He configurado una nueva VLAN en mi red corporativa para uso exclusivo de los invitados. Estoy tratando de configurar un servicio WiFi para invitados y mantener todo el tráfico separado del tráfico comercial.
Hasta ahora he creado una subred 172.16.0.0/24 usando VLAN 172 para invitados. Esto está separado de mi red 10.11.0.0, pero aún está viajando a través del mismo hardware de Cisco para llegar desde Cisco Aironet a Internet.
El objetivo es hacer que el tráfico del dispositivo de los invitados viaje a través de múltiples saltos de la siguiente manera:
Dispositivo invitado> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560: todo en la subred 10.11.23.0 en una ubicación física, luego pasa a la subred 10.11.1.0 y utiliza un enrutador Cisco WS-C2960G> Cisco 1941> Internet, que Está en otra ubicación física.
Mis conmutadores en la subred 10.11.23.0 pueden ver todos los saltos de ruta en la VLAN 172 pero no fuera de su ubicación física, por ejemplo, no pueden ver los próximos saltos que residen en la otra ubicación física y lo mismo para el 10.11.1.0 subred Entonces, hay una gran brecha en el medio donde la VLAN 172 no tiene la conexión que une las dos ubicaciones físicas.
Estoy bastante seguro de que los puertos de conmutación que son responsables de unir estas dos ubicaciones no están conectados. Creo que esta es la respuesta, pero el resto de mi red en vivo depende de estos puertos. Si habilito el modo troncal para probar esto, ¿es probable que desconecte todo lo que está funcionando actualmente?
Respuestas:
Dado que ambos extremos del enlace deben configurarse de la misma manera, sí, cambiar un enlace del modo de acceso al modo troncal causará una interrupción, al menos unos segundos.
Si accede a la administración de uno de esos conmutadores a través del enlace que está cambiando, primero debe cambiar la configuración en este conmutador y luego en el otro.
Es mejor tener acceso a la consola en ambos, para que no pierda la administración y pueda corregir rápidamente cualquier configuración incorrecta.
Si está filtrando VLAN, ingrese primero el
switchport trunk allowed vlan *your vlan list*
y, si es necesario,
switchport trunk encapsulation dot1q
(no todos los conmutadores lo requieren)el puede emitir simultáneamente
switchport mode trunk
en ambos interruptoresfuente
Sí, esto es esencialmente lo que hacemos también.
dispositivo invitado> Cisco AP> Cisco WLC> enrutador central> FW invitado> Internet por cable.
Lo mejor es configurar la 172 VLAN en el conmutador central, sin una VLAN de interfaz, y luego conectar ese tráfico a su 2960 y luego configurar una interfaz o subinterfaz en su enrutador.
Sugeriría que utilice un servicio de Internet separado para el tráfico de sus invitados. Solíamos usar nuestro circuito de Internet principal en el día para Internet de invitados, pero una vez que te incluyan en la lista negra por correo no deseado o contenido ilegal, desearás haberlo hecho.
fuente
Las tramas de Ethernet en la VLAN 172 deben conectarse al WLC 2504, donde se configura la seguridad / enrutamiento. Por lo tanto, debe habilitar su red (conmutadores) para permitir que la VLAN 172 llegue al WLC 2504. La interfaz entre el WLC 2504 y el conmutador debe ser una interfaz troncal.
fuente