ng switch m i t i t ng access. Ch n nh ng thi t b ti t ng access có s port phù hp h tr i dùng hi n t i và phát tri n trong t ơ ng lai. M t vài ng i thi t k có k hach 30% cho phát tri n. N u ngân sách cho phép, s dng switch theo d ng module thích h p cho vi c m rng trong t ơ ng lai. Có K hach h tr ngu n cp ph i theo dây và ch t l ng c a d ch v (QoS) n u b n ngh bn ph i tri n khai IP telephone trong t ơ ng lai. •Khi xây d ng cáp n i t tng access n nh ng thi t b tng distribution, nh rng k t n i này mang t ng traffic t các thi t b tng access. Ch c ch n r ng nh ng link này có ích h p. B n có th s dng EtherChannel cng b ng thông khi c n thi t. •Ti t ng distribution, ch n các switch v i hi u su t thích h p áp ng t i cho t ng access. Thêm vào ó, có k hach m t vài port trunk sau này khi thêm thi t b tng access. Nh ng thi t b ti t ng này nên là multilayer (layer 2 và 3) switch mà h tr nh tuy n gi a các VLAN và tài nguyên m ng. Ph thu c vào kích th c m ng, nh ng thi t b tng distribution có th có khung c nh hay module. K hach d phòng trong vi c ch n khung và trong k t n i n t ng access và , nh là mc tiêu c a doanh nghi p. 3-3
•Thi t b backbone ph i h tr giao ti p d li u t c cao gi a các module con. Ch c ch n kích th c backbone có th m rng và k hach d phòng. Cisco có nh ng công c tr c tuy n giúp cho ng i thi t k ch n l a thi t b và uplink port phù hp v i doanh nghi p và k thu t. M t vài g i ý mà bn có th s dng lên k hach b ng thông gi a các thi t b chính trên m ng: •Liên k t t tng access n distribution: liên k t này có th là 1/20 c a tng b ng thông c a t t c các thi t b i dùng s dng liên k t này •T tng distribution n core: ơ ¼ •Gi a các thi t b tng core: có th mang t t c traffic v i t c bng tng b ng thông c a các liên k t t n core. 3-4
u im c a EtherChannel S tp h p logic c a các liên k t t ươ ng t gi a các switche Chia s ti ngang qua các liên k t ưc xem nh ư là mt port logic trong STP D phòng 3-5 Tng s tri n khai c a Ethernt switch n desktop có th là do s a ng dng yêu c u b ng thông cao. Nh ng giao ti p c a ng d ng m i, nh video n desktop, messaging, white-boarding, i t ng b ng thông. V i s tri n khai c a liên kt Ethernet nhanh h ơn trong m ng, t ch c c n ph i k t h p nh ng tài nguyên ang t n ti ho c t ng t c ca uplink và t l vi hi u su t ngang qua m ng backbone. EtherChannel là mt k thu t mà Cisco tri n khai ghép nhi u port Fast Ethernet ho c Giga Ethernet trên switch thành m t kênh logic. L i ích c a EtherChannel là r ơ media t c cao trong lúc s dng l i nh ng port c a switch ang t n t i. Sau ây là nh ng u im c a EtherChannel: •Cho phép t o ra m t liên k t logic t c rt cao •Chia s ti gi a các liên k t v t lý •Cung c p kh c ph c l i t ng •Cu hình trên liên k t logic thay cho liên k t v t lý K thu t EtherChannel cung c p m rng b ng thông trong campus: •Fast Ethernet: lên n 800Mbps •Gigabit Ethernet: lên n 8Gbps •10Gigabit Ethernet: lên n 80Gbps 3-5
K thu t d phòng K thu t d phòng gi i h n nh ng im l i ơ n. K thu t d phòng gây ra bão broadcast, nhi u b n copy c a frame Và bng a ch MAC không n nh. 3-6 Trong khi thi t k d phòng có th gi i h n kh a im l i ơ n làm tòan b mng switch ho c bridge dán an, b n ph i xem xét nh ng v n mà thi t k d phòng gây ra. M t vài v n có th xy ra v i nh ng liên k t và thi t b d phòng trong m ng switch nh sau: •Bão broadcast: không có ch ng loop, m i switch ho c bridge làm tràn ng p broadcast. Trng h p này c g i bão broadcast •Truy n nhi u frame: nhi u b n copy c a frame unicast có th c phân phát n tr m ích. Nhi u giao th c mong ch ch nh n m t frame. Nhi u b n copy ca frame có th là nguyên nhân l i unrecoverable •Bng a ch MAC không n nh: b ng a ch MAC không n nh d n n nhi u b ng copy c a m t frame c nh n trên nh ng port khác nhau c a switch. Vi c chuy n d li u có th b hng khi switch dùng tài nguyên mài bng a ch MAC không n nh Nh ng giao th c LAN t ng 2, , thi u m t c ơ ch nh n d ng và hn ch loop. M t vài giao th c t ng 3 thi hành c ơ ch gi i h n s th i gian m t thi t b mng t ng 3 có th truy n l i m t gói tin. S thi u m t c ơ ch , nh ng thi t b tng s truy n l i frame b loop vô h n Yêu c u m t c ơ ch ch ng loop gi i quy t nh ng v n này. 3-6
Broadcast Frames Máy D gi m t broadcast frame. Broadcast frames làm ng p l t t t c các port ng ai tr port g 3-7 Switch ho c bridge g i broadcast vàn t t c các port ng ai tr port ã nh n. M t switch ho c bridge ch a bao gi hc a ch broadcast ho c multicast b i vìa ch broadcast và xu t hi n nh làa ch ngu n c a m t frame. Làm tràn ng p broadcast và multicast frame là mt v n trong m t s ơ mng switch v i k thu t d phòng 3-7
Bão Broadcast Máy X gi m t broadcast. Nh ng switch ti p t c lan truy n thông tin broadcast mãi mãi 3-8 • Bão broadcast x y ra khi m i switch trên m ng d phòng làm tràn ng p broadcast frame. Nh ng switch làm tràn ng p broadcast frame n t t c các port ng ai tr n. Ví dụ: Hình v ch ng minh bão broadcast. Sau ây mô t nh ng s ki n gây nên bão broadcast: 1. Khi máy X g i m t broadcast frame, ví d mt ARP cho default gateway c a nó (router Y), switch A nh n frame 2. Switch A ki m tra c t a ch ích trong frame và quy t nh r ng frame c flood n liên k t Ethernet th p h ơn, segment 2 3. Khi b n copy c a frame n switch B, ti n trình l p l i, vàc chuy n n segment 1 4. Bi vì có mt b n copy c a frame c ng n switch B liên k t Ethernet trên, nh ng frame này t o loop trong c hng, dù là ó tr m ích ã nh n c m t b n copy c a frame • Bão broadcast có th làm phá v dòng traffic bình th ng. Nó cng có th phá hy t t c các thi t b trên m ng switch ho c bridge vì CPU trong m i thi t b trên segment ph i x lý broadcast; vì th , bão broadcast có th khóa PC và Server mà gng x lý t t c broadcast frame. •Mt c ơ ch tránh loop gi i h n v n này b ng cách ng n ch n m t trong 4 interface t n trong lúc h at ng bình th ng., vì th b gãy c loop. 3-8
