7 Bước định cấu hình Switch mạng đầy đủ nhất

Switch chia mạng Cisco 8 cổng Ethernet Gigabit + 2 cổng kết hợp SFPGigabit Ethernet - CBS250-8P-E-2G (2)

Bước 1: Các lệnh kiểm tra phần cứng

Kiểm tra các thông số và phần cứng của Switch mạng mà bạn định cấu hình. Nếu bạn sử dụng các thiết bị dự phòng hãy kiểm tra xem phần cứng của thiết bị xem có hỏng gì không?

Kiểm tra xem lúc bật Switch lên các đèn thông báo đều hoạt động. Tiếp theo kết nối Switch với máy tính điều khiển của bạn. Để thực hiện việc này bạn cần phải tải và cài đặt phần mềm Putty. Sau khi tải xong hãy bật Putty và chạy với tốc độ kết nối 9600.

Bây giờ Switch mạng của bạn đã được kết nối với máy tính để sẵn sàng kiểm tra các lệnh theo bảng dưới đây:

Lệnh Ý Nghĩa
show version Hiển thị thông tin về phiên bản phần mềm và phần cứng của Switch.
show running-config Hiển thị cấu hình hiện tại của Switch (cấu hình trong bộ nhớ chạy).
show VLAN brief Hiển thị danh sách các VLAN đang tồn tại trên Switch và các thông tin cơ bản về chúng.
show VTP status Hiển thị trạng thái của giao thức VTP (VLAN Trunking Protocol) trên Switch.
IP domain-name routerfreak.com Đặt tên miền cho thiết bị (hostname) thành “routerfreak.com”.
hostname Switch01 Đặt tên cho thiết bị thành “Switch01”.
interface VLAN1 Truy cập vào cấu hình giao diện VLAN 1.
description Management VLAN Gán mô tả cho giao diện VLAN 1 là “Management VLAN”.
IP address 192.168.101.1 255.255.255.0 Đặt địa chỉ IP và mặt nạ mạng cho giao diện VLAN 1.
`vtp [client server
vtp domain name Đặt tên miền VTP cho Switch.
switchport access vlan ### Gán một VLAN cụ thể cho cổng giao diện.
switchport mode access Đặt cổng giao diện thành chế độ truy cập (Access mode).
power inline consumption ### Cấu hình tiêu thụ năng lượng PoE cho cổng giao diện.
queue-set 2 Cấu hình bộ sưu tập hàng đợi (queue-set) trên giao diện.
mls qos trust dscp Thiết lập giao diện để tin tưởng vào trường DSCP để quản lý chất lượng dịch vụ (QoS).
storm-control multicast level 50.00 Cấu hình kiểm soát bão đa phương tiện với mức 50%.
no cdp enable Tắt giao thức CDP (Cisco Discovery Protocol) trên giao diện.
spanning-tree portfast Kích hoạt tính năng PortFast trên cổng giao diện để tăng tốc quá trình kết nối.
spanning-tree bpduguard enable Bật tính năng BPDU Guard để ngăn cổng giao diện từ việc nhận các BPDU không mong muốn.
crypto key generate rsa Tạo cặp khóa RSA để sử dụng cho SSH.
# line vty 0 4 Truy cập vào cấu hình các dòng 0 đến 4 cho các phiên SSH (kết nối từ xa).
(config-line)# transport input ssh Cho phép kết nối SSH trên các dòng vty.
(config-line)# login local Sử dụng kiểm tra đăng nhập cục bộ để xác thực người dùng.
(config-line)# password routerfreak Đặt mật khẩu cho đăng nhập SSH.
# line console 0 Truy cập vào cấu hình cổng console.
(config-line)# logging synchronous Cấu hình để thông báo ghi ra console đồng bộ hóa.
(config-line)# login local Sử dụng kiểm tra đăng nhập cục bộ để xác thực người dùng trên cổng console.
Switch01# service password-encryption Kích hoạt mã hóa mật khẩu cấu hình trên thiết bị.
remote-computer# ssh 192.168.101.1 Kết nối SSH từ một máy tính từ xa đến địa chỉ IP 192.168.101.1 của Switch.
Log in as: username Nhập tên người dùng khi được yêu cầu.
Password: Nhập mật khẩu khi được yêu cầu.
Switch01>en Chuyển sang chế độ thực hiện (privileged exec) bằng cách nhập lệnh “en”.
Password: Nhập mật khẩu để truy cập chế độ thực hiện.
Switch01# Dấu nhắc trong chế độ thực hiện, cho phép thực hiện các lệnh cấu hình và quản trị khác.

