防火墙连接交换机
- 0关注
- 1收藏,1821浏览
问题描述:
网络架构如上图所示,网络中各VLAN的网关都在网络核心交换机上,服务器与监控核心的网关都在防火墙上,监控核心交换机目前只有一个VLAN40,但是这个网段的ip地址不够用了,需要新增一个网段,准备新增VLAN60,所有核心交换机都属于trust域,新增从网络这边可以ping通172.16.40.2(即监控核心交换机VLANip地址),无法ping通新增的vlan60ip地址,是不是监控这边核心网关设置在防火墙的。(当然前提是监控的流量不会影响到我网络这边,要隔离开,需要访问的时候才可以连接)。
我这边想出一个解决方案:就是将VLAN40,VLAN60网关都放在监控核心交换机上,再化一个VLAN70用来连接防火墙(access接口),不知道这样可不可以。如果这样可以的话,我是否需要在防火墙上配置回程路由
组网及组网描述:
- 2020-09-22提问
- 举报
-
(0)
最佳答案
如果只是扩大地址的话可以增加一个sub地址
比如vlan 40地址不够用了
可以这样 int vlan 40
ip address 192.168.60.1 255.255.255.0 sub
这个地址的话是基于vlan40的地址进行通信,如果vlan40的断了 这个也会断
- 2020-09-22回答
- 评论(4)
- 举报
-
(0)
不基于这个应该如何配置
你在核心监控交换机上新增了vlan60:172.16.60.2,直接加一条默认路由指向防火墙172.16.40.1,在核心交换机、核心监控交换机都加默认路由指向防火墙,让这些地址在防火墙进行中转就可以
我就是这样的,但是好像还是不可以
有没有试试再从防火墙上写回来的路由
您好,请知:
由于现网是已经通了,以下是新增的部署要点:
1、可以将VLAN 60放在监控核心交换机上,然后在原有的路由配置中将VLAN 60的IP地址段进行发布。
2、其次是看防火墙上是否能学习到VLAN 60的路由,能学习到了就根据情况看下是否要在安全策略或域间策略中进行放通。
3、如果防火墙上学习不到VLAN 60的路由,看下VLAN 60是否已经在监控核心上进行下发,且VLAN 60的状态是否为UP。
4、如果现网用的是静态路由,要看下防火墙上是否有配置路由指向到VLAN 60,如果没有,则要添加静态路由。
- 2020-09-22回答
- 评论(1)
- 举报
-
(0)
这个VLAN40的网关在防火墙上,不改这个VLAN150网段是无法发不出来的。是这样的吗?
这个VLAN40的网关在防火墙上,不改这个VLAN150网段是无法发不出来的。是这样的吗?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有没有试试再从防火墙上写回来的路由