設備:防火牆forti 101f
coreswitch cisco 3560 -24pf
core下面因預算問題會接一般hub
防火牆上設定對接介面ip 192.168.10.1
需要做3個vlan,其中vlan30跟vlan10及20不通,但三個vlan又要通過同一台防火牆上網。
switch的設定如下,要透過第24port連到firewall,但目前只有同為vlan10的會通,想請教一下各位,還有其他解法嗎?
hostname Switch
!
!
!
!
ip dhcp pool 10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 8.8.8.8
ip dhcp pool 20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 8.8.8.8
ip dhcp pool 30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.254
dns-server 8.8.8.8
!
!
ip routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
mac-address 00e0.8f09.ac01
ip address 192.168.10.254 255.255.255.0
!
interface Vlan20
mac-address 00e0.8f09.ac02
ip address 192.168.20.254 255.255.255.0
!
interface Vlan30
mac-address 00e0.8f09.ac03
ip address 192.168.30.254 255.255.255.0
ip access-group vlan30_only in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 192.168.10.0 255.255.255.0 192.168.10.1
ip route 192.168.20.0 255.255.255.0 192.168.10.1
ip route 192.168.30.0 255.255.255.0 192.168.10.1
!
ip flow-export version 9
!
!
ip access-list extended vlan30_only
deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
!
end
我到底看了什麼, 有防火牆FORTI竟然還在SWITCH上搞ACL?
你家有電有媒氣旦卻只會用鑽木取火?
你應該在SWITCH上建立VLAN 10 20 30
防火牆也一樣把10 20 30 TAG上接到CISCO的口上
CISCO 24口接防火牆, [其實應該改用 GigabitEthernet0/1 =.=], 還用100M的麼?
指令改成如下:
switchport mode trunk
switchport trunk allow vlan all
這樣一來就可以在防火牆上做控制了
十分抱歉傷了你的眼睛QQ
因為想要試著讓內部網路設備在L3上做交換就好,不多經過防火牆,所以才在L3上做設定
之前有做過其他設定也是如您建議的,架構是防火牆->core->L2switch
交換在防火牆上做,但被反應說如此作法L3根本無用處,所以開始調整練習在L3上做
因為小弟是自學的,兩種做法都見過,不確定哪種才是正規作法,若L3上做交換是非正規作法,我會再調整回原先設定方法
L3的根本用處不是這樣子-.-
你這種設計比較適合備份的功能
比如備份源跟備份儲存區在兩個VLAN
用L3交換機就會達到最佳表現, 是可取的
旦備份源應該是另外再有一個網口去接上網的.
甚至根本不能上網
而不是用L3交換機來路由上網
今日設計上, 一般正常的L3是應該要經過FIREWALL
經過FIREWALL才有UTM SCANNING, 才能好好保護自己
再說, 你知道reflexive ACL嗎?
別再用這種普ACL了, 很過時了
來回都做一次POLICY很好玩嗎=.=?
下邊mytiny也說出重點了,
多數網路運作都在防護內網VLAN互相感染
因為用了L3交換機而不是L3防火牆
被反應說如此作法L3根本無用處
是因為你那位"導師"不懂網路
L3在FIREWALL不就是在用了嗎?
更不懂資安
可別聽這種上一個時代的人的話太多喔, 會出問題的.
其實也不是說非正規啦...都要看你的環境跟評估
你如果練習的話,兩種都可以試試
只是有Forti的話,在上面切vlan,網段做policy控管跟UTM會簡單方便很多
coreswitch的ACL,有的時候規則一多也是很卡
會考慮的點是怕L3流量都由Forti來經手,會不會有瓶頸問題
現今Forti資安鐵三角都是走這種架構
感謝各位指教,我大概知道該如何改善了,非常謝謝大家的建議
但目前只有同為vlan10的會通
請說明清楚哪裡通哪裡不通
如果vlan間會通,但不能上網
表示core設定正常
但防火牆沒有設好
另外現在多數網路運作都在防護內網VLAN互相感染
所以不是L2/L3的關係
而是經過防火牆才能做資安管控
架構規劃與設計通常是SI的應有服務
樓主是否該要求SI提供相關技術
不然設備買了就只是當擺飾哦