Cấu hình định tuyến Switch Layer 3 - InterVLAN của Cisco

Cấu hình định tuyến Switch Layer 3 - InterVLAN của Cisco

Trên bộ chuyển mạch hỗ trợ Lớp 3, các giao diện cổng hoạt động như các cổng truy cập Lớp 2 theo mặc định, nhưng bạn cũng có thể định cấu hình chúng là “ Routed Ports ” hoạt động như các giao diện bộ định tuyến thông thường.

Tức là bạn có thể gán địa chỉ IP trực tiếp trên cổng được định tuyến. Hơn nữa, bạn cũng có thể cấu hình Switch Virtual Interface ( SVI ) bằng lệnh “ interface vlan ” hoạt động như một giao diện lớp 3 ảo trên công tắc Layer3.

Tính năng trên có nghĩa là bạn có thể triển khai chức năng Lớp 3 trong mạng của mình mà không cần sử dụng bộ định tuyến thông thường.

Nếu bạn không có sẵn bộ chuyển Layer3, bạn cũng có thể định cấu hình định tuyến InterVLAN bằng cách sử dụng bộ chuyển Layer2 đơn giản và Router (còn được gọi là Router on a Stick ).

Định tuyến giữa các VLAN trên Switch lớp 3

Trong bài đăng này, tôi sẽ mô tả một tình huống với một công tắc Layer3 đóng vai trò là thiết bị “ Inter VLAN Routing ” cùng với hai công tắc Layer2 đóng vai trò là công tắc truy cập tủ quần áo.

Hơn nữa, tường lửa Cisco ASA sẽ cung cấp kết nối Internet cho tất cả các mạng con bên trong. Một cổng được định tuyến sẽ được định cấu hình giữa Switch Layer3 và giao diện bên trong ASA để định tuyến các gói tới internet (thông qua ASA).

Trọng tâm của bài viết này là chỉ cho bạn cách định cấu hình các bộ chuyển mạch Lớp 2 và Lớp 3 để cung cấp định tuyến giữa các Vlan bằng cách sử dụng các bộ chuyển mạch xúc tác dựa trên IOS thông thường. Một tình huống tương tự khi sử dụng các thiết bị chuyển mạch Cisco Nexus mới được mô tả trong bài viết tại đây.

Ở cuối bài viết này, bạn cũng sẽ tìm thấy các lệnh cấu hình định tuyến quan trọng cho ASA và cả cách sử dụng Danh sách điều khiển truy cập (ACL) trên switch Lớp 3 để kiểm soát lưu lượng (cho phép hoặc từ chối) giữa các VLAN ở cấp Lớp 3.

Đây là một kịch bản mạng khá phổ biến mà tôi đã thấy trong nhiều mạng doanh nghiệp.

Giao diện Fa0/48 của switch Layer3 được định cấu hình là Cổng được định tuyến với địa chỉ IP 10.0.0.1 và được kết nối với giao diện bên trong ASA (10.0.0.2).

Cần tạo 2 Vlan trên switch L2 và L3 là Vlan10 và Vlan20. Tất nhiên, bạn có thể mở rộng kịch bản này với nhiều Vlan hơn và nhiều công tắc Lớp 2 hơn nếu cần.

Trên Switch Layer3, đối với Vlan10, chúng tôi sẽ tạo một SVI có địa chỉ IP 10.10.10.10 và đối với Vlan20, một SVI có địa chỉ IP 10.20.20.20. Hai địa chỉ IP này sẽ đóng vai trò là địa chỉ cổng mặc định cho các máy chủ thuộc Vlan10 và Vlan20 trên các thiết bị chuyển mạch Layer2 tương ứng.

Nghĩa là, các máy chủ được kết nối với Vlan10 trên các thiết bị chuyển mạch L2 của tủ sẽ có cổng mặc định là địa chỉ IP 10.10.10.10. Tương tự, các máy chủ được kết nối với Vlan20 trên các công tắc tủ quần áo sẽ có địa chỉ 10.20.20.20 làm cổng mặc định của chúng.

Lưu lượng giữa Vlan10 và Vlan20 sẽ được định tuyến bởi L3 Switch (InterVlan Routing). Ngoài ra, tất cả các giao diện kết nối ba công tắc phải được định cấu hình là Trunk Ports để cho phép các khung được gắn thẻ Vlan10 và Vlan20 chuyển giữa các công tắc. Hãy xem ảnh chụp nhanh cấu hình cho tất cả các công tắc bên dưới:

! Tạo VLAN 10 và 20 trong cơ sở dữ liệu switch
Layer2-Switch# configure terminal
Layer2-Switch(config)# vlan 10
Layer2-Switch(config)# name SALES
Layer2-Switch(config-vlan)# exit

Layer2-Switch(config)# vlan 20
Layer2-Switch(config-vlan)# name ENGINEERING
Layer2-Switch(config-vlan)# exit