Đối với các switch dự phòng hãy nhớ xóa tệp flash:vlan.dat để xóa cấu hình cũ.

Bước 2: Lệnh thiết lập IP quản lý

Để thiết lập địa chỉ IP quản lý trên một thiết bị Switch mạng, bạn thường cần truy cập chế độ cấu hình của switch và cấu hình VLAN quản lý cùng với địa chỉ IP cho giao diện quản lý. Dưới đây là các bước tổng quan để thiết lập địa chỉ IP quản lý:

1. Truy cập Giao Diện Dòng Lệnh (CLI):

Kết nối vào switch bằng một chương trình mô phỏng terminal hoặc SSH nếu switch đã được cấu hình.

Chuyển sang chế độ thực hiện (privileged exec mode) bằng cách nhập enable và cung cấp mật khẩu yêu cầu.

2. Truy Cập Chế Độ Cấu Hình Toàn Cục (Global Configuration Mode):

Truy cập chế độ cấu hình toàn cục bằng cách nhập configure terminal hoặc conft.

3. Tạo hoặc Cấu Hình VLAN Quản Lý (nếu chưa được tạo):

Sử dụng lệnh vlan để tạo một VLAN mới hoặc chỉnh sửa một VLAN đã tồn tại. Ví dụ:

vlan 10
name VLAN_QuanLy

Gán một ID VLAN thích hợp (ví dụ: 10) và một tên (ví dụ: VLAN_QuanLy).

4. Truy Cập Chế Độ Cấu Hình Cho Giao Diện Quản Lý:

Sử dụng lệnh interface VLAN để truy cập chế độ cấu hình cho giao diện quản lý, thường là VLAN 1 hoặc VLAN bạn đã tạo cho quản lý. Ví dụ:

interface VLAN1

5. Gán Địa Chỉ IP và Mặt Nạ Mạng:

Sử dụng lệnh ip address để gán địa chỉ IP và mặt nạ mạng cho giao diện quản lý. Ví dụ:

ip address 192.168.1.10 255.255.255.0

Thay thế 192.168.1.10 bằng địa chỉ IP mong muốn và 255.255.255.0 bằng mặt nạ mạng tương ứng.

6. Kích Hoạt Giao Diện Quản Lý:

Đảm bảo giao diện quản lý đã được kích hoạt. Bạn có thể thực hiện điều này bằng cách đảm bảo rằng giao diện không bị tắt bằng cách sử dụng lệnh sau:

no shutdown

7. Xác Minh Cấu Hình:

Bạn có thể sử dụng lệnh show running-config để xác minh rằng địa chỉ IP quản lý và cấu hình VLAN đã được đặt đúng.

8. Kiểm Tra Kết Nối:

Kiểm tra kết nối đến địa chỉ IP quản lý để đảm bảo nó hoạt động như mong muốn.

Lưu ý rằng các lệnh cụ thể và cú pháp có thể thay đổi tùy thuộc vào mẫu switch và hệ điều hành (ví dụ: Cisco IOS, Cisco NX-OS, v.v.). Hãy luôn tham khảo tài liệu từ nhà sản xuất switch để biết hướng dẫn và cú pháp lệnh cụ thể.

Bước 3: Lệnh kiểm tra VTP Version Number

Lệnh hiển thị trạng thái VTP dùng để hiển thị số sửa đổi giao thức trung kế ảo VTP. Số này xác định bản cập nhật nào sẽ được sử dụng trong miền VTP. Khi bạn đặt tên miền VTP, số này sẽ được đặt thành 0. Sau đó mỗi thay đổi với cơ sở dữ liệu VLAN sẽ tăng số sửa đổi lên 1.

Switch của bạn sẽ chỉ xử lý dữ liệu từ 1 switch lân cận đến từ cùng 1 miền và nếu số sửa đổi của Switch lân cận cao hơn. Điều này có nghĩa là Switch sẽ cập nhật cấu hình VLAN của chúng dựa trên thông tin VTP được gửi bởi Switch có số phiên bản cao nhất.

Vì vậy trước khi thêm một Switch mạng bạn sẽ phải đặt số sửa đổi thành 0.

