我正在为我们全新的站点添加新的路由器、防火墙和交换机,并且我对 SVI 的配置感到很困惑。
在其他站点中,交换机上有 4 个 VLAN:
- 1x VoIP(DECT)-> VLAN 8
- 1x 用户 Wifi -> VLAN 126
- 1x 用户局域网->VLAN 60
- 1x Guest_Wifi->VLAN 20
这些交换机有 3 条通往防火墙的中继:
- 1x User_LAN (Gi1/0/1) -> 允许通过 VLAN 60
- 1x VoIP (Gi1/0/2) -> 允许通过 VLAN 8
- 1x Wifi 供用户使用(Gi1/0/24)-> 允许通过 VLAN 126 和 20
我通过提供 VLAN 60 的 IP 地址来管理这些交换机,据我所知,这不是最佳做法。在这些交换机的每个端口上,本机 VLAN 都是 VLAN 60。
我想要实现的是创建一个新的 VLAN(例如 VLAN 2),专用于管理路由器、防火墙和交换机。此 VLAN 将连接 192.168.69.0/24 子网,并且可以通过我们的站点到站点 VPN 进行访问。
我所做的是创建一个新的 VLAN 接口,其 IP 为 192.168.69.3,并且我使交换机的每个接口都成为该 VLAN 的成员(switchport access 2)。
但现在的问题是每个接口都可以访问 VLAN 2,这不是我想要的。我只希望我们的 IT 团队可以访问它,其余用户可以访问 VLAN 60。我需要将第一个中继的本机 VLAN 保留为 VLAN 60。
从物理层面考虑,为管理 VLAN 专门设置一个物理接口是不是一个好主意?然后像这样将其插入防火墙接口之一?
答案1
在设备上,确保已添加管理 VLAN 并在该接口(交换机上的 SVI、路由器上的 L3 端口或子接口)上配置了 IP 地址。
如果向管理 VLAN 添加访问端口,则连接到这些端口的主机将直接连接到它 - 除了您可能不想要的快速服务端口。
相反,你可以将该 VLAN 扩展到管理工作站,无论是在 VLAN 中继上还是使用专用链路(这两种方式都相当麻烦,而且无法通过 IPsec 实现),或者更简单路线进出管理 VLAN(=将 VLAN 连接到路由器或第 3 层交换机,并在管理 PC 和受管设备之间路由数据包)。
为了限制 IT 团队的访问,您可以在路由器(或 L3 交换机)上使用 ACL - 对于作为目标的管理子网,您只允许来自管理工作站的源 IP 地址并拒绝所有其他地址。