Tổng hợp một số bài viết hay về Cisco

[ninhdd]

Chào mọi người, đây là một số bài viết tổng hợp về công nghệ mạng Cisco
link download:
http://www.box.net/shared/jyfqfn334c
bài viết được tổng hợp từ diễn dàn www.vnpro.org/forum...
Chúc mọi người vui vẻ!!!

[AHN]

Thanks ninhdd đã chia sẻ.
Mình cũng đang muốn tìm một số tài liệu của Cisco để nghiên cứu, nhưng nhiều quá chưa biết đọc cái gì trước. Giờ download đọc thử xem thế nào ^_^

[hoangkhoang]

Cảm ơn đã share! Đọc xem thế nào. Muốn học CCNA mà k có đk vì mình ở tận Quảng Ninh cơ.

[Dungnm]

Dear all
Vì mình đang theo học lớp ccna nên rất mong nhận được những bài post hay và bổ ích trên diễn đàn.
Rất mong nhận được nhiều những bài viết quý báu hơn nữ từ phía các bạn

Best regards
Dungnm

[Dungnm]

Mình xin trích dẫn bài: Post Security
I. Mục đích của bài lab

Giúp người thực hành hiểu được chức năng của port security

II. Sơ đồ và yêu cầu cấu hình

Yêu cầu : Bạn cần có 1 Switch 2950, 2 host

Sơ đồ:



III. Cấu hình

1. Cấu hình port security

Bước 1: Tiến hành nối dây như sơ đồ .Khởi động Switch.

Bước 2:

Bước 2-1:



Switch>enable

Switch#conf t

Switch(config)#interface f0/1



Bước 2-2: Đưa port vào chế độ access, đây là chế độ bắt
buộc cho port khi cấu hình port security



Switch(config-if)#switchport mode access



Bước 2-3: Khởi động port security



Switch(config-if)#switchport port-security



Bước 2-4: Chỉ định số lần địa chỉ MAC được thay đổi.

Đây là thông số chỉ định số lần tối đa mà port vẫn còn chấp
nhận sự thay đổi địa chỉ MAC. “Thay đổi địa chỉ MAC” có
nghĩa là bạn đã thay đổi một host khác trong kết nối với Switch.
Gọi số lần được phép thay đổi này là k, gọi số lần bạn đã thay
đổi địa chỉ MAC là n. Port sẽ vẫn cho phép hoạt động nếu như
n≤k và một điều quan trọng nữa là phải kết nối địa chỉ MAC ban
đầu vào lại port. Số lần được thay đổi tối thiểu là 1 và tối đa là
1024, và mặc định là 1.

Ví dụ nếu chỉ định số lần là 3:



Switch(config-if)#switchport port-security maximum maximum



Bạn được phép thay đổi địa chỉ MAC tối đa là 3 lần. Cần chú ý
là mặc dù cho phép thay đổi nhưng không có nghĩa là port vẫn
hoạt động bình thường khi địa chỉ MAC bị sai. Khi địa chỉ MAC
không đúng port sẽ chuyển sang trạng thái lỗi. Tuy nhiên nếu
bạn kết nối địa chỉ MAC ban đầu vào lại trong lúc này thi port
sẽ hoạt động bình thường trở lại.

Trở lại với bài cấu hình, ta sẽ cấu hình số lần được phép thay
đổi là 1, đây là thông số mặc định và do đó không cần phải cấu
hình lệnh này cho switch

Bước 2-5: Chỉ định địa chỉ MAC cần được bảo mật trên interface.
Với động tác này khi host có địa chỉ MAC tương ứng sẽ được hoạt
động bình thường khi kết nối vào switch trên interface này.
Nếu địa chỉ MAC của host khác với địa chỉ được chỉ định trên
interface thì port sẽ vào trạng thái lỗi và hiển nhiên là sẽ không có
sự chuyển tiếp gói tin trên port này.



Switch(config-if)#switchport port-security mac-address
mac-address



Chú ý :

Định dạng về địa chỉ MAC trong câu lệnh trên là:
AAAA.BBBB.CCCC

Địa chỉ này phải giống với địa chỉ của host cần được
bảo mật.

Đối với host là PC, để tìm địa chỉ MAC này làm
như sau:

- Mở DOS command bằng cách vào Start\Run rồi
gõ lệnh cmd

- Trong giao diện DOS này gõ lệnh C:\>ipconfig /all.
Màn hình sẽ hiện ra các thông số về địa chỉ MAC
của card mạng.