Copy nhi u frame Máy X gi m t unicast frame n router Y. a ch MAC ca router Y không ưc h c b i các switch. Router Y s nh n 2 b n copy c a cùng frame. 3-9 • Trong m t s ơ d phòng, nhi u b n copy c a cùng frame có th n m t máy, nguyên nhân nh ng v n cho giao th c ang nh n. H u h t các giao th c không c thi t k nh n d ng nhi u copy c a cùng frame. Thông th ng, nh ng giao th c s dng c ơ ch ánh s th t, gi s vi c truy n b li và s th t ó c ánh l i. Nh ng giao th c khác c gng chuy n giao nh ng frame trùng l p này n nh ng giao th c t ng trên, v i k t qu không d óan tr c. Ví dụ: • Hình v ch ng minh copy nhi u frame x y ra nh th nào. Sau ây, li t kê nh ng s ki n: 1. Khi máy X g i m t unicast frame n router Y, m t b n copy c nh n trên kt n i ethernet tr c ti p, segment 1. t i th i im ó ho c sau kh ang th i gian, switch A nh n c m t b n copy c a frame và ó vào vùng m. 2. Nu switch A ki m tra c t a ch ích trong frame và không tìm th y dòng nào trong b ng a ch MAC cho router Y, Switch A s flood frame ra t t c các port ng ai tr port nh n. 3. Khi switch B nh n m t b n copy c a frame ngang qua switch A trên segment 2, switch B c ng chuy n m t b n copy c a frame n segment 1 n u nó không tìm th y m t dòng trong b ng a ch MAC cho router Y. 4. Router nh n m t b n copy th 2 c a cùng frame. •Mt c ơ ch tránh loop gi i h n v n này b ng cách ng n ch n m t trong 4 interface t n trong lúc h at ng bình th ng., vì th b c loop. 3-9
Bng a ch MAC không n nh Máy X g i m t unicast frame n router Y. a ch MAC ca router Y không ưc h c b i switch. Switches A và B hc a ch MAC ca máy X trên port 1. frame n router Y b flood Switch A và B hc không úng a ch MAC c a máy X trên port 2. 3-10 Khi nhi u b n copy c a m t frame n trên nh ng port khác nhau c a switch d n n b ng a ch MAC không n nh. Sau ây mô t vn này. Ví dụ: Trong hình v , switch B thêm m t dòng, ánh x a ch MAC c a máy X n port 1. sau ó, khi b n copy c a frame c truy n n port 2 c a switch B ngang qua switch A, Switch B xóa dòng v a thêm và thêm vào m t dòng m i không úng mà ánh x a ch MAC c a máy X n port 2, mà kt n i n segment 2. Ph thu c vào ki n trúc bên trong, switch có th ho c không th i phó vi s thay i nhanh chóng c a b ng a ch MAC. M t c ơ ch tránh loop gi i h n v n này b ng cách ng n ch n m t trong 4 interface t n trong lúc hat ng bình th ng., vì th bc loop. 3-10
Gi i quy t l p vi STP Cung c p m t s ơ mng d phòng không có lp b ng cách t nh ng port nào ó vào tr ng thái khóa ưc ư a ra trong chu n IEEE 802.1D Nâng cao v i tri n khai Cisco PVST+ 3-11 STP cung c p gi i pháp ch ng l p b ng cách qu n lý nh ng ng v t lý n các segment m ng. STP cho phép d phòng nh ng ng v t lý trong lúc ng n ch n nh ng nh h ng không mong mu n c a l p trong m ng. STP là mt chu n c nh ngh a trong 802.1d c IEEE a ra. Nh ng hành vi c a STP nh sau: •STP s bt bu c nh ng port nào ó tr ng thái d chúng không l ng nghe, chuy n hay flood frame. ó, t i m i th i im ch có mt ng n mi segment m ng. •Nu có mt k t n i nào ó có vn , STP thi t l p l i k t n i b ng cách t ng cho phép ng d c ó hat ng, n u m t k t n i t n t i. 3-11
Hat ng c a Spanning-Tree Mt root bridge trên broadcast domain. Mt root port trên nonroot bridge. Mt designated port trên segment. Các Nondesignated port không ưc s dng. 3-12 STP th c hi n nh ng b c sau cung c p m t s ơ mng logic không l p 1. Ch n m t root bridge: STP có mt ti n trình ch n root bridge. Trong m ng ch có mt bridge có th là root bridge. Trên root bridge, t t c các port u là designated port. Designated port th ng tr ng thái forwarding. Khi tr ng thái forwarding, m t port có th gi và nh n d li u. Trong hình v , switch X c ch n làm root bridge. 2. Ch n root port trên nonroot bridge: STP thi t l p m t root port trên m i nonroot bridge. Root port làng có giá thành th p nh t t n root bridge. ng tr ng thái forwarding. Giá thành c a con ng Spanning-tree là mt giá thành c ng d n c tính tóan trên b ng thông. Trong hình, ng có giá thành th p nh t n root bridge t switch Y là qua ng 100 Base-T Fast Ethernet. 3. Ch n designated port trên m i segment: trên m i segment, STP thi t l p m t designated port. Designated port c ch n trên bridge mà có ng có giá thành th p nh t n root bridge. ng tr ng thái forwarding, chuy n d li u cho segment. Trong hình v , designated port cho c 2 segment là trên root bridge b i vì root bridge k t n i tr c ti p n 2 segment này. Port 10Base-T Ethernet trên switch Y là nondesignated port b i vì ch có mt designated port trên m i segment. ng tr ng thái bloking b gãy loop. Khi m t port tr ng thái blocking, nó không chuy n d li u nh ng v n có th nh n thông tin. 3-12
Ch n Root Bridge BPDU (m c nh g i m i l n 2 giây) Root bridge = bridge vi bridge ID nh nh t Bridge MAC Bridge ID = Priority Address 3-13 Nh ng switch vày thu t tóan spanning-tree trao i thông ip cu hình v i các switch và bridge khác theo chu k 2 giây. Nh ng switch và trao i nh ng thông ip này dùng m t multicast frame c g i là BPDU (Bridge Protocol Data Unit). M t trong nh ng thông tin trong BPDU là Bridge ID (BID). STP g i cho m i switch ho c bridge c gán m t BID duy nh t. BID g m 8 byte (2 byte ch ra giá tr à byte a ch MAC). Giá tr c nh là 32,768, là giá tr kh ang gi a. Root bridge là bridge có BID nh nh t. Ví dụ: Trong hình v , c switch u có cùng giá tr . Switch cóa ch MAC th p nh t là root bridge. Trong ví d, switch X là root bridge v i BID là 0x8000(0c00.1111.1111). 3-13
Tr ng thái c a các port trong Spanning-Tree Spanning tree chuy n m i port ngang qua nhi u tr ng thái khác nhau 3-14 Có 5 tr ng thái: •Blocking •Listening •Learning •Forwarding •Disabled Khi STP c c u hình, m i bridge trong m ng khi b t ngu n i ngang qua tr ng thái blocking và nh ng tr ng thái trung gian listening và learning. N u c c u hình thích hp, sau ó các port n nh tr ng thái forwarding ho c blocking. Nh ng port forwarding cung c p ng i có giá thành th p nh t n root bridge. Trong khi m t s ơ thay i, m t port thi hành t m th i tr ng thái listening và learning. Tt c các port c a bridge b t u kh i t o tr ng thái blocking, mà chúng l ng nghe BPDU. Khi u tiên b t lên, tính n ng c a nó à mt root bridge và chuy n n tr ng thái listening. M t s vng m t BPDU trong m t kh ang th i gian nào óc g i là maximum age(max_age), m c nh là 20 giây. N u m t port tr ng thái blocking và không nh n m t BPDU m i trong kh ang max_age, bridge s chuy n t tr ng thái blocking sang listening. Khi m t port tr ng thái listening, nó có th gi và nh n BPDU quy t nh s ơ hat ng. T i th i im này, switch không chuy n b t k d li u nào ca ng i dùng. Trong tr ng thái listening, bridge th c hi n 3 c sau: •Ch n root bridge •Ch n root port trên nonroot bridge 3-14
