在交换机上配置两个vlan 例如 vlan 10 vlan 11,接路由器的接口配置为trunk即可
路由器上创建子接口配置并配置nat
int f0/0
no shut
!
int f0/0.10
encapsulation dot1Q 10
ip add 192.168.1.1 255.255.255.0
ip nat inside
!
int f0/0.11
encapsulation dot1Q 11
ip add 192.168.2.1 255.255.255.0
ip nat inside
!
int f0/1
ip add x.x.x.x x.x.xx
ip nat ouside
!
access-list 1 permit 192.168.0.0 0.0.255.255
!
ip nat inside source list 1 interface f0/1 overload
!
做控制的时候写好acl,将其应用到子接口上即可
ip access-list extended guest
permit udp any any eq domain
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 any
!
int f0/0.11
ip access-group guest in
!
====
理论的配置是这个样子的,但是非常不建议使用2801路由器作为上网的出口设备使用。nat的性能奇差无比。放到现在甚至比不上某些家用路由设备。
公司员工使用192.168.1.1/24
来宾使用192.168.2.1/24
他们不能互相访问。
这2个网段都能在公司内任何网口连接上网。
要想实现任意网口接上后都可以归属到自己的角色,正常上网,
解决方案:
1、使用802.1x+动态VLAN来实现;
2、使用WEB Portal 认证来实现;
思路其实是一样的,需要一个认证用户的过程,来判断用户角色(归属于哪个VLAN),然后分配相应VLAN的IP地址给到用户终端设备,实现上网;
至于配置ACL,是在用户认证后,解决跨VLAN间是否需要相互访问的问题。