我正在部署具有两个 SSID 的无线接入点:employee(VLAN 45)和guests(VLAN 46)。我很困惑如何配置 AP 和交换机上的以太网端口。
我的偏好是将交换机端口配置为访问端口,以便锁定 WiFi 端点。guest如果没有WLAN ,我会这样做。但是,我认为这行不通:由于会有两个 VLAN,我相信我需要将交换机端口配置为中继。不过,我担心的是,将其设置为中继交换机端口会将其打开到所有VLAN。即使我将交换机端口上的 VLAN 限制为 45 和 46,它仍然意味着任何人,例如,断开 AP 并插入的人都可以访问中继端口。
如何在仍支持两个 SSID 和 VLAN 的同时锁定无线 AP 交换机端口?
在一个交换机接口上支持多个 VLAN 意味着您将拥有一个带有标签的中继,用于为中继上的每个 VLAN 分隔帧,除了本地 VLAN(如果有)。在 Cisco 350 交换机上,您可以限制中继上允许哪些 VLAN:
switchport trunk allowed vlan {all | none | add vlan-list | remove vlan-list | except vlan-list}
例如,假设用户 VLAN 是 45,访客 VLAN 是 46,WAP 的中继接口是端口 48:
interface GigabitEthernet48
switchport mode trunk
switchport trunk allowed vlan 45,46
!
大多数终端设备不理解 VLAN 标记,它们会将标记帧作为巨人丢弃。如果您担心有人对您的交换机接口进行未经授权的连接,那么您需要使用 802.1X,但这需要一些工作来设置基础设施。该交换机型号支持 802.1X