Phân chia các VLAN

CHƯƠNG 3: THIẾT KẾ HỆ THỐNG VÀ TRIỂN KHAI THỬ NGHIỆM

3.3. Thiết kế mô hình logic

3.3.2. Phân chia các VLAN

Trong h ệ thống có các t ng mầ ạng được chia thành các VLAN khác nhau, yêu c u cầ ủa hệthống có s phân quy n gi a các VLAN. ự ề ữ

Thực hiện xây dựng một hệ thống mạng nội bộ trong phạm vi một toà nhà 3 tầng có 7 VLAN được thiết kế như sau:

VLAN 100: Dùng cho h ệthống khách (Guest), ch kỉ ết nố ới v i Internet.

VLAN 20: Dùng cho h ệthống Tài chính K toán. – ế

VLAN 30: Dùng cho h ệ thống Qu n lý gả ồm Trưởng, phó phòng đào tạo, Thanh tra GD.

VLAN 40: Dùng cho h ệ thống T ổ chức cán bộ, Công đoàn, Đoàn đội và Văn phòng.

VLAN 50: Dùng cho h ệ thống các b ộ phận chuyên môn (M m №n, Ti u hầ ể ọc, THCS, GD thường xuyên, B ph n Ph c p Giáo D c). ộ ậ ổ ậ ụ

VLAN 60: Dùng cho h ệthống Qu n lý CSVC ả –Trang thiết bị. VLAN 70: Dùng cho h ệthống phòng LAB.

Trong tương lai, khi PGD m r ng các phòng ban chở ộ ức năng, có thể thi t l p ế ậ t ng VLAN riêng cho các ban nghành. ừ

3.3.3. Thiết lập địa chỉ cho các VLAN - Bảng chia địa chỉ ip.

VLAN Địa chỉ ip

VLAN 210 Kết nối Router 172.16.0.0/29

VLAN 200 Server 172.16.1.1/24

VLAN 201 VLAN DMZ 172.16.201.0/24

VLAN 20 Tài chính kế toán 172.16.20.0/24

VLAN 30 Quản lý 172.16.30.0/24

VLAN 40 Văn Phòng 172.16.40.0/24

VLAN 50 Bộ phận Chuyên môn 172.16.50.0/24

VLAN 60 QL CSVC 172.16.60.0/24

VLAN 70 LAB IT 172.16.70.0/24

VLAN 100 Wifi-Guest 172.16.100.0/24

Bảng 3.1. Bảng chia địa chỉ ip - Tất cả DG các VLAN đều là .254.

3.3.4. Bảng địa chỉ NAT

Để tăng tính bảo mật tác giả sử dụng 2 lần NAT, lần 1 NAT trên Router và lần 2 NAT trên Firewall.

Hình 3.2. Thực hiện 2 lần NAT 3.3.4.1. NAT trên Router

Dịch vụ IP Public Port

Public IP Private Port Private Mail SMTP (Gửi) 203.1.1.2 25 192.168.5.6 25 Mail POP3 (Nhận) 203.1.1.2 110 192.168.5.6 110

33

HTTP 203.1.1.2 80 192.168.5.5 80

HTTPs 203.1.1.2 443 192.168.5.5 443

Bảng 3.2. Bảng địa chỉ NAT trên Router 3.3.4.2. NAT trên Firewall

Dịch vụ IP Public IP Private Mail SMTP (Gửi) 192.168.5.6 172.16.201.6

(IP của Mail Server) Mail POP3

(Nhận) 192.168.5.6 172.16.201.6 (IP của Mail Server)

HTTP 192.168.5.5 172.16.201.5

(IP của Web Server)

HTTPs 192.168.5.5 172.16.201.5

(IP của Web Server) Bảng 3.3. Bảng địa chỉ NAT trên Firewall

3.3.5. Xây dựng chiến lược khai thác và quản lý tài nguyên mạng

Chiến lược này nhằm xác định ai được quyền làm gì trên hệ thống mạng. Ví dụ trưởng phòng sẽ được quyền gì, quyền của bộ phận chuyên môn nghiệp vụ khác bộ phận phục vụ như thế nào 

 Thông thường, người dùng trong mạng được nhóm lại thành từng nhóm và việc phân quyền được thực hiện trên các nhóm người dùng. Ví dụ nhóm Quản lý, nhóm Tài chính kế toán, nhóm bộ phận chuyên môn… 

Phân chia các VLAN).

3.3.6. Ràng buộc về băng thông (bandwidth) tối thiểu trên mạng

Giả sử trung bình mỗi một nhân viên sử dụng là 0,5Mbps, PGD có 76 nhân viên, sử dụng với hiệu suất là 70%. Vậy thì băng thông tối thiểu trên mạng với hiệu suất 100% sẽ là:

0,5 Mbps x 76 x 100/70 = 54,29 Mbps

Do đó PGD nên thuê một đường truyền Internet từ nhà cung cấp VNPT ới v đường truyền Internet có tốc độ tương đối cao 55 Mbps để phục vụ công việc.

3.3.7. Thiết kế an ninh hệ thống và mức độ yêu cầu an toàn mạng

ng l a: S d ử ụng tường lửa ở ớp phía ngoài nằm ngay sau bộ định tuyến kết l nối với các mạng diện rộng khác nhằm bảo vệ sự thâm nhập từ bên ngoài vào trong mạng của trung tâm. Trên cơ sở phân tích, tác giả sẽ sử dụng   

 với mục đích tạo ra các luật để ngăn chặn các kết không được phép vào hệ thống mạng của Phòng Giáo Dục. Chặn cấm các trang Web độc hại. Quản lý việc truy nhập Internet.

Nguy cơ virus đến chủ yếu tập trung qua hai đường cổng Internet và các máy trạm. Một giải pháp phòng chống tập trung theo mô hình Client- Server cộng với giải pháp quét ngăn ngừa mã độc hại qua kết nối Internet có thể đáp ứng được nhu cầu.

3.4. Xây dựng mô hình physic

3.4.1. Sơ đồ physic

Hình 3.3. Sơ đồ physic

STT Thiết bị Cổng kết nối Thiết bị kết nối tới 1. Router Internet Gi 0/1 Nối ra Internet do ISP cung cấp

Gi 0/0 Firewall

2. Firewall

Gi 1/3 Router

Gi 1/1 và Gi 1/2 Core Switch

Fa 0/9 Web Server DMZ của vùng DMZ Fa 0/10 Mail Server DMZ của vùng DMZ

3. Core Switch

Fa 0/2 Access Switch 1 của tầng 1 Fa 0/3 Access Switch 2 của tầng 1 Fa 0/4 Access Switch 1 của tầng 2 Fa 0/5 Access Switch 2 của tầng 2 Fa 0/7 Access Switch 2 của tầng 3ầ

Gi 0/1 và Gi 0/2 Firewall

Fa 0/23 AD Server của vùng Server Fa 0/24 DHCP Server của vùng Server

4. Các Access Switch Gi 0/1 Core Switch

Bảng 3.4. Bảng mô tả các cổng kết nối

35 3.4.2. Các Server cần thiết trong hệ thống

Server: Đóng vai trò là Active directory, phân giải tên miền, cấp IP cho các VLAN, làm File Server chia sẻ cho các User, dùng để lưu trữ ữ d u trên Wliệ ebsite . …

3.4.2.1. DHCP Server: Để cung cấp địa ch IP cho toàn b h th ng vì m i thi t ỉ ộ ệ ố ọ ế b k t n i vào mị ế ố ạng đều c n mầ ột địa ch IP và a ch ỉ đị ỉ IPđó thường được c p phát bấ ởi máy ch DHCP (DHCP Server) tích h p trên Router. ủ ợ

3.4.2.2. DNS Server: Phòng giáo d c s dụ ử ụng Domain để ễ d dàng qu n lý các ả máy tr m cạ ủa nhân viên trong cơ quan. DNSServer được dựng lên để phân gi i nh ng ả ữ Domain đó.

