1. Mục đích bài viết: - Bài viết hôm nay sẽ hướng dẫn cách cấu hình VLAN Trunking trên thiết bị tường lửa Palo Alto cùng với Switch Cisco C2960 để phù hợp với hệ thống có nhiều VLAN. Và để các PC giao tiếp giữa các VLAN khác nhau. 2. Mô hình bài viết: Chi tiết về mô hình thực hiện: - Thiết bị Firewall Palo Alto PA-220 đã kết nối tới Internet qua cổng ethernet1/1 bằng giao thức PPPoE với lớp IP 14.169.x.x. - Trên cổng ethernet1/6 của Firewall kết nối với Switch C2960 trên port Gi0/2, và đây là một liên kết trunking giữa 2 thiết bị. - Trong switch Cisco 2960, chúng ta sẽ có: ● Port 3 (VLAN 1 – native vlan) có subnet 172.16.20.0/24 kết nối với PC 1. ● Port 1 (VLAN 30) có subnet 172.16.30.0/24 kết nối với PC 2. ● Port 2 (VLAN 40) có subnet 172.16.40.0/24 kết nối với PC 3. 3. Các bước cấu hình: ● Cấu hình địa chỉ IP cho cổng ethernet1/6. ● Cấu hình sub-interface cho cổng ethernet1/6. ● Tạo Virtual Routers. ● Tạo DHCP server cho port ethernet1/6 và cả các port sub-interface khác. ● Cấu hình VLAN trên Switch Cisco. ● Gán các port vào VLAN tương ứng với mô hình ở trên. ● Cấu hình Trunk cho port Gi0/2. ● Kiểm tra kết quả đạt được. 4. Cấu hình: 4.1. Configure IP for ethernet1/6: - Để cấu hình IP cho cổng ethernet1/6 vào theo đường dẫn "Network > Interface > click vào tên interface ethernet1/6". - Tab config sẽ xuất hiện để chúng ta cấu hình theo các thông tin sau. - Tab Config: ● Interface Type: Layer3 ● Security Zone: LAN - Tab IPv4: ● Type: chọn Static ● Click Add trong tab IP và nhập địa chỉ IP của interface là 172.16.20.1/24 ● Click OK để lưu lại. - Click Commit để lưu lại các thay đổi cấu hình. 4.2. Cấu hình Sub-interfaces cho port ethernet1/6: - Để cấu hình các Sub-interface, đi vào "Network > Interfaces". - Nhấn vào cổng ethernet1/6 và click Add Subinterfaces. - Các bảng cấu hình sẽ xuất hiện, chúng ta sẽ cấu hình thêm 2 VLAN với các thông tin như sau: - Cấu hình VLAN 30: ● Interface Name: ethernet1/6.30 ● Tag: 30 ● Security Zone: LAN - Cấu hình IPv4 cho VLAN 30: ● Type: Static ● Click Add trong tab IP và nhập địa chỉ IP của sub-interface: 172.16.30.1/24. ● Click OK để lưu lại. - Cấu hình VLAN 40: ● Interface Name: ethernet1/6.40 ● Tag: 40 ● Security Zone: LAN - Cấu hình IPv4 cho VLAN 40: ● Type: Static ● Click Add trong tab IP và nhập địa chỉ IP của sub-interface: 172.16.40.1/24. ● Click OK để lưu lại. - Đến đây là hoàn tất các bước tạo các sub-interface cho cổng ethernet1/6. 4.3. Create Virtual Routers: - Để tạo thêm các Virtual Routers, vào theo đường dẫn "Network > Virtual Routers". - Click Add và cấu hình theo các thông tin như sau. - Trong tab Router Setting: ● Trong bảng General, click Add và thêm 3 interface vào là ethernet1/6, ethernet1/6.30, ethernet1/6.40. ● Click OK để lưu lại - Click Commit để lưu lại các thay đổi cấu hình. 4.4. Tạo thêm DHCP Server cho ethernet1/6 và các cổng sub-interfaces: - Để tạo mới/quản lý DHCP, vào theo đường dẫn "Network > DHCP". - Click Add và cấu hình DHCP cho cổng ethernet1/6 theo các thông tin như