多個 vlan 訪問共享 pbx 系統
我是網路新手,正在尋求幫助。首先,我使用數據包跟踪器來繪製我的場景,因為我將在下週收到我的設備進行部署。
要使用的硬體:
- 2 個催化劑 3560 開關
- 都連接到聲波牆路由器
我有兩家公司在同一個辦公空間工作。我需要讓這些公司在他們自己的 vlan 上分開。然而,他們需要共享電話系統。
(上傳的 Packet Tracer 文件是為了讓有時間的人看看我整理的內容。)
http://dl.dropbox.com/u/86234623/network%20build.pkt
這是我目前的測試場景:
在開關 0 我有:
- 公司 A 在 vlan 2 電腦 172.16.1.100 和 101 255.255.0.0 FA0/10 FA0/11
- 公司 B 在 vlan 3 電腦上 172.16.2.102, 255.255.0.0 FA0/12
- 中繼埠 172.16.0.5、255.255.0.0 FA0/5 上的 PBX
- FA0/1 上的中繼埠,用於連接交換機
在開關 1 上我有:
- 公司 A 在 vlan 2 電腦 172.16.1.102, 255.255.0.0
- 公司 B 在 vlan 3 電腦 172.16.2.100 和 101、255.255.0.0
- FA0/1 上的中繼埠,用於連接交換機
我可以在同一個 vlan 上 ping 相應的電腦,但不能 ping 公司 A 到 B,這正是我想要的。但是,兩家公司都無法與 PBX 通話(ping)。
以下是我用來配置我所擁有的命令:
開關 0
en conf t vlan 2 name A vlan 3 name B int fa0/10 switchport mode access switchport access vlan 2 int fa0/11 switchport mode access switchport access vlan 2 int fa0/12 switchport mode access switchport access vlan 3 int fa0/5 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1-3 int fa0/1 (to connect the switches) switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1-3開關 1
en conf t vlan 2 name A vlan 3 name B int fa0/10 switchport mode access switchport access vlan 3 int fa0/11 switchport mode access switchport access vlan 3 int fa0/12 switchport mode access switchport access vlan 2 int fa0/1 (to connect the switches) switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 1-3
您已將所有主機放在同一個子網中,但已將它們分隔到不同的 VLAN 中。請參見註釋 7。
如果您希望它們之間的 IP 路由正常工作,則需要為每個 vlan 配置不同的 IP 子網。首先要做的是將主機上的子網遮罩更改為 255.255.255.0。這會將公司 A、公司 B 和伺服器放在不同的 Vlan 和不同的子網中,如下所示:
- 公司 A - Vlan 2 - 子網 172.16.1.0 /24
- 公司 B - Vlan 3 - 子網 172.16.2.0 /24
- 伺服器 - Vlan 4 - 子網 172.16.3.0 /24
給伺服器一個 IP 地址 172.16.3.n 255.255.255.0 不要讓它成為中繼埠,這只是增加了你現在不需要的複雜性。
現在您已經有了健全的 VLAN 和子網劃分,您需要在它們之間進行 IP 路由。您可以為此使用 3560 或 sonicwall。但我討厭 sonicwall,所以我將告訴你如何使用 3560 來做到這一點。
選擇3560做你的路由器,選哪一個都沒關係。給它三個第 3 層 vlan 介面:使用以下命令,在配置模式下:
ip routing Interface vlan 2 ip address 172.16.1.1 255.255.255.0 Interface vlan 3 ip address 172.16.2.1 255.255.255.0 interface vlan 3 ip address 172.16.3.1 255.255.255.0 exit ip route 0.0.0.0 0.0.0.0 ip.address.of.sonicwall現在讓您的主機的預設網關指向您剛剛設置的每個 VLAN 中的 vlan 介面。所以 172.16.1.100 將有一個 172.16.1.1 的網關,等等。
完成此設置後,您應該能夠在 3 個 vlan 之間建立 IP 連接,還可以通過 sonicwall 連接到 Internet。
要拒絕 VLAN 2 和 3 之間的流量,您可以使用 VACL,如下所示:
ip access-list extended deny2to3 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 permit ip any any ip access-list extended deny3to2 deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip any any interface vlan 2 ip access-group deny2to3 in interface vlan 3 ip access-group deny3to2 in注意 7:這不起作用。