| Шифрование для обеспечения отказоустойчивости? |
Преподаватель
Вы можете этот курс.
Опубликован: 28.11.2014 | Уровень: для всех | Доступ: свободно
Лабораторная работа 4:
Сегментирование подсетей на основе port-based VLAN
< Лабораторная работа 3 || Лабораторная работа 4 || Лекция 4 >
Цель
Создать для разных отделов отдельные виртуальные сети без использования управляемых коммутаторов.
Топология
Предположим, что в организации есть два отдела А и В. Будем считать, физическую топологию сети требуется создать без использования управляемых коммутаторов, т.е. рабочие станции отделов подключаются непосредственно к lan-портам маршрутизатора. Для увеличения производительности широковещательного трафика между отделами не должно быть, также желательно иметь возможность фильтровать трафик между отделами.
Межсетевой Экран
Объекты Адресной Книги
Создать объекты с IP-адресами vlan-интерфейса и vlan-сети.
Веб-интерфейс:
Object -> Address Book -> Add -> Address Folder
Name vlan
Object -> Address Book -> vlan -> Add
Командная строка:
add Address AddressFolder vlan
cc Address AddressFolder vlan
add IP4Address vlan_30_ip Address=192.168.30.10
add IP4Address vlan_30_net Address=192.168.30.0/24
add IP4Address vlan_40_ip Address=192.168.40.10
add IP4Address vlan_40_net Address=192.168.40.0/24
VLAN-Интерфейс
Создать интерфейс vlan, связав его с lan-интерфейсом и указав VLAN ID.
Веб-интерфейс:
Interfaces -> VLAN -> Add
Командная строка:
add Interface VLANvlan_30 Ethernet=lan IP=vlan/vlan_30_ip Network=vlan/vlan_30_net VLANID=30
add Interface VLAN vlan_40 Ethernet=lan IP=vlan/vlan_40_ip Network=vlan/vlan_40_net VLANID=40
Далее следует указать номер порта коммутатора, на котором сконфигурирован данный vlan.
Веб-интерфейс:
Interfaces -> Switch Management
Поставить флаг Enable Port based VLAN.
В строке, соответствующей номеру порта, к которому подключен Ehternet-кабель, выбрать созданный vlan-интерфейс.
Командная строка:
set SwitchManagement Port1=vlan_30 Port2=vlan_30 Port3=vlan_40
Статическая маршрутизация
При необходимости следует добавить правило маршрутизации, если были изменены настройки по умолчанию.
Следует также проверить созданные маршруты.
Правила фильтрования
Добавить необходимые правила фильтрования, указав в качестве интерфейса и сети источника созданные интерфейсы и сети vlan, либо добавив созданные интерфейсы и сети vlan в необходимые группы интерфейсов и сетей. Для разрешения доступа в интернет достаточно добавить созданные интерфейсы и сети в уже существующие группы.
Веб-интерфейс:
Interfaces -> Interface Groups
Командная строка:
set Interface InterfaceGroup dns_relay_int Members=vlan_30,vlan_40
Веб-интерфейс:
Objects -> Address Book -> dns_relay -> dns_net
Командная строка:
set IP4Group dns_net Members=vlan/vlan_30_net, vlan/vlan_40_net
Веб-интерфейс:
Objects -> Address Book -> dns_relay -> dns_ip
Командная строка:
set IP4Groupdns_netMembers=vlan/vlan_30_ip, vlan/vlan_40_ip
Проверка конфигурации
< Лабораторная работа 3 || Лабораторная работа 4 || Лекция 4 >