3.4.2.3. File Server: D ữ liệu được qu n lý 1 cách tả ập trung, đồng th i b o mờ ả ật d u cữliệ ủa cơ quan khi mỗi User đều được cấp quy n h n truy c p riêng. ề ạ ậ

3.4.2.4. Web Server: Là h ệ thống dùng để lưu trữ ữ d u trên Websiteliệ , để phục v nhân viên truy c p vào Website mụ ậ ột cách đơn giản, d dàng. ễ

3.4.2.5. Mail Server: Dùng để trao đổi, g i Mail gi a các b phử ữ ộ ận trong cơ quan v i nhau và nhân viên có th nh n Mail và gớ ể ậ ửi Mail bình thường khi đi công tác xa.

3.4.3. Các thiết bị phần cứng

4.1.3.1. Router: Để ế ố k t n i ra vùng Internet. S d ng 1 con Router d ch v tích ử ụ ị ụ h p (29) c a Cisco 2911 cung c p d ch v d u, tho i, video và ng d ng b o mợ ủ ấ ị ụ ữ liệ ạ ứ ụ ả ật cao. Các tính năng chính bao gồm: 3 c ng Ethernet 10/100/1000 tích h p (ch dành cho ổ ợ ỉ RJ-45).

3.4.3.2. Core Switch: Để ế ố k t n i các Switch Access, Firewall, Router. S d ng 1 ử ụ Core Switch 2960-24 ports.

3.4.3.3. Access Switch: Đóng vai trò chia VLAN, k t n i vào máy tr m, wifi.... ế ố ạ S d ng 6 Acess Switch 2960-24 ports. ử ụ

3.4.3.4. Cáp: Chọn cáp dùng cho h ệ thống là lo i cáp m ng CAT5e ạ ạ có lõi đặc với băng thông lên đến 100Mhz, đặc biệt được h ỗtrợEthernet Gigabit tốc độ cao với kh ả năng truyề ải lên đến t n 1Gb/s.

3.4.3.5. Firewall: Để ch n cặ ấm các trang Web độc h i và qu n lý vi c truy nh p ạ ả ệ ậ Internet. Sử ụ d ng 1 Wirewall Cisco lo i ASA 5506-X, 8 c ng, Công ngh Gigabit ạ ổ ệ Ethernet, chuẩn m ng 10/100 / 1000Base-T. ạ

3.4.3.Phát Wifi cho khách và cho nhân viên trong các t ng. S ầ ử d ng 6 Wifi lo i WRT300N. ụ ạ

3.4.3Dùng đểliên k t gi a hai Switch ho c gi a m t Router và ế ữ ặ ữ ộ m t Switch truy n tộ ề ải lưu lượng của nhiều VLAN.

3.5. Triển khai

3.5.1. Lắp đặt phần cứng

Cài đặt phần cứng liên quan đến việc đi dây mạng và lắp đặt các thiết bị nối kết mạng (Switch, Router) vào đúng vị trí như trong thiết kế mạng đã mô tả.

3.5.2. Cài đặt phần mềm

Tiến trình cài đặt phần mềm gồm:

- Cài đặt hệ điều hành mạng cho các Server, các máy trạm.

- Cài đặt và cấu hình các dịch vụ mạng.

- Tạo người dùng, phân quyền sử dụng mạng cho người dùng. Tiến trình cài đặt và cấu hình phần mềm phải tuân thủ theo sơ đồ thiết kế mạng mức vật lý đã mô tả.

- Việc phân quyền cho người dùng heo theo đúng chiến lược khai thác và quản t lý tài nguyên mạng.

3.6. Giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0 Để mô phỏng hệ thống mạng cho PGD & ĐT Gia Lâm tôi có giả lập trên p ần h mềm Cisco Packet Tracer 7.0.

