我们公司的一栋大楼里有一台 ISP 路由器,另一栋大楼里有一台防火墙。我们希望所有互联网流量都通过防火墙。ISP 路由器接口的 IP 地址为 41.215.82.77,子网掩码为 255.255.255.252,防火墙接口的 IP 地址为 41.215.82.78,子网掩码为 255.255.255.252。两栋大楼之间有 cisco 3750 交换机。当以太网电缆通过交换机直接从路由器连接到防火墙时,互联网服务可用。当电缆连接到交换机,并且交换机上的端口配置为中继端口时,互联网服务将不可用。如何在不将电缆直接从路由器连接到防火墙的情况下使互联网服务可用?PS:电缆只是为了测试目的而借用的,房东不想使用电缆。有人可以给我建议如何配置交换机以允许互联网流量直接传递到交换机而不影响安全性吗?
答案1
为“外部”流量创建一个 VLAN。确保路由器和防火墙的外部端口连接到该 VLAN 中的“未标记”接口,并且没有其他端口是该 VLAN 的成员。最后,确保新 VLAN 在两个交换机之间正确中继。