•Ch n designated port trên m i segment Th i gian mt port chuy n t tr ng thái listening sang tr ng thái learning ho c t tr ng thái learning sang tr ng thái forwarding c g i là forward delay. Forward delay có giá tr mc nh là 15 giây Tr ng thái learning làm gi m kh i l ng flood c yêu c u khi b t u chuy n d li u. N u m t port v n là designated ho c root port t i cu i tr ng thái learning, port chuy n n tr ng thái forwarding. Trong tr ng thái forwarding, m t port có th gi và nh n d li u c a ng i dùng. Nh ng port không ph i designated ho c root port chuy n tr li tr ng thái blocking Thông th ng m t port chuy n t tr ng thái blocking n tr ng thái forwarding mt kh ang 30 n 50 giây. B n có th u ch nh nh ng th i gian này, nh ng nh ng th i gian này là giá tr trung bình thi t l p giá tr mc nh. Nh ng giá tr mc nh cho m ng có th i gian thu th p t t c úng v mt sơ mng 3-15
Mô t PortFast PortFast ưc c u hình trên access ports, không ph i trunk ports. 3-16 PortFast c c u hình trên access port c a switch chuy n ngay t tr ng thái blocking sang tr ng thái forwarding, b qua tr ng thái listening và learning. Bn có th s dng PortFast trên access port mà kt n i n m t máy tr m ho c server cho phép các thi t b này k t n i n m ng ngay mà không ph i i spanning-tree h i t . Nu m t interface c c u hình PortFast nh n m t BPDU, ó, Spanning tree có th chuy n port n tr ng thái blocking s dng m t tính n ng c g i là BPDU guard. 3-16
Cu hình và ki m tra PortFast SwitchX(config-if)# spanning-tree portfast Cu hình PortFast trên m t interface OR SwitchX(config)# spanning-tree portfast default Cu hình PortFast trên t t c interface không ph i trunking SwitchX# show running-config interface interface Ki m tra PortFast ã ưc c u hình trên interface 3-17 Bng sau ây li t kê các l nh c dùng cu hình và ki m tra PortFast trên mt interface. •Switch(config-if)# spanning-tree portfast: cu hình PortFast trên access port và ào tr ng thái forwarding. •Switch(config-if)# no spanning-tree portfast : b PortFast trên access port. Mc nh, PortFast không c c u hình. •Switch(config)# spanningtree portfast default: cho phép PortFast trên t t c các port không ph i trunking. Khi tính n ng này c c u hình, port chuy n t tr ng thái blocking sang forwarding mà không c n chuy n sang các tr ng thái trung gian. •Switch# show running-config interface type slot /port: ch ra PortFast cóc cu hình trên port không. Nó cng c dùng ch ra n u c u hình ã x y ra trên m t EtherChannel link b ng cách ch ra port-channel channel_number thay cho type slot/port 3-17
Ví d v hat ng Spanning-Tree 3-18 Sau ây mô t tr ng thái c a các port trong hình v : •Root bridge là switch Z, nó có BID nh nh t. •Root port là port 1 trên switch X và Y. Port 1 làng có giá thành th p nh t n root trên c 2 switch. •Designated port trên switch Z là port 1 và 2. t t c các port trên root là designated port. Port 2 c a switch X là designated port cho segment gi a switch X và Y. B i vì switch X và Y có giá thành ng i b ng nhau n root bridge, port c ch n trên switch X b i vì nó có BID th p h ơn Switch Y. •Port 2 trên switch Y là nondesignated port trên segment và tr ng thái blocking. •Tt c designated vàu tr ng thái forwarding. 3-18
Giá thành ưng i Spanning-Tree Tc ưng Giá thành (Revised IEEE Giá thành (Previous IEEE truy n Specification) Specification) 10 Gb/s 2 1 1 Gb/s 4 1 100 Mb/s 19 10 10 Mb/s 100 100 3-19 Giá thành ng i spanning tree là tng giá thành ng i c c ng d n d a trên b ng thông c a t t c các link trong ng i. Trong hình v , m t vài giá thành ng i c ch ra trong 802.1D. Chu n 802.1D c s a i; trong chu n c , giá thành c tính d a trên b ng thông 1000Mbps. Chu n m i s dng m t t l không tuy n tính, phù hp v i interface t c cao. 3-19
Tính tóan l i Spanning-Tree 3-20 Khi có mt thay i s ơ do m t liên k t b li, spanning tree iu ch nh l i s ơ mng ch c ch n k t n i b ng cách chuy n port tr ng thái blocking sang tr ng thái forwarding. Ví dụ: tính tóan l ại spanning-tree Trong hình v , n u switch Z (root bridge) l i và không g i BPDU n swtich Y trong kh ang th i gian max_age (m c nh 20 , tơ ng ơ ng 10BPDU b li), switch Y phát hi n không nh n c BPDU t root bridge. Khi max_age trên switch Y h t th i gian tr c khi m t BPDU c nh n t switch Z, m t tính tóan l i spanning tree c kh i t o. Switch Y chuy n port 2 t tr ng thái blocking sang listening n learning, và cu i cùng n tr ng thái forwarding. Sau khi t t c các port c a switch chuy n n tr ng thái forwarding ho c blocking, switch X tr thành root bridge và chuy n d li u gi a các segment. Hội t ụ STP S hi t trong STP là mt tr ng thái mà tt c các port trên switch vàc chuy n n tr ng thái forwarding ho c blocking. H i t là cn thi t cho m t m ng h at ng bình th ng. i v i m ng switch ho c bridge, m t g i ý chính là kh i l ng th i gian yêu c u hi t ơ mng thay i. Hi t nhanh là mt tính n ng m ng mong mu n b i vì nó gi m kh i l ng th i gian mà các port chuy n tr ng thái và không g i d li u c a ng i dùng. Th i gian h i t th ng làn 50 giây i v i chu n 802.1D. 3-20
Per VLAN Spanning Tree Plus 3-21 Chu n 802.1D nh ngh a m t Common Spanning Tree (CST) mà gi s rng ch mt th c th spanning tree cho tòan b mng switch, không chún s VLAN. Trong m t m ng ch y CST, nh ng câu này úng: •Không th chia s ti, m t uplink ph i khóa t t c VLAN. •CPU th a; ch mt th c th spanning tree ph i c tính tóan. PSVT+ nh ngh a m t giao th c spanning tree mà có nhi u th c th ang ch y trên m ng, m t th c th ca STP trên m t VLAN. Trong m t m ng ang ch y nhi u th c th spanning tree, nh ng câu này úng: •Chia s ti có th t c. •Mt th c th spanning tree cho m i VLAN c duy trì có ngh a là tn CPU i vi các switch trên m ng (t n b ng thông c s dng cho m i th c th gi BPDU). Họat động PVST+ Trong môi tr ng Cisco PVST+, b n có th u ch nh nh ng bi n spanning tree mà mt n a VLAN chuy n trên m i ng trunk uplink. t c iu này mt cách d dàng, b n c u hình m t switch c ch n là root bridge cho m t n a tng s VLAN trong m ng, và mt switch th c ch n làm root bridge cho mt n a VLAN còn l i. Cung c p nh ng root switch khác nhau trên VLAN t o ra mt m ng nhi u d phòng. 3-21
