Switching

Ba loại địa chỉ MAC Ethernet được định nghĩa bởi tổ chức IEEE:
 
. Địa chỉ MAC unicast: địa chỉ này xác định một card giao diện LAN duy nhất.
. Địa chỉ MAC broadcast: địa chỉ này chỉ đến tất cẩ các thiết bị trong mạng LAN, MAC broadcast=FFFF.FFFF.FFFF
. Địa chỉ MAC multicast: chỉ đến một nhóm các thiết bị trong mạng LAN có thể giao tiếp với nhau.

Quyết định truyền tiếp(forward) hay hủy(filter)
 
Switch quyết định truyền tiếp hay hủy frame đến dựa vào thông tin trong bảng địa chỉ MAC của nó (MAC address table).

TH1: Switch có bảng địa chỉ MAC như sau:
MAC1 Fa0/1
MAC2 Fa0/2
MAC3 Fa0/3
MAC4 Fa0/4

Khi frame có địa chỉ nguồn MAC1 gởi đến địa chỉ đích MAC2, switch kiểm tra trong bảng địa chỉ MAC thấy rằng MAC2 tương ứng với giao diện ra Fa0/2. Trong trường hợp này swith sẽ truyền tiếp frame đến giao diện ra Fa0/2 và hủy frame đối với các giao diện Fa0/3 và Fa0/4.

TH2: Switch có bảng địa chỉ MAC như sau:
MAC1 Fa0/1
MAC2 Fa0/1
MAC3 Fa0/3
MAC4 Fa0/4

Khi frame có địa chỉ nguồn MAC1 gởi đến địa chỉ đích MAC2, switch kiểm tra trong bảng địa chỉ MAC thấy rằng MAC2 tương ứng với giao diện ra Fa0/1. Tuy nhiên giao diện ra này trùng với giao diện mà frame đi vào(Fa0/1) nên switch quyết định hủy frame này mà không truyền tiếp đi.

Cả 2 trường hợp trên, địa chỉ MAC đích đều có trong bảng địa chỉ MAC của switch. Trường hợp địa chỉ MAC đích không có trong bảng địa chỉ MAC của switch sẽ được trình bày sau trong tính năng khác của switch.

Tính năng "học" địa chỉ MAC của switch
 
Như đã biết, bảng địa chỉ MAC chứa các thông tin về địa chỉ MAC và giao diện(cổng) tương ứng (hay còn gọi là các entry). Để có những entry này trong bảng địa chỉ MAC, switch có thể "học" từ các frame đến.

Khi tiếp nhận frame, switch kiểm tra địa chỉ MAC nguồn của frame. Nếu địa chỉ này chưa có trong bảng MAC, thì switch sẽ tạo một entry mới gồm địa chỉ MAC nguồn này và giao diện frame đến tương ứng.

Tính năng flooding frame
 
Khi switch tiếp nhận một frame với địa chỉ MAC đích không có trong bảng địa chỉ MAC hoặc địa chỉ MAC đích là địa chỉ broadcast(FFFF.FFFF.FFFF) thì switch sẽ truyền tiếp frame này ra tất cả các giao diện của nó, trừ giao diện mà frame đi vào. (quá trình này được gọi là flooding frame)

Các entry không tồn tại cố định trong bảng địa chỉ MAC, switch gán cho mỗi entry một bộ định thời riêng (gọi là inactivity timer). Entry mới được tạo có bộ định thời =0 và khi frame mới được tiếp nhận có địa chỉ MAC nguồn đã có trong bảng địa chỉ MAC thì bộ định thời của entry đó cũng được thiết lập trở về 0. Giá trị của bộ định thời tăng theo thời gian và tăng đến giá trị maximum thì entry sẽ bị hủy khỏi bảng địa chỉ MAC.

