本文主要是介绍【接口篇 / Lan】(5.4) ❀ 01. 与交换机连接 (单臂路由) ❀ FortiGate 防火墙,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
【简介】我们知道交换机划分VLAN可以将大型网络划分为多个小网络,以使广播和组播流量不会占据更多的带宽。因为广播域缩小了,可以提供更高的网络段间安全性。划分VLAN后各VLAN之间的访问,就需要路由来完成,如果只有二层交换机,那么路由的工作就由路由器或具备路由功能的防火墙来完成了。
传统的VLAN间路由,通过将不同的物理路由器接口连接至不同的物理交换机端口来执行VLAN间路由,这种方式需要具备多个物理接口。
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。我们可以将飞塔防火墙与交换机通过单一的物理网络连接(Trunk)相连,通过单个物理接口在网络中的多个VLAN间发送流量。
启用飞塔防火墙的单臂路由功能之前,首先启用连接到防火墙的交换机端口上的Trunk。
① 以思科交换机为例:
(1) configure terminal命令进入全局配置模式。
(2) interface命令指定连接防火墙的交换机端口,这里是第24端口。
(3) switchport trunk encapsulation dot1q命令指定中继链路采用802.1Q封装类型。
(4) switchport mode trunk命令配置接口为二层中继。
(5) switchport trunk allowed vlan命令表示允许哪些VLAN中继。
我们将交换机24端口的网线接入到防火墙的internal7接口(只要是独立内网接口都可以)。
① 选择菜单【网络】-【接口】,点击子菜单【新建】边上的向下箭头,弹出子菜里选择【接口】。
② 新建一个比较容易理解的接口名称,类型选择VLAN,接口选择物理连接的internal7口,VLAN ID输入与交换机上相同的ID号,这里是输入11。输入这个VLAN可以访问的IP地址。限制访问我们打开Ping功能,这样这个VLAN下的电脑可以Ping通172.16.1.1这个地址。
③用同样的方法建立其它的虚拟VLAN接口,和交换机上设置允许中继通过的VLAN号一致。
理论上交换机上的各个VLAN都可以通过24口访问防火墙了。可以将internal7下面的各个VLAN口当成独立的接口来配置上网。
① 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 象建立普通内网接口上网策略一样,这里我们建立internal7接口下to-VLAN11子接口允许上网策略。
③ 电脑接在交换机的VLAN11端口上,设置IP地址,网关需要指向防火墙上的虚拟接口to-VLAN11的IP地址。
④ 连在交换机VLAN11端口上的电脑可以正常上网了。在策略列表里可以看到,to-VLAN11有上网流量。
⑤ 我们也可以将所有需要上网的VLAN接口建立一个组,这样一条策略就可以让多个VLAN上网了。选择菜单【网络】-【接口】,点击子菜单【新建】边上的向下箭头,弹出子菜里选择【所属区域】。
⑥ 输入新建的区域名称,将所有需要上网的VLAN都打上钩。
⑦ 新建允许区域上网的策略,这样这个区域包含的VLAN都可以上网了。
防火墙的独立内网接口,需要通过策略才能互相访问,这里虚拟VLAN接口也可以当作独立内网接口一样进行设置。
① 新建策略,允许VLAN11访问VLAN12,启用NAT不要开启。防火墙策略是单向访问,如果需要VLAN12访问VLAN11,还需要建立一条策略。
② 两台接入交换机不同VLAN的电脑就可以互相访问了。
这篇关于【接口篇 / Lan】(5.4) ❀ 01. 与交换机连接 (单臂路由) ❀ FortiGate 防火墙的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
