【高级篇 / System】(7.0) ❀ 03. 最外端准备一个可划VLAN的二层交换机 ❀ FortiGate 防火墙

已于 2022-08-03 16:58:44 修改
阅读量1.5k 收藏 6
点赞数 1
分类专栏: # System 文章标签: HA 主备 连线 二层交换机 VLAN
于 2021-10-22 10:58:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/120899735
版权
该博客介绍了如何利用Cisco交换机配置VLAN来解决双FortiGate防火墙的主备需求。通过创建不同的VLAN,将宽带线路和管理接口进行分离,确保每台防火墙都能接入相同宽带,并且管理接口被安全地集中管理。详细步骤包括创建VLAN、分配接口、设置IP地址等,以提高网络管理和安全性。
摘要由CSDN通过智能技术生成

  在机柜的最上排,我们配置了一个思科的交换机,这个交换机起什么作用呢?

 由于我们需要用两台FortiGate 500E的防火墙做主备,因此要求两台防火墙的所有连线都是双份,包括宽带和内网。宽带只有一根网线,无法同时接入两台防火墙,因此我们需要一台交换机,将宽带一分为二。如果有两条宽带的话,还需要划分VLAN。

 FortiGate防火墙和FortiSwitch交换机都有独立的MGMT管理口,我们可以将交换机多余的接口划分VLAN,统一接入所有设备的管理口,最终只有管理人员允许访问这个VLAN,也只有管理人员可以登录所有设备的MGMT管理口进行配置,大大提高了方便性和安全性。

 前面我们已经学习了通过思科路由器2811做终端服务器,可以在一个界面登录多台设备的终端,输入C1,进入交换机的配置界面。

  ① 思科交换机的初始登录界面,输入no。

    ② enable  //进入特权模式

  show vlan brief //查看VLAN信息,可以看到所有接口都在默认Vlan 1下。

     ③ config terminal  //进入全局配置模式

  vlan 10  //新建VLAN 10

  name Manager  //VLAN 10命令为Manager,用来连接设备管理口

  end  //结束

  ④ 用同样的方法,新建VLAN 20和VLAN 30,分别命名Wan1和Wan2,用来连接两条宽带。

   ⑤ interface range gi1/9/1-12  //选择接口范围1~12

  switchport mode access  //交换端口为接入层模式

  switchport access vlan 10  //将接口1~12分配给VLAN 10,也就是管理设备

  exit  //退出

  用同样的命令,将接口13~16分配为VLAN 20,将接口17~20分配给VLAN 30

  ⑥ 再次用show vlan brief命令查看VLAN,可以看到已经多出来10、20、30三个VLAN,而且已经分配好接口了。

  ⑦ 在某些场合,也有可能会对VLAN配置IP地址。

  config terminal  //进入全局配置模式

   interface vlan 10  //接口VLAN 10

   ip address 10.10.10.254 255.255.255.0  //给VLAN10 配置IP地址

   no shutdown  //激活端口

   exit  //退出

  ⑧ show ip interface brief  //显示接口IP地址,这里可以看到vlan10已经有IP地址了

 最终的连接效果,由于13~16是一个VLAN,因此分别接入电信宽带,再接出到两台防火墙,这样就将宽带流量一分为二了。同样17~20接入的是移动宽带,也分别接出到两台防火墙。这样每台防火墙都有相同的两条宽带了。

