Bảng kham khảo thời gian lưu điện UPS

 Danh sách thiết bị và công suất tiêu thụ:

1. Bộ phát WiFi – 10W
2. Camera an ninh – 15W
3. Tivi, màn hình LCD – 25W
4. Thiết bị lưu trữ di động – 50W
5. Máy tính để bàn – 80–300W

Trong thực tế, các quy tắc này được áp dụng và việc tính toán thời gian lưu điện cho UPS là chính xác. Tuy nhiên, thời gian này có thể thay đổi do một số yếu tố.

Yếu tố ảnh hưởng đến thời gian lưu điện

• Tuổi thọ ắc-quy: Ắc-quy của UPS sẽ mất dần dung lượng theo thời gian. Một ắc-quy đã sử dụng được 2-3 năm sẽ có thời gian lưu điện thấp hơn nhiều so với ắc-quy mới.

• Nhiệt độ môi trường: Nhiệt độ quá cao có thể làm giảm tuổi thọ và hiệu suất của ắc-quy, dẫn đến thời gian lưu điện ngắn hơn.

• Loại tải (tải điện dung hay điện cảm): Loại thiết bị mà UPS cấp điện cũng ảnh hưởng đến hiệu suất.

• Số lượng thiết bị: Bạn đã tính toán đúng công suất cho từng thiết bị. Khi bạn kết nối nhiều thiết bị hơn, tổng công suất tải tăng lên và thời gian lưu điện sẽ giảm xuống.

Cisco Catalyst C1300 - Tập Lệnh Cấu Hình Chi Tiết

 Cisco Catalyst C1300 - Tập Lệnh Cấu Hình Chi Tiết

=================================================

1. Truy cập CLI

---------------

- Qua cổng console hoặc SSH

2. Cấu hình ban đầu

-------------------

enable

configure terminal

hostname Switch-C1300

3. Cấu hình IP cho VLAN quản lý

-------------------------------

interface vlan 1

ip address 192.168.1.10 255.255.255.0

no shutdown

exit

ip default-gateway 192.168.1.1 (thêm lệnh này nếu cần ssh từ 1 subnet khác)

4. Tạo người dùng và phân quyền

-------------------------------

username admin privilege 15 password Admin@123

enable password level 15 Enable@123

5. Cấu hình port access hoặc trunk

----------------------------------

# Port Access

interface gigabitEthernet1/0/1

switchport mode access

switchport access vlan 10

spanning-tree portfast

# Port Trunk

interface gigabitEthernet1/0/24

switchport mode trunk

switchport trunk allowed vlan 10,20,99

6. Tạo VLAN

-----------

vlan 10

name HR

exit

vlan 20

name IT

exit

vlan 99

name Management

exit

7. Bật SSH để quản lý từ xa

configure terminal

username admin privilege 15 password Admin@123

ip ssh server

ip ssh password-authentication enable

exit

8. Kiểm tra trạng thái

----------------------

show vlan

show running-config

show mac address-table

show version

show interfaces

show interfaces status

show interfaces description

show interfaces vlan

show interfaces trunk

show interfaces switchport

9. Sao lưu cấu hình

-------------------

copy running-config startup-config

Thêm sophos vào EVE lab (image : VI-19.0.2_MR-2.KVM-472.zip)

 Link tải: https://download.sophos.com/network/SophosFirewall/installers/index.html

VI-19.0.2_MR-2.KVM-472.zip 

1. Chuẩn bị file image

Bạn cần có các file ảnh đĩa của Sophos Firewall ở định dạng QCOW2, thường là PRIMARY-DISK.qcow2 và AUXILIARY-DISK.qcow2.

---

2. Tải file lên EVE-NG

Sử dụng WinSCP hoặc FileZilla để tải các file này lên máy chủ EVE-NG.

• Kết nối đến EVE-NG.

• Tạo thư mục mới trong /opt/unetlab/addons/qemu/sophosxg-fw-19.0.2

• Tải hai file PRIMARY-DISK.qcow2 và AUXILIARY-DISK.qcow2 vào thư mục vừa tạo.

