SG-300 第 3 层交换机上的 VLAN、ACL、DHCP 帮助

网络工程 转变 VLAN ACL 第3层 思科小型企业
2021-07-31 02:26:19

我必须在cisco Sg-300小型企业L3交换机上做如下配置,如图。

网络挖掘

由于我无法在实际生产中使用此开关进行练习,因此我需要清除我脑海中的一些疑虑。

所以这是我的计划,如果您能检查一下我是否正确,我将不胜感激。

1.根据子网使用 .1 ips 配置 vlan 2 和 3 接口,分配端口并配置客户端以将它们用作网关。问题:标记端口是否仅表示单个 vlan 上的接入端口,而标记在许多不同 vlan 上的端口表示中继端口?那么未标记的端口是什么意思呢?

2.在交换机上添加一条静态路由为0.0.0.0/0,下一跳为192.168.1.1 0.0.0.255,即防火墙。L3 交换机是否允许为其接口分配 IP 地址?在数据包跟踪中,我必须先“无交换机端口”,然后才能为 L3 交换机上的接口分配 IP

3. 在防火墙上为两个 vlan 子网添加反向路由,将 192.168.1.2 作为 Internet 工作的下一跳。

4. 配置防火墙策略以允许从 192.168.2.0 和 3.0 子网到 Internet 的流量。切换到防火墙 /30 链接是否需要中继端口?因为这将在 vlan1 上进行。

在这个阶段,互联网应该在两个 vlan 上启动。

我的下一阶段配置是阻止整个 vlan 3 访问 vlan2 上的一个特定主机。然后只允许从 vlan3 访问 vlan2(打印机)上的某些主机。

事实证明这令人困惑,我真的可以在这里使用一些帮助。

此外,目前计划使用静态 IP,但如果我们决定使用 dhcp,我会将交换机本身配置为 dhcp 服务器。

我知道创建 dhcp 池,但我如何将它们分配给 vlan?

在这种情况下我们是否使用 ip helper cmd?例如:池:

ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 4.2.2.2

ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 8.8.8.8

然后绑定到 vlan2 : 

interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.2.1

另外,如果我要在其中一个 vlan 中添加接入点,AP 将连接到交换机上的 vlan 端口,是否还需要启用 vlan 标记?

1个回答

您不需要 ip helper-address 语句。

据我了解您的要求,您只想允许从 vl 3 访问 vl 2 上的打印机。 vl 3 不能访问 vl 2 上的任何其他内容。

ip access-list extended vlan3-in
 remark allow printers.  Repeat this line for each printer
 permit ip any host <printer address>
 remark alternatively, you can only allow the printer port on the VLAN, for ex.
 permit tcp any 192.168.2.0 0.0.0.255 eq 9100
 remark block the rest of vlan 2
 deny ip any 192.168.2.0 0.0.0.255
 remark permit Internet
 permit ip any any

interface vlan 3
service-acl input vlan3-in

如果您的 AP 可以提供多个 SSID,那么您可以为每个 VLAN 提供一个 SSID。您标记 VLAN 并将交换机端口设置为中继。

如果您的 AP 不能提供多个 SSID,则将交换机端口设为接入端口并且不要标记 vlan。

其它你可能感兴趣的问题
上一篇主机名和服务器名是一回事吗? 下一篇配置远程互联网连接