Hình 3.4. Giả lập trên phần mềm Cisco Packet Tracer 7.0

Trong phần mềm này, tôi đã thiết kế các tính năng thỏa mãn các yêu cầu của bài toán:

- Các VLAN có thể truy cập được với nhau trừ VLAN 70 là VLAN của phòng LAB nên không cho truy cập nội bộ.

- Wifi khách chỉ truy cập được Internet không cho phép truy cập nội bộ.

- Riêng VLAN 30 là VLAN quản lý nên cho phép truy cập vào trang facebook.com, còn các VLAN khác không được phép truy cập.

- Các VLAN trao đổi được thư nội bộ với nhau (VD gửi và nhận được cho pgd1@pgd-gl.sgdhn.edu.vn sgd1@sgdhn.edu.vn và với bgd1@edu.vn)

- Tất cả các VLAN (trừ VLAN 70) đều truy cập được vào trang nội bộ của PGD www.pgd-gl.sgdhn.edu.vn, vào trang của SGDHN www.sgdhn.edu.vn,vào trang của Bộ giáo dục www.edu.vn.

- Có 2 dịch vụ đưa ra ngoài là Email và HTTP.

3.6.1. Xây dựng các VLAN

Để tăng k ả năng bảh o m t cao: Ví d , các máy tính trong VLAN 70 phòng LAB ậ ụ chỉ có th liên lể ạc được v i nhau. Các máy VLAN 70 phòng LAB không th k t n i ớ ở ể ế ố

37 được v i máy tính VLAN kh ớ ở ác.

Để phân c p phân quy n trong h th ng do các thi t b các VLAN khác nhau ấ ề ệ ố ế ị ở không th truy nh p vào nhau (tr khi ta s d ng Router nể ậ ừ ử ụ ối giữa các VLAN).

3.6.1.1. 

Mỗi VLAN thiết kế có ít nhất 2 trạm làm việc xa nhau ở mặt vật lý (đường truyền phải đi qua các Switch trung gian). Trong phần giả lập hệ thống mạng LAN trên phần mềm Cisco Packet Tracer 7.0, tác giả có giả định 3 ví dụ theo yêu cầu trên còn các VLAN còn lại cách làm tương tự.

3.6.1.1.1. Mô tả sơ đồ VLAN 30

Giả sử với VLAN 30 có 2 PC là VLAN30-PC1 cắm trên Tầng 1_SW2 và VLAN30-PC3 cắm trên Tầng 3_SW2. Do VLAN30-PC1 và VLAN30-PC3 cùng thuộc VLAN 30 nên chúng có thể truy cập với nhau trong cùng VLAN nội bộ, còn VLAN70- PC1 mặc dù được cắm trên Tầng 3_SW2 giống VLAN30 PC3 nhưng lại không thuộc - VLAN 30 nên VLAN70-PC1 không thể truy cập được với VLAN30-PC1 và VLAN30- PC3.

Hình 3.5. VLAN 30 gồm 2 PC là VLAN30-PC1 và VLAN30 PC3- 3.6.1.1.2. Mô tả sơ đồ VLAN 70

Giả định có 2 PC thuộc VLAN70 là VLAN70 PC1 cắm trên Tầng 3_SW2 và - VLAN70-PC2 cắm trên Tầng 1_SW2, và theo tính chất của VLAN thì VLAN70-PC1 và VLAN70-PC2 có thể truy cập được với nhau.

Hình 3.6. VLAN 70 gồm 2 PC là VLAN70-PC1 và VLAN70 PC2-

3.6.1.1.3. Mô tả sơ đồ VLAN Wifi khách

Với VLAN Wifi khách giả lập có 3 PC là Guest_Lap1 cắm trên Tầng 1_SW2, Guest_Lap2 cắm trên Tầng 2_SW2 và Guest_Lap3 cắm trên Tầng 3_SW2 và theo tính chất của VLAN thì 3 PC này có thể truy cập được với nhau.

