Hvordan lage en Internett Kun VLAN på en Router

Hvordan lage en Internett Kun VLAN på en Router


Virtual Local Area Networks (VLAN) tillate nettverkssvitsjer å skille trafikk basert på en logisk identifikator, kjent som en VLAN-ID. Når den brukes sammen med en ruter som støtter subinterfaces, kan en VLAN bli skape som bare tillater brukere å få tilgang til Internett, og ingen andre ressurser på nettverket. Ruteren kan konfigureres til å skille mellom enheter som er koblet på internett beskyttet og annen trafikk som kommer på de samme fysiske tilkoblinger, bruke tilgangslister og rutetabeller for å hindre at tidligere fra å kommunisere med sistnevnte.

Bruksanvisning

1 Planlegg nettverket. Du trenger to separate, (IP) ikke-overlapp Internet Protocol adresse plasser for hvert nettverk. Den vanligste private adresse plass er 192.168.yx, med en nettverksmasken 255.255.255.0 (der "Y" er et statisk tall fra 1 til 254 og X er antallet som vil bli tildelt til hver enkelt vert).

2 Koble til ruteren. På en Cisco router, vil dette enten innebære en Telnet-økt til sin administrative IP-adresse eller en direkte forbindelse fra den serielle porten på PC-en din til konsollen port på ruteren. Andre, forbruker-nivå rutere kan bruke et web-grensesnitt som du får tilgang ved å skrive administrative IP inn i en nettleser. Sjekk med produsenten for spesifikke instruksjoner om tilgang til deres konfigurasjon grensesnitt.

3 Konfigurere virtuelle under grensesnitt på fysisk port koble fra bryteren til ruteren. På en Cisco router, vil du gjøre dette ved å skrive ut konfigurasjonsmodus for grensesnitt: ". Int [grensesnitt navn] [grensesnittet nummer] [vlan id]" (for eksempel "int ethernet0") og deretter inn i sub-grensesnittet ved å skrive (for eksempel "int e0.1").

4 Aktiver dot1q eller ISL VLAN innkapsling på alle under grensesnitt, noe som gir hver enkelt en separat VLAN identifikasjonsnummer (et tall mellom 1 og 4094). På Cisco-rutere, er denne kommandoen utstedes i sub-grensesnitt konfigurasjonsmodus og er formatert som "innkapsling [dot1q eller ISL] [VLAN ID]" (f.eks: "innkapsling dot1q 10" for vlan "10"). Gi denne kommandoen separat for hver sub-grensesnitt.

5 Tildele alle under grensesnitt en gateway-adresse innenfor sine respektive nettverk. The gateway IP-adressen er vanligvis den første eller siste vert antall nettverket (f.eks: 192.168.2.x nettverk ville ha et grensesnitt til 192.168.2.1 eller 192.168.2.254). På en Cisco router, vil denne kommandoen være (i sub-grensesnitt konfigurasjonsmodus) "ip-adresse [adresse] [subnet mask]" (f.eks: ip-adresse 192.168.2.1 255.255.255.0)

6 Konfigurer ruting tabeller for hvert VLAN-nettverk. Kontroller at Internett-bare VLAN har en standardrute (0.0.0.0) som peker til port i ruteren er koblet til Internett. I en Cisco router, gi deg denne kommandoen i global konfigurasjon modus ved å skrive "ip route 0.0.0.0 0.0.0.0 [grensesnitt eller IP-adressen til neste 'hop']"

7 Lag en Access Control List (ACL) som vil nekte trafikk fra et medlem av Internett-only nettverk får tilgang til andre nettverk. Tilgangskontroll lister kan være vanskelig, men de individuelle kommandoen ser i Cisco-rutere som "aksess-liste [ACL Nummer] [nekte Internett-bare nettverksadresse] [Internett-bare wildcard maske] [andre nettverksadresse] [andre nettverk wildcard mask] (f.eks: access-list 10 benekte 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255) ".

8 Påfør tilgangslisten til Internett-bare sub-grensesnitt. I Cisco-rutere, kan du gjøre dette ved å gå inn i grensesnittet konfigurasjonsmodus og utstede kommandoen "access-gruppen [ACL nummer / navn] [/ ut]."

Hint

  • Med alle de forskjellige VLAN tall og adresse, er det godt å utvikle et system for konsistens. Vurder å lage nettverksnummeret og VLAN ID det samme, binde VLAN 2, for eksempel til nettverket 192.168. * 2 * 0,0. På denne måten vil du vite at vertene med en 192.168.2.x adresse er medlemmer av VLAN 2.
  • Med Cisco-rutere, kan du legge kommentarer til sub-grensesnittet ved å utstede "description [tekst]" eller "bemerkning [bemerkning]" kommandoer. På denne måten når du eller en annen person har å jobbe med ruteren konfigurasjonen, kan de få en klar beskrivelse av hva sub-grensesnittet er designet for å oppnå (f.eks "description: Dette er internett-bare VLAN")
  • Cisco-rutere er noen av de vanligste i USA; Men mange produsenter gi tilgang til de samme konfigurasjonsmuligheter via Web grensesnitt med rullegardinmenyene og tekstbokser. Sjekk med produsenten av dere ruteren for å bekrefte den beste måten å gi disse kommandoene.
  • Pass på at porten kobler bryteren til ruteren er satt som et VLAN bagasjerommet. Hvis porten på bryteren er ikke en koffert, vil det ikke videresende datapakker fra VLAN utsiden av en som er det tildelt.