Các bác cho em hỏi nếu muốn cấu hình fix cứng IP cho từng port của Switch Cisco 2950 để người dùng không thể đổi được IP trong máy của họ sang địa chỉ Ip mình đã cấp cho họ thì phải làm nnhư thế nào. Nếu họ đổi Ip thì máy sẽ không vào được mạng nội bộ và Internet vì em quản lý mạng Internet bằng địa chỉ Ip. Dùng VLAN có giải quyết được vấn đề trên không?
Cho em hỏi câu nữa là nếu muốn quản lý người dùng truy cập Internet bằng địa chỉ Mac thì cần dùng phần mềm gì?
Em chỉ có 01 con Switch 2900XL và vài con Switch 2950 thì có thể chia được VLAN không? Mỗi Switch 2950 là một VLAN có được không? Cách làm như thế nào?

Cảm ơn các bác rất nhiều

có các giải pháp sau đây:

dot1x authentication
vlan access-list.
port security.

có thể anh phải kết hợp cả ba giải pháp.

Bác có thể nói rõ được không? Kết hợp như thế nào vậy? Em chỉ hiểu một chút về port securit, còn cái dot1x authentication và vlan access-list thì không hiểu lắm.

vlan access list ở đây có trình bày:

http://vnpro.org/forum/viewtopic.php?t=5187

Mình đọc rồi nhưng vẫn chưa hiểu 3 phần trên: dot1x authentication, vlan access-list, port security kết hợp với nhau như thế nào để quản lý được Ip người dùng. Họ cứ đổi tùm lum làm mạng conflig, không biết lần ra user nào đã đổi nữa. Mong các bác chỉ giáo cặn kẽ giùm em cái.

trong tình huống của anh, anh chỉ cần tập trung nghiên cứu về vlan-accesslist. Trong VLAN ACL, anh sẽ nghiên cứu cách cấm hoặc cho phép một MAC address của người dùng.

Rất tiếc là switch 2950 lại không hỗ trợ công nghệ này.

Có một phương pháp là dùng xác thực 802.1x (dot1x authentication) cho các PC. Theo phương pháp này:
- PC sẽ là Supplicant
- Switch là Authenticator
- Và bạn cần thêm một Authentication Server nữa (AAA Server) dùng TACACS hoặc RADIUS đều được.

Mỗi khi client log vào mạng, hệ thống sẽ hỏi username và password, sau khi đã đăng nhập, user sẽ được cấp một IP cố định và được assign vào một VLAN nhất định (IP và VLAN này được đặt sẵn trên Authentication Server). Mình cũng chưa biết chắc là sau khi nhận được IP rồi, nếu user tự ý đổi thành IP khác thì có tiếp tục được truy cập vào mạng không, cái này phải làm thử thì mới biết.

Tôi cho rằng switch 2900XL không hỗ trợ dot1x authentication.
Mạng của "nguoivietnam" có dùng DHCP ko?

Các bác vẫn chưa ai có giải pháp nào toàn diện à?
Việc quản lý bằng địa chỉ MAC theo em là khó khả thi vì người dùng vẫn đổi được địa chỉ IP (vì mạng của em quản lý truy cập Internet qua IP mà -> có cách nào quản lý truy cập qua địa chỉ MAC không các bác nhỉ?). Nếu gắn địa chỉ IP với địa chỉ MAC may ra mới quản lý được hoặc cấm người dùng không được đổi IP (nhưng cũng khó khả thi với một mạng lớn và người dùng phân tán trên vài toà nhà cách nhau vài trăm mét)
Điều này nan giải đây
Mong các cao thủ nghiên cứu giúp.

(Mạng của em chỉ dùng IP tĩnh thôi, không dùng DHCP)
Nếu dùng DHCP có giải quyết được vấn đề trên không bác. Nhưng DHCP làm sao fix cứng địa chỉ IP cho một máy nào đó được (khoảng một thời gian nó lại đổi sang IP khác nếu bị máy khác chiếm dụng -> bó tay)

Các bác cho em hỏi nếu cấu hình cho user là Limited để user không thay đổi được địa chỉ IP thì có cách nào vẫn cho họ cài đặt các trình ứng dụng được không nhỉ? Vì nếu giới hạn bằng cách đó thì cũng cấm luôn việc cài đặt.

