[Switch Cisco] - Tổng Quan Giao Thức Layer 2

 

I. Các Giao Thức Layer 2 Trên Switch Cisco

Các giao thức Layer 2 giúp đảm bảo hiệu quả, độ tin cậy và bảo mật cho mạng LAN:

Giao thức	Tên đầy đủ	Chức năng chính
VLAN/802.1Q	Virtual LAN / IEEE 802.1Q	Phân chia mạng thành VLAN, gán thẻ qua Trunk.
STP	Spanning Tree Protocol	Ngăn vòng lặp mạng bằng cách chặn đường dự phòng.
RSTP	Rapid STP	Hội tụ nhanh hơn STP khi có sự cố.
MSTP	Multiple STP	Tối ưu băng thông bằng nhiều cây STP cho VLAN khác nhau.
VTP	VLAN Trunking Protocol	Đồng bộ cấu hình VLAN giữa các switch Cisco.
EtherChannel	Port Aggregation	Nhóm nhiều cổng thành liên kết logic tăng băng thông.
PAgP	Port Aggregation Protocol	Đàm phán EtherChannel (Cisco proprietary).
LACP	Link Aggregation Control Protocol	Chuẩn quốc tế đàm phán EtherChannel.
Port Security	Port Security Feature	Giới hạn MAC trên cổng, ngăn truy cập trái phép.
DTP	Dynamic Trunking Protocol	Tự động đàm phán trạng thái cổng (Access/Trunk).
CDP	Cisco Discovery Protocol	Khám phá thiết bị Cisco lân cận.

II. Hướng Dẫn Cấu Hình Cơ Bản (Cisco IOS CLI)

1. Cấu hình VLAN và Trunking

Mục đích	Lệnh cấu hình
Tạo VLAN	Switch(config)# vlan 10 Switch(config-vlan)# name DATA
Gán cổng vào VLAN	Switch(config)# interface FastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10
Cấu hình cổng Trunk	Switch(config)# interface GigabitEthernet 0/1 Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan add 20,30
Kiểm tra	show vlan brief show interface Gig0/1 switchport

2. Cấu hình Spanning Tree (RSTP)

Mục đích	Lệnh cấu hình
Bật RSTP	Switch(config)# spanning-tree mode rapid-pvst
Đặt Root Bridge	Switch(config)# spanning-tree vlan 10 priority 4096
Sử dụng PortFast	Switch(config)# interface FastEthernet 0/1 Switch(config-if)# spanning-tree portfast
Kiểm tra	show spanning-tree summary show spanning-tree vlan 10

3. Cấu hình EtherChannel (LACP)

Mục đích	Lệnh cấu hình
Chọn cổng	Switch(config)# interface range FastEthernet 0/1 - 2
Tạo Channel-group	Switch(config-if-range)# channel-group 1 mode active
Cấu hình Port-channel	Switch(config)# interface Port-channel 1 Switch(config-if)# switchport mode trunk
Kiểm tra	show etherchannel summary show interface Port-channel 1 switchport

4. Cấu hình Port Security

Mục đích	Lệnh cấu hình
Bật Port Security	Switch(config)# interface FastEthernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security
Giới hạn MAC	Switch(config-if)# switchport port-security maximum 2
Gán MAC tĩnh	Switch(config-if)# switchport port-security mac-address AAAA.BBBB.CCCC
Hành động vi phạm	Switch(config-if)# switchport port-security violation restrict
Kiểm tra	show port-security interface Fa0/3

5. Cấu hình VTP

Mục đích	Lệnh cấu hình
Đặt VTP Domain	Switch(config)# vtp domain TENDOMAIN
Đặt VTP Mode	Switch(config)# vtp mode server Switch(config)# vtp mode client Switch(config)# vtp mode transparent
Đặt VTP Password	Switch(config)# vtp password MATKHAU
Kiểm tra	show vtp status

