Hi all,
Xin các bác xem cái sơ đồ em attached & cho em xin vài xu cho cái con switch 3550:
1) làm sao routing giữa 2 cai network 192.168.2.0/24 ; 192.168.3.0/24 và 192.168.4.0/24
2) host trong 3 network đều truy nhập được internet và DMZ zone ( 192.168.1.0/24 )

Xin cám ơn các bác trước !

PS: xin đừng hỏi em current config vì .... nó chưa có gì hết ;)
PS1: em cũng không biết post bài này vào chỗ nào cho đúng :( có sai chỗ mong các bác moderator cho xin 2 chữ đại xá và 1 cái move nó về đúng "chuồng" giúp ẹm Em xin đa tạ !

hi

dễ như ăn cơm sườn!

Bác tạo ra 3 interface vlan tương ứng cho 3 vlan; gán các IP address tương ứng cho các vlan này.

sau đó, để chắn chắn, bác dùng lệnh

#ip routing

trên switch 3550

chúc ngon miệng

làm rồi, cóc được :(
cũng vận dụng cả cái guide Configuring Inter−VLAN Routing with Catalyst 3550 Series Switches của Cisco ma..ko được :(

Vậy thì show running-config ra cho mọi người cùng xem.

IOS của chairuou version là gi? Show version và post lên cho mọi người cùng xem đi bạn.

giải pháp 1: dùng giải pháp của bạn trung tam kn gì đó.

giải pháp 2: bạn chia các port trên Catalyst 3550 của bạn ra thành các vlan tương ứng với các vlan bạn đã nệu Sau đó dùng giải pháp 1

giải pháp 3:

bạn dùng lệnh no switch-port trên các port kết nối về các switch ở các vlan khác.

Nếu bạn vẫn không làm được, hãy dùng lệnh sau, post kết quả lên forum này


Cat3550#show vlan

Cat3550# show interface vlan

và

#show version

chào thân ái

Chào chairuou!

Nếu đây là hiện trạng hệ thống của công ty mà bạn đang làm admin, thì xin thành thật chúc mừng ban. Bạn đang có trong tay một dàn thiết bị khá đầy đủ để làm lab đó, hihihi

Thật ra, các dòng multilayer switch sẽ tự động inter-vlan( mỗi cổng của nó sẽ là một vlan) hay nói cách khác là routing giữa các vlan subnet.

Như vậy, bình thường liên lạc giữa các subnet 192.168.2.0/24,.3.0/24,.4.0/24 là mặc nhiên diễn ra.

Tuy nhiên trong topology của bạn có chỗ khác thông thường là bạn đã đấu nối hệ thống core switch vào PiX Firewall 515E.

Mặc định, hệ thống Firewall sẽ ngăn tất cả lưu lượng dữ liệu trao đổi giữa các phân vùng trong mang.
Vì thế, với hệ thống mạng của bạn, nhất thiết bạn phải tổ chức về góc độ bảo mật, tức là chỉ định ra security level cho từng phân vùng . Và quan trọng nhất là mở các policy trên PIX 515E cho phép các trao đổi liên lạc này được xảy ra .

Trên tất cả các hệ thống Firewall phần cứng đều quy ước rằng phân vùng có độ bảo mật cao hơn mặc nhiên được đi sang các phân vùng ít bảo mật hơn . Như vậy, có nghĩa là phân vùng Inside sẽ được đi sang các phân vùng khác như DMZ, hay đi ra Internet .
Tuy nhiên, trong thực tế hoàn toàn không đúng như vậy .
Nếu bạn không mở một policy cho phép việc liên lạc này được xảy ra, thì bảo đảm các subnet thuộc Inside sẽ không bao giờ đi ra Internet hay truy cập vùng DMZ được . Tương tự , Việc trao đổi giữa các VLAN cũng phải tuân thủ điều này. Chắc chắn vấn đề của bạn đang nằm ở đây .

Nếu đựoc, bạn hãy cung cấpcho diễn đàn các chính sách bảo mật của mình . Và khi ấy, chúng ta sẽ cùng trao đổi tiếp về cấu hình cho PIX 515E nhé!

Chúc vui !

Chào chairuou,
Theo như sơ đồ của bạn vẽ thì cái PIX 515E không có liên quan gì đến 3 cái network : 192.168.2/.3/.4 trong cái catalyst 3550.
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a008015f17a .shtml
có phải bạn đã theo cái link trên mà configure không?

VươngXibull mến!

Mình đoán vấn đề nằm ở chỗ hệ thống đã được tổ chức thành nhiều security zone ấy mà!

Nếu cả 3 VLAN subnet đều thuộc Inside thì hệ thống vẫn hoạt động bình thường và vấn đề là do cấu hình trên 3550-12 G đúng không ?

Nếu mỗi VLAN subnet thuộc một phân vùng bảomật riêng, thì cấu hình của PIX có ảnh hưởng đến giao thông liên lạc giữa các phân vùng này không vậy ?

Tại vì thực ra, việc một multi-layer switch thực hiện inter-vlan là rất bình thường mà, mình không nghĩ là có nhiều vấn đề chỗ này đâu !

Mong được học hỏi thêm về case này !
Chúc vui !