!  Tạo VLAN 10 và 20 trong cơ sở dữ liệu switch
Layer2-Switch(config)# interface fastethernet0/1
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 10
Layer2-Switch(config-if)# exit

!  Gán cổng Fe0/2 trong VLAN 20
Layer2-Switch(config)# interface fastethernet0/2
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 20
Layer2-Switch(config-if)# exit

!  Tạo cổng Trunk Fe0/24
Layer2-Switch(config)# interface fastethernet0/24
Layer2-Switch(config-if)# switchport trunk encapsulation dot1q
Layer2-Switch(config-if)# switchport mode trunk
Layer2-Switch(config-if)# exit

Cisco Layer 3 Switch

! Enable Layer 3 routing
Layer3-Switch(config) # ip routing

! Tạo VLAN 10 và 20 trong cơ sở dữ liệu switch

Layer3-Switch# configure terminal
Layer3-Switch(config)# vlan 10
Layer3-Switch(config)# name SALES
Layer3-Switch(config-vlan)# exit

Layer3-Switch(config)# vlan 20
Layer3-Switch(config)# name ENGINEERING
Layer3-Switch(config-vlan)# exit

! Cấu hình Cổng định tuyến để kết nối với tường lửa ASA
Layer3-Switch(config)# interface FastEthernet0/48
Layer3-Switch(config-if)# description To Internet Firewall
Layer3-Switch(config-if)# no switchport
Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252

!  Tạo cổng Trunk Fe0/47 Fe0/46
Layer3-Switch(config)# interface fastethernet0/47
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# exit

Layer3-Switch(config)# interface fastethernet0/46
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# exit

!  Định cấu hình Giao diện Switch Vlan (SVI)
Layer3-Switch(config)# interface vlan10
Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Layer3-Switch(config-if)# no shutdown

Layer3-Switch(config)# interface vlan20
Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0
Layer3-Switch(config-if)# no shut

!  Configure default route towards ASA firewall
Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2

Cấu hình ACL tùy chọn trên L3 Switch

! Tạo ACL để kiểm soát lưu lượng giữa VLAN 10 đến VLAN 20
Layer3-Switch(config)# ip access-list Extended ACL1020
Layer3-Switch(config-ext-nacl)# allow ip host 10.10.10.1 host 10.20.20.1
Layer3-Switch(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 Layer3
-Switch(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 bất kỳ
Layer3-Switch(config -ext-nacl)#exit

! Áp dụng ACL cho VLAN10 SVI
Layer3-Switch(config)#interface vlan 10
Layer3-Switch(config-if)#ip access-group ACL1020 trong
Layer3-Switch(config-if)#exit

Cấu hình trên tạo Danh sách điều khiển truy cập để hạn chế quyền truy cập giữa Vlan10 đến Vlan20. Cụ thể, nó cho phép máy chủ 10.10.10.1 chỉ truy cập máy chủ 10.20.20.1 và từ chối tất cả lưu lượng truy cập khác giữa Vlan10 đến Vlan20. Hơn nữa, cho phép truy cập vào bất kỳ thứ gì khác (tức là Internet) từ vlan10. ACL ở trên được áp dụng trên vlan10 SVI theo hướng “in”.

Cấu hình định tuyến ASA quan trọng

ASA(config)# route outside 0.0.0.0 0.0.0.0 2.2.2.2  <– Đây là route mặc định đến internet
ASA(config)# route inside 10.10.10.0 255.255.255.0 10.0.0.1 <– static route để đến vlan10
ASA(config)# route inside 10.20.20.0 255.255.25 5.0 10.0.0.1 <– tuyến tĩnh để đến vlan20

Cấu hình mẫu ASA ở trên cho thấy định tuyến tĩnh cần thiết trên ASA để định tuyến các gói trở lại vlan10 (10.10.10.0) và vlan20 (10.20.20.0) qua IP 10.0.0.1 là IP của bộ chuyển đổi Layer3.

Định tuyến giữa các Vlan trên các thiết bị chuyển mạch lớp 2

Mọi người cho mình hỏi là có thể định tuyến lưu lượng giữa các VLAN trên switch Layer 2 được không. Câu trả lời là không. Nếu không có thiết bị định tuyến trong mạng (Switch lớp 3 hoặc Bộ định tuyến) thì các máy chủ được kết nối với hai Vlan khác nhau trên cùng một Switch lớp 2 sẽ không thể giao tiếp.

Cách duy nhất để cung cấp định tuyến giữa các vlan trên bộ chuyển mạch Lớp 2 là có bộ chuyển mạch Lớp 3 hoặc Bộ định tuyến trong mạng sẽ nhận các gói cho từng Vlan Lớp 2 và sau đó định tuyến chúng đến Vlan khác tương ứng.

Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn