Vlan mới trên nhiều thiết bị chuyển mạch của Cisco

Tôi đã thiết lập Vlan mới trên mạng công ty của mình để chỉ sử dụng cho khách. Tôi đang cố gắng thiết lập dịch vụ WiFi cho khách và tách biệt tất cả lưu lượng truy cập khỏi lưu lượng doanh nghiệp.

Cho đến nay tôi đã tạo ra một mạng con 172.16.0.0/24 bằng cách sử dụng Vlan 172 cho khách. Điều này tách biệt với mạng 10.11.0.0 của tôi nhưng vẫn đi qua cùng một phần cứng của Cisco để truy cập từ Cisco Aironet ra internet.

Mục đích là để lưu lượng truy cập từ thiết bị của khách đi qua nhiều bước như sau:

Thiết bị khách> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560 - Tất cả trên mạng con 10.11.23.0 ở một vị trí thực tế, sau đó nó chuyển sang mạng con 10.11.1.0 và sử dụng bộ định tuyến Cisco WS-C2960G> Cisco 1941> Internet, mà là ở một vị trí vật lý khác.

Tất cả các công tắc của tôi trên mạng con 10.11.23.0 đều có thể thấy tất cả các bước nhảy tuyến trên Vlan 172 nhưng không nằm ngoài vị trí thực của nó, ví dụ: chúng không thể thấy các bước nhảy tiếp theo nằm ở vị trí vật lý khác và tương tự cho 10.11.1.0 mạng con. Vì vậy, có một khoảng cách lớn ở giữa, nơi Vlan 172 bị thiếu kết nối nối hai vị trí vật lý với nhau.

Tôi khá chắc chắn rằng các tổng đài chịu trách nhiệm nối hai địa điểm này với nhau không bị chặn. Tôi nghĩ rằng đây là câu trả lời nhưng phần còn lại của mạng trực tiếp của tôi phụ thuộc vào các cổng này. Nếu tôi bật chế độ trung kế để kiểm tra điều này, tôi có khả năng ngắt kết nối mọi thứ khác hiện đang hoạt động không?

Vì cả hai đầu của liên kết phải được thiết lập theo cùng một cách, nên việc thay đổi liên kết từ chế độ truy cập sang chế độ trung kế sẽ gây ra sự gián đoạn, ít nhất là vài giây.

Nếu bạn truy cập quản lý của một trong những công tắc đó thông qua liên kết bạn đang thay đổi, thì trước tiên bạn cần thay đổi cấu hình trên công tắc này, sau đó trên công tắc khác.

Tốt hơn là nên có quyền truy cập bàn điều khiển trên cả hai, vì vậy bạn không mất quyền quản lý và có thể nhanh chóng sửa bất kỳ cấu hình sai nào.

Nếu bạn đang lọc Vlan, trước tiên hãy nhập
switchport trunk allowed vlan *your vlan list*
và, nếu cần,
switchport trunk encapsulation dot1q(không phải tất cả các công tắc đều yêu cầu)

bạn có thể phát hành đồng thời switchport mode trunktrên cả hai công tắc

Vâng, đây thực chất là những gì chúng tôi làm là tốt.

thiết bị khách> Cisco AP> Cisco WLC> bộ định tuyến lõi> khách FW> cáp Internet.

Tốt nhất để thiết lập 172 Vlan trên bộ chuyển mạch lõi, không có Vlan giao diện, sau đó chuyển giao thông đến 2960 và sau đó thiết lập giao diện hoặc giao diện phụ trên bộ định tuyến của bạn.

Tôi sẽ đề nghị bạn sử dụng một dịch vụ Internet riêng cho lưu lượng khách của bạn. Chúng tôi thường sử dụng mạch Internet chính của chúng tôi vào ban ngày cho Internet của khách, nhưng một khi bạn bị đưa vào danh sách đen vì spam email hoặc nội dung bất hợp pháp, bạn sẽ ước mình làm được.

Các khung Ethernet trên Vlan 172 sẽ được chuyển sang WLC 2504, nơi bảo mật / định tuyến được định cấu hình. Vì vậy, bạn phải kích hoạt mạng (thiết bị chuyển mạch) để cho phép Vlan 172 tiếp cận WLC 2504. Giao diện giữa WLC 2504 và công tắc phải là giao diện trung kế.