千家论坛_智能建筑与智能家居技术交流社区
标题: [原创]闹心!!仅一台防火墙与交换机怎么连接才好做控制? [打印本页]
作者: en6275 时间: 2011-10-10 12:17
标题: [原创]闹心!!仅一台防火墙与交换机怎么连接才好做控制?
问题:只有一台联想网域防火墙和一台三层交换机,三层交换机上有三个vlan,vlan 2 是服务器;vlan 3 是终端用户;vlan 4 是管理主机;试问怎样通过防火墙来控制vlan之间的访问,或者说把服务器放在防火墙的保护之内啊?
暂定:vlan 2 :192.168.1.0/28
vlan 3 :192.168.1.16/28
vlan 4 :192.168.1.32/28
我是这样想:1、在三层交换机上1-5口划分为服务器vlan2,但在交换机上不指定vlan 2的ip地址,防火前fe1口连接交换机第5口,并设置防火墙fe1口ip地址为192.168.1.1/28,服务器连交换机第1口,ip:192.168.1.2/28,网关:192.168.1.1
2、交换机上指定vlan 3 ip:192.168.1.17/28,把7-20口划入vlan 3连接终端用户,终端ip设置:192.168.1.18/28,网关:192.168.1.17;
同时指定vlan 4 ip:192.168.1.33/28,把21-24口划入vlan 4连接管理主机,管理主机ip设置:192.168.1.34/28,网关:192.168.1.13;
3、在交换机上新建一个vlan 5,指定ip为192.168.1.49/30,把交换机第6口划入vlan 3。
4、防火墙fe2口设置ip:192.168.1.50/30,并与交换机第6口连接。
5、这样的话通过在防火墙里面设定回程路由是不是就可以使几个vlan之间的访问在防火墙的控制之内了?
防火墙上的回程路由:192.168.1.16/32-----------下一跳------192.168.1.49
192.168.1.32/32-----------下一跳------192.168.1.49
想法是这样,但不知道可行不?或者有更好的办法吗?希望高手指点。
作者: shevchenko 时间: 2011-10-11 17:37
哎呀 真是乱啊
vlan10 接口IP 192.168.10.1 24 交换机端口E1-E5 联服务器(192.168.10.0 24)
vlan20 接口IP 192.168.20.1 24 交换机端口E6-E20 联终端用户(192.168.20.0 24)
vlan30 接口IP 192.168.30.1 24 交换机端口E21-E23 管理主机(192.168.30.0 24)
vlan40 接口IP 192.168.1.2 24 交换机端口E24 上联防火墙E1口(192.168.1.1)
IP route-static 0.0.0.0 0.0.0.0 192.168.1.1
防火墙作三条回程路由
192.168.10.0 24 192.168.20.0 24 192.168.30.0 24 下一跳 192.168.1.2
至于要限制VLAN间互访可通过访问列表搞定
[此贴子已经被作者于2011/10/11 17:39:15编辑过]
作者: agongwang 时间: 2011-10-17 09:16
多谢楼主分享
欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com:8020/) |
Powered by Discuz! X3.2 |