山石网科Hillstone防火墙VLAN接口配置方案(最新版)
1. 需求分析
- 首先,VLAN接口是三层接口。VLAN接口是VLAN内所有设备对外通信的出口,通常情况下,VLAN接口的IP地址为VLAN内网络设备的网关地址。
- 当内网交换机配置有VLAN类型接口,防火墙作为网关,VLAN流量经过防火墙,防火墙会对VLAN流量进行处理,处理过程包括解标签、打标签及转发。
- Hillstone防火墙支持配置VLAN类型接口,部分防火墙若不支持VLAN接口,可使用子接口方式代替VLAN接口,以达到同样效果。
2. 解决方案
2.1 组网拓扑
2.2 配置
2.2.1 方式一:配置VLAN接口
【交换机配置】
配置交换机 vlan 列表和划分 vlan
switch(config)# vlan 10
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# exit
switch(config)# vlan 30
switch(config-vlan)# exit
switch(config)# interface ethernet0/0
switch(config-if-eth0/0)# switchmode access vlan 10
switch(config-if-eth0/0)# interface ethernet0/1
switch(config-if-eth0/1)# switchmode access vlan 20
switch(config-if-eth0/1)# interface ethernet0/4
switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30
switch(config-if-eth0/4)# exit
【防火墙配置】
Configuration:
vlan 10
exit
vlan 20
exit
vlan 30
exit
interface vlan10
zone "trust"
ip address 192.168.10.1 255.255.255.0
exit
interface vlan20
zone "trust"
ip address 192.168.20.1 255.255.255.0
exit
interface vlan30
zone "trust"
ip address 192.168.30.1 255.255.255.0
exit
interface ethernet0/0
switchmode trunk vlan 10
switchmode trunk vlan 20
switchmode trunk vlan 30
Exit
2.2.2 方式二:配置子接口
【交换机配置】
配置交换机 vlan 列表和划分 vlan
switch(config)# vlan 10
switch(config-vlan)# exit
switch(config)# vlan 20
switch(config-vlan)# exit
switch(config)# vlan 30
switch(config-vlan)# exit
switch(config)# interface ethernet0/0
switch(config-if-eth0/0)# switchmode access vlan 10
switch(config-if-eth0/0)# interface ethernet0/1
switch(config-if-eth0/1)# switchmode access vlan 20
switch(config-if-eth0/1)# interface ethernet0/4
switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30
switch(config-if-eth0/4)# exit
【防火墙配置】
Configuration:
interface ethernet0/1.10
zone "trust"
ip address 192.168.10.1 255.255.255.0
manage ping
exit
interface ethernet0/1.20
zone "trust"
ip address 192.168.20.1 255.255.255.0
manage ping
exit
interface ethernet0/1.30
zone "trust"
ip address 192.168.30.1 255.255.255.0
manage ping
exit
2.3 配置结果
- 验证两个 vlan 间的互通。正常策略 interface vlan 接口或子接口间的安全策略放行后即可互通。