在前面pfSense配合三层交换机搭建小型办公网络(一)一文中,介绍了pfSense配合主流三层交换机使用路由模式机搭建企业办公网络的过程。本文将介绍使用交换机的交换模式配置VLAN,搭建企业办公网络的过程。
本方案使用的网络设备:Netgate XG-1541防火墙,华为S5720-36C-28S-AC交换机,网络拓扑如下:
本示例划分两个vlan,交换机vlan100的接口IP为192.168.111.1/23,vlan102的接口IP为192.168.76.1/24。防火墙vlan100接口地址192.168.111.2/23,vlan102接口地址192.168.76.2/24。交换机vlan接口开启DHCP。
交换机配置
1、交换模式
通过管理端口,进入交换机Web配置界面,点击顶部配置菜单,选择交换模式,实现不同的VLAN之间相互隔离并通过pfSense访问互联网。
2、下联接口
选择内网连接的端口,配置允许VLAN,本示例中,两个VLAN分别为100和102。单击右侧绿色的小勾确认。
3、上联接口
选中与pfSense防火墙连接的交换机端口,填写允许vlan,本例中为100,102,然后点击应用。
4、VLANIF
点击顶部的配置菜单,找到右侧的基本业务管理>VLAN,点击刚才创建的100和102两个vlan,分别创建接口地址,vlan100接口地址192.168.111.1,vlan102接口地址192.168.76.1。
5、启用DHCP
导航到配置>基本业务管理>DHCP菜单,在vlan接口上开启DHCP功能,如下图所示:
6、添加路由
导航到配置>基本业务管理>静态路由,为vlan100和vlan102添加指向pfSense防火墙的两条路由。
pfSense配置
1、配置VLAN
按正常步骤配置完成pfSense,然后导航到接口>VLAN,单击右侧的添加按钮,分别添加vlan100和102。父接口选择与交换机连接的下联端口。
添加完成后如下图所示:
2、设置接口
导航到接口>分配,找到刚才创建的两个VLAN端口,分别添加并启用。
vlan100添加为LAN1接口,IP地址设置为192.168.111.2,掩码为23。
vlan102添加为LAN2接口,IP地址设置为192.168.76.2,掩码为24。
设置完成后点击保存。
3、防火墙规则
导航到防火墙>规则策略,在新添加的两个接口LAN1和LAN2上,分别设置允许访问的防火墙规则(本示例中为多WAN接口,配置了故障转移和负载平衡)。注意源地址为any。
4、测试连接
在客户端电脑上进行测试,查看是否正常获取IP,在不同的VLAN接口上,获取的IP网段会不相同。
注意事项
如果pfSense是安装在ESXI虚拟机中,注意需要把连接交换机的网络端口VLAN ID设为4095,以放行所有的VLAN。
交换机的两种模式,对于pfSense防火墙的配置不完全相同,路由模式的配置对多个VLAN的管理相对更简单,如果VLAN数量不多,可以使用交换模式。两种模式比较,路由模式占用防火墙资源相对较少。
觉得内容不错?我要
