SecPath UTM 跨VLAN二层转发的典型配置

SecPath UTM 跨VLAN二层转发的典型配置

一．用户需求

   某公司内网用户PC1与PC2处于同一网段、但不相同的VLAN中，在此中间加入我司UTM设备作为二层模式使用，实现PC1与PC2之间跨VLAN的访问控制。

二．组网图

三．配置步骤

1.交换机配置：

#

interface GigabitEthernet1/0/1  //将PC1划入VLAN 102

 port access vlan 102

#

interface GigabitEthernet1/0/10 //将PC2划入VLAN 103

 port access vlan 103

#

interface GigabitEthernet1/0/16 //配置与UTM互连接口

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 102 to 103 

#

2.UTM命令行配置:

#

vlan 102 to 103

#

vlan 1000   

#

interface GigabitEthernet0/1

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 102 to 103

#

3.UTM WEB配置：

  在导航栏中选择“设备管理 > 接口管理”界面，新建二层子接口GE0/1.102和GE0/1.103。

  在导航栏中选择“网络管理 > VLAN > VLAN”,将接口GE0/1.102和GE0/1.103都加入VLAN 1000。

  在导航栏中选择“设备管理 > 安全域”，将GE0/1和GigabitEthernet0/1.102加入Trust安全域（所属vlan应包含1000）；将GigabitEthernet0/1.103加入Untrust安全域（所属vlan 应包含1000）；

4.PC1与PC2 IP配置：

  PC1：192.168.2.10/24

  PC2：192.168.2.11/24

（1）从PC1 Ping PC2地址：192.168.2.10，得到结果A；

（2）从PC2 Ping PC1地址：192.168.2.11，得到结果B；

（3）再将GigabitEthernet0/1加入Untrust域后，PC1 ping PC2，得到结果C；

（4）UTM 删除vlan 1000，只有vlan 102 103，PC1 Ping PC2，得到结果D；

（5）UTM 删除vlan 102 103，只有vlan 1000，PC1 Ping PC2，得到结果E；

四．验证结果

 A、PC1能够 Ping通PC2；

 B、PC2不能够Ping通PC1；（PC2处于untrust安全域，PC1处于trust安全域，trust域优 先级高于untrust域优先级）

 C、PC1能够 Ping通PC2；（物理口工作在桥模式，使用二层子接口实现跨vlan转发，出入报文域由二层子接口所在安全域确定，将GigabitEthernet0/1加入untrust域不影响互通）

 D、PC1能够 Ping通PC2；（删除vlan1000后，子接口GE0/1.102，GE0/1.103默认属于vlan1，所以流量能通过）

 E、PC1不能够Ping通PC2；（vlan不存在，无法建立二层转发表）

 F、PC1 能够 ping通PC2。

五．注意事项

（1）配置跨Vlan二层转发，要保证存在与二层子接口ID相同的Vlan才能正常转发；

（2）物理口工作在桥模式，使用二层子接口实现跨vlan转发，出入报文域由二层子接口所在安全域确定，不受物理口所在安全域的影响；

（3）跨Vlan二层转发，加入安全域的子接口的Vlan范围要包含子接口的PVID，才能通流量；

（4）子接口下若不配置vlan，则PVID为1 ，在设置加入域的Vlan范围时要包含v lan 1；

（5）跨Vlan二层转发，不要将子接口PVID配置为和子接口ID相同，否则可能下游交换机MAC学习会产生问题，该问题已列为缺陷。