子接口到底是什么东东,咋回事?我这里就过多的解释,如果不懂单臂路由,请自行“补功课”,这样才会更容易理解SSG系列当中配置细节和问题。
说下需求,在常见的企业组网当中,不少有一些“不专业”的网工和网管做一些简单粗暴的组网,比如交换机全部当纯二层傻瓜使用,所有的网关均在出口设备上,在以往的接触当中和客户的改网项目经验中,其中发现不少有这类情况,所以在这里,完完全全的需要本着一个专业的态度聊SSG的部署。
好了,不多废话,直接上菜。
如下图:
子网需求:
分多个业务网段。
交换机带vlan标签,上联trunk即可。
【咋一看非常简单,所以切勿在企业组网中使用,后期很多坑】
一,分析与预规划:
规划如上面的图示
分析客户目前暂定的拓扑方案,实现多vlan间通信。G0/0/48端口做成Trunk,理论上SW-A默认只会让10.10.0.X/24的主机过,Juniper防火墙Ping vlanif1-6都能到,这个是问题来了,只有10.10.0.x/24的主机,端口不做情况下就能到Juniper设备上。这时就能意识到,单臂路由的方向!!(*^__^*)
这里,我还是唠叨一句,我个人眼中的单臂路由【个人理解,欢迎拍砖】
【单臂路由定义扫盲】
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通(这一次由于起子接口的设备上是Juniper设备,防火墙通过策略可以实现Vlan间互相独立,若不做策略便是互联互通)
优点:实现不同vlan之间的通信,有助理解、学习VLAN原理和子接口概念。
缺点:容易成为网络单点故障,配置稍有复杂,现实意义不大。
二、SSG防火墙配置:
Web-UI上配置如下:
Step-1,下拉选择Sub-IF
Step-2,填写参数
PS:附上cli命令配置:
set interface "ethernet0/1.1" tag2 zone "Trust"
set interface "ethernet0/1.2" tag3 zone "Trust" #在e0/1创建子接口并打上vlan标签
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
(PS:注意接口和区域,和Vlan tag,这里的10.10.2.1/24是SW-A的Vlanif2,所以这里要一一对应起来,),点击-OK输出如下图
这里请各位留意,子接口一旦建立,默认是UP,接口后面的数字就是vlan-tag,(即:下游交换机trunk过来可以携带的标签)一旦主接口down,子接口也就down了。这样一一对应都建立好了之后,刚才vlan间的不能通信也顺利完成了通信。测试vlan端口正常,这也就是单臂路由。为了更好的让各位理解单臂路由,我找了一个图,大家往下看。
理论上,vlan10与vlan20之间是无法互相ping通的,但通过介绍的单臂路由就可以实现他们的互联互通。(通俗一点讲,就是在Fa0/0通过子接口方式起多个网关)