多VLAN環境下防火墻配置

引言：運用VLAN技術可提高網管效率和安全性，隨著支持VLAN的防火墻廣泛應用，使得網管能力更強，更加靈活便捷。以下就以筆者單位工作中防火墻跨VLAN管理為例，為大家做詳細介紹。

運用VLAN技術可提高網管效率和安全性，隨著支持VLAN的防火墻廣泛應用，使得網管能力更強，更靈活便捷。以下筆者就以筆者單位工作中防火墻跨VLAN管理為例做詳細介紹。

需求分析

隨著信息化進程的加速，單位構建了跨城區多區域信息網絡（如 圖 1所 示）。 中 興ZXR10 T40G為企業核心區域交換機，在各分支機構部署了可網管三層交換機。為方便管理，總部對部門及下級單位通過VLAN進行業務劃分，取得了較好效果。但隨著業務的發展，因下級單位的業務服務逐步融合交叉，導致原有網絡結構的安全控制功能不強，難以實現精細化的管控。為解決這些問題，單位將聯想網御防火墻部署到網絡中，方便對各區域網絡業務功能進行精確控制。

圖1 網絡拓撲

網絡拓撲如圖1所示，ZXR10 T40核心交換機劃分多個VLAN，其中VLAN20、VLAN21對應下級單位1的網段，VLAN30對應下級單位2的網段，VLAN10為本級內網段。本單位特殊通信服務(以下簡稱TSTX服務)要求網絡區段間的訪問規則必須滿足以下規則：1.防火墻默認策略為禁止。2.VLAN20和VLAN21之間允許TSTX服 務。3.VLAN10對VLAN20、VLAN21、VLAN30允許TSTX服務。

配置方案

由于最初未考慮到下級單位1中有兩個VLAN，TSTX服務需要跨VLAN，所以在配置防火墻時只是添加了地址段，并對防火墻端口進行進出流控制，最終導致下級單位1的VLAN20和VLAN21之間不能正常使用TSTX服務。……