VLAN 中的預設網關
我可以有一個路由器/防火牆設備提供 WAN 連接,作為交換機上 VLAN 的一部分嗎?
例如:
2、L3交換機。2 個 VLAN
DefaultVLAN 10.1.1.0/24 VLAN100 192.168.1.0/24兩條網際網路線路 - 它們是什麼無關緊要。兩者都由兩個防火牆控制。我需要關閉一個防火牆的所有
VLAN流量,因此需要一個防火牆,另一個關閉另一個。DefaultVLAN``WAN``VLAN100DHCP:
兩個範圍,
10.1.1.0/24分別192.168.1.0/24作為 DG,交換機的 IP 分發。在這種情況下,該10.1.1.0範圍將 IPSW02作為客戶端的 DG 提供。並且192.168.1.0/24範圍SW01為客戶提供IP。開關:
SW01, IP's - Default VLAN IP: 10.1.1.10 - VLAN100 IP: 192.168.1.10 SW02, IP's - Default VLAN IP: 10.1.1.11 - VLAN100 IP: 192.168.1.11防火牆:
FW01: 192.168.1.1 FW02: ? (Please read on)開關:
SW01, Default Gateway of Switch set to: 192.168.1.1 SW02, Default Gateway of Switch set to: ?那麼現在我該如何分離它,我希望 10.1.1.0/24 客戶端 VLAN 將另一個 FW02 作為其預設網關?
對於初學者,您不需要兩個防火牆(除非它們支持故障轉移/高可用性)。
獲得一個體面的企業級防火牆。Cisco ASA 5500 系列、Sonicwall TZ 105、pfSense 等
將兩個 WAN 連接添加到一個防火牆;我可能至少會在故障轉移配置中設置它們,但無論如何。你的來電。
假設我們正在處理您已經購買的一台 L3 交換機,您可以為您的兩個 VLAN 創建一個 VLAN 介面(VLAN 1:192.168.1.0/24,VLAN 介面:192.168.1.1;VLAN 100:10.1.1.0/24 VLAN 介面:10.1.1.1)。它們分別成為每個 VLAN 上節點的預設網關。無論是不是 DHCP,都超出了這個問題的範圍。
創建另一個 VLAN,例如 VLAN 10. 172.16.0.0/29。將防火牆的 LAN 介面設置為此子網 (172.16.0.1/29) 上的 IP,並在同一子網 (172.16.0.2/29) 上創建 VLAN 介面。為該 VLAN 分配一個埠並從該埠上行連接到您的防火牆。您應該能夠從 L3 交換機的控制台內 ping 防火牆的 LAN 介面。
像這樣在 L3 交換機上更新/創建預設路由
0.0.0.0 0.0.0.0 gw 172.16.0.1(偽語法顯然會因交換機品牌/型號而異,但我們希望創建到防火牆 LAN 介面的預設路由)。在防火牆上,像這樣(然後)創建一條返回您的 VLAN 子網的路由。
192.168.1.0 255.255.255.0 gw 172.16.0.2``10.1.1.0 255.255.255.0 gw 172.16.0.2在防火牆上,您需要查看基於策略的路由、策略路由、基於源的路由等(取決於您得到什麼,但任何半體面的路由器/防火牆都應該支持這一點)但基本上您需要添加一個查看源子網並相應地分配 WAN 網關的路由規則/策略。
如果您沒有 L3 並且您不期待大量的 VLAN 間路由(即 100 台工作站與不同 VLAN 上的數十台伺服器通信),請不要在一個上浪費您的錢。任何體面的防火牆都會有幾個物理介面(或者甚至一個可以與棒上的路由器一起使用,但同樣取決於流量要求等),這些可以代替 VLAN 介面:只需將 L2 交換機劃分為就像我們已經討論過的兩個 VLAN,但不是將介面(您可能不能)分配給 VLAN 虛擬介面,您將上行連接到防火牆上的介面 LAN1 和 LAN2(或其他),並讓它執行 VLAN 間路由和/或 Internet 路由。
除非您正在談論將多個中繼/標記在一起的交換機,從多個位置承載 VLAN,否則我什至不會打擾 L2 交換機:您只需兩個非託管交換機即可輕鬆完成此任務,每個交換機用於每個防火牆介面。我確實更喜歡 L2 交換機,因為它有更多的靈活性和管理/監控選項,而且通常價格合理。