Thế còn cái Switch 2900XL và vài cái Switch 2950 thì có tạo được một mạng VLAN không các bác nhị Có cần phải dùng Router không?
Cảm ơn mọi người rất nhiều

Giải pháp tôi sắp nêu ra sẽ liên quan đến sơ đồ mạng sau:
Mạng LAN ---- Switch ----- Router ----- Internet

Để giải quyết vấn đề kiểm sóat chặt chẽ người dùng không cho thay đổi IP, bạn có lẽ sẽ phải cần triển khai các yêu cầu sau:
1. Cấu hình port security trên Switch và chỉ chấp nhận 1 địa chỉ MAC đầu tiên trên mỗi switch port mà switch learn được từ người dùng thôi
2. Dựa vào bảng MAC này, trên router, cấu hình manually mapping giữa IP và MAC bằng lệnh :
arp IP_add MAC_add arap alias

Như vậy, với mapping này, người dùng sẽ không thể truy cập Internet nếu họ thay đổi địa chỉ IP

Ý tưởng của bác hay quá. Tuy nhiên cho em hỏi một chút:
- Nếu cấu hình port security trên Switch và chỉ chấp nhận 1 địa chỉ MAC thì khi người dùng đổi Card mạng thì port đó sẽ khóa lại, đúng không ạ , vậy để mở port cho user ta phải đến tận switch đó để mở ra thế thì phiền phức quá, nhất là mạng lớn và trải trên một phạm vi rộng. Tuy nhiên điều này cũng ít khi xảy ra -> tính khả thi rất cao. Ta có thể cấu hình cho port mở từ xa khi user thay card mạng không bác
- Khi user đổi Ip thì máy khác trùng Ip có bị conflig không? Nếu vẫn bị thì cách phòng chống như thế nào?
- Với điều kiện trên thì phải có một con Router đúng không bác. Chỗ em chỉ có Cisco 2900XL thì có làm được không hả bác.
- Chỗ em quản lý Internet bằng Server chạy ISA, vậy mô hình của bác có áp dụng trong trường hợp này được không hay modem ADSL phải cắm trực tiếp vào Router
- Bác có thể nói rõ hơn việc cấu hình được không? Phần 2 em đọc vẫn chưa hiểu lắm

Cảm ơn mọi người rất nhiều

Có thể tham khảo thêm giải pháp non-Cisco đơn giản sau:
Với các HUB/SWITCH và một modem ADSL bất kỳ là có thể thực hiện được dễ dàng việc quản lý truy cập Internet dựa vào MAC address trên NIC của các PC, khi đó chỉ cần thay cái ISA bằng một cái Linux firewall dùng Netfilter/IPtables



- Với điều kiện trên thì phải có một con Router đúng không bác. Chỗ em chỉ có Cisco 2900XL thì có làm được không hả bác.
- Chỗ em quản lý Internet bằng Server chạy ISA, vậy mô hình của bác có áp dụng trong trường hợp này được không hay modem ADSL phải cắm trực tiếp vào Router

Vậy vấn đề user đổi Ip làm conflig với máy khác vẫn chưa giải quyết được triệt để. Các bác có thể nghiên cứu xem có giải pháp nào khả thi hơn không. Cái khó nhất vẫn là một mạng rộng trải dài vài km vuông, vấn đề quản lý Ip là cực kỳ nan giải. Nếu một user thay đổi Ip làm conflig máy khác thì làm sao tìm kiếm nổi user đó đây. Em vẫn muốn là quản lý user qua địa chỉ Ip và không cho user thay đổi IP cơ. Mong các bác có giải pháp thật toàn diện cho em cái.

Cảm ơn mọi người rất nhiều.

Vậy vấn đề user đổi Ip làm conflig với máy khác vẫn chưa giải quyết được triệt để. Các bác có thể nghiên cứu xem có giải pháp nào khả thi hơn không. Cái khó nhất vẫn là một mạng rộng trải dài vài km vuông, vấn đề quản lý Ip là cực kỳ nan giải. Nếu một user thay đổi Ip làm conflig máy khác thì làm sao tìm kiếm nổi user đó đây. Em vẫn muốn là quản lý user qua địa chỉ Ip và không cho user thay đổi IP cơ. Mong các bác có giải pháp thật toàn diện cho em cái.

Cảm ơn mọi người rất nhiều.

Nếu có tiển thì có thể áp dụng các giải pháp Cisco như đã đề cập ở trên, còn nếu không có tiền thì làm việc gì cũng khó cả!

