Announcement

**phamminhtuan** · 23-08-2008, 02:02 PM

Mode Transparents thì nó lưu trong nvram hay trong flash:vlan.dat vậy anh Phúc? Vì nếu nó lưu trong nvram thì khi đó ta cũng bắt buộc phải wr lại. Lúc nó mấy cái còn lưu trong run nó apply lại ngoại trừ ta làm: del vlan.dat -> era run [tại vì chỗ này một số port nó vẫn còn access vlan nào đó]-> chuyển về mode transparents -> reload.

**binhhd** · 23-08-2008, 02:14 PM

Originally posted by tranmyphuc1988 View Post

chào các bạn !!!
Theo như mình tham khảo thì một số giáo trình official của cisco thường đưa ra rất chi tiết và đầy đủ kiến thức về công nghệ mà họ giới thiệu , training nhưng lại ít khi đưa cho học viên những ứng dụng thực tế khi đi làm .
Nhân đây mình xin demo thử topic này trong phạm vi học của module BCMSN , mong các bạn sẽ cùng mình tạo thành những tài liệu thật bổ ích mà không có sách nào có thể cung cấp cho ta được vì nó được xây nên từ "kinh nghiệm xương máu"

Chúc vui !!!

Tips 1 :
Trường hợp : Chúng ta làm LAB ở vnpro thì thấy rằng muốn xóa cấu hình vlan thì làm cái cụp :

Code:

Switch#delete[B] vlan.dat[/B]
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#

RỒi làm tiếp câu lệnh

Code:

Switch#[B]erase startup-config[/B]
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete

Sau đó reload lại và dùng lệnh

Code:

show vlan

để kiểm tra:
1) Nếu cấp độ CCENT , mỗi người một con switch thì thấy cấu hình sau khi reload đã được đưa về dạng default (trống lốc không có gì)
2) Nếu cấp độ cao hơn tí, đang học VTP và cho nó chạy VTP thì thấy mở lên sau đó, cấu hình VLAN còn nguyên.Sau đó khi được support hoặc nghiệm thì ta biết switch đang học từ những thằng cùng mạng => thế là ta làm lại nhưng lần này ta shutdown tất cả các port đấu với switch khác hoặc rút cable
=> Thành công : xóa hết cấu hình của switch rồi.

Trường hợp : Chúng ta làm ở công ty "phúc_đẹp", hệ thống đang chạy ngon lành giờ làm sau đây. Rùi vấn đề là ta có bao giờ được sờ thiết bị đâu mà rút cable hay nếu shutdown thì hệ thống coi như cũng tiêu.
Một anh bạn đã nảy ra ý định sau :

Theo bạn thì nó có vấn đề gì không ?
Mạng bạn đang dùng có thể chạy bình thường không ?

Chúc vui !!!

Anh góp ý 1 chút: cách trên chuyển switch qua mode transparent trước khi reload được, nhưng chú ý, khi chuyển switch qua mode transparent thì thông VLAN, VTP được lưu ở startup-config và vlan.dat, do đó phải delete vlan.dat và cấu hình vlan trong startup-config (cái này phải xóa bằng tay)

**tranmyphuc** · 23-08-2008, 03:02 PM

Chào !!!
Đầu tiên Phúc cảm ơn sự ủng hộ của mọi người cho topic này, vấn đề mấu chốt là mạng đang họat động và người quản trị không muốn nó bị đứt quản. Tuy nhiên , với trường hợp ở công ty "phúc_đẹp" bên trên, admin làm như vậy liệu có khả khi.
Thử mô hình sau :
switch 1 (server)- switch 2(server)- switch 3 (client) cùng chạy VTP domain và tại switch 1 tạo vlan 2,3,4

Sau đó ta chuyển switch2 sang mode transparent. Và tạo trên switch 1 vlan 5
Ta cấm 1 PC thuộc vlan 5 của switch 1 có ip là 192.168.1.1/24 và 1 PC thuộc vlan 5 của switch 3 có ip là 192.168.1.2/24

Câu hỏi đặt ra : 2 pc này có ping thấy nhau không và vì sao có hay vì sao không ?

Chúc vui !!!

