[Hỏi] Cách cấu hình sơ đồ mạng nhiều SWITCH

vson89

Internship/Fresher
Aug 14, 2014
37
0
6
Các bạn, mình có sơ đồ mạng như hình dưới.

2eJjrl0.jpg


Mình muốn cấu hình làm sao cho các client ở các vlan có thể truy cập internet bằng 2 đường, và nếu 1 trong 2 con Core SW bị hư hỏng thì hệ thống vẫn truy cập internet được.
Mong các bạn giúp đỡ, mình cảm ơn rất nhiều
 
Để giải quyết vấn đề của bạn thì bạn có sử dụng tính năng HA - Redundancy Gateway của các CORE-SW như
  • HSRP
  • VRRP
  • GLBP
Việc cấu hình này sẽ giúp các CORE SW tạo ra 1 IP ảo chung để làm Gateway cho Client. Khi đó client sẽ phải trỏ Gateway về IP ảo này. Mục đich của việc này là giúp bạn client truy cập interface binh thường khi có 1 trong những con CORE-SW bị vấn đề, lỗi ...
- Ở đây, mình sẽ giải quyết bằng cách sử dụng GLBP ( Global Load Balancing Protocol) để giải quyết vấn đề của anh SƠN.

I. Cấu hình
- Mô hình:


- Mình xin phép sửa lại phần IP của các VLAN lại nhé

VLAN 10192.168.10.0/24
VLAN 20192.168.20.0/24
VLAN 30192.168.30.0.24
VLAN 40192.168.40.0/24

- Yêu cầu: NHư trên

1. Cấu hình các Router để PC ra internet
- Cấu hình IP và NAT

R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config-if)#ip nat outside
R1(config-if)#no shutdown


R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.6.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no shutdown

R1(config-if)#exit
R1(config)#access-list 1 permit any
R1(config)#ip nat inside source list 1 interface f0/0 overload

- Ping ra internet thành công

Code:
R1(config)#do ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 84/102/112 ms
- Thực hiện Route các lớp mạng của các VLAN

R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.6.2
R1(config)#ip route 192.168.20.0 255.255.255.0 192.168.6.2
R1(config)#ip route 192.168.30.0 255.255.255.0 192.168.6.2
R1(config)#ip route 192.168.40.0 255.255.255.0 192.168.6.2

- Tương tự các bạn cấu hình cho Router R2

R2(config)#interface f0/0
R2(config-if)#ip address dhcp
R2(config-if)#no shut


R2(config-if)#int f0/1
R2(config-if)#ip address 192.168.5.1 255.255.255.0
R2(config-if)#no shutdown

R2(config)#ip route 192.168.10.0 255.255.255.0 192.168.5.2
R2(config)#ip route 192.168.20.0 255.255.255.0 192.168.5.2
R2(config)#ip route 192.168.30.0 255.255.255.0 192.168.5.2
R2(config)#ip route 192.168.40.0 255.255.255.0 192.168.5.2

2. Cấu hình CORE-SW
- Tiếp theo là cấu hình IP, VLAN, Route.. cho các CORE_SW
- Cấu hình cho CORE-SW1

// Tạo VLAN cho CORE-SW
CORE-SW1#vlan database
CORE-SW1(vlan)#vlan 10
CORE-SW1(vlan)#vlan 20
CORE-SW1(vlan)#vlan 30
CORE-SW1(vlan)#vlan 40
CORE-SW1(vlan)#exit


CORE-SW1(config)#int f0/0
CORE-SW1(config-if)#ip address 192.168.6.2 255.255.255.0
CORE-SW1(config-if)#no shutdown


CORE-SW1(config-if)#int f0/1
CORE-SW1(config-if)#ip address 192.168.7.1 255.255.255.0
CORE-SW1(config-if)#no shutdown
CORE-SW1(config-if)#

// Cấu hình default route cho CORE-SW1
CORE-SW1(config)#ip routing
CORE-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1

- Từ CORE-SW1 các bạn ping ra internet thành công nhé

Code:
CORE-SW1(config)#do ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 72/94/108 ms
- Tiếp theo là cấu hình Trunking và inter-VLAN cho CORE-SW1

