小弟查了很多資訊,試了很多次還是無法將DHCP Relay設定成功,而且切出去的VLAN部份也無法上網。先附上網路架構圖:
首先是中華的數據機接上Netscreen25,然後Netscreen25接到HP_Switch的Port1。
接下來是Server我都直接接上HP那台Switch(Port2~20),然後有三台D-Link的L2_Switch,分別接到Port21~23,D-Link上面都是接PC,Port24我是接無線AP。
需求是VLAN1、VLAN2、VLAN3彼此不互通,但是可以從VLAN1的DHCP Server取得IP,並且都可以上Internet。請教各位大大們,這該如何設定?
我將VLAN2~VLAN3的DHCP Relay都設定到192.168.1.8(DHCP SERVER),但是還是無法取得IP位址;我試著在VLAN2~3設定固定IP,但是無法出去Internet。
EX:在VLAN3,我設定固定IP,Ping的到192.168.3.1、192.168.1.9,但是Ping不到192.168.1.1,好像是路由不通?
懇請各位大大們幫忙~
已邀請的邦友 {{ invite_list.length }}/5
沒有路由的概念
沒有dhcp.relay.的概念
電腦有幾台?
說不定為什麼要切vlan也不清楚.
請教,您回這個的用意是什麼?我並不是專業的IT人員,也是被任命解決問題。
文章我也找過,手冊也看過,仍是無法解決,才會來這邊尋求答案。
之前您回答過我Netscreen相關的問題,我很感謝。雖然沒有確切的解決問題,但是我也吸收不少。
每個vlan有設定一個ip當gateway嗎?
vlan先讓他都可以通再設acl.
既然不會設dhcp relay,
Server2003插3塊網路卡,
L3 switch 讓出3個port接dhcp server,或是接到同網段也ok.
vlan interface 要設ip ,
大概可以設成 192.168.1.254 192.168.2.254 192.168.3.254,
以上當成你dhcp發出ip 的 default gateway,
然後設 ip route
0.0.0.0 next hop 192.168.1.1
192.168.1.0 next hop 192.168.1.254
192.168.1.254 next hop 127.0.0.1
以此類推
interface 要指定
路由設定完應該就會通了
windpws dhcp scope vlan 可以參考
http://www.firewall.cx/microsoft-knowledgebase/windows-2003-server/246-windows-2003-dhcp-adv-p1.html
hp dhcp relay agent
http://h20000.www2.hp.com/bc/docs/support/SupportManual/c02642180/c02642180.pdf
恩 很難設定 還是插3塊網卡好了
研究了一下你的架構圖
你可能只是想另外切2個vlan
一個用來無線上網
一個可能給某個獨立部門用
可是你的防火牆在192.168.1.0 的網段中
3個vlan如果不相通就不能上網 除非你192.168.2 192.168.3 的網段直接接防火牆
我覺得你應該把目前有的電腦數 主機數 網路設備 有幾條網路線拉到機房 說出來
讓我們幫你規劃一下比較好
設定靜態路由
雖然廠牌型號不一樣 原理應該差不多
http://enterprise.huawei.com/ilink/cnenterprise/download/HW_U_135142
hon2006大大
我需要切VLAN的用意是
1.有發生過幾次,無線的裝置搶到了原有主機的IP,導致衝突。
2.上頭說要把財務部、採購部的網路,做區隔。
3.我也想把Server的區域做分開。
所以想到了之前有廠商提過的VLAN,好像能符合我的需求。
是的,公司內部都在192.168.1.0/24的網段,防火牆也是。
我試過在防火牆上面設定不同的Zone、以及Policy,那確實可以,但是防火牆上面只有4個Port,2個是對外的線路,所以只剩2條。
目前辦公室,個人電腦+NB大概5X台、Server大概7台、Netscreen25 1台、HP_L3_Switch 1台、D-link_L2_Switch 3台、中華電信兩條線路進來到機房。
所以我必須要把防火牆設定成另一個網段?然後再Switch上面指定0.0.0.0 next hop 防火牆IP,是這樣嗎?