Hình 3.7. VLAN Wifi khách gồm 3 PC là Guest 3-Lap 1, Guest 3-Lap 2 và Guest 3-Lap 3

3.6.1.1.4. Mô tả sơ đồ các VLAN có thể truy cập được với nhau trừ VLAN 70 là VLAN của phòng LAB nên không cho truy cập nội bộ.

Trong vùng nội bộ có 7 VLAN như trong mục 3.3.2. Phân chia các VLAN tác giả đã trình bày chi tiết. Trong ví dụ minh họa sau đây, tác giả có giả định 3 PC là VLAN30-PC1, VLAN 40-PC1, VLAN50-PC1 có thể trao đổi với nhau và VLAN70- PC1 không cho phép truy cập các VLAN nội bộ.

Trong sơ đồ ví dụ VLAN30 PC1 cắm trên Tầng 1_SW2, VLAN40 PC1 cắm - - trên Tầng 2_SW1, VLAN50 PC1 cắm trên Tầng 2_SW2 và VLAN70 PC1 cắ- - m trên Tầng 3_SW2

39

Hình 3.8. VLAN30-PC1, VLAN40-PC1 và PC50-PC1 có thể truy cập đƣợc với nhau và VLAN70-PC1 không truy cập đƣợc VLAN30-PC1, VLAN40-PC1 và

PC50 PC1- 3.6.1.2. 

Để cấu hình cho các VLAN có thể truy cập được với nhau trừ VLAN 70 là VLAN của phòng LAB nên không cho truy cập nội bộ, thì tác giả sẽ thực hiện các bước:

- Cấu hình Interface cho VLAN30 trên Coreswitch.

- Cấu hình Interface cho VLAN40 trên Coreswitch.

- Cấu hình Interface cho VLAN50 trên Coreswitch.

- Cấu hình Interface cho VLAN70 trên Coreswitch.

- Thực hiện Access list cấm cho VLAN 70 trên Coreswitch.

Cách cấu hình VLAN gồm các bước: Cấu hình Gateway trên Coreswitch, cấu hình cổng Trunk cho các VLAN, cấu hình các cổng Access Switch cho các VLAN. Ở mục 3.6N, tác giả đã mô tả 3VLAN là VLAN 30, VLAN 70 và VLAN Wifi khách, do các bước cấu hình của các VLAN giống nhau nên tác giả xin trình bày mẫu cách cấu hình cho VLAN 30, các VLAN khác cách làm tương tự.

3.6.1.2.1. Cấu hình Gateway trên Coreswitch

- Cấu hình Gateway trên Coreswitch cho VLAN 30 interface Vlan30

mac-address 0001.42c8.6202

ip address 172.16.30.254 255.255.255.0 ip helper-address 172.16.1.1

Hình 3.9. Cấu hình Gateway trên Coreswitch cho VLAN 30 3.6.1.2.2. Cấu hình cổng Trunk cho các VLAN

- Trunk cho VLAN 30

+ Cho Trunk nối từ Core Switch tới Access tầng 1 (Cổng Fa 0/3) interface FastEthernet0/3

switchport trunk encapsulation dot1q switchport mode trunk

+ Cho Trunk nối từ Core Switch tới Access tầng 3 (Cổng Fa 0/7) interface FastEthernet0/7

switchport trunk encapsulation dot1q switchport mode trunk

Hình 3.10. Cấu hình cổng Trunk cho VLAN 30

41

3.6.1.2.3. Cấu hình các cổng Access Switch cho các VLAN -các  Switch cho VLAN 30

+ Với Access Switch 2-Tầng 1 interface FastEthernet0/1 switchport access vlan 30 switchport mode access

Hình 3.11. Cấu hình Access Switch 2-Tầng 1 cho VLAN 30 + Với Access Switch 2-Tầng 3

interface FastEthernet0/1 switchport access vlan 70 switchport mode access

!

interface FastEthernet0/2 switchport access vlan 30 switchport mode access

Hình 3.12. Cấu hình Access Switch 2-Tầng 3 cho VLAN 30

- ccess S -





+ Cấu hình trên Core Switch:

interface FastEthernet0/7

switchport trunk encapsulation dot1q switchport mode trunk

!