Thông thường đối với các mạng lớn người ta thường subnet ra thành từng vùng nhỏ nối với nhau qua router để dễ quản lý, các vần để vể troubleshooting trong từng vùng khi đó sẽ dễ dàng hơn, và không ảnh hưởng đến các vùng khác, ngoài ra đối với các O/S hiện nay như MS Windows & Unix không phải user nào cũng dễ dàng thay đổi được IP address của máy đó đâu, việc quản lý mạng không chỉ đơn thuần là dùng kỹ thuật mà còn phải áp dụng kiến thức quản trị nữa

Bạn có thể áp dụng các tính năng quản trị ở ngay mức Hệ điều hành để quản lý không cho phép đổi IP. Bạn join tất cả các PC vào domain và dùng công cụ Group Policy để thiết lập các quyền hạn dành cho user, nếu không sử dụng domain mà dùng Workgroup thì dùng công cụ Local Policy trên từng PC.

Rất cảm ơn tất cả mọi người đã quan tâm chỉ bảo. Em sẽ nghiên cứu toàn bộ hướng dẫn của các bác nêu trên để vận dụng vào mạng của em. Hy vọng sẽ giải quyết được vấn đề. Em thấy rằng giải pháp của bác cisco336 rất hay vì nó không phụ thuộc vào hệ điều hành (tránh việc user cài lại máy nếu với mạng Workgroup. Còn mạng Active Directory thì em không muốn vì tất cả user phụ thuộc vào máy chủ quản lý Domain -> máy chủ tèo thì toàn bộ cơ quan ngồi chơi. hê hê). Vậy là phải có một con Router đúng không ạ. Nhưng vấn đề conflig Ip vẫn chưa được giải quyết (Mạng Workgroup có thể cấu hình user không cho đổi Ip qua Local Policy, tuy nhiên nếu user cài lại máy thì sao? Điều này rất hay xảy ra). Bác itmansaigon có đưa ra giải pháp chia thành các subnet nhỏ, tuy nhiên user đổi Ip trong subnet đó vẫn bị conflig mà.

Cảm ơn mọi người rất nhiều vì đã quan tâm đến vấn đề của em.

arp IP_add MAC_add arap alias
Có thể map ip với mac đích không. Tức là mac trên cổng của switch ấy. Mình muốn gán ghi gắn PC vào 1 port nào đó thì sẽ luôn là IP đó chứ không muốn gán IP theo từng PC thì sao

Các bác cho em hỏi nếu muốn cấu hình fix cứng IP cho từng port của Switch Cisco 2950 để người dùng không thể đổi được IP trong máy của họ sang địa chỉ Ip mình đã cấp cho họ thì phải làm nnhư thế nào. Nếu họ đổi Ip thì máy sẽ không vào được mạng nội bộ và Internet vì em quản lý mạng Internet bằng địa chỉ Ip. Dùng VLAN có giải quyết được vấn đề trên không?
Cho em hỏi câu nữa là nếu muốn quản lý người dùng truy cập Internet bằng địa chỉ Mac thì cần dùng phần mềm gì?
Em chỉ có 01 con Switch 2900XL và vài con Switch 2950 thì có thể chia được VLAN không? Mỗi Switch 2950 là một VLAN có được không? Cách làm như thế nào?
Cảm ơn các bác rất nhiều

Việc fix ip cho máy tính của người sử dụng theo từng port mình nghĩ là được đấy nhưng switch 2950 của bạn phải có IOS version từ Version 12.1(14)EA1 hoặc mới hơn thì mới sử dụng ACLs được. Ví dụ:

access-list 60 permit 192.168.1.2
access-list 60 permit 192.168.1.3
interface FastEthernet0/1
ip access-group 60 in

Lúc này máy tính kết nối vào cổng 1 của switch chỉ có thể tham gia vào mạng khi thuộc 1 trong 2 địa chỉ IP nêu trên.

Còn vụ cấm truy nhập internet bằng cách quản lý MAC của người sử dụng, cái này làm được nhưng không toàn diện lắm vì nếu dùng chức năng MAC Filter của modem ADSL thì thường bạn chỉ cho phép (hoặc ngăn cấm) tối đa là 16 địa chỉ MAC. Còn dùng phần mềm chạy trên PC (Proxy Server) thì mình không rõ lắm, thường các phần mềm loại này chỉ có tính năng Port Filter, Protocols Filter hoặc IP Filter thôi.

Còn lại bạn thử hỏi MOD hoặc Admin đi.

