子接口到底是什麼東東,咋回事?我這裏就過多的解釋,如果不懂單臂路由,請自行“補功課”,這樣纔會更容易理解SSG系列當中配置細節和問題。
說下需求,在常見的企業組網當中,不少有一些“不專業”的網工和網管做一些簡單粗暴的組網,比如交換機全部當純二層傻瓜使用,所有的網關均在出口設備上,在以往的接觸當中和客戶的改網項目經驗中,其中發現不少有這類情況,所以在這裏,完完全全的需要本着一個專業的態度聊SSG的部署。
好了,不多廢話,直接上菜。
如下圖:
子網需求:
分多個業務網段。
交換機帶vlan標籤,上聯trunk即可。
【咋一看非常簡單,所以切勿在企業組網中使用,後期很多坑】
一,分析與預規劃:
規劃如上面的圖示
分析客戶目前暫定的拓撲方案,實現多vlan間通信。G0/0/48端口做成Trunk,理論上SW-A默認只會讓10.10.0.X/24的主機過,Juniper防火牆Ping vlanif1-6都能到,這個是問題來了,只有10.10.0.x/24的主機,端口不做情況下就能到Juniper設備上。這時就能意識到,單臂路由的方向!!(*^__^*)
這裏,我還是嘮叨一句,我個人眼中的單臂路由【個人理解,歡迎拍磚】
【單臂路由定義掃盲】
單臂路由(router-on-a-stick)是指在路由器的一個接口上通過配置子接口(或“邏輯接口”,並不存在真正物理接口)的方式,實現原來相互隔離的不同VLAN(虛擬局域網)之間的互聯互通(這一次由於起子接口的設備上是Juniper設備,防火牆通過策略可以實現Vlan間互相獨立,若不做策略便是互聯互通)
優點:實現不同vlan之間的通信,有助理解、學習VLAN原理和子接口概念。
缺點:容易成爲網絡單點故障,配置稍有複雜,現實意義不大。
二、SSG防火牆配置:
Web-UI上配置如下:
Step-1,下拉選擇Sub-IF
Step-2,填寫參數
PS:附上cli命令配置:
set interface "ethernet0/1.1" tag2 zone "Trust"
set interface "ethernet0/1.2" tag3 zone "Trust" #在e0/1創建子接口並打上vlan標籤
set interface ethernet0/1.1 ip 10.10.2.1/24 #IP配置
set interface ethernet0/1.1 nat
set interface ethernet0/1.2 ip 10.10.3.1/24 #IP配置
set interface ethernet0/1.2 nat
(PS:注意接口和區域,和Vlan tag,這裏的10.10.2.1/24是SW-A的Vlanif2,所以這裏要一一對應起來,),點擊-OK輸出如下圖
這裏請各位留意,子接口一旦建立,默認是UP,接口後面的數字就是vlan-tag,(即:下游交換機trunk過來可以攜帶的標籤)一旦主接口down,子接口也就down了。這樣一一對應都建立好了之後,剛纔vlan間的不能通信也順利完成了通信。測試vlan端口正常,這也就是單臂路由。爲了更好的讓各位理解單臂路由,我找了一個圖,大家往下看。
理論上,vlan10與vlan20之間是無法互相ping通的,但通過介紹的單臂路由就可以實現他們的互聯互通。(通俗一點講,就是在Fa0/0通過子接口方式起多個網關)