---

3. Đổi tên và cấp quyền

Truy cập terminal của EVE-NG và thực hiện các lệnh sau:

• Di chuyển đến thư mục chứa file Sophos:

  cd /opt/unetlab/addons/qemu/sophosxg-fw-19.0.2

• Đổi tên file theo quy chuẩn của EVE-NG:

  mv PRIMARY-DISK.qcow2 hda.qcow2
  mv AUXILIARY-DISK.qcow2 hdb.qcow2
  

• Cấp quyền và sửa lỗi:

  /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

---

4. Thêm vào Lab trên EVE-NG

Tạo node trong EVE-NG

• Vào lab → Add Node
• Chọn image: sophosxgs-fw-19.5.3
• RAM: 4096MB
• CPU: 2 vCPU
• Network: 6 interfaces
• Console: VNC hoặc HTTPS (https://ip:4444)
• Username: admin | Password: admin

Tổng đài IP PBX (VoIP PBX) opensource dùng SIP Trunk gọi ra báo "Service Unavailable"

Khi tổng đài ảo của bạn gọi ra bị báo "Service Unavailable", có thể do một số nguyên nhân liên quan đến SIP trunk, bao gồm vấn đề kết nối, cấu hình, hoặc tài khoản. Dưới đây là các bước để bạn kiểm tra và khắc phục.

---

1. Kiểm tra trạng thái đăng ký SIP Trunk

Đầu tiên, bạn cần đảm bảo SIP trunk của bạn đã được đăng ký thành công với nhà cung cấp.

• Truy cập vào giao diện dòng lệnh (CLI) của FreePBX qua SSH.

• Chạy lệnh asterisk -rvvv để vào giao diện Asterisk CLI.

• Sử dụng lệnh sip show registry (hoặc pjsip show registrations nếu bạn dùng PJSIP) để xem trạng thái của SIP trunk.

• Nếu trạng thái hiển thị là "Registered", nghĩa là trunk đã kết nối. Nếu là "Unregistered", "Rejected" hoặc "Request Sent", tức là có vấn đề về đăng ký.

2. Kiểm tra thông tin cấu hình SIP Trunk

Lỗi "Service Unavailable" có thể xảy ra nếu thông tin đăng nhập (username, password) hoặc host name/IP của nhà cung cấp bị sai.

• Trong giao diện FreePBX, vào Connectivity -> Trunks.

• Chọn SIP trunk của bạn và kiểm tra lại các thông số:

  • Outgoing Settings: Kiểm tra Peer Details hoặc SIP Settings.

  • Username, Secret, Host (hoặc server URI) phải khớp chính xác với thông tin mà nhà cung cấp SIP trunk đã cấp.

• Lưu ý: Nếu bạn dùng PJSIP, hãy kiểm tra phần PJSIP Settings.

---

3. Kiểm tra kết nối mạng và tường lửa

Tường lửa có thể chặn các gói tin SIP hoặc RTP, dẫn đến không thể gọi ra.

• Đảm bảo tổng đài FreePBX có kết nối internet ổn định. Bạn có thể thử ping đến server của nhà cung cấp SIP trunk.

• Kiểm tra tường lửa (firewall) trên server FreePBX và cả router/modem.

  • Các cổng UDP mặc định cho SIP là 5060 và cho RTP là 10000-20000.

  • Đảm bảo các cổng này được mở và không bị chặn.

• Nếu bạn sử dụng tường lửa FreePBX (FreePBX Firewall), hãy kiểm tra các quy tắc và thêm địa chỉ IP của nhà cung cấp SIP trunk vào danh sách tin cậy (trusted zones).

---

4. Kiểm tra tài khoản và credit (số dư)

Đôi khi, lỗi "Service Unavailable" chỉ đơn giản là do tài khoản SIP trunk đã hết credit hoặc bị tạm khóa.

• Đăng nhập vào cổng thông tin (portal) của nhà cung cấp SIP trunk.

• Kiểm tra số dư tài khoản và trạng thái hoạt động.

• Nếu tài khoản hết tiền hoặc bị khóa, bạn cần nạp thêm credit hoặc liên hệ với nhà cung cấp để được hỗ trợ.

---

5. Xem log Asterisk để tìm lỗi cụ thể

Log Asterisk cung cấp thông tin chi tiết về nguyên nhân cuộc gọi bị lỗi.

