Định tuyến liên VLAN trên chuyển mạch lớp 3
Trong bài đăng này, sẽ mô tả một kịch bản với Switch Layer3 hoạt động như thiết bị “Định tuyến liên Vlan” cùng với hai Switch Layer2 hoạt động như chuyển mạch truy cập.
Hơn nữa, tường lửa Cisco ASA sẽ cung cấp kết nối Internet cho tất cả các mạng con nội bộ. Cổng định tuyến sẽ được cấu hình giữa Layer3 Switch và giao diện nội bộ ASA để định tuyến các gói tới internet (thông qua ASA).
Trọng tâm của bài viết này là hướng dẫn bạn cách cấu hình các thiết bị chuyển mạch Layer2 và Layer3 để cung cấp định tuyến giữa các VLAN bằng cách sử dụng các thiết bị chuyển mạch dựa trên IOS thông thường.
Ở cuối bài viết này, bạn cũng sẽ tìm thấy các lệnh cấu hình định tuyến quan trọng cho ASA và cũng như cách sử dụng Danh sách điều khiển truy cập (ACL) trên Switch Lớp 3 để kiểm soát lưu lượng (cho phép hoặc từ chối) giữa các VLAN ở Lớp3.
Đây là một kịch bản mạng khá phổ biến được nhiều mạng doanh nghiệp dùng.
Xem sơ đồ mạng như bên dưới:
![[IMG]](https://i.imgur.com/HVzWjyh.jpg)
Giao diện Fa0 / 48 của Switch Layer3 được định cấu hình là Cổng định tuyến với địa chỉ IP 10.0.0.1 và được kết nối với giao diện bên ASA (10.0.0.2).
Hai Vlan cần được tạo trên các Switch L2 và L3, Vlan10 và Vlan20. Tất nhiên, bạn có thể mở rộng kịch bản này với nhiều Vlans hơn và nhiều thiết bị chuyển mạch Lớp 2 hơn nếu cần.
Trên Layer3 Switch Cisco, đối với Vlan10, chúng ta sẽ tạo SVI với địa chỉ IP 10.10.10.10 và đối với Vlan20 là SVI với địa chỉ IP 10.20.20.20. Hai địa chỉ IP này sẽ đóng vai trò là địa chỉ cổng mặc định (default gateway) cho các máy thuộc Vlan10 và Vlan20 trên các thiết bị chuyển mạch Layer2 tương ứng.
Nghĩa là, các máy được kết nối với Vlan10 trên các thiết bị chuyển mạch L2 sẽ có địa chỉ IP 10.10.10.10 làm cổng mặc định (default gateway). Tương tự, các máy được kết nối với Vlan20 trên các chuyển mạch sẽ có địa chỉ IP 10.20.20.20 làm cổng mặc định của chúng.
Lưu lượng giữa Vlan10 và Vlan20 sẽ được định tuyến bởi L3 Switch (InterVlan Routing). Ngoài ra, tất cả các giao diện kết nối ba thiết bị chuyển mạch phải được định cấu hình là Cổng Trunk để cho phép các khung được gắn thẻ Vlan10 và Vlan20 đi qua giữa các thiết bị chuyển mạch.
