Могу ли я иметь маршрутизатор / брандмауэр, обеспечивающий подключение к глобальной сети, как часть VLAN на коммутаторе?
Например:
2, переключатели L3. 2 сети VLAN
DefaultVLAN 10.1.1.0/24
VLAN100 192.168.1.0/24
Две интернет-линии - неважно, какие они есть. Оба контролируются двумя межсетевыми экранами. Мне нужно все VLAN трафик для DefaultVLAN вниз один WAN, таким образом, один брандмауэр, а другой VLAN100 вниз другой.
DHCP:
Два диапазона, 10.1.1.0/24 и 192.168.1.0/24 раздавая как DG, IP переключателей соответственно. В этом случае 10.1.1.0 диапазон выдает IP для SW02 в качестве генерального директора по клиентам. И 192.168.1.0/24 диапазон выдает IP SW01 для клиентов.
Переключатели:
SW01, IP's - Default VLAN IP: 10.1.1.10 - VLAN100 IP: 192.168.1.10
SW02, IP's - Default VLAN IP: 10.1.1.11 - VLAN100 IP: 192.168.1.11
Межсетевые экраны:
FW01: 192.168.1.1
FW02: ? (Please read on)
Переключатели:
SW01, Default Gateway of Switch set to: 192.168.1.1
SW02, Default Gateway of Switch set to: ?
Итак, как мне разделить это, я хочу, чтобы клиентская VLAN 10.1.1.0/24 имела другой FW02 в качестве шлюза по умолчанию?
Для начала вам не нужны два брандмауэра (если они не поддерживают отказоустойчивость / высокую доступность).
Получите достойный межсетевой экран бизнес-класса. Cisco ASA серии 5500, Sonicwall TZ 105, pfSense и т. Д.
Добавьте оба WAN-соединения к одному межсетевому экрану; Я бы, наверное, настроил их хотя бы в конфигурации аварийного переключения, но неважно. Ваш звонок.
Предполагая, что мы имеем дело с одним коммутатором L3, который вы уже купили, вы можете создать интерфейс VLAN для своих двух сетей VLAN (VLAN 1: 192.168.1.0/24, интерфейс VLAN: 192.168.1.1; VLAN 100: 10.1.1.0/24. Интерфейс VLAN: 10.1.1.1). Они становятся шлюзом по умолчанию для узлов в каждой VLAN соответственно. Независимо от того, является ли это DHCP, это выходит за рамки этого вопроса.
Создайте еще одну VLAN, скажем, VLAN 10. 172.16.0.0/29. Установите для интерфейса LAN вашего брандмауэра IP-адрес в этой подсети (172.16.0.1/29) и создайте интерфейс VLAN в той же подсети (172.16.0.2/29). Назначьте порт для этой VLAN и подключитесь к своему брандмауэру с этого порта. Вы должны иметь возможность проверить связь с интерфейсом LAN брандмауэра из консоли коммутатора L3.
Обновите / создайте маршрут по умолчанию на коммутаторе L3 следующим образом 0.0.0.0 0.0.0.0 gw 172.16.0.1 (псевдосинтаксис, очевидно, будет зависеть от марки / модели коммутатора, но мы хотим создать маршрут по умолчанию к интерфейсу локальной сети межсетевого экрана).
На брандмауэре создайте маршрут назад к вашим подсетям VLAN вот так (192.168.1.0 255.255.255.0 gw 172.16.0.2 а потом 10.1.1.0 255.255.255.0 gw 172.16.0.2).
В брандмауэре вы захотите посмотреть на маршрутизацию на основе политик, маршрутизацию на основе политик, маршрутизацию на основе источника и т. Д. (Зависит от того, что вы получаете, но любой полуприличный маршрутизатор / межсетевой экран должен поддерживать это), но в основном вы захотите добавить правило / политика маршрутизации, которая проверяет исходную подсеть и соответственно назначает шлюз WAN.
Если у вас нет L3 и вы не ожидаете большого количества маршрутизации между VLAN (например, сотни рабочих станций, которые общаются с десятками серверов в разных VLAN), не тратьте деньги на один. Любой приличный межсетевой экран будет иметь несколько физических интерфейсов (или даже один будет работать с роутер на флешке, но опять же, зависит от требований к трафику и т. д.), и они могут занять место интерфейсов VLAN: просто разделите коммутатор L2 на две VLAN, как мы уже обсуждали, но вместо назначения интерфейсов (что вы, вероятно, не сможете) к виртуальным интерфейсам VLAN вы будете подключаться к интерфейсам LAN1 и LAN2 (или какому-либо другому) на брандмауэре и позволять ему выполнять маршрутизацию между VLAN и / или Интернет-маршрутизацию.
Если вы не говорите о нескольких коммутаторах, соединенных / помеченных вместе, несущих VLAN из разных мест, я бы даже не стал беспокоиться о коммутаторах L2: вы могли бы легко сделать это с помощью всего двух неуправляемых коммутаторов, по одному для каждого интерфейса межсетевого экрана. Я предпочитаю коммутаторы L2, так как у них гораздо больше гибкости, возможностей управления / мониторинга и обычно по разумной цене.