Tweet
LAB – Port Security, BPDU Guard, Root Guard
LAB – Port Security, BPDU Guard, Root Guard
Sơ đồ:
Hình 24.1 – Sơ đồ bài lab.
Mô tả:
1. Cấu hình trunking:
1. Cấu hình trunking:
Trên SW1:
SW1(config)#interface range f0/20,f0/24
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport nonegotiate
Trên SW2:
SW2(config)#interface range f0/22,f0/24
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#switchport nonegotiate
Trên SW3:
SW3(config)#interface range f0/20,f0/22
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)# switchport mode trunk
SW3(config-if-range)# switchport nonegotiate
Kiểm tra:
Thực hiện kiểm tra rằng các đường trunk đã được thiết lập giữa các switch:
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on 802.1q trunking 1
Fa0/24 on 802.1q trunking 1
(…)
SW2#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Fa0/24 on 802.1q trunking 1
(…)
SW3#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on 802.1q trunking 1
Fa0/22 on 802.1q trunking 1
(…)
2. Cấu hình VTP:
Cấu hình VTP trên các switch:
SW1(config)#vtp domain vnpro
SW1(config)#vtp password cisco
SW2(config)#vtp domain vnpro
SW2(config)#vtp password cisco
SW2(config)#vtp mode client
SW3(config)#vtp domain vnpro
SW3(config)#vtp password cisco
SW3(config)#vtp mode client
Tạo VLAN trên SW1:
SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#vlan 20
SW1(config-vlan)#exit
Kiểm tra:
Kiểm tra trạng thái VTP trên các switch:
SW1#show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b69.8280
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Local updater ID is 0.0.0.0 (no valid interface found)
Feature VLAN:
--------------
VTP Operating Mode : Server
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
Configuration Revision : 2
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
0x76 0x47 0x44 0x10 0xFE 0x67 0xCB 0xE5
SW1#show vtp password
VTP Password: cisco
SW2#show vtp status
VTP Version : running VTP1 (VTP2 capable)
Configuration Revision : 2
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Local updater ID is 0.0.0.0 (no valid interface found)
SW2#show vtp password
VTP Password: cisco
SW3#show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b35.2c80
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
Configuration Revision : 2
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
0x76 0x47 0x44 0x10 0xFE 0x67 0xCB 0xE5
SW3#show vtp password
VTP Password: cisco
Cấu hình VLAN đã được đồng bộ giữa các switch:
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/21
Fa0/22, Fa0/23, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW2#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/23, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW3#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/21
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
3. Cấu hình STP:
Trên VLAN 10
SW1(config)#spanning-tree vlan 10 root primary
SW2(config)#spanning-tree vlan 10 root secondary
Trên VLAN 20
SW2(config)#spanning-tree vlan 20 root primary
SW1(config)#spanning-tree vlan 20 root secondary
Kiểm tra:
Thực hiện kiểm tra trên VLAN 10:
SW1#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24586 (priority 24576 sys-id-ext 10)
Address c062.6b69.8280
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.22 P2p
Fa0/24 Desg FWD 19 128.26 P2p
SW2#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
Cost 19
Port 26 (FastEthernet0/24)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 28682 (priority 28672 sys-id-ext 10)
Address f4ac.c1c9.a600
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/22 Desg FWD 19 128.24 P2p
Fa0/24 Root FWD 19 128.26 P2p
SW3#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
Cost 19
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 19 128.22 P2p
Fa0/22 Altn BLK 19 128.24 P2p
Kết quả kiểm tra cho thấy trên VLAN 10, SW1 đóng vai trò root switch. Quan sát giá trị priority của các switch có thể thấy rằng SW2 đóng vai trò secondary root switch.