Tính năng tránh lặp bằng việc dùng giao thức STP
 
Đối với mạng switch có tính dư thừa nếu không dùng giao thức STP (Spanning Tree Protocol) sẽ xảy ra hiện tượng lặp frame vô hạn.
(Mạng switch có tính dư thừa là mạng có nhiều hơn một đường đi giữa các switch)

Ví dụ: Mạng switch dư thừa với 3 switch nối theo hình tam giác: sw1, sw2, sw3
TH1: sw1 gởi frame có địa chỉ unicast không đang hoạt động ra các giao diện, sw2 tiếp nhận và truyền tiếp frame đên sw3, sw3 truyền tiếp đến sw1 --> lặp vô hạn.
TH2: sw1 gởi frame có địa chỉ broadcast, sw2 truyền tiếp frame đến sw3, sw3 truyền tiếp đến sw1 --> lặp vô hạn.

Để tránh quá trình lặp xảy ra, switch dùng giao thức STP. STP sẽ đặt các giao diện của switch vào trạng thái hoặc là blocking state hoặc là forwarding state. Ở trạng thái blocking, giao diện không thể truyền hay tiếp nhận frame. Ở trạng thái forwarding, giao diện có thể truyền và tiếp nhận frame. Nếu STP hoạt động đúng, trong các mạng switch dư thừa, chỉ có một đường đi(logic) giữa 2 switch.

Tiến trình xử lý bên trong của Cisco switch
 
Khi switch đã quyết định truyền tiếp frame, switch có 3 phương thức khác nhau để xử lý:

. store and forward: switch tiếp nhận đầy đủ tất cả các bit của frame rồi mới truyền đi. Phương thức này cho phép switch kiểm tra FCS trước khi truyền tiếp frame. Nhưng bù lại có độ trễ lớn hơn các phương thức khác.

. cut-through: switch sẽ truyền frame đi ngay khi có thể. Điều này giúp giảm đi độ trễ nhưng không cho phép switch kiểm tra FCS vì thế các frame lỗi vẫn được truyền đi.

. fragment-free: switch sẽ truyền tiếp frame sau khi đã tiếp nhận 64bytes đầu tiên của frame, điều này giúp hạn chế việc truyền tiếp các frame vì lý do xung đột. Phương thức này có độ trễ ít hơn store and forward và lớn hơn cut-through. 

Mặc định, switch không yêu cầu user console nhập password để vào chế độ user mode và enable mode.
Mặc định, user telnet và user ssh không thể truy cập vào user mode.

Một người nào đó chỉ cần 1 sợi cáp console (1 đầu RJ45, một đầu DB9) và 1 PC thì có thể truy cập vào switch. Làm thế nào để ngăn không cho người khác truy cập vào switch? Đơn giản, cấu hình password cho switch.

Cấu hình password để truy cập từ console
 
sw#configure terminal (vào chế độ config)
sw(config)#line console 0
sw(config-line)#password matkhau
sw(config-line)#login
sw(config-line)#exit
sw(config)#

Cấu hình password để truy cập bằng telnet
 
sw#configure terminal
sw(config)#line vty 0 4
(ở đây cho phép tối đa 5 kết nối cùng lúc telnet vào switch, số kết nối tối đa mà switch hỗ trợ tùy vào dòng(series), vd dòng 2960 hỗ trợ tối đa 16 kết nối từ 0..15)
sw(config-line)#password matkhau
sw(config-line)#login
sw(config-line)#exit
sw(config)#

Cấu hình password để vào chế độ enable mode
 
sw#configure terminal
sw(config)#enable password matkhau
sw(config)#exit
sw#
hoặc:
sw#configure terminal
sw(config)#enable secret matkhau
sw(config)#exit
sw#

password được định nghĩa bởi lệnh enable password được lưu ở dạng cleartext, có thể thấy được bằng lệnh #show running-config

password được định nghĩa bởi lệnh enable secret được lưu ở dạng MD5 hash, không thể thấy được bằng lệnh #show running-config

Nếu dùng cả 2 lệnh thì password được định nghĩa trong lệnh enable secret có hiệu lực.

