我遇到这样一种情况,我在同一个物理接口上的 pfSense 防火墙上为客户端设置了多个 VLAN。
因此在 pfSense 中,我现在有 VLAN 100(员工)和 VLAN 200(学生 - 学生计算机实验室)。
在 pfSense 的下游,我有一个 Cisco SG200 交换机,从 SG200 出来的是学生实验室(运行在 Catalyst 2950 上。是的,虽然很旧,但还能用,而且我们谈论的是一个贫穷的非营利组织)。
我想做的是标记一切在网络上作为 VLAN 100,学生计算机实验室除外。
今天早些时候,当我与客户现场时,我进入了旧的 Catalyst 2950,并将其所有端口分配为访问 VLAN 200(交换机端口模式访问 VLAN 200),而无需在 Catalyst 或 SG200 上设置中继。
回想起来,我现在明白了实验室的互联网为什么会中断。我将实验室恢复为默认的 VLAN1(我们仍在使用不同的防火墙 - 我们尚未部署 pfSense - 并且流量仍在物理上分离)。
所以我的问题是,为了正确部署这个场景,我需要做什么?
我认为正确答案是:
- 确保在 pfSense 中设置了 VLAN 100 和 200,并且 DHCP 正常运行(在单独的子网上)
- 设置一个允许 100 和 200 流量的 trunkport VLAN,然后将该端口直接插入 pfSense。
- 在 SG200 上设置 VLAN 200 中继端口(它没有运行 iOS,但如果运行的话,命令将是
switchport trunk native vlan 200
),然后将其插入 Catalyst 2950。 - 在 Catalyst 2950 上设置 VLAN 200 中继端口(使用相同命令插入 SG200 VLAN200 端口 -
switchport trunk native vlan 200
) - 将实验室中旧 Catalyst 2950 上的其余端口设置为 VLAN200 上的访问端口。
为了正确地分割网络流量,我是否遗漏了什么,或者我是否需要调整这些步骤中的任何一个?
答案1
假设连接到学生实验室交换机(2950)的所有设备都应该在学生网络上,并且您永远不需要将员工计算机放在上面,实际上它比这简单得多。
不用管 2950 - 无需配置 VLAN。一切都以无标记方式运行。这样做的好处是,当他们升级它时,他们只需插入一个新交换机,无需在其上配置任何 VLAN。
在 SG200 上,将连接 2950 的端口设置为 VLAN 200 上的访问端口。将其余端口设置为员工计算机的 VLAN 100 上的访问端口。
将连接到 pfSense 盒的 SG200 的端口设置为具有两个 VLAN 的中继。
答案2
我不完全理解你的问题,但这是我的答案:
将连接到端点的所有端口配置为相应 VLAN 中的访问端口。交换机将根据每个端口的 VLAN 成员身份适当地处理转发/交换流量。
将 SG200 上到 PFSense 盒的上行链路端口配置为中继端口。默认情况下,它将承载所有 VLAN 的流量。如果您需要将其限制为 VLAN 100 和 VLAN 200,请继续执行此操作(交换机端口中继允许 VLAN 100、200)。
将 2950 上到 SG200 的上行链路端口配置为中继端口。默认情况下,它将承载所有 VLAN 的流量。如果您需要将其限制为 VLAN 200,请继续执行此操作(交换机端口中继允许 VLAN 200)。
您无需更改中继端口的本机 VLAN,即可让它们承载这些 VLAN 的流量。您只需将它们配置为中继端口(交换机端口模式中继)。