精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全防火墻 → 正文

基于VLAN 的防火墻應(yīng)用實(shí)例

責(zé)任編輯:xdong |來源:企業(yè)網(wǎng)D1Net  2012-05-07 14:13:00 本文摘自:《網(wǎng)管員世界》雜志社

基于VLAN 的防火墻應(yīng)用實(shí)例

1. 實(shí)例需求

(1)需要對內(nèi)網(wǎng)所有VLAN 間的流量設(shè)置統(tǒng)一的安全管理策略,允許VLAN 間流量的單向、雙向訪問或拒絕訪問。

(2)保持現(xiàn)有網(wǎng)絡(luò)架構(gòu)不變,防火墻兩側(cè)接二層交換機(jī),交換機(jī)直連服務(wù)器和用戶。

(3)對于需要加強(qiáng)訪問控制的流量由防火墻處理,而部分無須進(jìn)行訪問控制的流量則直接由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。

2. 網(wǎng)絡(luò)規(guī)劃與拓?fù)?/strong>

根據(jù)實(shí)例的網(wǎng)絡(luò)安全性需求及結(jié)合本單位網(wǎng)絡(luò)的實(shí)際需求,共劃分兩個(gè)VLAN :A 部門用戶,VLAN 號為20 ;其他部門用戶,VLAN 號為10。

本例中采用的主要網(wǎng)絡(luò)設(shè)備為:天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000 系列防火墻、Cisco 3560G 二層交換機(jī)和中興ZTE ZXR10 2826S 二層交換機(jī)。

天融信網(wǎng)絡(luò)衛(wèi)士防火墻在二層交換機(jī)協(xié)助下通過Trunk 進(jìn)行連接,并將不同的VLAN 子接口放在不同的區(qū)域中,通過策略來控制VLAN 之間流量訪問。

為了提高流量的吞吐量,可以在交換機(jī)和防火墻間通過千兆以太網(wǎng)捆綁通道相連,提高網(wǎng)絡(luò)的帶寬和可靠性。

網(wǎng)絡(luò)拓?fù)鋱D如圖1 所示,其中,Cisco 3560G 二層交換機(jī)為核心交換機(jī);中興ZTE ZXR10 2826S 二層交換機(jī)為A 部門接入交換機(jī);天融信NGFW4000 防火墻為基于VLAN 的內(nèi)網(wǎng)防火墻。這是因?yàn)锳 部門的數(shù)據(jù)比較重要,出于保密需要,要防范內(nèi)網(wǎng)用戶,所以在A 部門的網(wǎng)絡(luò)VLAN 出口加裝防火墻B,并配置相應(yīng)的策略,以抵御內(nèi)網(wǎng)不良用戶的攻擊。

圖1 網(wǎng)絡(luò)拓?fù)鋱D


防火墻A 為對外網(wǎng)防火墻,配置和原理不是本文討論的重點(diǎn),在此不再敘述。

3. 實(shí)例應(yīng)用中的難點(diǎn)

實(shí)例中內(nèi)網(wǎng)防火墻B 的配置和應(yīng)用是關(guān)鍵,先前由于忽視了天融信NGFW4000 系列防火墻為基于VLAN 應(yīng)用的防火墻,配置網(wǎng)絡(luò)參數(shù)時(shí)沒有考慮VLAN 的配置,所以在應(yīng)用中遇到了不少困難。

困難一:將此防火墻等同于一般網(wǎng)絡(luò)的防火墻,沒有仔細(xì)查閱相關(guān)的技術(shù)資料,誤將此防火墻端口的Access 模式理解為交換機(jī)的透明交換模式,造成網(wǎng)絡(luò)不通。

困難二:在花費(fèi)大量時(shí)間后,筆者抱著試一試的心態(tài)采用防火墻端口的Trunk 模式,但沒有在內(nèi)網(wǎng)防火墻A 中定義正確的A 部門VLAN 號,網(wǎng)絡(luò)仍然不通。

 

實(shí)例中防火墻與交換機(jī)的具體配置

一、基于防火墻端口Trunk 模式應(yīng)用的配置

1. 天融信NGFW4000 配置

第一步: 在防火墻“網(wǎng)絡(luò)”→“物理接口”選項(xiàng)中,設(shè)置端口Eth1、Eth2 為“Trunk”模式,如圖2 和圖3 所示。