不過我切好VLAN,好像就不互通了,該怎麼讓他至少會互通?附上Switch上面的設定圖:
設好後,試著用電腦在VLAN3網段,設固定IP,還是到不了192.168.1.1
我原本是想說可以像Netscreen設備一樣,切好VLAN、設定好路由、以及特定的政策,讓一些IP可以通過就好。
好在我主管比較沒有要求時間,不然我這種非專業的來用,也是一個頭二個大~
有可能是無線那台沒設好
你可以把電腦直接接l3 swich port 24 測測看
先 ping 192.168.3.254 看會不會通
在 ping 192.168.2.254 192.168.1.254
記得電腦 default gateway 要設成 192.168.3.254
hon2006大大,我發現我設定錯誤在哪裡了
原來公司網段DHCP Default Gateway是設定在192.168.1.1,所以VLAN1的主機都還是192.168.1.1的Gateway,導致VLAN3網段的電腦一直PING不到VLAN1的主機。
而且在我將DHCP Server上面的Gateway設定在192.168.1.254之後,VLAN3的電腦也可以透過DHCP Relay收到VLAN3的IP了。
不過我發現一個比較有趣的地方,就是照tomluquan大大說的,在Netscreen上面加了192.168.2.0/24與192.168.3.0/24回來的路由之後,就算VLAN1網段的主機 Gateway還在192.168.1.1,也可以PING的到了,這是因為到Netscreen之後,又轉回來了嗎?
之後如果我需要將VLAN彼此之間有些互不通訊,就需要用ACL來做了?
非常感謝您的協助~
如果是為了防止無線衝到server 的 ip,切完vlan就不會衝到了.
接下來作 dhcp reservation
http://www.tech-faq.com/dhcp-reservation.html
因為有 l2 的 switch
說不定可以做 IP-MAC-Port Binding
http://tsd.dlink.com.tw/WP_HTML/DWP1200003.html
EX:在VLAN3,我設定固定IP,Ping的到192.168.3.1、192.168.1.9,但是Ping不到192.168.1.1,好像是路由不通?
這個會不會是你在Netscreen沒有設定routing回來呀!!
不過以下需求,有點讓人難以理解,可否再說明:
需求是VLAN1、VLAN2、VLAN3彼此不互通,但是可以從VLAN1的DHCP Server取得IP
我設定固定IP,Ping的到192.168.3.1、192.168.1.9
即然彼此不互通,又為何Vlan3可電腦可以ping到Vlan1上的ip
所以不互通的定義為何?
不好意思,我再說明一下。
公司即有內部網段是 192.168.1.0/24,192.168.1.1 是netscreen25防火牆的內部IP,也是default gateway。
我的想法是要切出3個VLAN,彼此不互通;VLAN2、VLAN3可以從VLAN1的DHCP SERVER取得IP位置;3個VLAN都可以上Internet。
我現在有切好了3個VLAN,我將電腦接上VLAN3的網段,設固定IP(因為抓不到DHCP),Ping VLAN3的Gateway(192.168.3.1)會通,Ping VLAN1的Gateway(192.168.1.9)會通,但是Ping Netscreen25(192.168.1.1)不通。
所以我只是再想應該是路由問題,所以不通。
"我的想法是要切出3個VLAN,彼此不互通;3個VLAN都可以上Internet。"
這個說法就怪怪的了,因為Firewall是在Vlan1上,如果彼此不互通,那VLan2和3的人,怎麼能Routing到Vlan1上再透過Vlan1上的Firewall連上Internet呢?
所以猜你的意思,應該只是作Boradcast Domain的切割,然後日後再作ACL IP或Service的阻擋囉!!
這樣
"VLAN2、VLAN3可以從VLAN1的DHCP SERVER取得IP位置"
的Dhcp Relay設定才有可能作的到!!
至於怎麼讓你的Vlan2及Vlan3的Interface協助你的PC取得Vlan1上Dhcp Sever所發的IP呢,那必須要在Vlan2及Vlan3上的Interface中下ip helper-address的command
例如:
(vlan-3)# ip helper-address 192.168.1.8
感謝kaku0419大大的回覆
DHCP Relay已經解決,原來網段DHCP Default Gateway是設定在192.168.1.1,所以VLAN1的主機都還是192.168.1.1的Gateway,導致VLAN3網段的電腦一直連不到VLAN1的主機。
網段切開,用ACL來區隔,這個我會再試試看。
ping 192.168.1.1不通是因為Netscreen沒有回來的路由,在Netscreen加上192.168.2.0/24與192.168.3.0/24回來的路由應該就可以了
iThome鐵人賽
看影片追技術