我是否可以使用路由器/防火墙设备提供 WAN 连接,作为交换机上 VLAN 的一部分?
例如:
2、L3 交换机。2 个 VLAN
DefaultVLAN 10.1.1.0/24
VLAN100 192.168.1.0/24
两条互联网线路 - 不管是什么。均由两个防火墙控制。我需要所有VLAN流量都DefaultVLAN通过一条防火墙WAN,因此需要通过一条防火墙,另一条防火墙则需要VLAN100通过另一条防火墙。
DHCP:
两个范围,10.1.1.0/24分别192.168.1.0/24作为 DG 和交换机的 IP 分发。在本例中,范围10.1.1.0分发SW02客户端的 DG 的 IP。范围192.168.1.0/24分发SW01客户端的 IP。
开关:
SW01, IP's - Default VLAN IP: 10.1.1.10 - VLAN100 IP: 192.168.1.10
SW02, IP's - Default VLAN IP: 10.1.1.11 - VLAN100 IP: 192.168.1.11
防火墙:
FW01: 192.168.1.1
FW02: ? (Please read on)
开关:
SW01, Default Gateway of Switch set to: 192.168.1.1
SW02, Default Gateway of Switch set to: ?
那么现在我该如何分离它,我希望 10.1.1.0/24 客户端 VLAN 将另一个 FW02 作为其默认网关?
答案1
首先,您不需要两个防火墙(除非它们支持故障转移/高可用性)。
获得一个不错的企业级防火墙。Cisco ASA 5500 系列、Sonicwall TZ 105、pfSense 等。
将两个 WAN 连接添加到一个防火墙;我可能会至少在故障转移配置中设置它们,但无论如何。您说了算。
假设我们处理的是您已购买的一台 L3 交换机,您可以为两个 VLAN 创建一个 VLAN 接口(VLAN 1:192.168.1.0/24,VLAN 接口:192.168.1.1;VLAN 100:10.1.1.0/24 VLAN 接口:10.1.1.1)。它们分别成为每个 VLAN 上节点的默认网关。无论是否是 DHCP,都不在本问题的讨论范围内。
创建另一个 VLAN,例如 VLAN 10。172.16.0.0/29。将防火墙的 LAN 接口设置为此子网 (172.16.0.1/29) 上的 IP,并在同一子网 (172.16.0.2/29) 上创建 VLAN 接口。为此 VLAN 分配一个端口,并从该端口上行链路到防火墙。您应该能够从 L3 交换机的控制台内 ping 防火墙的 LAN 接口。
像这样更新/创建 L3 交换机上的默认路由0.0.0.0 0.0.0.0 gw 172.16.0.1(伪语法,显然它会根据交换机的品牌/型号而有所不同,但我们希望创建到防火墙的 LAN 接口的默认路由)。
在防火墙上创建路由后退像这样添加到您的 VLAN 子网(192.168.1.0 255.255.255.0 gw 172.16.0.2然后10.1.1.0 255.255.255.0 gw 172.16.0.2)。
在防火墙上,您需要查看基于策略的路由、策略路由、基于源的路由等(取决于您获得的内容,但任何半像样的路由器/防火墙都应该支持此功能)但基本上您需要添加查看源子网并相应地分配 WAN 网关的路由规则/策略。
如果您没有 L3,并且不打算进行大量的 VLAN 间路由(即数百个工作站与不同 VLAN 上的数十台服务器通信),请不要浪费钱购买。任何像样的防火墙都会有多个物理接口(甚至一个可以与单杆路由器,但同样取决于流量要求等),这些可以代替 VLAN 接口:只需将 L2 交换机划分为两个 VLAN,就像我们已经讨论过的那样,但不是将接口(您可能不能)分配给 VLAN 虚拟接口,而是将上行链路连接到防火墙上的接口 LAN1 和 LAN2(或其他),并让它执行 VLAN 间路由和/或 Internet 路由。
除非您谈论的是多个交换机通过中继/标记连接在一起,承载来自多个位置的 VLAN,否则我甚至不会使用 L2 交换机:您只需使用两个非托管交换机(每个防火墙接口一个)就可以轻松实现这一点。我确实更喜欢 L2 交换机,因为它具有更多的灵活性和管理/监控选项,并且通常价格合理。