圖2 設(shè)置端口為Trunk 模式(1)
圖3 設(shè)置端口為Trunk 模式(2)

其中,Native 表示Trunk 端口的默認(rèn)VLAN ID。由于Trunk 端口屬于多個(gè)VLAN,所以需要設(shè)置默認(rèn)VLANID,以便在該交換接口接收到?jīng)]有標(biāo)記的報(bào)文時(shí),該Trunk 端口將此報(bào)文發(fā)往默認(rèn)VLAN ID 標(biāo)識的VLAN。

VLAN 的范圍表示該Trunk 接口屬于哪些VLAN,即允許哪些VLAN 通過。本實(shí)例只要求VLAN 20 通過。

1 ~ 20 表示屬于VLAN 1 到20 ;或1,10 表示屬于VLAN 1 和VLAN 10 ;Trunk 類型選擇“802.1q”, 因?yàn)榕c其互聯(lián)對應(yīng)的思科交換機(jī)的協(xié)議選擇的是“dot1q”。

第二步:在防火墻“網(wǎng)絡(luò)→ VLAN”選項(xiàng)中,定義A部門為VLAN 20,如圖4 所示。

第三步:將防火墻端口Eth1、Eth2 劃分到VLAN 20 中,如圖5 所示。

圖4 定義A 部門為VLAN 20
圖5 將防火墻端口劃分為VLAN 20 中

2.Cisco 3560G 配置

Switch(config)#vlan 10 /定義VLAN 10Switch(config)#int GigabitEthernet0/2Switch(config-if)# switchport access

vlan 10 /將交換機(jī)第2端口劃分到VLAN 10中,接其他部門用戶的交換機(jī)。

Switch(config)#vlan 20 /定義VLAN 20Switch(config)#int GigabitEthernet0/1

Switch(config-if)# switchport modetrunk /交換機(jī)第1端口設(shè)置為Trunk模式

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)第1端口封裝dot1q協(xié)議。通過接外網(wǎng)防火墻A連接路由器,在路由器上設(shè)置VLAN 10和VLAN 20的子接口,為VLAN之間設(shè)置直接路由。

Switch(config)#int GigabitEthernet0/24

Switch(config-if)# switchport mode

trunk /交換機(jī)第24端口設(shè)置為Trunk模式,接內(nèi)網(wǎng)防火墻B的Eth1口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth1口設(shè)置為Trunk模式。

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)第24端口封裝dot1q協(xié)議。

3. 中興ZXR10 2826S 交換機(jī)配置

zte(cfg)#set vlan 20 en /定義VLAN 20zte(cfg)#set port 1-23 pvid 20 /將交換機(jī)的1~23端口劃分到VLAN 20中。

zte(cfg)#set vlan 20 add port 1-23untag /設(shè)置VLAN 20在交換機(jī)的1~23端口之間數(shù)據(jù)交換不打標(biāo)簽,即將1~23端口設(shè)置為Access(交換)模式,連接A部門用戶計(jì)算機(jī)。

zte(cfg)#set vlan 20 add port 24tag /設(shè)置VLAN 20在交換機(jī)24端口上數(shù)據(jù)交換打標(biāo)簽,即將24口設(shè)置為Trunk模式。連接內(nèi)網(wǎng)防火墻的Eth2口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth2口設(shè)置為Trunk模式。

二、基于防火墻端口Acess 模式應(yīng)用的配置

1. 天融信NGFW4000 配置

如圖6 所示,在防火墻“網(wǎng)絡(luò)”→“物理接口”選項(xiàng)中,設(shè)置端口Eth1、Eth2 為“Access”模式,其他配置同前所述。

圖6 設(shè)置端口為“Access”模式

2.Cisco 3560G 配置

Switch(config)#vlan 10 /定義VLAN 10Switch(config)#int GigabitEthernet0/2

Switch(config-if)# switchport accessvlan 10 /將交換機(jī)的第2端口劃分到VLAN 10中,接其他部門用戶的交換機(jī)。

