Tweet
Hi,
Có ai giúp mình cái này với.
Mô hình mạng như sau :
LAN : DC, BDC, File Server, Application Server, Terminal Server.
DMZ : Web Server, FTP Server, Mail Server.
1 Firewall Cisco ASA 5510 + AntiX.
1 Cisco Router 2811 HSEC/K9.
1 Switch tổng HP 2800 Series 24 port layer3.
8 Switch con HP 1800 Series + 2500 Series layer 2.
LAN --- Firewall ASA 5510 ----Cisco 2811 ---(1 Leased line + 1 ADSL).
............... |
............... DMZ
Mình có các yêu cầu phân chia như sau :
+ 1 nhóm riêng cho các máy sử dụng phần mềm Kế toán (rất quan trọng), các máy khác không thể truy cập được nhóm này.
+ 1 nhóm riêng cho các máy Laptops thường xuyên ra ngoài, có thể có hoặc không join domain ( và mang virus về ).
+ 1 nhóm riêng cho cá máy còn lại.
+ Các nhóm đều phải truy cập được DC và File Server.
Theo suy nghĩ của mình thì phải chia ra các NET khác nhau, như vậy, đồng nghĩa phải có Router, hoặc 1 Router phần cứng của Cisco có nhiều port, hoặc 1 máy Windows 2003 có nhiều Card mạng dùng làm Router.
Sau khi tham khảo 1 số bài viết về VLAN, mình biết được là VLAN có thể làm được việc này. Mình định chia mỗi nhóm là 1 VLAN, như vậy, lần lượt sẽ có các VLAN là VLAN1, VLAN2, VLAN3, VLAN4. Giả sử :
VLAN1 : 10.10.10.0/24
VLAN2 : 10.10.9.0/24
VLAN3 : 10.10.8.0/24
VLAN4 : 10.10.7.0/24
Tuy nhiên, do trước giờ không tiếp xúc nhiều với các khái niệm trong chương trình của Cisco nên hơi bị lùng bùng, mất định hướng (chắc là hiểu chưa tới). Cụ thể là mình đang thắc mắc.
1. Ở Switch 1, chia VLAN 2, VLAN3. Switch 2 chia VLAN2, VLAN4 chẳng hạn, 2 switch nối với nhau bằng 1 đường trunking. Như vậy, chỉ cần VID của VLAN2 ở Switch 1 giống VID của VLAN2 ở Switch 2 thì kể như VLAN2 là chung (tức là cùng Subnet)??? Port trunk ở Switch 1 phải thuộc VLAN2, tương tự cho port trunk ở Switch 2 ?
2. Trong trường hợp các Switch con Layer2 có chia VLAN2, VLAN3, VLAN4, (mỗi Switch đều chia ít nhất 2 VLAN), mỗi Switch sẽ được nối về Switch tổng bằng 1 đường Trunking (vì Switch có hỗ trợ 802.1q). Trên Switch tổng (Layer 3) thì mình có VLAN1 bao gồm Domain Controller1, Domain Controller2, File Server. Sau đó, để các VLAN khác thấy được VLAN1 (bao gồm DC, BDC và File Server), mình định làm như sau :
+ Cấu hình Routing dựa vào tính năng Routing trên Switch layer 3.
+ Cấu hình Routing trên Firewall ASA 5510 hoặc Cisco Router 2811.
Vậy thì có được không ? Có đáp ứng được yêu cầu của mình là các VLAN không thấy nhau nhưng đều thấy VLAN1 và vùng DMZ?
3. Việc cấp DHCP. Mình cũng đọc tài liệu và biết rằng phải tạo nhiều scope trên DHCP Server (Windows 2003), trên Switch phải có hỗ trợ DHCP Relay Agent (trong Cisco và HP thì mình thấy có lệnh là ip helper-addresses).
Nhưng theo cách nối ở trên ( mỗi Switch layer 2 đều nối về Switch tổng bằng 1 đường Trunking) thì liệu các máy tính khi gắn vào port thuộc VLAN nào đó có nhận đúng IP trong dãy của VLAN đó (do DHCP Server cấp phát) ? Hay phải yêu cầu tất cả Switch tổng lẫn Switch con đều hỗ trợ DHCP Relay Agent ?
Sorry nếu thấy hỏi quá nhiều. Tuy nhiên, mình biết là đã hỏi đúng chổ, đúng sở trường của mọi người rồi, đúng không nhỉ ?