Việc fix ip cho máy tính của người sử dụng theo từng port mình nghĩ là được đấy nhưng switch 2950 của bạn phải có IOS version từ Version 12.1(14)EA1 hoặc mới hơn thì mới sử dụng ACLs được. Ví dụ:

access-list 60 permit 192.168.1.2
access-list 60 permit 192.168.1.3
interface FastEthernet0/1
ip access-group 60 in

Lúc này máy tính kết nối vào cổng 1 của switch chỉ có thể tham gia vào mạng khi thuộc 1 trong 2 địa chỉ IP nêu trên.

Còn vụ cấm truy nhập internet bằng cách quản lý MAC của người sử dụng, cái này làm được nhưng không toàn diện lắm vì nếu dùng chức năng MAC Filter của modem ADSL thì thường bạn chỉ cho phép (hoặc ngăn cấm) tối đa là 16 địa chỉ MAC. Còn dùng phần mềm chạy trên PC (Proxy Server) thì mình không rõ lắm, thường các phần mềm loại này chỉ có tính năng Port Filter, Protocols Filter hoặc IP Filter thôi.

Còn lại bạn thử hỏi MOD hoặc Admin đi.

Chào !!!
Mình đã làm thử với IOS 12.1 (22) EA8b nhưng nó không hỗ trợ ip access-list . Bạn chỉ có thể dùng lệnh:


access-list 60 permit 192.168.1.2
access-list 60 permit 192.168.1.3

Nhưng bạn sẽ không thể apply vào từng port của switch được.

interface FastEthernet0/1
ip access-group 60 in

Chúc bạn vui !!!

Sao lại không nhỉ, vì mình đang dùng nó mà, nếu MOD muốn mình sẽ gửi cho bạn IOS đó. Đây là thông tin về cái switch mình đang dùng:

Switch#show version
Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(14)EA1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 22-Jul-03 12:13 by antonino
Image text-base: 0x80010000, data-base: 0x805C0000
ROM: Bootstrap program is CALHOUN boot loader
Switch uptime is 5 days, 2 hours, 4 minutes
System returned to ROM by power-on
System image file is "flash:c2950-i6q4l2-mz.121-14.EA1.bin"
cisco WS-C2950G-24-EI (RC32300) processor (revision G0) with 20710K bytes of memory.
Processor board ID FOC0728W2P6
Last reset from system-reset
Running Enhanced Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:0D:65:79:D3:00
Motherboard assembly number: 73-7280-05
Power supply part number: 34-0965-01
Motherboard serial number: FOC072825K4
Power supply serial number: DAB07267PJJ
Model revision number: G0
Motherboard revision number: A0
Model number: WS-C2950G-24-EI
System serial number: FOC0728W2P6
Configuration register is 0xF

Trước đây IOS của nó là c2950-i6q4l2-mz.121-13.EA1.bin, không có ACLs, không làm DHCP Server được. Sau khi nâng cấp lên c2950-i6q4l2-mz.121-14.EA1.bin thì nó có thêm cả 2 tính năng trên.

Chào !!!
Bạn có thể gởi cho mình IOS để test thử không ????

CHúc bạn vui !!!

Chào !!!
Mình đã làm thử với IOS 12.1 (22) EA8b nhưng nó không hỗ trợ ip access-list . Bạn chỉ có thể dùng lệnh:


access-list 60 permit 192.168.1.2
access-list 60 permit 192.168.1.3

Nhưng bạn sẽ không thể apply vào từng port của switch được.

interface FastEthernet0/1
ip access-group 60 in

Chúc bạn vui !!!

À, viết trả lời xong mới đọc kỹ lại bài viết của MOD, version đó cho phép gõ lệnh ACLs nhưng không cho áp với từng port có thể là do ông (bà) kỹ sư viết cái IOS đó chưa xong hoàn toàn mà đã biên dịch và xuất bản luôn :)

Chuyện thường mà, thêm một số lệnh nhưng chẳng áp dụng vào đâu thì đâu có chết ai ^^.

Chào !!!
Bạn có thể gởi cho mình IOS để test thử không ????

CHúc bạn vui !!!

Trời, hóa ra MOD đang online :)

Bạn download theo link sau: ftp://khanhntn.no-ip.org/c2950-i6q4l2-mz.121-14.EA1.bin (ftp://khanhntn.no-ip.org/c2950-i6q4l2-mz.121-14.EA1.bin)

Username & password đều là vnpro nhé.

MOD đã thử chưa vậy?

Tớ remove bỏ user đó nhé.

Chào !!!
Thannks bạn đã share , hi vọng ngày nào đó người ta sẽ cho apply ACLs vào cổng của switch 2950

Chúc bạn vui !!!

