如果你的防火墙只有两个网络端口，但又要使用超过两个或更多的子网，不妨使用二层网管交换机，配合OPNsense的VLAN实现管理更多子网的目标。

创建新的VLAN接口

导航到“Interfaces > Other Types > VLAN”。单击“add”来添加新的VLAN。首先必须选一个父接口，这是VLAN应用的物理端口。如果你想使用多WAN线路，你可以选WAN所在的接口，如果想建立多个内部子网，选LAN所在的接口。在这之前，你应该在网管交换机上划分了正确的VLAN，并将不同的VLAN汇聚到了某一个端口上。输入与网管交换机对应的VLAN的标识，注意不能是数字1，选择VLAN的优先级，然后输入这个VLAN的简短描述。单击“保存”创建一个新的VLAN。在本例中，DMZ接口与LAN接口使用了同一块网卡igb2。

为VLAN分配新的逻辑接口。

选择父接口时，已经选择了VLAN的物理接口。选择“ New interface：”，然后选择我们刚才建立的VLAN，然后单击按钮“ +”。单击“保存”来保存更改。

该接口将显示在分配的接口列表中。如下图所示的“ OPT8”。显示为OPTX，具体取决于已经定义的接口数量。

它还将显示在导航面板的“接口”部分中：

启用VLAN接口

单击“ OPT8”接口后，便可以启用它，为其指定一个正确的接口名称。这里我们将接口命名为与VLAN相同的名称（DMZ），以方便记忆。如果是用于内部子网，一般情况下应该为VLAN选择“静态IPv4”地址，输入接口IP地址。

在VLAN接口上启用DHCP

启用VLAN接口后，我们可以在接口上启用DHCP服务，以便VLAN上的设备自动获取IP地址。转到 Services > DHCPv4 > DMZ，单击“在DMZ接口上启用DHCP服务器”复选框。然后输入希望VLAN中的客户端使用的IP地址范围。如下图所示，如果你希望使用其他网关或DNS服务器，可以在相应栏输入相应IP地址。

添加防火墙规则

我们已经创建并启用了新的VLAN，还需要设置防火墙规则才能让数据从VLAN中流出。默认情况下，新创建接口的所有网络流量都会被阻止。为了方便操作，我们可以克隆LAN接口上创建的基本规则。如下所示：反锁定规则（它可以避免将自己锁定在Web管理页面之外），允许所有IPv4规则和允许所有IPv6规则。只需要在LAN接口规则列表的右边，单击克隆图标进行操作：

将接口从LAN更改为VLAN接口，本例中为DMZ接口。另外，还需要将源更改为DMZ net，以允许该网络上的所有设备访问网络和Internet的其他部分，当然，你也可以根据自己设置VLAN的目的来进行规则的设置。

Cisco交换机上的VLAN配置

在OPNsense中完成VLAN配置后，还需要在网络交换机上进行Vlan中继配置。在本例中，我们使用Cisco Catalyst 2960交换机执行Vlan配置。登录交换机后台终端，使用configure terminal命令进入配置模式。

Switch>
Switch> enable
Switch# configure terminal

创建一个新的VLAN，选择一个标识号并添加简短描述。

Switch(config)# vlan 10
Switch(config-vlan)# name DMZ

Switch(config-vlan)# exit
进入接口配置模式，将Switch端口40设置为Trunk。添加授权VLAN列表以使用此中继。

Switch(config)# interface gigabitethernet0/40

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk native vlan 1

Switch(config-if)# switchport trunk allowed vlan add 1,10

Switch(config-if)# exit

Switch(config)# exit

在本例中，交换机端口40被配置为Trunk。允许以下VLAN将此端口用作中继：1和10。

Vlan 1是Cisco交换机的默认本地VLAN。配置完了以后别忘了保存交换机VLAN配置。

Switch# copy running-config startup-config
将OPNsense LAN接口连接到Cisco交换机端口40。来自Opnsense LAN接口的流量因为没有VLAN标识，将成为Cisco Switch本机VLAN 1的成员。来自Opnsense DMZ接口的流量具有VLAN标识10，将成为Cisco Switch VLAN 10的成员。