Có thể thực hiện kiểm tra tương tự trên các VLAN còn lại. 4. Cấu hình tính năng Port – security:
Cấu hình trên cổng F0/1 của SW1: (Lưu ý địa chỉ MAC trong câu lệnh cấu hình sẽ khác nhau tuỳ PC)
Đưa F0/1 về port access và tiến hành bật tính năng port-security:
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 1
SW1(config-if)#switchport port-security mac-address 10BF.4836.C14E
SW1(config-if)#switchport port-security violation shutdown
(Lưu ý sau khi enable tính năng port-security trên cổng f0/1 của SW2 thì phương thức học MAC mặc định là Dynamic đã hoạt động, nên khi cấu hình static sẽ bị lỗi Dupicate MAC Address. Nên cần thực hiện làm cho phương thức Dynamic vô hiệu bằng cách shutdown port f0/1 hoặc rút dây mạng của PC ra khỏi Switch sau đó cấu hình phương thức static)
Kiểm tra tính năng port-security trên cổng f0/1:
SW1#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
SW1#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- ------------
1 10bf.4836.c14e SecureConfigured Fa0/1 -
-------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
Thực hiện kiểm tra hoạt động của port – security bằng cách kết nối một PC với MAC khác với MAC được cho phép trên cổng, hoạt động xử phạt diễn ra:
01:17:02.575: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
01:17:02.575: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001c.c086.00eb on port FastEthernet0/1.
01:17:03.582: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
01:17:04.580: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Kiểm tra lại các thông số:
SW1#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 001c.c086.00eb:1
Security Violation Count : 1
Lúc này số lần vi phạm (Violation Count) đã tăng lên 1.
Kiểm tra trang thái của cổng F0/1:
SW1#show interfaces f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Cổng bị đưa vào trạng thái down/down không còn sử dụng được.
Kết nối lại PC với MAC hợp lệ vào cổng F0/1 và thực hiện reset cổng để cổng hoạt động bình thường trở lại:
SW1(config)#int f0/1
SW1(config-if)#shutdown
SW1(config-if)#no shutdown
Cấu hình trên cổng F0/1 của SW2:
SW2(config)#interface f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport port-security
SW2(config-if)#switchport port-security mac-address sticky
SW2(config-if)#switchport port-security violation restrict
Kiểm tra thông tin port-security trên cổng F0/1:
SW2#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
Địa chỉ MAC được tự động đưa vào danh sách địa chỉ được phép truy nhập trên cổng khi thực hiện kết nối PC lên cổng:
SW2#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- ------------
1 001c.c086.00eb SecureSticky Fa0/1 -
-------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
Thực hiện kết nối môt PC với MAC không hợp lệ lên cổng F0/1. Khi sự vi phạm xảy ra Port vẫn ở trạng thái up/up, nhưng frame vi phạm sẽ bị loại bỏ và một thông điệp cảnh báo được phát ra:
02:09:44.804: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
SW2#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 10bf.4836.c14e:1
Security Violation Count : 155
Nếu thay phương thức “restrict” bằng phương thức “protect’, cách thức xử phạt frame vi phạm sẽ diễn ra giống như trên nhưng không có thông điệp cảnh báo nào được phát ra. 5. BPDU Guard:
Sử dụng tính năng BPDU Guard trên các Access port thuộc VLAN 10 để thực hiện yêu cầu này:
SW3(config)#interface range f0/1 - 13
SW3(config-if-range)#spanning-tree bpduguard enable
SW3(config-if-range)#exit
Cấu hình đảm bảo khi sự vi phạm không còn diễn ra, cổng sẽ được tự động mở lại sau 2 phút (120s):
SW3(config)#errdisable recovery cause bpduguard
SW3(config)#errdisable recovery interval 120
Kiểm tra:
Dùng 1 Switch đấu nối xuống cổng F0/13. Switch kết nối trên cổng F0/13 sẽ gửi vào cổng các gói BPDU để tiến hành các hoạt động STP, tính năng BPDU Guard trên cổng F0/13 sẽ đưa cổng vào trạng thái err – disabled:
*Mar 1 00:47:09.670: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/13 with BPDU Guard enabled. Disabling port.
