山石网科Hillstone防火墙VLAN接口配置方案（官新版）（山石防火墙子接口配置）

山石网科Hillstone防火墙VLAN接口配置方案（官新版）（山石防火墙子接口配置）

1. 需求分析

首先，VLAN接口是三层接口。VLAN接口是VLAN内所有设备对外通信的出口，通常情况下，VLAN接口的IP地址为VLAN内网络设备的网关地址。当内网交换机配置有VLAN类型接口，防火墙作为网关，VLAN流量经过防火墙，防火墙会对VLAN流量进行处理，处理过程包括解标签、打标签及转发。Hillstone防火墙支持配置VLAN类型接口，部分防火墙若不支持VLAN接口，可使用子接口方式代替VLAN接口，以达到同样效果。

2. 解决方案

2.1 组网拓扑

2.2 配置

2.2.1 方式一：配置VLAN接口

【交换机配置】

配置交换机 vlan 列表和划分 vlan

switch(config)# vlan 10switch(config-vlan)# exitswitch(config)# vlan 20switch(config-vlan)# exitswitch(config)# vlan 30switch(config-vlan)# exitswitch(config)# interface ethernet0/0switch(config-if-eth0/0)# switchmode access vlan 10switch(config-if-eth0/0)# interface ethernet0/1switch(config-if-eth0/1)# switchmode access vlan 20switch(config-if-eth0/1)# interface ethernet0/4switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30switch(config-if-eth0/4)# exit

【防火墙配置】

Configuration:vlan 10exitvlan 20exitvlan 30exitinterface vlan10zone "trust"ip address 192.168.10.1 255.255.255.0exitinterface vlan20zone "trust"ip address 192.168.20.1 255.255.255.0exitinterface vlan30zone "trust"ip address 192.168.30.1 255.255.255.0exitinterface ethernet0/0switchmode trunk vlan 10switchmode trunk vlan 20switchmode trunk vlan 30Exit

2.2.2 方式二：配置子接口

【交换机配置】

配置交换机 vlan 列表和划分 vlan

switch(config)# vlan 10switch(config-vlan)# exitswitch(config)# vlan 20switch(config-vlan)# exitswitch(config)# vlan 30switch(config-vlan)# exitswitch(config)# interface ethernet0/0switch(config-if-eth0/0)# switchmode access vlan 10switch(config-if-eth0/0)# interface ethernet0/1switch(config-if-eth0/1)# switchmode access vlan 20switch(config-if-eth0/1)# interface ethernet0/4switch(config-if-eth0/4)# switchmode trunk vlan 10,20,30switch(config-if-eth0/4)# exit

【防火墙配置】

Configuration:interface ethernet0/1.10zone "trust"ip address 192.168.10.1 255.255.255.0manage pingexitinterface ethernet0/1.20zone "trust"ip address 192.168.20.1 255.255.255.0manage pingexitinterface ethernet0/1.30zone "trust"ip address 192.168.30.1 255.255.255.0manage pingexit

2.3 配置结果

验证两个 vlan 间的互通。正常策略 interface vlan 接口或子接口间的安全策略放行后即可互通。​​​​

​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。