複数のCiscoスイッチにまたがる新しいVLAN

企業ネットワークにゲスト専用の新しいVLANをセットアップしました。ゲストWiFiサービスをセットアップして、すべてのトラフィックをビジネストラフィックから分離しようとしています。

これまでのところ、ゲストにVLAN 172を使用して172.16.0.0/24サブネットを作成しました。これは10.11.0.0ネットワークとは別ですが、同じCiscoハードウェアを経由してCisco Aironetからインターネットに到達します。

目的は、ゲストデバイスからのトラフィックを取得して、次のように複数のホップを通過させることです。

ゲストデバイス> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560-すべてが1つの物理的な場所にある10.11.23.0サブネット上にある場合、10.11.1.0サブネットに渡され、Cisco WS-C2960G> Cisco 1941ルーター>インターネットを使用します。別の物理的な場所にあります。

10.11.23.0サブネット上のスイッチはすべて、172 VLAN上のすべてのルートホップを見ることができますが、その物理的な場所の外は見ることができません。たとえば、他の物理的な場所にあり、10.11.1.0と同じ次のホップを見ることができません。サブネット。そのため、中央に大きなギャップがあり、VLAN 172では2つの物理的な場所を結合する接続が失われています。

これら2つの場所を結合する役割を担うスイッチポートがトランキングされていないことは間違いありません。これが答えだと思いますが、私のライブネットワークの残りの部分はこれらのポートに依存しています。これをテストするためにトランクモードを有効にすると、現在動作している他のすべての接続を切断する可能性がありますか？

リンクの両端を同じように設定する必要があるため、リンクをアクセスモードからトランクモードに変更すると、少なくとも数秒は中断します。

変更するリンクを介してこれらのスイッチの1つの管理にアクセスする場合は、最初にこのスイッチの構成を変更してから、他のスイッチの構成を変更する必要があります。

両方にコンソールアクセスを設定することをお勧めします。これにより、管理を失うことなく、設定ミスをすばやく修正できます。

VLANをフィルタリングする場合は、最初に
switchport trunk allowed vlan *your vlan list*
を入力し、必要に応じて
switchport trunk encapsulation dot1q（すべてのスイッチがそれを必要とするわけではありません）

switchport mode trunk両方のスイッチで同時に発行でき ます

はい、これは基本的に私たちも同様です。

ゲストデバイス> Cisco AP> Cisco WLC>コアルーター>ゲストFW>ケーブルインターネット。

インターフェイスVLANなしでコアスイッチに172 VLANをセットアップし、そのトラフィックを2960にトランクしてから、ルーターにインターフェイスまたはサブインターフェイスをセットアップするのが最適です。

ゲストトラフィックには別のインターネットサービスを使用することをお勧めします。私たちは昔、ゲストインターネット用に主要なインターネット回線を使用していましたが、電子メールスパムや違法なコンテンツのブラックリストに登録されたら、それを望みます。

VLAN 172のイーサネットフレームは、セキュリティ/ルーティングが設定されているWLC 2504にトンネリングされる必要があります。したがって、VLAN 172がWLC 2504に到達できるように、ネットワーク（スイッチ）を有効にする必要があります。WLC2504とスイッチ間のインターフェイスは、トランクインターフェイスである必要があります。