回答:
三层交换机与防火墙互联的口,单独配置一个互联IP,掩码可以为/30
不要把业务IP、网关、互联。混在一起!!!不便于维护,也不安全。。效率也低
防火墙就干防火墙的事,不要当网,除非你内是二层交换机。
三层交换机上可以建多个VLAN,进行内部数据交换。。不要让流量上防火墙,再回来。
2、帮你分析,为什么你配置网关为1.2的时候上不了网。
你可以分析一下路由。。
主机发起访问请求。。找到 1.2网关,1.2网关一看目标IP是默认路由里的地址,就将数据发到 防火墙。这个没有问题。
问题就出现在回来的时候。公网数据回到 防火墙后,在防火墙上判断目标地址是主机的IP1.14,1.14和1.1在同一个地址段。这时数据将直接发送给主机。。
这样来回路径不一样。是会有问题的,特别 是防火墙设备。。如果纯交换或路由没有问题。
你可以看一下防火墙的路由表。
172.17.1.0/24
172.17.0.0/16
有两个路由选项。一个为直连路由,即接口地址段。一个为静态路由生成。
作者: 大侠唐在飞
三层交换机与防火墙互联的口,单独配置一个互联IP,掩码可以为/30
不要把业务IP、网关、互联。混在一起!!!不便于维护,也不安全。。效率也低
防火墙就干防火墙的事,不要当网,除非你内是二层交换机。
三层交换机上可以建多个VLAN,进行内部数据交换。。不要让流量上防火墙,再回来。
2、帮你分析,为什么你配置网关为1.2的时候上不了网。
你可以分析一下路由。。
主机发起访问请求。。找到 1.2网关,1.2网关一看目标IP是默认路由里的地址,就将数据发到 防火墙。这个没有问题。
问题就出现在回来的时候。公网数据回到 防火墙后,在防火墙上判断目标地址是主机的IP1.14,1.14和1.1在同一个地址段。这时数据将直接发送给主机。。
这样来回路径不一样。是会有问题的,特别 是防火墙设备。。如果纯交换或路由没有问题。
你可以看一下防火墙的路由表。
172.17.1.0/24
172.17.0.0/16
有两个路由选项。一个为直连路由,即接口地址段。一个为静态路由生成。
作者: 大侠唐在飞
