Thiết kế(design) và cấu hình(configuration) hệ thống mạng(network) với Mô hình 3 lớp chuẩn

Thảo luận trong 'Basic Network' bắt đầu bởi huongvstar, 13/3/18.

  1. huongvstar

    huongvstar Member

    Các thiết bị chuyển mạch Layer2 và Layer3 là nền tảng của bất kỳ hệ thống mạng nào. Bất kỳ thiết bị mạng nào (bộ định tuyến, tường lửa, máy tính, máy chủ, v.v.) đều phải được kết nối với một bộ chuyển mạch. Với tư cách là một kỹ sư mạng, bạn sẽ phải đối mặt với nhiệm vụ triển khai mạng chuyển mạch cho khách hàng hoặc cho chính công ty của bạn. Vì vậy, việc tìm hiểu về một số nguyên tắc cấu hình và thiết kế switch cơ bản sẽ có lợi cho nghề nghiệp của bạn.
    [​IMG]
    Một kịch bản thiết kế chuyển mạch đơn giản và phổ biến sẽ được trình bày trong hướng dẫn sau. Kịch bản này sẽ phù hợp với hầu hết các mạng SMB (hoặc thậm chí lớn hơn) có một vài VLAN lớp 2 và một vài mạng con lớp 3. Đó là một nguyên tắc thiết kế tốt để tách các máy chủ mạng theo bộ phận hoặc theo nhóm người dùng tương tự.

    Kịch bản mạng

    Trong kịch bản mạng bên dưới, chúng tôi đã phân đoạn mạng thành 7 VLAN Lớp2 (và do đó là 7 mạng con Lớp3), như được liệt kê bên dưới:
    • VLAN10: Network devices management VLAN (10.10.10.0/24)
    • VLAN20: Callcenter Department (10.10.20.0/24)
    • VLAN30: Sales Department (10.10.30.0/24)
    • VLAN40: Accounting & Financial Department (10.10.40.0/24)
    • VLAN50: Support Department (10.10.50.0/24)
    • VLAN60: Company Servers (10.10.60.0/24)
    • VLAN100: Company Managers (10.10.100.0/24)
    Về phần thiết kế, hãy cố gắng sử dụng mô hình kết nối mạng phân cấp của Cisco: Lớp mạng trục(Core), Lớp phân phối(Distribution) và Truy cập(Access). Đối với kịch bản được đề xuất, lớp mạng trục và lớp phân phối sẽ được kết hợp trên cùng một Switch lớp 3 (Aggregation) để giữ cho thiết kế đơn giản và dễ hiểu hơn.

    Sơ đồ mạng

    [​IMG]
    Sơ đồ trên cho thấy một chuyển mạch Lớp 3 (Aggregation) được sử dụng cho Tổng hợp (Core + Distribution), ba Switch Lớp 2 được sử dụng cho mục đích truy cập và một bộ định tuyến cho kết nối Internet.

    Công ty A có một số phòng ban được nhóm lại ở nhiều tầng trong một tòa nhà. Các bộ phận là Người gọi điện(Callenter), Bán hàng(Sales), Kế toán(Accounting), Hỗ trợ(Support) và Quản lý(Management). Bộ phận duy nhất được phép truy cập Internet là bộ phận Quản lý. Mỗi phòng ban đã được cấp phát một VLAN lớp2 và một dải địa chỉ riêng IPv4 Lớp C. Tất cả các thiết bị chuyển mạch được kết nối qua các liên kết ghép kênh cổng(port-channel) để có băng thông cao hơn và khả năng dự phòng tốt hơn.

    Cấu hình

    I. Cấu hình Switch Cisco tổng hợp (Aggregation) lớp 3

    Bước 1: Truy cập, quản lý và cấu hình ghi nhật ký

    username admin privilege 15 secret Strongpasshere <-- tạo quản trị viên người dùng với đặc quyền cao nhất 15
    logging buffered 1024000 debugging
    <-- cho phép ghi nhật ký bằng cách sử dụng bộ nhớ cục bộ. Tệp nhật ký sẽ có kích thước tối đa 1024000 bit và sẽ ghi lại nhật ký gỡ lỗi
    service password-encryption <-- Bảo mật tất cả mật khẩu
    enable secret Strongpasshere <-- tạo mật khẩu enable password
    line vty 0 4 <-- cho phép đăng nhập mạng từ xa
    transport input telnet ssh <-- bật telnet & ssh trên thiết bị
    login local <-- sử dụng thông tin đăng nhập cơ sở dữ liệu cục bộ để đăng nhập

    line console 0 <-- cho phép đăng cổng console
    password Strongpasshere <-- tạo mật khẩu đăng nhập console
    login <-- cho phép đăng nhập