 两台防火墙上的宽带线及管理口线的连接就是这样的,都有接入到最上层的交换机。这样下一步就可以配置两台防火墙的HA主备了。

飞塔老梅子
关注
专栏目录
飞塔防火墙和paloalto防火墙构建ipsec
weixin_44675999的博客
07-15 1795
一、配置fortigate防火墙1.防火墙配置上网功能1.1配置fortigate的wan1接口IP为100.100.100.2/24VLAN交换internal,IP地址为192.168.156.99/24。开启DHCP分配IP地址范围为192.168.156.110-192.168.156.2101.2配置访问互联网的缺省路由1.3配置访问互联网的安全策略2.配置与Paloalto防火墙的IPSECVPN。
飞塔防火墙链路聚合配置-静态模式
最新发布
weixin_44675999的博客
06-06 700
edit “LAN”nextend。
Fortigate 防火墙如何配置VLAN功能
weixin_33896726的博客
08-18 1860
 场景: fortigate 200B防火墙一台,数台Cisco、H3C二层交换机。内网划分多个VLAN,由于之前设计的是每个VLAN 对应fortigate 200B防火墙一个物理口,这样内网VLAN达到一定数量后,就会受到防火墙物理口数量的限制。 因此需要启用防火墙VLAN功能,只使用一个物理口,类似于Cisco路由器中的单臂路由功能。 简单的网络结构如下图所示:       这里介...
【交换】11. 按接口划分 VLAN C3750-E CISCO 交换机
防火墙技术专栏
02-28 2376
我们可以在交换机里设置VLAN,通过将企业网络划分为虚拟的VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。若没有路由的话,不同VLAN之间不能相互通信,这样加强了企业网络中不同部门之间的安全性。...
交换机(二层)
dengshengli123的博客
01-17 4930
交换机原理1、术语口地址表(MAC地址表) : 记录存储的MAC地址和接口关系(就是交换机上的网口)。帧 : 二层交换的数据包。VLAN :虚拟局域网。2、数据交换原理 (要分析下交换机源码,确定当前原理可信度) MAC地址表构建 :以太网交换机了解每一口相连设备的MAC地址,并将地址同相应的口映射起 来存放在交换机缓存中的MAC地址...
飞塔防火墙实现跨VLAN管理AP
Helpdesk相关资料整理
05-20 341
防火墙:Fortigate 60FAP:FAP221E实施现场AP与防火墙不在同一VLAN下,防火墙无法发现AP,需要手动指定管理AC地址,也适用于正常连接无法发现AP的情况。以下为方法:1、先连接在同一Vlan下,防火墙发现AP后授权,进AP配置文件,勾选https,修改AP登录密码,登录密码必须设置8位以下2、Edge使用IE模式登录AP,添加静态AC地址,一般为防火墙管理IP3、再将AP安装到其他VLAN下即可,需保证VLAN互通。
FortiGate Security7.0配置手册.rar
06-11
FortiGate Security7.0配置手册.rar
飞塔 FortiGate 100D v6.2.12 build1319 防火墙最后一个版本
01-05
费老大的劲,才弄到FortiGate 100D 最后一个版本,v6.2.12 build1319
FortiGate NSE4 Security 安全 7.0全套中文课件教程
06-07
FortiGate_Sec_03_防火墙策略.pdf FortiGate_Sec_04_NAT.pdf FortiGate_Sec_05_防火墙认证.pdf FortiGate_Sec_06_日志记录和监控.pdf FortiGate_Sec_07_证书操作.pdf FortiGate_Sec_08_网页过滤.pdf FortiGate_Sec_...
Fortigate飞塔防火墙6.2虚机版本(VMware)FGT_VM64-v6-build0866-FORTINET.out.ovf
08-27
Fortigate飞塔防火墙6.2虚机版本(VMware) 最新VMware虚机版本,下载吧,很好的
华为VLAN实现防火墙
12-02
配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。
飞塔FortiGate防火墙固件镜像6.2.4_1112(FGT_50E-v6-build1112-FORTINET.out)升级包
05-21
飞塔防火墙固件镜像6.2.4_1112版本,适用于 FortiGate 50E. 发布时间为:2020年5月10号(FGT_50E-v6-build1112-FORTINET.out)
【接口 / Lan】(5.4) 01. 与交换机连接 (单臂路由) FortiGate 防火墙
防火墙技术专栏
03-10 1万+
我们知道交换机划分VLAN可以将大型网络划分为多个小网络,以使广播和组播流量不会占据更多的带宽。因为广播域缩小了,可以提供更高的网络段间安全性。划分VLAN后各VLAN之间的访问,就需要路由来完成,如果只有二层交换机,那么路由的工作就由路由器或具备路由功能的防火墙来完成了。...
【接口 / Lan】(5.6) 01. 内网接口设置 FortiGate 防火墙
防火墙技术专栏
02-14 1万+
飞塔防火墙内网接口默认为交换模式,所有接口共用一个IP,如果需要每个接口都独立设置IP,就需要改变接口的模式。
教程(5.4) 13. 虚拟域 FortiGate 安全 Fortinet 网络安全专家 NSE 4
防火墙技术专栏
11-22 2127
在本课程中将向你展示如何配置虚拟域(VDOM)和常见的使用示例。这个课程也涵盖了VLAN的配置。 在完成这一课程之后,你应该具备创建VDOM和VLAN所需的实用技能。你还将学习限制分配给每个VDOM的资源,并创建每个VDOM管理帐户。这一课还涉及到inter-VDOM连接。 在本节中,我们将探索虚拟局域网(VLAN)。 VDOM是一个在FortiGate内的虚拟化,提供虚拟防火墙。接口有VDOM...
实验(7.2) 16. 站对站安全隧道 - 通过聚合隧道走对方上网(FortiGate-IPsec) 远程访问
防火墙技术专栏
06-17 2193
前面所有实验基本上是由向导来完成的,只有隧道聚合实验是手动设置的。那么远程访问经常用到的走对方宽带上网功能,需要怎样手动配置呢?
实验(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) 远程访问
防火墙技术专栏
06-12 2612
前面我们实验的是FortiClient客户防火墙进行VPN连接,现在我们要做的实验是防火墙防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。
华为防火墙USG6309E开局基础配置之网络设置
baidu_31788709的博客
03-31 1万+
防火墙,实质上就是一台偏重于安全策略的交换机,或者说,更像是路由器,之所以如此说,是因为防火墙可以将IP设置等,直接设置在口上,而不必创建一个vlanif。 配置防火墙,他的基础就是网络要畅通,其次才能进行安全策略的配置,进行报文筛选,防火墙和路由器的配置极其相像,但是又有别于路由器,交换机。下面,将演示一遍华为防火墙的USG6309E的开局网络配置。 防火墙开局之网络配置一、登录防火墙(一)MGMT网管口登录(二)Console接口登录二、网络常规基本配置(一)划分vlan(二)路由配置三、防火墙特殊配
华为防火墙基本配置实例
热门推荐
weixin_45457085的博客
10-13 1万+
实验背景 : 一、trust区域:G1/0/0、G1/0/1接口下的设备划分到此区域 1、SW1与SW2做lacp链路聚合; 2、公司trust区域划分两个VLAN分别在交换层做MSTP,实现流量负载分担; 3、trust区域核心路由器层做双DHCP服务器做双备份,运行VRRP实现网关备份; 二、DMZ区域:G1/0/2接口下的设备划分到此区域 1、服务器做目的NAT允许untrust区域访问; 2、允许trust区域→DMZ区域的流量访问; 三、untrust区域:G1/0/3接口下的..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值