简要介绍一下背景,该网络由大约 10 个 VLAN 组成,通过 3 层交换机来处理 VLAN 间路由,以节省防火墙上的资源,同时提升网络访问性能。
以下为操作步骤:
- 为 3 层交换机上的每个 VLAN 接口创建 SVI
- 在 3 层交换机上启用 IP 路由
- 将 pfSense LAN 接口的上行链路端口配置为路由端口
- 在 pfSense 上添加访问 3 层交换机的回程路由
- 在 pfSense 上为每个网络添加防火墙 / NAT 规则
- 将第 3 层交换机上的默认路由指向 pfSense
注意: 在本示例中,交换机为 Cisco Catalyst 3560X,其他类型的交换机可参考。对于 Cisco,启用路由功能需要合适的 IOS 映像或许可证。
首先为 3 层交换机上的每个 VLAN 接口创建 SVI:
Switch(config)# interface Vlan3
Switch(config-if)# ip address 172.16.3.1 255.255.255.0
Switch(config)# interface Vlan4
Switch(config-if)# ip address 172.16.4.1 255.255.255.0然后在交换机上启用全局 IP 路由:
Switch(config)# ip routing然后配置从交换机到 pfSense LAN 接口的物理上行链路。对于离开第 3 层交换机(即访问 Internet)的流量,称为“中转”网络。有几种方法可以实现这一点,或者通过使用 SVI 创建专用 VLAN 接口,或者使用 no switchport 命令将物理交换机端口配置为路由端口,然后给它一个专用 IP 地址,本示例将使用这种方法。但在大多数情况下,通常建议对传输网络使用较小的子网掩码,例如 /30。
在本示例中,172.16.1.1 是 3 层交换机接口 IP 地址,172.16.1.2 是 pfSense LAN 接口地址。
Switch(config)# interface GigabitEthernet1/4
Switch(config-if)# description Routed Port to pfSsense LAN Interface
Switch(config-if)# no switchport
Switch(config-if)# ip address 172.16.1.1 255.255.255.252为了让 pfSense 接入网络,需要在 pfSense 上添加 3 层交换机的回程路由。进入 系统 > 路由管理 > 网关,单击“添加”输入 3 层交换机接口 IP 地址。
转到 系统 > 路由管理 > 静态路由,单击“添加”为第 3 层交换机上的 VLAN 添加静态路由,网关为 3 层交换机的接口地址。
为了让各个 VLAN 中的主机能够访问 Internet,必须在 pfSense 上为每个网络创建防火墙和出站 NAT 规则。导航到 防火墙 > NAT > 出站,检查现有规则。如果使用自动出站 NAT,pfSense 会自动添加出站规则,否则需要手动添加这些规则。
接下来导航到 防火墙 > 规则策略 > LAN 选项卡,为各个网络添加通行规则。
最后,在交换机上添加默认路由,以便各 VLAN 通过 pfSense 访问 Internet。在交换机上输入以下命令:
Switch(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.2现在,VLAN 间路由在第 3 层交换机上配置完成,每个 VLAN 网络上的主机都可以通过 pfSense 防火墙访问 Internet。
必须要注意的事项:
- 只能在 3 层交换机上创建 ACL(访问控制列表)来限制每个 VLAN 之间的流量,而不是在 pfSense 上使用防火墙规则来进行控制。
- 在 3 层交换机上添加其他的 VLAN SVI 时,需要同时在 pfSense 添加必要的静态路由和防火墙 / NAT 规则,以便启用 Internet 访问。
觉得内容不错?我要