// Cấu hình int f1/0 và f1/1 làm đường trunk
CORE-SW1(config)#int range f1/0 - 1
CORE-SW1(config-if-range)#switchport mode trunk
CORE-SW1(config-if-range)#switchport trunk encapsulation dot1q

// Cấu hình IP cho các inter-VLAN
CORE-SW1(config-if)#int vlan 10
CORE-SW1(config-if)#ip add 192.168.10.1 255.255.255.0
CORE-SW1(config-if)#int vlan 20
CORE-SW1(config-if)#ip add 192.168.20.1 255.255.255.0
CORE-SW1(config-if)#int vlan 30
CORE-SW1(config-if)#ip add 192.168.30.1 255.255.255.0
CORE-SW1(config-if)#int vlan 40
CORE-SW1(config-if)#ip add 192.168.40.1 255.255.255.0

- Các bạn thực hiện cấu hình hoàn toàn tương tự cho CORE-SW2 nhé

// Tạo VLAN
CORE-SW2#vlan database
CORE-SW2(vlan)#vlan 10
CORE-SW2(vlan)#vlan 20
CORE-SW2(vlan)#vlan 30
CORE-SW2(vlan)#vlan 40
CORE-SW2(vlan)#exit

// Cấu hình trunking
CORE-SW2#conf t
CORE-SW2(config)#interface range f1/0 - 1
CORE-SW2(config-if-range)#switchport mode trunk
CORE-SW2(config-if-range)#switchport trunk encapsulation dot1q

// Cấu hình ip cho các interface
CORE-SW2(config)#int f0/0
CORE-SW2(config-if)#ip address 192.168.5.2 255.255.255.0
CORE-SW2(config-if)#no shut


CORE-SW2(config-if)#int f0/1
CORE-SW2(config-if)#ip add 192.168.7.2 255.255.255.0
CORE-SW2(config-if)#no shut
CORE-SW2(config-if)#exit

// Cấu hình inter-VLAN
CORE-SW2(config-if)#int vlan 10
CORE-SW2(config-if)#ip add 192.168.10.2 255.255.255.0
CORE-SW2(config-if)#int vlan 20
CORE-SW2(config-if)#ip add 192.168.20.2 255.255.255.0
CORE-SW2(config-if)#int vlan 30
CORE-SW2(config-if)#ip add 192.168.30.2 255.255.255.0
CORE-SW2(config-if)#int vlan 40
CORE-SW2(config-if)#ip add 192.168.40.2 255.255.255.0

- Cấu hình trunking và chia VLAN trên ACCess SW

//Tạo VLAN
ACCESS-SW1#vlan database
ACCESS-SW1(vlan)#vlan 10
ACCESS-SW1(vlan)#vlan 20
ACCESS-SW1(vlan)#vlan 30
ACCESS-SW1(vlan)#vlan 40
ACCESS-SW1(vlan)#exit

// Gán các interface vào các VLAN
ACCESS-SW1(config)#interface f1/1
ACCESS-SW1(config)#switch port mode access
ACCESS-SW1(config)#switch port access vlan 10

// Cấu hình port trunk
ACCESS-SW1(config)#interface range f1/10 - 11
ACCESS-SW1(config-if-range)#switchport mode trunk
ACCESS-SW1(config-if-range)#switchport trunk encapsulation dot1q

- Các bạn cấu hình tương tự cho ACCESS-SW2 nhé
//Tạo VLAN
ACCESS-SW2#vlan database
ACCESS-SW2(vlan)#vlan 10
ACCESS-SW2(vlan)#vlan 20
ACCESS-SW2(vlan)#vlan 30
ACCESS-SW2(vlan)#vlan 40
ACCESS-SW2(vlan)#exit

// Gán các interface vào các VLAN
ACCESS-SW2(config)#interface f1/1
ACCESS-SW2(config)#switch port mode access
ACCESS-SW2(config)#switch port access vlan 10

// Cấu hình port trunk
ACCESS-SW2(config)#interface range f1/10 - 11
ACCESS-SW2(config-if-range)#switchport mode trunk
ACCESS-SW2(config-if-range)#switchport trunk encapsulation dot1q

