1. 需要剖析
首先,VLAN接口是三层接口。VLAN接口是VLAN内所有设施对外通信的进口,通常状况下,VLAN接口的IP地址为VLAN内网络设备的网关地址。
当内网交换机配置有VLAN类型接口,防火墙作为网关,VLAN流量通过防火墙,防火墙会对VLAN流量进行解决,处理过程包含解标签、打标签及转发。
Hillstone防火墙反对配置VLAN类型接口,局部防火墙若不反对VLAN接口,可应用子接口方式代替VLAN接口,以达到同样成果。
2. 解决方案
2.1 组网拓扑
2.2 配置
2.2.1 形式一:配置VLAN接口
【交换机配置】
配置交换机 vlan 列表和划分 vlan
switch(config)# vlan 10switch(config-vlan)# exitswitch(config)# vlan 20switch(config-vlan)# exitswitch(config)# vlan 30switch(config-vlan)# exitswitch(config)# interface ethernet0/0switch(config-if-eth0/0)# switchmode access vlan 10switch(config-if-eth0/0)# interface ethernet0/1switch(config-if-eth0/1)# switchmode access vlan 20switch(config-if-eth0/1)# interface ethernet0/4switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30switch(config-if-eth0/4)# exit【防火墙配置】
Configuration:vlan 10exitvlan 20exitvlan 30exitinterface vlan10zone "trust"ip address 192.168.10.1 255.255.255.0exitinterface vlan20zone "trust"ip address 192.168.20.1 255.255.255.0exitinterface vlan30zone "trust"ip address 192.168.30.1 255.255.255.0exitinterface ethernet0/0switchmode trunk vlan 10switchmode trunk vlan 20switchmode trunk vlan 30Exit2.2.2 形式二:配置子接口
【交换机配置】
配置交换机 vlan 列表和划分 vlan
switch(config)# vlan 10switch(config-vlan)# exitswitch(config)# vlan 20switch(config-vlan)# exitswitch(config)# vlan 30switch(config-vlan)# exitswitch(config)# interface ethernet0/0switch(config-if-eth0/0)# switchmode access vlan 10switch(config-if-eth0/0)# interface ethernet0/1switch(config-if-eth0/1)# switchmode access vlan 20switch(config-if-eth0/1)# interface ethernet0/4switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30switch(config-if-eth0/4)# exit【防火墙配置】
Configuration:interface ethernet0/1.10zone "trust"ip address 192.168.10.1 255.255.255.0manage pingexitinterface ethernet0/1.20zone "trust"ip address 192.168.20.1 255.255.255.0manage pingexitinterface ethernet0/1.30zone "trust"ip address 192.168.30.1 255.255.255.0manage pingexit2.3 配置后果
验证两个 vlan 间的互通。失常策略 interface vlan 接口或子接口间的安全策略放行后即可互通。
☛ 忽然发现工夫不是洪流,而是不甘腐化的誓死方休!☺