跪求教高手一个难题，多楼VLAN 和ISA 图见16楼

yangsy

3幢楼 1#  2# 3# 做商务酒店　楼与楼单模光纤连接


员工帮工在2#裙房，划为ＶＬＡＮ　１００，其余都是客房，以每个房间划VLAN  vlan 101......


2层--3交换 星形结构


机房在1号楼 ＶＬＡＮ　００２　有酒店PMS服务器 连接路由器接入internet




现在打算做一个AD + ISA　做ＶＬＡＮ１００　的网关　对员工上外网做限制


但是由于客房客人要正常连接外网（无法做网关），请教ＩＳＡ　ＳＥＲＶＥＲ　应该如何设置

[ 本帖最后由 yangsy 于 2008-11-24 12:47 编辑 ]

seven007

原帖由 yangsy 于 2008-11-20 13:35 发表
3幢楼 1#  2# 3# 做商务酒店　楼与楼单模光纤连接


员工帮工在2#裙房，划为ＶＬＡＮ　１００，其余都是客房，以每个房间划VLAN  vlan 101......


2层--3交换 星形结构


机房在1号楼 ＶＬＡＮ　００ ...

客人上网是通过路由器直接nat出去的吗？

yangsy

对的

seven007

那就在路由设置access-list禁止vlan100的数据出去，然后架设ISA代理，让vlan100
的客户端走ISA代理。

ssffzz1

标题太唬人。

你的跪也太便宜了吧。

在VLAN100和路由器之间接ISA.

yangsy

原帖由 ssffzz1 于 2008-11-20 13:56 发表
标题太唬人。

你的跪也太便宜了吧。

在VLAN100和路由器之间接ISA.

谢谢你的回复，但是你没有看清，2#客房和员工通过一根光纤通过三层交换--->机房交换机---->路由---internet


如何在VLAN100 和路由之间接入ISA  ,而又不影响访问 PMS酒店管理系统服务器（也在机房）？








请教

yangsy

原帖由 seven007 于 2008-11-20 13:56 发表
那就在路由设置access-list禁止vlan100的数据出去，然后架设ISA代理，让vlan100
的客户端走ISA代理。

谢谢，:wink:

ssffzz1

我明白你说的意思。你是说和其他的数据是走在一起的单独的接入ISA不行。
但是有另外的一个变通方法。就是从交换机的VLAN100出来一根线接ISA的内网口。再从另一个VLAN（或者单独新建个）出一根线接ISA的外网口。让VLAN100的数据从ISA绕一圈即可实现控制。
如果VLAN100的网关在3层交换上，哪么把VLAN100的接口地址删除即可。如果是通过TRUNK到路由器的话，哪么TRUNK中DENY到VLAN100，路由器删掉VLAN100的子接口即可。

ssffzz1

你不能使用access-list的方法，因为数据还是走原来的路径，但是你却又DENY了，因此就会断掉。

应该使用改变路由指向的方法，这样才不会断网。

yangsy

原帖由 ssffzz1 于 2008-11-20 14:30 发表
你不能使用access-list的方法，因为数据还是走原来的路径，但是你却又DENY了，因此就会断掉。

应该使用改变路由指向的方法，这样才不会断网。

我懂你意思了，非常感谢，04就在这里注册了，虽然很少上来，但发现你帮助了很多人