Neoip(neoip)
#1
大家好
寻找有关VLAN和路由的建议。
我们在网站上使用VLAN。目的是确保VLAN的客户端将获得安全性和Internet。
我正在使用3个VLAN接口配置的3COM L3开关。
从L/3开关我连接了FW 3腿,但(FW UNWARE VLAN)。
每个VLAN都必须最终通过FW并从Cisco Router进行。
VLAN 1
'
VLAN 10 - CMM- L/3中继端口------ FW ----路由器
/
VLAN 12
客户端站的DG分别配置为L/3 VLAN接口。
我还为属于VLAN 1的FW配置了静态路由0.0.0.0.0.0.0
我可以在VLAN之间进行ping,但是如果我从VLAN 12或10划出的话,我将无法达到FW
有建议吗?
谢谢
tlsarles(tlsarles)
#2
连接到CMM的开关端口应设置为中继端口,听起来像是它,并且连接到FW的端口应设置为访问端口,并添加了所有三个VLAN
根据防火墙的工作原理,您可能希望在开关中指向路由器中的默认路由
Neoip(neoip)
#3
这是正确的!
这正是我所做的。
点所有在3COM的路由表中找不到的数据包
防火墙(配置为-Access端口)。
因此,我正确地进行了探究,我确实在VLAN INTER FACE配置中确实错误。
谢谢你
Neoip(neoip)
#4
Tlsarles写道: |
连接到CMM的开关端口应设置为中继端口,听起来像是它,并且连接到FW的端口应设置为访问端口,并添加了所有三个VLAN
根据防火墙的工作原理,您可能希望在开关中指向路由器中的默认路由 |
谢谢,
我仍然有问题
您说与FW Shuld配置连接的端口为访问端口,并带有所有三个VLAN添加。
但是访问端口只能属于一个VLAN。我无法添加多个VLAN,例如中继端口。
您的意思是,连接到FW的端口也需要是后备箱?在这种情况下,FW将丢弃所有不属于本机的数据包,因为它的VLAN设备不明显。
任何想法?
好吧,FW不做VLAN,因此无法屈服。
因此,当我考虑一下……您可能需要做类似的事情……
vlans --- cmm--- tunk端口l3访问端口vlan-- l2开关 - fw
这似乎打败了目的。我会说将Vlans全部报废。如果人们真的很担心安全,请提供咨询以确保其内部网络,或者只是nat sm。无论如何,我们在所有SMS上过滤Samba,多播和引导P服务器。安全是他们的问题。无论如何,VLANS仅保护他们免于网络上的其他人,这是他们在Internet上所面临的一小部分。
如果您真的想做自己想做的事情,我认为您需要一个VLAN知道的FW。如果您有Cisco路由器,请使用防火墙获取iOS映像,然后从您的网络中删除额外的跳跃。
您需要VLAN意识到的FW,例如Mikrotik或设置L3开关中的VLAN子网。我们所有的网络都是使用Mikrtik路由器/FW进行VLAN的。
sm ~~ ap – cmm – l2switch - MK路由器
L2开关上的端口是设置为中继的,Mikrotik路由器上的端口具有多个VLAN
吉诺
Neoip(neoip)
#7
谢谢你的回复
我想根据我们的设备与您分享我的解决方案
sm-ap ---------------------------------------------
因此,诀窍是在L3-SWitch上设置3个VLAN接口,并在L3-Switch上配置的静态路由,将FW指向FW作为网关。L3Switch将根据目的地检查每个数据包,并将数据包BT路由他的路由表进行路由,如果目的地不在路由表中,它将使用静态路由作为D.G
谢谢大家
问题解决了