【简介】我们知道交换机划分VLAN可以将大型网络划分为多个小网络,以使广播和组播流量不会占据更多的带宽。因为广播域缩小了,可以提供更高的网络段间安全性。划分VLAN后各VLAN之间的访问,就需要路由来完成,如果只有二层交换机,那么路由的工作就由路由器或具备路由功能的防火墙来完成了。
单臂路由
传统的VLAN间路由,通过将不同的物理路由器接口连接至不同的物理交换机端口来执行VLAN间路由,这种方式需要具备多个物理接口。
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。我们可以将飞塔防火墙与交换机通过单一的物理网络连接(Trunk)相连,通过单个物理接口在网络中的多个VLAN间发送流量。
交换机端口设置
启用飞塔防火墙的单臂路由功能之前,首先启用连接到防火墙的交换机端口上的Trunk。
① 以思科交换机为例:
configure terminal命令进入全局配置模式。
interface命令指定连接防火墙的交换机端口,这里是第24端口。
switchport trunk encapsulation dot1q命令指定中继链路采用802.1Q封装类型。
switchport mode trunk命令配置接口为二层中继。
switchport trunk allowed vlan命令表示允许哪些VLAN中继。
【提示】 如果指定的接口用no switchport命令指定为三层接口,需要用switchport命令再转为二层接口。以上配置Trunk命令对二层接口有效。
防火墙接口设置
我们将交换机24端口的网线接入到防火墙的internal7接口(只要是独立内网接口都可以)。
① 选择菜单【网络】-【接口】,点击子菜单【新建】边上的向下箭头,弹出子菜里选择【接口】。
② 新建一个比较容易理解的接口名称,类型选择VLAN,接口选择物理连接的internal7口,VLAN ID输入与交换机上相同的ID号,这里是输入11。输入这个VLAN可以访问的IP地址。限制访问我们打开Ping功能,这样这个VLAN下的电脑可以Ping通172.16.1.1这个地址。
③用同样的方法建立其它的虚拟VLAN接口,和交换机上设置允许中继通过的VLAN号一致。
【提示】 物理接口internal7不能设置IP地址,这样物理接口才能处于Trunk模式,以识别交换网络的VLAN ID。
指定VLAN上网
理论上交换机上的各个VLAN都可以通过24口访问防火墙了。可以将internal7下面的各个VLAN口当成独立的接口来配置上网。
① 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 象建立普通内网接口上网策略一样,这里我们建立internal7接口下to-VLAN11子接口允许上网策略。
③ 电脑接在交换机的VLAN11端口上,设置IP地址,网关需要指向防火墙上的虚拟接口to-VLAN11的IP地址。
④ 连在交换机VLAN11端口上的电脑可以正常上网了。在策略列表里可以看到,to-VLAN11有上网流量。
⑤ 我们也可以将所有需要上网的VLAN接口建立一个组,这样一条策略就可以让多个VLAN上网了。选择菜单【网络】-【接口】,点击子菜单【新建】边上的向下箭头,弹出子菜里选择【所属区域】。
⑥ 输入新建的区域名称,将所有需要上网的VLAN都打上钩。
⑦ 新建允许区域上网的策略,这样这个区域包含的VLAN都可以上网了。
VLAN间互访
防火墙的独立内网接口,需要通过策略才能互相访问,这里虚拟VLAN接口也可以当作独立内网接口一样进行设置。
① 新建策略,允许VLAN11访问VLAN12,启用NAT不要开启。防火墙策略是单向访问,如果需要VLAN12访问VLAN11,还需要建立一条策略。
② 两台接入交换机不同VLAN的电脑就可以互相访问了。