SW3(config-if)#
*Mar 1 00:47:09.670: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/13, putting Fa0/13 in err-disable state
SW3(config-if)#
*Mar 1 00:47:10.685: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to down
SW3(config-if)#
*Mar 1 00:47:11.683: %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to down
SW3#show int f0/13 status
Port Name Status Vlan Duplex Speed Type
Fa0/13 err-disabled 10 auto auto 10/100BaseTX
Thực hiện gỡ bỏ switch trên cổng F0/13 và thay trở lại bằng một host không chạy STP, sau 120s, cổng sẽ được phục hồi khỏi trạng thái err – disabled và hoạt động bình thường:
*Mar 1 00:49:09.669: %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0/13
SW3#
*Mar 1 00:49:13.335: %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to up
*Mar 1 00:49:14.341: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to up
SW3#show interfaces f0/13 status
Port Name Status Vlan Duplex Speed Type
Fa0/13 connected 10 a-full a-100 10/100BaseTX
6. Root Guard:
Sử dụng tính năng Root guard để thực hiện yêu cầu này:
SW3(config)#interface f0/24
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 20
SW3(config-if)#spanning-tree guard root
SW3(config-if)#exit
Kiểm tra:
Thực hiện kết nối một switch (trong câu lab này, là switch có hostname là SW4) vào cổng F0/24 của SW3 và cấu hình để SW4 này phát ta BPDU tối ưu hơn BPDU của root switch hiện hành trên VLAN 20:
SW4(config)#int f0/24
SW4(config-if)#switchport mode access
SW4(config-if)#switchport access vlan 20
SW4(config)#spanning-tree vlan 20 priority 0
Cổng F0/24 của SW3 bị khóa khi nhận được BPDU tối ưu hơn từ SW4:
*Mar 1 01:13:12.686: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/24 on VLAN0020.
SW3#show spanning-tree vlan 20
VLAN0020
Spanning tree enabled protocol ieee
Root ID Priority 24596
Address c062.6b69.8280
Cost 3019
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 49172 (priority 49152 sys-id-ext 20)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 3019 128.22 P2p
Fa0/22 Altn BLK 3019 128.24 P2p
Fa0/24 Desg BKN*3019 128.26 P2p *ROOT_Inc
Gỡ bỏ cấu hình priority = 0 trên SW4 để SW4 không còn phát BPDU tối ưu hơn root switch, cổng F0/24 trên SW3 được đưa trở lại trạng thái forward dữ liệu bình thường:
SW4(config)#no spanning-tree vlan 20 priority 0
SW3#
*Mar 1 01:19:13.597: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard unblocking port FastEthernet0/24 on VLAN0020.
SW3#
SW3#show spanning-tree vlan 20
VLAN0020
Spanning tree enabled protocol ieee
Root ID Priority 24596
Address c062.6b69.8280
Cost 3019
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 49172 (priority 49152 sys-id-ext 20)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 3019 128.22 P2p
Fa0/22 Altn BLK 3019 128.24 P2p
Fa0/24 Desg FWD 3019 128.26 P2p
Sơ đồ:
Hình 24.1 – Sơ đồ bài lab.
Mô tả:
- Bài Lab gồm 3 Switch được đấu nối với nhau như hình 24.1.
- Trên sơ đồ này, học viên sẽ thực hành các tính năng port security và các tính năng STP
1. Cấu hình trunking:
- Cấu hình tất cả các đường nối giữa các switch thành các đường trunk Dot1Q.
- Các đường trunk này phải được thiết lập tĩnh và tắt DTP.
- Domain name: vnpro. Password: cisco. SW1: Server; SW2, SW3: Client.
- Trên SW1, tạo VLAN 10, 20. Kiểm tra rằng các VLAN này đã lan truyền đến được tất cả các switch.
- VLAN 10: SW1 làm Root switch, SW2 làm backup Root
- VLAN 20: SW2 làm Root switch, SW1 làm backup Root
- Trên cổng F0/1 của SW1: cấu hình tĩnh cho phép chỉ một địa chỉ MAC được truy nhập, phương thức xử lý vi phạm là shutdown.
- Trên cổng F0/1 của SW2: cấu hình cho phép chỉ một địa chỉ MAC được truy nhập và địa chỉ này được Switch học tự động sticky, phương thức xử lý vi phạm là restrict.
- Các user thuộc VLAN 10 không được phép kết nối các thiết bị có phát ra BPDU vào các access – port thuộc VLAN 10.
- Thực hiện cấu hình đảm bảo nếu có user cố tình vi phạm kết nối thiết bị có phát ra BPDU vào port bất kỳ của VLAN 10, port này sẽ bị shutdown.
