我现在的组网方式是
4条电信宽带,2条固定IP,2条PPPOE,部署在服务器上面的软件防火墙OPNSENSE
服务器opnsense防火墙(互联网出口)防火墙LAN口配置10.10.254.1内网LAN口指向网关10.10.254.2(7503核心)---7503核心接口管理地址10.10.10.2---核心下面部署了ESXI7.0所有网口都是在核心交换机网络接口做了trunk配置。我现在的想法是想法出口防火墙部署在ESXI7.0上面,然后把4条互联网出口线路插在核心7503上面,做4个vlan2000 2001 2002 2003,4个外网端口配置4个access端口分别是vlan2000,2002,2003,2004,然后在虚拟机虚拟4个vlan的网络出来。然后由核心里面的esxi作为防火墙出口。虚拟机的防火墙内网口地址10.10.254.1网关指向核心10.10.254.2
不知道我这个想法是否可行,如果可行外网口的4个vlan都在核心,不知道是否有安全隐患。能否可以通过acl或者端口隔离来消除安全隐患。
(0)
最佳答案
您的想法是可行的,可以通过VLAN和ACL来实现安全隔离。在ESXI7.0上部署防火墙,将4条互联网出口线路插在核心7503上面,做4个VLAN,然后将外网端口配置为4个access端口,分别对应VLAN2000、2001、2002、2003。虚拟机的防火墙内网口地址为10.10.254.1,网关指向核心10.10.254.2。
为了消除安全隐患,您可以通过ACL或端口隔离来限制不同VLAN之间的流量。例如,您可以配置ACL来允许VLAN2000和VLAN2001之间的通信,但禁止VLAN2000和VLAN2002之间的通信。或者,您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。
总之,通过VLAN和ACL或端口隔离,您可以实现安全隔离,保护您的网络安全
(0)
您可以通过建立两个隔离组来实现不同VLAN的端口隔离,一个隔离组包括四条互联网出口端口,另一个隔离组包括其他业主端口。在交换机上,您可以使用端口隔离功能将这些端口分配到不同的隔离组中。 关于Trunk端口,通常情况下,Trunk端口是用于将多个VLAN的数据流传递到其他设备上的端口。因此,Trunk端口通常不会被分配到隔离组中,而是被分配到其他组中,例如默认组(Default Group)或者Trunk组(Trunk Group)。这样可以确保Trunk端口能够正常传递不同VLAN的数据流,同时也能够实现端口隔离的目的
您可以将不同VLAN的端口隔离,确保它们之间不能直接通信。 请问一下这个方案如何实现了。可否给我帮助文档。 谢谢!
我是不是可以建立两个隔离组,四条互联网放一个组,其他业主端口放到另外一个隔离组,请问划分trunk端口是不是不能放到隔离组里面去了
您可以通过建立两个隔离组来实现不同VLAN的端口隔离,一个隔离组包括四条互联网出口端口,另一个隔离组包括其他业主端口。在交换机上,您可以使用端口隔离功能将这些端口分配到不同的隔离组中。 关于Trunk端口,通常情况下,Trunk端口是用于将多个VLAN的数据流传递到其他设备上的端口。因此,Trunk端口通常不会被分配到隔离组中,而是被分配到其他组中,例如默认组(Default Group)或者Trunk组(Trunk Group)。这样可以确保Trunk端口能够正常传递不同VLAN的数据流,同时也能够实现端口隔离的目的
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的。谢谢解答。