Có ai giúp mình cái này với.
Mô hình mạng như sau :
LAN : DC, BDC, File Server, Application Server, Terminal Server.
DMZ : Web Server, FTP Server, Mail Server.
1 Firewall Cisco ASA 5510 + AntiX.
1 Cisco Router 2811 HSEC/K9.
1 Switch tổng HP 2800 Series 24 port layer3.
8 Switch con HP 1800 Series + 2500 Series layer 2.
LAN --- Firewall ASA 5510 ----Cisco 2811 ---(1 Leased line + 1 ADSL).
............... |
............... DMZ
Mình có các yêu cầu phân chia như sau :
+ 1 nhóm riêng cho các máy sử dụng phần mềm Kế toán (rất quan trọng), các máy khác không thể truy cập được nhóm này.
+ 1 nhóm riêng cho các máy Laptops thường xuyên ra ngoài, có thể có hoặc không join domain ( và mang virus về ).
+ 1 nhóm riêng cho cá máy còn lại.
+ Các nhóm đều phải truy cập được DC và File Server.
Theo suy nghĩ của mình thì phải chia ra các NET khác nhau, như vậy, đồng nghĩa phải có Router, hoặc 1 Router phần cứng của Cisco có nhiều port, hoặc 1 máy Windows 2003 có nhiều Card mạng dùng làm Router.
Sau khi tham khảo 1 số bài viết về VLAN, mình biết được là VLAN có thể làm được việc này. Mình định chia mỗi nhóm là 1 VLAN, như vậy, lần lượt sẽ có các VLAN là VLAN1, VLAN2, VLAN3, VLAN4. Giả sử :
VLAN1 : 10.10.10.0/24
VLAN2 : 10.10.9.0/24
VLAN3 : 10.10.8.0/24
VLAN4 : 10.10.7.0/24
Tuy nhiên, do trước giờ không tiếp xúc nhiều với các khái niệm trong chương trình của Cisco nên hơi bị lùng bùng, mất định hướng (chắc là hiểu chưa tới). Cụ thể là mình đang thắc mắc.
1. Ở Switch 1, chia VLAN 2, VLAN3. Switch 2 chia VLAN2, VLAN4 chẳng hạn, 2 switch nối với nhau bằng 1 đường trunking. Như vậy, chỉ cần VID của VLAN2 ở Switch 1 giống VID của VLAN2 ở Switch 2 thì kể như VLAN2 là chung (tức là cùng Subnet)??? Port trunk ở Switch 1 phải thuộc VLAN2, tương tự cho port trunk ở Switch 2 ?
2. Trong trường hợp các Switch con Layer2 có chia VLAN2, VLAN3, VLAN4, (mỗi Switch đều chia ít nhất 2 VLAN), mỗi Switch sẽ được nối về Switch tổng bằng 1 đường Trunking (vì Switch có hỗ trợ 802.1q). Trên Switch tổng (Layer 3) thì mình có VLAN1 bao gồm Domain Controller1, Domain Controller2, File Server. Sau đó, để các VLAN khác thấy được VLAN1 (bao gồm DC, BDC và File Server), mình định làm như sau :
+ Cấu hình Routing dựa vào tính năng Routing trên Switch layer 3.
+ Cấu hình Routing trên Firewall ASA 5510 hoặc Cisco Router 2811.
Vậy thì có được không ? Có đáp ứng được yêu cầu của mình là các VLAN không thấy nhau nhưng đều thấy VLAN1 và vùng DMZ?
3. Việc cấp DHCP. Mình cũng đọc tài liệu và biết rằng phải tạo nhiều scope trên DHCP Server (Windows 2003), trên Switch phải có hỗ trợ DHCP Relay Agent (trong Cisco và HP thì mình thấy có lệnh là ip helper-addresses).
Nhưng theo cách nối ở trên ( mỗi Switch layer 2 đều nối về Switch tổng bằng 1 đường Trunking) thì liệu các máy tính khi gắn vào port thuộc VLAN nào đó có nhận đúng IP trong dãy của VLAN đó (do DHCP Server cấp phát) ? Hay phải yêu cầu tất cả Switch tổng lẫn Switch con đều hỗ trợ DHCP Relay Agent ?
Sorry nếu thấy hỏi quá nhiều. Tuy nhiên, mình biết là đã hỏi đúng chổ, đúng sở trường của mọi người rồi, đúng không nhỉ ?
Comment