Cấu hình Chuyển mạch và Định tuyến Layer 3

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi conghuynh, 15/12/21.

Tags:
  1. conghuynh

    conghuynh Member

    - Khả năng định tuyến Lớp 3 (L3) có sẵn trên đa số các thiết bị chuyển mạch Cisco Meraki. Nó cho phép switch định tuyến lưu lượng giữa các VLAN với nhau trong cùng một mạng mà không cần thêm thiết bị Lớp 3.

    I/. Supported Models:
    - Để kích hoạt và cấu hình định tuyến L3 trên các thiết bị chuyển MS, cần có thiết bị switch có khả năng của L3.
    [​IMG]
    - Sẽ có cảnh báo switch đang định tuyến quá nhiều host, do đó hiệu năng sẽ bị ảnh hưởng sẽ. Thông báo hiển thị nếu số lượng các client được định tuyến vượt quá số lượng ở bảng trên.
    * Để bảo vệ tài nguyên phần cứng TCAM khỏi quá tải, các giới hạn dưới đây được áp dụng đối với số lượng định tuyến động đã học (OSFP) cho một số dòng sản phẩm nhất định.
    • MS250: 900
    • MS350, MS410: 15000
    - Nếu đạt đến giới hạn, các đường định tuyến sẽ bị loại bỏ bừa bãi và có thể dẫn đến hình vi định tuyến thất thường. Để giảm thiểu tác động của điều này, tuyến đường mặc định sẽ không bị ảnh hưởng bới giới hạn và sẽ được chấp nhận bất kể gì.
    ** Hiện vẫn chưa được hỗ trên trên các dòng Cisco Meraki MS390.

    II/. Tạo định tuyến lớp 3:
    - Để định tuyến lưu lượng mạng giữa các VLAN, các giao diện định tuyến (routed interface) phải được đặt cấu hình. Chỉ các VLAN với một routed interface được cấu hình sẽ có thể định tuyến lưu lượng cục bộ trên switch, và chỉ khi những client hoặc thiết bị trên VLAN được cấu hình sử dụng địa chỉ IP interaface được định tyến của switch làm gateway hoặc next-hop của chúng.

    - Để bắt đầu sử dụng định tuyến lớp 3, đăng nhập vào trang Meraki Dashboard và chuyển đến các trang chi tiết của switch bằng đường dẫn Switch > Monitor > Switches và click chọn vào switch để được cấu hình. Bên dưới Status > L3 routing status, click Configure layer 3 settings.
    [​IMG]
    - Một cửa sổ hiện ra sẽ cho phép cấu hinhf của interface đầu tiên được cấu hình và một default route (định tuyến mặc định). Ở đây được khuyến nghị cho uplonk VLAN được cấu hình trước.
    • Interface name: tên hoặc mô tả cho interface/VLAN.
    • Subnet: lớp mạng mà cổng interface được định tuyến lên đó, trong ký hiệu CIDR (vd. 10.1.1.0/24).
    • Interface IP: địa chỉ IP mà switch sẽ sử dụng cho định tuyến lớp 3 trên VLAN/subnet này. Và không được giống với IP quản lý của switch.
    • VLAN: VLAN được đặt trên interface được định tuyến.
    • Multicast support: Mở hỗ trợ multicast nếu cần định tuyến multicast giữa các VLAN.
    • Default gateway: Next-hop cho bất kỳ lưu lượng mạng nào mà sẽ không kết nối trực tiếp đến subnet hoặc qua định tuyến tĩnh. Địa chỉ IP phải đã có sẵn một subnet với một interface được định tuyến.
    • DHCP settings: Nếu DHCP trên VLAN này nên ở trên switch hoặc được chuyển tiếp tới server.
    • OSPF settings: VLAN này có thể được phân phối qua OSPF.

    - Khi hoàn tất, click Save hoặc Save and add another để cấu hình thêm các định tuyến interface.
    [​IMG]
    III/. Cấu hình thêm các Interfaces lớp 3:
    - Để cấu hình thêm các interface ở lớp 3 để dành cho các VLAN:
    1. Click theo đường dẫn Switch > Configure > Routing and DHCP.
    2. Click Add an interface.
    3. Chọn Switch mà interface sẽ có.
    4. Cung cấp chi tiết các cấu hình cần thiết, như đã làm ở bước trên.
    5. Click Save hoặc Save and add another để tạo thêm interface.

    - Trong ví dụ dưới đây, VLAN 'data' đã được cấu hình sử dụng DHCP server từ xa cho các yêu cầu của client.
    [​IMG]

    - Khi đã được tạo, bất kỳ interface lớp 3 hoặc định tuyến tĩnh sẽ hiển thị trong Switch > Configure > Layer 3 routing.
    [​IMG]
    Lưu ý: Mỗi switch chỉ có thể có một interface lớp 3 mỗi VLAN.

