Настройка сети в организации. Часть 2

В данной статье мы продолжим настройку нашей сети. В этом выпуске мы настроим: DHCP, ACL и добавим сеть WIFI.Начнем с добавления DHCP.

Открываем консоль нашего ядра, и вводим:

coremsk#conf t

Создадим DHCP pool для Vlan 101

coremsk(config)#ip dhcp pool vlan101

Теперь укажем сеть

coremsk(dhcp-config)#network 10.10.1.0 255.255.255.0

Укажем шлюз

coremsk(dhcp-config)#default-router 10.10.1.1

coremsk(dhcp-config)#exit

Теперь укажем какие адреса не нужно раздавать клиентам, в нашем случае это адрес шлюза

coremsk(config)#ip dhcp excluded-address 10.10.1.1

Настраиваем другие DHCP пулы по аналогии

coremsk(config)#ip dhcp pool vlan102

coremsk(dhcp-config)#network 10.10.2.0 255.255.255.0

coremsk(dhcp-config)#default-router 10.10.2.1

coremsk(config)#ip dhcp excluded-address 10.10.2.1

coremsk(config)#ip dhcp pool vlan103

coremsk(dhcp-config)#network 10.10.3.0 255.255.255.0

coremsk(dhcp-config)#default-router 10.10.3.1

coremsk(config)#ip dhcp excluded-address 10.10.3.1

coremsk(config)#ip dhcp pool vlan104

coremsk(dhcp-config)#network 10.10.4.1 255.255.255.0

coremsk(dhcp-config)#default-router 10.10.4.1

coremsk(config)#ip dhcp excluded-address 10.10.4.1

Готово, теперь настройте компьютеры на автоматическое получение адресов.

Как видите компьютеры получили адреса из своей сети.

Если вы используете свой DHCP сервер, то на шлюзе нужно указать IP Helper

Делается это так:

coremsk(config)# interface vlan101

coremsk(config-if)# ip address 10.10.1.1 255.255.255.0

coremsk(config-if)# ip helper-address 10.10.3.55

Где 10.10.3.55, это адрес вашего DHCP сервера.

Теперь добавим сеть WIFI.

Условие такое, сеть должна быть изолирована, никто кроме клиентов WIFI не должен ее видеть.

Добавляем новый VLAN на ядре

coremsk(config)#vlan 400

coremsk(config-vlan)#name wifi

Настроим шлюз

coremsk(config)#interface vlan 400

coremsk(config-if)#ip address 192.168.12.1 255.255.255.0

coremsk(config-if)#no sh

Теперь добавим коммутатор для WIFI.

Настройте на нем portchannel, VTP ,  и назначьте все клиентские порты на vlan 400

Теперь нам нужно изолировать сеть WIFI.

Данную сеть должны видеть только клиенты сети 192.168.12.0

Для этого на coremsk создадим правило ACL , разрешить сеть 192.168.12.0

coremsk(config)#ip access-list extended wifi-net

Примечание. Так создаются extended правила, в них можно разрешать не только хосты но и типы трафика и многое другое

Вот пример создания стандартного ACL правила:

coremsk(config)#ip access-list standard wifi-net

Добавим описание

coremsk(config-std-nacl)#remark permit wifi network deny other

Добавляем разрешающее правило для DHCP, его трафик было бы тоже неплохо разрешить

coremsk(config-ext-nacl)#permit udp any any eq 67

coremsk(config-ext-nacl)#permit udp any any eq 68

Добавим разрешающее правило для сети

coremsk(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255 any

Обратите внимание, в правиле мы используем обратную маску подсети, тут можно почитать что это такое.

Просмотреть созданные ACL правила можно командой

coremsk#show ip access-lists

Extended IP access list wifi-net
10 permit udp any any eq bootps
20 permit udp any any eq bootpc
30 permit ip any 192.168.12.0 0.0.0.255

Теперь применим правило на VLAN 400

coremsk(config)#interface vlan 400

coremsk(config-if)#ip access-group wifi-net in

coremsk(config-if)#ip access-group wifi-net out

Теперь создадим DHCP pool

coremsk(config)#ip dhcp pool vlan400

coremsk(dhcp-config)#network 192.168.12.0 255.255.255.0

coremsk(dhcp-config)#default-router 192.168.12.1

coremsk(config)#ip dhcp excluded-address 192.168.12.1

Теперь подключим клиентов wifi сети

Как видите пинги между wifi клиентами идут.

Если сделать пинг между клиентом vlan 101 и клиентом wifi пинг идти не будет.

Теперь наша сеть выглядит вот так:

 

В следующей статье мы настроем подключение к ISP провайдеру, рассмотрим настройку динамической маршрутизации и многое другое.