Nova VLAN em vários switches Cisco

7

Eu configurei uma nova VLAN na minha rede corporativa para uso apenas para convidados. Estou tentando configurar um serviço WiFi de convidado e manter todo o tráfego separado do tráfego comercial.

Até agora, criei uma sub-rede 172.16.0.0/24 usando a VLAN 172 para convidados. Isso é separado da minha rede 10.11.0.0, mas ainda está viajando pelo mesmo hardware da Cisco para ir do Cisco Aironet à Internet.

O objetivo é fazer com que o tráfego do dispositivo de convidados viaje por vários saltos da seguinte maneira:

Dispositivo convidado> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560 - Tudo na sub-rede 10.11.23.0 em um local físico, depois passa para a sub-rede 10.11.1.0 e usa um roteador Cisco WS-C2960G> Cisco 1941> Internet, que está em outro local físico.

Todos os meus comutadores na sub-rede 10.11.23.0 podem ver todos os saltos de rota na VLAN 172, mas não fora de sua localização física, por exemplo, eles não podem ver os próximos saltos que residem em outro local físico e o mesmo para o 10.11.1.0 sub-rede. Portanto, existe uma grande lacuna no meio em que a VLAN 172 está sem a conexão que une os dois locais físicos.

Tenho certeza de que as portas de switch responsáveis ​​por unir esses dois locais não são entroncadas. Eu acho que essa é a resposta, mas o resto da minha rede ao vivo depende dessas portas. Se eu ativar o modo de tronco para testar isso, é provável que desconecte tudo o que está funcionando atualmente?

Becky
fonte
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta.
Ron Maupin

Respostas:

1

Como o final do link deve ser configurado da mesma maneira, a alteração de um link do modo de acesso para o modo de tronco causará uma interrupção por pelo menos alguns segundos.

Se você acessar o gerenciamento de um desses comutadores por meio do link que está alterando, primeiro será necessário alterar a configuração desse comutador e depois do outro.

É melhor ter acesso ao console em ambos, para que você não perca o gerenciamento e possa corrigir rapidamente qualquer configuração incorreta.

Se você estiver filtrando a VLAN, insira primeiro o
switchport trunk allowed vlan *your vlan list*
e, se necessário,
switchport trunk encapsulation dot1q(nem todos os comutadores exigem)

você pode emitir simultaneamente switchport mode trunknos dois comutadores

JFL
fonte
0

Sim, isso é essencialmente o que fazemos também.

dispositivo convidado> Cisco AP> Cisco WLC> roteador principal> convidado FW> Internet a cabo.

É melhor configurar a 172 VLAN no switch principal, sem uma VLAN de interface e, em seguida, enviar o tráfego para o seu 2960 e, em seguida, configurar uma interface ou sub-interface no seu roteador.

Sugiro que você use um serviço de Internet separado para o tráfego de visitantes. Costumávamos usar o nosso circuito primário da Internet nos dias de hoje para a Internet convidada, mas depois de entrar na lista negra de spam ou conteúdo ilegal, você desejará.

Chris Campbell
fonte
Simplesmente bloqueie as conexões de saída para a porta 25, os convidados devem usar a porta 587 para SMTP, que requer autenticação e, portanto, é seguro permitir.
Zac67
0

Os quadros Ethernet na VLAN 172 devem obter um túnel para o WLC 2504, onde a segurança / roteamento está configurada. Portanto, você deve habilitar sua rede (switches) para permitir que a VLAN 172 alcance o WLC 2504. A interface entre o WLC 2504 e o switch deve ser uma interface de tronco.

Ronnie Royston
fonte