- Kiểm tra kết quả: PC ping ra internet thành công

Code:
PC#ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 32/59/92 ms

3. Cấu hình GLBP
- Để giải quyết bài toán dự phòng khi có 1 CORE-SW bị hư hỏng thì hệ thống mạng vẫn hoạt động bình thường, client vẫn truy cập được internet thì mình sẽ dùng GLBP (Bạn có thể sử dụng HSRP or VRRP đều được)
- Cấu hình GLBP trên 2 CORE SW

// Cấu hình GLBP trên CORE-SW1
CORE-SW1(config)#int vlan 10
CORE-SW1(config-if)#glbp 10 ip 192.168.10.254
CORE-SW1(config-if)#glbp 10 priority 150
CORE-SW1(config-if)#glbp 10 weighting 150 lower 90 upper 120
CORE-SW1(config-if)#glbp 10 preempt
CORE-SW1(config-if)#glbp 10 preempt delay minimum 30


// Cấu hình GLBP trên CORE-SW2
CORE-SW2(config)#interface vlan 10
CORE-SW2(config-if)#glbp 10 ip 192.168.10.254
CORE-SW2(config-if)#glbp 10 priority 120
CORE-SW2(config-if)#glbp 10 weighting 120 lower 80 upper 100
CORE-SW2(config-if)#glbp 10 preempt
CORE-SW2(config-if)#glbp 10 preempt delay minimum 30

- Ở đây còn có thêm phần tracking nữa. Nhưng mình buồn ngủ quá nên chắc để cuối tuần rảnh mình viết 1 lab riêng cho cái này nhé! Nợ vậy :)
- Client kiểm tra nhé, mình sẽ ping và ngắt kết nối interface f1/0 của CORE-SW1 xem client còn truy cập được internet không nhé. Như bạn thấy thì lúc mình down interface f1/0 nó sẽ có 1 khoảng bị ngắt kết nối (.........) và ngay sau đó nó client sẽ truy cập được internet. Bởi vì lúc này CORE-SW2 đang gánh tải thay cho con CORE-SW1
Code:
R3#ping 8.8.8.8 repeat 1000


Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![COLOR=#ff0000]...........................[/COLOR]!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!.
Success rate is 90 percent (264/293), round-trip min/avg/max = 80/190/456 ms
 
Cho mình hỏi ở câu lệnh này

Code:
glbp 10 ip 192.168.10.254

tại sao root sử dụng địa chỉ 192.168.10.254 mà không lấy là

Code:
glbp 10 ip 192.168.10.1
hoặc là
Code:
glbp 10 ip 192.168.20.1
việc sử dụng ip như thế là tùy thích hay là phải dựa theo điều gì
 
Cho mình hỏi ở câu lệnh này

Code:
glbp 10 ip 192.168.10.254

tại sao root sử dụng địa chỉ 192.168.10.254 mà không lấy là

Code:
glbp 10 ip 192.168.10.1
hoặc là
Code:
glbp 10 ip 192.168.20.1
việc sử dụng ip như thế là tùy thích hay là phải dựa theo điều gì

Bạn chú ý nhé. Khi bạn cấu hình Redundancy để khi 1 trong 2 Core-SW chết thì client vẫn đi ra net được thông qua Core-SW khác. Vầy để làm được điều này 2 thằng Core-SW phải thống nhất với nhau tạo ra 1 Core-SW ảo có 1 IP ảo. Lúc này Client sẽ trỏ gateway về Core-SW ảo này.
Như vầy, khi 1 con COre-SW thật chết thì con client vẫn ra internet được nhờ vào con COre-SW ảo này.
- CORE_SW ảo cũng cần có IP vì vầy bạn cần đặt IP cho nó. Cái này bạn đặt IP là tùy bạn nhưng ko được trùng với các CORE-SW. MÌnh làm lab theo thói quen mình hay lấy là glbp 10 192.168.10.254 làm gateway, bạn có thể lấy IP khác nhé




- Và khi CORE_SW1 chết, client vẫn hoạt động bình thường qua CORE-SW ảo ( Thực chất là nó đi ra net nhờ CORE-SW2)


Bạn có thể tham khảo thêm lý thuyết tai đây nhé http://svuit.vn/showthread.php/177-Bài-22-HSRP
 
xin cảm ơn, mình xin hỏi 1 điều nữa.
ở Cơ quan mình sử dụng con Core 3750-x catalyst, khi mình cấu hình glbp thì không có câu lệnh này, nhưng chuyển qua câu lệnh standby của hsrp thì có, vậy có phải core của mình không hổ trợ cấu hình glbp đúng k.
và khi làm hsrp trên packet tracer mình dùng con core 3560 có sẵn trong đó thì lại không có câu lệnh standby, vậy có phải 3560 cũng không hỗ trợ hsrp đúng k.
xin cảm ơn
 
hi a vson89,
Cả 2 đều hỗ trợ HSRP nhé anh


Cisco Hot Standby Router Protocol (HSRP) is supported to create redundant, failsafe routing topologies.