    Bước 2: Cấu hình VLAN lớp2

    vlan 10
    name Device_Management
    !
    vlan 20
    name Callcenter
    !
    vlan 30
    name Sales
    !
    vlan 40
    name Accounting&Finance
    !
    vlan 50
    name Support
    !
    vlan 60
    name Servers
    !
    vlan 100
    name Company_Management


    Bước 3: Cấu hình VLAN lớp 3

    ip routing
    !
    interface Vlan10
    description Device_Management
    ip address 10.10.10.1 255.255.255.0
    !
    interface Vlan20
    description Callcenter
    ip address 10.10.20.1 255.255.255.0
    !
    interface Vlan30
    description Sales
    ip address 10.10.30.1 255.255.255.0
    !
    interface Vlan40
    description Accounting&Finance
    ip address 10.10.40.1 255.255.255.0
    !
    interface Vlan50
    description Support
    ip address 10.10.50.1 255.255.255.0
    !
    interface Vlan60
    description Servers
    ip address 10.10.60.1 255.255.255.0
    !
    interface Vlan100
    description Company_Management
    ip address 10.10.100.1 255.255.255.0


    Bước 4: Cấu hình Port-Channel

    interface GigabitEthernet1/1/1
    description downlink Link 1 to Switch Management&suport&servers
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add 10,50,60,100
    switchport mode trunk
    channel-group 1 mode on


    interface GigabitEthernet1/1/2
    description downlink Link 2 to Switch Management&suport&servers
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,50,60,100
    switchport mode trunk
    channel-group 1 mode on


    interface GigabitEthernet1/1/3
    description downlinkLink 1 to Switch Accounting&Finance
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,40
    switchport mode trunk
    channel-group
    2 mode on

    interface GigabitEthernet1/1/4
    description downlink Link 2 to Switch Accounting&Finance
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,40
    switchport mode trunk
    channel-group 2 mode on


    interface GigabitEthernet1/1/5
    description downlink Link 1 to Switch Callcenter&Sales
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,20,30
    switchport mode trunk
    channel-group
    3 mode on

    interface GigabitEthernet1/1/6
    description downlink Link 2 to Switch Callcenter&Sales
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,20,30
    switchport mode trunk
    channel-group 3 mode on


    Interface to Router (Giao diện tới Bộ định tuyến)

    interface GigabitEthernet1/1/7
    description To
    Router
    switchport
    switchport access vlan 10
    switchport mode access


    Default route to the router (Đường dẫn mặc định đến bộ định tuyến)

    ip route 0.0.0.0 0.0.0.0 10.10.10.5

    II. Cấu hình Switch Cisco truy cập (Access) Layer2

    1) Cấu hình quản lý Switch & cấu hình suport & máy chủ

    Lưu ý: Cấu hình quản lý thiết bị và ghi nhật ký vẫn giống như Switch Layer3 ở trên.

    Bước1: Cấu hình VLAN lớp2

    Thêm vlans cần thiết trên Switch này.

    vlan 10
    name Device_Management
    !
    vlan 50
    name Support
    !
    vlan 60
    name Servers
    !
    vlan 100
    name Company_Management


    Bước 2: Cấu hình Port-Channel

    interface GigabitEthernet1/1
    description uplink Link 1 to Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,50,60,100
    switchport mode trunk
    channel-group
    1 mode on

    interface GigabitEthernet1/2
    description uplink Link 2 to
    Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,50,60,100
    switchport mode trunk
    channel-group 1 mode on


    Bước 3: Giao diện quản lý

    interface Vlan10
    description Device_Management
    ip address 10.10.10.2 255.255.255.0


    Bước 4: Cấu hình giao diện truy cập cho người dùng

    Chỉ một giao diện cho mỗi vlan được hiển thị cho ngắn gọn

    interface GigabitEthernet0/3
    description Server
    switchport access vlan 60
    switchport mode access
    spanning-tree portfast
    <-- cho phép chuyển cổng ngay lập tức sang trạng thái chuyển tiếp
    spanning-tree bpduguard enable
    <-- nếu một BPDU được nhận trên cổng, nó sẽ chuyển sang có thể xử lý được

    interface GigabitEthernet0/4
    description Management
    switchport access vlan 100
    switchport mode access

    spanning-tree portfast
    spanning-tree bpduguard enable

    interface GigabitEthernet0/5
    description Support

    switchport access vlan 50
    switchport mode access
    spanning-tree portfast
    spanning-tree bpduguard enable

    2) Cấu hình Switch phòng Kế toán & Tài chính

    Lưu ý: Cấu hình quản lý thiết bị và ghi nhật ký vẫn giống như Switch Layer3 ở trên.

