求教关于防火墙三层交换机相连网络问题!!!
如拓扑图所示PC1访问服务器需要经过如下路径
1.交换机f0/0划入VLAN 10,f0/3划入VLAN20
2.数据通过f0/0口进入三层交换机,从三层交换机f0/1出去进入防火墙f0/1端口,经过防火墙过滤后从防火墙f0/2口出去到达三层交换机f0/2口,进入交换机VLAN 20,再通过交换机f0/3转发到服务器,服务器到PC所走路径同上相反
请问是否可以实现?实现应该怎么配置?
可否有另外的网络连接方式?只要能让PC数据通过防火墙过滤后再进入到服务器都可以!!!!
急求!!!!! 就剩这么多分了全给了 谢谢啦!!!
不过三层交换机这里只能当成2层使用,即连接firewall的两个口需要配置成2层接口追问
配置成二层接口是要和图中F0/3一样加入VLAN 配置VLANip吗?
追答不需要,你只要把firewall的接口配置成access vlan接口,注意client不要把网关设置为layer3的svi接口。
比如你的vlan 10是firewall的outside
vlan 20是firewall的inside
那么你server的接入口也需要配置成access vlan 20
如果你的firewall是router模式(默认)则你server的网关应该指向firewall的inside的接口地址。
好像还是不行 ,我这个做的是简易的拓扑,真实情况是有6个网段需要从防火墙F0/0口进去,如果只有一个网段的话这个方法确实可行。
有其他解决方法吗?
请问你说的网段是服务器端还是客户端?如果只是一端的话还是可以实现的。、
实现方法如下:
1. 交换的f0/1口使用3层接口
2. f0/2仍然使用2层口
3. 在你的交换机上加条去往server的明细路由(如果你的client的网关是设置在各自的svi接口上的),其下一跳地址为firewall outside地址
4. server端的接口仍然和f0/2配置在同一个vlan中
5. server端的网关设置为防火墙的inside接口地址
6. 交换机上不能配置服务器vlan 的svi接口。
2、f0/2口改成VLAN 20
3、三层交换机NO IP ROUTING
4、关闭三层交换机SVI
最好的方法就是准备2台交换机,一台汇聚pc,一台汇聚服务器,这样vlan都不用划了追问
我这个图是简易的,真实情况是有6个网段需要从防火墙F0/0口进去,再加上服务器需要1个网段,共需要划分7个VLAN,这样的话应该如何实现? 我折腾了好几天了都没好。。
追答既然是其他网段要访问服务器网段,你只需要把你的防火墙架设在你的服务器汇聚交换机到服务器网关设备之间就可以了,也就是控制你的服务器出口,其他网段的数据必须要经过网关的转发才能到达服务器,
直接把Firewall放在交换机与服务器之间不就可以了。追问
防火墙端口不够用 服务器有好几台。。