0

我的帖子

个人中心

设置

  发新话题
如图,2911路由跟交换机运行ospf协议,两个区划分了vlan,防火墙lan口地址为vlan1网段地址,Lan口直接接三层交换机,交换机接口没有配置地址。现在导致网络中除了内部vlan网关,还有防火墙上一个网关,现在想把2911连上防火墙,交换机跟防火墙那条线断开,会不会对防火墙的一些规则有影响?或者这个网络该怎么改,要求两个区互访,专线断开,直接转vpn互访。
QQ截图20160705173226.jpg (177.57 KB)

2016-7-5 17:42

QQ截图20160705173226.jpg




求大神帮忙看看,防火墙做nat,上网规则也是在防火墙上做的。




本帖最后由 kailonglll 于 2016-7-5 17:45 编辑
你防火墙上有没有路由,把防火墙上的路由做好,2911的专线断了,直接到防火墙上就好了



现在主要是网关问题,2911断开后,主机需要改网关vpn才通,就是说主机网关为192.168.1.1和192.168.3.1时候vpn不通,两边要改为防火墙lan口网关192.168.1.254跟192.168.3.254。这样就很麻烦,有没什么解决途径?



引用:
原帖由 kailonglll 于 2016-7-6 08:39 发表
现在主要是网关问题,2911断开后,主机需要改网关vpn才通,就是说主机网关为192.168.1.1和192.168.3.1时候vpn不通,两边要改为防火墙lan口网关192.168.1.254跟192.168.3.254。这样就很麻烦,有没什么解决途径? ...
找个可以断网的时间;
1.把2911-3/2911-4离线;
2.把防火墙接口地址改为192.168.1.1/192.168.3.1
3.确保内部网路三层交换机上默认网关指向192.168.1.1或192.168.3.1



引用:
原帖由 wxf_8131 于 2016-7-6 09:22 发表

找个可以断网的时间;
1.把2911-3/2911-4离线;
2.把防火墙接口地址改为192.168.1.1/192.168.3.1
3.确保内部网路三层交换机上默认网关指向192.168.1.1或192.168.3.1 ...
这样不是会很混乱。。。



引用:
原帖由 kailonglll 于 2016-7-6 09:27 发表

这样不是会很混乱。。。
准备充分的情况下,进行一些网络变动,调试,上线,这个动作很正常。



网关都在三层交换机上,OSPF配置NQA联动,防火墙默认路由。

专线断了,它的路由也就断了,自然就走默认路由,走防火墙的VPN了。

或者防火墙也加入到OSPF里去,两条相同的路由,不等价,优先级不一样。




本帖最后由 erfdcv 于 2016-7-9 10:16 编辑
设置静态路由,把度量值改下,做到断线切换,或者做负载均衡同时跑怎么样?



用模拟器搭建环境,路由器替换防火墙,路由通了基本上就可以了,前提是:1、你的业务网段不做改变(nat 或 其它安全策略主要针对业务网段) 2、必要时可以把防火墙的安全规则全部打开。



引用:
原帖由 kailonglll 于 2016-7-6 08:39 发表
现在主要是网关问题,2911断开后,主机需要改网关vpn才通,就是说主机网关为192.168.1.1和192.168.3.1时候vpn不通,两边要改为防火墙lan口网关192.168.1.254跟192.168.3.254。这样就很麻烦,有没什么解决途径? ...
至于“2911断开后,主机需要改网关vpn才通”,这应该是你路由做的有问题,通过设置防火墙的路由可以实现主机访问vpn,也没必要每台电脑更改网关。



内容呢?



当前的结构不是很好,要改什么?
两台3650和2911-3、2911-4之间跑ospf,3650与ASA之间跑静态路由 ,ASA与asa之音又建立了p2p vpn,用于备份2911-3与2911-4之间的专线,这样设计没一点问题



引用:
原帖由 kailonglll 于 2016-7-5 17:42 发表
如图,2911路由跟交换机运行ospf协议,两个区划分了vlan,防火墙lan口地址为vlan1网段地址,Lan口直接接三层交换机,交换机接口没有配置地址。现在导致网络中除了内部vlan网关,还有防火墙上一个网关,现在想把2911连上防火墙,交换 ...
只能说。好奇葩的拓扑啊。



引用:
原帖由 kailonglll 于 2016-7-5 17:42 发表
如图,2911路由跟交换机运行ospf协议,两个区划分了vlan,防火墙lan口地址为vlan1网段地址,Lan口直接接三层交换机,交换机接口没有配置地址。现在导致网络中除了内部vlan网关,还有防火墙上一个网关,现在想把2911连上防火墙,交换 ...
最上面的两个2911的作用是什么?不用都行,直接把防火墙放在最外面作NAT和VPN就行了。



有啊,一个是网关变了,防火墙不用做NAT了,在路由器上做,策略肯定变



3560三层交换机,主机网关放在交换机上,交换机去对面的路由有2条,主选路径为OSPF走专线,度量值为110,备选路线走静态,改度量值为150,就解决了。



可以在防火墙上运行路由协议 下接核心交换机 中连vpn(vpn可以运行ipsec)  pc网关还是vlan的网关,这样的话pc的数据包会丢给网关,网关会给防火墙,然后由防火墙选择是出外网还是走vpn。 如果在防火墙上做NAT 那防火墙上面的路由器可以不要了  因为路由器接防火墙的ip应该是私有地址,不会是isp的公网地址。除非那台路由器是isp的



‹‹ 上一贴:急求一篇关于目前讲述网络安全方面的报告,急!!!在线等,最好 ...   |   下一贴:如何利用第三方软件将思科交换机操作系统取出来 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com