Switch(config)#vlan 20 /定義VLAN 20Switch(config)#int GigabitEthernet0/24

Switch(config-if)# switchport accessvlan 20 /將交換機(jī)第24端口劃分到VLAN 20中,通過接內(nèi)網(wǎng)防火墻B互聯(lián)A部門用戶的中興交換機(jī),此時(shí)內(nèi)網(wǎng)防火墻B的Eth1口設(shè)置為Access模式。

Switch(config)#int GigabitEthernet0/1

Switch(config-if)# switchport modetrunk /交換機(jī)第1端口設(shè)置為Trunk模式

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)的第1端口封裝dot1q協(xié)議。通過接外網(wǎng)防火墻A互聯(lián)路由器,在路由器上設(shè)置VLAN 10和VLAN 20的子接口,為VLAN之間設(shè)置直接路由。

3. 中興ZXR10 2826S 配置

zte(cfg)#set vlan 20 en /定義VLAN 20zte(cfg)#set port 1-23 pvid 20 /將交換機(jī)1~23端口劃分到VLAN 20中。

zte(cfg)#set vlan 20 add port 1-23untag /設(shè)置VLAN 20在交換機(jī)的1~23端口之間數(shù)據(jù)交換不打標(biāo)簽,即將1~23端口設(shè)置為Access(交換)模式。其中,任意口都可以連接內(nèi)網(wǎng)防火墻B的Eth2口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth2口設(shè)置為Access模式。

關(guān)鍵字:防火墻VLAN

本文摘自:《網(wǎng)管員世界》雜志社

x 基于VLAN 的防火墻應(yīng)用實(shí)例 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全防火墻 → 正文

基于VLAN 的防火墻應(yīng)用實(shí)例

責(zé)任編輯:xdong |來源:企業(yè)網(wǎng)D1Net  2012-05-07 14:13:00 本文摘自:《網(wǎng)管員世界》雜志社

基于VLAN 的防火墻應(yīng)用實(shí)例

1. 實(shí)例需求

(1)需要對內(nèi)網(wǎng)所有VLAN 間的流量設(shè)置統(tǒng)一的安全管理策略,允許VLAN 間流量的單向、雙向訪問或拒絕訪問。

(2)保持現(xiàn)有網(wǎng)絡(luò)架構(gòu)不變,防火墻兩側(cè)接二層交換機(jī),交換機(jī)直連服務(wù)器和用戶。

(3)對于需要加強(qiáng)訪問控制的流量由防火墻處理,而部分無須進(jìn)行訪問控制的流量則直接由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。

2. 網(wǎng)絡(luò)規(guī)劃與拓?fù)?/strong>

根據(jù)實(shí)例的網(wǎng)絡(luò)安全性需求及結(jié)合本單位網(wǎng)絡(luò)的實(shí)際需求,共劃分兩個(gè)VLAN :A 部門用戶,VLAN 號為20 ;其他部門用戶,VLAN 號為10。

本例中采用的主要網(wǎng)絡(luò)設(shè)備為:天融信網(wǎng)絡(luò)衛(wèi)士NGFW4000 系列防火墻、Cisco 3560G 二層交換機(jī)和中興ZTE ZXR10 2826S 二層交換機(jī)。

天融信網(wǎng)絡(luò)衛(wèi)士防火墻在二層交換機(jī)協(xié)助下通過Trunk 進(jìn)行連接,并將不同的VLAN 子接口放在不同的區(qū)域中,通過策略來控制VLAN 之間流量訪問。

為了提高流量的吞吐量,可以在交換機(jī)和防火墻間通過千兆以太網(wǎng)捆綁通道相連,提高網(wǎng)絡(luò)的帶寬和可靠性。

網(wǎng)絡(luò)拓?fù)鋱D如圖1 所示,其中,Cisco 3560G 二層交換機(jī)為核心交換機(jī);中興ZTE ZXR10 2826S 二層交換機(jī)為A 部門接入交換機(jī);天融信NGFW4000 防火墻為基于VLAN 的內(nèi)網(wǎng)防火墻。這是因?yàn)锳 部門的數(shù)據(jù)比較重要,出于保密需要,要防范內(nèi)網(wǎng)用戶,所以在A 部門的網(wǎng)絡(luò)VLAN 出口加裝防火墻B,并配置相應(yīng)的策略,以抵御內(nèi)網(wǎng)不良用戶的攻擊。