Chào !!!
Thannks bạn đã share , hi vọng ngày nào đó người ta sẽ cho apply ACLs vào cổng của switch 2950

Chúc bạn vui !!!

Khặc, mod không tin hả, đã xem cái thông tin tớ show version chưa hả, học là một chuyện, có nền tảng kiến thức để phân tích sự việc là một chuyện khác nhé. Đừng giận khi đọc những dòng trên vì mình tin rằng kiến thức của bạn chưa đủ rộng để suy xét vấn đề, chắc bạn còn ít tuổi.

Xem mình gửi nội dung running-config của cái switch đó nhé. Bạn nên hỏi qua sếp Đặng Quang Minh trước khi có sự trả lời. Nếu cần, mình sẽ cho bạn kết nối VPN vào mạng nội bộ để "cầm, sờ mó" cái switch đó.

Switch#show run
Building configuration...
Current configuration : 2077 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable secret 5 $1$GBL1$n.tChjmuVL3gasHKK8VNv1
!
ip subnet-zero
ip dhcp excluded-address xxx.xxx.xxx.1 xxx.xxx.xxx.20
!
ip dhcp pool xxxxxx
network xxx.xxx.xxx.0 255.255.255.0
dns-server xxx.xxx.xxx.x xxx.xxx.xxx.x
netbios-name-server xxx.xxx.xxx.x xxx.xxx.xxx.x
default-router xxx.xxx.xxx.x
domain-name xxxx@xxxx (xxxx@xxxx)
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
ip access-group 60 in
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address xxx.xxx.xxx.x 255.255.255.0
no ip route-cache
!
no ip http server
!
access-list 60 deny xxx.100.223.207
access-list 60 deny xxx.100.45.103
access-list 60 deny xxx.100.111.5
access-list 60 deny xxx.100.111.4
access-list 60 deny xxx.100.223.174
access-list 60 deny xxx.100.32.151
access-list 60 deny xxx.100.32.206
access-list 60 deny xxx.100.32.211
access-list 60 deny xxx.100.247.12
access-list 60 permit any
access-list 70 deny xxx.100.128.144
access-list 70 permit any
!
line con 0
password xxxxxx
login
line vty 0 4
password xxxxxx
login
line vty 5 14
password xxxxxx
login
line vty 15
login
!
end
Switch#

Đừng nóng mặt, ta sẽ còn mạn đàm tiếp mà, trước tiên nên áp thử IOS mà tớ gửi lên đã.

Chao Nguoivietnam

Minh nghi cac toi uu nhat la Join Domain dung DHCP ket hop voi port secure
- Loi ich cua join domain ban co the phan quyen khong cho user co quyen tay doi IP va thao kinh nghiem cua minh cung khong nen cho user co quyen cai dat , Moi hanh doi cac dat thay doi gi thi yeu cau phai co su approve cua IT. Nhu the ban se rat nhan trong qua trinh quan ly mang , May tinh it loi , it bi virus .
- Khi dung DHCP ban co the fix dia chi IP theo dia chi Mac
-Port secure de khong co dong chi do mang mang qua port khac cam , Khac khua hoac may cai nhan mang den cong ty cam vao mang se khong hoat dong , se tranh duoc tinh trang lay lan virus va co the quan ly duoc tot

Minh nghi tat ca nhung dieu nay thao man yeu cau cua ban da neu re o dau . Hien tai minh cung dang ap dung mo hinh nay o cty minh , Chi can mot dong chi IT ho tro cho khoang 200 user ma cong viec van rat nhan ,

Khặc, mod không tin hả, đã xem cái thông tin tớ show version chưa hả, học là một chuyện, có nền tảng kiến thức để phân tích sự việc là một chuyện khác nhé. Đừng giận khi đọc những dòng trên vì mình tin rằng kiến thức của bạn chưa đủ rộng để suy xét vấn đề, chắc bạn còn ít tuổi.

Xem mình gửi nội dung running-config của cái switch đó nhé. Bạn nên hỏi qua sếp Đặng Quang Minh trước khi có sự trả lời. Nếu cần, mình sẽ cho bạn kết nối VPN vào mạng nội bộ để "cầm, sờ mó" cái switch đó.