    Bước 1: Cấu hình VLAN lớp2

    Chỉ thêm vlans cần thiết trên Switch này.

    vlan 10
    name Device_Management
    !
    vlan 40

    name Accounting&Finance


    Bước 2: Cấu hình Port-Channel

    interface GigabitEthernet1/1
    description uplink Link 1 to Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,40
    switchport mode trunk
    channel-group
    1 mode on

    interface GigabitEthernet1/2
    description uplink Link 2 to Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,40
    switchport mode trunk
    channel-group 1 mode on
    !


    Bước 3: Giao diện quản lý

    interface Vlan10
    description Device_Management
    ip address 10.10.10.3 255.255.255.0


    Bước 4: Cấu hình giao diện truy cập cho người dùng

    Chỉ một giao diện cho mỗi vlan được hiển thị cho ngắn gọn

    interface GigabitEthernet0/3
    description Accounting
    switchport access vlan 40
    switchport mode access
    spanning-tree portfast
    spanning-tree bpduguard enable


    3) Cấu hình Switch phòng Callcenter & Sales

    Lưu ý: Cấu hình quản lý thiết bị và ghi nhật ký vẫn giống như Switch Layer3 ở trên.

    Bước 1: Cấu hình VLAN lớp2

    Chỉ thêm vlans cần thiết trên Switch này.

    vlan 10
    name Device_Management
    !
    vlan 20

    name Callcenter
    !
    vlan 30

    name Sales


    Bước 2: Cấu hình Port-Channel

    interface GigabitEthernet1/1
    description Link 1 to Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,20,30
    switchport mode trunk
    channel-group
    1 mode on
    !
    interface GigabitEthernet1/2
    description Link 2 to Switch AGGREGATION
    switchport
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan add
    10,20,30
    switchport mode trunk
    channel-group 1 mode on


    Bước 3: Giao diện quản lý

    interface Vlan10
    description Device_Management
    ip address 10.10.10.4 255.255.255.0


    Bước 4: Cấu hình giao diện truy cập cho người dùng

    Chỉ một giao diện cho mỗi vlan được hiển thị cho ngắn gọn

    interface GigabitEthernet0/3
    description Callcenter
    switchport access vlan 20
    switchport mode access
    spanning-tree portfast
    spanning-tree bpduguard enable
    !
    interface GigabitEthernet0/4
    description Sales
    switchport access vlan 30
    switchport mode access
    spanning-tree portfast
    spanning-tree bpduguard enable


    III. Cấu hình Bộ định tuyến (Router) Cisco để truy cập Internet

    Bước 1: Cấu hình Vlan nội bộ được kết nối với chuyển mạch lớp3

    vlan 10
    name Device_Management
    !

    interface FastEthernet0
    switchport mode access
    switchport access vlan 10


    Bước 2: Cấu hình giao diện lớp3

    interface GigabitEthernet1
    description WAN
    ip address 1.1.1.10 255.255.255.0
    no ip proxy-arp
    ip nat outside
    !
    interface Vlan10
    description Management
    ip address 10.10.10.5
    255.255.255.0
    ip nat inside


    Bước 3: Cấu hình NAT để chỉ cấp quyền truy cập cho Bộ phận quản lý

    ! NAT ACL chỉ khớp với mạng con quản lý công ty
    !
    ip access-list extended NAT
    permit ip 10.10.100.0 0.0.0.255 any
    !

    ip nat inside source list NAT interface GigabitEthernet1 overload
    !


    Bước 4: Cấu hình khác

    ! Cần có đường dẫn mặc định đến Internet
    ip route 0.0.0.0 0.0.0.0 1.1.1.1

    ! Một đường dẫn tĩnh đến mạng con quản lý là cần thiết
    ip route 10.10.100.0 255.255.255.0 10.10.10.1


    Lúc này, chỉ có Bộ phận quản lý mới có quyền truy cập internet đúng theo kịch bản và thiết kế ban đầu đưa ra.

    Chúc các bạn thực hiện thành công!
     
  2. bknet123

    bknet123 New Member

    Thanks. Mô hình chuẩn.
     

trang này