RE: Fix cứng IP cho từng port của Switch

Rất cảm ơn tất cả mọi người đã quan tâm chỉ bảo. Em sẽ nghiên cứu toàn bộ hướng dẫn của các bác nêu trên để vận dụng vào mạng của em. Hy vọng sẽ giải quyết được vấn đề. Em thấy rằng giải pháp của bác cisco336 rất hay vì nó không phụ thuộc vào hệ điều hành (tránh việc user cài lại máy nếu với mạng Workgroup. Còn mạng Active Directory thì em không muốn vì tất cả user phụ thuộc vào máy chủ quản lý Domain -> máy chủ tèo thì toàn bộ cơ quan ngồi chơi. hê hê). Vậy là phải có một con Router đúng không ạ. Nhưng vấn đề conflig Ip vẫn chưa được giải quyết (Mạng Workgroup có thể cấu hình user không cho đổi Ip qua Local Policy, tuy nhiên nếu user cài lại máy thì sao? Điều này rất hay xảy ra). Bác itmansaigon có đưa ra giải pháp chia thành các subnet nhỏ, tuy nhiên user đổi Ip trong subnet đó vẫn bị conflig mà.

Cảm ơn mọi người rất nhiều vì đã quan tâm đến vấn đề của em.

arp IP_add MAC_add arap alias
Có thể map ip với mac đích không. Tức là mac trên cổng của switch ấy. Mình muốn gán ghi gắn PC vào 1 port nào đó thì sẽ luôn là IP đó chứ không muốn gán IP theo từng PC thì sao

Việc fix ip cho máy tính của người sử dụng theo từng port mình nghĩ là được đấy nhưng switch 2950 của bạn phải có IOS version từ Version 12.1(14)EA1 hoặc mới hơn thì mới sử dụng ACLs được. Ví dụ:

access-list 60 permit 192.168.1.2
access-list 60 permit 192.168.1.3
interface FastEthernet0/1
ip access-group 60 in

Lúc này máy tính kết nối vào cổng 1 của switch chỉ có thể tham gia vào mạng khi thuộc 1 trong 2 địa chỉ IP nêu trên.

Còn vụ cấm truy nhập internet bằng cách quản lý MAC của người sử dụng, cái này làm được nhưng không toàn diện lắm vì nếu dùng chức năng MAC Filter của modem ADSL thì thường bạn chỉ cho phép (hoặc ngăn cấm) tối đa là 16 địa chỉ MAC. Còn dùng phần mềm chạy trên PC (Proxy Server) thì mình không rõ lắm, thường các phần mềm loại này chỉ có tính năng Port Filter, Protocols Filter hoặc IP Filter thôi.

Còn lại bạn thử hỏi MOD hoặc Admin đi.

Chào !!!
Mình đã làm thử với IOS 12.1 (22) EA8b nhưng nó không hỗ trợ ip access-list . Bạn chỉ có thể dùng lệnh:
Nhưng bạn sẽ không thể apply vào từng port của switch được.
Chúc bạn vui !!!

Sao lại không nhỉ, vì mình đang dùng nó mà, nếu MOD muốn mình sẽ gửi cho bạn IOS đó. Đây là thông tin về cái switch mình đang dùng:

Switch#show version
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(14)EA1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 22-Jul-03 12:13 by antonino
Image text-base: 0x80010000, data-base: 0x805C0000
ROM: Bootstrap program is CALHOUN boot loader
Switch uptime is 5 days, 2 hours, 4 minutes
System returned to ROM by power-on
System image file is "flash:c2950-i6q4l2-mz.121-14.EA1.bin"
cisco WS-C2950G-24-EI (RC32300) processor (revision G0) with 20710K bytes of memory.
Processor board ID FOC0728W2P6
Last reset from system-reset
Running Enhanced Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:0D:65:79:D3:00
Motherboard assembly number: 73-7280-05
Power supply part number: 34-0965-01
Motherboard serial number: FOC072825K4
Power supply serial number: DAB07267PJJ
Model revision number: G0
Motherboard revision number: A0
Model number: WS-C2950G-24-EI
System serial number: FOC0728W2P6
Configuration register is 0xF

Trước đây IOS của nó là c2950-i6q4l2-mz.121-13.EA1.bin, không có ACLs, không làm DHCP Server được. Sau khi nâng cấp lên c2950-i6q4l2-mz.121-14.EA1.bin thì nó có thêm cả 2 tính năng trên.

Chào !!!
Bạn có thể gởi cho mình IOS để test thử không ????

CHúc bạn vui !!!

À, viết trả lời xong mới đọc kỹ lại bài viết của MOD, version đó cho phép gõ lệnh ACLs nhưng không cho áp với từng port có thể là do ông (bà) kỹ sư viết cái IOS đó chưa xong hoàn toàn mà đã biên dịch và xuất bản luôn :)

Chuyện thường mà, thêm một số lệnh nhưng chẳng áp dụng vào đâu thì đâu có chết ai ^^.

Trời, hóa ra MOD đang online :)

Bạn download theo link sau: ftp://khanhntn.no-ip.org/c2950-i6q4l2-mz.121-14.EA1.bin

Username & password đều là vnpro nhé.

MOD đã thử chưa vậy?

Tớ remove bỏ user đó nhé.

