多个 VLAN 访问共享 PBX 系统

tag-icon tag-icon port switch vlan
多个 VLAN 访问共享 PBX 系统

我是网络新手,正在寻求帮助。首先,我使用数据包跟踪器来绘制我的场景,因为我将在下周收到要部署的设备。

要使用的硬件:

  1. 2 个 Catalytic 3560 开关

  2. 全部连接到 Sonic Wall 路由器

我有两家公司在同一办公空间工作。我需要让这两家公司在各自的 VLAN 上分开。但是,它们需要共享电话系统。

(已上传数据包跟踪器文件,以便有时间的人可以查看我整理的内容。)

http://dl.dropbox.com/u/86234623/network%20build.pkt

这是我当前的测试场景:

在开关 0 上我有:

  • 公司 A 在 vlan 2 上的计算机 172.16.1.100 和 101 255.255.0.0 FA0/10 FA0/11
  • 公司 B 在 vlan 3 上的计算机 172.16.2.102, 255.255.0.0 FA0/12
  • 中继端口 172.16.0.5、255.255.0.0 FA0/5 上的 PBX
  • FA0/1 上的中继端口连接交换机

在交换机 1 上我有:

  • 公司 A 在 vlan 2 上的计算机 172.16.1.102, 255.255.0.0
  • 公司 B 在 vlan 3 上的计算机 172.16.2.100 和 101,255.255.0.0
  • FA0/1 上的中继端口连接交换机

我可以 ping 同一 VLAN 上的各台计算机,但无法 ping 公司 A 到 B,这正是我想要的。然而,两家公司都无法与 PBX 通信(ping)。

以下是我用来配置所拥有内容的命令:

开关 0

en
conf t

vlan 2
name A

vlan 3
name B

int fa0/10
switchport mode access
switchport access vlan 2
int fa0/11
switchport mode access
switchport access vlan 2
int fa0/12
switchport mode access
switchport access vlan 3

int fa0/5
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1-3



int fa0/1 (to connect the switches)
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1-3

开关 1

en

conf t

vlan 2
name A

vlan 3
name B

int fa0/10
switchport mode access
switchport access vlan 3

int fa0/11
switchport mode access
switchport access vlan 3

int fa0/12
switchport mode access
switchport access vlan 2

int fa0/1 (to connect the switches)
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1-3

答案1

您已将所有主机放在同一子网中,但已将它们分成不同的 VLAN。请参阅注释 7。

如果您希望每个 VLAN 之间的 IP 路由能够正常工作,则需要为每个 VLAN 配置不同的 IP 子网。首先要做的是将主机上的子网掩码更改为 255.255.255.0。这将使公司 A、公司 B 和服务器位于不同的 VLAN 和不同的子网中,如下所示:

  1. 公司 A - Vlan 2 - 子网 172.16.1.0 /24
  2. 公司 B - Vlan 3 - 子网 172.16.2.0 /24
  3. 服务器 - Vlan 4 - 子网 172.16.3.0 /24

为服务器提供一个 IP 地址 172.16.3.n 255.255.255.0 不要将其设为中继端口,这只会增加您现在不需要的复杂性。

现在您有了合理的 VLAN 和子网划分,您需要在它们之间进行 IP 路由。您可以使用 3560 或 Sonicwall 来实现这一点。但我讨厌 Sonicwall,所以我将告诉您如何使用 3560 来实现这一点。

选择 3560 作为路由器,随便选一个。给它三个第 3 层 vlan 接口:在配置模式下使用以下命令:

ip routing
Interface vlan 2
  ip address 172.16.1.1 255.255.255.0
Interface vlan 3
  ip address 172.16.2.1 255.255.255.0
interface vlan 3
  ip address 172.16.3.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 ip.address.of.sonicwall

现在让主机的默认网关指向您刚刚设置的每个 VLAN 中的 VLAN 接口。因此 172.16.1.100 的网关将是 172.16.1.1,等等。

一旦完成设置,您应该能够在 3 个 VLAN 之间建立 IP 连接,并且还能通过 SonicWall 连接到互联网。

要拒绝 VLAN 2 和 3 之间的流量,您可以使用 VACL,如下所示:

ip access-list extended deny2to3
 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
 permit ip any any
ip access-list extended deny3to2
 deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip any any
interface vlan 2
 ip access-group deny2to3 in
interface vlan 3
 ip access-group deny3to2 in

注7:这不起作用。

相关内容