服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 需要Watchguard VLAN头部抓取
Intereting Posts
无法停止DDOS Server 2008卷影复制失败,“文件系统的types是RAW” 面对使用iPhone(Defult Cisco VPN客户端)和Strongswan 4.5.0服务器build立VPN连接(IKEv1)的问题 RAID-LVM-RAID-RAID10与RAID6 亚马逊EC2 LAMP服务器瓦特/ EBS 如何将Windows防火墙configuration为使用stmp.office365.com发送邮件? 就地更新Azure虚拟机操作系统 Amazon AWS连接问题 将打印机从Windows Server 2012移动到Windows Server 2012 R2 将单个O / S磁盘转换为RAID 1 – Ubuntu 12.04 LTS 在MySQL中修复vs优化表 如何在aws中群集rabbitmq ISO和数据域应该放在oVirt平台上? MySQL /基于Apache的symfony网站的问题 iis 7.5 ipSecurity denyAction = NotFound会导致500错误,而不是404

需要Watchguard VLAN头部抓取

我正试图围绕我的新的守卫M400设置。 以下是我需要弄清楚的以及迄今为止所做的工作。

我的ISP提供给我一个P2P IP,我插入到我的界面(107.地址)。 他们也有我在一个不同的子网上的IP块(完全不同的范围,50.范围),所以保持在你的脑海。 我也有一个私人的(192.),我想使用。

我有一个简单的192接口0设置与P2P IP(外部)和内部设置(信任)。

我在防火墙后面有几个交换机:

切换一个(名称:CORE1)是一个48端口,它将有许多VLAN。 如果明显要成为防火墙(中继线)端口,那么端口1。

端口2将是另一台交换机(名称:CORE2,VLAN = 4)的上行链路,用于单独的摄像机networking。

一些其他的端口将被私人的火葬箱所在的办公室(可信networking)VLAN = 5

48端口(CORE1)上的其余端口将被插入到需要分配给它们的公共IP的服务器中,并且当与外部通信时,它们需要显示其公共IP,而不是我的火箱的IP(通常情况下显示P2P地址)

我想我得到了这个工作(有点),但创build一个可选的界面,分配我的块的第一个IP地址,然后我把另一个块设置到我的笔记本电脑,它的工作神奇。

问题是这种方法,我需要有多个连接从火箱到交换机,我不认为会工作。

我试过在盒子上设置VLAN,但是我想创build一个独立的界面,我不确定我想要做什么?

我已经包含了一个我制作的临时graphics来帮助你形象化:

临时绘图

现在,我的火箱上的接口如下所示:

在这里输入图像说明

所以你可以看到三个接口。 我刚刚做了“VLANUplink”只是为了testing,所以这是垃圾。 我真的想尽可能地压缩所有这些。

我尝试使用VLAN属性,因为某些原因我想为VLAN设置一个特殊的接口,这就是为什么你看到“vlanuplink”接口。 再次,这是垃圾。

对于那些把我引荐到网上的文章,我整晚读了很多文章,因为我没有足够的“名气”,所以我不能张贴。 但请相信我。

我在这里find了这个很棒的文章:

由于我不能发布链接,去谷歌键入“使用后面的xtm公共IP地址”这是第一个PDF。

我想我会被认为是“场景1”,但如果我错了,请纠正我。 请参考我画的比较我的临时networking图。 我想要防火墙后面的所有东西,但防火墙后面什么都不能相互通信,这就是为什么vlanning在那里。

由于刚刚碰到头版,你可能不需要“使用XTM背后的公共IP地址”的场景,而是想创build新的VLAN接口。

将接口0设置为“外部”,像您一样分配公共地址。

build立新的VLAN接口 ,每个VLAN一个接口 。 将它们设置为“可选”,在每个VLAN中为防火墙指定一个内部IP地址,并在需要时configurationDHCP。 VLAN中的每个设备都应该获取该VLAN中的防火墙IP作为其网关 – 使用防火墙为DHCP服务将自动执行此操作,如果它们是手动configuration的,或者其他设置DHCP,则必须对其进行设置。

然后将接口1设置为VLAN接口,并将其标记为为您刚刚定义的所有VLAN发送stream量 。

要为某些服务器获取不同的公有IP地址,请添加1-1个NAT条目以将公有IP映射到服务器的内部IP。

为VLAN之间的stream量制定防火墙策略,例如,允许“从VLAN2到VLAN5的任何内容”,适用于创build单独的摄像机networking和专用办公室networking。

在交换机端将其设置为VLAN中继端口。

这种设置只需要一根防火墙电缆来切换(尽pipe如果需要额外的带宽,可以很容易地添加更多的电缆 – 将接口2configuration为VLAN中继,将一些VLAN标记到接口1上,将一些VLAN标记到接口2上)。

你在这里问了很多,在一些相当具体的硬件上,所以我只是给出一些高层次的指导,以保持这种合理性。

首先,服务器。 你希望他们拥有公共IP地址。 这很好,很好。 但是,他们也是你内部networking的一部分。 给他们内部的IP。 然后,您需要在watchguard上设置端口转发策略,以映射每个服务器的公共IP,并将stream量转发到正确的内部地址。 您可能希望将此与在本地DNS服务器中设置logging配对,以便您公开指向互联网IP的任何域将指向本地IP,如果您从networking内部进行查找。

接下来,开关。 您的图表描述了CORE1交换机比其他交换机更重要/更重要。 如果可以的话,你应该让这个开关做你的vlan路由,而不是看守。 该交换机应该为每个vlan都有一个虚拟接口,无论你的networking上做了什么dhcp,都应该把交换机上适当的接口IP作为所有设备的默认网关。 交换机本身应该将守卫的内部IP设置为网关,并且具有到所有vlan的路由。 然后设置作为中继端口去看守的端口,或者只标记除了守卫的内部IP(这将是一个未标记的成员)的所有vlans。

现在看守你为每个内部networking设置NAT策略和路由,当然还有服务器的端口转发策略。 您只需要configuration两个接口即可完成此操作,并且一根电缆将能够处理所有这些通信。

不幸的是,我不能比这更具体。 我已经以这种方式成功地configuration了一个Watchguard 400系列,但只是作为我们后来返回的一个演示,所以我不能在这个时候更具体地说明每个选项的去向。 (FWIW,我们现在使用Untangle,而我更喜欢)。