Menu

9/10/25

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet)

Kết nối Trunk (Switch L3 định tuyến, pfSense kiểm soát vlan ra Internet):

  • Switch CORE (Layer 3) đảm nhiệm định tuyến nội bộ giữa các VLAN.
  • Cổng trunk trên switch truyền lưu lượng từ nhiều VLAN đến pfSense, chủ yếu để truy cập Internet.
  • pfSense không kiểm soát được lưu lượng nội bộ giữa các VLAN, vì việc định tuyến đã được thực hiện trực tiếp trên coreswitch L3
  • pfSense chỉ có thể áp dụng firewall và các chính sách bảo mật cho lưu lượng ra/vào Internet.

1. Cấu hình pfSense

a. Cấu hình Interface:

- WAN (e0): DHCP từ ISP

- LAN (e1): IP 172.16.1.1/24, kết nối trunk đến Core Switch Layer 3

- Config-mgt (e2): IP 192.168.1.199/24, bridge mode

Cấu hình pfSense

a. Tạo VLANs

  • Vào Interfaces > Assignments > VLANs.

  • Tạo VLAN 10 trên interface e1.

  • Tạo VLAN 20 trên interface e1.

b. Gán interface

  • Vào Interfaces > Assignments.

  • Gán VLAN 10 thành LAN10, bật interface.

  • Gán VLAN 20 thành LAN20, bật interface.

c. Gán IP cho VLAN interfaces

  • LAN10: IP 172.16.10.254/24

  • LAN20: IP 172.16.20.254/24

d. DHCP Server (nếu cần)

  • Vào Services > DHCP Server.

  • Bật DHCP cho LAN10:

    • Range: 172.16.10.100 - 172.16.10.200

  • Bật DHCP cho LAN20:

    • Range: 172.16.20.100 - 172.16.20.200

e. NAT cấu hình chi tiết

  • Vào Firewall > NAT > Outbound.

  • Chuyển sang chế độ Hybrid.

  • Tạo 2 rule thủ công để NAT lưu lượng từ các VLAN ra Internet:

    • Rule 1 – NAT cho VLAN 10:

      • Interface: WAN

      • Source network: 172.16.10.0/24

      • Destination: any

      • Translation / Target: Interface address

      • Description: NAT VLAN 10

      • Enabled: ✅

    • Rule 2 – NAT cho VLAN 20:

      • Interface: WAN

      • Source network: 172.16.20.0/24

      • Destination: any

      • Translation / Target: Interface address

      • Description: NAT VLAN 20

      • Enabled: ✅


CoreSw#sh running-config
Building configuration...
!
hostname CoreSw
!
ip routing
!
!
interface GigabitEthernet1/0/1
 switchport trunk allowed vlan 10,20
switchport mode trunk
!
interface GigabitEthernet1/0/2
 switchport trunk allowed vlan 10,20
 switchport mode trunk
!
interface Vlan10
 ip address 172.16.10.1 255.255.255.0
 ip helper-address 172.16.1.1
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
 ip helper-address 172.16.1.1
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!

SW_L2#sh run
Building configuration...
!
hostname SW_L2
!
interface Ethernet0/0
 switchport trunk allowed vlan 10,20
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/1
 switchport access vlan 10
 switchport mode access
!
interface Ethernet0/2
 switchport access vlan 20
 switchport mode access
!

Ping kiếm tra từ tinycore Linux giữa 2 vlan





By vào lúc

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)