Giới thiệu chung về định tuyến giữa các VLAN
Sau khi bạn biết cấu hình các VLAN trên một switch, để các VLAN này có thể
truyền thông được với nhau cần phải cấu hình định tuyến giữa các VLAN thường
gọi là inter-VLAN routing.
Inter-VLAN routing được hiểu là việc xử lý chuyển tiếp lưu lượng mạng từ một
VLAN này tới một VLAN khác sử dụng một thiết bị lớp 3 (router hoặc switch lớp
3). Mỗi VLAN là một subnet IP duy nhất trên mạng.
Hình vẽ sau chỉ ra, lưu lượng từ PC1 trên VLAN10 được định tuyến đến router R1,
R1 chuyển tiếp gói tin đến PC3 trên VLAN 30
Hình 5.1 Định tuyến giữa hai VLAN 10 và VLAN 30
Định tuyến LAN thường sử dụng các kết nối đến giao diện vật lý trên router. Vì mỗi
VLAN là một IP subnet tương đương với một mạng nên để router hiểu được địa chỉ
mạng, mỗi VLAN cần kết nối đến router sử dụng một giao diện vật lý. Các cổng
trên switch kết nối đến router sẽ có phương thức hoạt động là access mode (untag) . Hình dưới đây chỉ ra việc truyền thông giữa hai VLAN thông qua một router
Hình 5.2 Sử dụng mỗi giao diện kết nối đến một VLAN trên router
PC1 trên VLAN10 truyền thông với PC3 trên VLAN30 thông qua router R1
PC1 và PC3 là trên hai VLAN khác nhau và có địa chỉ IP thuộc hai subnet khác
nhau
Router R1 có hai giao diện kết nối đến mỗi VLAN
PC1 gửi lưu lượng unicast đến PC3 trên Switch S2 trên VLAN10, sau đó được
switch S2 chuyển tiếp lưu lượng qua gia diện trunk đến switch S1.
Sau đó Switch S1 chuyển tiếp lưu lượng unicast đến router R1 trên giao diện F0/0
Router loại bỏ khung và kiểm tra địa chỉ IP đích trong gói tin, so sánh với bảng định
tuyến sau đó gửi đến giao diện F0/1, đến VLAN 30
Router chuyển tiếp lưu lượng unicast đến switch S1 trên VLAN 30.
Sau đó Switch S1 chuyển tiếp lưu lượng unicast đến switch S2 thông qua liên kết trunk và sau đó forward lưu lượng unicast đến PC3 trên VLAN 30.
Định tuyến inter-VLAN routing trên yêu cầu nhiều giao diện vật lý trên cả router và switch. Tuy nhiên, không phải mọi cấu hình router đều phải sử dụng nhiều giao diện
cho việc inter-VLAN routing. Vài phần mềm router cho phép cấu hình giao diện router như các liên kết trunk.
"Router-on-a-stick" là một cách cấu hình sử dụng một giao diện vật lý để định tuyến lưu lượng cho nhiều VLAN trên một mạng. Hình dưới đây miêu tả cách cấu hình trên
Hình 5.3 Sử dụng một giao diện vật lý trên router định tuyến cho nhiều VLAN
Giao diện router được cấu hình để hoạt động như một liên kết trunk và kết nối tới
cổng switch được cấu hình mode trunk. Router thực hiện inter-VLAN routing bằng
cách chấp nhận lưu lượng VLAN tagged trên giao diện trunk. Giao diện trên router
được chia thành các subinterfaces. Router chuyển tiếp lưu lượng VLAN tagged đến đích qua cùng một giao diện vật lý.
Subinterface là các giao diện ảo, những giao diện này được cấu hình bằng phần
mềm trên router. Subinterface được cấu hình cho các subnet khác nhau kết hợp với
VLAN tagged. Ví dụ miêu tả hoạt động của inter-VLAN-routing như sau:
PC1 trên VLAN10 truyền thông với PC3 trên VLAN30 thông qua router R1 sử
dụng một giao vật lý duy nhất trên router. PC1 gửi lưu lượng unicast đến switch S2
Switch S1 sau đó gán lưu lượng unicast với PVID là 10 và chuyển tiếp lưu lượng unicas đến liên kết trunk tới switch S1.
