Cấu hình Inter-Vlan Routing sử dụng router

Posted: May 13, 2013 in CCNA

Sau khi chia hạ tầng mạng ra thành nhiều VLAN. Trong đó mỗi VLAN là một broadcast domain, chỉ các thiết bị trong cùng một VLAN mới có thể truyền thông được với nhau. Về nguyên lý chúng ta hoàn toàn có thể kết nối các VLAN bằng cách sử dụng một thiết bị lớp 3 làm vai trò định tuyến. Thiết bị lớp 3 này có thể là router và switch layer 3. Trong bài này mình sẽ giới thiệu tới các bạn bài lab cấu hình Inter-Vlan Routing sử dụng router theo phương thức “Router on a stick”. Sơ đồ lab như sau:

Một số yêu cầu của bài lab:

  • VTP:

vtp vlan

  • VLAN:

vlan

  • Port trên switch access:

Khác

Các bước thực hiện cấu hình bài lab này như sau:

  1. Các cấu hình ban đầu cho thiết bị
  2. Cấu hình VTP
  3. Cấu hình VLAN
  4. Cấu hình Inter-Vlan Routing
  5. Cấu hình access-list để tùy chỉnh việc truy cập giữa các VLAN nếu cần thiết

Bước 1: Các cấu hình ban đầu cho thiết bị:

Thông thường trước khi cấu hình các bài lab, việc cấu hình các thông số cơ bản như hostname, password enable, cách mã hóa, password telnet, … cho thiết bị là điều rất cần thiết. Trong thực tế, việc cấu hình này sẽ ngăn chặn việc truy cập trái phép của người dùng truy cập vào thiết bị mạng:

Cấu hình này được thực hiện tương tự trên các thiết bị mạng còn lại

Bước 2: Cấu hình VTP:

Mục đích của VTP là để đồng bộ cơ sở dữ liệu về VLAN của hệ thống mạng. Giao thức này đặc biệt hữu ích khi chúng ta có mạng quy mô lớn. Việc thay đổi VLAN sẽ được thực hiện trên VTP mode server. Các thay đổi này sẽ được đồng bộ trên các thiết bị được cấu hình VTP mode client có cùng giá trị domain, password và version. Trong bài lab này, switch1 sẽ là mode server còn switch2, 3 sẽ là mode client:

Việc cấu hình trên switch2 và switch3 hoàn toàn tương tự, chỉ thay giá trị “vtp mode server” bằng “vtp mode client”

Kiểm tra cấu hình vtp:

Để đồng bộ VLAN giữa các switch, đường kết nối giữa các switch phải được cấu hình trunk như sau:

Trong bài lab này, switch1 và switch2 kết nối với nhau thông qua kết nối giữa interface fa0/1 (switch1) và fa0/1 (switch1). Chính vì vậy interface fa0/1 của switch1 và interface fa0/1 của switch2 phải được cấu hình mode trunk. Tương tự với các interface khác.

Cũng cần phải lưu ý rằng, trong mô hình “router on a stick”, interface của switch kết nối với router phải được cấu hình mode trunk (fa0/24)

Bước 3: Cấu hình VLAN:

Vì VTP đã được cấu hình trên các switch, nên chúng ta chỉ thực hiện việc add VLAN trên switch1 (mode server). Thông tin về các VLAN sẽ được đồng bộ trên các switch còn lại:

Kiểm tra VLAN sau khi cấu hình:

Thông tin VLAN trên switch2, switch3 sau khi đồng bộ:

Cấu hình access port trên switch2 và switch3 để kết nối PC và server vào mạng:

Cấu hình native vlan cho mục đích quản lý:

Kiểm tra các port trunk:

Bước 4: Cấu hình Inter-Vlan Routing trên Router:

Lưu ý:

  • Các sub-interface phải được “encapsulation dot1Q” trước khi cấu hình địa chỉ IP. Nếu không thực hiện lệnh này, bạn cũng sẽ không thể cấu hình địa chỉ IP
  • “no shutdown” interface fa0/0 sau khi cấu hình cho các sub-interface
  • Bạn không phải “no shutdown” cho các sub-interface

Kiểm tra các interface và bảng định tuyến sau khi cấu hình trên router:

Cấu hình địa chỉ IP cho các PC và server để chuẩn bị thực hiện test mạng:

Thực hiện kiểm tra kết nối giữa các VLAN. Từ PC1 (192.168.10.10) lần lượt thực hiện ping tới các thiết bị trong cùng VLAN và khác VLAN với nó:

Như vậy là việc cấu hình Inter-Vlan Routing đã đúng.

Bước 5: Cấu hình access-list để tùy chỉnh việc truy cập giữa các VLAN nếu cần thiết

Giả sử bạn muốn giới hạn quyền truy cập của một số user từ VLAN này tới các VLAN khác. Khi đó bạn phải thực hiện cấu hình access-list để thực hiện điều này. Trong bài lab này, chúng ta sẽ thực hiện chặn lệnh ping được thực hiện từ PC1 (192.168.10.10) tới các server trong VLAN 20. Ta sẽ thực hiện tạo access-list 100 và add nó vào sub-interface fa0/0.10 như sau:

Lưu ý: mặc định access-list sẽ “deny all” khi không tìm được điều kiện nào phù hợp, chính vì vậy ta phải add điều kiện sau:

để các PC khác có thể ping được tới các server trong VLAN 20

Add access-list vào sub-interface fa0/0.10:

Kiểm tra kết quả:

Như vậy kết quả đúng như chúng ta mong đợi. PC1 không thế ping được tới các thiết bị của VLAN 2 trong khi đó các PC khác vẫn có thể ping được bình thường

Trong bài tiết theo mình sẽ trình bày cách cấu hình Inter-Vlan Routing trên thiết bị switch lớp 3

Video clip cấu hình chi tiết: http://www.mediafire.com/download.php?d9g51tk5uz76xsm

Lab packet tracer: http://www.mediafire.com/download.php?7xkwk3ci7uv2tka

Hà Nội, ngày 13 tháng 05 năm 2013

ledlong

Comments
  1. Phạm Việt says:

    Cảm ơn bạn rất nhiều.Mong bạn sưu tập thêm nhiều bài viết hay như thế này nữa

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s