多VLAN環(huán)境下防火墻配置

引言：運(yùn)用VLAN技術(shù)可提高網(wǎng)管效率和安全性，隨著支持VLAN的防火墻廣泛應(yīng)用，使得網(wǎng)管能力更強(qiáng)，更加靈活便捷。以下就以筆者單位工作中防火墻跨VLAN管理為例，為大家做詳細(xì)介紹。

運(yùn)用VLAN技術(shù)可提高網(wǎng)管效率和安全性，隨著支持VLAN的防火墻廣泛應(yīng)用，使得網(wǎng)管能力更強(qiáng)，更靈活便捷。以下筆者就以筆者單位工作中防火墻跨VLAN管理為例做詳細(xì)介紹。

需求分析

隨著信息化進(jìn)程的加速，單位構(gòu)建了跨城區(qū)多區(qū)域信息網(wǎng)絡(luò)（如 圖 1所 示）。 中 興ZXR10 T40G為企業(yè)核心區(qū)域交換機(jī)，在各分支機(jī)構(gòu)部署了可網(wǎng)管三層交換機(jī)。為方便管理，總部對部門及下級單位通過VLAN進(jìn)行業(yè)務(wù)劃分，取得了較好效果。但隨著業(yè)務(wù)的發(fā)展，因下級單位的業(yè)務(wù)服務(wù)逐步融合交叉，導(dǎo)致原有網(wǎng)絡(luò)結(jié)構(gòu)的安全控制功能不強(qiáng)，難以實(shí)現(xiàn)精細(xì)化的管控。為解決這些問題，單位將聯(lián)想網(wǎng)御防火墻部署到網(wǎng)絡(luò)中，方便對各區(qū)域網(wǎng)絡(luò)業(yè)務(wù)功能進(jìn)行精確控制。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)淙鐖D1所示，ZXR10 T40核心交換機(jī)劃分多個VLAN，其中VLAN20、VLAN21對應(yīng)下級單位1的網(wǎng)段，VLAN30對應(yīng)下級單位2的網(wǎng)段，VLAN10為本級內(nèi)網(wǎng)段。本單位特殊通信服務(wù)(以下簡稱TSTX服務(wù))要求網(wǎng)絡(luò)區(qū)段間的訪問規(guī)則必須滿足以下規(guī)則：1.防火墻默認(rèn)策略為禁止。2.VLAN20和VLAN21之間允許TSTX服 務(wù)。3.VLAN10對VLAN20、VLAN21、VLAN30允許TSTX服務(wù)。

配置方案

由于最初未考慮到下級單位1中有兩個VLAN，TSTX服務(wù)需要跨VLAN，所以在配置防火墻時只是添加了地址段，并對防火墻端口進(jìn)行進(jìn)出流控制，最終導(dǎo)致下級單位1的VLAN20和VLAN21之間不能正常使用TSTX服務(wù)。經(jīng)過分析認(rèn)為必須在防火墻中創(chuàng)建VLAN設(shè)備，并對VLAN設(shè)備進(jìn)行策略配置，才能使下級單位1中的兩個VLAN間正常使用TSTX服務(wù)。為此，規(guī)劃以下配置方案：

1.Fe1連接下級單位1交換機(jī)的TRUNK口， IP地址為192.168.100.1，掩碼為255.255.255.0。

2.創(chuàng) 建VLAN設(shè) 備Fe1.20，綁定設(shè)備 Fel，VLAN ID 為“20”，工作在“路由模式”，IP地址為 192.168.10.1，掩碼為255.255.255.0。

3.創(chuàng) 建VLAN設(shè) 備Fe1.21，綁 定設(shè) 備 Fel，VLAN ID為“21”，工 作 在“路由 模 式”，IP地 址 為192.168.11.1，掩碼為255.255.255.0，如圖 2所示。

4.FE2連接下級單位2交換機(jī)的TRUNK口，IP 地 址 為 192.168.200.1，掩碼為255.255.255.0。

5.FE3接到核心交換機(jī) ZXR10 T40G，IP地址 為172.16.1.1，掩 碼 為255.255.255.0。

6.VLAN20網(wǎng) 關(guān) 為192.168.10.1， VLAN21網(wǎng) 關(guān) 為 192.168.11.1，VLAN30網(wǎng) 關(guān) 為192.168.20.1。

圖2 創(chuàng)建VLAN設(shè)備

圖3 添加包過濾規(guī)則

操作流程與步驟

首先添加地址資源：

1.VLAN20_NET為 ：192.168.10.0，掩 碼 為255.255.255.0。

2.VLAN21_NET為 ：192.168.11.0，掩 碼 為255.255.255.0。

3.VLAN30_NET為 ：192.168.20.0，掩 碼 為255.255.255.0。

4.VLAN10_NET為 ：172.16.1.0，掩 碼 為255.255.255.0。

其次配置訪問策略：

1.添加包過濾規(guī)則：源地址VLAN20_NET，目的地址VLAN21_NET，服務(wù)TSTX，動作為允許，如圖3所示。

2.添加包過濾規(guī)則：源地址VLAN21_NET，目 的 地 址VLAN20_NET，服 務(wù)TSTX，動作為允許。

3.添加包過濾規(guī)則：源地址VLAN10_NET，目 的 地 址VLAN20_NET，服 務(wù)TSTX，動作為允許。

4.添加包過濾規(guī)則：源地址VLAN10_NET，目的地址VLAN21_NET，服務(wù)TSTX，動作為允許。

5.添加包過濾規(guī)則：源地 址 VLAN10_NET，目 的地 址 VLAN30_NET，服 務(wù)TSTX，動作為允許。

通過對防火墻內(nèi)VLAN設(shè)備和訪問規(guī)則的配置，實(shí)現(xiàn)了本單位專用服務(wù)功能要求，有效解決了跨多個VLAN訪問控制問題。其他應(yīng)用規(guī)則的配置可依此類推，實(shí)現(xiàn)防火墻精準(zhǔn)控制功能的靈活運(yùn)用。