PVST+ Extended Bridge ID Bridge ID without the extended system ID Extended bridge ID with system ID System ID = VLAN 3-22 Hat ng spanning tree yêu c u m i switch ph i có mt BID duy nh t. Trong chu n 802.1D ban u, BID g m àa ch MAC c a switch, và tt c c miêu t bi m t CST. B i vì PVST+ yêu c u m i th c th spanning tree riêng bi t cho tng VLAN, c t BID yêu c u mang thông tin VLAN ID(VID). u này c hòan thành bng cách dùng l i m t vùng c a c t Priority nh là mt system ID m rng . làm cho phù hp system ID m rng, 802.1D ban u, c t 16bit c chia lam 2 c t , k t qu : •a bridge: m t c t 4bit v n c s dng mang giá tr . B i vì s bit b gi i h n, á tr c tính tóan trong l ng gia c a 4096 hơn là giá tr tính tóan trong l ng gia c a 1, khi nó là bit. c nh là 32,768, là giá tr kh ang gi a. •System ID m rng: m t c t 12bit mang, trong tr ng h p này, VID cho PVST+. •a ch MAC: m t c t 6byte l u a ch MAC c a switch. Vi công d ng c a a ch MAC, m t BID luôn luôn là duy nh t. Khi à system ID m rng đi li ền vi a ch MAC c a switch, m i VLAN trên switch c bi u di n bi m t BID duy nh t. Nu c c u hình, m i switch cóng nhau, và vi c ch n root c a m i VLAN c d a trên a ch . Phơ ng pháp này là mt ph ơ ng pháp ch n root bridge ng u nhiên; vì lý do này, nên gán p nh t cho switch làm root bridge. 3-22
Giao th c Rapid Spanning Tree 3-23 RSTP, c nh ngh a trong chu n IEEE 802.1w, thay th c nh ngh a trong 802.1D, trong lúc v n t ơ ng thích v i STP. c xem nh là mt s phát tri n c a chu n 802.1D hơn là mt cu c cách m ng. Thu t ng trong 802.1D vơn v n gi ng nhau. H u h t nh ng bi n không thay i, vì th nh ng ng i dùng ã quen v i 802.1D có th cu hình giao th c m i này. RSTP làm gi m th i gian h i t ca m ng khi có si s ơ vt lý ho c nh ng bi n c u hình x y ra. nh ngh a thêm nh ng lu t thay th và backup ca port, và nónh ngh a nh ng tr ng thái c a port g m discarding, learning, ho c forwarding. RSTP ch n m t switch nh là root c a m t s ơ at ng spanning tree và gán nh ng lu t c a port cho các port trên switch, ph thu c vào port ó là ph n nào c a s ơ . RSTP cung c p k t n i nhanh n u switch, port trên switch, ho c VLAN b li. M t root port va designated port m i trên switch khác chuy n sang tr ng thái forwarding ngang qua m t b t tay t ng minh gi a chúng. RSTP cho phép c u hình port trên switch mà các port có th chuy n sang tr ng thái forwarding tr c ti p khi switch kh i ng l i. Per VLAN Rapid Spanning Tree Plus (PVRST+) Chu n RSTP s dng CST, mà gi s ch mt th c th spanning tree cho tòan b mng, không ph thu c vào s . PVRST+ nh ngh a m t giao th c spanning tree mà có mt th c th RSTP trên 1 VLAN. 3-23
Multiple Spanning Tree Protocol(MSTP) MSTP, c nh ngh a trong IEEE 802.1s và sau này c nh p vào IEEE 802.1Q-2003, nh ngh a m t giao th c spanning tree mà có nhi u th c th spanning tree ang ch y trên m ng. Nhng không gi ng v i PVRST+, mà có mt th c th RSTP trên 1 VLAN, MSTP làm gi m t i switch b ng cách cho phép m t th c th ơy trên nhi u VLAN Nh ững lu ật c ủa port trong RSTP RSTP nh ngh a lu t c a port nh sau: •Root: m t port có tr ng thái forwarding c ch n cho s ơ spanning tree •Designated port: m t port có tr ng thái forwarding c ch n cho m i segment •Alternate: m t ng thay th n root bridge mà nó khác v i ng i t root port •Backup: m t ng d phòng mà nó cung c p k t n i d n m t segment n port trên switch khác th c s kt n i. Nh ng port backup ch có th tn t i ơ à 2 port có cung k t n i trong m t loopback b i m t liên k t point-to-point ho b bridge v i 2 hay nhi u k t n i n m t segment LAN chia s •Disabled: m t port mà không có lu t nào trong h at ng c a spanning tree Root và designated port nh ng c a vào trong s ơ hat ng. Alternate vàc a vào s ơ hat ng Tr ạng thái c ủa nh ững port trong RSTP Tr ng thái port iu khi n ti n trình forwarding và learning và cung c p nh ng giá tr ca discarding, learning và forwarding. B ng sau ây so sánh tr ng thái ca port trong STP và . Trong s ơ n nh, RSTP ch c ch n r ng m i root port và designated port chuy n n tr ng thái forwarding, ó nh ng port alternate và backup luôn luôn trong tr ng thái discarding 3-24
Cu hình Spanning-Tree mc nh Cisco Catalyst switches h tr 3 l ai STP: – PVST+ – PVRST+ – MSTP STP mc nh c a Cisco Catalyst switches là PVST+ : – Mt th c th STP riêng bi t cho m i VLAN – Mt root bridge cho t t c VLAN – Không chia s ti 3-25 Cisco Catalyst swtich h tr 3 l ai giao th c spanning tree: PVST+, PVRST+, và MSTP •PVST+: d a trên chu n 802.1D và gm nh ng m rng c a cisco, backboneFast, UplinkFast, và PortFast •PVRST+: d a trên chu n 802.1w và có s hi t ơ 802.1D •MSTP(802.1s): k t h p nh ng m t t t nh t c a PVST+ và chu n IEEE 3-25
Hưng d n c u hình PVRST+ 1. Cho phép PVRST+. 2. Thi t k và cu hình m t switch là root bridge. 3. Thi t k và cu hình m t switch là root bridge th 2. 4. Ki m tra c u hình. 3-26 tri n khai PVRST+, th c hi n nh ng b c sau: 1. Cho phép PVRST+. 2. Thi t k và cu hình m t switch là root bridge. 3. Thi t k và cu hình m t switch là root bridge th 2. 4. Ki m tra c u hình. 3-26
Nh ng l nh tri n khai PVRST+ SwitchX(config)# spanning-tree mode rapid-pvst Cu hình PVRST+ SwitchX# show spanning-tree vlan vlan# [detail] Ki m tra c u hình spanning-tree SwitchX# debug spanning-tree pvst+ Hi n th nh ng thông ip s ki n PVST+ 3-27 Bng sau ây mô t nh ng l nh c dùng cu hình và ki m tra PVRST+ •SwitchX(config)# spanningtree mode rapid-pvst: Thi t l p spanning tree là PVRST+ •SwitchX# show spanning-tree vlan vlan-number [detail ]: Hi n th thông tin spanning tree mà da trên VLAN h ơn là da trên th c th •SwitchX# debug spanningtree pvst+: debug nh ng s ki n PVRST+ •SwitchX# debug spanningtree switch state: Debug nh ng thay i tr ng thái port. Chú ý, gi ng nh t t c lnh debug, l nh này có th nh h ng n hi u su t m ng 3-27