**Mr.LeVy** · 23-08-2008, 04:37 PM

Originally posted by tranmyphuc1988 View Post

Chào !!!
Đầu tiên Phúc cảm ơn sự ủng hộ của mọi người cho topic này, vấn đề mấu chốt là mạng đang họat động và người quản trị không muốn nó bị đứt quản. Tuy nhiên , với trường hợp ở công ty "phúc_đẹp" bên trên, admin làm như vậy liệu có khả khi.
Thử mô hình sau :
switch 1 (server)- switch 2(server)- switch 3 (client) cùng chạy VTP domain và tại switch 1 tạo vlan 2,3,4

Sau đó ta chuyển switch2 sang mode transparent. Và tạo trên switch 1 vlan 5
Ta cấm 1 PC thuộc vlan 5 của switch 1 có ip là 192.168.1.1/24 và 1 PC thuộc vlan 5 của switch 3 có ip là 192.168.1.2/24

Câu hỏi đặt ra : 2 pc này có ping thấy nhau không và vì sao có hay vì sao không ?

Chúc vui !!!

Sau khi cấu hình các VLAN trên SW1 xong, kiểm tra trên SW3 thấy các VLAN update và ping OK, thì sau khi chuyển SW2 sang mode transparent vẫn ping ok.

Lúc này phải cấu hình SW2 mode transparent v2 nếu không thì giữa SW1 & SW3 mất sự đồng bộ trong vtp update (chú ý phải cùng vtp domain & password).

Trong một số trường hợp nếu ta thấy SW3 vẫn ko update được các VLAN mới được add vào trên SW1, thì chỉ cần xóa 1 trong các VLAN vừa tạo ra, update sẽ được lan truyền đến SW3.

Về mặc lý thuyết thì V2 transparent forward các vtp message trong cùng domain nhưng trong thực tế không phải lúc nào cũng ok (bug Cisco trên các dòng SW) nên trong trường hợp này giải pháp "l2tunnel vtp" có lẽ là một sự lựa chọn khác.

**tranmyphuc** · 23-08-2008, 05:59 PM

Originally posted by Mr.LeVy View Post

Sau khi cấu hình các VLAN trên SW1 xong, kiểm tra trên SW3 thấy các VLAN update và ping OK, thì sau khi chuyển SW2 sang mode transparent vẫn ping ok.

Lúc này phải cấu hình SW2 mode transparent v2 nếu không thì giữa SW1 & SW3 mất sự đồng bộ trong vtp update (chú ý phải cùng vtp domain & password).

Trong một số trường hợp nếu ta thấy SW3 vẫn ko update được các VLAN mới được add vào trên SW1, thì chỉ cần xóa 1 trong các VLAN vừa tạo ra, update sẽ được lan truyền đến SW3.

Về mặc lý thuyết thì V2 transparent forward các vtp message trong cùng domain nhưng trong thực tế không phải lúc nào cũng ok (bug Cisco trên các dòng SW) nên trong trường hợp này giải pháp "l2tunnel vtp" có lẽ là một sự lựa chọn khác.

Chào bạn !!
Khi đưa ra mô hình 3 switch mình xin giải thích thêm , chúng nó chỉ cùng vtp domain thôi (không cần set password).
Mô hình này nhất thiết bạn phải thực hiện bằng lab thật sẽ thấy được bản chất
gợi ý : Sw 2 hòan tòan không có thông tin vlan 5

Chúc vui !!!

**Mr.LeVy** · 23-08-2008, 11:10 PM

Không cấu hình VLAN trên SW2 thì đặt câu hỏi làm gì ko biết nữa? Giống như không cấu hình OSPF trên router mà hỏi vì sao router không học được ospf route :)

Trong trường hợp cấu hình trên SW2 mà vẫn ping ko được thì mới nói chuyện chứ. Còn nếu không cho phép cấu hình mà muốn ping được thì phải dùng cách khác àh.

Tóm lại chắc chưa đủ trình để hiểu hết câu hỏi.

**tranmyphuc** · 24-08-2008, 12:12 AM

Originally posted by Mr.LeVy View Post

Không cấu hình VLAN trên SW2 thì đặt câu hỏi làm gì ko biết nữa? Giống như không cấu hình OSPF trên router mà hỏi vì sao router không học được ospf route :)

Trong trường hợp cấu hình trên SW2 mà vẫn ping ko được thì mới nói chuyện chứ. Còn nếu không cho phép cấu hình mà muốn ping được thì phải dùng cách khác àh.

Tóm lại chắc chưa đủ trình để hiểu hết câu hỏi.

Chào !!
Bạn thấy đấy cuối cùng :
+ switch 1 và 3 có vlan 1, 2,3,4,5
+ switch 2 có vlan 1,2,3,4
Câu hỏi đặt ra là 2 pc thuộc vlan 5 của switch 1 và 3 có ping thấy nhau không (cùng mạng)

chúc vui !!!

