开箱即用的 Cisco ASA 已获得 2 ½ VLAN 许可。
- 一个用于外部(公共)网络的 VLAN
- 一个用于内部的 VLAN(专用网络)
- 第三个 VLAN 被限制为只能与内部 VLAN 或外部 VLAN 通信,但不能同时与两者通信。
第三个 VLAN 通常用于访客无线网络,该网络可以访问互联网,但不能访问您的内部网络。因此,我们在外部 VLAN 上配置 ASA 上的端口 0,并为其指定 IP 地址,例如 100.100.100.1/28。然后,我们在内部 VLAN 上配置 ASA 上的端口 1,并为其指定 IP 地址 10.1.1.1/24。我们在端口 2 上配置访客 VLAN,并为其指定 192.168.1.1/24。
我将端口 0 连接到您 ISP 的上游路由器,将端口 1 和 2 直接连接到主交换机。您的公司周围有几台边缘交换机,它们通过光纤上行链路连接到主交换机。理论上,您应该能够将计算机插入公司的任何交换机,手动为其分配 IP 地址 192.168.1.100/24,默认网关为 192.168.1.1,然后您就应该能够访问互联网。
我试过这个,但它要么根本不起作用,要么运行非常慢。除了配置 VLAN 之外还有其他想法吗?
答案1
您需要将交换机端口 PVID 配置为其所属的 VLAN,或者配置每个设备以便为特定 VLAN(不常见)标记其数据包。
或者,如果您有两个独立的交换机,则可以指定一个用于私有 VLAN,另一个用于来宾 VLAN。
请在您的交换机配置上发布更多信息,我们可以帮助您缩小问题范围。