Hình 3.13. Cấu hình cổng Trunk trên Core Switch nối với Switch 2-Tầng 3 + Cấu hình trên Access Switch:

interface GigabitEthernet0/1 switchport mode trunk

!

Hình 3.14. Cấu hình cổng Trunk trên Switch 2-Tầng 3 nối với Core Switch 3.6.1.3. 

Kiểm thử VLAN đã xây dựng gồm các bước: Kiểm tra cấp phát địa chỉ ip cho các máy của VLAN, kiểm tra phân quyền và cấm. Do các bước kiểm thử của các VLAN giống nhau nên tác giả xin trình bày mẫu cách kiểm thử VLAN 30, các VLAN khác cách làm tương tự.

3.6.1.3.1. Kiểm thử VLAN 30

- VLAN 30: VLAN 3



+ Với VLAN 30-PC1 C:\>ipconfig /renew

43

IP Address...: 172.16.30.20 Subnet Mask...: 255.255.255.0 Default Gateway...: 172.16.30.254 DNS Server...: 172.16.1.1

Nhƣ vậy VLAN 30-PC1 nhận đúng dải địa chỉ của VLAN 30.

Hình 3.15. Kiểm tra cấp IP cho VLAN 30-PC1 + Với VLAN 30-PC3

C:\>ipconfig /renew

IP Address...: 172.16.30.21 Subnet Mask...: 255.255.255.0 Default Gateway...: 172.16.30.254 DNS Server...: 172.16.1.1

Nhƣ vậy VLAN 30 PC3 nhận đúng dải địa chỉ của VLAN 30.-

Hình 3.16. Kiểm tra cấp IP cho VLAN 30-PC3 - 

+ VLAN 30-PC1 và VLAN 30-PC3 có thể truy cập với nhau. (VLAN 30-PC1)

C:\>ping 172.16.30.21

Pinging 172.16.30.21 with 32 bytes of data:

Reply from 172.16.30.21: bytes=32 time=1ms TTL=128 Reply from 172.16.30.21: bytes=32 time<1ms TTL=128 Reply from 172.16.30.21: bytes=32 time<1ms TTL=128 Reply from 172.16.30.21: bytes=32 time=3ms TTL=128

Ping statistics for 172.16.30.21:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 3ms, Average = 1ms Kết quả VLAN 30-PC1 ping đƣợc qua VLAN 30-PC3.

Hình 3.17. VLAN 30-PC1 ping đƣợc qua VLAN 30-PC3 (VLAN 30-PC3)

C:\>ping 172.16.30.20

Pinging 172.16.30.20 with 32 bytes of data:

Reply from 172.16.30.20: bytes=32 time=1ms TTL=128 Reply from 172.16.30.20: bytes=32 time<1ms TTL=128 Reply from 172.16.30.20: bytes=32 time=1ms TTL=128 Reply from 172.16.30.20: bytes=32 time<1ms TTL=128 Ping statistics for 172.16.30.20:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 1ms, Average = 0ms Kết quả VLAN 30-PC3 ping đƣợc qua VLAN 30-PC1.

Hình 3.18. VLAN 30-PC3 ping đƣợc qua VLAN 30-PC1

45

VLAN70-+ PC1 không thể truy cập được với VLAN30-PC1 và VLAN30-PC3.

(VLAN 70-PC1) C:\>ping 172.16.30.20

Pinging 172.16.30.20 with 32 bytes of data:

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Ping statistics for 172.16.30.20:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Kết quả VLAN 70-PC1 không ping đƣợc qua VLAN 30-PC1.

C:\>ping 172.16.30.21

Pinging 172.16.30.21 with 32 bytes of data:

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Reply from 172.16.70.254: Destination host unreachable.