Switch S1 sau đó chuyển tiếp lưu lượng tagged ra giao diện trunk đến cổng F0/5 tới
router R1.
Router R1 nhận lưu lượng tagged trên VLAN10 và định tuyến tới VLAN30 sử dụng
cấu hình subinterfaces của nó.
Lưu lượng unicast được tagged với VLAN30 khi được gửi ra trên giao diện của router đến switch S1.
Switch S1 chuyển tiếp lưu lượng unicast tagged ra cổng trunk khác đến switch S2.
Switch S2 loại bỏ VLAN tag của khung unicast và chuyển tiếp khung đến PC3 trên cổng F0/6.
Sử dụng router làm một Gateway
Định tuyến truyền thống yêu cầu nhiều giao diện vật lý cho việc inter-VLAN routing. Mỗi giao diện được cấu hình một địa chỉ IP thuộc một subnet của một
VLAN kết nối tới nó. Các thiết bị mạng kết nối đến mỗi VLAN có thể truyền thông
với router sử dụng giao diện vật lý kết nối đến cùng VLAN. Trong cách cấu hình này, thiết bị mạng có thể sử dụng router như một gateway để truyển thông với các
Hình 5.4 Chi tiết cấu hình
Cấu hình trên hai giao diện của Router như hình dưới đây
Kiểm tra bảng định tuyến trên router
Cấu hình router on a stick
Khi cấu hình inter-VLAN routing sử dụng router-on-a-stick model thì giao diện vật
lý trên router kết nối với cổng trên switch hoạt động ở mode trunk. Các subinterfaces được tạo cho một VLAN duy nhất/Subnet trên mạng. Mỗi
subinterface được chỉ định một địa chỉ IP và VLAN tag mà giao diện tương tác.
1. Các bài tập thực hành
Bài tập thực hành tổng hợp các kỹ năng đã học về switch
Cho sơ đồ mạng dưới đây
Bảng địa chỉ
Thiết bị
Giao
diện Địa chỉ Subnet Gateway
S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1 S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1 S3 VLAN 99 172.17.99.13 255.255.255.0 172.17.99.1
Fa0/0 See Interface Configuration Table N/A R1
Fa0/1 255.255.255.0 N/A
PC1 NIC 172.17.10.21 255.255.255.0 172.17.10.1 PC2 NIC 172.17.20.22 255.255.255.0 172.17.20.1
Server NIC 172.17.50.254 255.255.255.0 172.17.50.1
Chỉ định Port trên switch S2
Port Phương thức hoạt động Network Fa0/1 - 0/5 802.1q Trunks (Native
VLAN 99) 172.17.99.0 /24 Fa0/6 - 0/10 VLAN 30 – Guests(Default) 172.17.30.0 /24 Fa0/11 - 0/17 VLAN 10 – Faculty/Staff 172.17.10.0 /24
Fa0/18 - 0/24 VLAN 20 - Students 172.17.20.0 /24
Bảng cấu hình các subinterface R1
Subinterfaces VLAN Địa chỉ IP
Fa0/0.1 VLAN 1 172.17.1.1 /24
Fa0/0.10 VLAN 10 172.17.10.1 /24
Fa0/0.20 VLAN 20 172.17.20.1 /24
Fa0/0.30 VLAN 30 172.17.30.1 /24
Fa0/0.99 VLAN 99 172.17.99.1 /24
Nhiệm vụ 1: Thực hiện cấu hình cơ bản cho Switch
Cấu hình S1, S2, S3 theo bảng địa chỉ
Cấu hình switch hostname Disable DNS lookup Cấu hình defautl gateway Cấy hình password
Switch>enable Switch#config term
Switch(config)#hostname S1 S1(config)#enable secret class S1(config)#no ip domain-lookup S1(config)#ip default-gateway 172.17.99.1 S1(config)#line console 0 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#line vty 0 15 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#end
%SYS-5-CONFIG_I: Configured from console by console S1#copy running-config startup-config
Destination filename [startup-config]? [enter] Building configuration...
