员工网络和来宾网络分开

xumars · ‎12-19-2021

公司员工使用192.168.1.1/24

来宾使用192.168.2.1/24

他们不能互相访问。

这2个网段都能在公司内任何网口连接上网。

思科的设备能否完成这个功能，如果可以怎么操作？

ilay · ‎12-19-2021

简单的方法就是在网关上给guest的接口写个acl，deny这个地址段访问内部地址，然后再permit ip any any就行了。

xumars · ‎12-20-2021

但是2个网段会有2个网关，路由器就1个接口，怎么解决

ilay · ‎12-20-2021

如果仅有一台路由器，没有三层交换机，可以通过子接口的方式实现，acl应用到对应的子接口上就行。如果存在三层交换机，可以将网关配置到三层交换机上，默认路由指向你的路由器就行。

xumars · ‎12-21-2021

我刚了解，我需要的其实是基于子网的VLAN，通过判断IP地址决定属于哪个vlan。

但是网上的设定方法都不一样。。

在Cisco Packer Tracer上测试都没成功。不知道具体要怎么设定了。

路由器2801，交换机2960.

能指导下怎么设定么？

ilay · ‎12-21-2021

在交换机上配置两个vlan 例如 vlan 10 vlan 11，接路由器的接口配置为trunk即可

路由器上创建子接口配置并配置nat

int f0/0

no shut

!

int f0/0.10

encapsulation dot1Q 10

ip add 192.168.1.1 255.255.255.0

ip nat inside

!

int f0/0.11

encapsulation dot1Q 11

ip add 192.168.2.1 255.255.255.0

ip nat inside

!

int f0/1

ip add x.x.x.x x.x.xx

ip nat ouside

!

access-list 1 permit 192.168.0.0 0.0.255.255

!

ip nat inside source list 1 interface f0/1 overload

!

做控制的时候写好acl，将其应用到子接口上即可

ip access-list extended guest

permit udp any any eq domain

deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

permit ip 192.168.2.0 0.0.0.255 any

!

int f0/0.11

ip access-group guest in

!

====

理论的配置是这个样子的，但是非常不建议使用2801路由器作为上网的出口设备使用。nat的性能奇差无比。放到现在甚至比不上某些家用路由设备。

YilinChen · ‎12-21-2021

公司员工使用192.168.1.1/24

来宾使用192.168.2.1/24

他们不能互相访问。

这2个网段都能在公司内任何网口连接上网。

要想实现任意网口接上后都可以归属到自己的角色，正常上网，
解决方案：

1、使用802.1x+动态VLAN来实现；

2、使用WEB Portal 认证来实现；

思路其实是一样的，需要一个认证用户的过程，来判断用户角色（归属于哪个VLAN），然后分配相应VLAN的IP地址给到用户终端设备，实现上网；

至于配置ACL，是在用户认证后，解决跨VLAN间是否需要相互访问的问题。

xumars · ‎12-21-2021

对，就是动态vlan。

静态的单臂路由我能设。

思科的动态vlan 不知道要怎么设，什么命令。

Terry Wang · ‎12-31-2021

需要Radius 服务器推送动态vlan到路由器或者交换机，不能在思科配置动态vlan

adsin · ‎03-05-2022

看着有些复杂

adsin · ‎03-05-2022

路由器就1个接口，怎么解决