Để kiểm tra số phiên bản VTP (VLAN Trunking Protocol) trên một thiết bị Switch Cisco, bạn có thể sử dụng lệnh show vtp status. Lệnh này cung cấp thông tin về miền VTP, số phiên bản hiện tại và các chi tiết khác liên quan đến VTP. Dưới đây là cách bạn có thể kiểm tra số phiên bản VTP:

1. Truy cập Giao Diện Dòng Lệnh (CLI) trên Switch Cisco.

2. Nhập chế độ privileged exec bằng cách gõ enable và cung cấp mật khẩu cần thiết nếu được yêu cầu.

3. Sử dụng lệnh show vtp status:

show vtp status

4. Tìm trường “Configuration Revision” trong kết quả đầu ra. Trường này sẽ hiển thị số phiên bản VTP hiện tại.

Dưới đây là một ví dụ về kết quả có thể xuất hiện:

Switch# show vtp status

VTP Version                     : 2
Configuration Revision          : 5
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 10
VTP Operating Mode              : Server
VTP Domain Name                 : example-vtp-domain
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x1A 0x3E 0x5F 0x99 0xAF 0x12 0x34 0xD2
Configuration last modified by 192.168.1.1 at 0-0-00 00:00:00
Local updater ID is 192.168.1.1 on interface Vl1 (lowest numbered VLAN interface found)

Trong ví dụ này, “Configuration Revision” là 5. Đây chính là số phiên bản VTP, và nó thể hiện phiên bản hiện tại của cấu hình VTP trên switch.

Lưu ý rằng số phiên bản VTP được sử dụng để xác định phiên bản nào là mới nhất và nên được lan truyền trong một miền VTP. Nếu bạn thực hiện thay đổi về VLAN hoặc các cài đặt khác liên quan đến VTP, số phiên bản sẽ tăng để phản ánh những thay đổi đó.

Bước 4: Lệnh cấu hình cổng truy cập

Để cấu hình các cổng truy cập (access ports) trên một switch mạng, bạn cần xác định cổng nào bạn muốn đặt chế độ truy cập và sau đó gán VLAN cho cổng đó. Dưới đây là các bước cơ bản để cấu hình cổng truy cập trên một thiết bị Switch Cisco:

1. Truy cập Command Line Interface (CLI) của Switch.

2. Nhập chế độ privileged exec bằng cách gõ enable và cung cấp mật khẩu cần thiết nếu được yêu cầu.

3. Truy cập chế độ cấu hình giao diện của cổng bạn muốn đặt chế độ truy cập. Sử dụng lệnh sau để truy cập giao diện cổng, ví dụ cho cổng Ethernet 1/0/1:

configure terminal
interface GigabitEthernet1/0/1

4. Đặt chế độ truy cập (Access Mode) cho cổng bằng cách sử dụng lệnh:

switchport mode access

5. Gán một VLAN cho cổng truy cập. Sử dụng lệnh sau để gán cổng vào VLAN 10, ví dụ:

switchport access vlan 10

6. Kiểm tra cấu hình bằng cách sử dụng lệnh sau:

show running-config interface GigabitEthernet1/0/1

Lưu ý rằng bạn cần thay thế GigabitEthernet1/0/1 bằng tên cụ thể của cổng mà bạn muốn cấu hình. Các bước trên sẽ đặt cổng đó vào chế độ truy cập và gán nó vào VLAN cụ thể, làm cho cổng trở thành một cổng truy cập cho VLAN đó.

Bước 5: Lệnh cấu hình VLAN Trunk

Nhập lệnh “sh int g0/1 capabilities” và kiểm tra giao thức trunking được hỗ trợ. Nếu ISL được hỗ trợ, bạn phải sử dụng lệnh cấu hình “switchport trunk encapsulation dot1q” trên cổng trunk. Nếu không, chỉ cần gõ “switchport mode trunk”. Điều này có nghĩa là không có giao thức đóng gói khác được hỗ trợ, vì vậy không cần sử dụng lệnh đóng gói (encapsulation). Nó chỉ hỗ trợ 802.1Q.

Xem cách cấu hình VLAN Trunk chi tiết!

Bước 6: Lệnh cấu hình cổng truy cập

Sau khi đã thực hiện các cấu hình cơ bản trên switch mạng, bạn cần tạo khóa RSA để sử dụng trong quá trình kết nối SSH, sử dụng các lệnh crypto được hiển thị dưới đây:

1. Tạo khóa RSA:

crypto key generate rsa: Dùng để tạo cặp khóa RSA cho việc sử dụng trong các kết nối bảo mật như SSH hoặc VPN.