Đối với host là Router, để tìm địa chỉ host:

- Kết nối cổng console máy tính với router

- Dùng lênh show version để tìm địa chỉ MAC



Cấu hình cho Switch:



Switch(config-if)#switchport port-security mac-address
00e0.4d01.2978



Bước 2-6: Chỉ định trạng thái của port sẽ thay đổi khi
địa chỉ MAC kết nối bị sai:


Cấu trúc lệnh :



Switch(config-if)#switchport port-security violation
[shutdown | restrict protect]

· shutdown: port sẽ được đưa vào trạng thái
lỗi và bị shutdown

· restrict: port sẽ vẫn ở trạng thái up mặc dù
địa chỉ MAC kết nối bị sai. Tuy nhiên các gói
tin đến port này đều bị hủy, và sẽ có một bản
thông báo về số lượng gói tin bị hủy.

· protect: port vẫn up như restrict, các gói tin
đến port bị hủy và không có thông báo về việc
hủy bỏ gói tin này

Trong bài lab này sẽ chỉ định trạng thái port là shut down.



Switch(config-if)#switchport port-security violation
shutdown



Đến đây bạn đã hoàn tất phần cấu hình port security.
Bước tiếp theo sẽ là thử nghiệm.

Bước 3: Cấu hình lệnh debug để quan sát sự thay đổi:



Switch#debug port-security



Bước 4: Sử dụng một host khác để thay thể cho host
ban đầu. Kiểm tra địa chỉ MAC của host mới :





Host mới có địa chỉ MAC là 0006.7b08.cab5

Bước 4: Tiến hành rút cáp ra khỏi host và cắm vào
host đã chuẩn bị ở bước 3. Quan sát:

+ Đèn trên port f0/1 sẽ bị tắt

+ Thông báo trên giao diện

00:22:24: %PM-4-ERR_DISABLE: psecure-violation error
detected on Fa0/1, putting Fa0/1 in err-disable state

00:22:24: %PORT_SECURITY-2-PSECURE_VIOLATION:
Security violation occurred, caused by MAC address
0006.7b08.cab5 on port FastEthernet0/1.

00:22:25: %LINEPROTO-5-UPDOWN: Line protocol
on Interface FastEthernet0/1, changed state to down

00:22:26: %LINK-3-UPDOWN: Interface FastEthernet0/1,
changed state to down

Bước 5: Dùng lệnh show để xem trạng thái của port f0/1

Switch#show interface f0/1

FastEthernet0/1 is down, line protocol is down
(err-disabled)

Hardware is Fast Ethernet, address is 000f.239d.c641
(bia 000f.239d.c641)

MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,

reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

Full-duplex, 10Mb/s

Lúc này mọi nỗ lực để tiến hành gửi thông tin trên port 1
đều vô ích!!!

1. Khôi phục port về trạng thái bình thường

Để khôi phục lại port thì bạn phải can thiệp vào switch.

Bước 1: Nối cổng console vào switch

Switch>enable

Switch#conf t

Bước 2: Có hai cách để khôi phục port

Cách 1: khôi phục nhân công, bạn sẽ thực hiện
trực tiếp quá trình khôi phục này.

Switch(config)#interface f0/1

Switch(config-if)#shutdown

Switch(config-if)#no shutdown

Thông báo trên màn hình khi thực hiện xong lệnh

00:17:58: %LINK-5-CHANGED: Interface FastEthernet0/1,
changed state to administratively down

00:18:00: %LINK-3-UPDOWN: Interface FastEthernet0/1,
changed state to up

00:18:01: %LINEPROTO-5-UPDOWN: Line protocol on
Interface FastEthernet0/1, changed state to up

Quá trình trên giống như bạn cho phép port hoạt động
lại bình thường, tuy nhiên cần chú ý rằng các cấu hình
trước đó cho port này vẫn không thay đổi, kể cả
port-security.

Cách 2: khôi phục tự động, thiết lập lệnh để switch
tự động dò tìm lỗi và khôi phục.

Với cách này giả sử như bạn không hề biết nguyên
nhân vì sao port bị down.