**binhhd** · 24-08-2008, 09:42 AM

Originally posted by tranmyphuc1988 View Post

Chào !!!
Đầu tiên Phúc cảm ơn sự ủng hộ của mọi người cho topic này, vấn đề mấu chốt là mạng đang họat động và người quản trị không muốn nó bị đứt quản. Tuy nhiên , với trường hợp ở công ty "phúc_đẹp" bên trên, admin làm như vậy liệu có khả khi.
Thử mô hình sau :
switch 1 (server)- switch 2(server)- switch 3 (client) cùng chạy VTP domain và tại switch 1 tạo vlan 2,3,4

Sau đó ta chuyển switch2 sang mode transparent. Và tạo trên switch 1 vlan 5
Ta cấm 1 PC thuộc vlan 5 của switch 1 có ip là 192.168.1.1/24 và 1 PC thuộc vlan 5 của switch 3 có ip là 192.168.1.2/24

Câu hỏi đặt ra : 2 pc này có ping thấy nhau không và vì sao có hay vì sao không ?

Chúc vui !!!

theo anh thì có 2 vấn đề:
#1: phải đảm bảo 3 switch đều có VLAN5, dùng VTP hoặc cấu hình bằng tay thì đều phải đảm bảo vlan database đồng bộ. Trong mô hình trên, cấu hình VLAN5 và vtp version 2 trên Sw2 để cho phép flood VTP từ Sw1 đến Sw3, nhưng chú ý, cái này đôi khi Sw1 không flood thông tin vlan cho sw3 được, vì một bug trên IOS 12.2(24)SEE2 (đối với sw3560) có lẽ phải nâng cấp IOS mới ok,
#2: để pc1 ping thấy pc2 thì cả 3 switch 1,2,3 phải có VLAN 5. Nếu Sw1 và Sw3 có VLAN5 nhưng Sw2 không có thì PC1 cũng không thể access được PC2

**tranmyphuc** · 24-08-2008, 11:18 AM

Originally posted by binhhd View Post

theo anh thì có 2 vấn đề:
#1: phải đảm bảo 3 switch đều có VLAN5, dùng VTP hoặc cấu hình bằng tay thì đều phải đảm bảo vlan database đồng bộ. Trong mô hình trên, cấu hình VLAN5 và vtp version 2 trên Sw2 để cho phép flood VTP từ Sw1 đến Sw3, nhưng chú ý, cái này đôi khi Sw1 không flood thông tin vlan cho sw3 được, vì một bug trên IOS 12.2(24)SEE2 (đối với sw3560) có lẽ phải nâng cấp IOS mới ok,
#2: để pc1 ping thấy pc2 thì cả 3 switch 1,2,3 phải có VLAN 5. Nếu Sw1 và Sw3 có VLAN5 nhưng Sw2 không có thì PC1 cũng không thể access được PC2

Chào !!!
Điều anh nói là hòan tòan chính xác, Do đó với trường hợp :

Trường hợp : Chúng ta làm ở công ty "phúc_đẹp", hệ thống đang chạy ngon lành giờ làm sau đây. Rùi vấn đề là ta có bao giờ được sờ thiết bị đâu mà rút cable hay nếu shutdown thì hệ thống coi như cũng tiêu.
Một anh bạn đã nảy ra ý định sau :

Chúng ta cũng thực hiện việc xóa vlan.dat nhưng ta chuyển switch sang mode transparent rồi mới reload .

Theo bạn thì nó có vấn đề gì không ?
Mạng bạn đang dùng có thể chạy bình thường không ?

Switch mới khởi động lên sẽ không còn vlan nào nữa , như vậy mạng cũng sẽ không thể họat động bình thường. Chính vì thế , ta phải làm sao cho switch này cô lập hòan tòan với mạng, và mô hình chạy STP hiện tại sẽ thay đổi . Chúng ta phải shutdown những port của switch này nối với các switch khác => mạng sẽ chạy theo một cây STP mới => mạng họat động bình thường.

Chúc vui !!!