Ki m tra PVRST+ SwitchX# show spanning-tree vlan 30 VLAN0030 Spanning tree enabled protocol rstp Root ID Priority 24606 Address 00d0.047b.2800 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 24606 (priority 24576 sys-id-ext 30) Address 00d0.047b.2800 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Role Sts Cost Prio.Nbr Type Gi1/1 Desg FWD 4 128.1 P2p Gi1/2 Desg FWD 4 128.2 P2p Gi5/1 Desg FWD 4 128.257 P2p The spanning-tree mode is set to PVRST. 3-28 Trong ví d, câu “Spanning tree enabled protocol rstp” ch ra r ng switch X ang ch y PVRST+ Switch X là 30. 24606 b t ngu n t tng u tiên c gán c a 24576 và 30. a ch MAC c a switch X, là 00d0.047b.2800, c n i n ,24606, to thành Bridge ID Khi root bridge cho VLAN 30, t t c interface c a switch X là designated port trong tr ng thái forwarding 3-28
Cu hình Root và Secondary Bridges 3-29 Nu t t c switch trong m ng u c c u hình v i nh ng thi t l p spanning tree m c nh, switch v i a ch MAC th p nh t s tr thành root bridge. Tuy nhiên, root bridge m c nh có th không ph i là mt root bridge lý t ng, b i vì traffic, s interface forwarding, ho c l ai link. Tr c khi c u hình STP, ch n m t switch làm root c a spanning tree. Switch này không c n ph i switch m nh nh t, nh ng nên là switch trung tâm trên m ng. T t c nh ng d li u ngang qua m ng x y ra t switch này. Nh ng switch t ng distribution th ng ph c v à root b i vì nh ng switch này không k t n i n tr m cu i. Thêm vào ó, nh ng di chuy n và i trong m ng ít nh hng n các switch này. Bng cách t ng (s th p) c a switch phù hp mà nó tr thành root bridge., b n b t spanning tree thi hành tính tóan l i mang l i m t s ơ mi vi switch thích h p làm root 3-29
Cu hình Root và Secondary Bridges: SwitchA SwitchA(config)# spanning-tree vlan 1 root primary Lnh này cho phép switch này là root c a VLAN 1 SwitchA(config)# spanning-tree vlan 2 root secondary Lnh này c u hình switch này là secondary root cho VLAN 2 Ho c SwitchA(config)# spanning-tree vlan # priority priority Lnh này c u hình ư (lưng gia c a 4096). 3-30 Switch v i BID th p nh t tr thành root c a VLAN. B n có th dùng nh ng l nh c u hình c bi t quy t nh switch nào tr thành root bridge Mt cisco catalyst switch ang ch y PVST+ ho c PVRST+ duy trì mt th c th spanning tree cho m i VLAN c c u hình trên switch A. m t BID duy nh t c gán cho m i th c th . i v i m i VLAN, switch v i BID th p nh t tr thành root bridge cho VLAN ó. M i khi thay i a bridge, BID c ng thay i. K t qu i này c dùng tính l i root bridge cho VLAN cu hình m t switch tr thành root bridge cho VLAN ch nh, dùng l nh spanning- tree vlan vlan_id root primary. Vi l nh này, switch ki m tra a root switch cho VLAN ch nh. B i vì h tr system ID m rng, switch xét a nó là 24576 cho VLAN ch nh n u giá tr này s là switch tr thanh root switch cho VLAN này. N u có mt switch khác c a VLAN ch nh cóp hơn 24576, thì switch mà bn ã c u hình l nh spanning-tree vlan vlan_id root primary s xét a nói v i VLAN ch nh là 4096 ít h ơn a switch th p nh t 3-30
Cu hình Root và Secondary Bridges: SwitchB SwitchB(config)# spanning-tree vlan 2 root primary Lnh này cho phép switch này là root c a VLAN 2 SwitchB(config)# spanning-tree vlan 1 root secondary Lnh này c u hình switch này là secondary root cho VLAN 1 Ho c SwitchB(config)# spanning-tree vlan # priority priority Lnh này c u hình ư (lưng gia c a 4096). 3-31 Mt secondary root là mt switch mà có th tr thành root bridge cho VLAN n u primary root b li. cu hình switch là secondary root bridge c a VLAN, dùng l nh spanning- tree vlan vlan_id root secondary Vi l nh này, a switch c ch nh s a t giá tr mc nh 32768 thành 28672. gi s rng nh ng bridge khác trong VLAN iu ch nh c nh c a chúng, switch này tr thành root bridge khi primary root bridge l i. B n có th th c thi lnh này trên nhi u h ơn m t switch cu hình nhi u backup root bridge 3-31
Tóm t t Mt k thu t switch d phòng g m nhi u multihomed switche và EtherChannel. Mt k thu t switch d phòng là nguyên nhân c a nh ng v n lp ch ng h n nh ư bão broadcast. Chu n 802.1D STP thi t l p m t m ng không l p. PVST+ và RSTP là s phát tri n c a chu n STP nguyên th y. 3-32 3-32
3-33 3-33
Bài 4 : nh tuy n gi a các VLAN Xây d ng m ng switch có kích th ưc trung bình 4-1 4-1
Tng quan v VLAN-to-VLAN Nh ng thi t b tng m ng k t h p nhi u broadcast domain. 4-2 Giao ti p gi a các VLAN x y ra gi a các broadcast domain thông qua thi t b tng 3. trong m t môi tr ưng VLAN, các frame ch ưc chuy n trong cùng VLAN. VLAN thi hành chia m ng và traffic t i t ng 2. giao ti p gi a các VLAN không th xy ra n u không có thi t b tng 3, ư . Dùng IEEE 802.1Q cho phép trunking trên m t subinterface c a router. Ví d: Hình v ch ng minh m t router g n n m t switch chính. C u hình gi a router vàưng cp n nh ư là router on a stick. Router có th nh n packet trên m t VLAN và chuy n chúng n VLAN khác. thi hành tính n ng nh tuy n gi a các VLAN, router ph i bi t cách n các VLAN ang k t n i. Ph i có mt k t n i riêng bi t trên router cho m i VLAN, và ph i c u hình 802.1q trên nh ng k t n i này. Router th c s bi t v nh ng m ng k t n i tr c ti p v i nó. Router ph i h c ưng i n nh ng m ng không k t n i tr c ti p. 4-2
Chia m t Interface vt lý thành nhi u subinterface Mt interface v t lý có th chia thành nhi u subinterface 4-3 h tr 802.1q trunking, b n ph i chia Fast Ethernet Interface c a router thành nhi u interface con logic, m t interface logic trên m t VLAN. Nh ng interface con logic này ưc g i là subinterface. Ngòai vi c chia này, b n có th dùng m t interface v t lý riêng bi t cho t ng VLAN. Ví d: Trong hình v , interface FastEthernet0/0 ưc chia thành nhi u subinterface: FastEthernet0/0.1, FastEthernet0/0.2, FastEthernet0/0.3 4-3
nh tuy n gi a các VLAN v i 802.1Q Trunks interface fastethernet 0/0 ip address 10.1.1.1 255.255.255.0 interface fastethernet 0/0.2 ip address 10.2.2.1 255.255.255.0 encapsulation dot1q 2 4-4 Trong hình v , interface FastEthernet0/0 ưc chia thành nhi u subinterface: FastEthernet0/0.1 và FastEthernet0/0.2. m i subinterface s nh tuy n n mt VLAN. Dùng l nh encapsulation dot1q vlan identifier (vlan identifier là số VLAN) trên m i subinterface cho cho phép óng gói 802.1q trunking. S subinterface không có trùng v i s . Tuy nhiên, t 2 s gi ng nhau dc qu n lý. Nh ng frame trong Native Vlan c 802.1Q không mang c t a ch . Vì th , subinterface c a native VLAN ưc c u hình v i encapsulation dot1q vlan identifier native. Ch c ch n r ng VLAN ưc gán n subinterface c a native VLAN ph i phù hp v i native VLAN trên switch mà nó kt n i n. 4-4
Tóm t t nh tuy n gi a các VLAN dùng m t router on a stick s dng mt router bên ngòai chuy n traffic gi a các VLAN. router on a stick ưc c u hình v i subinterface cho m i VLAN và óng gói 802.1q. 4-5 4-5
4-6 4-6
Bài 5 : B o m t mng m rng Xây d ng m ng switch kích th ưc trung bình 5-1 5-1
Tng quan v bo m t Switch 5-2 Nhi u s quan tâm xung quanh nh ng t n công b o m t t bên ngòai b c tưng c a t ch c và ti nh ng t ng trên OSI. B o m t m ng th ưng t p trung thi t b nh tuy n và lc gói tin d a trên header c a t ng 3 và 5, port, ki m duy t tr ng thái c a gói tin, tr ng tâm này g m nh ng v n xung quanh tng 3 và , như traffic làm cách nào vào m ng bên trong t Internet. Mng bên trong truy c p các thi t b và giao ti p t ng 2 không ưc quan tâm trong h u h t mô t bo m t. Router và switch là bên trong m t t ch c vàưc thi t k giao ti p phù hp b ng cách phân phát traffic c a m ng tr nh ng cái không ưc c u hình. Tính n ng c a chúng nh ư là các thi t b làm thu n ti n trong vi c giao ti p th ưng c u hình b o m t r t th p và np cho nh ng t n công nguy hi m. N u mt cu c t n công t i t ng 2 trên m t thi t b mng n i b , m ng có th b làm tn th ươ ng nhanh chóng, thưng ngòai s phát hi n. Gi ng T ng 3, ơ o m t ưc th t ch t trên các thi t b trong m ng khi hành ng nguy hi m làm t n th ươ ng t ng này càng t ng, t ng 2 c ng yêu c u bo m t ch ng l i nh ng cu c t n công. Nhi u tính n ng b o m t có sn trên switch và , nhưng chúng ph i ưc c u hình t hi u qu . Trong cách gi ng nhau, b n tri n khai ACL cho b o m t t ng cao, b n ph i thi t l p mt chính sách và cu hình tính n ng thích h p bo v ch ng ljai nh ng hành ng nguy hi m ti m n ng trong lúc duy trì hat ng m ng h ng ngày. 5-2
Các thao tác ưc khuyên: thi t b switch m i Xem xét ho c thi t l p chính sách b o m t c a t ch c. Bo m t thi t b switch : – m b o truy c p switch an tòan. – Bo m các giao th c c a switch. – Gi m nh tn th ươ ng qua switch. 5-3 • Nh ng im y u b o m t m ng g m: m t mát c a cá nhân, tr m cáp d li u, m o nh n danh ngh a, và mt tính tòan v n d li u. B n nên th c hi n bo m t c ơ b n trên m i m ng làm gi m nh ng nh h ưng không mong mu n ho c nh ng hành ng nguy hi m có mc ích Bn nên theo nh ng thao tác sau ây khi cài m t thi t b mi: 1. Xem xét ho c thi t l p chính sách b o m t c a t ch c 2. Nh ng thi t b switch an toàn b ng cách truy c p switch và các giao th c an tòan và gi m nh tn th ươ ng ưc giáng xu ng ngang qua switch Chính sách b ảo m ật c ủa t ổ ch ức •Bn nên xem xét tính chính sách c a m t t ch c khi quy t nh t ng nào và lai b o m t nào mu n tri n khai. B n ph i c n b ng gi a m c tiêu c a bo m t m ng và chi phí qu n tr . Chính sách b o m t t t có nh ng c im sau: • cung c p m t ti n trình ki m tóan b o m t m ng ang t n t i • Cung c p m t khung b o m t chung cho tri n khai b o m t m ng • nh ngh a hành vi i v i d li u in t ưc cho phép • Quy t nh nh ng công c và th tc nào c n cho t ch c 5-3
•Nh t trí gi a các nhóm quy t nh chính vành ngh a nhi m v ca ng ưi dùng vàưi qu n tr •nh ngh a m t ti n trình qu n lý nh ng s c bo m t m ng •Cho phép tri n khai b o m t t t c các site và bt bu c tuân th theo k hach. 5-4
Các thao tác ưc khuyên: bo m t switch Truy c p switch an tòan: – t password cho h th ng. – Truy c p v t lý n c ng console an tòan. – Truy c p thông qua telnet an tòan. – Dùng SSH khi có th . – Tt HTTP. – Cu hình thông ip c nh báo. – Tt các d ch v không c n thi t. – Dùng syslog nu có sn. 5-5 Sau ây là nh ng thao tác ưc khuyên truy c p switch an tòan: •t password cho h th ng: dùng l nh enable secret xét password khi truy cp n privileged mode c a h th ng Cisco. B i vì lnh này thi hành MD5 hash trên password ưc c u hình, password v n là ch yu b tn công. Vì th , th c hi n các thao tác chu n trong vi c ch n l a m t password ti n l i. C gng t password có c ký t và s cng v i nh ng ký t c bi t. Ví d, ch n “$pecial$” thay cho “specia1s”, trong ó ký t “s”ưc thay b ng ký t “$” và “l”ưc thay b ng s “1”. •Truy c p n c ng console an tòan: truy c p c ng console yêu c u m t t ng bo m t c vt lý và logic t i thi u. M t ng ưi truy c p n c ng console có th ph c h i hay t o l i password ã c u hình, vì th cho phép ng ưi óưt qua t t c bo m t khác ưc tri n khai trên h th ng ó. Do ó, b t bu c b o mt truy c p v t lý n c ng console. •Truy c p an tòan n line vty: à nh ng b ưc ưc khuyên t i thi u truy c p telnet an tòan: •Thi hành m t ACL c ơ b n cho các truy c p n t t c các line vty •Cu hình password cho t t c ưc c u hình •Nu vi c cài Cisco IOS software ưc cho phép, dùng giao th c SSH thay cho telnet truy c p n thi t b xa 5-5