Bước 2-1: Tiến hành tìm lỗi trên port

Cấu trúc lệnh:

Switch(config)#errdisable detect cause
[all | cause-name ]

+ all có nghĩa là tìm tất cả các lỗi xảy ra

+ cause-name : chỉ tìm lỗi có tên là cause-name,
gồm có:

all Enable error detection
on all cases

dhcp-rate-limit Enable error detection
on dhcp-rate-limit

dtp-flap Enable error detection
on dtp-flapping

(Cấu trúc lệnh - tiếp theo)


gbic-invalid Enable error detection
on gbic-invalid

link-flap Enable error detection
on linkstate-flapping

loopback Enable error detection
on loopback

pagp-flap Enable error detection
on pagp-flapping

Trong bài lab này sẽ cho switch tìm tất cả các lỗi:



Switch(config)#errdisable detect cause all



Bước 2-2: cho switch khôi phục trạng thái



Switch(config)#errdisable recorvery cause all



Bước 2-3: cài đặt thông số thời gian cho quá trình khôi phục.
Mặc định port sẽ được khôi phục sau 300 giây khi bạn đã thực
hiện lệnh ở bước 2-2. Tuy nhiên bạn có thể can thiệp vào thông
số thời gian này bằng cách dùng lệnh:



Switch(config-if)#errdisable recorvery second



Thông số thời gian second có đơn vị là giây bạn cần phải chú ý
điều này để tránh nhầm lẫn.

Bây giờ bạn cài đặt thông số thời gian khôi phục cho switch là
30 giây

Switch(config-if)#errdisable recorvery 30

Switch(config-if)#^Z

Bước 2-4: Quan sát

+ Quan sát đèn trên port f0/1 của switch : sau 30 giây sẽ
sáng lại

+ Quan sát trên giao diện:

- Quan sát thông số thời gian do lệnh debug tạo ra.

00:55:54: %PM-4-ERR_RECOVER: Attempting to recover
from psecure-violation err-disable state on Fa0/1

00:55:55: PSECURE: psecure_linkchange: Fa0/1
hwidb=0x807D6C98

00:55:55: PSECURE: Link is coming up

00:55:55: PSECURE: psecure_linkup_init_internal:
Fa0/1 hwidb = 0x807D6C98

00:55:55: PSECURE: No change in violation_mode

00:55:55: PSECURE: psecure_vlan_linkchange invoked: Vlan 1

00:55:55: PSECURE: Activating port-security feature

00:55:55: PSECURE: port_activate: status is 1

(Tiếp theo)

00:55:55: PSECURE:

PSECURE: Deleting all dynamic addresses from h/w tables.

00:55:55: PSECURE: psecure_platform_delete_all_addrs:
deleting all addresses on vlan 1

00:55:55: PSECURE: psecure_delete_address_not_ok
address <1,00e0.4d01.2978> allowed

00:55:55: PSECURE: skipping Fa0/1 while searching
<1,00e0.4d01.2978>

00:55:55: PSECURE: Adding entry to HA table from
port-security sub block

00:55:55: PSECURE: psecure_platform_add_mac_addrs:
Do nothing, called to add <1,00e0.4d01.2978>
to FastEthernet0/1

00:55:57: %LINK-3-UPDOWN: Interface FastEthernet0/1,
changed state to up

00:55:58: %LINEPROTO-5-UPDOWN: Line protocol
on Interface FastEthernet0/1, changed state to up

- Dùng lệnh :

Switch#show interface f0/1

FastEthernet0/1 is up, line protocol is up (connected)

Hardware is Fast Ethernet, address is 000f.239d.c641
(bia 000f.239d.c641)

MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

…

IV. Cấu hình toàn bộ

Cấu hình của switch:

Current configuration : 1727 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Switch

!

!

errdisable recovery cause udld

errdisable recovery cause bpduguard

errdisable recovery cause security-violation

errdisable recovery cause channel-misconfig

errdisable recovery cause pagp-flap

errdisable recovery cause dtp-flap

errdisable recovery cause link-flap

errdisable recovery cause psecure-violation

errdisable recovery cause gbic-invalid

errdisable recovery cause dhcp-rate-limit

errdisable recovery cause unicast-flood

errdisable recovery cause vmps

errdisable recovery cause loopback

errdisable recovery interval 30

ip subnet-zero

!

!

spanning-tree mode pvst

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

!

!

!

!

interface FastEthernet0/1

switchport mode access

switchport port-security

switchport port-security mac-address 00e0.4d01.2978

!

interface FastEthernet0/2

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

!

interface Vlan1

no ip address

no ip route-cache

shutdown

!

!

ip http server

!

line con 0

line vty 0 4

login

line vty 5 15

login

!

!

end

V. Đánh giá

Đến đây bạn đã có một khái niệm cơ bản và thao tác cấu hình
tương đối về port security. Bạn có thể thay đổi các thông số
trong các câu lệnh để tìm hiểu rõ các đặc tính của chúng