**tranmyphuc** · 09-09-2008, 03:08 AM

Chào,
Câu chuyện vui , nghe buồn thảm nhất : " Một anh bạn của tôi, sao một lần nhậu xỉn đã chơi 2 chiêu mà sao đó tỉnh dậy "mô hôi mồ kê" đổ quá trời.
1) Chiêu 1 : học ccna có câu lệnh này là thụôc nhất nên dùng luôn " erase start". Khổ nổi nếu như xảy ra trường hợp này sau khi lỡ tay thì hãy copy lại " copy run start". AI dè anh ta quýnh quán sau đó " chơi chiêu cuối" => restart lại ! Hic !:(
2) Chiêu thứ 2 : câu lệnh mà anh ta quen dùng làm lab ở VNPRO nhất ngòai chiêu 1 là " delete vlan.dat". Nếu như chơi chiêu 1 mà không có chiêu 2 thì khi khởi động lên " còn chút gì để nhớ" => Nhưng tôi không ngờ anh ấy chơi cả 2 chiêu.

Mặt xanh như đọt chuối , anh ta nhanh chóng đến gặp tôi, nếu không cứu được thì coi như anh ta " tha hồ ở nhà giữ vợ". Đời thật khổ.

Nếu như bạn vô tình làm vào trường hợp trên , hãy tham khảo bài hướng dẫn sau xem

Thiết bị thực hiện : Switch 3560

Đầu tiên trên switch mình tạo rất nhiều cấu hình về VTP, VLAN ...
Switch(config)#vtp domain CISCO
Changing VTP domain name from NULL to CISCO
Switch(config)#vtp mode server
Device mode already VTP SERVER.
Switch(config)#vtp password PASSWORD
Setting device VLAN database password to PASSWORD
Switch(config)#int range fa0/1 - 5
Switch(config-if-range)#desc -> Tui thích bồ tui
Switch(config-if-range)#vlan 2-10,13,69
Switch(config-vlan)#^Z
Switch#sh vtp
00:07:19: %SYS-5-CONFIG_I: Configured from console by consolestatus
VTP Version : 2
Configuration Revision : 1
Maximum VLANs supported locally : 1005
Number of existing VLANs : 16
VTP Operating Mode : Server
VTP Domain Name : CISCO
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0×9C 0×62 0xCB 0xFE 0xB7 0×89 0×4A 0xB8
Configuration last modified by 0.0.0.0 at 3-1-93 00:07:19
Local updater ID is 0.0.0.0 (no valid interface found)
Switch#sh vlan sum
Number of existing VLANs : 16
Number of existing VTP VLANs : 16
Number of existing extended VLANs : 0 Switch#sh int desc
Interface Status Protocol Description
Vl1 admin down down
Fa0/1 down down -> Tui thích bồ tui
Fa0/2 down down -> Tui thích bồ tui
Fa0/3 down down -> Tui thích bồ tui
Fa0/4 down down -> Tui thích bồ tui
Fa0/5 down down -> Tui thích bồ tui
và hostname
Switch(config)#hostname sw1
sw1(config)#^Z
sw1#
00:08:10: %SYS-5-CONFIG_I: Configured from console by console
sw1#write
Building configuration…
[OK]

sw1#sh flash
Directory of flash:/
2 -rwx 1216 Mar 01 1993 00:07:19 vlan.dat
3 -rwx 5 Mar 01 1993 00:08:26 private-config.text
5 drwx 192 Mar 01 1993 00:05:28 c3560-i9-mz.121-19.EA1d
85 -rwx 3485 Mar 01 1993 00:08:26 config.text
15998976 bytes total (9540608 bytes free)

Sau đó mình nhấn vào nút mode trên switch 3560, để khoảng 10s và rút ra ( dùng để reset lại cấu hình)

sw1#
00:09:18: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
00:09:18: %EXPRESS_SETUP-6-CONFIG_IS_RESET: The configuration is reset and the system will now reboot
00:09:19: %SYS-5-RELOAD: Reload requested The switch comes back up:
Switch uptime is 2 minutes
System returned to ROM by power-on

Switch#sh start
startup-config is not present

Code:

Switch#sh flash 
 Directory of flash:/
     2  -rwx        1216   Mar 01 1993 00:07:19  [B]vlan.dat[/B]
    3  -rwx           5   Mar 01 1993 00:08:26  [B]private-config.text.renamed[/B]
    5  drwx         192   Mar 01 1993 00:05:28  c3560-i9-mz.121-19.EA1d
   85  -rwx        3485   Mar 01 1993 00:08:26  [B]config.text.renamed[/B]
 15998976 bytes total (9540608 bytes free)

