【简介】大多数企业都会配备三层交换机,通过划分VLAN更好的管理内部网络,三层交换机功能强大,本身带路由功能,可以控制VLAN之间的互相访问,这里要介绍的是三层交换机与防火墙连接上网。
回程路由
在没有等动态路由的情况下,数据从交换机到达防火墙的时候,交换机必须知道如何到达防火墙,所以交换机上要配置到达防火墙的路由。
当交换机的数据包到达防火墙,防火墙需要做出回应,所以防火墙要知道如何到达交换机,因此防火墙必须有到达交换机的路由,也就是回程路由。
交换机端口设置
交换机连接防火墙的接口,必须配置为三层接口,并设定IP地址,开启路由。
① 这里以思科三层交换机为例,配置第24口连接防火墙。
(1) configure terminal命令进入全局配置模式。
(2) interface命令进入第24接口配置。
(3) description命令标注接口的作用是连接互联网的。
(4) no switchport命令把接口转换成三层可路由接口。
(5) ip address命令给接口配置IP地址和子网掩码。
② ip routing命令为VLAN间路由启用IP路由功能,ip route命令以防火墙连三层交换机的接口IP地址为下一跳,允许通过这个地址访问互联网。
防火墙接口设置
交换机的路由接口配置完后,将网线接入24口,另一头接入飞塔防火墙接口,防火墙接口的IP地址要和交换机24口的IP在同一网段。
① 防火墙的Internal1接口,用来连接思科三层交换机,防火墙接口IP地址172.20.1.1,交换机接口IP172.20.1.254。
② 防火墙的internal1接口是允许访问互联网的。
③ 三层交换机访问防火墙,需要配置回程路由,也就是数据返回交换机时应该走哪个接口哪个网关,当访问172.16.0.0网段时,数据走internal1接口,网关IP是交换机路由接口的IP地址。
④ 三层交换机有几个网段,回程路由也就要建几条。
VLAN互访及上网测试
将电脑接入三层交换的不同接口,自动获取或手动设置IP地址、子网掩码、网关和DNS,然后Ping包测试。
① 测试结果,交换机上172.18.2.0网段可以通过交换机第24口经飞塔防火墙internal1接口上网。
飞塔技术-老梅子 QQ:57389522