初学者1

1 年前

2023-3-16 9:37:02

你好博主，网络中只有一台OPNsense怎么做，我是有四个接口，同时接入两个网络，一个互联网，一个公司内网，配置两个不同的网段分别对应两个网络，是否需要在OPNsense上配置VLAN。

鉄血男兒
博主
初学者1

1 年前
2023-3-18 12:12:47

四个网口够用了，不需要配合交换机设置VLAN。

Nagi

4 月前

2023-12-21 18:11:54

您好博主，
我这里有个问题想向您请教一下，也是关于OPNsense的VLAN设置问题。
我的设备只有两个网口，其中igc0作为公网拨号的WAN口，igc1是内网LAN口。同时我还有一个MikroTik的三层交换机，在上面我设置了4个不同的VLAN，其中有一个VLAN是绑定在与OPNsense连接的网口上，和您文章中的例子应该是同一种结构，三层交换机上其他VLAN单独开启DHCP。
目前我碰到的问题是，我的OPNsense上的LAN口使用192.168.1.254作为接口地址，新建的VLAN接口的父接口是igc1，VLAN接口的地址是192.168.100.254，也设置了DHCP，我使用调试的电脑直接连接到网关设备相应的物理网口上，不能获取到VLAN分配的IP地址，获取到的是物理LAN口自身DHCP的192.168.1.0段的IP。如果关闭192.168.1.0段的DHCP，保留VLAN的DHCP，这时电脑是完全获取不到IP的。我不想更换一个拥有更多物理网口的设备，请问这种情况下是怎么操作。我看到您文章中VLAN创建使用的物理父接口上也是存在LAN的。

鉄血男兒
博主
Nagi

4 月前
2023-12-23 12:47:01

有三层交换机可以不用这么配置，请参考https://pfchina.org/?p=7822

发送评论编辑评论

初学者1

1 年前
2023-3-16 9:37:02

你好博主，网络中只有一台OPNsense怎么做，我是有四个接口，同时接入两个网络，一个互联网，一个公司内网，配置两个不同的网段分别对应两个网络，是否需要在OPNsense上配置VLAN。
- 鉄血男兒
  博主
  初学者1
  
  1 年前
  2023-3-18 12:12:47
  
  四个网口够用了，不需要配合交换机设置VLAN。
Nagi

4 月前
2023-12-21 18:11:54

您好博主，
我这里有个问题想向您请教一下，也是关于OPNsense的VLAN设置问题。
我的设备只有两个网口，其中igc0作为公网拨号的WAN口，igc1是内网LAN口。同时我还有一个MikroTik的三层交换机，在上面我设置了4个不同的VLAN，其中有一个VLAN是绑定在与OPNsense连接的网口上，和您文章中的例子应该是同一种结构，三层交换机上其他VLAN单独开启DHCP。
目前我碰到的问题是，我的OPNsense上的LAN口使用192.168.1.254作为接口地址，新建的VLAN接口的父接口是igc1，VLAN接口的地址是192.168.100.254，也设置了DHCP，我使用调试的电脑直接连接到网关设备相应的物理网口上，不能获取到VLAN分配的IP地址，获取到的是物理LAN口自身DHCP的192.168.1.0段的IP。如果关闭192.168.1.0段的DHCP，保留VLAN的DHCP，这时电脑是完全获取不到IP的。我不想更换一个拥有更多物理网口的设备，请问这种情况下是怎么操作。我看到您文章中VLAN创建使用的物理父接口上也是存在LAN的。
- 鉄血男兒
  博主
  Nagi
  
  4 月前
  2023-12-23 12:47:01
  
  有三层交换机可以不用这么配置，请参考https://pfchina.org/?p=7822