• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

7503交换机问题咨询

  • 0关注
  • 0收藏,1049浏览
vv1001 零段
粉丝:0人 关注:0人

问题描述:

我现在的组网方式是

4条电信宽带,2条固定IP,2条PPPOE,部署在服务器上面的软件防火墙OPNSENSE

服务器opnsense防火墙(互联网出口)防火墙LAN口配置10.10.254.1内网LAN口指向网关10.10.254.2(7503核心)---7503核心接口管理地址10.10.10.2---核心下面部署了ESXI7.0所有网口都是在核心交换机网络接口做了trunk配置。我现在的想法是想法出口防火墙部署在ESXI7.0上面,然后把4条互联网出口线路插在核心7503上面,做4个vlan2000 2001 2002 2003,4个外网端口配置4个access端口分别是vlan2000,2002,2003,2004,然后在虚拟机虚拟4个vlan的网络出来。然后由核心里面的esxi作为防火墙出口。虚拟机的防火墙内网口地址10.10.254.1网关指向核心10.10.254.2

不知道我这个想法是否可行,如果可行外网口的4个vlan都在核心,不知道是否有安全隐患。能否可以通过acl或者端口隔离来消除安全隐患。

组网及组网描述:


最佳答案

粉丝:167人 关注:1人

可以的,但是虚拟机的转发性能你要考虑好

好的。谢谢解答。

vv1001 发表时间:2023-05-03 更多>>

请问虚拟机是4口10G网卡,1个做迁移,另外3个10G跑业务,但是我担心安全问题,直接把外网口接入核心,不知道安全方面需要怎么考虑和设置了。

vv1001 发表时间:2023-05-02
回复vv1001:

交换机层面因为是透传,不存在安全问题,虚拟机上面的OPNSENSE设置好防护策略就行了

叫我靓仔 发表时间:2023-05-02

明白了。谢谢解答。

vv1001 发表时间:2023-05-02
回复vv1001:

不客气

叫我靓仔 发表时间:2023-05-02

请问4条宽带有必要划分4个vlan吗?

vv1001 发表时间:2023-05-02
回复vv1001:

必须4个vlan,这样才能在你的OPNSENSE虚拟机上分出4个接口一一对应

叫我靓仔 发表时间:2023-05-02

好的。谢谢解答。

vv1001 发表时间:2023-05-03
3 个回答
粉丝:6人 关注:0人

您的想法是可行的,可以通过VLAN和ACL来实现安全隔离。在ESXI7.0上部署防火墙,将4条互联网出口线路插在核心7503上面,做4个VLAN,然后将外网端口配置为4个access端口,分别对应VLAN2000、2001、2002、2003。虚拟机的防火墙内网口地址为10.10.254.1,网关指向核心10.10.254.2。

为了消除安全隐患,您可以通过ACL或端口隔离来限制不同VLAN之间的流量。例如,您可以配置ACL来允许VLAN2000和VLAN2001之间的通信,但禁止VLAN2000和VLAN2002之间的通信。或者,您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。

总之,通过VLAN和ACL或端口隔离,您可以实现安全隔离,保护您的网络安全

回复vv1001:

您可以通过建立两个隔离组来实现不同VLAN的端口隔离,一个隔离组包括四条互联网出口端口,另一个隔离组包括其他业主端口。在交换机上,您可以使用端口隔离功能将这些端口分配到不同的隔离组中。 关于Trunk端口,通常情况下,Trunk端口是用于将多个VLAN的数据流传递到其他设备上的端口。因此,Trunk端口通常不会被分配到隔离组中,而是被分配到其他组中,例如默认组(Default Group)或者Trunk组(Trunk Group)。这样可以确保Trunk端口能够正常传递不同VLAN的数据流,同时也能够实现端口隔离的目的

zhiliao_QPH7nl 发表时间:2023-05-05 更多>>

您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。 请问一下这个方案如何实现了。可否给我帮助文档。 谢谢!

vv1001 发表时间:2023-05-04

我是不是可以建立两个隔离组,四条互联网放一个组,其他业主端口放到另外一个隔离组,请问划分trunk端口是不是不能放到隔离组里面去了

vv1001 发表时间:2023-05-04
回复vv1001:

您可以通过建立两个隔离组来实现不同VLAN的端口隔离,一个隔离组包括四条互联网出口端口,另一个隔离组包括其他业主端口。在交换机上,您可以使用端口隔离功能将这些端口分配到不同的隔离组中。 关于Trunk端口,通常情况下,Trunk端口是用于将多个VLAN的数据流传递到其他设备上的端口。因此,Trunk端口通常不会被分配到隔离组中,而是被分配到其他组中,例如默认组(Default Group)或者Trunk组(Trunk Group)。这样可以确保Trunk端口能够正常传递不同VLAN的数据流,同时也能够实现端口隔离的目的

zhiliao_QPH7nl 发表时间:2023-05-05
vv1001 知了小白
粉丝:0人 关注:0人

您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。 请问一下这个方案如何实现了。可否给我帮助文档。 谢谢!

vv1001 知了小白
粉丝:0人 关注:0人

我是不是可以建立两个隔离组,四条互联网放一个组,其他业主端口放到另外一个隔离组,请问划分trunk端口是不是不能放到隔离组里面去了

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明