Tham khảo Datasheet của nó ở đây anh
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3750-x-series-switches/data_sheet_c78-584733.html
 
Thật lạ, mình đã làm đi làm lại và dò từng dòng so với hướng dẫn của root nhưng không thể nào gõ được lệnh glpb trên core 3750-x catalyst, và standby trên switch 3650 paceket tracer.
 
anh có thể cho em skype, yahoo vào inbox... và cho em VPN xem được không

Thanks,
 
Hi Root, có đoạn này mình thắc mắc, theo topo vẽ trên thì

Code:
// Cấu hình default route cho CORE-SW1
CORE-SW1(config)#ip routing
CORE-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1

Default phải là routing ra R1 chứ nhỉ, tương ứng CORE WS nào trỏ default ra R nó kết nối. Sau đó các VL trỏ gateway với IP VLAN ảo của GLBP đúng không ROOT?
Code:
CORE-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1

Ngoài ra, các trên CORE-SW ngoài các port sử dụng cho routing và trunking, thì vẫn còn thừa rất nhiều port muốn apply vào các VLAN 10,20,30,40 để cắm client trực tiếp. Thì khi CORE-WS lỗi có giải pháp nào cho các client này không? Hay phải cắm lại xuống access switch?

Code:
Ở đây còn có thêm phần tracking nữa. Nhưng mình buồn ngủ quá nên chắc để cuối tuần rảnh mình viết 1 lab riêng cho cái này nhé! Nợ vậy
Nhờ ROOT triển khai tiếp cho AE tham khảo nhé :)
 
Last edited:
Hi a dell6400note ,

Hi Root, có đoạn này mình thắc mắc, theo topo vẽ trên thì

Code:
// Cấu hình default route cho CORE-SW1
CORE-SW1(config)#ip routing
CORE-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1

Default phải là routing ra R1 chứ nhỉ, tương ứng CORE WS nào trỏ default ra R nó kết nối. Sau đó các VL trỏ gateway với IP VLAN ảo của GLBP đúng không ROOT?
Code:
CORE-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1

anh cmt chuẩn, chắc tại lúc này buồn ngủ nên gõ bậy :D thanks a nhé!

Ngoài ra, các trên CORE-SW ngoài các port sử dụng cho routing và trunking, thì vẫn còn thừa rất nhiều port muốn apply vào các VLAN 10,20,30,40 để cắm client trực tiếp. Thì khi CORE-WS lỗi có giải pháp nào cho các client này không? Hay phải cắm lại xuống access switch?

Nếu dư port thì mình làm Etherchannel để tăng khả năng HA và bandwidth cho hệ thống. Trên CORE-SW nên có SPAN port để mirror hoặc dùng 1 port monitor toàn bộ hệ thống.
NGoài ra còn có thể cấu hình Authentication trên CORE-SW... để tăng khả năng bảo mật cho hệ thống.
Việc cắm client vào CORE-SW nếu như cần thiết nhưng không nên. Client tốt nhất nên cho xuống tầng Access SW để đảm bào khả năng HA cho client khi CORE-SW chết.
Các chức năng của Core-SW gần như là 1 Router nên nhiệm vụ của nó là Routing và Trunking... Có khá nhiều việc để làm trên em CORE-SW này lắm :D
 
Đọc các bài viết của ROOT thấy rất chi tiết và bổ ích! Nếu có thời gian làm lab HA cho Switch hoàn chỉnh để ae tham khảo nhé, thanks ROOT!
 
cảm ơn root rất nhiều, sau một thời gian làm lab thì mình đã thực hiện trên hệ thống công ty mình bằng hsrp. Vì mình show các dòng lệnh của con Core 3750-x chỉ thấy thể hiện tính năng hsrp.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu