Liên hệ
Giả sử ta có mô hình như sau
- Vigor2926 là router chính kết nối internet, lớp mạng 192.168.1.1/24, kết nối VigorSwitch G2280x.
- VigorG2280x làm Switch trung tâm, nhận internet từ Vigor2926, sau đó chia hệ thống thành 3 nhóm với 3 lớp mạng như sau:
- Lớp 192.168.10.1/24, tắt DHCP, dành cho thiết bị đặt IP tĩnh như Server, Camera, máy in,…
- Lớp 192.168.20.1/24, dành cho nhân viên kết nối vào hệ thống
- Lớp 192.168.30.1/24, dành kết nối thiết bị phát Wi-Fi cho khách hàng
Yêu cầu
- Nhân viên thuộc lớp nội bộ có thể truy cập server/ camera…
- Lớp mạng khách không được phép truy cập mạng nội bội và server
Quá trình thực hiện gồm các bước như sau:
A. Cấu hình trên Vigor Router
Trên Vigor router cần thực hiện Static route các lớp mạng con Switch G2280x về IP mặt ngoài switch
B. Cấu cấu hình trên VigorSwitch G2280x
1. Cần tạo 4 VLAN
- VLAN111, VLAN quản lý, PVID 111, lớp 192.168.1.2/24, cùng lớp với router chính
- VLAN10, VLAN server và camera ,PVID 10, lớp mạng 192.168.10.1/24 - DHCP disable (dành cho Server hay Camera)
- VLAN20, VLAN nội bộ, PVID 20, lớp mạng 192.168.20.1/24 - DHCP pool 10 ~ 200 - Leasetime 1 tuần
- VLAN30 , VLAN Khách, PVID 30, lớp mạng DHCP pool 10 - 200 DHCP pool 10 - 200 – Leasetime 2h
2. Cấu hình interVLAN-routing các lớp mạng
3. Cấu hình chỉ default route về Vigor router,
4. Tạo ACL cấm lớp mạng khách truy cập mạng nội bộ và server
Thực hiện
A. Trên Vigor2926
Tạo Static route cho 3 lớp mạng 192.168.10.1/ 24 và 192.168.20.1/24, và 192.168.30.1/24 chỉ về IP mặt ngoài Switch ( theo mô hình là IP 192.168.1.2)
Vào Routing >> Static Route, chọn 1 Index
- Check Enable
- Destination IP Address :Điền IP lớp mạng (ví dụ 192.168.10.1)
- Subnet Mask :Điền subnet mask thiết bị (ví dụ 255.255.255.0)
- Gateway IP Addres :Điền IP VigorSwitch (ví dụ 192.168.1.2)
- Network Interface :Chọn LAN1
- Nhấn OK
Thực hiện tương tự để add static route cho lớp mạng 192.168.20.1
B. Trên Vigor Switch
- Đặt IP tĩnh thuộc lớp 192.168.1.x/24
- Máy tính nối port port 23 trên switch
- Truy cập Switch bằng IP mặc định 192.168.1.224, user/ pass mặc định admin/admin
1. Cấu hình VLAN
1.1 Tạo VLAN
Cần tạo 4 VLAN
- VLAN111, VLAN quản lý
- VLAN10 , VLAN server và camera ,
- VLAN20, VLAN nội bộ,
- VLAN30 , VLAN Khách
Vào Switch LAN >> VLAN Management >> Create VLAN
- Action :Chọn “Add”
- VLAN ID :Điền VLAN ID
- VLAN Name :Đặt tên VLAN
- Nhấn Apply
- Thực hiện tương tự cho các VLAN còn lại, Ta có danh sách các VLAN như sau
1.2 Gán lớp mạng cho VLAN
Cần tạo 4 Interface cho 4 VLAN tương ứng
- VLAN111, VLAN quản lý, 192.168.1.2/24, nối với router chính
- VLAN10, VLAN server và camera , lớp mạng 192.168.10.1/24
- VLAN20, VLAN nội bộ, lớp mạng 192.168.20.1/24
- VLAN30 , VLAN Khách, lớp mạng 192.168.30.1/24
Vào VLAN routing >> Interface Setting
- VLANID :Chọn VLAN (ví dụ VLAN111)
- Description :Mô tả VLAN (ví dụ VLAN111 là VLAN quản lý)
- IP Address :Điền IP lớp mạng (ví dụ 192.168.1.2)
- Subnet Mask :Điền Subnet mask lớp mạng (ví dụ 255.255.255.0)
- Nhấn Apply
Thực hiện tương tư cho
