在Cisco交换机上标记流量的VLAN
我遇到了一种情况,就是在同一个物理接口上为客户端在pfSense防火墙上设置多个VLANS。
所以在pfSense,我现在有VLAN 100 (雇员)和VLAN 200 (学生-学生计算机实验室)。
从pfSense的下游,我有一个思科SG200交换机,从SG200上出来的是学生实验室(运行在一个催化剂2950上)。是的,这是旧的,但它有效,这是一个糟糕的非盈利组织,我们正在谈论)。
我想做的是把网络上的一切都标记为VLAN 100,除了学生计算机实验室。
今天早些时候,当我在现场与客户端,我进入到旧的催化剂2950,并分配它的所有端口访问VLAN 200 (开关端口模式访问vlan 200),而没有建立一个主干上的催化剂或SG200。
回首过去,我现在明白了为什么实验室里的互联网崩溃了。我将实验室恢复到默认的VLAN1 (我们仍然运行在不同的防火墙上--我们还没有部署pfSense -,而且流量仍然是物理分离的)。
所以我的问题是,要正确部署这个场景,我需要做些什么?
我相信正确的答案是:
- 确保在pfSense中设置了VLANs 100和200,并确保DHCP正确运行(在单独的子网上)
- 设置一个允许100和200个流量的集群VLAN,并将该端口直接插入到pfSense中。
- 在SG200上设置一个VLAN200trunkport(它不是在运行iOS,但如果是,命令将是
switchport trunk native vlan 200),然后将其插入催化剂2950。 - 在催化剂2950上安装一个VLAN200trunkport(用相同的命令- SG200 VLAN200端口插入
switchport trunk native vlan 200) - 在实验室中将旧催化剂2950上的其余端口设置为VLAN200上的访问端口。
有什么是我遗漏的,还是我需要调整这些步骤中的任何一个,以便正确地分割网络流量?
回答 2
Server Fault用户
发布于 2014-06-09 18:33:35
假设连接到学生实验室交换机( 2950)的所有设备都应该安装在学生网络上,而且你永远不需要在上面安装职员计算机,这实际上要简单得多。
远离2950 -没有配置的VLAN。一切都是无标记的。这里的优点是,当他们升级它时,他们只需要插入一个新的交换机,不需要在上面配置任何VLAN。
在SG200上,将连接2950的端口设置为VLAN200上的访问端口。将其余端口设置为职员计算机VLAN 100上的访问端口。
将连接到pfsense框的SG200端口设置为两个VLAN的主干。
Server Fault用户
发布于 2014-06-09 20:12:44
我并不完全理解你的问题,但下面是我对答案的看法:
- 将连接到端点的所有端口配置为适当的VLAN中的访问端口。交换机将根据每个端口的VLAN成员身份适当地处理转发/交换通信量。
- 将SG200上的上行端口配置为PFSense框,作为主干端口。默认情况下,它将承载所有VLAN的通信量。如果您需要将其限制为VLAN 100和VLAN 200,那么可以这样做(允许VLAN 100,200的交换端口中继)。
- 将2950上的上行端口配置为SG200作为主干端口。默认情况下,它将携带所有VLAN的通信量。如果需要将其限制为VLAN 200,那么继续执行该操作(允许VLAN 200的交换端口中继)。
您不需要更改主干端口的本机VLAN,只需将它们配置为主干端口(切换端口模式主干),就可以让它们承载这些VLAN的通信量。
https://serverfault.com/questions/603901
复制相似问题
腾讯云开发者
