求解！！仅一台防火墙与交换机怎么连接才好做控制？

en6275

问题：只有一台联想网域防火墙和一台三层交换机，三层交换机上有三个vlan，vlan 2 是服务器；vlan 3 是终端用户；vlan 4 是管理主机；试问怎样通过防火墙来控制vlan之间的访问，或者说把服务器放在防火墙的保护之内啊？\r\n       暂定：vlan 2 ：192.168.1.0/28\r\n                 vlan 3 ：192.168.1.16/28\r\n                  vlan 4 ：192.168.1.32/28\r\n\r\n      我是这样想：1、在三层交换机上1-5口划分为服务器vlan2，但在交换机上不指定vlan 2的ip地址，防火前fe1口连接交换机第5口，并设置防火墙fe1口ip地址为192.168.1.1/28,服务器连交换机第1口，ip：192.168.1.2/28，网关：192.168.1.1\r\n                       2、交换机上指定vlan 3 ip：192.168.1.17/28,把7-20口划入vlan 3连接终端用户，终端ip设置：192.168.1.18/28，网关：192.168.1.17；\r\n                            同时指定vlan 4 ip：192.168.1.33/28，把21-24口划入vlan 4连接管理主机，管理主机ip设置：192.168.1.34/28，网关：192.168.1.13；\r\n\r\n                       3、在交换机上新建一个vlan 5，指定ip为192.168.1.49/30，把交换机第6口划入vlan 3。\r\n\r\n                       4、防火墙fe2口设置ip：192.168.1.50/30，并与交换机第6口连接。\r\n\r\n                       5、这样的话通过在防火墙里面设定回程路由是不是就可以使几个vlan之间的访问在防火墙的控制之内了？\r\n                            防火墙上的回程路由：192.168.1.16/32-----------下一跳------192.168.1.49\r\n                                                               192.168.1.32/32-----------下一跳------192.168.1.49\r\n\r\n         想法是这样，但不知道可行不？或者有更好的办法吗？希望高手指点。\r\n

风之念

一直用，没那个技术搞啊！不要笑话俺

en6275

rickyfang 发表于 2011-10-10 16:00 \r\n觉得你的方案有点麻烦\r\n直接在三层交换上设置VLAN，然后一根张连接防火墙便可，通过防火墙可以设备上网管理 ...

\n\n我还是不怎么明白你所说的，怎么发布我的服务器？4台服务器哦；在三层交换机上设置好vlan之后，启用ip routing之后，所有的vlan之间已经可以互相想问了，防火墙如何控制终端和服务器之间的访问？

apth4

rickyfang 发表于 2011-10-10 16:00 \r\n觉得你的方案有点麻烦\r\n直接在三层交换上设置VLAN，然后一根张连接防火墙便可，通过防火墙可以设备上网管理 ...

\n\n斑竹说的很多。我也是这样想的。

rickyfang

\n\n觉得你的方案有点麻烦\r\n直接在三层交换上设置VLAN，然后一根张连接防火墙便可，通过防火墙可以设备上网管理，也可以发布DMZ区的服务器（VLAN2）。\r\n通过三层交换也可以设置VLAN相互之间的访问。\r\n\r\nIP就按你的想法设，当然三层交换的虚拟IP是整个VLAN的网关。\r\n\r\n如果有多出来的口，最好留着，以备用作镜像口，查找及解决内部网络时用。\r\n

wuzhidegang

顶起  55555555

xwbest

你可以直接在防火墙上做vlan吗？

kingsqn

多谢分享

xwbest

防火墙可以通过DMZ或者端口映射来对外发布！