- Cấu hình thêm để nếu sự vi phạm không còn diễn ra, port vi phạm sẽ được tự động mở lại sau 2 phút.
- Các user thuộc VLAN 20 được phép kết nối thiết bị tập trung có phát ra BPDU vào các cổng của VLAN 20 tuy nhiên các thiết bị này không được phép chiếm quyền root switch của sơ đồ hiện hành.
- Thực hiện cấu hình để đảm bảo yêu cầu trên: nếu thiết bị của end – user kết nối vào một port của VLAN 20 cố tình phát ra BPDU tối ưu hơn để chiếm quyền root, port nối đến thiết bị này sẽ bị khóa không truyền được dữ liệu nhưng không bị shutdown. Khi sự vi phạm kết thúc, port sẽ được mở ra lại để truyền dữ liệu.
1. Cấu hình trunking:
Trên SW1:
SW1(config)#interface range f0/20,f0/24
SW1(config-if-range)#switchport trunk encapsulation dot1q
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#switchport nonegotiate
Trên SW2:
SW2(config)#interface range f0/22,f0/24
SW2(config-if-range)#switchport trunk encapsulation dot1q
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#switchport nonegotiate
Trên SW3:
SW3(config)#interface range f0/20,f0/22
SW3(config-if-range)#switchport trunk encapsulation dot1q
SW3(config-if-range)# switchport mode trunk
SW3(config-if-range)# switchport nonegotiate
Kiểm tra:
Thực hiện kiểm tra rằng các đường trunk đã được thiết lập giữa các switch:
SW1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on 802.1q trunking 1
Fa0/24 on 802.1q trunking 1
(…)
SW2#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/22 on 802.1q trunking 1
Fa0/24 on 802.1q trunking 1
(…)
SW3#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/20 on 802.1q trunking 1
Fa0/22 on 802.1q trunking 1
(…)
2. Cấu hình VTP:
Cấu hình VTP trên các switch:
SW1(config)#vtp domain vnpro
SW1(config)#vtp password cisco
SW2(config)#vtp domain vnpro
SW2(config)#vtp password cisco
SW2(config)#vtp mode client
SW3(config)#vtp domain vnpro
SW3(config)#vtp password cisco
SW3(config)#vtp mode client
Tạo VLAN trên SW1:
SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#vlan 20
SW1(config-vlan)#exit
Kiểm tra:
Kiểm tra trạng thái VTP trên các switch:
SW1#show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b69.8280
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Local updater ID is 0.0.0.0 (no valid interface found)
Feature VLAN:
--------------
VTP Operating Mode : Server
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
Configuration Revision : 2
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
0x76 0x47 0x44 0x10 0xFE 0x67 0xCB 0xE5
SW1#show vtp password
VTP Password: cisco
SW2#show vtp status
VTP Version : running VTP1 (VTP2 capable)
Configuration Revision : 2
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Local updater ID is 0.0.0.0 (no valid interface found)
SW2#show vtp password
VTP Password: cisco
SW3#show vtp status
VTP Version capable : 1 to 3
VTP version running : 1
VTP Domain Name : vnpro
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : c062.6b35.2c80
Configuration last modified by 0.0.0.0 at 3-1-93 00:14:18
Feature VLAN:
--------------
VTP Operating Mode : Client
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
Configuration Revision : 2
MD5 digest : 0xFC 0xD0 0x8C 0x33 0x8D 0xD9 0xE3 0x65
0x76 0x47 0x44 0x10 0xFE 0x67 0xCB 0xE5
SW3#show vtp password
VTP Password: cisco
Cấu hình VLAN đã được đồng bộ giữa các switch:
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/21
Fa0/22, Fa0/23, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW2#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/23, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
SW3#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/21
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active
20 VLAN0020 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
3. Cấu hình STP:
Trên VLAN 10
SW1(config)#spanning-tree vlan 10 root primary
SW2(config)#spanning-tree vlan 10 root secondary
Trên VLAN 20
SW2(config)#spanning-tree vlan 20 root primary
SW1(config)#spanning-tree vlan 20 root secondary
Kiểm tra:
Thực hiện kiểm tra trên VLAN 10:
SW1#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24586 (priority 24576 sys-id-ext 10)
Address c062.6b69.8280
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Desg FWD 19 128.22 P2p
Fa0/24 Desg FWD 19 128.26 P2p
SW2#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
Cost 19
Port 26 (FastEthernet0/24)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 28682 (priority 28672 sys-id-ext 10)
Address f4ac.c1c9.a600
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/22 Desg FWD 19 128.24 P2p
Fa0/24 Root FWD 19 128.26 P2p
SW3#show spanning-tree vlan 10
VLAN0010
Spanning tree enabled protocol ieee
Root ID Priority 24586
Address c062.6b69.8280
Cost 19
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 19 128.22 P2p
Fa0/22 Altn BLK 19 128.24 P2p
Kết quả kiểm tra cho thấy trên VLAN 10, SW1 đóng vai trò root switch. Quan sát giá trị priority của các switch có thể thấy rằng SW2 đóng vai trò secondary root switch.
Có thể thực hiện kiểm tra tương tự trên các VLAN còn lại. 4. Cấu hình tính năng Port – security:
Cấu hình trên cổng F0/1 của SW1: (Lưu ý địa chỉ MAC trong câu lệnh cấu hình sẽ khác nhau tuỳ PC)
Đưa F0/1 về port access và tiến hành bật tính năng port-security:
SW1(config-if)#switchport mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 1
SW1(config-if)#switchport port-security mac-address 10BF.4836.C14E
SW1(config-if)#switchport port-security violation shutdown
(Lưu ý sau khi enable tính năng port-security trên cổng f0/1 của SW2 thì phương thức học MAC mặc định là Dynamic đã hoạt động, nên khi cấu hình static sẽ bị lỗi Dupicate MAC Address. Nên cần thực hiện làm cho phương thức Dynamic vô hiệu bằng cách shutdown port f0/1 hoặc rút dây mạng của PC ra khỏi Switch sau đó cấu hình phương thức static)
Kiểm tra tính năng port-security trên cổng f0/1:
SW1#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
SW1#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- ------------
1 10bf.4836.c14e SecureConfigured Fa0/1 -
-------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
Thực hiện kiểm tra hoạt động của port – security bằng cách kết nối một PC với MAC khác với MAC được cho phép trên cổng, hoạt động xử phạt diễn ra:
01:17:02.575: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
01:17:02.575: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 001c.c086.00eb on port FastEthernet0/1.
01:17:03.582: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
01:17:04.580: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Kiểm tra lại các thông số:
SW1#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 001c.c086.00eb:1
Security Violation Count : 1
Lúc này số lần vi phạm (Violation Count) đã tăng lên 1.
Kiểm tra trang thái của cổng F0/1:
SW1#show interfaces f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Cổng bị đưa vào trạng thái down/down không còn sử dụng được.
Kết nối lại PC với MAC hợp lệ vào cổng F0/1 và thực hiện reset cổng để cổng hoạt động bình thường trở lại:
SW1(config)#int f0/1
SW1(config-if)#shutdown
SW1(config-if)#no shutdown
Cấu hình trên cổng F0/1 của SW2:
SW2(config)#interface f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport port-security
SW2(config-if)#switchport port-security mac-address sticky
SW2(config-if)#switchport port-security violation restrict
Kiểm tra thông tin port-security trên cổng F0/1:
SW2#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-down
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
Địa chỉ MAC được tự động đưa vào danh sách địa chỉ được phép truy nhập trên cổng khi thực hiện kết nối PC lên cổng:
SW2#show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- ------------
1 001c.c086.00eb SecureSticky Fa0/1 -
-------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
Thực hiện kết nối môt PC với MAC không hợp lệ lên cổng F0/1. Khi sự vi phạm xảy ra Port vẫn ở trạng thái up/up, nhưng frame vi phạm sẽ bị loại bỏ và một thông điệp cảnh báo được phát ra:
02:09:44.804: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred,
SW2#show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 10bf.4836.c14e:1
Security Violation Count : 155
Nếu thay phương thức “restrict” bằng phương thức “protect’, cách thức xử phạt frame vi phạm sẽ diễn ra giống như trên nhưng không có thông điệp cảnh báo nào được phát ra. 5. BPDU Guard:
Sử dụng tính năng BPDU Guard trên các Access port thuộc VLAN 10 để thực hiện yêu cầu này:
SW3(config)#interface range f0/1 - 13
SW3(config-if-range)#spanning-tree bpduguard enable
SW3(config-if-range)#exit
Cấu hình đảm bảo khi sự vi phạm không còn diễn ra, cổng sẽ được tự động mở lại sau 2 phút (120s):
SW3(config)#errdisable recovery cause bpduguard
SW3(config)#errdisable recovery interval 120
Kiểm tra:
Dùng 1 Switch đấu nối xuống cổng F0/13. Switch kết nối trên cổng F0/13 sẽ gửi vào cổng các gói BPDU để tiến hành các hoạt động STP, tính năng BPDU Guard trên cổng F0/13 sẽ đưa cổng vào trạng thái err – disabled:
*Mar 1 00:47:09.670: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/13 with BPDU Guard enabled. Disabling port.
