尝试配置我的第一台 Juniper 防火墙,即 SSG5(运行 6.2.0r11.0),但在 VLAN 方面遇到了一些问题。我没有找到太多与我尝试执行的操作相关的文档;可能是因为这是不可能的,或者我只是在错误的地方寻找。
这是我想要实现的设置图表:
我的第一个问题是 - Juniper SSG5 可以实现这一点吗?
如果是这样,我想知道是否有人可以给我一些关于如何设置的提示。交换机(Cisco 3550)已配置并正常工作,到目前为止,我已经:
- 为每个 VLAN 创建区域
- 在 0/2 和 0/5 上设置子接口;每个 VLAN 一个
- 将每个子接口放入各自的区域
- 将 0/6 放入 vlan 10 区域
我有一台使用 vlan 10(访问端口)连接到交换机的机器,它可以 ping 通 vlan 10 的 0/2 子接口。但是,它无法 ping 通物理接口 0/6 或连接到 0/6 的主机。我还尝试在 0/6 上为 vlan 10 创建子接口(将其放在 vlan 10 区域中),但它也无法 ping 通该子接口(在所有接口和子接口上启用 ping)。
提前致谢。
答案1
我不确定是否可以按照您描述的方式进行操作。
您可能能够为每个 vlan 定义一个桥接组 l3 接口,但我不确定是否可以将 vlan 子接口绑定到桥接组中,或者只是整个端口(在这种情况下不起作用。)
您可以将端口 2 和 5 放入桥接组,但您不能通过这种方式将 VLAN 10 分成不同的端口。
是否有特别的原因让服务器直接连接到 SSG,而不是交换机?我通常将所有内容放在交换机上并运行单个中继端口(单臂防火墙),或者如果中继带宽是一个问题,则为不同的 VLAN 运行几个中继。
答案2
我不确定 SSG5 是否可以做到这一点。我们确实出于其他原因对使用虚拟路由器的 SSG140 做了类似的事情。它确实很快就变得非常复杂。