• Truy cập Asterisk CLI (asterisk -rvvv).

• Thực hiện một cuộc gọi ra và theo dõi log.

• Bạn có thể thấy các thông báo lỗi như:

  • SIP/2.0 503 Service Unavailable: Lỗi từ nhà cung cấp SIP trunk, có thể do lỗi cấu hình, hết credit hoặc trục trặc phía họ.

  • Request Timeout: Gói tin SIP không đến được server của nhà cung cấp.

  • Invalid username/password: Sai thông tin đăng nhập.

Nếu bạn thấy log báo lỗi "SIP/2.0 503 Service Unavailable" mà các thông tin cấu hình đã chính xác, rất có thể vấn đề nằm ở phía nhà cung cấp SIP. Lúc này, bạn nên liên hệ với họ để kiểm tra đường truyền và trạng thái tài khoản.

Pfsense + Coresw L3 kết nối mode access cho vlan ra NET

 

1. Cấu hình Core Switch Cisco (SW_L3)

Core Switch đóng vai trò là DHCP Server và Layer 3 Switch, chịu trách nhiệm cấp phát IP và định tuyến nội bộ.

a. Cấu hình VLAN và SVI

Tạo các VLAN và các SVI (Switch Virtual Interface) để làm cổng gateway cho mỗi VLAN.

SW_L3(config)# vlan 10
SW_L3(config-vlan)# name DATA_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 20
SW_L3(config-vlan)# name VOICE_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 99
SW_L3(config-vlan)# name MGMT_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# interface Vlan10
SW_L3(config-if)# ip address 172.16.10.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan20
SW_L3(config-if)# ip address 172.16.20.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan99
SW_L3(config-if)# ip address 172.16.1.2 255.255.255.0
SW_L3(config-if)# exit

---

b. Cấu hình DHCP Server

Thiết lập các DHCP pool để tự động cấp phát địa chỉ IP, gateway và DNS server cho client.

SW_L3(config)# ip dhcp pool VLAN10_POOL
SW_L3(config-dhcp)# network 172.16.10.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.10.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit
SW_L3(config)# ip dhcp pool VLAN20_POOL
SW_L3(config-dhcp)# network 172.16.20.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.20.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit

---

c. Cấu hình Định tuyến & Cổng

Bật tính năng định tuyến và tạo một default route để gửi tất cả lưu lượng ra Internet thông qua pfSense.

SW_L3(config)# ip routing
SW_L3(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
! Cấu hình cổng kết nối tới Switch Layer 2 (R3) là trunk
SW_L3(config)# interface GigabitEthernet1/0/1
SW_L3(config-if)# switchport mode trunk
SW_L3(config-if)# switchport trunk allowed vlan 10,20,99
SW_L3(config-if)# exit

SW_L3(config)# int Gi1/0/2

switchport mode access

switchport access vlan 99 

no shutdown

 Switch Layer 2 (R3)

R3 chỉ cần cấu hình cổng trunk và access để kết nối với Core Switch và các client.

a. Cấu hình Cổng

! Cổng trunk nối với Core Switch
R3(config)# interface GigabitEthernet0/0
R3(config-if)# switchport mode trunk
R3(config-if)# switchport trunk allowed vlan 10,20
R3(config-if)# exit
! Cổng access nối với client VLAN 10
R3(config)# interface GigabitEthernet0/1
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 10
R3(config-if)# exit
! Cổng access nối với client VLAN 20
R3(config)# interface GigabitEthernet0/2
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 20
R3(config-if)# exit

3. Cấu hình pfSense

pfSense đóng vai trò là Firewall và NAT Gateway, chịu trách nhiệm cho việc truy cập Internet.

a. Cấu hình Firewall Rules

Tạo các rule để cho phép lưu lượng từ các mạng nội bộ đi ra ngoài.

1. Truy cập giao diện web của pfSense và đi tới Firewall > Rules > LAN.

2. Nhấn Add để tạo rule cho VLAN 10.

   • Action: Pass

   • Interface: LAN

   • Source: Network 172.16.10.0/24

   • Destination: any

3. Nhấn Save và Apply Changes.

4. Lặp lại các bước trên để tạo rule cho VLAN 20, với Source là Network 172.16.20.0/24.

---

b. Cấu hình NAT

Đảm bảo NAT được bật để dịch IP nội bộ ra IP công cộng.

