,,,,,,,,,,,,,,,,,,,,,,,,,,,,
一、网络结构
二,分析与预规划
规划如上图↑
分析客户目前暂定的拓扑方案,实现多vlan间通信.G0/0/48端口做成树干,理论上SW-A默认只会让10.10.0。X/24的主机过,Juniper防火墙萍vlanif1-6都能到,这个是问题来了,只有10.10.0。x/24的主机,端口不做情况下就能到杜松设备上。这时就能意识到,单臂路由的方向! ! ( ^ __ ^ )
【单臂路由定义扫盲】
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通(<强>这一次由于起子接口的设备上是瞻博设备,防火墙通过策略可以实现VLAN间互相独立,若不做策略便是互联互通)
优点:实现不同VLAN之间的通信,有助理解,学习VLAN原理和子接口概念。
缺点:容易成为网络单点故障,配置稍有复杂,现实意义不大。
四、防火墙配置:
web ui上配置如下:
第1步,下拉选择Sub-IF
设置界面“ethernet0/1.1"标签2区“Trust"
设置界面“ethernet0/1.2"标签3区“Trust"#在e0/1创建子接口并打上vlan标签
设置界面ethernet0/1.1 ip 10.10.2.1/24 # ip配置
设置界面ethernet0/1.1 nat
设置界面ethernet0/1.2 ip 10.10.3.1/24 # ip配置
设置界面ethernet0/1.2 nat
(PS:注意接口和区域,和vlan标记,这里的10.10.2.1/24是SW-A的Vlanif2,所以这里要一一对应起来,),点击-好的输出如下图
理论上,vlan10与vlan20之间是无法互相平通的,但通过介绍的单臂路由就可以实现他们的互联互通。(通俗一点讲,就是在Fa0/0通过子接口方式起多个网关)
五,实施回顾
单臂路由长应用在中小型企业当中,当企业无法预算购买三层交换机时,通过二层交换机实现多vlan的互联互通。
此次跨境通的实施交付,因客户需要vlan间互通,我这里策略就没做,以下为各位简单的介绍下江源发展促进会系列策略配置。
禁止2个网段互相访问,这个可以根据实际需要添加。
id 35制定政策从“Trust"“;Trust"“10.10.2.1/24"“10.10.3.1/24"“ANY"否认log
id 35
制定政策退出
制定政策id 34“Trust"“;Trust"“10.10.3.1/24"“10.10.2.1/24"“ANY"否认log
制定政策id 34
接着配置Untrust-Trust的访问策略,互相独立起来,做各自的安全政策即可:
id 36制定政策从“Utrust"“;Trust"“any"“10.10.2.1/24"“ANY"否认log
id 36
设置政策制定政策id 37“Utrust"“;Trust"“any"“10.10.3.1/24"“ANY"否认log
制定政策id 37
