文章目录

  • 0.背景
  • 1.使用物理端口实现vlan互联
  • 1.1 组网图
  • 1.2 数据规划
  • 1.3 具体配置
  • 1.3.1 配置IP
  • 1.3.2 将端口加入安全区域
  • 1.3.3 配置安全策略
  • 1.3.4 验证
  • 1.3.5 备注
  • 2.使用vlanif端口实验vlan互联
  • 2.1 组网图
  • 2.2 数据规划
  • 2.3 具体配置
  • 2.3.1 配置IP并允许ping端口
  • 2.3.2 配置二层接口
  • 2.3.4 将端口加入安全区域
  • 2.3.5 配置安全策略
  • 2.3.6 验证


0.背景

    众所周知,二层交换机是用来隔离冲突域的,但不能隔离广播域;vlan是用来隔离广播域的。
    想要实现vlan之间的互联互通,就需要超越数据链路层,在网络层想办法。
    方法1:如果有充足的资源,每个三层物理端口分别连接一个网段。优点:配置相对简单。缺点就是:1. 如果物理端口或者连接端口的线缆故障,整个网段就失联了,当然可以通过设备堆叠,链路聚合等冗余技术提高稳定性;2.调整不灵活。某网段下,如果一台主机需要变更到别的vlan,需要调整物理线路。
    方法2:如果想要充分利用设备的资源,可以配置vlanif逻辑端口,同时将三层端口转换成二层端口来实现,这个方法的优点是:vlanif作为逻辑端口,轻易不会down;调整灵活,多个物理端口可以灵活配置,透传多个vlan,主机变更到别的vlan,二层端口多透传一个vlan就可以了。
    方法3:使用子接口。优点是一个三层物理端口可以实现多个vlan的互联。缺点是子接口之间不完全隔离,某个子接口流量过大会影响其他子接口;物理接口故障会影响所有子接口。

1.使用物理端口实现vlan互联

1.1 组网图

    实验使用华为ensp模拟软件,由防火墙USG6000v和PC的模型构成。防火墙和路由器设计理念(防火墙强调控制,路由器强调互通)的不同,导致一些配置命令有所差异。

vlan 绑定BD vlanif绑定物理端口_usg

1.2 数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:1.0.0.1/30, 安全区域:Untrust

防火墙对外接口IP

GigabitEthernet 1/0/2

IP地址:192.168.1.1/24, 安全区域:dmz

web servers等,对外提供服务

GigabitEthernet 1/0/3

IP地址:192.168.2.1/24, 安全区域:trust

数据库,共享存储

允许访问Internet的私网网段

192.168.1.0/24 192.168.2.0/24

1.3 具体配置
1.3.1 配置IP

    以G1/0/3端口为例:

[USG6000V1]interface g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/3]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/3]service-manage enable

    service-manage enable和service-manage ping permit命令缺一不可,否则无法ping通。

1.3.2 将端口加入安全区域

    将G1/0/3端口加入trust区域,G1/0/2端口加入dmz区域,G1/0/1端口加入untrust区域。以G1/0/3端口为例:

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/3
[USG6000V1-zone-trust]quit
1.3.3 配置安全策略

    例:允许流量从trust区域至untrust区域

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-address 192.168.2.0 24
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-trust_untrust]action permit
[USG6000V1-policy-security-rule-trust_untrust]quit

    完整的安全策略如下:

#
security-policy
 rule name untrust_dmz
  source-zone untrust
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name dmz_untrust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name dmz_trust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name trust_dmz
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name trust_untrust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  action permit
#
1.3.4 验证

    根据安全策略,可以进行相应的ping测试。本实验中,pc网关需配置成相应防火墙端口IP:

vlan 绑定BD vlanif绑定物理端口_usg_02


vlan 绑定BD vlanif绑定物理端口_华为防火墙_03

1.3.5 备注

    实际上,防火墙需要配置NAT才能实现内网访问外网。在本实验中,由于只有1个可用的外网IP,配置Easy_IP是很合适的,如果有多个ip,建议配置地址池。由于与文章主题无关,省略配置过程。

2.使用vlanif端口实验vlan互联

2.1 组网图

vlan 绑定BD vlanif绑定物理端口_vlan_04

2.2 数据规划

项目

数据

说明

GigabitEthernet 1/0/1

IP地址:1.0.0.1/30, 安全区域:Untrust

防火墙对外接口IP

vlanif 2

IP地址:192.168.1.1/24, 安全区域:dmz

web servers等,对外提供服务

vlanif 3

IP地址:192.168.2.1/24, 安全区域:trust

数据库,共享存储

GigabitEthernet 1/0/2

安全区域:dmz

属于vlan 2

GigabitEthernet 1/0/3

安全区域:trust

属于vlan 3

允许访问Internet的私网网段

192.168.1.0/24 192.168.2.0/24

2.3 具体配置
2.3.1 配置IP并允许ping端口

    配置G1/0/1

[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.0.1 255.255.255.252
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/1]service-manage enable

    配置 vlanif 端口

[USG6000V1]vlan batch 2 3
[USG6000V1]interface Vlanif 2
[USG6000V1-Vlanif2]ip address 192.168.1.1 24
[USG6000V1-Vlanif2]service-manage all permit
[USG6000V1-Vlanif2]service-manage enable
[USG6000V1-Vlanif2]quit
[USG6000V1]interface Vlanif 3
[USG6000V1-Vlanif2]ip address 192.168.2.1 24
[USG6000V1-Vlanif2]service-manage all permit
[USG6000V1-Vlanif2]service-manage enable
[USG6000V1-Vlanif2]quit
2.3.2 配置二层接口

    因为防火墙是直接连接到主机,所以G1/0/2和G1/0/3可以配置为access类型,但如果接口下有多个vlan,需要配置成trunk。hybrid类型使用范围广,本次就用它来配置这两个端口。

[USG6000V1]interface g1/0/2
[USG6000V1-GigabitEthernet1/0/2]portswitch
[USG6000V1-GigabitEthernet1/0/2]port hybrid pvid vlan 2
[USG6000V1-GigabitEthernet1/0/2]port hybrid untagged vlan 2
[USG6000V1]interface g1/0/3
[USG6000V1-GigabitEthernet1/0/3]portswitch
[USG6000V1-GigabitEthernet1/0/3]port hybrid pvid vlan 3
[USG6000V1-GigabitEthernet1/0/3]port hybrid untagged vlan 3

    默认pvid为1,防火墙接收到主机发过来的数据包会打上pvid对应的tag,所以要修改端口pvid为vlan id。主机无法处理tagged数据包,所以一定要配置untagged。

2.3.4 将端口加入安全区域

    将G1/0/3, vlanif 3端口加入trust区域;G1/0/2, vlanif 2端口加入dmz区域;G1/0/1端口加入untrust区域。
    以dmz区域为例:

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface Vlanif 2
[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/2
2.3.5 配置安全策略

同1.3.3

2.3.6 验证

同1.3.4