Xóa password enable dùng lệnh: sw(config)#no enable secret
Thay đổi password enable dùng lệnh: sw(config)#enable secret matkhaumoi

Ẩn các password dạng cleartext
 
Password dạng cleartext không có tính bảo mật, để ẩn các password này ta dùng lệnh service password-encryption
sw#configure terminal
sw(config)#service password-encryption
sw(config)#exit
sw#
Nếu muốn hủy lệnh service password-encryption ta dùng lệnh no service password-encryption. Tuy nhiên, lệnh này không thay đổi password đã ẩn sang dạng cleartext cho đến khi chúng được thay đổi. 


Banner
 
Banner là một hay nhiều dòng văn bản xuất hiện trên màn hình của người dùng console hay vty. Ta có thể dùng banner để hiển thị mẫu tin dạng thông báo như : "chúc một ngày mới vui vẻ", "bạn không có quyền truy cập vào khu vực này",...

Có 3 loại banner hay dùng: motd, logic, và exec

. motd (message of the day) : hiển thị trước khi đăng nhập (login), thường là các thông báo tạm thời.

. login : hiển thị trước khi đăng nhập và hiển thị sau banner motd, thường là các thông báo cố định.

. exec : hiển thị sau khi đăng nhập thành công.

cấu hình banner:
sw(config)#banner motd #nội dụng banner đặt ở đây#
sw(config)#banner login #nội dụng banner đặt ở đây#
sw(config)#banner exec Znội dụng banner đặt ở dayZ

trong đó:
banner : từ khóa lệnh
motd, login, exec: loại banner, mặc định là motd
#, Z: ký tự phân cách, đặt trước và sau phần nội dung banner

History buffer
 
History buffer là bộ nhớ được dùng để lưu các lệnh người dùng thực thi gần đây nhất. Bộ nhớ history buffer giúp dễ dàng và nhanh chóng cho người dùng nếu muốn dùng lại lệnh trước đó. Dùng phím up, down để di chuyển qua lại giữa các lệnh trong history buffer (hoạt động theo nguyên tắc vào trước ra sau).

Một số lệnh liên quan đến history buffer:
. show history: hiển thị các lệnh hiện đang trong bộ nhớ history buffer.
sw#show history
. history size x: thiết lập số lệnh tối đa được lưu trong bộ nhớ history buffer cho người dùng tương ứng.
sw(config-line)#history size 10

Logging synchronous và exec-timeout
 
Mặc định, switch hay router sẽ hiển thị các thông báo syslog bất cứ lúc nào, có thể ngay khi bạn đang vào một lệnh, hay ngay khi màn hình đang chạy kết quả ra,....Người dùng có thể dùng lệnh logging synchronous để hiển thị các thông điệp syslog tại các thời điểm thuận tiện hơn
sw(config-line)#logging synchronous

Mặc định, switch hay router sẽ ngắt kết nối đối với các người dùng console và người dùng vty sau 5 phút không hoạt động. Để thay đổi thời gian này ta dùng lệnh exec-timeout
sw(config-line)#exec-timeout phut giay
sw(config-line)#exec-timeout 10 10 --> sẽ ngắt những kết nối không hoạt động trong 10 phút 10 giây
sw(config-line)#exec-timeout 0 0 --> không ngắt kết nối 

***********************************
Cấu hình IP bằng DHCP:

. Vào chế độ cấu hình VLAN 1 bằng lệnh : interface vlan 1

. Dùng lệnh ip address dhcp để lấy thông tin IP tự động (bao gồm: địa chỉ IP, subnet mask, gateway)

. Kích hoạt giao diện VLAN 1 lên dùng lệnh : no shutdown

cấu hình ví dụ:

sw#configure terminal
sw(config)#interface vlan 1
sw(config-if)#ip address dhcp
sw(config-if)#no shutdown
sw(config-if)#Ctrl-Z
sw#