từ default gateway, bạn ping được đến các server chưa? Trong hình, bạn có các DNS server. Có phải bạn đang không ping được các DNS server này phải ko?

Reply to Mr Minh

Dạ phải, từ default gateway (DG) em không thể phing tới bất kỳ máy nào trong VLAN tại đơn vị cả. Chỉ ping được tới các Switch thôi

tại 2 switch 2950 em đặt DG là địa chỉ con router, switch tại đơn vị cũng thế.
Rầt mong anh Minh và các cao thủ chỉ giáo vài chiêu.
Thành thật đa tạ

hi
các switch bạn có cấu hình trunking không ? Nếu có, cấu hình trunking bạn có kiểm tra là đã chạy chưa?

Vì mỗi đơn vị là 1 VLAN, và mỗi switch có 24 port nên em dùng cổng 24 để cấu hình trunk
Tại Switch mỗi đơn vị em cấu hình cổng 24 như sau:
switchport mode trunk
switchport trunk allowed vlan all
Tại 2 con 2950 ở trung tâm em cấu hình trunking tại 2 port (vì 2 đơn vị dùng chung 1 đường về nên từ media converter về đến switch là 1 port, 1 port lên con 2950 trước khi vào router)
Tại 2 con 2950 này em cũng đã trunking

2 switch từ trung tâm ping thấy nhau và thấy các switch đơn vị. Nhưng switch tại đơn vị ping không thấy switch tại trung tâm.

các switch đơn vị ping chưa thấy là do em chưa gán default gateway cho các switch.

Cụ thể là em có dùng lệnh
ip default-gateway q.q.q.q

trên các switch đơn vị chưa?

q.q.q.q là địa chỉ của default gateway.

xem thêm cách cấu hình trunking ở đây:

Chào anh Minh
để các máy của đơn vị truy cập vào internet, mình phải làm sao, có liên quan đến ACL không ha anh
Chuyên ngành của em là Phát triển phần mềm nên phần quản trị mạng em hơi rối, anh Minh giúp dùm em nha

để cho các máy đơn vị đi vào Internet được, bạn phải cấu hình phần routing giữa các vlan trước, sau đó cho các vlan này có default gateway. ACL chỉ được dùng để triển khai chính sách ngăn cấm một số máy, một số vlan đi Internet.

* Theo sơ đồ của bạn mình nhận xét như sau:
1. Hệ thống của bạn có các subnet:
10.xxx.0.0/24
10.xxx.1.0/24
10.xxx.8.0/24
10.xxx.16.0/24
2. Các switch đã được cấu hình trunk để có cùng 1 vlan database
3. Default gateway để đi ra Internet là 10.xxx.0.180



*Giải pháp đề nghị:

1. Vì bạn ko nói rõ vlan nào được gán cho subnet nào nên tạm thời mình gán các subnet như sau:
10.xxx.0.0/24 - vlan 2
10.xxx.1.0/24 - vlan 3
10.xxx.8.0/24 - vlan 4
10.xxx.16.0/24 - vlan 5

2. Để các máy trong các Vlan có thể truy xuất qua lại, bạn phải dùng 1 thiết bị layer 3 để route giữa các Vlan. ở đây mình thấy Router 2621 có 1 kết nối đến S2950. Việc đầu tiên cần làm là chia kết nối vật lý giữa Router 2621 và Switch 2950 thành nhiều kết nối logic (sub-Interface), mỗi sub-Interface sẽ đại diện là gateway cho một Vlan.
Giả sử bạn dùng Interface F0/1 của Router 2621 kết nối với Interface F0/23 của S2950
như vậy các sub-Interface trên router sẽ như sau:
interface f0/1.2 có ip là 10.xxx.0.3 sẽ đại diện cho vlan 2
interface f0/1.3 có ip là 10.xxx.1.3 sẽ đại diện cho vlan 3
interface f0/1.4 có ip là 10.xxx.8.3 sẽ đại diện cho vlan 4
interface f0/1.5 có ip là 10.xxx.16.3 sẽ đại diện cho vlan 5

Đến đây các PC trong các Vlan có thể truy xuất qua lại với nhau (với điều kiện: default gateway của các PC trong mỗi Vlan là địa chỉ sub-Interface đại diện cho vlan đó, ví dụ : default gateway của PC trong vlan 3 có Ip là 10.xxx.1.3).

3. Trên Router 2621 bạn cấu hình 1 default route để Router sẽ forward traffic ra internet.
Đến đây, các PC đã có thể truy cập Internet (chú ý: bạn phải cấu hình DNS forwarder cho các DNS server, với DNS forwarder là DNS server của ISP, ví dụ: đối với FPT là 210.245.31.130 hay 210.245.31.10)

------Cấu hình trên Router:
Router(config)# int f0/1.2
Router(config-if)# encapsulation dot1q 2 (2 là vlan ID)
Router(config-if)# ip address 10.xxx.0.3 255.255.255.0
Router(config-if)# no shut
Router(config-if)# int f0/1.3
Router(config-if)# encapsulation dot1q 3
Router(config-if)# ip address 10.xxx.1.3 255.255.255.0
Router(config-if)# no shut
Router(config-if)# int f0/1.4
Router(config-if)# encapsulation dot1q 4
Router(config-if)# ip address 10.xxx.8.3 255.255.255.0
Router(config-if)# no shut
Router(config-if)# int f0/1.5
Router(config-if)# encapsulation dot1q 5
Router(config-if)# ip address 10.xxx.16.3 255.255.255.0
Router(config-if)# no shut
Router(config)# ip route 0.0.0.0 0.0.0.0 10.xxx.0.180

------Cấu hình trên Switch:
Switch(config)# int f0/23
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan all

Ngoài ra để cho phép hay chặn việc truy cập Internet bạn có thể đặt access-list lên các Interface của Router


Thân chào !!!!

Chào anh Minh, chaubathong
Cám ơn sự giúp đỡ của mọi người, để em cấu hình theo sự tư vấn trên. Nếu có lỗi, rất mong giúp em thêm.
Cám ơn rất nhiều

Chào anh Minh, chaubathong.
anh chaubathong ghi la "Trên Router 2621 bạn cấu hình 1 default route để Router sẽ forward traffic ra internet.
Đến đây, các PC đã có thể truy cập Internet (chú ý: bạn phải cấu hình DNS forwarder cho các DNS server, với DNS forwarder là DNS server của ISP, ví dụ: đối với FPT là 210.245.31.130 hay 210.245.31.10)"
Em chưa rõ lắm. Anh có thể nói chi tiết hơn được không?
Hiện tại các đơn vị đã thông với server trung tâm. Nhưng các máy đơn vị vẫn chưa vào Internet được.
Ở trung tâm các máy muốn kết nối với internet phải đặt DG là 10.xxx.0.180, nhưng hiện tại, tại các switch ở các đơn vị em đặt DG là địa chỉ của con Router 10.xxx.0.250 như vậy có được không? Tại các máy đơn vị đã ping thấy máy 10.xxx.0.180, nhưng ping địa chỉ của ISP vd: 203.162.4.190 thì chưa thấy.
Mọi người cố gắng giúp dùm em nha.
Cám ơn thật nhiều

trên router đã route tất cả các máy vào internet qua 10.xxx.0.180 rồi
vd: 0.0.0.0 0.0.0.0 10.xxx.0.180

* Sorry bạn hôm trước mình quên một chuyện là phải cấu hình route cho Internet Gateway (tạm gọi là ADSL modem)
Tức là phải hướng dẫn ADSL modem trả gói tin ngược về cho các mạng ở trong, bạn phải vào modem ADSL và add các route sau đây vào:
-Network 10.xxx.8.0/24 gateway 10.xxx.0.3
-Network 10.xxx.16.0/24 gateway 10.xxx.0.3
-Network 10.xxx.1.0/24 gateway 10.xxx.0.3


để truy cập được Internet bạn phải đảm bảo hai điều sau đây:
thứ nhất phải route packet đến được Internet Gateway
thứ hai là phải cấu hình DNS để phân giải tên miền

nếu bạn đang sử dụng các DNS server cục bộ thì trên các server này bạn phải cấu hình DNS forwarder để có thể phân giải tiên miền của Internet (hình như bạn đang xài Internet của VDC như vậy DNS forwarder sẽ là 203.162.4.190 và 203.162.4.11)

các máy tại Trung tâm có thể dùng gateway là 10.xxx.0.180 vì các máy ở đây cùng lớp mạng với internet gateway