•Dùng SSH: giao th c SSH và ng d ng cung c p m t k t n i n router mt cách an tòan. 2 phiên b n SSH có sn: SSHv1 và SSHv2. Cisco IOS software thi hành SSHv1. Nó mã hóa t t c traffic, g m password, gi a m t console xa và mt router ngang qua m t giao d ch telnet. B i vì SSH g i traffic không dng plaintext, ng ưi qu n tr có th qu n lý các giao d ch truy cp xa mà nh ng ng ưi quan sát vô ý t s không có th xem. SSH server trong Cisco IOS software làm vi c v i nh ng SSH client có sn b n th ươ ng mi và ph bi n. •Tt d ch v HTTP n u không s dng: m c dù Cisco IOS software cung c p mt HTTP server tích h p qu n lý, b n nên t t nó hn ch ươ ày. Nu yêu c u dùng HTTP truy c p n switch, c u hình ACL c ơ b n ch cho phép truy c p t nh ng subnet ưc tin t ưng. •Cu hình thông ip c nh báo: cho c 2 m c ích qu n tr và hp pháp, c u hình m t thông ip c nh báo hi n th ưc khi ng nh p là mt cách ti n l i và hi u qu ưng b o m t và chính sách s dng chung. B ng chính sách rõ ràng v quy n s hu, cách s dng, truy c p, và chính sách b o v tr ưc khi ng nh p, b n cung c p h tr tt h ơn cho khi u ki n n u có. •Tt nh ng d ch v không c n thi t: m c nh, thi t b Cisco tri n khai nhi u TCP và qu n lý và tích h p vào các môi tr ưng ang t n t i. i v i h u h t cài t, nh ng d ch v này không yêu c u, t t chúng có th gi m r t l n tính ph ơi bày b o m t. Nh ng l nh này dùng tt nh ng d ch v : no service tcp-small-servers no service udp-small-servers no service finger no service config •Cu hình nh t ký c ơ b n: h tr vàơn trong vi c x lý l i và nghiên cu b o m t, theo dõi thông tin ưc nh n t logging. Xem k t qu trong b nh m. ưu ích, tng kích th ưc b nh m. 5-6
Các thao tác ưc khuyên: bo m t switch (tt.) Bo m các giao th c c a switch: – B CDP và ch s dng khi c n thi t. – An tòan spanning tree. Gi m nh tn h i ngang qua m t switch : – phòng cho các ưng trunk. – Tuy c p port v y lý t i thi u. – Thi t l p c u hình access-port chu n cho các port s dng và không s dng. 5-7 Giao th ức switch an tòan Sau ây là nh ng thao tác ưc khuyên bo m các giao th c c a switch: •Cisco Discovery Protocol: CDP không b c l nh ng thông tin b o m t c bi t, nh ưng nó có th ưi t n công khai thác thông tin này trong m t tn công, nh ó mt ng ưi t n công bi t thi t b vàa ch thi hành nh ng l ai t n công khác. B n nên theo 2 ưng d n sau v giao th c CDP: •Nu CDP không ưc yêu c u, ho c n u m t thi t b ưc tìm th y trong m t môi tr ưng không an tòan, t t CDP tòan c c trên thi t b •Nu CDP ưc yêu c u, t t CDP trên interface k t n i n m ng không tin c y. B i vì CDP là mt giao th c tng liên k t, nó không nh h ưng ngang qua m ng, tr khi m t c ơ ch tunneling t ng 2 trong ó. Gi i h n nó ch ch y gi a các thi t b tin c y, và tt nh ng n ơi còn l i. Tuy nhiên, CDP ưc yêu c u trên b t k port nào màn n m t Cisco IP phone thi t l p m t m i quan h tin cy. •Bo m t s ơ spanning-tree: th t là quan tr ng bo v ti n trình STP c a các switch mà hình thành c u trúc h tng. BPDU m u trong STP có th tràn ng p m t thi t b ho c ư a ra m t cu c t n công DoS. 5-7
•Bưc u tiên lành ngh a root bridge ã d nh trong thi t k và cu hình ưu tiên c a switch ó cnh luôn tr thành root bridge. Làm gi ng nh ư v y i v i designated backup root bridge. Nh ng hành ng này b o v tr li nh ng s ơ xu t c a STP khi switch m i ưc cài vào và bt u trao i BPDU. Trên m t vài platform, tính n ng BPDU guard có sn. N u v y, c u hình nó trên access port trong s kt h p v i tính n ng PortFast bo v mng t nh ng xâm nh p BPDU không mong mu n. Lúc nh n BPDU, tính n ng BPDU guard t ng tt port. Gi ảm nh ẹ tổn h ại ngang qua m ột switch Theo nh ng thao tác ưc khuyên sau ây gi m nh tn h i ngang qua m t switch: •Tt router và các port c a switch không ưc dùng: •Dùng l nh shut trên t t c các port vàưc s dng. •t t t c các port không s dng trong m t VLAN “parking-lot”, mà nhóm nh ng port không s dng n khi chúng ưc t vào d ch v . •Cu hình t t c các port không ưc s dng nh ư là access port, t t àm phán trunk t ng. •Xem xét i v i các ưng trunk: m c nh, switch ang ch y Cisco IOS Software ưc c u hình tng àm phán kh . Trưng h p này ư a ra m i nguy hi m cho c u trúc h tng b i vì mt thi t b không b o m t c a công ty th 3 có th ưc ư a vào m ng. Nh ng t n công ti m n ng g m ch n traffic, i h ưng traffic, DoS, và nhi u n a. tránh nguy hi m này, t t t ng àm phán trunk và cu hình b ng tay cho nh ng link yêu c u. •Truy c p thi t b vt lý: b n nên óng truy c p v t lý n switch tránh t thi t b l vào m ng v i truy c p tr c ti p n port c a switch. 5-8
Port Security Port security gi i h n truy c p port b ng a ch MAC 5-9 • Port security là mt tính n ng ưc h tr trên Cisco Catalyst Switch mà gi i hn m t s a ch ưc phép truy c p n port. Switch có th bi t nh ng a ch này m t cách ng h c có th cu hình t nh. M t port ưc cu hình v i port security ch ch p nh n frame t nh ng a ch ưc h c ho c ưc c u hình. Có rt nhi u tri n khai port security: • ng (Dynamic): b n ch ra cóa ch ưc phép truy c p n port này t i m t th i im. B n s dng ph ươ ng th c ng khi b n ch chún s ưng a ch ơ à nh ng a ch MAC c th . Ph thu c vào cách c u hình trên switch, nh ng a ch ưc h c ng này s ht h n sau m t giai an, và nh ng a ch mi ưc h c, t s a ch ti a mà bn ã nh ngh a. •Tnh (Static): b n ch ra nh ng a ch MAC nào ưc phép truy c p port. B t ka ch MAC nào không ưc ch ra s ưc phép g i frame n port. •Kt h p gi a static và dynamic: b n có th ch n cách k t h p gi a dynamic và static. Ví d, n u s a ch ưc gi i h n là 4, và bn c u hình 2 a ch MAC t nh, switch s tng h c 2 a ch MAC k ti p mà nó nh n trên port. Truy c p n port b gi i h n trong 4 a ch này. 2 a ch ưc cu hình t nh không h t h n, nh ưng 2 a ch ng ưc h c có th , ph thu c vào c u hình switch 5-9
•Dynamic “sticky learning” : khi tính n ng này ưc c u hình trên 1 interface, interface s chuy n nh ng a ch ưc h c ng thành các a ch “sticky secure”. Tính n ng này s ư ng a ch ưc h c ng vào t p tin running configuration khi n u chúng ưc c u hình t nh dùng l nh switchport port-security mac-address. Nh ng a ch ‘sticky learned” s không h t h n. Tình hu ống Tưng t ưng có ng ưi mà laptop c a c a nh ng ng ưi này ưc cho phép kt n i n m t port ch nh trên switch khi h n m t khu v c trong tòa nhà. B n mu n gi i h n ch cóa ch MAC c a các laptop này ưc phép truy c p port và cho phép không cóa ch nào ưc h c m t cách t ng. Xử lý Sau ây mô t nh ng b ưc th c hi n t k t qu mong mu n i v i tình hu ng này. 1.Port security ưc c u hình cho phép ch 5 k t n i n port, m i dòng s cu hình cho m i a ch ưc cho phép. (bưc này xây d ng b ng a ch MAC v i 5 a ch cho phép k t n i n port và cho phép không cóa ch nào ưc h c ng. 2.Nh ng frame c a nh ng k t n i cho phép ưc x . (khi frame n m t port c a switch, a ch ngu n c a nóưc ki m tra tr li b ng a ch MAC. Nu a ch ngu n phù hp v i m t dòng trong b ng i v i port ó, frame ưc chuy n n switch x lý gi ng nh ư nh ng frame khác trên switch.). 3.Nh ng a ch mi thì không cho phép to nh ng dòng trong b ng a ch MAC m i. (khi frame v i a ch MAC không h p l n port, switch bi t a ch này không có trong b ng a ch MAC hi n hành và không t o m t dòng ng cho a ch mi này). 4.Switch hành ng i v i nh ng frame không h p l . (switch không cho phép truy c p n port và có mt trong nh ng hành ng sau ph thu c vào cu hình: (a) port b tt; (b) truy c p c a a ch ó b cm và mt thông ip l i ưc t o ra; © truy c p c a a ch ó b cm nh ưng không t o ra thông ip l i. 5-10