1. Vào Firewall > NAT > Outbound.

2. Chọn chế độ Automatic Outbound NAT rule generation.

3. Nhấn Save và Apply Changes.

---

c. Thêm Static Route

Đây là bước quan trọng nhất để gói tin từ Internet có thể quay về đúng client.

1. Vào System > Routing > Static Routes.

2. Nhấn Add để thêm route cho VLAN 10:

   • Destination network: 172.16.10.0/24

   • Gateway: 172.16.1.2

3. Lặp lại tương tự cho VLAN 20:

   • Destination network: 172.16.20.0/24

   • Gateway: 172.16.1.2

4. Nhấn Save và Apply Changes.

Fix lỗi : không truy cập được vào Webgui của Pfsense trong EVE lab

Hướng dẫn truy cập Web GUI pfSense khi bị chặn

Khi bạn đã cấp xin cấp IP qua DHCP/ IP tĩnh  theo chế độ Bridge (vmnet 0- WMworkstation Pro) cho cổng Management của pfsense

Bước 1: Truy cập console pfSense

Truy cập trực tiếp vào pfSense thông qua màn hình console hoặc SSH. Chọn Option 8 để vào shell (command line).

Bước 2: Tắt firewall tạm thời

Chạy lệnh sau để tắt firewall tạm thời, cho phép truy cập Web GUI từ WAN:

pfctl -d

Lưu ý: Lệnh này sẽ tắt toàn bộ firewall, chỉ nên dùng tạm thời để truy cập Web GUI.

Bước 3: Truy cập Web GUI pfSense

Sau khi firewall bị tắt, truy cập vào Web GUI pfSense qua địa chỉ IP WAN bằng trình duyệt.

Bước 4: Tạo rule cho phép truy cập WAN

Vào Firewall > Rules > Management và tạo rule như sau:

- Action: Pass

- Interface: WAN

- Protocol: TCP

- Source: any (hoặc IP cụ thể nếu muốn giới hạn)

- Destination: Management address

- Destination port range: 443

- Description: Allow Web GUI access

Nhấn Save và Apply Changes.

Bước 5: Bật lại firewall pfSense

Sau khi đã tạo rule, bật lại firewall bằng lệnh sau trong console:

pfctl -e

Firewall sẽ hoạt động trở lại với rule mới cho phép truy cập Web GUI từ Management.

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet)

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet):

• Switch CORE (Layer 3) đảm nhiệm định tuyến nội bộ giữa các VLAN.
• Cổng trunk trên switch truyền lưu lượng từ nhiều VLAN đến pfSense, chủ yếu để truy cập Internet.
• pfSense không kiểm soát được lưu lượng nội bộ giữa các VLAN, vì việc định tuyến đã được thực hiện trực tiếp trên coreswitch L3
• pfSense chỉ có thể áp dụng firewall và các chính sách bảo mật cho lưu lượng ra/vào Internet.

1. Cấu hình pfSense

a. Cấu hình Interface:

- WAN (e0): DHCP từ ISP

- LAN (e1): IP 172.16.1.1/24, kết nối trunk đến Core Switch Layer 3

- Config-mgt (e2): IP 192.168.1.199/24, bridge mode

Cấu hình pfSense

a. Tạo VLANs

• Vào Interfaces > Assignments > VLANs.

• Tạo VLAN 10 trên interface e1.

• Tạo VLAN 20 trên interface e1.

b. Gán interface

• Vào Interfaces > Assignments.

• Gán VLAN 10 thành LAN10, bật interface.

• Gán VLAN 20 thành LAN20, bật interface.

c. Gán IP cho VLAN interfaces

• LAN10: IP 172.16.10.254/24

• LAN20: IP 172.16.20.254/24

d. DHCP Server (nếu cần)

• Vào Services > DHCP Server.

• Bật DHCP cho LAN10:

  • Range: 172.16.10.100 - 172.16.10.200

• Bật DHCP cho LAN20:

  • Range: 172.16.20.100 - 172.16.20.200

e. NAT cấu hình chi tiết

• Vào Firewall > NAT > Outbound.

