Назад | Перейти на главную страницу

Конфигурация Juniper ScreenOS vlan

Пытаюсь настроить свой первый брандмауэр Juniper, SSG5 (работающий под управлением 6.2.0r11.0), но возникают проблемы с vlans. Я не нашел много документации, касающейся того, что я пытаюсь сделать; возможно, потому что это невозможно, или, возможно, я просто ищу не в том месте.

Вот схема настройки, которую я пытаюсь достичь:

Мой первый вопрос - возможно ли это с Juniper SSG5?

Если да, то мне интересно, может ли кто-нибудь дать мне несколько советов о том, как его настроить. Коммутатор (Cisco 3550) настроен и работает правильно, и пока что я:

  1. Созданные зоны для каждого vlan
  2. Настроить субинтерфейсы на 0/2 и 0/5; по одному на каждый влан
  3. Поместите каждый подчиненный интерфейс в соответствующую зону
  4. Ставить 0/6 в зону для vlan 10

У меня есть компьютер, подключенный к коммутатору с использованием vlan 10 (порт доступа), и он может пинговать субинтерфейс 0/2 для vlan 10. Однако он не может пинговать физический интерфейс 0/6 или хост, подключенный к 0 / 6. Я также попытался создать субинтерфейс на 0/6 для vlan 10 (поместив его в зону vlan 10), но он также не может пинговать этот субинтерфейс (ping включен на всех интерфейсах и субинтерфейсах).

Заранее спасибо.

Я не уверен, что SSG5 может это сделать. Мы сделали нечто подобное по другим причинам с SSG140 с использованием виртуальных маршрутизаторов. Это действительно очень сложно, очень быстро.

Я не уверен, что это возможно сделать так, как вы описываете.

Возможно, вы сможете определить интерфейс l3 группы мостов для каждого vlan, но я не уверен, можете ли вы связать субинтерфейсы vlan в группу моста или только целые порты (в этом случае это не сработает).

Вы можете поместить порты 2 и 5 в группу моста, но вы не сможете таким образом разбить vlan 10 на другой порт.

Есть ли особая причина для подключения сервера непосредственно к SSG, а не к коммутатору? Я обычно помещаю все на коммутатор и запускаю один магистральный порт (межсетевой экран на палке) или несколько магистралей для разных VLAN, если пропускная способность магистрали является проблемой.