Switch#show run
Building configuration...
Current configuration : 2077 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable secret 5 $1$GBL1$n.tChjmuVL3gasHKK8VNv1
!
ip subnet-zero
ip dhcp excluded-address xxx.xxx.xxx.1 xxx.xxx.xxx.20
!
ip dhcp pool xxxxxx
network xxx.xxx.xxx.0 255.255.255.0
dns-server xxx.xxx.xxx.x xxx.xxx.xxx.x
netbios-name-server xxx.xxx.xxx.x xxx.xxx.xxx.x
default-router xxx.xxx.xxx.x
domain-name xxxx@xxxx (xxxx@xxxx)
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
ip access-group 60 in
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address xxx.xxx.xxx.x 255.255.255.0
no ip route-cache
!
no ip http server
!
access-list 60 deny xxx.100.223.207
access-list 60 deny xxx.100.45.103
access-list 60 deny xxx.100.111.5
access-list 60 deny xxx.100.111.4
access-list 60 deny xxx.100.223.174
access-list 60 deny xxx.100.32.151
access-list 60 deny xxx.100.32.206
access-list 60 deny xxx.100.32.211
access-list 60 deny xxx.100.247.12
access-list 60 permit any
access-list 70 deny xxx.100.128.144
access-list 70 permit any
!
line con 0
password xxxxxx
login
line vty 0 4
password xxxxxx
login
line vty 5 14
password xxxxxx
login
line vty 15
login
!
end
Switch#

Đừng nóng mặt, ta sẽ còn mạn đàm tiếp mà, trước tiên nên áp thử IOS mà tớ gửi lên đã.

Chào !!!
Diễn đàn rất vui khi luôn có những thành viên tích cực như anh, vì khi anh post link Phúc không online nên chưa down được nếu được anh gởi qua mail hoặc up lên topic này cũng được.
Phúc đã kiểm tra lại lệnh trên tài liệu của cisco và đúng là có lệnh đó ở IOS anh đang dùng. (IOS này được đưa ra vào năm 2003 trong khi IOS phúc dùng lại được đưa ra từ năm 2006.???)
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_14_ea1/command/reference/cli1.html#wp2032363

Thanks anh đã share cho mọi người một cách nhìn mới về switch 2950 về việc nó có thể dùng IP acls
Mong anh luôn tiếp tục ủng hộ cho diển đàn
Chúc anh vui !!!

Chào !!!
Diễn đàn rất vui khi luôn có những thành viên tích cực như anh, vì khi anh post link Phúc không online nên chưa down được nếu được anh gởi qua mail hoặc up lên topic này cũng được.
Phúc đã kiểm tra lại lệnh trên tài liệu của cisco và đúng là có lệnh đó ở IOS anh đang dùng. (IOS này được đưa ra vào năm 2003 trong khi IOS phúc dùng lại được đưa ra từ năm 2006.???)
http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_14_ea1/command/reference/cli1.html#wp2032363

Thanks anh đã share cho mọi người một cách nhìn mới về switch 2950 về việc nó có thể dùng IP acls
Mong anh luôn tiếp tục ủng hộ cho diển đàn
Chúc anh vui !!!

Ồ, có gì đâu, tớ sẽ up lại cái IOS đó lên đây sau.

Còn về cách nhìn mới? - Không phải vậy, nó không hề mới mà là ta hiểu đúng bản chất vấn đề hay không mà thôi. Nó như sau:

Bản chất thì tất cả các thiết bị có sử dụng một HĐH nào đó thì nó không khác gì một cái máy tính, nó có bộ vi xử lý trung tâm, có bộ nhớ trong (RAM, ROM, Flash...), một số còn có cả HDD (một số thiết bị truyền dẫn của hãng Siemens có HDD). Việc tương tác giữa người sử dụng và các thiết bị đó có thể khác nhau (console, telnet, hoặc bàn phím - nhiều thiết bị có luôn bàn phím và màn hình đi kèm).

Hệ điều hành của mỗi thiết bị do các kỹ sư của các viết nên tùy vào tư duy của mỗi người, họ có thể thêm hoặc bớt các tính năng cho mỗi phiên bản HĐH.

Mình gửi lại link download IOS có hỗ trợ IP ACLs.

http://ifile.it/loiuc5k

Bạn có thể áp dụng các tính năng quản trị ở ngay mức Hệ điều hành để quản lý không cho phép đổi IP. Bạn join tất cả các PC vào domain và dùng công cụ Group Policy để thiết lập các quyền hạn dành cho user, nếu không sử dụng domain mà dùng Workgroup thì dùng công cụ Local Policy trên từng PC.

không cần phải join vô domain đâu
mỗi PC bạn khai báo một user account không cấp quyền administrator. như vậy là người dùng PC sẽ không thay đổi được IP của PC.
vậy thôi
không hiểu như vậy đã đáp ứng được yêu cầu của bạn hay chưa