- VLAN10, VLAN server và camera, lớp mạng 192.168.10.1/24
- VLAN20, VLAN nội bộ, lớp mạng 192.168.20.1/24
- VLAN30 , VLAN Khách, lớp mạng 192.168.30.1/24
1.3 Cấu hình DHCP server từng VLAN
Cần cấu hình DHCP cho 3 VLAN10/ VLAN20/VLAN30
- VLAN10, VLAN server và camera , lớp mạng 192.168.10.1/24, DHCP disable
- VLAN20, VLAN nội bộ, lớp mạng 192.168.20.1/24, bật DHCP, pool 10 ~ 200 , Leasetime 1 tuần (604800s)
- VLAN30 , VLAN Khách, lớp mạng 192.168.30.1/24, bật DHCP, pool 10 ~ 200 , Leasetime 2h (7200s)
Thực hiện
Vào Switch VLAN >>DHCP Server/ Replay, tại tab DHCP server Settings
- Interface (VID) :Chọn VLAN
- Mode :Chọn Enable Server hoặc Disable Server
- Start IP address :Điền IP bắt đầu cấp
- IP Pool Count :Điền số IP sẽ cấp
- Gateway :Điền IP gateway cấp cho thiết bị
- DNS server 1/ DNS server 2: điền DNS sẽ cấp cho thiết bị
- Nhấn Appy
- Thực hiện tương tự cho VLAN 20, VLAN 30, với DHCP Enable
1.4 Gắn PVID cho từ port (quy định port nào thuộc VLAN nào)
Ví dụ cần cấu hình các port như sau
- Port 1 tới port 6 access VLAN10, dùng nối server, camera
- Port 7 tới port 12 access VLAN20, dùng nối máy tính nội bộ
- Port 13 tới port 18 access VLAN30,dùng nối thiết bị phát Wi-Fi khách
- Port 23và port 24 access VLAN111, kết nối router chính
Ta thực hiện như sau
Vào Switch >> VLAN Management >> Interface
- Port select :Chọn Port member (Ví dụ 1à 6)
- Interface VLAN mode :Chọn Access
- PVID :Chọn PVID ( ví du 10)
- Nhấn Apply
Thực hiện tương tự cho port 7à 12 thuộc VLAN20, port 13à 18 thuộc VLAN30 dành cho khách và port 23, 24 nối với router chính.
2. Cấu hình InterVLAN route
Vào VLAN Routing >> Property , chọn Enable >> nhấn Apply
3. Cấu hình default route cho thiết bị
- Kích hoạt tính năng routing giữa các VLAN trên thiết bị , Cấu hình default Route cho thiết bị VLAN Routing >> Static route
- Action :Chọn Add
- Check Default
- Next hop :Chọn Gateway
- Gateway IP Address :Điền IP gateway router chính (ví dụ 192.168.1.1)
- Nhấn Apply
4. Tạo ACL , cấm lớp mạng khách truy cập mạng nội bộ và Server
4.1 Tạo Access List, ngăn chặn lớp mạng khách truy cập server và mạng nội bộ
Vào ACL >> Create ACL, chọn tab IPv4, điền tên ACL (ví dụ Khach) >> nhấn Add
4.2 Tạo rule ACL
Theo yêu cầu, cần tạo 2 rule,
- rule 1, chặn lớp mạng khách 192.168.30.1/24 truy cập lớp mạng 192.168.10.1/24
- rule 1, chặn lớp mạng khách 192.168.30.1/24 truy cập lớp mạng 192.168.20.1/24
Cách tạo rule như sau Vào ACL >> Create ACE, chọn tab IPv4,
- ACL Profile Name :Chọn ACL đã tạo bên trên
- Sequence :Điền thứ tự rule
- Action :Chọn Deny
- Source IP :Bỏ check “Any”, điền lớp mạng khách 192.168.30.1/24
- Destination IP :Bỏ check “Any”, điền lớp mạng cần chặn (ví dụ lớp server 192.168.10.1/24)
- Service :Chọn Any
- Source Port :Chọn Any
- Dest Port :Chọn Any
- ICMP Type :Chọn Any
- ICMP code :Chọn Any
- Nhấn Add
- Thực hiện tương tự cho rule chặn lớp mạng khách truy cập nội bô
3. Gán ACL đã tạo vào port cần áp dụng
- Ports: chọn các port cần áp dụng
- IPv4 ACL: chọn ACL đã tạo
- Nhấn apply