• Chuyển sang chế độ Hybrid.

• Tạo 2 rule thủ công để NAT lưu lượng từ các VLAN ra Internet:

  • Rule 1 – NAT cho VLAN 10:

    • Interface: WAN

    • Source network: 172.16.10.0/24

    • Destination: any

    • Translation / Target: Interface address

    • Description: NAT VLAN 10

    • Enabled: ✅

  • Rule 2 – NAT cho VLAN 20:

  • Interface: WAN

  • Source network: 172.16.20.0/24

  • Destination: any

  • Translation / Target: Interface address

  • Description: NAT VLAN 20

  • Enabled:

 ✅f. Firewall Rules cho phép VLAN truy cập Internet

Vào Firewall > Rules, tạo rule cho từng VLAN interface:

LAN10:

Action: Pass
Interface: LAN10
Source: LAN10 net
Destination: any
Protocol: any
Description: Allow VLAN 10 to Internet

LAN20:

Action: Pass
Interface: LAN20
Source: LAN20 net
Destination: any
Protocol: any
Description: Allow VLAN 20 to Internet

CoreSw#sh running-config
Building configuration...
!
hostname CoreSw
!
ip routing
!
!
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 10,20
switchport mode trunk
!
interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface Vlan10
 ip address 172.16.10.1 255.255.255.0
 ip helper-address 172.16.1.1
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
 ip helper-address 172.16.1.1
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

SW_L2#sh run
Building configuration...
!
hostname SW_L2
!
interface Ethernet0/0
 switchport trunk allowed vlan 10,20
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/1
 switchport access vlan 10
 switchport mode access
!
interface Ethernet0/2
 switchport access vlan 20
 switchport mode access

!

Ping kiếm tra từ tinycore Linux giữa 2 vlan

Thiết lập inter-VLAN routing ( mô hình pfsense + switch layer 2)

 Dưới đây là hướng dẫn chi tiết để thiết lập inter-VLAN routing:

"Router on a stick" và "Inter-VLAN routing" không phải là hai thuật ngữ khác nhau mà là hai cách diễn đạt cho cùng một khái niệm.

• Inter-VLAN routing là thuật ngữ tổng quát, mô tả quá trình định tuyến lưu lượng giữa các VLAN khác nhau.

• Router on a stick là một phương pháp cụ thể để thực hiện Inter-VLAN routing, sử dụng một router và một cổng vật lý duy nhất.

---

✅ Mục tiêu

Cho phép các thiết bị trong VLAN 10 và VLAN 20 giao tiếp với nhau thông qua pfSense.

---

1. Đảm bảo VLAN đã được cấu hình đúng trên pfSense

Như đã nói ở bước trước:

• VLAN 10: em1_vlan10 – IP: 172.16.10.1/24
• VLAN 20: em1_vlan20 – IP: 172.16.20.1/24

---

2. Kiểm tra cấu hình switch

• Port kết nối với pfSense là trunk port, cho phép VLAN 10 và 20.
• Các port kết nối máy chủ là access port, gán đúng VLAN.

---

3. Cấu hình routing giữa các VLAN trên pfSense

pfSense sẽ tự động định tuyến giữa các VLAN nếu:

• Các VLAN được gán IP khác subnet.
• Không có rule nào chặn traffic giữa VLANs.

---

4. Cấu hình Firewall Rules

Vào Firewall > Rules, chọn từng interface VLAN:

• LAN_VLAN10:
  • Cho phép traffic đến 172.16.20.0/24
• LAN_VLAN20:
  • Cho phép traffic đến 172.16.10.0/24

Action: Pass

Interface: LAN_VLAN10

Source: VLAN10 net

Destination: VLAN20 net

Protocol: Any

Lặp lại tương tự cho VLAN20.