Bước 2: Tạo các VLANs và đặt tên cho các VLAN S1(config)#vlan 99 S1(config-vlan)#name management S1(config)#vlan 10 S1(config-vlan)name faculty-staff S1(config)#vlan 20 S1(config-vlan)#name students S1(config)#vlan 30 S1(config-vlan)#name guest S1(config-vlan)#end
Configure the following VLANS on the VTP server: VLAN
VLAN Name
VLAN 99 management
VLAN 10 faculty-staff
Bước 3 Kiểm tra các VLAN vừa tạo
S1#show vlan brief
VLAN Name Status Ports
---- --- --- --- 1 default active Fa0/1, Fa0/2, Fa0/4, Fa0/5
Fa0/10, Fa0/11, Fa0/12,Fa0/13 Fa0/14, Fa0/15, Fa0/16,Fa0/17 Fa0/18, Fa0/19, Fa0/20,Fa0/21 Fa0/ Fa0/6, Fa0/7, Fa0/8, Fa0/9 22, Fa0/23, Fa0/24, Gi0/1 Gi0/2
10 faculty/staff active 20 students active 30 guest active
99 management active
Bước4 Cấu hình trunking ports và chỉ định native VLAN cho các trunks
Cấu hình các cổng Fa0/1 đến Fa0/5 là các cổng trunk, và chỉ định VLAN 99 là native VLAN cho những trunk này.
S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99 S1(config-if)no shutdown
S1(config)#end
S2(config)#interface fa0/1
S2(config-if)#switchport mode trunk
S2(config-if)#switchport trunk native vlan 99 S2(config-if)#no shutdown
S2(config-if)#end
S3(config)#interface fa0/1
S3(config-if#switchport mode trunk
S3(config-if)#switchport trunk native vlan 99 S3(config-if)#no shutdown
Bước 5 Cấu hình địa chỉ quản lý trên 3 switch S1(config)#interface vlan99 S1(config-if)#ip address 172.17.99.11 255.255.255.0 S2(config)#interface vlan99 S2(config-if)#ip address 172.17.99.12 255.255.255.0 S3(config)#interface vlan99 S3(config-if)#ip address 172.17.99.13 255.255.255.0
Bước 6. Chỉ định cổng switch vào các VLAN trên S2, S2(config)#interface fa0/6
S2(config-if)#switchport access vlan 30 S2(config-if)#interface fa0/11
S2(config-if)#switchport access vlan 10 S2(config-if)#interface fa0/18
S2(config-if)#switchport access vlan 20 S2(config-if)#end
S2#copy running-config startup-config
Destination filename [startup-config]? [enter] Building configuration...
[OK]
Bước 7. Kiểm tra kết nối giữa các VLAN
Mở Command Prompt trên 03 PCs. • Ping from PC1 to PC2 (172.17.20.22) • Ping from PC2 to PC3 (172.17.30.23) • Ping from PC3 to PC1 (172.17.30.21)
Nhiệm vụ 2: Cấu hình các subinterface trên R1
Bước 1: Cấu hình cơ bản cho Router R1
Bước 2: Cấu hình cơ bản cho các subinterface trên giao diện fastethernet 0/0
R1(config)#interface fastethernet 0/0 R1(config-if)#no shutdown
R1(config-subif)#interface fastethernet 0/0.10 R1(config-subif)#encapsulation dot1q 10 R1(config-subif)#ip address 172.17.10.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.20 R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#ip address 172.17.20.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.30 R1(config-subif)#encapsulation dot1q 30 R1(config-subif)#ip address 172.17.30.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.99
R1(config-subif)#encapsulation dot1q 99 native
R1(config-subif)#ip address 172.17.99.1 255.255.255.0
Bước 3. Cấu hình server LAN interface trên R1. R1(config)#interface FastEthernet0/1
R1(config-if)#ip address 172.17.50.1 255.255.255.0 R1(config-if)#description server interface
R1(config-if)#no shutdown R1(config-if)#end
R1#show ip route <output omitted>
Gateway of last resort is not set 172.17.0.0/24 is subnetted, 6 subnets
C 172.17.1.0 is directly connected, FastEthernet0/0.1 C 172.17.10.0 is directly connected, FastEthernet0/0.10 C 172.17.20.0 is directly connected, FastEthernet0/0.20 C 172.17.30.0 is directly connected, FastEthernet0/0.30 C 172.17.50.0 is directly connected, FastEthernet0/1 C 172.17.99.0 is directly connected, FastEthernet0/0.99
CHƯƠNG 4
SERCURITY