所以我有 2 个核心交换机和 1 个接入交换机,我有 vlan 1、10、20、30 和 100。 vlan 10 是 voip,我想做的是阻止其他 vlan 上的任何人看到那个子网,但是电话从 vlan 100 上的服务器获取 dhcp。vlan 100 只是服务器,所以如果涉及到它,vlan 100 可以访问 vlan 10。
我的主要目标是确保其他 vlan 上的任何人都不能看到电话网络,并且电话仍然可以获取 dhcp。目前对于 intervlan 路由,我在 2811 路由器上使用 ospf,网络为 0.0.0.0
ip范围如下:
Vlan 1 - 10.1.1.0/24 -Mgmt Vlan 10 - 10.1.10.0/24 - VOIP Vlan 20 - 10.1.20.0/24 - PC 的 Vlan 30 - 10.1.30.0/24 - WiFi Vlan 100 - 10.1.100.0/24 - 服务器
谢谢
在 2811 上:
ip access-list extended VOIP-ONLY
permit udp <address of dhcp server> any eq bootps
interface x/y.z
description The 2811 interface that connects to VLAN10
ip access-group VOIP-ONLY out
ip helper-address <address of DHCP server>
根据您的业务需求在 L3 交换机中配置 access-list 并隔离 VLAN 之间的流量。并确保 DHCP 托管服务器 Vlan 和其他 vlan 能够相互通信。这样 ip 位置将是正确的。
你可以配置
ip helper-address <address of DHCP server>
在 Vlan10 上(实际上也在所有其他 Vlan 接口上)。只有 DHCP 数据包会在 Vlan10 和 Vlan100 之间传输,所有其他 L2 流量按预期保持隔离。
在您的 2811 路由器中,在连接到 vlan10 的子接口上,您可以提供“ip helper-address xxxx”(其中 xxxx 是 DHCP 服务器 IP)。当电话发送 DHCP 发现广播时,路由器会将其中继到 DHCP 服务器(中继 IP 地址字段将填充该子接口 ip,以便 DHCP 服务器可以从特定池分配 IP 地址)。
如果每个网络 IP 都由 DHCP 服务器提供,您可以在每个子接口上执行相同的操作。您可以在 2811 中使用访问列表或基于区域的防火墙进行访问限制