我的交换机中标记与未标记的配置没有按我预期的那样工作。

网络工程 VLAN dhcp
2021-07-08 15:04:17

我的拓扑很简单,虽然很笨,我想稍后修复它。

目标:

很直接,

简洁版本:

我想为我的访客 wifi 创建一个 VLAN,这样连接到这个 WiFi 的人就无法访问我的服务器。

长版:

我最初设置了两个 WiFi 网络,一个用于访客,另一个用于我的内部网络。现在我想要的是将它们分开,所以我不希望连接到我的访客 wifi 的人能够访问连接在我内部网络上的计算机或我的服务器。我一直在研究的解决方案是为访客网络创建一个 VLAN,这样它就会被隔离。

我的设置:

我有 2 个网关连接到我的交换机(端口 1 和 2)

在此处输入图片说明

Palo Alto Gateway 是具有用于我的内部网络的 DHCP 服务器的网关,而 Unifi Security Gateway 是包含用于我的访客网络的 DHCP 服务器的网关(我知道,我应该只有 1 个网关,但我只想能够创建这个现在只需为访客添加另一个网关和 VLAN 即可快速修复)。

现在,问题是在交换机中标记这些端口。正如您在交换机内部 VLAN 的配置中所看到的:

在此处输入图片说明

此配置有效,但我不知道为什么。在我看来,它应该标记为 VLAN 99 中的端口 2 并在默认 VLAN 中排除,但是,如果我这样做,我可以连接到访客 WiFi,但我无法获得 IP 地址,因此 Unifi 网关上的 DHCP 服务器失败. 有人可以帮我解决这个问题吗?谢谢!

2个回答

简单的设置是仅在交换机和 Unifi 网关之间的中继上使用标记。当您标记访客 VLAN 时,您的默认/生产 VLAN 会在未标记的情况下运行。这在交换机和 Unifi 上必须相同。在 WAP 端口上,只需使用未标记的访客 VLAN。

但是,这会将您的 WAP 管理完全置于访客网络中。如果您想避免这种情况,请对 WAP 端口(在交换机和 WAP 端)使用相同的 VLAN 中继 - 生产未标记、访客标记 - 并将访客 VLAN 与访客 SSID 相关联。

似乎您已经尝试过后一种设置,但是您反转了 Unifi 的标记 - 如果在 Unifi 方面相同,那很好,但我不会那样做。

我不知道你的硬件,所以我不能给出更具体的建议,抱歉。而且我也看不懂截图。如果您认为您已经完成了设置,您应该提供一个包含设置的表格。

您是否也标记了来自 Unifi 的流量?要使用标记流量,中继端口另一端的设备需要具备“VLAN 感知能力”。

其它你可能感兴趣的问题
上一篇nexus 5k 和 4500 之间的 vPC 问题 下一篇2 个 cisco 交换机(光纤链路和中间交换机)之间的链路聚合(Etherchannel)