Ví dụ:

crypto key generate rsa

2. Thiết lập mật khẩu cho khóa RSA:

ip ssh version 2: Xác định phiên bản SSH sử dụng (thường là SSHv2).

line vty 0 4: Truy cập cấu hình cho các dòng VTY (kết nối từ xa).

transport input ssh: Chỉ cho phép kết nối SSH vào các dòng VTY.

login local: Sử dụng xác thực địa phương cho việc đăng nhập vào SSH.

Ví dụ:

ip ssh version 2
line vty 0 4
transport input ssh
login local
password <password>

3. Cấu hình VPN (Virtual Private Network):

crypto isakmp policy: Thiết lập chính sách ISAKMP (Internet Security Association and Key Management Protocol).

crypto isakmp key: Xác định khóa chia sẻ cho việc thiết lập VPN.

crypto ipsec transform-set: Xác định các tùy chọn biến đổi IPsec.

crypto map: Tạo và gán các bản đồ mã hóa cho các giao diện hoặc lớp liên kết (interface hoặc crypto map).

Ví dụ:

crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
crypto isakmp key <shared-key> address <peer-address>
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
set peer <peer-address>
set transform-set myset

4. Cấu hình SSL VPN:

crypto pki trustpoint: Tạo và quản lý trustpoint SSL để sử dụng cho SSL VPN.

crypto pki enroll: Yêu cầu và cài đặt chứng chỉ SSL.

ssl trust-point: Áp dụng trustpoint đã được tạo vào giao diện SSL VPN.

Ví dụ:

crypto pki trustpoint my-trustpoint
enrollment terminal
crypto pki enroll my-trustpoint
ssl trust-point my-trustpoint outside

Lưu ý chọn kích thước của modulus khóa trong khoảng từ 360 đến 2048 cho các Khóa Mục đích Chung của bạn. Lựa chọn một modulus khóa lớn hơn 512 có thể mất vài phút.

Bước 7: Lệnh thiết lập cấu hình dòng VTY

Nếu bạn chưa cài đặt dòng console, bạn có thể dễ dàng nhập các giá trị này:

  • Đặt mật khẩu enable sử dụng lệnh enable secret password. Sau đó, đặt mật khẩu privilege exec với lệnh username name privilege 15 secret password. Đảm bảo rằng dịch vụ mã hóa mật khẩu (password-encryption) đã được kích hoạt.
  • Xác minh quyền truy cập SSH bằng cách gõ ‘sh ip ssh’ để xác nhận rằng SSH đã được kích hoạt. Bây giờ, bạn có thể thử đăng nhập từ một máy từ xa để xác minh rằng bạn có thể SSH vào switch Cisco của bạn.

Để cài đặt cấu hình cho các dòng VTY (Virtual Terminal Lines) trên một thiết bị mạng Cisco, bạn có thể sử dụng các lệnh sau đây để bảo vệ và quản lý quyền truy cập từ xa vào thiết bị. Dòng VTY cho phép truy cập từ xa thông qua SSH, Telnet, hoặc các giao thức khác:

1. Truy cập Command Line Interface (CLI) của thiết bị Cisco.

2. Nhập chế độ privileged exec bằng cách gõ enable và cung cấp mật khẩu cần thiết nếu được yêu cầu.

3. Truy cập cấu hình dòng VTY bằng cách sử dụng lệnh sau, trong trường hợp này, chúng ta sẽ truy cập tất cả các dòng VTY từ 0 đến 15:

configure terminal
line vty 0 15

4. Xác định giao thức sử dụng để truy cập. Trong ví dụ này, chúng tôi sẽ sử dụng SSH:

transport input ssh

5. Xác thực địa phương bằng cách sử dụng lệnh login local để yêu cầu người dùng nhập tên người dùng và mật khẩu địa phương khi kết nối.

login local

6. (Tùy chọn) Đặt mật khẩu cho các dòng VTY bằng lệnh password:

password your_password

Hoặc nếu bạn muốn sử dụng khóa RSA đã tạo trong trường hợp trước, bạn có thể sử dụng lệnh sau:

login authentication ssh-login

7. (Tùy chọn) Xác định ACL (Access Control List) nếu bạn muốn kiểm soát quyền truy cập đến các dòng VTY dựa trên địa chỉ IP hoặc các tiêu chí khác.

access-class acl_number in

8. Kiểm tra cấu hình bằng cách sử dụng lệnh “show running-config” để xác minh rằng cấu hình VTY đã được đặt đúng.