我有一种情况,我在客户端的同一物理接口上的 pfSense 防火墙上设置多个 VLAN。
所以在 pfSense 中,我现在有 VLAN 100(员工)和 VLAN 200(学生 - 学生计算机实验室)。
在 pfSense 的下游,我有一台 Cisco SG200 交换机,从 SG200 出来的是学生实验室(在 Catalyst 2950 上运行。是的,这很旧,但它可以工作,这是我们正在谈论的一个糟糕的非营利组织)。
我想做的是将网络上的所有内容标记为 VLAN 100,学生计算机实验室除外。
今天早些时候,当我在客户现场时,我进入了旧的 Catalyst 2950,并将其所有端口分配给访问 VLAN 200(交换机端口模式访问 VLAN 200),而无需在 Catalyst 或 SG200 上设置中继.
回想起来,我现在明白为什么实验室的网络会断了。我将实验室恢复为默认 VLAN1(我们仍在不同的防火墙上运行 - 我们尚未部署 pfSense - 并且流量仍然在物理上分离)。
所以我的问题是,我需要做什么才能正确部署这个场景?
我相信正确的答案是:
- 确保在 pfSense 中设置了 VLAN 100 和 200,并且 DHCP 正常运行(在不同的子网上)
- 设置一个允许 100 和 200 流量的中继端口 VLAN,并将该端口直接插入 pfSense。
- 在 SG200 上设置 VLAN 200 中继端口(它没有运行 iOS,但如果是,命令将是
switchport trunk native vlan 200),然后将插入 Catalyst 2950。 - 在 Catalyst 2950 上设置 VLAN 200 中继端口(使用相同的命令插入 SG200 VLAN200 端口 -
switchport trunk native vlan 200) - 将实验室中旧 Catalyst 2950 上的其余端口设置为 VLAN200 上的访问端口。
有什么我遗漏的,还是我需要调整这些步骤中的任何一个,以便正确分割网络流量?
假设连接到学生实验室交换机(2950)的所有设备都应该在学生网络上,并且您永远不需要在其上放置员工计算机,实际上比这要简单得多。
不理会 2950 - 不配置 VLAN。一切都运行未标记。这里的优势是当他们升级它时,他们只需插入一个新交换机,无需在其上配置任何 VLAN。
在SG200上,将连接2950的端口设置为VLAN 200的接入端口,其余端口设置为员工计算机的VLAN 100的接入端口。
将连接到 pfsense 盒子的 SG200 的端口设置为具有两个 VLAN 的中继。
我不完全理解你的问题,但这是我对答案的看法:
将连接到端点的所有端口配置为相应 VLAN 中的访问端口。交换机将根据每个端口的 VLAN 成员资格适当地处理转发/交换流量。
将 SG200 上的上行端口配置为 PFSense 盒子作为中继端口。默认情况下,它将承载所有 VLAN 的流量。如果您需要将其限制为 VLAN 100 和 VLAN 200,请继续执行此操作(交换机端口中继允许 VLAN 100、200)。
将2950上的上行端口配置为SG200的中继端口。默认情况下,它将承载所有 VLAN 的流量。如果您需要将其限制为 VLAN 200,请继续执行此操作(交换机端口中继允许 VLAN 200)。
您无需更改中继端口的本地 VLAN,以便它们为这些 VLAN 传输流量。您只需将它们配置为中继端口(交换机端口模式中继)。