Neues VLAN über mehrere Cisco-Switches

7

Ich habe in meinem Unternehmensnetzwerk ein neues VLAN eingerichtet, das nur für Gäste verwendet werden kann. Ich versuche, einen Gast-WLAN-Dienst einzurichten und den gesamten Datenverkehr vom Geschäftsverkehr zu trennen.

Bisher habe ich mit VLAN 172 ein Subnetz 172.16.0.0/24 für Gäste erstellt. Dies ist unabhängig von meinem 10.11.0.0-Netzwerk, es wird jedoch immer noch dieselbe Cisco-Hardware verwendet, um vom Cisco Aironet ins Internet zu gelangen.

Ziel ist es, den Verkehr vom Gastgerät wie folgt durch mehrere Hops zu leiten:

Gastgerät> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560 - Alle im Subnetz 10.11.23.0 an einem physischen Standort. Anschließend wird es an das Subnetz 10.11.1.0 übergeben und verwendet einen Cisco WS-C2960G> Cisco 1941-Router> Internet ist an einem anderen physischen Ort.

Meine Switches im 10.11.23.0-Subnetz können alle Routensprünge im 172-VLAN sehen, jedoch nicht außerhalb ihres physischen Standorts, z. B. können sie nicht die nächsten Hops sehen, die sich am anderen physischen Standort befinden, und dieselben für 10.11.1.0 Subnetz. Es gibt also eine große Lücke in der Mitte, in der VLAN 172 die Verbindung fehlt, die die beiden physischen Standorte miteinander verbindet.

Ich bin mir ziemlich sicher, dass die Switchports, die für die Verbindung dieser beiden Standorte verantwortlich sind, nicht über einen Kofferraum verfügen. Ich denke, das ist die Antwort, aber der Rest meines Live-Netzwerks ist auf diese Ports angewiesen. Wenn ich den Trunk-Modus aktiviere, um dies zu testen, kann ich dann wahrscheinlich alles andere trennen, was gerade funktioniert?

Becky
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht.
Ron Maupin

Antworten:

1

Da beide Verbindungsende auf die gleiche Weise eingerichtet werden müssen, führt das Ändern einer Verbindung vom Zugriffsmodus in den Amtsleitungsmodus mindestens einige Sekunden lang zu einer Unterbrechung.

Wenn Sie über den Link, den Sie ändern, auf die Verwaltung eines dieser Switches zugreifen, müssen Sie zuerst die Konfiguration auf diesem Switch und dann auf dem anderen Switch ändern.

Es ist besser, auf beiden Konsolenzugriff zu haben, damit Sie die Verwaltung nicht verlieren und Fehlkonfigurationen schnell korrigieren können.

Wenn Sie VLAN filtern, geben Sie zuerst das
switchport trunk allowed vlan *your vlan list*
und ein, falls erforderlich
switchport trunk encapsulation dot1q(nicht alle Switches erfordern dies).

Das können Sie gleichzeitig switchport mode trunkan beiden Schaltern ausgeben

JFL
quelle
0

Ja, das ist im Wesentlichen auch das, was wir tun.

Gastgerät> Cisco AP> Cisco WLC> Core Router> Gast-FW> Kabel-Internet.

Am besten richten Sie das 172-VLAN auf dem Core-Switch ohne Schnittstellen-VLAN ein und leiten diesen Datenverkehr an Ihren 2960 weiter. Richten Sie dann eine Schnittstelle oder Subschnittstelle auf Ihrem Router ein.

Ich würde vorschlagen, dass Sie einen separaten Internetdienst für Ihren Gastverkehr verwenden. Früher nutzten wir unsere primäre Internetverbindung für das Gast-Internet. Sobald Sie jedoch für E-Mail-Spam oder illegale Inhalte auf die schwarze Liste gesetzt wurden, wünschen Sie sich dies.

Chris Campbell
quelle
Blockieren Sie einfach die Ausgangsverbindungen zu Port 25, Gäste sollten Port 587 für SMTP verwenden, der eine Authentifizierung erfordert und daher sicher zuzulassen ist.
Zac67
0

Die Ethernet-Frames in VLAN 172 sollten zum WLC 2504 getunnelt werden, wo die Sicherheit / das Routing konfiguriert ist. Sie müssen also Ihr Netzwerk (Switches) aktivieren, damit VLAN 172 den WLC 2504 erreichen kann. Die Schnittstelle zwischen dem WLC 2504 und dem Switch muss eine Trunk-Schnittstelle sein.

Ronnie Royston
quelle