Hướng dẫn cấu hình VLAN Trunking trên thiết bị tường lửa Palo Alto

Post published:04/08/2021
Post category:Hướng dẫn cấu hình Firewall Palo Alto
Post comments:0 Comments

1. Mục đích bài viết

Bài viết này sẽ hướng dẫn các bạn cách cấu hình VLAN Trunking trên thiết bị Palo Alto kết hợp với switch để phù hợp với các hệ thống chạy nhiều Vlan.

2. Sơ đồ mạng

Chi tiết sơ đồ mạng:

Trong sơ đồ chúng ta sẽ có thiết bị tường lửa Palo Alto được kết nối internet thông qua cổng ethernet1/1 với giao thức PPPoE có IP là 14.169.x.x.

Tiếp theo chúng ta có cổng Ethernet1/6 sẽ được kết nối với cổng Gi0/2 của Switch Cisco 2960 đây là đường trunking giữa tường lửa Palo Alto và Switch Cisco.

Từ switch cisco 2960 chúng ta sẽ có port số 3 thuộc VLAN 1 cấp DHCP 172.16.20.0/24 được kết nối đến PC 1.

Chúng ta có port 1 thuộc VLAN 30 cấp DHCP 172.16.30.0/24 được kết nối đến PC 2.

Port 2 thuộc VLAN 40 cấp DHCP 172.16.40.0/24 được kết nối đến PC 3.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện cấu hình VLAN trunking trên cổng ethernet1/6 của thiết bị Palo Alto và cả trên switch cisco để khi các PC 1,2,3 kết nối vào các cổng như sơ đồ sẽ nhận đúng IP từ lớp mạng tương ứng.

4.Các bước cấu hình

Cấu hình IP cho cổng ethernet1/6
Cấu hình Subinterface cho cổng ethernet1/6
Tạo Virtual Routers
Tạo DHCP server cho cổng ethernet1/6 và các subinterface
Cấu hình VLAN trên switch cisco
Gán port vào VLAN
Cấu hình trunking
Kết quả

5.Hướng dẫn cấu hình

5.1. Cấu hình IP cho cổng ethernet1/6

Để cấu hình IP cho cổng Ethernet1/6 chúng ta vào Network > Interfaces > nhấn chuột trái vào tên cổng.

Bảng cấu hình sẽ hiện ra chúng ta cấu hình theo các thông tin sau.

Tab Config:

Interface Type: Layer3
Security Zone: LAN

Tab IPv4:

Type: chọn Static
Nhấn Add tại bảng IP và điền vào IP của cổng là 172.16.20.1/24
Nhấn OK để lưu

Nhấn Commit để lưu các thay đổi cấu hình.

5.2. Cấu hình Subinterface cho cổng ethernet1/6

Để cấu hình Subinterface vào Network > Interfaces.

Nhấn vào cổng ethernet1/6 và nhấn Add Subinterface.

Bảng cấu hình sẽ hiện ra chúng ta sẽ cấu hình 2 VLAN theo thông tin sau:

VLAN 30 tab Config:

Interface Name: ethernet1/6.30
Tag: 30
Security Zone: LAN

VLAN 30 tab IPv4:

Type: Static
Nhấn Add ở bảng IP và điền vào IP cho cổng subinterface là 172.16.30.1/24
Nhấn OK để lưu.

VLAN 40 tab Config:

Interface Name: ethernet1/6.40
Tag: 40
Security Zone: LAN

VLAN 40 tab IPv4:

Type: Static
Nhấn Add tại bảng IP và điền vào IP cho subinterface là 172.16.40.1/24
Nhấn OK để lưu

Như vậy là chúng ta đã tạo thành công các subinterface cho cổng ethernet1/6.

5.3. Tạo Virtual Routers

Để tạo Virtual Routers các bạn vào Network > Virtual Router.

Nhấn Add và cấu hình theo các thông tin sau.

Tab Router Setting:

Tại bảng General nhấn Add và thêm 3 cổng ethernet1/6, ethernet1/6.30, ethernet1/6.40.
Nhấn OK để lưu.

Nhấn Commit để lưu thay đổi cấu hình.

5.4. Tạo DHCP Server cho cổng ethernet1/6 và các subinterface

Để tạo DHCP vào Network > DHCP.

Nhấn Add và cấu hình DHCP cho cổng ethernet1/6 theo các thông số sau.

Tab Lease:

Interface: chọn ethernet1/6
Mode: enabled
Lease: Unlimited
IP Pools: nhấn Add và điền dãy IP cấp phát 172.16.20.2-172.16.20.100

Tab Options:

Gateway: 172.16.20.1
Subnet Mask: 255.255.255.0
Primary DNS: 8.8.8.8
Secondary DNS: 8.8.4.4
Nhấn OK để lưu

Nhấn Add và cấu hình DHCP cho cổng subinterface ethernet1/6.30 theo các thông số sau.

Tab Lease:

Interface: chọn ethernet1/6.30
Mode: enabled
Lease: Unlimited
IP Pools: nhấn Add và điền vào dãy IP cấp phát 172.16.30.2-172.16.30.100

Tab Options:

Gateway: 172.16.30.1
Subnet Mask: 255.255.255.0
Primary DNS: 8.8.8.8
Secondary DNS: 8.8.4.4
Nhấn OK để lưu

Nhấn Add và cấu hình DHCP cho cổng subinterface ethernet1/6.40 theo các thông số sau.

Tab Lease:

Interface: chọn ethernet1/6.40
Mode: enabled
Lease: Unlimited
IP Pools: nhấn Add và điền vào dãy IP cấp phát 172.16.40.2-172.16.40.100

Tab Options:

Gateway: 172.16.40.1
Subnet Mask: 255.255.255.0
Primary DNS: 8.8.8.8
Secondary DNS: 8.8.4.4
Nhấn OK để lưu

Như vậy là chúng ta đã cấu hình DHCP cho các cổng thành công.

Nhấn Commit để lưu lại các thay đổi cấu hình.

5.5. Cấu hình VLAN trên Switch Cisco

Đầu tiên mình sẽ cho các bạn thấy là toàn bộ các port hiện tại đều đang thuộc VLAN 1.

Để cấu hình VLAN trên switch Cisco các bạn cần kết nối với switch bằng dây console và sử dụng phần mềm Putty để truy cập.

Sau khi truy cập các bạn vào mode config và gõ theo cứ pháp sau.

Để tạo Vlan 30 các bạn gõ vlan 30 và nhấn enter lúc này vlan 30 đã được tạo thành công các bạn nhấn exit và gõ vlan 40 để tạo vlan 40.

Để kiểm tra vlan được tạo chưa các bạn có thể gõ câu lệnh show vlan để xem.

5.6. Gán port vào VLAN

Để gán port vào VLAN các bạn cần thực hiện như sau.

Theo như sơ đồ thì port 3 hiện tại đã nằm trong VLAN 1 nên chúng ta không cần cấu hình port 3 này.

Chúng ta sẽ cấu hình port 1 vào vlan 30 và port 2 vào vlan 40.

Chúng ta sẽ thực hiện cấu hình port 1 vào vlan 30 theo câu lệnh sau:

Truy cập vào mode config và nhập câu lệnh interface FastEthernet0/1 để vào port này
Gõ switchport access vlan 30 để thực hiện gán port này vào VLAN 30.

Tương tự port 1 chúng ta sẽ cấu hình port 2 như sau.

Truy cập vào mode config và nhập câu lệnh interface FastEthernet0/2 để vào port này
Gõ switchport access vlan 40 để thực hiện gán port này vào VLAN 30.

Để kiểm tra xem các port đã được gán vào chưa chúng ta nhập lệnh show vlan.

5.7. Cấu hình trunking

Theo như sơ đồ thì port Gi0/2 sẽ là port trunking.

Để cấu hình trunking chúng ta cần vào mode config và nhập cấu lệnh interface GigabitEthernet 0/2 để vào cổng này.

Tiếp theo nhập lệnh switchport mode trunk để cấu hình port này thành port trunk.

Để kiểm tra xem port này đã ở chế độ trunking sau khi cấu hình chưa chúng ta nhập lênh show running-config để xem.

5.8. Kiểm tra kết quả

Cuối cùng chúng ta sẽ kết nối 3 thiết bị PC 1,2,3 vào lần lượt 3 port 1,2,3.

Kết quả PC 1 khi kết nối vào port 1 vlan 30 nhận được IP cấp phát thuộc lớp mạng 172.16.30.0/24 từ thiết bị Palo Alto, đúng như cấu hình vlan mà chúng ta mà chúng ta đã làm trước đó.