问题描述:
我现在的组网方式是
4条电信宽带,2条固定IP,2条PPPOE,部署在服务器上面的软件防火墙OPNSENSE
服务器opnsense防火墙(互联网出口)防火墙LAN口配置10.10.254.1内网LAN口指向网关10.10.254.2(7503核心)---7503核心接口管理地址10.10.10.2---核心下面部署了ESXI7.0所有网口都是在核心交换机网络接口做了trunk配置。我现在的想法是想法出口防火墙部署在ESXI7.0上面,然后把4条互联网出口线路插在核心7503上面,做4个vlan2000 2001 2002 2003,4个外网端口配置4个access端口分别是vlan2000,2002,2003,2004,然后在虚拟机虚拟4个vlan的网络出来。然后由核心里面的esxi作为防火墙出口。虚拟机的防火墙内网口地址10.10.254.1网关指向核心10.10.254.2
不知道我这个想法是否可行,如果可行外网口的4个vlan都在核心,不知道是否有安全隐患。能否可以通过acl或者端口隔离来消除安全隐患。
组网及组网描述:
- 2023-05-02提问
- 举报
-
(0)
您的想法是可行的,可以通过VLAN和ACL来实现安全隔离。在ESXI7.0上部署防火墙,将4条互联网出口线路插在核心7503上面,做4个VLAN,然后将外网端口配置为4个access端口,分别对应VLAN2000、2001、2002、2003。虚拟机的防火墙内网口地址为10.10.254.1,网关指向核心10.10.254.2。
为了消除安全隐患,您可以通过ACL或端口隔离来限制不同VLAN之间的流量。例如,您可以配置ACL来允许VLAN2000和VLAN2001之间的通信,但禁止VLAN2000和VLAN2002之间的通信。或者,您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。
总之,通过VLAN和ACL或端口隔离,您可以实现安全隔离,保护您的网络安全
- 2023-05-03回答
- 评论(3)
- 举报
-
(0)
您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。 请问一下这个方案如何实现了。可否给我帮助文档。 谢谢!
我是不是可以建立两个隔离组,四条互联网放一个组,其他业主端口放到另外一个隔离组,请问划分trunk端口是不是不能放到隔离组里面去了
您可以通过建立两个隔离组来实现不同VLAN的端口隔离,一个隔离组包括四条互联网出口端口,另一个隔离组包括其他业主端口。在交换机上,您可以使用端口隔离功能将这些端口分配到不同的隔离组中。 关于Trunk端口,通常情况下,Trunk端口是用于将多个VLAN的数据流传递到其他设备上的端口。因此,Trunk端口通常不会被分配到隔离组中,而是被分配到其他组中,例如默认组(Default Group)或者Trunk组(Trunk Group)。这样可以确保Trunk端口能够正常传递不同VLAN的数据流,同时也能够实现端口隔离的目的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
请问虚拟机是4口10G网卡,1个做迁移,另外3个10G跑业务,但是我担心安全问题,直接把外网口接入核心,不知道安全方面需要怎么考虑和设置了。
交换机层面因为是透传,不存在安全问题,虚拟机上面的OPNSENSE设置好防护策略就行了
明白了。谢谢解答。
不客气
请问4条宽带有必要划分4个vlan吗?
必须4个vlan,这样才能在你的OPNSENSE虚拟机上分出4个接口一一对应
好的。谢谢解答。