文章目录0 .背景1 .使用物理端口实现vlan互联1.1网络图1.2数据规划1.3具体配置1.3.1配置IP1.3.2配置安全策略1.3.4验证1.3.2端口数据规划2.3配置用于实验具体配置的IP,ping端口2.3.2配置二层接口2.3.4,将端口添加到安全区域2.3.5,以便配置安全策略2.3.6的验证
0 .背景
众所周知,双层交换机用于隔离广播域,但无法隔离广播域vlan是用于隔离广播域的。
要实现vlan之间的互联,需要在网络层上下功夫,超越数据链路层。
方法1 )在资源充足的情况下,为每个三层物理端口连接一个网段。 优点:结构比较简单。 缺点是1 .如果物理端口或连接端口的电缆故障,整个网段将无法连接。 当然,可以通过设备堆栈、链路聚合等冗馀技术来提高稳定性。 2 .协调不灵活。 在一个网段上,如果一台主机需要更改为另一个vlan,则必须调整物理线路。
方法2 )如果希望充分利用设备资源,可以通过配置vlanif逻辑端口并将三层端口转换为两层端口来实现。 这种方法的优点是,vlanif用作逻辑端口,不容易将其关闭。 可以灵活地进行调整,灵活地构成多个物理端口,通过多个vlan将主机变更为其他的vlan,向两层端口透过一个vlan即可。
方法3 :使用子接口。 其优点是可以通过一个三层物理端口互连多个vlan。 缺点是子接口之间没有完全隔离,一个子接口上的业务经过大会影响其他子接口; 物理接口故障会影响所有子接口。
1 .使用物理端口实现vlan互联1.1组网实验使用华为ensp仿真软件,由防火墙USG6000v和PC模型组成。 由于防火墙和路由器的设计理念(防火墙强调控制,路由器强调互操作)的不同,一些配置命令也不同。
1.2数据规划项目数据说明千兆以太网1/0/1ip地址: 1.0.0.1/30,安全区域: Untrust防火墙对外接口IPGigabitEthernet 1/0/2IP 1对外提供服务千兆以太网1/0/3ip地址: 192.168.2.1/24,安全区域: trust数据库,共享存储为互联网专用网段192.168
[ usg 6000 v1 ] interface G1/0/3 [ usg 6000 v1 -千兆以太网1/0/3 ] IP address 192.168.2.124 [ usg 6000 v1 -千兆以太网service-managepingpermit [ usg 6000 v1 -千兆以太网1/0/3 ] service-manageenableservice-manage enable和service-manage
1.3.2将端口加入安全区域,将G1/0/3端口加入信任区域,将G1/0/2端口加入dmz区域,将G1/0/1端口加入untrust区域。 G1/0/3端口示例:
[ usg 6000 v1 ] firewallzonetrust [ usg 6000 v1-zone-trust ] addinterfaceg1/0/3[ usg 6000 v1-zone-trust ] quit1.3.3. 3
[ usg 6000 v1 ] security-policy [ usg 6000 v1-policy-security ] rulenametrust _ untrust [ usg 6000 v1-policy-security ] source-address 192.168.2.024 [ usg 6000 v1-policy-security-rule-trust _ untrust ] destination-zone untrust [ usg 6000 ]
# security-policyrulenameuntrust _ dmz source-zoneuntrustdestination-address 192.168.1.0 mask 255.255.255.255.0 AC TIC 0 mask 255.255.255.0 actionpermitrulenamedmz _ trust source-address 199
168.1.0 mask 255.255.255.0 destination-address 192.168.2.0 mask 255.255.255.0 action permit rule name trust_dmz source-address 192.168.2.0 mask 255.255.255.0 destination-address 192.168.1.0 mask 255.255.255.0 action permit rule name trust_untrust destination-zone untrust source-address 192.168.2.0 mask 255.255.255.0 action permit# 1.3.4 验证 根据安全策略,可以进行相应的ping测试。本实验中,pc网关需配置成相应防火墙端口IP:
实际上,防火墙需要配置NAT才能实现内网访问外网。在本实验中,由于只有1个可用的外网IP,配置Easy_IP是很合适的,如果有多个ip,建议配置地址池。由于与文章主题无关,省略配置过程。
2.使用vlanif端口实验vlan互联 2.1 组网图 2.2 数据规划 项目数据说明GigabitEthernet 1/0/1IP地址:1.0.0.1/30, 安全区域:Untrust防火墙对外接口IPvlanif 2IP地址:192.168.1.1/24, 安全区域:dmzweb servers等,对外提供服务vlanif 3IP地址:192.168.2.1/24, 安全区域:trust数据库,共享存储GigabitEthernet 1/0/2安全区域:dmz属于vlan 2GigabitEthernet 1/0/3安全区域:trust属于vlan 3允许访问Internet的私网网段192.168.1.0/24 192.168.2.0/242.3 具体配置 2.3.1 配置IP并允许ping端口配置G1/0/1
[USG6000V1]interface g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.0.1 255.255.255.252[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1-GigabitEthernet1/0/1]service-manage enable配置 vlanif 端口
[USG6000V1]vlan batch 2 3[USG6000V1]interface Vlanif 2[USG6000V1-Vlanif2]ip address 192.168.1.1 24[USG6000V1-Vlanif2]service-manage all permit[USG6000V1-Vlanif2]service-manage enable[USG6000V1-Vlanif2]quit[USG6000V1]interface Vlanif 3[USG6000V1-Vlanif2]ip address 192.168.2.1 24[USG6000V1-Vlanif2]service-manage all permit[USG6000V1-Vlanif2]service-manage enable[USG6000V1-Vlanif2]quit 2.3.2 配置二层接口因为防火墙是直接连接到主机,所以G1/0/2和G1/0/3可以配置为access类型,但如果接口下有多个vlan,需要配置成trunk。hybrid类型使用范围广,本次就用它来配置这两个端口。
[USG6000V1]interface g1/0/2[USG6000V1-GigabitEthernet1/0/2]portswitch[USG6000V1-GigabitEthernet1/0/2]port hybrid pvid vlan 2[USG6000V1-GigabitEthernet1/0/2]port hybrid untagged vlan 2[USG6000V1]interface g1/0/3[USG6000V1-GigabitEthernet1/0/3]portswitch[USG6000V1-GigabitEthernet1/0/3]port hybrid pvid vlan 3[USG6000V1-GigabitEthernet1/0/3]port hybrid untagged vlan 3默认pvid为1,防火墙接收到主机发过来的数据包会打上pvid对应的tag,所以要修改端口pvid为vlan id。主机无法处理tagged数据包,所以一定要配置untagged。
2.3.4 将端口加入安全区域 将G1/0/3, vlanif 3端口加入trust区域;G1/0/2, vlanif 2端口加入dmz区域;G1/0/1端口加入untrust区域。
以dmz区域为例:
同1.3.3
2.3.6 验证同1.3.4