千家论坛_智能建筑与智能家居技术交流社区

标题: [原创]闹心!!仅一台防火墙与交换机怎么连接才好做控制? [打印本页]

作者: en6275    时间: 2011-10-10 12:17
标题: [原创]闹心!!仅一台防火墙与交换机怎么连接才好做控制?

 

问题:只有一台联想网域防火墙和一台三层交换机,三层交换机上有三个vlan,vlan 2 是服务器;vlan 3 是终端用户;vlan 4 是管理主机;试问怎样通过防火墙来控制vlan之间的访问,或者说把服务器放在防火墙的保护之内啊?
       暂定:vlan 2 :192.168.1.0/28
                 vlan 3 :192.168.1.16/28
                  vlan 4 :192.168.1.32/28

      我是这样想:1、在三层交换机上1-5口划分为服务器vlan2,但在交换机上不指定vlan 2的ip地址,防火前fe1口连接交换机第5口,并设置防火墙fe1口ip地址为192.168.1.1/28,服务器连交换机第1口,ip:192.168.1.2/28,网关:192.168.1.1
                       2、交换机上指定vlan 3 ip:192.168.1.17/28,把7-20口划入vlan 3连接终端用户,终端ip设置:192.168.1.18/28,网关:192.168.1.17;
                            同时指定vlan 4 ip:192.168.1.33/28,把21-24口划入vlan 4连接管理主机,管理主机ip设置:192.168.1.34/28,网关:192.168.1.13;

                       3、在交换机上新建一个vlan 5,指定ip为192.168.1.49/30,把交换机第6口划入vlan 3。

                       4、防火墙fe2口设置ip:192.168.1.50/30,并与交换机第6口连接。

                       5、这样的话通过在防火墙里面设定回程路由是不是就可以使几个vlan之间的访问在防火墙的控制之内了?
                            防火墙上的回程路由:192.168.1.16/32-----------下一跳------192.168.1.49
                                                               192.168.1.32/32-----------下一跳------192.168.1.49

         想法是这样,但不知道可行不?或者有更好的办法吗?希望高手指点。

作者: shevchenko    时间: 2011-10-11 17:37

哎呀 真是乱啊

vlan10 接口IP 192.168.10.1 24 交换机端口E1-E5 联服务器(192.168.10.0 24)

 

vlan20 接口IP 192.168.20.1 24 交换机端口E6-E20 联终端用户(192.168.20.0 24)

 

vlan30 接口IP 192.168.30.1 24 交换机端口E21-E23 管理主机(192.168.30.0 24)

 

vlan40 接口IP 192.168.1.2  24 交换机端口E24 上联防火墙E1口(192.168.1.1)

 

IP route-static 0.0.0.0 0.0.0.0 192.168.1.1

 

防火墙作三条回程路由

192.168.10.0 24  192.168.20.0 24 192.168.30.0 24 下一跳 192.168.1.2

 

至于要限制VLAN间互访可通过访问列表搞定

 

 

[此贴子已经被作者于2011/10/11 17:39:15编辑过]

作者: agongwang    时间: 2011-10-17 09:16

多谢楼主分享






欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com:8020/) Powered by Discuz! X3.2