    IV/. Cấu hình định tuyến tĩnh (Static Route):
    - Để định tuyến lưu lượng truy cập ở nơi khác trong mạng, định tuyến tĩnh phải được cấu hình cho các subnet không được định tuyến bởi switch hoặc sẽ không sử dụng default route đã được cấu hình sẵn, chẳng hạn như nếu một phần khác của mạng nằm phía sau router hoặc switch L3 khác ở phía dưới từ Meraki MS lớp 3 đang được cấu hình.
    - Để tạo mới một static route:
    1. Click đi vào Switch > Configure > Routing and DHCP.
    2. Click Add a static route.
    3. Chọn Switch sẽ được áp dụng vào.
    4. Cung cấp thông tin sau:
    • Name: nhập tên hoặc mô tả cho static route này.
    • Subnet: lớp mạng để định tuyến tĩnh (vd. 10.1.1.0/24).
    • Next hop IP: địa chỉ IP của thiết bị lớp 3 kế cận theo đường đi đến mạng này. Địa chỉ này phải có trong subnet với interface được định tuyến.
    5. Click Save hoặc Save and add another để tạo thêm static route.
    [​IMG]

    V/. Thay đổi cấu hình cho Interface L3 hoặc Static Route:
    - Để thay đổi Interface lớp 3 hoặc Static route đang tồn tại trên switch cụ thể:
    1. Chuyển đến trang Switch > Configure > Routing and DHCP.
    2. Tùy vào mục đích click vào Interface hoặc Route.
    3. Thay đổi các cài đặt trong cấu hình tùy chọn.
    4. Click Save.

    VI/. Di chuyển Interface L3 đến thiết bị Switch Cisco Meraki MS khác:
    - Để di chuyển interface L3 từ một switch này sang switch khác, thực hiện theo các bước sau:
    1. Đi đến trang Switch > Configure > Routing and DHCP.
    2. Chọn các interface L3 sẽ được chuyển đi.
    3. Click Edit > Move.
    4. Chọn switch cần chuyển đến hoặc nhóm switch stack, sau đó click Submit.
    VII/. Xóa một Interface L3 hoặc Static Route:
    - Các bước sau để xóa một interface L3 hoặc Static route:
    1. Đi đến trang Switch > Configure > Routing and DHCP.
    2. Click vào Interface hoặc Route theo ý muốn.
    3. Click Delete Interface/Route, sau đó click Confirm delete.
    Lưu ý: Một switch phải có ít nhất một interface đã được định tuyến và default route. Default route không thể bị xóa thủ công.

    VIII/. Vô hiệu định tuyến Lớp 3:
    - Các bước để thực hiện tắt định tuyến L3, bất kỳ cấu hình static route và interface L3 phải được xóa theo thứ tự cụ thể:
    1. Đi đến trang Switch > Configure > Routing and DHCP.
    2. Xóa các static route khác Default route cho switch mong muốn.
    3. Xóa các interface L3 ngoại trừ giao diện chứa IP next-hop cho default-route trên switch đo.
    4. Xóa interface L3 cuối cùng để tắt định tuyến lớp 3.

    - Nếu thực hiện không theo thứ tự các bước trên sẽ dẫn đến lỗi và không cho phép xóa route / interface.

    XI/. Một số lưu ý về Interface Lớp 3:
    9.1. Về quản lý IP Management switch và các Interface L3:
    - IP quản lý được xử lý hoàn toàn khác với các interface L3 được định tuyến và phải là một địa chỉ IP khác. Nó có thể được định tuyến hoặc không định tuyến qua VLAN (như trường hợp một VLAN quản lý độc lập khỏi lưu lượng của client khác chức năng). Lưu lượng sử dụng địa chỉ IP quản lý để giao tiếp với Cisco Meraki Cloud Controller sẽ không sử dụng các cài đặt định tuyến lớp 3, thay vào đó bằng cách sử dụng default gateway đã được cấu hình của nó. Do đó, điều quan trọng là địa chỉ IP, VLAN, và default gateway được nhập cho IP quản lý hoặc mạng nội bộ vẫn cung cấp kết nối với Internet.

    9.2. Interface quản lý cho một Stack switch để chạy định tuyến L3 không thể có gateway được cấu hình của một trong các interface L3 của chính nó.

    9.3. Để các Stack switch thực hiện định tuyến L3, hãy đảm bảo lớp mạng quản lý không trùng với bất kỳ lớp mạng mà nó có được cấu hình Interface L3. Việc trùng lặp các subnet trên IP quản lý và Interface L3 có thể dẫn đến mất gói tin khi tiến hành ping và thăm dò (qua SNMP) địa chỉ IP quản lý của các switch thành viên trong stack.
    Lưu ý: Giới hạn chồng chéo subnet không áp dụng cho các switch dòng MS390 series switches.

    9.4. Ping đến điểm đích cho một Interface L3
    - Các switch MS với Layer 3 được bật sẽ ưu tiên chuyển tiếp lưu lượng mạng qua phản hổi với ping. Do đó, gói tin bị mất và/hoặc độ trễ có thể được quan sát thấy cho ping dành cho interface L3. Trong trường hợp như vậy, bạn nên ping tới thiết bị khác trong mạng subnet nhất định để xác định độ ổn định của mạng và khả năng kết nối.

    ---o0o---
     
    conghuynh, 15/12/21
    #1

trang này