SW3(config-if)#
*Mar 1 00:47:09.670: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/13, putting Fa0/13 in err-disable state
SW3(config-if)#
*Mar 1 00:47:10.685: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to down
SW3(config-if)#
*Mar 1 00:47:11.683: %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to down
SW3#show int f0/13 status
Port Name Status Vlan Duplex Speed Type
Fa0/13 err-disabled 10 auto auto 10/100BaseTX
Thực hiện gỡ bỏ switch trên cổng F0/13 và thay trở lại bằng một host không chạy STP, sau 120s, cổng sẽ được phục hồi khỏi trạng thái err – disabled và hoạt động bình thường:
*Mar 1 00:49:09.669: %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Fa0/13
SW3#
*Mar 1 00:49:13.335: %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to up
*Mar 1 00:49:14.341: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to up
SW3#show interfaces f0/13 status
Port Name Status Vlan Duplex Speed Type
Fa0/13 connected 10 a-full a-100 10/100BaseTX
6. Root Guard:
Sử dụng tính năng Root guard để thực hiện yêu cầu này:
SW3(config)#interface f0/24
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 20
SW3(config-if)#spanning-tree guard root
SW3(config-if)#exit
Kiểm tra:
Thực hiện kết nối một switch (trong câu lab này, là switch có hostname là SW4) vào cổng F0/24 của SW3 và cấu hình để SW4 này phát ta BPDU tối ưu hơn BPDU của root switch hiện hành trên VLAN 20:
SW4(config)#int f0/24
SW4(config-if)#switchport mode access
SW4(config-if)#switchport access vlan 20
SW4(config)#spanning-tree vlan 20 priority 0
Cổng F0/24 của SW3 bị khóa khi nhận được BPDU tối ưu hơn từ SW4:
*Mar 1 01:13:12.686: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/24 on VLAN0020.
SW3#show spanning-tree vlan 20
VLAN0020
Spanning tree enabled protocol ieee
Root ID Priority 24596
Address c062.6b69.8280
Cost 3019
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 49172 (priority 49152 sys-id-ext 20)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 3019 128.22 P2p
Fa0/22 Altn BLK 3019 128.24 P2p
Fa0/24 Desg BKN*3019 128.26 P2p *ROOT_Inc
Gỡ bỏ cấu hình priority = 0 trên SW4 để SW4 không còn phát BPDU tối ưu hơn root switch, cổng F0/24 trên SW3 được đưa trở lại trạng thái forward dữ liệu bình thường:
SW4(config)#no spanning-tree vlan 20 priority 0
SW3#
*Mar 1 01:19:13.597: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard unblocking port FastEthernet0/24 on VLAN0020.
SW3#
SW3#show spanning-tree vlan 20
VLAN0020
Spanning tree enabled protocol ieee
Root ID Priority 24596
Address c062.6b69.8280
Cost 3019
Port 22 (FastEthernet0/20)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 49172 (priority 49152 sys-id-ext 20)
Address c062.6b35.2c80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15 sec
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/20 Root FWD 3019 128.22 P2p
Fa0/22 Altn BLK 3019 128.24 P2p
Fa0/24 Desg FWD 3019 128.26 P2p