Switch#sh vtp statu
VTP Version : 2
Configuration Revision : 1
Maximum VLANs supported locally : 1005
Number of existing VLANs : 16
VTP Operating Mode : Server
VTP Domain Name : CISCO
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0×9C 0×62 0xCB 0xFE 0xB7 0×89 0×4A 0xB8
Configuration last modified by 0.0.0.0 at 3-1-93 00:07:19
Local updater ID is 0.0.0.0 (no valid interface found)
Switch#sh vlan sum
Number of existing VLANs : 16
Number of existing VTP VLANs : 16
Number of existing extended VLANs : 0

Mình xin giải thích tình huống bạn gặp phải như sau :
+ Sau khi bạn đã xóa toàn bộ cấu hình bằng 2 lệnh :
erase start + delete vlan.dat

sau đó bạn reload lại switch và dùng lệnh show flash sẽ được kết quả :

Switch#show flash:

Directory of flash:/

2 -rwx 616 Mar 1 1993 00:09:55 +00:00 vlan.dat.renamed
4 -rwx 2136 Mar 1 1993 00:09:46 +00:00 config.text.renamed
5 drwx 192 Mar 1 1993 00:08:13 +00:00 c3750-ipbasek9-mz.122-25.SED1
363 -rwx 24 Mar 1 1993 00:09:46 +00:00 private-config.text.renamed

+ Giải thích về kết quả trên :

1) Khi bạn dùng lệnh earse start bạn đã xóa 2 file : config.text và private-config.text , cả 2 file này đều lưu giữ cấu hình của switch
2) KHi dùng lệnh delete vlan.dat bạn đã xóa những thiết lập về VLAN, VTP ...
=> vấn đề đặt ra : tại sao những file ấy lại chuyển thành như thế này

Code:

[B]vlan.dat =========> [/B][COLOR=Teal][B]vlan.dat.renamed[/B][/COLOR]
[B]config.text[/B][B] =========> [/B][COLOR=Teal][B]config.text[/B][B].renamed[/B][/COLOR]
[B]private-config.text[/B][B] =========> [/B][COLOR=Teal][B]private-config.text[/B][B].renamed[/B][/COLOR]

P/s : private-config.text được thiết bị của cisco dùng để lưu trữ "crypto private keys" ( đó là những key dùng trong việc chứng thực ...)

Thực sự bạn bạn xóa cấu hình bằng 2 lệnh trên, cấu hình của switch đã bị remove khỏi NVRAM nhưng nó vẫn còn được lưu trữ trên FLASH của Switch nhưng với tên file đã bị đổi sang là .... renamed khi hiển thị trong cấu hình mới.

Trường hợp thực tế : Giả sử hacker đã tiếp cận được switch và xóa hết cấu hình bằng 2 lệnh trên . Khi ta khởi động và thấy cấu hình trống trơn => hãy nhớ rằng những file ấy còn lưu trong flash

Đây là các bước dùng để khôi phục lại những gì đã mất :

Code:

Switch#rename flash:config.text.renamed flash:config.text
Destination filename [config.text]?

Ở đây tôi thí dụ về rename file config.text , 2 file còn lại bạn làm tương tự

Switch#sh start
Using 3485 out of 524288 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sw1
!
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description ->Tui thích bồ tui
no ip address
no mdix auto
!
interface FastEthernet0/2
description -> Tui thích bồ tui
no ip address
no mdix auto
…..

Và điều quan trọng nhất bạn phải dùng thêm câu lệnh này :

Code:

[B][COLOR=Red]Switch#copy start run[/COLOR][/B]

Sau khi đã làm 2 bước trên với tất cả 3 file chúng ta thử reload và xem kết quả :
Switch#reload
Proceed with reload? [confirm]
00:27:04: %SYS-5-RELOAD: Reload requested
And it works:
sw1>en
sw1#sh run
Building configuration…
Current configuration : 3512 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname sw1
!
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface FastEthernet0/1
description -> Tui thích bồ tui
no ip address

================================================== ===
Một câu hỏi đặt ra tiếp theo cho bạn :
thử dùng lệnh sau và xem kết quả :

Code:

[COLOR=Red][B]sw1(config)#no setup express[/B][/COLOR]

Câu này giúp cho hacker có thể xóa hết những file cấu hình còn lưu trữ trong flash.

Chúc bạn vui .

**mrsonkip** · 26-09-2008, 01:05 AM

cho em hỏi . Bình thường dùng lệnh show Flash ta đâu thấy có file private-config.text
đó là chìa khóa của bài học này mà . cảm ơn anh . bài học rất bổ ích

Announcement

[Tips for all] Một vài mẹo nhỏ ứng dụng trong doanh nghiệp

[Tips for all] Một vài mẹo nhỏ ứng dụng trong doanh nghiệp

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment