在OPNsense中配置VLAN

如果你的防火墙只有两个网络端口,但又要使用超过两个或更多的子网,不妨使用二层网管交换机,配合OPNsense的VLAN实现管理更多子网的目标。

创建新的VLAN接口

导航到“Interfaces > Other Types > VLAN”。单击“add”来添加新的VLAN。首先必须选一个父接口,这是VLAN应用的物理端口。如果你想使用多WAN线路,你可以选WAN所在的接口,如果想建立多个内部子网,选LAN所在的接口。在这之前,你应该在网管交换机上划分了正确的VLAN,并将不同的VLAN汇聚到了某一个端口上。输入与网管交换机对应的VLAN的标识,注意不能是数字1,选择VLAN的优先级,然后输入这个VLAN的简短描述。单击“保存”创建一个新的VLAN。在本例中,DMZ接口与LAN接口使用了同一块网卡igb2。

创建一个新的VLAN

为VLAN分配新的逻辑接口。

选择父接口时,已经选择了VLAN的物理接口。选择“ New interface:”,然后选择我们刚才建立的VLAN,然后单击按钮“ +”。单击“保存”来保存更改。

创建一个新的VLAN

该接口将显示在分配的接口列表中。如下图所示的“ OPT8”。显示为OPTX,具体取决于已经定义的接口数量。

创建一个新的VLAN

它还将显示在导航面板的“接口”部分中:

创建一个新的VLAN

启用VLAN接口

单击“ OPT8”接口后,便可以启用它,为其指定一个正确的接口名称。这里我们将接口命名为与VLAN相同的名称(DMZ),以方便记忆。如果是用于内部子网,一般情况下应该为VLAN选择“静态IPv4”地址,输入接口IP地址。

创建一个新的VLAN

在VLAN接口上启用DHCP

启用VLAN接口后,我们可以在接口上启用DHCP服务,以便VLAN上的设备自动获取IP地址。转到 Services > DHCPv4 > DMZ,单击“在DMZ接口上启用DHCP服务器”复选框。然后输入希望VLAN中的客户端使用的IP地址范围。如下图所示,如果你希望使用其他网关或DNS服务器,可以在相应栏输入相应IP地址。

创建一个新的VLAN

添加防火墙规则

我们已经创建并启用了新的VLAN,还需要设置防火墙规则才能让数据从VLAN中流出。默认情况下,新创建接口的所有网络流量都会被阻止。为了方便操作,我们可以克隆LAN接口上创建的基本规则。如下所示:反锁定规则(它可以避免将自己锁定在Web管理页面之外),允许所有IPv4规则和允许所有IPv6规则。只需要在LAN接口规则列表的右边,单击克隆图标进行操作:

创建一个新的VLAN

将接口从LAN更改为VLAN接口,本例中为DMZ接口。另外,还需要将源更改为DMZ net,以允许该网络上的所有设备访问网络和Internet的其他部分,当然,你也可以根据自己设置VLAN的目的来进行规则的设置。

创建一个新的VLANCisco交换机上的VLAN配置

在OPNsense中完成VLAN配置后,还需要在网络交换机上进行Vlan中继配置。在本例中,我们使用Cisco Catalyst 2960交换机执行Vlan配置。登录交换机后台终端,使用configure terminal命令进入配置模式。

Switch>
Switch> enable
Switch# configure terminal

创建一个新的VLAN,选择一个标识号并添加简短描述。

Switch(config)# vlan 10
在本例中,交换机端口40被配置为Trunk。允许以下VLAN将此端口用作中继:1和10。

Vlan 1是Cisco交换机的默认本地VLAN。配置完了以后别忘了保存交换机VLAN配置。

Switch# copy running-config startup-config
将OPNsense LAN接口连接到Cisco交换机端口40。来自Opnsense LAN接口的流量因为没有VLAN标识,将成为Cisco Switch本机VLAN 1的成员。来自Opnsense DMZ接口的流量具有VLAN标识10,将成为Cisco Switch VLAN 10的成员。

发表评论

电子邮件地址不会被公开。 必填项已用*标注