我应该对全网的管理流量使用相同的本地 VLAN 吗?

网络工程 思科 局域网 思科-ios 网络核心 思科无线
2022-02-20 22:47:25

我将中继链路上的本地 VLAN 设置为 VLAN 10,这是我的管理 VLAN,它跨越整个网络。我们有一个连接在中继链路上的 WLC 和接入点,该中继链路设置为本地 VLAN20,即无线 VLAN。我想知道我是否应该将所有网络设备都放在同一个本地 VLAN 上,以避免在网络上运行未标记的 cisco 和其他协议出现任何不匹配问题?

我们在网络上有很多 Apple 和 L2 设备想要使用有线或无线协议。我已经在 WLC 上配置了 mDNS,但基本打印作业仍然存在问题。我正计划将 WLC 移动到 VLAN10,但我阅读了推荐部署控制器的不同方法的文章。

    VLAN 10 - Management
    VLAN 20 - Wireless
    VLAN 60 - Hosts

    Router (10.0.1.2) - access port, VLAN 10

    c3750 (10.0.1.1) - you name it we probably got it plugged in
    wlc (10.0.2.3) - trunk port, native VLAN 20

    ==3 switches on trunk links running back to 10.0.1.1 ==
    c3750(10.0.1.3) - trunk port, native VLAN 10
    c3750(10.0.1.4) - trunk port, native VLAN 10
    c3750(10.0.1.5) - trunk port, native VLAN 10
1个回答

未标记(本机)VLAN 并没有真正为您提供比标记 VLAN 的任何好处,并且它们存在一定程度的安全风险。当标记的 VLAN 可用时,没有真正的理由使用未标记的 VLAN。

有些人更喜欢使用网络范围的 VLAN 进行管理,一个用于打印机等。这种情况存在安全和操作风险。Cisco 一直在推荐每个 VLAN 一个接入交换机(一个接入交换机可以有多个 VLAN,但这些 VLAN 不会扩展到任何其他接入交换机),并且如果可以的话,使用第 3 层连接到接入交换机而不是中继.

思科出版社出版了一本由 Eric Vyncke 和 Christopher Paggen 所著的“LAN Switch Security: What Hackers Know About Your Switches”一书,其中解释了很多这类事情。

其它你可能感兴趣的问题
上一篇到最近的 IXP 的距离会影响下载速度吗? 下一篇三层交换机和路由器处理广播通信的区别