sau. - Trong tab Lease: ● Interface: chọn interface ethernet1/6 ● Mode: enabled ● Lease: Unlimited ● IP Pools: Click Add và gán nhập IP-range [172.16.20.2-172.16.20.100] - Trong tab Options: ● Gateway: 172.16.20.1 ● Subnet Mask: 255.255.255.0 ● Primary DNS: 8.8.8.8 ● Secondary DNS: 8.8.4.4 ● Click OK để lưu lại. - Click Add và cấu hình DHCP cho cổng sub-interfaces ethernet1/6.30 theo các thông tin như sau. - Trong tab Lease: ● Interface: chọn interface ethernet1/6.30 ● Mode: enabled ● Lease: Unlimited ● IP Pools: Click Add và gán nhập IP-range [172.16.30.2-172.16.30.100] - Trong tab Options: ● Gateway: 172.16.30.1 ● Subnet Mask: 255.255.255.0 ● Primary DNS: 8.8.8.8 ● Secondary DNS: 8.8.4.4 ● Click OK để lưu lại. - Click Add và cấu hình DHCP cho cổng sub-interfaces ethernet1/6.40 theo các thông tin như sau. - Trong tab Lease: ● Interface: chọn interface ethernet1/6.40 ● Mode: enabled ● Lease: Unlimited ● IP Pools: Click Add và gán nhập IP-range [172.16.40.2-172.16.40.100] - Trong tab Options: ● Gateway: 172.16.40.1 ● Subnet Mask: 255.255.255.0 ● Primary DNS: 8.8.8.8 ● Secondary DNS: 8.8.4.4 ● Click OK để lưu lại. - Bây giờ đã cấu hình xong các DHCP Server cho cổng. - Click Commit để lưu lại các thay đổi cấu hình. 4.5. Cấu hình VLAN trên Switch Cisco: - Đầu tiên, show mặc định các port hiện tại đang ở trong VLAN 1 (native-vlan). - Cấu hình VLAN trên Switch Cisco là bằng câu lệnh commands. Trong giao diện console của switch vào trong mode config và làm theo các bước sau: - Nhập "#vlan 30 > nhấn Enter" và bây giờ VLAN 30 đã được tạo mới, thoát ra và nhập tiếp "#vlan 40" để tạo thêm VLAN 40. - Để kiểm tra các vlan đã tạo, nhập lệnh "#show vlan" để xem. 4.6. Gán port vào VLAN: - Dựa vào mô hình ở phần 2 thì port 3 hiện đã ở VLAN 1, vì vậy không cần thực hiện cấu hình cho port 3. - Bây giờ sẽ cấu hình port 1 vào vlan 30. ● Trong mode config và nhập lệnh #interface FastEthernet0/1 để vào trong cấu hình port ● Nhập #switchport access vlan 30 để gán port vào VLAN 30. Thoát ra lại mode config. - Cấu hình tiếp port 2 vào vlan 40 tương tự với F0/1. ● Nhập lệnh #interface FastEthernet0/2 ● Nhập #switchport access vlan 40 để gán port vào VLAN 40.- Để kiểm tra các port đã được gán đúng vlan, nhập lệnh "#show vlan". 4.7. Cấu hình Trunking: - Trên mô hình thực hiện, cổng Gi0/2 sẽ được cấu hình trunking. - Tại mode config vào trong cấu hình cổng Gi0/2 với command #interface GigabitEthernet 0/2. - Tiếp theo, nhập lệnh #switchport mode trunk để cấu hình port trunk. - Để kiểm tra các port đang ở mode trunk sau khi cấu hình, nhập #show running-config để xem. 4.8. Kiểm tra kết quả: - Cuối cùng, chúng ta sẽ kết nối 3 PC với 3 port của switch như mô hình. - Kết quả PC 1 khi kết nối với port 1 (vlan 30) nhận được IP tương ứng với subnet 172.16.30.0/24 từ firewall Palo Alto, đúng như cấu hình dự tính. - PC 2 khi kết nối với port 2 (vlan 40) có IP của subnet 172.16.40.0/24. - PC 3 kết nối với port 3 đang trong vlan 1 sẽ nhận được địa chỉ thuộc lớp IP 172.16.20.0/24.