---

5. Kiểm tra kết nối

• Từ máy chủ VLAN10, ping đến máy chủ VLAN20. và ngược lại
• Nếu không được, kiểm tra:
• Firewall rules
• Gateway cấu hình đúng trên máy chủ
• NAT không chặn traffic nội bộ

Lý thuyết kết nối pfsense và switch layer 3 ở mode access (tối ưu hiệu suất thiết bị)

 
Hình minh họa: Harry Hoang Le

Đây là cách bạn cấu hình IP giữa pfSense và switch layer 3 khi kết nối ở mode access, sử dụng ví dụ VLAN 99.

Cấu Hình trên Switch Layer 3

1. Tạo VLAN 99:

   vlan 99
   name VLAN_WAN
   

2. Tạo SVI (Switch Virtual Interface) cho VLAN 99: SVI này sẽ đóng vai trò là gateway cho các thiết bị muốn ra Internet.

   interface vlan 99
   ip address 192.168.99.1 255.255.255.0
   no shutdown
   

3. Cấu hình cổng kết nối với pfSense: Giả sử bạn sử dụng cổng GigabitEthernet0/1 để kết nối với pfSense. Cổng này sẽ là một access port thuộc VLAN 99.

   interface GigabitEthernet0/1
   switchport mode access
   switchport access vlan 99
   no shutdown
   

4. Cấu hình Default Route: Đây là bước quan trọng nhất. Bạn chỉ định rằng tất cả lưu lượng không có tuyến đường cụ thể (ví dụ: muốn ra Internet) sẽ được gửi đến địa chỉ IP của pfSense.

   ip route 0.0.0.0 0.0.0.0 192.168.99.254
   

Cấu Hình trên pfSense

1. Cấu hình Interface: Gán một trong các cổng vật lý của pfSense (ví dụ: OPT1) với một địa chỉ IP thuộc cùng dải mạng với SVI VLAN 99.

2. Địa chỉ IP: Đặt địa chỉ IP cho cổng này. Đây sẽ là next-hop của default route trên switch layer 3.

   • Interface: OPT1 (hoặc tên bất kỳ bạn gán)

   • IPv4 Configuration Type: Static IPv4

   • IPv4 Address: 192.168.99.254/24

Với cấu hình này, khi một gói tin từ bất kỳ VLAN nào trên switch layer 3 muốn ra Internet, switch sẽ sử dụng default route để gửi nó đến 192.168.99.254 (pfSense). Gói tin sẽ được chuyển qua cổng Gig0/1 (đã được gán cho VLAN 99) và đến cổng OPT1 của pfSense. pfSense sau đó sẽ xử lý gói tin và chuyển nó ra ngoài Internet.

Bạn hoàn toàn có thể cấu hình switch layer 3 và pfSense kết nối ở mode access và vẫn sử dụng default route để định tuyến. Điều này là một cách thiết lập phổ biến, đặc biệt khi bạn muốn switch layer 3 chịu trách nhiệm định tuyến giữa các VLAN nội bộ, và pfSense chỉ đóng vai trò là gateway duy nhất để ra ngoài Internet.

Hãy cùng phân tích cách hoạt động của mô hình này:

1. Định Tuyến Nội Bộ (switch layer 3 làm)

Trong mô hình này, switch layer 3 là "bộ não" xử lý tất cả việc định tuyến giữa các VLAN.

• Các VLAN: Bạn tạo nhiều VLAN trên switch layer 3, ví dụ: VLAN 10 (Kế toán), VLAN 20 (Kinh doanh), v.v.

• SVI (Switch Virtual Interface): Với mỗi VLAN, bạn tạo một SVI và gán cho nó một địa chỉ IP (ví dụ: interface vlan 10, ip address 192.168.10.1/24). Các SVI này sẽ đóng vai trò là gateway cho các VLAN tương ứng.

• Định tuyến Inter-VLAN: Khi một thiết bị ở VLAN 10 muốn giao tiếp với một thiết bị ở VLAN 20, gói tin sẽ được gửi đến gateway của nó (192.168.10.1). Switch layer 3 sẽ nhận gói tin này và tự động định tuyến nó đến VLAN 20 mà không cần gửi đến pfSense.

---

2. Định Tuyến Ra Ngoài Internet (pfsense làm)

Đây là lúc vai trò của default route và pfSense phát huy tác dụng.