圖1 網(wǎng)絡(luò)拓?fù)鋱D


防火墻A 為對外網(wǎng)防火墻,配置和原理不是本文討論的重點(diǎn),在此不再敘述。

3. 實(shí)例應(yīng)用中的難點(diǎn)

實(shí)例中內(nèi)網(wǎng)防火墻B 的配置和應(yīng)用是關(guān)鍵,先前由于忽視了天融信NGFW4000 系列防火墻為基于VLAN 應(yīng)用的防火墻,配置網(wǎng)絡(luò)參數(shù)時(shí)沒有考慮VLAN 的配置,所以在應(yīng)用中遇到了不少困難。

困難一:將此防火墻等同于一般網(wǎng)絡(luò)的防火墻,沒有仔細(xì)查閱相關(guān)的技術(shù)資料,誤將此防火墻端口的Access 模式理解為交換機(jī)的透明交換模式,造成網(wǎng)絡(luò)不通。

困難二:在花費(fèi)大量時(shí)間后,筆者抱著試一試的心態(tài)采用防火墻端口的Trunk 模式,但沒有在內(nèi)網(wǎng)防火墻A 中定義正確的A 部門VLAN 號,網(wǎng)絡(luò)仍然不通。

 

實(shí)例中防火墻與交換機(jī)的具體配置

一、基于防火墻端口Trunk 模式應(yīng)用的配置

1. 天融信NGFW4000 配置

第一步: 在防火墻“網(wǎng)絡(luò)”→“物理接口”選項(xiàng)中,設(shè)置端口Eth1、Eth2 為“Trunk”模式,如圖2 和圖3 所示。

圖2 設(shè)置端口為Trunk 模式(1)
圖3 設(shè)置端口為Trunk 模式(2)

其中,Native 表示Trunk 端口的默認(rèn)VLAN ID。由于Trunk 端口屬于多個(gè)VLAN,所以需要設(shè)置默認(rèn)VLANID,以便在該交換接口接收到?jīng)]有標(biāo)記的報(bào)文時(shí),該Trunk 端口將此報(bào)文發(fā)往默認(rèn)VLAN ID 標(biāo)識的VLAN。

VLAN 的范圍表示該Trunk 接口屬于哪些VLAN,即允許哪些VLAN 通過。本實(shí)例只要求VLAN 20 通過。

1 ~ 20 表示屬于VLAN 1 到20 ;或1,10 表示屬于VLAN 1 和VLAN 10 ;Trunk 類型選擇“802.1q”, 因?yàn)榕c其互聯(lián)對應(yīng)的思科交換機(jī)的協(xié)議選擇的是“dot1q”。

第二步:在防火墻“網(wǎng)絡(luò)→ VLAN”選項(xiàng)中,定義A部門為VLAN 20,如圖4 所示。

第三步:將防火墻端口Eth1、Eth2 劃分到VLAN 20 中,如圖5 所示。

圖4 定義A 部門為VLAN 20
圖5 將防火墻端口劃分為VLAN 20 中

2.Cisco 3560G 配置

Switch(config)#vlan 10 /定義VLAN 10Switch(config)#int GigabitEthernet0/2Switch(config-if)# switchport access

vlan 10 /將交換機(jī)第2端口劃分到VLAN 10中,接其他部門用戶的交換機(jī)。

Switch(config)#vlan 20 /定義VLAN 20Switch(config)#int GigabitEthernet0/1

Switch(config-if)# switchport modetrunk /交換機(jī)第1端口設(shè)置為Trunk模式

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)第1端口封裝dot1q協(xié)議。通過接外網(wǎng)防火墻A連接路由器,在路由器上設(shè)置VLAN 10和VLAN 20的子接口,為VLAN之間設(shè)置直接路由。

Switch(config)#int GigabitEthernet0/24

Switch(config-if)# switchport mode

trunk /交換機(jī)第24端口設(shè)置為Trunk模式,接內(nèi)網(wǎng)防火墻B的Eth1口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth1口設(shè)置為Trunk模式。

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)第24端口封裝dot1q協(xié)議。

3. 中興ZXR10 2826S 交換機(jī)配置

zte(cfg)#set vlan 20 en /定義VLAN 20zte(cfg)#set port 1-23 pvid 20 /將交換機(jī)的1~23端口劃分到VLAN 20中。

zte(cfg)#set vlan 20 add port 1-23untag /設(shè)置VLAN 20在交換機(jī)的1~23端口之間數(shù)據(jù)交換不打標(biāo)簽,即將1~23端口設(shè)置為Access(交換)模式,連接A部門用戶計(jì)算機(jī)。

zte(cfg)#set vlan 20 add port 24tag /設(shè)置VLAN 20在交換機(jī)24端口上數(shù)據(jù)交換打標(biāo)簽,即將24口設(shè)置為Trunk模式。連接內(nèi)網(wǎng)防火墻的Eth2口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth2口設(shè)置為Trunk模式。

二、基于防火墻端口Acess 模式應(yīng)用的配置

1. 天融信NGFW4000 配置

如圖6 所示,在防火墻“網(wǎng)絡(luò)”→“物理接口”選項(xiàng)中,設(shè)置端口Eth1、Eth2 為“Access”模式,其他配置同前所述。

圖6 設(shè)置端口為“Access”模式

2.Cisco 3560G 配置

Switch(config)#vlan 10 /定義VLAN 10Switch(config)#int GigabitEthernet0/2

Switch(config-if)# switchport accessvlan 10 /將交換機(jī)的第2端口劃分到VLAN 10中,接其他部門用戶的交換機(jī)。

Switch(config)#vlan 20 /定義VLAN 20Switch(config)#int GigabitEthernet0/24

Switch(config-if)# switchport accessvlan 20 /將交換機(jī)第24端口劃分到VLAN 20中,通過接內(nèi)網(wǎng)防火墻B互聯(lián)A部門用戶的中興交換機(jī),此時(shí)內(nèi)網(wǎng)防火墻B的Eth1口設(shè)置為Access模式。

Switch(config)#int GigabitEthernet0/1

Switch(config-if)# switchport modetrunk /交換機(jī)第1端口設(shè)置為Trunk模式

Switch(config-if)# switchport trunkencapsulation dot1q /交換機(jī)的第1端口封裝dot1q協(xié)議。通過接外網(wǎng)防火墻A互聯(lián)路由器,在路由器上設(shè)置VLAN 10和VLAN 20的子接口,為VLAN之間設(shè)置直接路由。

3. 中興ZXR10 2826S 配置

zte(cfg)#set vlan 20 en /定義VLAN 20zte(cfg)#set port 1-23 pvid 20 /將交換機(jī)1~23端口劃分到VLAN 20中。

zte(cfg)#set vlan 20 add port 1-23untag /設(shè)置VLAN 20在交換機(jī)的1~23端口之間數(shù)據(jù)交換不打標(biāo)簽,即將1~23端口設(shè)置為Access(交換)模式。其中,任意口都可以連接內(nèi)網(wǎng)防火墻B的Eth2口,此時(shí)內(nèi)網(wǎng)防火墻B的Eth2口設(shè)置為Access模式。

關(guān)鍵字:防火墻VLAN

本文摘自:《網(wǎng)管員世界》雜志社

電子周刊

企業(yè)網(wǎng)版權(quán)所有 ?2010-2024

京ICP備09108050號-6

回到頂部
^ 
    • <menuitem id="jw4sk"></menuitem>
        

            

              3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
              
主站蜘蛛池模板:
纳雍县|
南涧|
柳河县|
平泉县|
乌兰浩特市|
顺义区|
兴义市|
剑川县|
景宁|
澄迈县|
龙南县|
乌拉特后旗|
渑池县|
包头市|
清涧县|
虞城县|
高雄市|
东阳市|
和静县|
通许县|
蕲春县|
巴青县|
饶河县|
珠海市|
富平县|
嘉义县|
安图县|
穆棱市|
肃宁县|
新宾|
丹东市|
阿图什市|
元江|
犍为县|
福鼎市|
古浪县|
康平县|
西和县|
博白县|
奉节县|
文山县|