问题
我在 L3 EdgeCore ECS4620-28P 和 OPNSense 防火墙之间获取一些非常简单的静态路由时遇到了很多问题。我想从 L3 交换机上的 VLAN 路由到防火墙,但让 L3 交换机在必要时处理 VLAN 间路由。
编辑:已知工作
特别奇怪的是,我的防火墙可以 ping 通我的工作站,但我无法 ping 通防火墙或访问互联网。
VLAN
我在 L3 交换机上有 5 个用于设备网络的 VLAN,标记如下:
- 10
- 20
- 三十
- 40
- 50
另加一个用于路由接口,标签为:
- 100
现在我只是在测试 VLAN 10 上的一台机器的连接性,假设跨其他 VLAN 的配置复制将反映功能。
到目前为止,如果我用相应的 VLAN 标记当前访问端口,我就可以访问 10.0.0.254 的防火墙和交换机上的各种 SVI(10.0.x.200)。
系统和网络图
网络图如下:
...以下是一些配置截图
Edgecore(L3 交换机):
系统路由表
静态路由
VLAN 10 SVI
VLAN 100 SVI
设备端口
切换到防火墙端口
此交换机上的所有 VLAN
OPNsense 防火墙:
NAT 表
VLAN 100 防火墙规则
返回 VLAN 的静态路由
VLAN_100_STATIC 接口
答案1
编辑:
一段时间后,我重新审视了这个问题,设置了我的规则,并正确配置了我的防火墙。事实证明,流量确实被路由到 LAN 接口而不是 VLAN 接口。然而,这并不重要,因为在 OPNsense 防火墙上创建的 VLAN 接口仅仅存在,这样防火墙就可以识别标记的流量。
实际上,我可以将源地址或网络指定为 LAN 防火墙列表上的 VLAN 地址。同时,防火墙上创建的所有 VLAN 接口上的防火墙规则都是无关紧要的,因此不会创建。唯一必要的规则是在 LAN 接口(来自 L3 交换机的默认路由的目的地)上创建的规则。
例如接受 -> (源) VLAN_10_DHCP -> (目标) 任意 -> (网关) WAN
以下是一个直观的例子:
好的,我已经解决了这个问题,但现在比以前更加困惑了。
我改变了一些事情:
我在L3交换机中做了默认路由,指向防火墙的LAN接口,不是虚拟接口而是物理地址:10.0.0.254
尽管有 #1,我仍然必须在防火墙中为 L3 交换机上的所有 VLAN 创建 VLAN 接口,并分配一个具有 IP 地址的 SVI。在本例中,我选择了 10.0.x.1,尽管我怀疑该接口上的实际 IP 地址是什么并不重要。
标记有所有 VLAN 标签 (10-50) 的 L3 交换机端口 1。
从防火墙中删除所有静态路由。
删除了 vlan 100,因为它现在已不再有用
配置细目:
- 端口 1 具有所有 VLAN
- 我想要分配给 VLAN 的任何端口都会获得该 VLAN
- 每个 VLAN 在交换机上也有一个 SVI(10.0.x.200),在防火墙上也有一个看似对应的 SVI(10.0.x.1),交换机上的 SVI 是相应 VLAN 上设备的默认网关
- 交换机的默认网关是防火墙的 LAN 接口(0.0.0.0 -> 10.0.0.254)
- 防火墙中没有静态路由
- 每个 VLAN 接口的防火墙规则都不存在,一切似乎都通过 LAN 接口防火墙规则来处理
很困惑。它能用,而且很棒,但我不喜欢它。
任何人如果对这里发生的事情有某种了解,我将非常感谢您的澄清。