Pfsense + Coresw L3 kết nối mode access cho vlan ra NET

 

1. Cấu hình Core Switch Cisco (SW_L3)

Core Switch đóng vai trò là DHCP Server và Layer 3 Switch, chịu trách nhiệm cấp phát IP và định tuyến nội bộ.

a. Cấu hình VLAN và SVI

Tạo các VLAN và các SVI (Switch Virtual Interface) để làm cổng gateway cho mỗi VLAN.

SW_L3(config)# vlan 10
SW_L3(config-vlan)# name DATA_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 20
SW_L3(config-vlan)# name VOICE_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# vlan 99
SW_L3(config-vlan)# name MGMT_VLAN
SW_L3(config-vlan)# exit
SW_L3(config)# interface Vlan10
SW_L3(config-if)# ip address 172.16.10.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan20
SW_L3(config-if)# ip address 172.16.20.1 255.255.255.0
SW_L3(config-if)# exit
SW_L3(config)# interface Vlan99
SW_L3(config-if)# ip address 172.16.1.2 255.255.255.0
SW_L3(config-if)# exit

---

b. Cấu hình DHCP Server

Thiết lập các DHCP pool để tự động cấp phát địa chỉ IP, gateway và DNS server cho client.

SW_L3(config)# ip dhcp pool VLAN10_POOL
SW_L3(config-dhcp)# network 172.16.10.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.10.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit
SW_L3(config)# ip dhcp pool VLAN20_POOL
SW_L3(config-dhcp)# network 172.16.20.0 255.255.255.0
SW_L3(config-dhcp)# default-router 172.16.20.1
SW_L3(config-dhcp)# dns-server 8.8.8.8 8.8.4.4
SW_L3(config-dhcp)# exit

---

c. Cấu hình Định tuyến & Cổng

Bật tính năng định tuyến và tạo một default route để gửi tất cả lưu lượng ra Internet thông qua pfSense.

SW_L3(config)# ip routing
SW_L3(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1
! Cấu hình cổng kết nối tới Switch Layer 2 (R3) là trunk
SW_L3(config)# interface GigabitEthernet1/0/1
SW_L3(config-if)# switchport mode trunk
SW_L3(config-if)# switchport trunk allowed vlan 10,20,99
SW_L3(config-if)# exit

int Gi1/0/2

switchport mode access
switchport access vlan 99 

no shutdown

 Switch Layer 2 (R3)

R3 chỉ cần cấu hình cổng trunk và access để kết nối với Core Switch và các client.

a. Cấu hình Cổng

! Cổng trunk nối với Core Switch
R3(config)# interface GigabitEthernet0/0
R3(config-if)# switchport mode trunk
R3(config-if)# switchport trunk allowed vlan 10,20
R3(config-if)# exit
! Cổng access nối với client VLAN 10
R3(config)# interface GigabitEthernet0/1
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 10
R3(config-if)# exit
! Cổng access nối với client VLAN 20
R3(config)# interface GigabitEthernet0/2
R3(config-if)# switchport mode access
R3(config-if)# switchport access vlan 20
R3(config-if)# exit

3. Cấu hình pfSense

pfSense đóng vai trò là Firewall và NAT Gateway, chịu trách nhiệm cho việc truy cập Internet.

a. Cấu hình Firewall Rules

Tạo các rule để cho phép lưu lượng từ các mạng nội bộ đi ra ngoài.

1. Truy cập giao diện web của pfSense và đi tới Firewall > Rules > LAN.

2. Nhấn Add để tạo rule cho VLAN 10.

   • Action: Pass

   • Interface: LAN

   • Source: Network 172.16.10.0/24

   • Destination: any

3. Nhấn Save và Apply Changes.

4. Lặp lại các bước trên để tạo rule cho VLAN 20, với Source là Network 172.16.20.0/24.

---

b. Cấu hình NAT

Đảm bảo NAT được bật để dịch IP nội bộ ra IP công cộng.

1. Vào Firewall > NAT > Outbound.

2. Chọn chế độ Automatic Outbound NAT rule generation.

3. Nhấn Save và Apply Changes.

---

c. Thêm Static Route

Đây là bước quan trọng nhất để gói tin từ Internet có thể quay về đúng client.

1. Vào System > Routing > Static Routes.

2. Nhấn Add để thêm route cho VLAN 10:

   • Destination network: 172.16.10.0/24

   • Gateway: 172.16.1.2

3. Lặp lại tương tự cho VLAN 20:

   • Destination network: 172.16.20.0/24

   • Gateway: 172.16.1.2

4. Nhấn Save và Apply Changes.