Chào !!!
Thannks bạn đã share , hi vọng ngày nào đó người ta sẽ cho apply ACLs vào cổng của switch 2950

Chúc bạn vui !!!

Khặc, mod không tin hả, đã xem cái thông tin tớ show version chưa hả, học là một chuyện, có nền tảng kiến thức để phân tích sự việc là một chuyện khác nhé. Đừng giận khi đọc những dòng trên vì mình tin rằng kiến thức của bạn chưa đủ rộng để suy xét vấn đề, chắc bạn còn ít tuổi.

Xem mình gửi nội dung running-config của cái switch đó nhé. Bạn nên hỏi qua sếp Đặng Quang Minh trước khi có sự trả lời. Nếu cần, mình sẽ cho bạn kết nối VPN vào mạng nội bộ để "cầm, sờ mó" cái switch đó.

Switch#show run
Building configuration...
Current configuration : 2077 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable secret 5 $1$GBL1$n.tChjmuVL3gasHKK8VNv1
!
ip subnet-zero
ip dhcp excluded-address xxx.xxx.xxx.1 xxx.xxx.xxx.20
!
ip dhcp pool xxxxxx
network xxx.xxx.xxx.0 255.255.255.0
dns-server xxx.xxx.xxx.x xxx.xxx.xxx.x
netbios-name-server xxx.xxx.xxx.x xxx.xxx.xxx.x
default-router xxx.xxx.xxx.x
domain-name xxxx@xxxx
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
ip access-group 60 in
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address xxx.xxx.xxx.x 255.255.255.0
no ip route-cache
!
no ip http server
!
access-list 60 deny xxx.100.223.207
access-list 60 deny xxx.100.45.103
access-list 60 deny xxx.100.111.5
access-list 60 deny xxx.100.111.4
access-list 60 deny xxx.100.223.174
access-list 60 deny xxx.100.32.151
access-list 60 deny xxx.100.32.206
access-list 60 deny xxx.100.32.211
access-list 60 deny xxx.100.247.12
access-list 60 permit any
access-list 70 deny xxx.100.128.144
access-list 70 permit any
!
line con 0
password xxxxxx
login
line vty 0 4
password xxxxxx
login
line vty 5 14
password xxxxxx
login
line vty 15
login
!
end
Switch#

Đừng nóng mặt, ta sẽ còn mạn đàm tiếp mà, trước tiên nên áp thử IOS mà tớ gửi lên đã.

Chao Nguoivietnam

Minh nghi cac toi uu nhat la Join Domain dung DHCP ket hop voi port secure
- Loi ich cua join domain ban co the phan quyen khong cho user co quyen tay doi IP va thao kinh nghiem cua minh cung khong nen cho user co quyen cai dat , Moi hanh doi cac dat thay doi gi thi yeu cau phai co su approve cua IT. Nhu the ban se rat nhan trong qua trinh quan ly mang , May tinh it loi , it bi virus .
- Khi dung DHCP ban co the fix dia chi IP theo dia chi Mac
-Port secure de khong co dong chi do mang mang qua port khac cam , Khac khua hoac may cai nhan mang den cong ty cam vao mang se khong hoat dong , se tranh duoc tinh trang lay lan virus va co the quan ly duoc tot

Minh nghi tat ca nhung dieu nay thao man yeu cau cua ban da neu re o dau . Hien tai minh cung dang ap dung mo hinh nay o cty minh , Chi can mot dong chi IT ho tro cho khoang 200 user ma cong viec van rat nhan ,

Chào !!!
Diễn đàn rất vui khi luôn có những thành viên tích cực như anh, vì khi anh post link Phúc không online nên chưa down được nếu được anh gởi qua mail hoặc up lên topic này cũng được.
Phúc đã kiểm tra lại lệnh trên tài liệu của cisco và đúng là có lệnh đó ở IOS anh đang dùng. (IOS này được đưa ra vào năm 2003 trong khi IOS phúc dùng lại được đưa ra từ năm 2006.???)


Thanks anh đã share cho mọi người một cách nhìn mới về switch 2950 về việc nó có thể dùng IP acls
Mong anh luôn tiếp tục ủng hộ cho diển đàn
Chúc anh vui !!!

Ồ, có gì đâu, tớ sẽ up lại cái IOS đó lên đây sau.

Còn về cách nhìn mới? - Không phải vậy, nó không hề mới mà là ta hiểu đúng bản chất vấn đề hay không mà thôi. Nó như sau:

Bản chất thì tất cả các thiết bị có sử dụng một HĐH nào đó thì nó không khác gì một cái máy tính, nó có bộ vi xử lý trung tâm, có bộ nhớ trong (RAM, ROM, Flash...), một số còn có cả HDD (một số thiết bị truyền dẫn của hãng Siemens có HDD). Việc tương tác giữa người sử dụng và các thiết bị đó có thể khác nhau (console, telnet, hoặc bàn phím - nhiều thiết bị có luôn bàn phím và màn hình đi kèm).

Hệ điều hành của mỗi thiết bị do các kỹ sư của các viết nên tùy vào tư duy của mỗi người, họ có thể thêm hoặc bớt các tính năng cho mỗi phiên bản HĐH.

Mình gửi lại link download IOS có hỗ trợ IP ACLs.