在前面pfSense配合三层交换机搭建小型办公网络(一)一文中,介绍了pfSense配合主流三层交换机搭建中小型企业办公网络的过程,在该文章中,使用了交换机的路由功能来实现多VLAN的配置。在本篇文章中,将介绍使用交换机的交换模式来配置VLAN,搭建企业办公网络的过程。
本方案使用的网络设备:Netgate XG-1541防火墙,华为S5720-36C-28S-AC交换机,网络拓扑如下:
本示例划分两个VLAN,交换机VLAN100的接口IP为192.168.111.1/23,VLAN102的接口IP为192.168.76.1/24。pfSense防火墙VLAN100接口地址为192.168.111.2/23,VLAN102的接口地址为192.168.76.2/24。在交换机上开启对应VLAN接口的DHCP。
配置交换机
1、选择交换机模式
通过管理端口,进入交换机Web配置界面,点击顶部配置菜单,选择交换模式,实现不同的VLAN之间相互隔离。
2、配置下行设备接口
选择内网连接的端口,配置允许VLAN,本示例中,两个VLAN分别为100和102。单击右侧绿色的小勾确认。
3、配置上行网关接口
选中与pfSense防火墙连接的交换机端口,填写允许的VLAN,本例中为100,102,然后点击应用。
4、设置VLANIF接口地址
点击顶部的配置菜单,找到右侧的基本业务管理>VLAN,点击刚才创建的100和102两个VLAN,分别创建接口地址,其中,VLAN100接口地址为192.168.111.1,VLAN102接口地址为192.168.76.1。
5、启用DHCP
导航到配置>基本业务管理>DHCP菜单,开启两个VLAN接口的DHCP功能,如下图所示:
6、添加路由
导航到配置>基本业务管理>静态路由,为VLAN100和VLAN102添加指向pfSense防火墙的两条路由。
配置pfSense
1、配置VLAN
按正常步骤配置完成pfSense,然后导航到接口>VLAN,单击右侧的添加按钮,分别添加VLAN100和102。注意这里的父接口选与交换机连接的网络端口。
添加完成后如下图所示:
2、设置接口
导航到接口>分配,找到刚才创建的两个VLAN端口,分别添加并启用。
端口VLAN100创建LAN1接口,IP地址设置为192.168.111.2,掩码为23。
端口VLAN102创建LAN2接口,IP地址设置为192.168.76.2,掩码为24。
设置完成后点击保存。
3、添加防火墙规则
导航到防火墙>规则策略,在新添加的两个接口LAN1和LAN2上,分别设置允许访问的防火墙规则。本示例中为多WAN接口,可能与你的配置不尽相同。注意源地址必须为any,不能为LAN1 NET或LAN2 NET。
4、测试连接
在客户端电脑上进行测试,查看是否正常获取IP,在不同的VLAN接口上,获取的IP网段会不相同。
其他
如果pfSense是安装在ESXI虚拟机中,注意需要把连接交换机的网络端口VLAN ID设为4095,以放行所有的VLAN。
交换机的两种模式,对于pfSense防火墙的配置不完全相同,路由模式的配置对多个VLAN的管理相对更简单,如果VLAN数量不多,也可以使用交换模式。两种模式比较,路由模式占用pfSense防火墙资源相对少的多。
