防火墙能管理GE3下挂的三层交换机的VLAN互访吗？

ttt5t5t

三层交换机配了Vlan和路由表，然后通过vlan1和防火墙GE3连接
防火墙配了GE1/2/3不同安全域之间的策略
防火墙不同端口之间的行为受管控，甚至是GE3端口不同Vlan访问其他端口的行为受策略管控，我都可以理解
但是三层交换机不同vlan之间访问是三层交换机内路由的，根本不过防火墙，这种情况下防火墙还能管吗

Oscarice

vlan网关在三层，流量都不会上去防火墙肯定管理不了的
把网关移到防火墙就能管理了，或者交换机做流量牵引去防火墙（但是很复杂）

goat

还有交换机写acl

nineapple

直接把网关上移到防火墙GE3 就好了。。做几个子接口。

smallfount

把vlan的网关都做到防火墙上的子接口上去。。然后把三层上的vif都灭了吧。。

ttt5t5t

goat 发表于 2024-3-31 18:32
还有交换机写acl

ACL只看源地址 没法做到单向的访问允许对吧

goat

ttt5t5t 发表于 2024-3-31 20:12
ACL只看源地址 没法做到单向的访问允许对吧

单向都如楼上大佬全去上层

ttt5t5t

goat 发表于 2024-3-31 21:59
单向都如楼上大佬全去上层

有教程可以看吗 其实我没太懂

goat

ttt5t5t 发表于 2024-3-31 22:04
有教程可以看吗 其实我没太懂

都是自学瞎搞的，没什么教程。
如楼上要求强管理能走防火墙就别折腾交换机了。需要大流量少从防火墙绕一圈就dhcp option 121里下发route，也不用纠结什么规则不规则了，除非你还要搞零信任。

yyu0378

ttt5t5t 发表于 2024-3-31 20:12
ACL只看源地址 没法做到单向的访问允许对吧

我只知道思科有这种单向的acl，其他厂商不清楚。

Krakenius

ttt5t5t 发表于 2024-3-31 20:12
ACL只看源地址 没法做到单向的访问允许对吧

acl可以规定出入方向，但回包会被拦截，如果想要做到类似有状态的话只有tcp连接可以，把tcp首包syn拦截就可以了，类似：

1. rule 0 deny tcp fin 0 syn 1 rst 0 psh 0 ack 0 urg 0

复制代码

Johnsnow-s

如果没啥大商业机密，就别弄防火墙了，NAT4都够你折腾了，如果你的是固定IP，这个倒有防火墙需求

沉睡的小恶魔

防火墙旁挂接人交换机，交换机通过策略路由将流量指向防火墙，所有流量就都进过防火墙了