CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.
Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.
Chi tiết sơ đồ mạng:
Chúng ta sẽ có các thiết bị như sau:
Chúng ta sẽ thực hiện cấu hình Subinterface, DHCP, Virutal Router, chính sách cho phép giao tiếp giữa các VLAN trên thiết bị Palo Alto Firewall và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.
Palo Alto Firewall:
Switch:
Kiểm tra kết quả.
Chúng ta sẽ thực hiện định nghĩa các subnet của từng VLAN bằng cách tạo Address Object.
Để tạo vào Object > Addresses > nhấn Add.
Tạo Address Object cho subnet 10.145.41.0/24 của VLAN 10 với các thông số sau:
Tương tự chúng ta tạo Address Object cho subnet 10.145.42.0/24 của VLAN 20 với các thông số sau:
Tương tự chúng ta tạo Address Object cho subnet 10.145.43.0/24 của VLAN 30 với các thông số sau:
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 Subinterface và đặt IP cho nó theo như sơ đồ mạng.
Trên thiết bị tường lửa Palo Alto, để tạo được các Subinterface trên một cổng vật lý chúng ta cần phải thiết lập IP cho cổng vật lý đó trước tiên.
Vì vậy theo như sơ đồ chúng ta sẽ thực hiện đặt IP 10.145.40.254/24 cho cổng ethernet1/2.
Để thiết lập vào Network > Interfaces > Ethernet > nhấn chuột trái vào tên của interface ethernet1/2 và cấu hình như sau.
Tab Config:
Tab IPv4:
Để tạo Subinterface cho VLAN 10 trên port ethernet1/2 chúng ta vào Network > Interfaces > Ethernet > nhấn chuột trái vào dòng có chứa cổng ethernet1/2 và nhấn Add Subinterface:
Tab Config:
Tab IPv4:
Tương tự chúng ta cũng tạo Subinterface cho VLAN 20 với các thông số sau:
Tab Config:
Tab IPv4:
Tương tự chúng ta cũng tạo Subinterface cho VLAN 30 với các thông số sau:
Tab Config:
Tab IPv4:
Nhấn Commit và OK để lưu những thay đổi cấu hình.
Tiếp theo chúng ta cần tạo DHCP để khi các máy tính kết nối vào sẽ tự động nhận được IP.
Để tạo DHCP vào Network > DHCP > DHCP Server > Add.
Tạo DHCP cho Subinterface ethernet1/2.10 với các thông số sau:
Tab Lease:
Tab Options:
Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.20 theo các thông số sau:
Tab Lease:
Tab Options:
Tương tự chúng ta tạo DHCP cho Subinterface ethernet1/2.30 theo các thông số sau:
Tab Lease:
Tab Options:
Nhấn Commit và OK để lưu những thay đổi cấu hình.
Tạo Virtual Router
Để tạo Virutal Router chúng ta vào Network > Virtual Routers > nhấn Add.
Tạo Virtual Router với các thông số sau:
Để các máy tính thuộc các Suinterface khác nhau có thể giao tiếp với nhau, chúng ta cần tạo 1 policy cho phép điều này xảy ra.
Để tạo vào Policies > Secuirty > nhấn Add và tạo với các thông số như hình sau.
Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.
Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no shutdown
Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.
Switch(config)#vlan 20
Switch(config-vlan)#interface gigabitEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#no shutdown
Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.
Switch(config)#vlan 30
Switch(config-vlan)#exit
Switch(config)#interface gigabitEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#no shutdown
Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.
Switch(config)#interface gigabitEthernet 0/0
Switch(config-if)#switchport trunk encapsulation dot1Q
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shutdown
PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.
Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.
Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.
Kết quả ping từ PC 3 sang PC 2.
Kết quả ping từ PC 1 sang PC 2.
Kết quả ping từ PC 1 sang PC 3.
Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.