• Default Route trên Switch: Bạn cấu hình một tuyến đường mặc định (default route) trên switch layer 3. Tuyến đường này chỉ đơn giản là "nếu tôi không biết phải gửi gói tin này đi đâu, hãy gửi nó đến địa chỉ IP của pfSense".

• Cổng Access: Cổng kết nối giữa switch layer 3 và pfSense được cấu hình ở mode access và được gán vào một VLAN riêng biệt, ví dụ VLAN 99 (VLAN WAN). Cổng này chỉ truyền tải lưu lượng của VLAN 99.

• PfSense là Gateway: Trên pfSense, một cổng vật lý được cấu hình với một địa chỉ IP thuộc VLAN 99 (ví dụ: 192.168.99.254/24) và đóng vai trò là gateway cho VLAN này. PfSense sẽ nhận tất cả các gói tin đến từ switch layer 3 và xử lý chúng để ra Internet.

Tóm lại:

Bạn có thể coi switch layer 3 như một router nội bộ, xử lý tất cả giao tiếp giữa các VLAN trong mạng LAN của bạn.

Còn pfSense đóng vai trò là Internet gateway, xử lý tất cả lưu lượng muốn đi ra ngoài Internet.

Việc kết nối chúng bằng mode access và sử dụng default route là một cách để phân chia rõ ràng vai trò của từng thiết bị, giúp giảm tải cho pfSense và tối ưu hóa hiệu suất mạng nội bộ.

pfSense 2.6 kết nối trunk với switch Cisco layer 2 cho vlan ra NET

 

1. Mô hình tổng quan

• pfSense có 1 interface trunk (em0) kết nối với switch Cisco.
• Switch có 2 VLAN: 10 và 20.
• Các PC gắn vào switch ở các port access VLAN 10 hoặc 20.
• pfSense làm gateway và NAT ra Internet.

---

⚙️ 2. Cấu hình pfSense

🔹 a. Tạo VLANs

Vào Interfaces > Assignments > VLANs:

• Tạo VLAN 10 trên em0
• Tạo VLAN 20 trên em0

🔹 b. Gán interface

Vào Interfaces > Assignments:

• Gán VLAN 10 thành LAN10, bật interface
• Gán VLAN 20 thành LAN20, bật interface

🔹 c. Gán IP cho VLAN interfaces

• LAN10: IP 172.16.10.254/24
• LAN20: IP 172.16.20.254/24

🔹 d. DHCP Server (nếu cần)

Vào Services > DHCP Server:

• Bật DHCP cho LAN10:
  • Range: 172.16.10.100 - 172.16.10.200
• Bật DHCP cho LAN20:
  • Range: 172.16.20.100 - 172.16.20.200

🔹 e. NAT cấu hình

Vào Firewall > NAT > Outbound:

• Chuyển sang chế độ Hybrid
• Tạo 2 rule:

Rule 1:

• Interface: WAN
• Source: 172.16.10.0/24
• Translation: Interface address
• Description: NAT VLAN 10

Rule 2:

• Interface: WAN
• Source: 172.16.20.0/24
• Translation: Interface address
• Description: NAT VLAN 20

🔹 f. Firewall Rules

Vào Firewall > Rules > LAN10:

• Tạo rule:
  • Action: Pass
  • Protocol: Any
  • Source: LAN10 net
  • Destination: Any

Vào Firewall > Rules > LAN20:

• Tạo rule tương tự cho LAN20 net

---

🖧 3. Cấu hình Switch Cisco Layer 2

🔹 a. Tạo VLANs

conf t

vlan 10

vlan 20

🔹 b. Cấu hình trunk port kết nối pfSense

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 10,20

🔹 c. Cấu hình access port cho PC

interface GigabitEthernet0/2

switchport mode access

switchport access vlan 10

interface GigabitEthernet0/3

switchport mode access

switchport access vlan 20

💻 4. Cấu hình PC trong VLAN

1. xin DHCP cho tinycore linux:

sudo udhcpc -i eth0; 

2. xem ip gateway: ip route

---

✅ 5. Kiểm tra kết nối

• Ping từ PC đến gateway (172.16.10.254 hoặc 172.16.20.254)
• Ping ra Internet (ping 8.8.8.8)
• Kiểm tra DNS nếu không truy cập được web

---