Lý thuyết kết nối pfsense và switch layer 3 ở mode access (tối ưu hiệu suất thiết bị)

 
Hình minh họa: Harry Hoang Le

Đây là cách bạn cấu hình IP giữa pfSense và switch layer 3 khi kết nối ở mode access, sử dụng ví dụ VLAN 99.

Cấu Hình trên Switch Layer 3

1. Tạo VLAN 99:

   vlan 99
   name VLAN_WAN
   

2. Tạo SVI (Switch Virtual Interface) cho VLAN 99: SVI này sẽ đóng vai trò là gateway cho các thiết bị muốn ra Internet.

   interface vlan 99
   ip address 192.168.99.1 255.255.255.0
   no shutdown
   

3. Cấu hình cổng kết nối với pfSense: Giả sử bạn sử dụng cổng GigabitEthernet0/1 để kết nối với pfSense. Cổng này sẽ là một access port thuộc VLAN 99.

   interface GigabitEthernet0/1
   switchport mode access
   switchport access vlan 99
   no shutdown
   

4. Cấu hình Default Route: Đây là bước quan trọng nhất. Bạn chỉ định rằng tất cả lưu lượng không có tuyến đường cụ thể (ví dụ: muốn ra Internet) sẽ được gửi đến địa chỉ IP của pfSense.

   ip route 0.0.0.0 0.0.0.0 192.168.99.254
   

Cấu Hình trên pfSense

1. Cấu hình Interface: Gán một trong các cổng vật lý của pfSense (ví dụ: OPT1) với một địa chỉ IP thuộc cùng dải mạng với SVI VLAN 99.

2. Địa chỉ IP: Đặt địa chỉ IP cho cổng này. Đây sẽ là next-hop của default route trên switch layer 3.

   • Interface: OPT1 (hoặc tên bất kỳ bạn gán)

   • IPv4 Configuration Type: Static IPv4

   • IPv4 Address: 192.168.99.254/24

Với cấu hình này, khi một gói tin từ bất kỳ VLAN nào trên switch layer 3 muốn ra Internet, switch sẽ sử dụng default route để gửi nó đến 192.168.99.254 (pfSense). Gói tin sẽ được chuyển qua cổng Gig0/1 (đã được gán cho VLAN 99) và đến cổng OPT1 của pfSense. pfSense sau đó sẽ xử lý gói tin và chuyển nó ra ngoài Internet.

Bạn hoàn toàn có thể cấu hình switch layer 3 và pfSense kết nối ở mode access và vẫn sử dụng default route để định tuyến. Điều này là một cách thiết lập phổ biến, đặc biệt khi bạn muốn switch layer 3 chịu trách nhiệm định tuyến giữa các VLAN nội bộ, và pfSense chỉ đóng vai trò là gateway duy nhất để ra ngoài Internet.

Hãy cùng phân tích cách hoạt động của mô hình này:

1. Định Tuyến Nội Bộ (switch layer 3 làm)

Trong mô hình này, switch layer 3 là "bộ não" xử lý tất cả việc định tuyến giữa các VLAN.

• Các VLAN: Bạn tạo nhiều VLAN trên switch layer 3, ví dụ: VLAN 10 (Kế toán), VLAN 20 (Kinh doanh), v.v.

• SVI (Switch Virtual Interface): Với mỗi VLAN, bạn tạo một SVI và gán cho nó một địa chỉ IP (ví dụ: interface vlan 10, ip address 192.168.10.1/24). Các SVI này sẽ đóng vai trò là gateway cho các VLAN tương ứng.

• Định tuyến Inter-VLAN: Khi một thiết bị ở VLAN 10 muốn giao tiếp với một thiết bị ở VLAN 20, gói tin sẽ được gửi đến gateway của nó (192.168.10.1). Switch layer 3 sẽ nhận gói tin này và tự động định tuyến nó đến VLAN 20 mà không cần gửi đến pfSense.

---

2. Định Tuyến Ra Ngoài Internet (pfsense làm)

Đây là lúc vai trò của default route và pfSense phát huy tác dụng.

• Default Route trên Switch: Bạn cấu hình một tuyến đường mặc định (default route) trên switch layer 3. Tuyến đường này chỉ đơn giản là "nếu tôi không biết phải gửi gói tin này đi đâu, hãy gửi nó đến địa chỉ IP của pfSense".

• Cổng Access: Cổng kết nối giữa switch layer 3 và pfSense được cấu hình ở mode access và được gán vào một VLAN riêng biệt, ví dụ VLAN 99 (VLAN WAN). Cổng này chỉ truyền tải lưu lượng của VLAN 99.

• PfSense là Gateway: Trên pfSense, một cổng vật lý được cấu hình với một địa chỉ IP thuộc VLAN 99 (ví dụ: 192.168.99.254/24) và đóng vai trò là gateway cho VLAN này. PfSense sẽ nhận tất cả các gói tin đến từ switch layer 3 và xử lý chúng để ra Internet.

Tóm lại:

Bạn có thể coi switch layer 3 như một router nội bộ, xử lý tất cả giao tiếp giữa các VLAN trong mạng LAN của bạn.

Còn pfSense đóng vai trò là Internet gateway, xử lý tất cả lưu lượng muốn đi ra ngoài Internet.

Việc kết nối chúng bằng mode access và sử dụng default route là một cách để phân chia rõ ràng vai trò của từng thiết bị, giúp giảm tải cho pfSense và tối ưu hóa hiệu suất mạng nội bộ.