Tweet
em có mô hình như trên
em cấu hình theo bài lab này:
em cấu hình theo bài lab này:
Attached Files
-
Last edited by tranvoluong; 07-06-2015, 01:08 AM. -
Em cấu hình vpn site to site thì các site đã thấy nhau rồi nhưng còn một vấn đề nữa là em có chia vlan như sau:
vlan10: 192.168.1.0/26
vlan20: 192.168.1.64/27
----- site A-----
vlan10: 192.168.2.0/26
vlan20: 192.168.2.64/27
----- site B-----
Lúc em tạo ACL thì câu lệnh như sau:
access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.0 0.0.0.63
vlan10(siteA) ------ vlan10 (siteB) => ping ok
access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.64 0.0.0.31
vlan10(siteA) ------ vlan20 (siteB) => ping không được
nghĩa là nó chỉ thấy nhau theo từng cặp một (10---10), (20----20)
còn nếu ta cấu hình 1 vlan bên này thấy tất cả các vlan bên kia thì không được.
em không hiểu tại sao lại như vậy, và có cách nào để cấu hình được không.
Lúc trước em cứ nghĩ là mình chia mạng con trong lớp mạng cha: 192.168.1.0/24
rồi lúc tạo ACL thì lấy nguyên lớp mạng cha là được nhưng không phải vậy.
Rất mong nhờ thầy và các bạn giúp đỡ
Last edited by tranvoluong; 07-06-2015, 01:22 AM. -
em kiểm tra kỹ lại là lớp mạng 192.168.1.64/27 có phải là mạng con của 192.168.1.0/26 không? Nếu không phải thì thì phải permit thêm các traffic từ mạng 192.168.1.64/27 vào crypto ACL.Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417
Email : dangquangminh@vnpro.org
https://www.facebook.com/groups/vietprofessional/Comment
-
Không ý định của em là chia mạng: 192.168.1.0/24 ra thành nhiều mạng con hơn, để khi cấu hình acl mình chỉ cần cho lớp mạng 192.168.1.0/24 truy cập vô lớp mạng 192.168.2.0/24 thay vì phải tạo acl cho nhiều mạng con. nhưng hình như không được nó không hiểu.Originally posted by dangquangminh View PostComment
-
Dạ được rồi anh ơi, ý tưởng của em là chia vlan cho các phòng ban và mỗi phòng ban dùng một subnet của lớp mạng 192.168.1.0/24, bên site đối diện mình làm tương tự sau đó kết nối giữa hai site lại với nhau bằng vpn sao cho 1 vlan bên này có thể thấy nhiều vlan bên kia.
Nhưng hôm qua làm mãi không được, hôm nay thử lại thì được :)
À mà em nghe nói trên thực tế nếu doanh nghiệp có vài chục người (20 - 30) xài vpn thì được, chứ nếu trên bảy tám chục mà chạy vpn thì không nổi. lúc đó người ta thuê lease line kênh trắng để nối điểm điểm giữa các site lại với nhau. Điều này có đúng không anh?Comment
-
Cho em hỏi trong trường hợp mình thêm một nhanh nữa để hình thành vpn hình tam giác giữa các chi nhánh thì trên mỗi router mình phải cấu hình 2 crypto map phải không anh?Comment
-
nếu có 1 chi nhánh nữa thì em làm mô hình hub-and-spoke. Một văn phòng chính và 2 chi nhánh.
trên router ở head office làm 2 crypto map.
Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417
Email : dangquangminh@vnpro.org
https://www.facebook.com/groups/vietprofessional/Comment
Comment