6. Cấu hình CDP

Mục đích	Lệnh cấu hình
Tắt CDP toàn cục	Switch(config)# no cdp run
Bật CDP trên cổng	Switch(config)# interface FastEthernet 0/1 Switch(config-if)# cdp enable
Kiểm tra	show cdp neighbors

 

[Cisco]- Tìm hiểu về Port Channel, EtherChannel, và LAG (tên gọi chung)

 

Tổng Quan Công Nghệ EtherChannel (LAG / Port Channel)

I. Mô Hình EtherChannel

Ví dụ minh họa cấu hình EtherChannel giữa hai Switch Cisco C9300 nhằm tăng băng thông và đảm bảo dự phòng.

Kênh Logic	Port Vật Lý (Switch-1)	Chế độ	Mục đích
Po1	Gi1/0/15, Gi1/0/18	mode on	Gộp 2 cổng thành kênh 2Gbps
Po2	Gi1/0/37, Gi1/0/39	mode on	Gộp 2 cổng thành kênh 2Gbps khác

Chế độ 'mode on' là cấu hình tĩnh, không dùng giao thức thương lượng (LACP/PAgP). Cả hai đầu phải cấu hình giống nhau hoàn toàn.

II. Kiểm Tra EtherChannel

Lệnh kiểm tra chính:

show etherchannel summary

Cột	Giá trị	Ý nghĩa
Po1/Po2	SU	S: Layer 2, U: Đang hoạt động
Protocol	None	Đúng vì dùng mode on (không có giao thức)
Ports	P	Các port đang tham gia vào kênh

Test dự phòng: Rút một dây cáp → kênh vẫn hoạt động (SU), chứng tỏ tính năng chịu lỗi hiệu quả.

III. Phân Biệt Các Thuật Ngữ

Thuật Ngữ	Tên Đầy Đủ	Phạm Vi Sử Dụng	Giải thích
LAG	Link Aggregation Group	Chuẩn IEEE (802.3ad/1ax)	Tên gọi chung cho công nghệ gộp cổng
EtherChannel	EtherChannel	Cisco	Tên thương mại của Cisco cho LAG
Port Channel	Port Channel	Cisco IOS	Giao diện logic quản lý nhóm cổng

Giao thức thiết lập phổ biến:

Giao Thức	Loại	Chế độ hoạt động
PAgP	Cisco	desirable / auto
LACP	Chuẩn IEEE	active / passive
Tĩnh	Thủ công	mode on

IV. Kết Nối Switch Layer 2 và Layer 3

Có thể cấu hình EtherChannel giữa Switch L2 và L3, nhưng phải dùng chế độ Layer 2 (thường là trunk).

Thiết Bị	Cấu Hình Bắt Buộc	Lý Do
Switch Layer 2	switchport mode trunk	Chỉ xử lý frame (MAC/VLAN)
Switch Layer 3	no switchport + trunk	Hạ cấp giao diện về L2 để tương thích với L2

 Tại Sao nên dùng Chế độ động (LACP/PAgP)?

Các chế độ động (active/passive hoặc desirable/auto) được ưu tiên hơn chế độ Tĩnh vì:

1. Tự động kiểm tra: Nếu cấu hình không đồng nhất (ví dụ: tốc độ hoặc Trunk/Access mode khác nhau), LACP/PAgP sẽ không thiết lập kênh, ngăn ngừa các lỗi Loop hoặc lỗi chuyển tiếp dữ liệu nghiêm trọng.

2. Khả năng chịu lỗi tốt hơn: Giao thức thường xuyên gửi các gói tin PDU để xác nhận đối tác vẫn còn kết nối và hoạt động. Nếu đối tác không phản hồi, kênh sẽ được đánh dấu là Down.

Lời khuyên: Luôn sử dụng LACP (active/passive) bất cứ khi nào có thể vì nó là tiêu chuẩn mở và có cơ chế kiểm tra lỗi mạnh mẽ hơn.