802.1X Port-Based Authentication Truy c p m ng ngang qua switch yêu c u s xác nh n 5-11 Chu n IEEE 802.1X nh ngh a m t iu khi n truy c p port và giao th c xác nh n gi i h n nh ng máy tr m không h p l kt n i vào m ng ngang qua các port c a switch. Server xác nh n s ch ng th c m i máy tr m mà kt n i n switch tr ưc khi cung c p nh ng d ch v có sn cho máy tr m. n khi máy tr m ưc xác nh n, 802.1X cho phép ch Authentication Protocol over LAN (EAPOL) ưc i ngang qua port . Sau khi xác nh n thành công, thông tin thông th ưng có th di chuy n ngang qua port. Vi s xác nh n 802.1X, nh ng máy tr m trong m ng có nh ng lu t c bi t sau: •Client: thi t b yêu c u truy c p n LAN và các d ch v switch, và tr li cho nh ng yêu c u t switch. Máy tr m ph i ch y ph n m m client 802.1X, ưc ư a ra trong Windows XP. Port mà máy tr m k t k t n i n là client trong chu n IEEE 802.1X. •Authentication server: thi hành xác nh n client th c s . Authentication server xác nh n client h p l n và thông báo switch bi t client h p l truy cp n nh ng d ch v ca LAN và switch. B i vì switch h at ng nh ư m t proxy, d ch v xác nh n là trong su t i v i client. H th ng b o m t RADIUS v i m rng EAP thì ch h tr authentication server. 5-11
•Switch (c ng ưc g i làưi xác th c): u khi n nh ng truy c p v t lý n m ng d a trên tr ng thái xác th c c a client. Switch h at ng nh ư m t proxy gi a client và authentication server, yêu c u nh n d ng thông tin t client, ki m tra thông tin ó vi authentication server, và chuy n tr li n client. Switch dùng m t RADIUS software agent, mà có nhi m v óng gói và m gói EAP frame vàươ ác v i authentication server. Tr ng thái c a port quy t nh client ưc phép truy c p n m ng. u tiên Port có tr ng thái không h p l . Trong tr ng thái này, port không cho phép thông tin i ra và ào ng ai tr nh ng thông tin c a giao th c 802.1X. Khi client ưc xác nh n m t cách thành công, port chuy n sang tr ng thái h p l , cho phép t t c các thông tin c a client m t cách bình th ưng. Nu switch yêu c u nh n d ng client và client không h tr 802.1X, port gi li tr ng thái không h p l , vàưc phép truy c p n m ng. Khi m t client có 802.1X k t n i n m t port và kh i t o ti n trình xác nh n bng cách g i m t EAPOL-start frame n switch mà switch không ch y 802.1X, và không tr li cho frame v a nh n, client b t u g i frame khi n u port tr ng thái h p l . Nu client ưc xác nh n m t cách thành công (nh n m t Accept frame t authentication server), port thay i tr ng thái thành h p l , và tt c frame t client h p l ưc cho phép ngang qua port. Nu s xác nh n l i, port gi li tr ng thái không h p l , nhưng s xác nh n có th lp l i. N u authentication server không n ưc, switch có th truy n l i yêu c u. N u không nh n ưc tr li t server sau m t s ln c gng ch nh, s xác nh n l i, và truy c p m ng không ưc cho phép. Khi m t client thóat ra, nó gi m t thông ip EAPOL-logout, khi ó port c a switch chuy n sang tr ng thái không h p l . 5-12
Visual Objective 2-1: Configuring Expanded Switched Networks Subnet VLAN Devices 10.1.1.0 1 Core Switches, CoreRouter, SwitchX 10.2.2.0 2 CoreRouter, RouterA 10.3.3.0 3 CoreRouter, RouterB 10.4.4.0 4 CoreRouter, RouterC 10.5.5.0 5 CoreRouter, RouterD 10.6.6.0 6 CoreRouter, RouterE 10.7.7.0 7 CoreRouter, RouterF 10.8.8.0 8 CoreRouter, RouterG 10.9.9.0 9 CoreRouter, RouterH 5-13 5-13
Tóm t t Nh ng thao tác ưc khuyên bo m t s ơ switch g m t password, t t nh ng port không s dng, c u hình xác nh n, và dùng port security. bo m t m t switch, b n ph i b o m truy c p n switch và nh ng giao th c mà switch s dng. 5-14 5-14
5-15 5-15
Bài 6 : X lý l i mng switch Xây d ng m ng switch kích th ưc trung bình 6-1 6-1
Switches Troubleshooting Nh ng g i ý v x lý l i : Tr nên quen thu c v i h at ng bình th ưng c a switch. Có mt s ơ mng logc và vt lý chính xác Có mt k hach. Không gi lp nh ng th nh ph n ang làm vi c ngòai vi c ki m tra nóu tiên 6-2 Có nhi u cách sa l i m t switch. Phát tri n m t ưng i x lý l i ho c ki m tra k hach làm vi c t t h ơn làươ áp óan hay b b sót. Có mt vài g i ý x lý l i hi u qu : •Mt th i gian tr nên quen thu c v i h at ng bình th ưng c a switch: website cisco.com có nhi u thông tin k thu t mà mô t cách switch làm vi c. Hưng d n c u hình trong các tr ưng h p riêng bi t th t là hu ích. •i v i nhi u tr ưng h p ph c t p, có trên tay m t s ơ mng logic và vt lý chính xác: m t s ơ vt lý ch ra các thi t b và cáp ưc k t n i nh ư th nào. Mt s ơ logic cho bi t nh nng segment (VLAN) t n t i trong m ng, và router nào cung c p nh tuy n gi a các segment. M t s ơ spanning-tree c ng r t h u ích cho x lý l i ph c t p. B i vì mt switch có th to ra nh ng segment khác nhau b ng cách tri n khi VLAN, nh ng k t n i v t lý không nói ưc tòan b câu chuy n. B n ph i bi t switch ưc c u hình nh ư th nào bi t nh ng segment (VLAN) nào t n t i và chúng ưc k t n i logic nh ư th nào. •Có mt k hach: m t vài v n và gi i pháp là rõ ràng; nh ng cái khác thì không. D u hi u mà bn th y trong m ng có th là kt qu ca nhi u v n trong nh ng vùng hay t ng khác nhau. ưc khi nh y n k t lu n, c gng ki m tra trong m t cách có cu trúc cái gì àm vi c và cái gì không. B i vì mng có th là ph c t p, nó giúp cô l p nh ng vùng có vn . M t cách làm iu này là dùng mô hình 7 t ng OSI. Ví d, ki m tra k t n i v t lý (t ng 1), ki m tra nh ng k t n i trong VLAN (t ng 2), ki m tra k t n i gi a các VLAN khác nhau (t ng 3), và Ga s ưc c u hình úng, nhi u v n gp ph i s quan n t ng v t lý (cáp và port). 6-2