千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

[原创]闹心!!仅一台防火墙与交换机怎么连接才好做...

[复制链接]
en6275 发布于: 2011-10-10 12:17 1232 次浏览 2 位用户参与讨论
跳转到指定楼层

 

问题:只有一台联想网域防火墙和一台三层交换机,三层交换机上有三个vlan,vlan 2 是服务器;vlan 3 是终端用户;vlan 4 是管理主机;试问怎样通过防火墙来控制vlan之间的访问,或者说把服务器放在防火墙的保护之内啊?
       暂定:vlan 2 :192.168.1.0/28
                 vlan 3 :192.168.1.16/28
                  vlan 4 :192.168.1.32/28

      我是这样想:1、在三层交换机上1-5口划分为服务器vlan2,但在交换机上不指定vlan 2的ip地址,防火前fe1口连接交换机第5口,并设置防火墙fe1口ip地址为192.168.1.1/28,服务器连交换机第1口,ip:192.168.1.2/28,网关:192.168.1.1
                       2、交换机上指定vlan 3 ip:192.168.1.17/28,把7-20口划入vlan 3连接终端用户,终端ip设置:192.168.1.18/28,网关:192.168.1.17;
                            同时指定vlan 4 ip:192.168.1.33/28,把21-24口划入vlan 4连接管理主机,管理主机ip设置:192.168.1.34/28,网关:192.168.1.13;

                       3、在交换机上新建一个vlan 5,指定ip为192.168.1.49/30,把交换机第6口划入vlan 3。

                       4、防火墙fe2口设置ip:192.168.1.50/30,并与交换机第6口连接。

                       5、这样的话通过在防火墙里面设定回程路由是不是就可以使几个vlan之间的访问在防火墙的控制之内了?
                            防火墙上的回程路由:192.168.1.16/32-----------下一跳------192.168.1.49
                                                               192.168.1.32/32-----------下一跳------192.168.1.49

         想法是这样,但不知道可行不?或者有更好的办法吗?希望高手指点。
回复

使用道具 举报

已有2人评论

新浪微博达人勋

千家认证

沙发
shevchenko 发表于 2011-10-11 17:37:00

哎呀 真是乱啊

vlan10 接口IP 192.168.10.1 24 交换机端口E1-E5 联服务器(192.168.10.0 24)

 

vlan20 接口IP 192.168.20.1 24 交换机端口E6-E20 联终端用户(192.168.20.0 24)

 

vlan30 接口IP 192.168.30.1 24 交换机端口E21-E23 管理主机(192.168.30.0 24)

 

vlan40 接口IP 192.168.1.2  24 交换机端口E24 上联防火墙E1口(192.168.1.1)

 

IP route-static 0.0.0.0 0.0.0.0 192.168.1.1

 

防火墙作三条回程路由

192.168.10.0 24  192.168.20.0 24 192.168.30.0 24 下一跳 192.168.1.2

 

至于要限制VLAN间互访可通过访问列表搞定

 

 

[此贴子已经被作者于2011/10/11 17:39:15编辑过]
回复 支持 反对

使用道具 举报

新浪微博达人勋

千家认证

板凳
agongwang 发表于 2011-10-17 09:16:00

多谢楼主分享

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城