[原创]闹心！！仅一台防火墙与交换机怎么连接才好做...

 

问题：只有一台联想网域防火墙和一台三层交换机，三层交换机上有三个vlan，vlan 2 是服务器；vlan 3 是终端用户；vlan 4 是管理主机；试问怎样通过防火墙来控制vlan之间的访问，或者说把服务器放在防火墙的保护之内啊？
       暂定：vlan 2 ：192.168.1.0/28
                 vlan 3 ：192.168.1.16/28
                  vlan 4 ：192.168.1.32/28

      我是这样想：1、在三层交换机上1-5口划分为服务器vlan2，但在交换机上不指定vlan 2的ip地址，防火前fe1口连接交换机第5口，并设置防火墙fe1口ip地址为192.168.1.1/28,服务器连交换机第1口，ip：192.168.1.2/28，网关：192.168.1.1
                       2、交换机上指定vlan 3 ip：192.168.1.17/28,把7-20口划入vlan 3连接终端用户，终端ip设置：192.168.1.18/28，网关：192.168.1.17；
                            同时指定vlan 4 ip：192.168.1.33/28，把21-24口划入vlan 4连接管理主机，管理主机ip设置：192.168.1.34/28，网关：192.168.1.13；

                       3、在交换机上新建一个vlan 5，指定ip为192.168.1.49/30，把交换机第6口划入vlan 3。

                       4、防火墙fe2口设置ip：192.168.1.50/30，并与交换机第6口连接。

                       5、这样的话通过在防火墙里面设定回程路由是不是就可以使几个vlan之间的访问在防火墙的控制之内了？
                            防火墙上的回程路由：192.168.1.16/32-----------下一跳------192.168.1.49
                                                               192.168.1.32/32-----------下一跳------192.168.1.49

         想法是这样，但不知道可行不？或者有更好的办法吗？希望高手指点。

哎呀 真是乱啊

vlan10 接口IP 192.168.10.1 24 交换机端口E1－E5 联服务器（192.168.10.0 24）

 

vlan20 接口IP 192.168.20.1 24 交换机端口E6－E20 联终端用户（192.168.20.0 24）

 

vlan30 接口IP 192.168.30.1 24 交换机端口E21－E23 管理主机（192.168.30.0 24）

 

vlan40 接口IP 192.168.1.2  24 交换机端口E24 上联防火墙E1口（192.168.1.1）

 

IP route-static 0.0.0.0 0.0.0.0 192.168.1.1

 

防火墙作三条回程路由

192.168.10.0 24  192.168.20.0 24 192.168.30.0 24 下一跳 192.168.1.2

 

至于要限制VLAN间互访可通过访问列表搞定

 

 

[此贴子已经被作者于2011/10/11 17:39:15编辑过]

多谢楼主分享