Cấu hình thiết bị chuyển mạch Cisco L2(cấu hình giống nhau cho cả hai thiết bị chuyển mạch)
! Create VLANs 10 and 20 in the switch database
Layer2-Switch# configure terminal
Layer2-Switch(config)# vlan 10
Layer2-Switch(config)# name SALES
Layer2-Switch(config-vlan)# exit
Layer2-Switch(config)# vlan 20
Layer2-Switch(config-vlan)# name ENGINEERING
Layer2-Switch(config-vlan)# exit
! Assign Port Fe0/1 in VLAN 10
Layer2-Switch(config)# interface fastethernet0/1
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 10
Layer2-Switch(config-if)# exit
! Assign Port Fe0/2 in VLAN 20
Layer2-Switch(config)# interface fastethernet0/2
Layer2-Switch(config-if)# switchport mode access
Layer2-Switch(config-if)# switchport access vlan 20
Layer2-Switch(config-if)# exit
! Create Trunk Port Fe0/24
Layer2-Switch(config)# interface fastethernet0/24
Layer2-Switch(config-if)# switchport trunk encapsulation dot1q
Layer2-Switch(config-if)# switchport mode trunk
Layer2-Switch(config-if)# exit
Cấu hình thiết bị chuyển mạch Cisco L3
! Enable Layer 3 routing
Layer3-Switch(config) # ip routing
! Create VLANs 10 and 20 in the switch database
Layer3-Switch# configure terminal
Layer3-Switch(config)# vlan 10
Layer3-Switch(config)# name SALES
Layer3-Switch(config-vlan)# exit
Layer3-Switch(config)# vlan 20
Layer3-Switch(config)# name ENGINEERING
Layer3-Switch(config-vlan)# exit
! Configure a Routed Port for connecting to the ASA firewall
Layer3-Switch(config)# interface FastEthernet0/48
Layer3-Switch(config-if)# description To Internet Firewall
Layer3-Switch(config-if)# no switchport
Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252
! Create Trunk Ports Fe0/47 Fe0/46
Layer3-Switch(config)# interface fastethernet0/47
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# exit
Layer3-Switch(config)# interface fastethernet0/46
Layer3-Switch(config-if)# switchport trunk encapsulation dot1q
Layer3-Switch(config-if)# switchport mode trunk
Layer3-Switch(config-if)# exit
! Configure Switch Vlan Interfaces (SVI)
Layer3-Switch(config)# interface vlan10
Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0
Layer3-Switch(config-if)# no shut
Layer3-Switch(config)# interface vlan20
Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0
Layer3-Switch(config-if)# no shut
! Configure default route towards ASA firewall
Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2
Cấu hình ACL tùy chọn trên Switch L3
! Create ACL to control traffic between VLAN 10 to VLAN 20
Layer3-Switch(config)#ip access-list extended ACL1020
Layer3-Switch(config-ext-nacl)#permit ip host 10.10.10.1 host 10.20.20.1
Layer3-Switch(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
Layer3-Switch(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any
Layer3-Switch(config-ext-nacl)#exit
! Apply ACL to VLAN10 SVI
Layer3-Switch(config)#interface vlan 10
Layer3-Switch(config-if)#ip access-group ACL1020 in
Layer3-Switch(config-if)#exit
Cấu hình trên tạo Danh sách kiểm soát truy cập để hạn chế quyền truy cập giữa Vlan10 đến Vlan20. Cụ thể, nó cho phép máy 10.10.10.1 chỉ truy cập máy 10.20.20.1 và từ chối tất cả các lưu lượng khác giữa Vlan10 đến Vlan20. Hơn nữa, cho phép truy cập vào bất kỳ thứ gì khác (chẳng hạn Internet) từ vlan10. ACL ở trên được áp dụng trên vlan10 SVI theo hướng “trong”.
Cấu hình định tuyến trên Firewall ASA
ASA(config)# route outside 0.0.0.0 0.0.0.0 2.2.2.2 <– This is default route towards internet
ASA(config)# route inside 10.10.10.0 255.255.255.0 10.0.0.1 <– static route to reach vlan10
ASA(config)# route inside 10.20.20.0 255.255.255.0 10.0.0.1 <– static route to reach vlan20
Cấu hình mẫu Firewall ASA ở trên cho thấy định tuyến tĩnh cần thiết được yêu cầu trên ASA để định tuyến các gói trở lại vlan10 (10.10.10.0) và vlan20 (10.20.20.0) qua IP 10.0.0.1 là IP của chuyển mạch Layer3.
Định tuyến liên VLAN trên thiết bị chuyển mạch L2 (Layer 2)
Câu hỏi đặt ra là liệu bạn có thể định tuyến lưu lượng giữa các VLAN trên thiết bị chuyển mạch Lớp 2 hay không. Câu trả lời là không. Nếu không có thiết bị định tuyến trong mạng (Bộ chuyển mạch lớp 3 hoặc Bộ định tuyến) thì các máy được kết nối với hai VLAN khác nhau trên cùng một bộ chuyển mạch Lớp 2 sẽ không thể giao tiếp.
Cách duy nhất để cung cấp định tuyến giữa các vlan trên thiết bị chuyển mạch Lớp 2 là có một thiết bị chuyển mạch Lớp 3 hoặc Bộ định tuyến trong mạng sẽ nhận các gói cho mỗi VLAN lớp2 và sau đó định tuyến chúng đến VLAN khác tương ứng.