1.Giới thiệu về Inter-VLAN
Inter-VLAN là phương pháp được thiết lập có hiệu quả nhất bằng cách cung cấp một liên kết trunk duy nhất giữa Switch và Router mà có thể mang lưu lượng truy cập của nhiều VLAN và trong đó các lưu lượng ấy lần lượt có thể được định tuyến bởi Router.
Với Inter-VLAN Routing, Router nhận frame từ Switch với gói tin xuất phát từ một VLAN đã được tag. Nó liên kết các frame với các subinterface thích hợp và sau đó giải mã nội dung của frame (phần IP packet). Router sau đó thực hiện chức năng của Layer 3 dựa trên địa chỉ mạng đích có trong gói tin IP để xác định subinterface cần chuyển tiếp gói IP. Các IP packet bây giờ được đóng gói thành frame theo chuẩn dot1Q (hoặc ISL) để nhận dạng VLAN của subinterface chuyển tiếp và truyền đi trên đường trunk vào Switch.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
Chúng ta sẽ có các thiết bị như sau:
- Sophos Firewall là thiết bị dùng để thiết lập chính sách ra vào, cấp phát DHCP, VLAN.
- Switch Core là thiết bị dùng để phân phối các IP và VLAN xuống cho các máy tính.
- 3 thiết bị có tên là PC1, PC2, PC3 chạy Windows 7.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình interface VLAN, DHCP, chính sách cho phép giao tiếp giữa các VLAN trên thiết bị Sophos Firewall và Switch để khi các máy tính kết nối vào sẽ nhận được đúng IP từ VLAN theo như sơ đồ mạng.
4.Các bước thực hiện
Sophos Firewall:
- Tạo IP Host.
- Cấu hình interface VLAN.
- Tạo DHCP ứng với từng interface VLAN.
- Tạo chính sách cho phép các VLAN giao tiếp với nhau.
Switch:
- Tạo các VLAN và assign port vào VLAN.
- Thực hiện trunk port.
Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Sophos Firewall
5.1.1.Tạo IP Host
Chúng ta sẽ thực hiện định nghĩa các subnet của từng VLAN bằng cách tạo IP Host.
Để tạo vào Hosts and services > IP Host > nhấn Add.
Tạo IP Host cho subnet 10.145.41.0/24 của VLAN 10 với các thông số sau:
- Name: VLAN10
- IP version: IPv4
- Type: Network
- IP address/Subnet: 10.145.41.0/24.
- Nhấn Save.
Tương tự chúng ta tạo IP Host cho subnet 10.145.42.0/24 của VLAN 20 với các thông số sau:
- Name: VLAN20
- IP version: IPv4
- Type: Network
- IP address/Subnet: 10.145.42.0/24.
- Nhấn Save.
Tương tự chúng ta tạo IP Host cho subnet 10.145.43.0/24 của VLAN 30 với các thông số sau:
- Name: VLAN30
- IP version: IPv4
- Type: Network
- IP address/Subnet: 10.145.43.0/24.
- Nhấn Save.
5.1.2.Cấu hình interface VLAN.
Như sơ đồ mạng chúng ta có 3 VLAN là 10,20,30 nên chúng ta sẽ cần tạo 3 interface VLAN và đặt IP cho nó theo như sơ đồ mạng.
Để tạo interface VLAN cho VLAN 10 trên PortA chúng ta vào Network > Interfaces > Add interface > Add VLAN và cấu hình theo các thông số sau:
- Name: VLAN 10
- Interface: PortA
- Zone: LAN
- VLAN ID : 10
- IP assignment: Static
- IPv4/netmask: 10.145.41.254/24
- Nhấn Save
Tương tự chúng ta cũng tạo interface VLAN cho VLAN 20 với các thông số sau:
- Name: VLAN 20
- Interface: PortA
- Zone: LAN
- VLAN ID : 20
- IP assignment: Static
- IPv4/netmask: 10.145.42.254/24
- Nhấn Save
Tương tự chúng ta cũng tạo interface VLAN cho VLAN 30 với các thông số sau:
- Name: VLAN 30
- Interface: PortA
- Zone: LAN
- VLAN ID : 30
- IP assignment: Static
- IPv4/netmask: 10.145.43.254/24
- Nhấn Save
5.1.3.Tạo DHCP ứng với từng interface VLAN
Tiếp theo chúng ta cần tạo DHCP để khi các máy tính kết nối vào sẽ tự động nhận được IP.