Ping statistics for 172.16.30.21:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Kết quả VLAN 70 PC1 không ping đƣợc qua VLAN 30- -PC3.

Hình 3.19. VLAN 70-PC1 không ping đƣợc qua VLAN 30-PC1 và VLAN 30-PC3 3.6.1.3.2. Kiểm thử các VLAN có thể truy cập được với nhau trừ VLAN 70 là VLAN của phòng LAB nên không cho truy cập nội bộ.

(VLAN 30-PC1) C:\>ping 172.16.40.20

Pinging 172.16.40.20 with 32 bytes of data:

Reply from 172.16.40.20: bytes=32 time=11ms TTL=127 Reply from 172.16.40.20: bytes=32 time=1ms TTL=127 Reply from 172.16.40.20: bytes=32 time=11ms TTL=127 Reply from 172.16.40.20: bytes=32 time=11ms TTL=127 Ping statistics for 172.16.40.20:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 11ms, Average = 8ms C:\>ping 172.16.50.102

Pinging 172.16.50.102 with 32 bytes of data:

Reply from 172.16.50.102: bytes=32 time<1ms TTL=127 Reply from 172.16.50.102: bytes=32 time=11ms TTL=127 Reply from 172.16.50.102: bytes=32 time=11ms TTL=127 Reply from 172.16.50.102: bytes=32 time=11ms TTL=127 Ping statistics for 172.16.50.102:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 11ms, Average = 8ms

Kết quả VLAN 30-PC1 ping đƣợc qua 2 PC là VLAN40-PC1 và VLAN50- PC1.

Hình 3.20. VLAN 30-PC1 ping đƣợc qua 2PC là VLAN40-PC1 và VLAN50-PC1

47 C:\>ping 172.16.70.20

Pinging 172.16.70.20 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 172.16.70.20:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Kết quả VLAN 30-PC1 không ping đƣợc qua VLAN70-PC1.

Hình 3.21. VLAN 30-PC1 không ping đƣợc qua VLAN70-PC1 (VLAN 40-PC1)

C:\>ping 172.16.30.20

Pinging 172.16.30.20 with 32 bytes of data:

Reply from 172.16.30.20: bytes=32 time<1ms TTL=127 Reply from 172.16.30.20: bytes=32 time<1ms TTL=127 Reply from 172.16.30.20: bytes=32 time<1ms TTL=127 Reply from 172.16.30.20: bytes=32 time<1ms TTL=127 Ping statistics for 172.16.30.20:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms C:\>ping 172.16.50.102

Pinging 172.16.50.102 with 32 bytes of data:

Reply from 172.16.50.102: bytes=32 time<1ms TTL=127 Reply from 172.16.50.102: bytes=32 time<1ms TTL=127 Reply from 172.16.50.102: bytes=32 time<1ms TTL=127 Reply from 172.16.50.102: bytes=32 time<1ms TTL=127 Ping statistics for 172.16.50.102:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Kết quả VLAN 40-PC1 ping đƣợc qua 2 PC là VLAN30-PC1 và VLAN50- PC1.

Hình 3.22. VLAN 40-PC1 ping đƣợc qua 2 PC là VLAN30-PC1 và VLAN50-PC1 C:\>ping 172.16.70.20

Pinging 172.16.70.20 with 32 bytes of data:

Request timed out.

Request timed out.

Ping statistics for 172.16.70.20:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

Kết quả VLAN 40-PC1 không ping đƣợc qua VLAN70-PC1.

Hình 3.23. VLAN 40-PC1 không ping đƣợc qua VLAN70-PC1 (VLAN 50-PC1)

C:\>ping 172.16.30.20

Pinging 172.16.30.20 with 32 bytes of data:

Reply from 172.16.30.20: bytes=32 time=13ms TTL=127 Reply from 172.16.30.20: bytes=32 time=11ms TTL=127 Reply from 172.16.30.20: bytes=32 time=24ms TTL=127