Announcement

**dangquangminh** · 30-05-2015, 08:20 PM

- Trên DHCP server, em đừng tạo DHCP pool cho vlan 91. Vlan 91 sẽ dùng DHCP pool được tạo trên router.
- em phải cấu hình tính năng ip helper-address trên router để chỉ về địa chỉ của server.
- Để triển khai tính năng bảo mật - ngăn không cho có vlan thấy nhau, em nên dùng ACL.

**baloc_90** · 01-06-2015, 09:55 AM

thanks a.e đã cấu hình DHCP ok cho các vlan kia,vlan 91 e đã tạo pool trên con router nhưng sao vẫn ko nhận DHCP,e ko biết là SW layer 3 có chặn gói tin quảng bá ko nên ko biết là cấu hình ip helper ở cổng nào.A có thể cho e xin mail để hỏi vài điều cụ thể hơn được không.

**dangquangminh** · 01-06-2015, 11:20 AM

Hi em,

Switch L3 sẽ chặn các UDP broadcast của DHCP. Do đó trên các cổng của interface vlan trên L3 switch hoặc trên con modem, em kiểm tra kỹ xem modem có tính năng ip helper-address không?

**baloc_90** · 02-06-2015, 09:10 AM

e đang giả lập trên packet tracer,các vlan nối với SW đã nhận DHCP nhưng vlan nhận từ router thì ko được.Trên SW đã bật ip routing ,cấu hình ip route qua cổng kết nối với router nhưng từ router ping tới máy trạm không được và ngược lại.

**dangquangminh** · 02-06-2015, 09:24 PM

em cần cấu hình ip helper-address. cấu hình này sẽ giúp đẩy các UDP broadcast từ các dhcp client ở các vlan khác về địa chỉ IP của DHCP server trong vlan 91.

**baloc_90** · 03-06-2015, 12:23 PM

Mô hình của e là 1 con router - > 1 SW layer 3 -> 1SW Layer 2 và các máy trạm kết nối với SW layer 2 được chia thành các vlan khác nhau,các vlan ket nối với SW layer 2 thì nhận DHCP từ server ok.Vlan 91 nối trực tiếp với SW layer 3 nhận DHCP từ router thì ko được,e đã thử cấu hình ip helper-address trên cổng SW L3 kết nối với router và trên interface vlan 91 đều ko được.e đang phân vân vấn đề là đứng ở cổng kết nối với SW và router hay interface vlan91 để cấu hình ip helper address và ip helper là ip cổng router phải không ???

**baloc_90** · 03-06-2015, 12:28 PM

Mô hình của e đây ạ,và đây là yêu cầu:

Gateway cho mạng đặt trên L3
Server đóng vai trò DHCP server cấp IP cho Vlan1,21,31,41,51,61,71
Router đóng vai trò DHCP Server cấp IP cho Vlan91

Yêu cầu: Các PCs trong Vlan1,21,31,41,51 thấy được nhau.
PC trong Vlan 71 chỉ thấy được server, pc trong vlan1 nhưng không thấy được PCs trong các Vlan khác. Các PC trong Vlan khác cũng không thấy được PC trong Vlan 71.
PC trong Vlan61 thấy được tất cả PC trong các Vlan1,21,31,41,51 nhưng ngược lại thì không được.
Các PC trong Vlan91 không thấy được PC trong các Vlan còn lại và ngược lại.( không biết mình có cần trunk cổng vlan 91 với SW layer 3 không ) ???

**dangquangminh** · 04-06-2015, 10:36 PM

giữa switch L3 và router phải cấu hình trunk.

giữa switch L3 và router em cũng nên chạy một dynamic routing protocol (OSPF/RIP/EIGRP).

**baloc_90** · 05-06-2015, 04:10 PM

cảm ơn a ,cho e hỏi vì sao phải nên chạy một dynamic routing mà ko phải chạy static route là đủ rồi,e đã ping thông giờ đến mục chặn.E tạo 1 ACL với mục đích cấm tất cả các vlan thấy được vlan 61 : Extended IP access list chanvao61
10 deny icmp any 192.168.61.0 0.0.0.255 echo
20 deny icmp any 192.168.61.0 0.0.0.255 echo-reply

và nên add vào cổng nào.sao e add vào interface vlan 61 theo 2 chiều đều không có tác dụng.

**dangquangminh** · 05-06-2015, 10:16 PM

Extended IP access list chanvao61
10 deny icmp any 192.168.61.0 0.0.0.255 echo
20 deny icmp any 192.168.61.0 0.0.0.255 echo-reply
30 permit ip any any

sau đó em áp dụng vào các interface vlan khác, không áp dụng vào interface vlan 61 được. Vlan 61 dùng default gateway trên router chứ không phải trên layer 3 switch.

interface vlan21
ip access-group chanvao61 in

**baloc_90** · 06-06-2015, 09:38 AM

vlan 1,21,31,41,51,61 đều nằm trên SW layer 3,giờ viết ACL chặn các vlan 1,21,31,41,51 thấy 61 nhưng vlan 61 vẫn thấy các vlan đó làm sao a,sao e add cái ACL ở trên vào thì nó ko tác dụng.Còn e chặn theo kiểu standar thì nó cấm ping được tới 61 nhưng 61 cũng ko thấy các vlan khác.có cách nào chặng 1 chiều ko a.Còn vô cổng interface thì hình như áp theo chiều out mới tác dụng còn in thi ko đó a.

**dangquangminh** · 06-06-2015, 10:42 PM

1. ACL trên chỉ cấm ping. Em phải chỉ rõ thêm các loại traffic khác giữa các vlan 1,21,31,41,51 đến vlan 61. Em có thể cấm hoặc cho phép các loại traffic khác bằng cách bổ sung thêm, sửa đổi ACL này.
2. Nếu em muốn chặn 1 chiều theo kiểu em mô tả, em có thể triển khai private vlan. Trong đó vlan 61 là primary. Tuy nhiên, trong mô hình mạng của em, em không cần thiết phải triển khai private vlan vì tính phức tạp. Em nên giữ hệ thống mạng đơn giản, dễ hiểu và dễ quản trị.

**baloc_90** · 20-07-2015, 03:48 PM

Cho e hỏi giờ bên em có nhu cầu cho phép vlan61 nhìn thấy được tất cả các vlan,các vlan khác không nhìn thấy,truy cập,truy xuất dữ liệu được vào vlan này thì có cách nào dễ thiết lập không anh.

**hoatit91** · 23-07-2015, 06:44 PM

Cảm ơn anh đã chia sẻ

Announcement

giúp đỡ cấu hình mô hình mạng

giúp đỡ cấu hình mô hình mạng

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment