Thêm router cisco C7200 vào EVE

Link: https://drive.google.com/drive/folders/1Twu7QIdhZ_H0kdLCSLAAiXZABOg44_3_

Sau khi tải image về, upload lên EVE và fix permissions: c7200-adventerprisek9-mz.152-4.S6.bin

Kiểm tra kq:

Sophos FW - Cơ chế hoạt động của Dead Peer Detection (DPD) trong VPN

Cơ chế hoạt động của Dead Peer Detection (DPD)

DPD là một cơ chế được thiết kế để xác định xem một peer (đầu cuối) VPN có còn hoạt động hay không. Nó hoạt động như sau:

Gửi gói tin kiểm tra: Sophos Firewall sẽ định kỳ gửi các gói tin nhỏ (R-U-THERE messages) đến peer VPN đối diện.

Đợi phản hồi: Nó sẽ chờ đợi phản hồi (R-U-THERE-ACK messages).

Hành động khi mất kết nối:

Nếu không nhận được phản hồi trong một khoảng thời gian nhất định, Sophos sẽ coi peer đó là không thể truy cập.

Sophos sẽ thực hiện hành động được cấu hình, thường là ngắt kết nối và tự động tái khởi tạo (re-initiate) lại VPN tunnel.

Sophos không cho phép chỉnh sửa trực tiếp các profile mặc định. Do đó, để thay đổi thời gian phát hiện mất kết nối VPN, bạn cần clone (tạo bản sao) profile mặc định đó, sau đó chỉnh sửa bản sao và áp dụng nó cho VPN connection.

1. Cách clone (tạo bản sao) profile "DefaultHeadOffice"

1. Đăng nhập vào Sophos Web Admin GUI.

2. Điều hướng đến VPN > IPsec profiles.

3. Tìm profile DefaultHeadOffice trong danh sách.

4. Nhấp vào biểu tượng Clone (biểu tượng hình hai tờ giấy) nằm bên cạnh profile đó.

5. Đặt một tên mới cho profile được clone (ví dụ: MyHeadOffice_VPN_Profile).

6. Lưu lại.

Sau khi clone, bạn sẽ có một profile mới có thể chỉnh sửa được.

2. Chỉnh sửa thời gian detect ngắn nhất

1. Tiếp tục ở trang VPN > IPsec profiles, tìm đến profile mới mà bạn vừa tạo (MyHeadOffice_VPN_Profile).

2. Nhấp vào biểu tượng Edit (cây bút chì) để chỉnh sửa.

3. Tìm mục Dead Peer Detection.

4. Điều chỉnh các thông số sau để giảm thời gian phát hiện:

   • Check peer after every: Giảm giá trị này xuống mức tối thiểu có thể. Sophos thường giới hạn giá trị này để tránh gửi quá nhiều gói tin DPD.

   • Wait for response up to: Giảm giá trị này xuống thấp nhất. Đây là thời gian chờ phản hồi trước khi Sophos coi kết nối đã mất.

Lưu ý: Không nên đặt các giá trị quá thấp để tránh việc ngắt kết nối không cần thiết do độ trễ mạng tạm thời.

5. Lưu lại các thay đổi của profile.

3. Áp dụng profile mới cho kết nối VPN

1. Điều hướng đến Site-to-site VPN > IPsec.

2. Nhấp vào biểu tượng Edit của VPN connection bạn muốn thay đổi.

3. Tại mục Encryption, trong phần Profile, chọn profile mới mà bạn vừa tạo (MyHeadOffice_VPN_Profile) thay vì profile mặc định (DefaultHeadOffice).

4. Lưu lại cấu hình. 🌐

Lúc này, VPN connection của bạn sẽ sử dụng profile mới với các thông số DPD đã được điều chỉnh.

Cấu hình đúng

Để đảm bảo kết nối VPN tự động phục hồi một cách hiệu quả và không bị xung đột, bạn nên thiết lập theo mô hình "chủ động - bị động":

1. Site HQ (Trụ sở chính):

   • Gateway type: Chọn Initiate the connection.

   • When peer unreachable: Chọn Re-initiate.

   • Mục đích: HQ sẽ luôn là bên chủ động, có nhiệm vụ giám sát và khởi tạo lại kết nối khi cần.

2. Site A (Chi nhánh):

   • Gateway type: Chọn Respond only.

   • When peer unreachable: Chọn Re-initiate hoặc Disconnect.

     • Re-initiate: Cho phép site A tự động kết nối lại nếu kết nối bị ngắt từ phía nó, nhưng nó sẽ không chủ động kết nối nếu HQ không phản hồi.

     • Disconnect: Ngắt kết nối và đợi HQ chủ động kết nối lại.

Việc thiết lập này đảm bảo chỉ một bên duy nhất (HQ) chịu trách nhiệm khởi tạo kết nối, tránh tình trạng hai thiết bị "đua nhau" kết nối lại.

[Lab EVE]- VPN site to site (IPsec) với sophos FW

 

Xây dựng mô hình Lab eve như sô đồ trên.

Vào host & service:

>> Bên site HQ (headquarter) định nghĩa LAN: HQ_LAN với network: 172.16.16.0/24

>> Bên site con (Site A) định nghĩa SITEA_LAN với network: 173.17.17.0/24

Dùng wizard (thuật sĩ) để tạo IPsec connections cho 2 bên:

Chọn initate the connection tại HQ, và Site A chọn respond only để khi mất kết nối sẽ auto reconnect lại VPN nhé.

Chọn Initiate the connection chỉ ở một bên (thường là site chính, như HQ) và chọn Respond only cho bên còn lại (site phụ).

Lý do và giải thích chi tiết

Initiate the connection (Khởi tạo kết nối)

Khi bạn chọn Initiate the connection cho một site, thiết bị Sophos Firewall của site đó sẽ chủ động gửi yêu cầu kết nối VPN đến site đối diện. Nó sẽ liên tục thử lại nếu kết nối bị ngắt.

Respond only (Chỉ phản hồi)

Khi bạn chọn Respond only, thiết bị Sophos Firewall của site đó sẽ chỉ chờ đợi và chấp nhận các yêu cầu kết nối đến từ phía đối diện. Nó sẽ không tự động khởi tạo kết nối.

Tại sao nên chọn kết hợp?

Việc chọn Initiate the connection ở cả hai bên sẽ tạo ra một "cuộc đua" (race condition) khi cả hai thiết bị đều cố gắng khởi tạo kết nối đồng thời. Điều này có thể dẫn đến việc kết nối không ổn định hoặc không thể thiết lập được.

Để đảm bảo kết nối tự động phục hồi và hoạt động ổn định, bạn nên thiết lập như sau:

• Site HQ (Trụ sở chính): Chọn Initiate the connection 

• ✅. Điều này đảm bảo rằng HQ luôn là bên chủ động, sẽ tự động tái kết nối nếu VPN bị ngắt.

• Site văn phòng/chi nhánh: Chọn Respond only 

• ✅. Site này sẽ chỉ chờ và chấp nhận kết nối từ HQ.

Cấu hình này tạo ra một mô hình "Hub-and-Spoke" đơn giản, trong đó HQ đóng vai trò là "Hub" (trung tâm) và các chi nhánh là "Spoke" (nan hoa), đảm bảo sự ổn định và dễ quản lý cho toàn bộ hệ thống.

Tạo rule in/out cho VPN tại mỗi site, thêm rules cho LAN tại mỗi bên ra NET

Kiểm tra lại kết quả: từ HQ ping sang site A và ngược lại:

Lệnh cơ bản để bật SNMP (Simple Network Management Protocol) trên thiết bị Cisco.

 Đây là các lệnh cơ bản để bật SNMP (Simple Network Management Protocol) trên thiết bị Cisco.

---

Cấu hình SNMPv2c (Không bảo mật)

Đây là cách nhanh nhất để bật SNMP, sử dụng một chuỗi cộng đồng (community string) như một mật khẩu.

Router(config)# snmp-server community <community-string> RO

• <community-string>: Tên chuỗi mà bạn sẽ sử dụng để truy cập SNMP. Ví dụ: public.

• RO: Quyền chỉ đọc (Read-Only). Bạn cũng có thể dùng RW để có quyền đọc-ghi, nhưng không khuyến khích.

---

Cấu hình SNMPv3 (Có bảo mật)

Đây là phiên bản được khuyến khích vì nó hỗ trợ mã hóa và xác thực.

1. Tạo Group:

   Router(config)# snmp-server group <group-name> v3 <privacy | auth | noauth>
   

   Chọn mức bảo mật (privacy là cao nhất).

2. Tạo User:

   Router(config)# snmp-server user <user-name> <group-name> v3 auth <auth-algorithm> <auth-password> priv <priv-algorithm> <priv-password>
   

   Lệnh này tạo một người dùng, gán vào nhóm đã tạo và thiết lập mật khẩu xác thực cũng như mật khẩu mã hóa.

---

Lưu ý

• Bạn cần phải ở chế độ Global Configuration (Router(config)#) để thực hiện các lệnh trên.

• Sau khi cấu hình, hãy lưu lại bằng lệnh write memory hoặc copy running-config startup-config.

Bảng kham khảo thời gian lưu điện UPS

 Danh sách thiết bị và công suất tiêu thụ:

1. Bộ phát WiFi – 10W
2. Camera an ninh – 15W
3. Tivi, màn hình LCD – 25W
4. Thiết bị lưu trữ di động – 50W
5. Máy tính để bàn – 80–300W

Trong thực tế, các quy tắc này được áp dụng và việc tính toán thời gian lưu điện cho UPS là chính xác. Tuy nhiên, thời gian này có thể thay đổi do một số yếu tố.

Yếu tố ảnh hưởng đến thời gian lưu điện

• Tuổi thọ ắc-quy: Ắc-quy của UPS sẽ mất dần dung lượng theo thời gian. Một ắc-quy đã sử dụng được 2-3 năm sẽ có thời gian lưu điện thấp hơn nhiều so với ắc-quy mới.

• Nhiệt độ môi trường: Nhiệt độ quá cao có thể làm giảm tuổi thọ và hiệu suất của ắc-quy, dẫn đến thời gian lưu điện ngắn hơn.

• Loại tải (tải điện dung hay điện cảm): Loại thiết bị mà UPS cấp điện cũng ảnh hưởng đến hiệu suất.

• Số lượng thiết bị: Bạn đã tính toán đúng công suất cho từng thiết bị. Khi bạn kết nối nhiều thiết bị hơn, tổng công suất tải tăng lên và thời gian lưu điện sẽ giảm xuống.

Cisco Catalyst C1300 - Tập Lệnh Cấu Hình Chi Tiết

 Cisco Catalyst C1300 - Tập Lệnh Cấu Hình Chi Tiết

=================================================

1. Truy cập CLI

---------------

- Qua cổng console hoặc SSH

2. Cấu hình ban đầu

-------------------

enable

configure terminal

hostname Switch-C1300

3. Cấu hình IP cho VLAN quản lý

-------------------------------

interface vlan 1

ip address 192.168.1.10 255.255.255.0

no shutdown

exit

ip default-gateway 192.168.1.1 (thêm lệnh này nếu cần ssh từ 1 subnet khác)

4. Tạo người dùng và phân quyền

-------------------------------

username admin privilege 15 password Admin@123

enable password level 15 Enable@123

5. Cấu hình port access hoặc trunk

----------------------------------

# Port Access

interface gigabitEthernet1/0/1

switchport mode access

switchport access vlan 10

spanning-tree portfast

# Port Trunk

interface gigabitEthernet1/0/24

switchport mode trunk

switchport trunk allowed vlan 10,20,99

6. Tạo VLAN

-----------

vlan 10

name HR

exit

vlan 20

name IT

exit

vlan 99

name Management

exit

7. Bật SSH để quản lý từ xa

configure terminal

username admin privilege 15 password Admin@123

ip ssh server

ip ssh password-authentication enable

exit

8. Kiểm tra trạng thái

----------------------

show vlan

show running-config

show mac address-table

show version

show interfaces

show interfaces status

show interfaces description

show interfaces vlan

show interfaces trunk

show interfaces switchport

9. Sao lưu cấu hình

-------------------

copy running-config startup-config

Thêm sophos vào EVE lab (image : VI-19.0.2_MR-2.KVM-472.zip)

 Link tải: https://download.sophos.com/network/SophosFirewall/installers/index.html

VI-19.0.2_MR-2.KVM-472.zip 

1. Chuẩn bị file image

Bạn cần có các file ảnh đĩa của Sophos Firewall ở định dạng QCOW2, thường là PRIMARY-DISK.qcow2 và AUXILIARY-DISK.qcow2.

---

2. Tải file lên EVE-NG

Sử dụng WinSCP hoặc FileZilla để tải các file này lên máy chủ EVE-NG.

• Kết nối đến EVE-NG.

• Tạo thư mục mới trong /opt/unetlab/addons/qemu/sophosxg-fw-19.0.2

• Tải hai file PRIMARY-DISK.qcow2 và AUXILIARY-DISK.qcow2 vào thư mục vừa tạo.

---

3. Đổi tên và cấp quyền

Truy cập terminal của EVE-NG và thực hiện các lệnh sau:

• Di chuyển đến thư mục chứa file Sophos:

  cd /opt/unetlab/addons/qemu/sophosxg-fw-19.0.2

• Đổi tên file theo quy chuẩn của EVE-NG:

  mv PRIMARY-DISK.qcow2 hda.qcow2
  mv AUXILIARY-DISK.qcow2 hdb.qcow2
  

• Cấp quyền và sửa lỗi:

  /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

---

4. Thêm vào Lab trên EVE-NG

Tạo node trong EVE-NG

• Vào lab → Add Node
• Chọn image: sophosxgs-fw-19.5.3
• RAM: 4096MB
• CPU: 2 vCPU
• Network: 6 interfaces
• Console: VNC hoặc HTTPS (https://ip:4444)
• Username: admin | Password: admin

Tổng đài IP PBX (VoIP PBX) opensource dùng SIP Trunk gọi ra báo "Service Unavailable"

Khi tổng đài ảo của bạn gọi ra bị báo "Service Unavailable", có thể do một số nguyên nhân liên quan đến SIP trunk, bao gồm vấn đề kết nối, cấu hình, hoặc tài khoản. Dưới đây là các bước để bạn kiểm tra và khắc phục.

---

1. Kiểm tra trạng thái đăng ký SIP Trunk

Đầu tiên, bạn cần đảm bảo SIP trunk của bạn đã được đăng ký thành công với nhà cung cấp.

• Truy cập vào giao diện dòng lệnh (CLI) của FreePBX qua SSH.

• Chạy lệnh asterisk -rvvv để vào giao diện Asterisk CLI.

• Sử dụng lệnh sip show registry (hoặc pjsip show registrations nếu bạn dùng PJSIP) để xem trạng thái của SIP trunk.

• Nếu trạng thái hiển thị là "Registered", nghĩa là trunk đã kết nối. Nếu là "Unregistered", "Rejected" hoặc "Request Sent", tức là có vấn đề về đăng ký.

2. Kiểm tra thông tin cấu hình SIP Trunk

Lỗi "Service Unavailable" có thể xảy ra nếu thông tin đăng nhập (username, password) hoặc host name/IP của nhà cung cấp bị sai.

• Trong giao diện FreePBX, vào Connectivity -> Trunks.

• Chọn SIP trunk của bạn và kiểm tra lại các thông số:

  • Outgoing Settings: Kiểm tra Peer Details hoặc SIP Settings.

  • Username, Secret, Host (hoặc server URI) phải khớp chính xác với thông tin mà nhà cung cấp SIP trunk đã cấp.

• Lưu ý: Nếu bạn dùng PJSIP, hãy kiểm tra phần PJSIP Settings.

---

3. Kiểm tra kết nối mạng và tường lửa

Tường lửa có thể chặn các gói tin SIP hoặc RTP, dẫn đến không thể gọi ra.

• Đảm bảo tổng đài FreePBX có kết nối internet ổn định. Bạn có thể thử ping đến server của nhà cung cấp SIP trunk.

• Kiểm tra tường lửa (firewall) trên server FreePBX và cả router/modem.

  • Các cổng UDP mặc định cho SIP là 5060 và cho RTP là 10000-20000.

  • Đảm bảo các cổng này được mở và không bị chặn.

• Nếu bạn sử dụng tường lửa FreePBX (FreePBX Firewall), hãy kiểm tra các quy tắc và thêm địa chỉ IP của nhà cung cấp SIP trunk vào danh sách tin cậy (trusted zones).

---

4. Kiểm tra tài khoản và credit (số dư)

Đôi khi, lỗi "Service Unavailable" chỉ đơn giản là do tài khoản SIP trunk đã hết credit hoặc bị tạm khóa.

• Đăng nhập vào cổng thông tin (portal) của nhà cung cấp SIP trunk.

• Kiểm tra số dư tài khoản và trạng thái hoạt động.

• Nếu tài khoản hết tiền hoặc bị khóa, bạn cần nạp thêm credit hoặc liên hệ với nhà cung cấp để được hỗ trợ.

---

5. Xem log Asterisk để tìm lỗi cụ thể

Log Asterisk cung cấp thông tin chi tiết về nguyên nhân cuộc gọi bị lỗi.

• Truy cập Asterisk CLI (asterisk -rvvv).

• Thực hiện một cuộc gọi ra và theo dõi log.

• Bạn có thể thấy các thông báo lỗi như:

  • SIP/2.0 503 Service Unavailable: Lỗi từ nhà cung cấp SIP trunk, có thể do lỗi cấu hình, hết credit hoặc trục trặc phía họ.

  • Request Timeout: Gói tin SIP không đến được server của nhà cung cấp.

  • Invalid username/password: Sai thông tin đăng nhập.

Nếu bạn thấy log báo lỗi "SIP/2.0 503 Service Unavailable" mà các thông tin cấu hình đã chính xác, rất có thể vấn đề nằm ở phía nhà cung cấp SIP. Lúc này, bạn nên liên hệ với họ để kiểm tra đường truyền và trạng thái tài khoản.

Pfsense + Coresw L3 kết nối mode access cho vlan ra NET

 

1. Cấu hình Core Switch Cisco (SW_L3)

Core Switch đóng vai trò là DHCP Server và Layer 3 Switch, chịu trách nhiệm cấp phát IP và định tuyến nội bộ.

a. Cấu hình VLAN và SVI

Tạo các VLAN và các SVI (Switch Virtual Interface) để làm cổng gateway cho mỗi VLAN.

SW_L3(config)# vlan 10
SW_L3(config-vlan)# name DATA_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 20
SW_L3(config-vlan)# name VOICE_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 99
SW_L3(config-vlan)# name MGMT_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# interface Vlan10
SW_L3(config-if)# ip address 172.16.10.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan20
SW_L3(config-if)# ip address 172.16.20.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan99
SW_L3(config-if)# ip address 172.16.1.2 255.255.255.0
SW_L3(config-if)# exit

---

b. Cấu hình DHCP Server

Thiết lập các DHCP pool để tự động cấp phát địa chỉ IP, gateway và DNS server cho client.

SW_L3(config)# ip dhcp pool VLAN10_POOL
SW_L3(config-dhcp)# network 172.16.10.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.10.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit
SW_L3(config)# ip dhcp pool VLAN20_POOL
SW_L3(config-dhcp)# network 172.16.20.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.20.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit

---

c. Cấu hình Định tuyến & Cổng

Bật tính năng định tuyến và tạo một default route để gửi tất cả lưu lượng ra Internet thông qua pfSense.

SW_L3(config)# ip routing
SW_L3(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
! Cấu hình cổng kết nối tới Switch Layer 2 (R3) là trunk
SW_L3(config)# interface GigabitEthernet1/0/1
SW_L3(config-if)# switchport mode trunk
SW_L3(config-if)# switchport trunk allowed vlan 10,20,99
SW_L3(config-if)# exit

SW_L3(config)# int Gi1/0/2

switchport mode access

switchport access vlan 99 

no shutdown

 Switch Layer 2 (R3)

R3 chỉ cần cấu hình cổng trunk và access để kết nối với Core Switch và các client.

a. Cấu hình Cổng

! Cổng trunk nối với Core Switch
R3(config)# interface GigabitEthernet0/0
R3(config-if)# switchport mode trunk
R3(config-if)# switchport trunk allowed vlan 10,20
R3(config-if)# exit
! Cổng access nối với client VLAN 10
R3(config)# interface GigabitEthernet0/1
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 10
R3(config-if)# exit
! Cổng access nối với client VLAN 20
R3(config)# interface GigabitEthernet0/2
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 20
R3(config-if)# exit

3. Cấu hình pfSense

pfSense đóng vai trò là Firewall và NAT Gateway, chịu trách nhiệm cho việc truy cập Internet.

a. Cấu hình Firewall Rules

Tạo các rule để cho phép lưu lượng từ các mạng nội bộ đi ra ngoài.

1. Truy cập giao diện web của pfSense và đi tới Firewall > Rules > LAN.

2. Nhấn Add để tạo rule cho VLAN 10.

   • Action: Pass

   • Interface: LAN

   • Source: Network 172.16.10.0/24

   • Destination: any

3. Nhấn Save và Apply Changes.

4. Lặp lại các bước trên để tạo rule cho VLAN 20, với Source là Network 172.16.20.0/24.

---

b. Cấu hình NAT

Đảm bảo NAT được bật để dịch IP nội bộ ra IP công cộng.

1. Vào Firewall > NAT > Outbound.

2. Chọn chế độ Automatic Outbound NAT rule generation.

3. Nhấn Save và Apply Changes.

---

c. Thêm Static Route

Đây là bước quan trọng nhất để gói tin từ Internet có thể quay về đúng client.

1. Vào System > Routing > Static Routes.

2. Nhấn Add để thêm route cho VLAN 10:

   • Destination network: 172.16.10.0/24

   • Gateway: 172.16.1.2

3. Lặp lại tương tự cho VLAN 20:

   • Destination network: 172.16.20.0/24

   • Gateway: 172.16.1.2

4. Nhấn Save và Apply Changes.

Fix lỗi : không truy cập được vào Webgui của Pfsense trong EVE lab

Hướng dẫn truy cập Web GUI pfSense khi bị chặn

Khi bạn đã cấp xin cấp IP qua DHCP/ IP tĩnh  theo chế độ Bridge (vmnet 0- WMworkstation Pro) cho cổng Management của pfsense

Bước 1: Truy cập console pfSense

Truy cập trực tiếp vào pfSense thông qua màn hình console hoặc SSH. Chọn Option 8 để vào shell (command line).

Bước 2: Tắt firewall tạm thời

Chạy lệnh sau để tắt firewall tạm thời, cho phép truy cập Web GUI từ WAN:

pfctl -d

Lưu ý: Lệnh này sẽ tắt toàn bộ firewall, chỉ nên dùng tạm thời để truy cập Web GUI.

Bước 3: Truy cập Web GUI pfSense

Sau khi firewall bị tắt, truy cập vào Web GUI pfSense qua địa chỉ IP WAN bằng trình duyệt.

Bước 4: Tạo rule cho phép truy cập WAN

Vào Firewall > Rules > Management và tạo rule như sau:

- Action: Pass

- Interface: WAN

- Protocol: TCP

- Source: any (hoặc IP cụ thể nếu muốn giới hạn)

- Destination: Management address

- Destination port range: 443

- Description: Allow Web GUI access

Nhấn Save và Apply Changes.

Bước 5: Bật lại firewall pfSense

Sau khi đã tạo rule, bật lại firewall bằng lệnh sau trong console:

pfctl -e

Firewall sẽ hoạt động trở lại với rule mới cho phép truy cập Web GUI từ Management.

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet)

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet):

• Switch CORE (Layer 3) đảm nhiệm định tuyến nội bộ giữa các VLAN.
• Cổng trunk trên switch truyền lưu lượng từ nhiều VLAN đến pfSense, chủ yếu để truy cập Internet.
• pfSense không kiểm soát được lưu lượng nội bộ giữa các VLAN, vì việc định tuyến đã được thực hiện trực tiếp trên coreswitch L3
• pfSense chỉ có thể áp dụng firewall và các chính sách bảo mật cho lưu lượng ra/vào Internet.

1. Cấu hình pfSense

a. Cấu hình Interface:

- WAN (e0): DHCP từ ISP

- LAN (e1): IP 172.16.1.1/24, kết nối trunk đến Core Switch Layer 3

- Config-mgt (e2): IP 192.168.1.199/24, bridge mode

Cấu hình pfSense

a. Tạo VLANs

• Vào Interfaces > Assignments > VLANs.

• Tạo VLAN 10 trên interface e1.

• Tạo VLAN 20 trên interface e1.

b. Gán interface

• Vào Interfaces > Assignments.

• Gán VLAN 10 thành LAN10, bật interface.

• Gán VLAN 20 thành LAN20, bật interface.

c. Gán IP cho VLAN interfaces

• LAN10: IP 172.16.10.254/24

• LAN20: IP 172.16.20.254/24

d. DHCP Server (nếu cần)

• Vào Services > DHCP Server.

• Bật DHCP cho LAN10:

  • Range: 172.16.10.100 - 172.16.10.200

• Bật DHCP cho LAN20:

  • Range: 172.16.20.100 - 172.16.20.200

e. NAT cấu hình chi tiết

• Vào Firewall > NAT > Outbound.

• Chuyển sang chế độ Hybrid.

• Tạo 2 rule thủ công để NAT lưu lượng từ các VLAN ra Internet:

  • Rule 1 – NAT cho VLAN 10:

    • Interface: WAN

    • Source network: 172.16.10.0/24

    • Destination: any

    • Translation / Target: Interface address

    • Description: NAT VLAN 10

    • Enabled: ✅

  • Rule 2 – NAT cho VLAN 20:

  • Interface: WAN

  • Source network: 172.16.20.0/24

  • Destination: any

  • Translation / Target: Interface address

  • Description: NAT VLAN 20

  • Enabled:

 ✅f. Firewall Rules cho phép VLAN truy cập Internet

Vào Firewall > Rules, tạo rule cho từng VLAN interface:

LAN10:

Action: Pass
Interface: LAN10
Source: LAN10 net
Destination: any
Protocol: any
Description: Allow VLAN 10 to Internet

LAN20:

Action: Pass
Interface: LAN20
Source: LAN20 net
Destination: any
Protocol: any
Description: Allow VLAN 20 to Internet

CoreSw#sh running-config
Building configuration...
!
hostname CoreSw
!
ip routing
!
!
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 10,20
switchport mode trunk
!
interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface Vlan10
 ip address 172.16.10.1 255.255.255.0
 ip helper-address 172.16.1.1
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
 ip helper-address 172.16.1.1
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

SW_L2#sh run
Building configuration...
!
hostname SW_L2
!
interface Ethernet0/0
 switchport trunk allowed vlan 10,20
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/1
 switchport access vlan 10
 switchport mode access
!
interface Ethernet0/2
 switchport access vlan 20
 switchport mode access

!

Ping kiếm tra từ tinycore Linux giữa 2 vlan

Thiết lập inter-VLAN routing ( mô hình pfsense + switch layer 2)

 Dưới đây là hướng dẫn chi tiết để thiết lập inter-VLAN routing:

"Router on a stick" và "Inter-VLAN routing" không phải là hai thuật ngữ khác nhau mà là hai cách diễn đạt cho cùng một khái niệm.

• Inter-VLAN routing là thuật ngữ tổng quát, mô tả quá trình định tuyến lưu lượng giữa các VLAN khác nhau.

• Router on a stick là một phương pháp cụ thể để thực hiện Inter-VLAN routing, sử dụng một router và một cổng vật lý duy nhất.

---

✅ Mục tiêu

Cho phép các thiết bị trong VLAN 10 và VLAN 20 giao tiếp với nhau thông qua pfSense.

---

1. Đảm bảo VLAN đã được cấu hình đúng trên pfSense

Như đã nói ở bước trước:

• VLAN 10: em1_vlan10 – IP: 172.16.10.1/24
• VLAN 20: em1_vlan20 – IP: 172.16.20.1/24

---

2. Kiểm tra cấu hình switch

• Port kết nối với pfSense là trunk port, cho phép VLAN 10 và 20.
• Các port kết nối máy chủ là access port, gán đúng VLAN.

---

3. Cấu hình routing giữa các VLAN trên pfSense

pfSense sẽ tự động định tuyến giữa các VLAN nếu:

• Các VLAN được gán IP khác subnet.
• Không có rule nào chặn traffic giữa VLANs.

---

4. Cấu hình Firewall Rules

Vào Firewall > Rules, chọn từng interface VLAN:

• LAN_VLAN10:
  • Cho phép traffic đến 172.16.20.0/24
• LAN_VLAN20:
  • Cho phép traffic đến 172.16.10.0/24

Action: Pass

Interface: LAN_VLAN10

Source: VLAN10 net

Destination: VLAN20 net

Protocol: Any

Lặp lại tương tự cho VLAN20.

---

5. Kiểm tra kết nối

• Từ máy chủ VLAN10, ping đến máy chủ VLAN20. và ngược lại
• Nếu không được, kiểm tra:
• Firewall rules
• Gateway cấu hình đúng trên máy chủ
• NAT không chặn traffic nội bộ