Để tạo DHCP vào Network > DHCP > Add.
Tạo DHCP cho interface VLAN 10 với các thông số sau:
- Name: DHCP_VLAN10
- Interface: chọn VLAN10 – 10.145.41.254 từ danh sách thả xuống
- Dynamic IP Lease: 10.145.41.1 – 10.145.41.10
- Subnet mask: /24 [255.255.255.0]
- Nhấn Save.
Tương tự chúng ta tạo DHCP cho interface VLAN 20 theo các thông số sau:
- Name: DHCP_VLAN20
- Interface: chọn VLAN20 – 10.145.42.254 từ danh sách thả xuống
- Dynamic IP Lease: 10.145.42.1 – 10.145.42.10
- Subnet mask: /24 [255.255.255.0]
- Nhấn Save.
Tương tự chúng ta tạo DHCP cho interface VLAN 20 theo các thông số sau:
- Name: DHCP_VLAN30
- Interface: chọn VLAN30 – 10.145.43.254 từ danh sách thả xuống
- Dynamic IP Lease: 10.145.43.1 – 10.145.43.10
- Subnet mask: /24 [255.255.255.0]
- Nhấn Save.
5.1.4.Tạo chính sách cho phép các VLAN giao tiếp với nhau
Để các máy tính thuộc các VLAN khác nhau có thể giao tiếp với nhau, chúng ta cần tạo 1 policy cho phép điều này xảy ra.
Để tạo vào Rules and policies > Firewall rules > nhấn Add firewall rule > New firewall rule và tạo với các thông số như hình sau.
5.2.Switch
5.2.1.Tạo các VLAN và assign port vào VLAN
Chúng ta sẽ thực hiện tạo VLAN 10,20,30 và assign các port vào đúng VLAN theo như sơ đồ mạng.
Tạo VLAN 10 và assign port Gi0/1 vào bằng câu lệnh sau.
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#no shutdown
Tượng tự tạo VLAN 10 và assign port Gi0/2 vào bằng câu lệnh sau.
Switch(config)#vlan 20
Switch(config-vlan)#interface gigabitEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#no shutdown
Tượng tự tạo VLAN 30 và assign port Gi0/3 vào bằng câu lệnh sau.
Switch(config)#vlan 30
Switch(config-vlan)#exit
Switch(config)#interface gigabitEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#no shutdown
5.2.2.Thực hiện trunk port
Chúng ta sẽ cấu hình trunk cho port Gi0/0 bằng câu hình sau.
Switch(config)#interface gigabitEthernet 0/0
Switch(config-if)#switchport trunk encapsulation dot1Q
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shutdown
5.3.Kiểm tra kết quả.
PC 1 đã nhận được IP từ DHCP Pool của VLAN 10.
Tương tự PC 2 và PC 3 cũng nhận được IP từ DHCP Pool của VLAN 20 và VLAN 30.
Chúng ta sẽ kiểm tra khả năng giao tiếp giữa các VLAN bằng cách ping giữa các máy tính PC 1, PC 2 và PC 3.
Kết quả ping từ PC 3 sang PC 2.
Kết quả ping từ PC 1 sang PC 2.
Kết quả ping từ PC 1 sang PC 3.
Kết quả cho thấy các máy tính tại các vlan khác nhau đều có thể giao tiếp với nhau.