Hướng Dẫn Tải và Cài MikroTik CHR vào EVE-NG

Bước 1: Tải MikroTik CHR

Truy cập trang chính thức:
https://mikrotik.com/download

Tại mục Cloud Hosted Router, chọn:

• Raw disk image (file .img)
  → Đây là định dạng phù hợp nhất cho EVE-NG Community (dùng KVM).

---

Bước 2: Import vào EVE-NG

1. Tạo thư mục node MikroTik CHR:

mkdir /opt/unetlab/addons/qemu/mikrotik-chr

2. Đổi tên file .img thành hda.qcow2 và di chuyển vào thư mục:

mv chr-7.xx.img /opt/unetlab/addons/qemu/mikrotik-chr/hda.qcow2

Thay chr-7.xx.img bằng tên file bạn tải về.

3. Fix quyền để EVE-NG nhận node:

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

---

Thông Tin Đăng Nhập Mặc Định MikroTik CHR

• Username: admin
• Password: (trống — không có mật khẩu)

Sau khi đăng nhập lần đầu, bạn nên đổi mật khẩu để bảo mật:

/user set admin password=admin123

 Ví dụ: user: admin / admin123

Lab PPPoE Server (MikroTik CHR) và Sophos Firewall đóng vai trò là PPPoE Client.

 

1. Tổng Quan

Lab này hướng dẫn cách cấu hình MikroTik CHR làm PPPoE Server, NAT ra Internet qua Cloud VMnet8, và cấu hình Sophos Firewall quay PPPoE để nhận IP động và truy cập Internet.

2. Chuẩn Bị Lab Trong EVE-NG

Các node cần thiết:

·       MikroTik CHR

·       Sophos Firewall

·       Cloud node (VMnet8 NAT)

Kết nối:

·       ether1 của MikroTik ↔ Sophos

·       ether2 của MikroTik ↔ Cloud VMnet8

3. Cấu Hình MikroTik CHR

3.1 Gán IP cho interface PPPoE (ether1):

/ip address
add address=192.168.100.1/24 interface=ether1

3.2 Tạo pool IP cấp cho client PPPoE:

/ip pool
add name=pppoe-pool ranges=192.168.100.10-192.168.100.50

3.3 Tạo PPP profile:

/ppp profile
add name=pppoe-profile local-address=192.168.100.1 remote-address=pppoe-pool use-encryption=no

3.4 Tạo user PPPoE:

/ppp secret
add name=sophos password=123456 service=pppoe profile=pppoe-profile

3.5 Tạo PPPoE Server trên ether1:

/interface pppoe-server server
add interface=ether1 service-name=pppoe-test default-profile=pppoe-profile disabled=no

4. Cấu Hình MikroTik Ra Internet Qua VMnet8

4.1 Nhận IP động từ VMnet8 qua DHCP:

/ip dhcp-client
add interface=ether2 disabled=no

4.2 NAT để các thiết bị phía sau MikroTik ra Internet:

/ip firewall nat
add chain=srcnat out-interface=ether2 action=masquerade

5. Cấu Hình Sophos Firewall Quay PPPoE

1.       5.1 Vào giao diện Sophos → Network → Interfaces

2.       5.2 Chọn interface kết nối đến MikroTik → Add PPPoE

3.       5.3 Nhập thông tin:

·       Username: sophos

·       Password: 123456

·       Service name: pppoe-test (hoặc để trống)

4.       5.4 Enable interface và Apply

6. Kiểm Tra Kết Nối

·       Trên MikroTik:

/log print

·       Trên Sophos:

·       Kiểm tra trạng thái PPPoE, IP nhận được, gateway

>> Thêm static route về LAN sophos:

# Giả sử Sophos nhận IP 192.168.100.49 /ip route add \

 dst-address=172.16.16.0/24 \ 

 gateway=192.168.100.49 \ 

 comment="Route ve mang LAN cua Sophos FW"