Các thiết bị chuyển mạch Switch Cisco Catalyst được trang bị tính năng Đa lớp Nâng cao có thể hoạt động như các thiết bị Lớp 3 với khả năng định tuyến đầy đủ. Ví dụ: một số thiết bị chuyển mạch hỗ trợ định tuyến lớp 3 là 3650, 3850, 9300 Series … Trên một Switch hỗ trợ Layer3, các giao diện cổng hoạt động như các cổng truy cập Lớp 2 theo mặc định, nhưng bạn cũng có thể định cấu hình chúng là “Cổng được định tuyến” hoạt động như giao diện bộ định tuyến bình thường. Nghĩa là, bạn có thể chỉ định địa chỉ IP trực tiếp trên cổng được định tuyến. Hơn nữa, bạn cũng có thể định cấu hình Giao diện ảo Switch (SVI) bằng lệnh “interface vlan” hoạt động như một giao diện ảo lớp 3 trên Switch Layer3. Tính năng trên có nghĩa là bạn có thể triển khai chức năng Lớp 3 trong mạng của mình mà không cần sử dụng bộ định tuyến thông thường. Nếu bạn không có sẵn chuyển mạch Layer3, bạn cũng có thể định cấu hình định tuyến Inter VLAN bằng cách sử dụng chuyển mạch Layer2 đơn giản và một Bộ định tuyến (còn được gọi là Router). Định tuyến liên VLAN trên chuyển mạch lớp 3 Trong bài đăng này, sẽ mô tả một kịch bản với Switch Layer3 hoạt động như thiết bị “Định tuyến liên Vlan” cùng với hai Switch Layer2 hoạt động như chuyển mạch truy cập. Hơn nữa, tường lửa Cisco ASA sẽ cung cấp kết nối Internet cho tất cả các mạng con nội bộ. Cổng định tuyến sẽ được cấu hình giữa Layer3 Switch và giao diện nội bộ ASA để định tuyến các gói tới internet (thông qua ASA). Trọng tâm của bài viết này là hướng dẫn bạn cách cấu hình các thiết bị chuyển mạch Layer2 và Layer3 để cung cấp định tuyến giữa các VLAN bằng cách sử dụng các thiết bị chuyển mạch dựa trên IOS thông thường. Ở cuối bài viết này, bạn cũng sẽ tìm thấy các lệnh cấu hình định tuyến quan trọng cho ASA và cũng như cách sử dụng Danh sách điều khiển truy cập (ACL) trên Switch Lớp 3 để kiểm soát lưu lượng (cho phép hoặc từ chối) giữa các VLAN ở Lớp3. Đây là một kịch bản mạng khá phổ biến được nhiều mạng doanh nghiệp dùng. Xem sơ đồ mạng như bên dưới: Giao diện Fa0 / 48 của Switch Layer3 được định cấu hình là Cổng định tuyến với địa chỉ IP 10.0.0.1 và được kết nối với giao diện bên ASA (10.0.0.2). Hai Vlan cần được tạo trên các Switch L2 và L3, Vlan10 và Vlan20. Tất nhiên, bạn có thể mở rộng kịch bản này với nhiều Vlans hơn và nhiều thiết bị chuyển mạch Lớp 2 hơn nếu cần. Trên Layer3 Switch Cisco, đối với Vlan10, chúng ta sẽ tạo SVI với địa chỉ IP 10.10.10.10 và đối với Vlan20 là SVI với địa chỉ IP 10.20.20.20. Hai địa chỉ IP này sẽ đóng vai trò là địa chỉ cổng mặc định (default gateway) cho các máy thuộc Vlan10 và Vlan20 trên các thiết bị chuyển mạch Layer2 tương ứng. Nghĩa là, các máy được kết nối với Vlan10 trên các thiết bị chuyển mạch L2 sẽ có địa chỉ IP 10.10.10.10 làm cổng mặc định (default gateway). Tương tự, các máy được kết nối với Vlan20 trên các chuyển mạch sẽ có địa chỉ IP 10.20.20.20 làm cổng mặc định của chúng. Lưu lượng giữa Vlan10 và Vlan20 sẽ được định tuyến bởi L3 Switch (InterVlan Routing). Ngoài ra, tất cả các giao diện kết nối ba thiết bị chuyển mạch phải được định cấu hình là Cổng Trunk để cho phép các khung được gắn thẻ Vlan10 và Vlan20 đi qua giữa các thiết bị chuyển mạch. Cấu hình thiết bị chuyển mạch Switch Cisco L2 (cấu hình giống nhau cho cả hai thiết bị chuyển mạch) ! Create VLANs 10 and 20 in the switch database Layer2-Switch# configure terminal Layer2-Switch(config)# vlan 10 Layer2-Switch(config)# name SALES Layer2-Switch(config-vlan)# exit Layer2-Switch(config)# vlan 20 Layer2-Switch(config-vlan)# name ENGINEERING Layer2-Switch(config-vlan)# exit ! Assign Port Fe0/1 in VLAN 10 Layer2-Switch(config)# interface fastethernet0/1 Layer2-Switch(config-if)# switchport mode access Layer2-Switch(config-if)# switchport access vlan 10 Layer2-Switch(config-if)# exit ! Assign Port Fe0/2 in VLAN 20 Layer2-Switch(config)# interface fastethernet0/2 Layer2-Switch(config-if)# switchport mode access Layer2-Switch(config-if)# switchport access vlan 20 Layer2-Switch(config-if)# exit ! Create Trunk Port Fe0/24 Layer2-Switch(config)# interface fastethernet0/24 Layer2-Switch(config-if)# switchport trunk encapsulation dot1q Layer2-Switch(config-if)# switchport mode trunk Layer2-Switch(config-if)# exit Cấu hình thiết bị chuyển mạch Cisco L3 ! Enable Layer 3 routing Layer3-Switch(config) # ip routing ! Create VLANs 10 and 20 in the switch database Layer3-Switch# configure terminal Layer3-Switch(config)# vlan 10 Layer3-Switch(config)# name SALES Layer3-Switch(config-vlan)# exit Layer3-Switch(config)# vlan 20 Layer3-Switch(config)# name ENGINEERING Layer3-Switch(config-vlan)# exit ! Configure a Routed Port for connecting to the ASA firewall Layer3-Switch(config)# interface FastEthernet0/48 Layer3-Switch(config-if)# description To Internet Firewall Layer3-Switch(config-if)# no switchport Layer3-Switch(config-if)# ip address 10.0.0.1 255.255.255.252 ! Create Trunk Ports Fe0/47 Fe0/46 Layer3-Switch(config)# interface fastethernet0/47 Layer3-Switch(config-if)# switchport trunk encapsulation dot1q Layer3-Switch(config-if)# switchport mode trunk Layer3-Switch(config-if)# exit Layer3-Switch(config)# interface fastethernet0/46 Layer3-Switch(config-if)# switchport trunk encapsulation dot1q Layer3-Switch(config-if)# switchport mode trunk Layer3-Switch(config-if)# exit ! Configure Switch Vlan Interfaces (SVI) Layer3-Switch(config)# interface vlan10 Layer3-Switch(config-if)# ip address 10.10.10.10 255.255.255.0 Layer3-Switch(config-if)# no shut Layer3-Switch(config)# interface vlan20 Layer3-Switch(config-if)# ip address 10.20.20.20 255.255.255.0 Layer3-Switch(config-if)# no shut ! Configure default route towards ASA firewall Layer3-Switch(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 Cấu hình ACL tùy chọn trên Switch L3 ! Create ACL to control traffic between VLAN 10 to VLAN 20 Layer3-Switch(config)# ip access-list extended ACL1020 Layer3-Switch(config-ext-nacl)#permit ip host 10.10.10.1 host 10.20.20.1 Layer3-Switch(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255 Layer3-Switch(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any Layer3-Switch(config-ext-nacl)#exit ! Apply ACL to VLAN10 SVI Layer3-Switch(config)#interface vlan 10 Layer3-Switch(config-if)#ip access-group ACL1020 in Layer3-Switch(config-if)#exit Cấu hình trên tạo Danh sách kiểm soát truy cập để hạn chế quyền truy cập giữa Vlan10 đến Vlan20. Cụ thể, nó cho phép máy 10.10.10.1 chỉ truy cập máy 10.20.20.1 và từ chối tất cả các lưu lượng khác giữa Vlan10 đến Vlan20. Hơn nữa, cho phép truy cập vào bất kỳ thứ gì khác (chẳng hạn Internet) từ vlan10. ACL ở trên được áp dụng trên vlan10 SVI theo hướng "trong". Cấu hình định tuyến trên Firewall ASA ASA(config)# route outside 0.0.0.0 0.0.0.0 2.2.2.2 <– This is default route towards internet ASA(config)# route inside 10.10.10.0 255.255.255.0 10.0.0.1 <– static route to reach vlan10 ASA(config)# route inside 10.20.20.0 255.255.255.0 10.0.0.1 <– static route to reach vlan20 Cấu hình mẫu Firewall ASA ở trên cho thấy định tuyến tĩnh cần thiết được yêu cầu trên ASA để định tuyến các gói trở lại vlan10 (10.10.10.0) và vlan20 (10.20.20.0) qua IP 10.0.0.1 là IP của chuyển mạch Layer3. Định tuyến liên VLAN trên thiết bị chuyển mạch L2 (Layer 2) Câu hỏi đặt ra là liệu bạn có thể định tuyến lưu lượng giữa các VLAN trên thiết bị chuyển mạch Lớp 2 hay không. Câu trả lời là không. Nếu không có thiết bị định tuyến trong mạng (Bộ chuyển mạch lớp 3 hoặc Bộ định tuyến) thì các máy được kết nối với hai VLAN khác nhau trên cùng một bộ chuyển mạch Lớp 2 sẽ không thể giao tiếp. Cách duy nhất để cung cấp định tuyến giữa các vlan trên thiết bị chuyển mạch Lớp 2 là có một thiết bị chuyển mạch Lớp 3 hoặc Bộ định tuyến trong mạng sẽ nhận các gói cho mỗi VLAN lớp2 và sau đó định tuyến chúng đến VLAN khác tương ứng. Cám ơn các bạn đã theo dõi bài viết. Chúc các bạn thành công!
