网络结构: 光纤--光猫---CISCO5520防火墙---DES3326SR三层交换机--PC
防火墙的内网IP为192.168.61.1
三层交换机上划分了三个VLAN 各VLAN接口如下:
VLAN1:192.168.61.2(因为192.168.61.1被防火墙占用,所以用192.168.61.2)
VLAN2:192.168.62.1
VLAN3:192.168.63.1
此时,VLAN1的电脑如果设置网关为192.168.61.1,则VLAN2,VLAN3无法使用远程桌面访问VLAN1的电脑,同时也不可以访问VLAN1的共享文件夹;如果VLAN1的网关设置为192.168.61.2,则上述两个问题解决,但是上网速度慢,而且经常出现页面打开缓慢,以至于打不开的情况。
想请教一下,1,如何设置,可以达到在VLAN1使用192.168.61.1做网关时,不出现上述两个问题。
2,假如防火前的IP不使用192.168.61-63.X段IP(为了不和三层交换机的VLAN IP混淆),那么防火墙的IP该如何设置?
9 个解决方案
#1
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.2 preference 60
2. 随便设.
2. 随便设.
#2
错了.
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.1 preference 60
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.1 preference 60
#3
谢谢楼上的回复
针对第二个问题,您的回复是随便设 假如我把防火墙的IP设置为192.168.0.1 而各VLAN下PC的IP为192.168.6X.X,那PC怎么上网呢
针对第二个问题,您的回复是随便设 假如我把防火墙的IP设置为192.168.0.1 而各VLAN下PC的IP为192.168.6X.X,那PC怎么上网呢
#4
在交换机上再开一个VLAN与防火墙互联,比如:
防火墙的IP设置为192.168.0.1/30,交换机VLAN100IP设置为192.168.0.2/30,交换机启用路由功能,VLAN之间可以通信就可以了。
#5
治表的方法,可以在你的主机设置默认网关192.168.61.1,然后写 route add 192.168.62.0 mask 255.255.255.0 192.168.61.2,route add 192.168.63.0 mask 255.255.255.0 192.168.61.2。
治本的方法,我怀疑防火墙的策略里不允许远程桌面的端口通信,这应该是防火墙的基本策略,我使用的nokia的,就是X11被隐含策略关闭的。你可以在策略第一条允许远程桌面端口通信。共享使用的445,135端口也应该是这个问题。
防火墙的Ip其实就是一个管理地址,他不一定与你的主机在同一个网段的,也就是4楼的解决方法。只要你的交换机的默认路由指向它即可,甚至可以是一个三层地址,没有vlan也可以的。
治本的方法,我怀疑防火墙的策略里不允许远程桌面的端口通信,这应该是防火墙的基本策略,我使用的nokia的,就是X11被隐含策略关闭的。你可以在策略第一条允许远程桌面端口通信。共享使用的445,135端口也应该是这个问题。
防火墙的Ip其实就是一个管理地址,他不一定与你的主机在同一个网段的,也就是4楼的解决方法。只要你的交换机的默认路由指向它即可,甚至可以是一个三层地址,没有vlan也可以的。
#6
假如三层交换机划分三个VLAN
VLAN10 192.168.61.1-192.168.61.254
VLAN20 192.168.62.1-192.168.62.254
VLAN30 192.168.63.1-192.168.63.254
把防火墙接到VLAN10里面,设置其IP为192.168.61.2
这样设置可行么(保证PC正常上网即可)
VLAN10 192.168.61.1-192.168.61.254
VLAN20 192.168.62.1-192.168.62.254
VLAN30 192.168.63.1-192.168.63.254
把防火墙接到VLAN10里面,设置其IP为192.168.61.2
这样设置可行么(保证PC正常上网即可)
#7
把防火墙看做什么?
PC?
交换机?
网关?
路由?
-----------------
搞清楚它的角色就没有疑惑了.
PC?
交换机?
网关?
路由?
-----------------
搞清楚它的角色就没有疑惑了.
#8
好像我没有搞清楚防火墙的角色
请教
#9
可以
#1
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.2 preference 60
2. 随便设.
2. 随便设.
#2
错了.
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.1 preference 60
1. ip route-static 0.0.0.0 0.0.0.0 192.168.61.1 preference 60
#3
谢谢楼上的回复
针对第二个问题,您的回复是随便设 假如我把防火墙的IP设置为192.168.0.1 而各VLAN下PC的IP为192.168.6X.X,那PC怎么上网呢
针对第二个问题,您的回复是随便设 假如我把防火墙的IP设置为192.168.0.1 而各VLAN下PC的IP为192.168.6X.X,那PC怎么上网呢
#4
在交换机上再开一个VLAN与防火墙互联,比如:
防火墙的IP设置为192.168.0.1/30,交换机VLAN100IP设置为192.168.0.2/30,交换机启用路由功能,VLAN之间可以通信就可以了。
#5
治表的方法,可以在你的主机设置默认网关192.168.61.1,然后写 route add 192.168.62.0 mask 255.255.255.0 192.168.61.2,route add 192.168.63.0 mask 255.255.255.0 192.168.61.2。
治本的方法,我怀疑防火墙的策略里不允许远程桌面的端口通信,这应该是防火墙的基本策略,我使用的nokia的,就是X11被隐含策略关闭的。你可以在策略第一条允许远程桌面端口通信。共享使用的445,135端口也应该是这个问题。
防火墙的Ip其实就是一个管理地址,他不一定与你的主机在同一个网段的,也就是4楼的解决方法。只要你的交换机的默认路由指向它即可,甚至可以是一个三层地址,没有vlan也可以的。
治本的方法,我怀疑防火墙的策略里不允许远程桌面的端口通信,这应该是防火墙的基本策略,我使用的nokia的,就是X11被隐含策略关闭的。你可以在策略第一条允许远程桌面端口通信。共享使用的445,135端口也应该是这个问题。
防火墙的Ip其实就是一个管理地址,他不一定与你的主机在同一个网段的,也就是4楼的解决方法。只要你的交换机的默认路由指向它即可,甚至可以是一个三层地址,没有vlan也可以的。
#6
假如三层交换机划分三个VLAN
VLAN10 192.168.61.1-192.168.61.254
VLAN20 192.168.62.1-192.168.62.254
VLAN30 192.168.63.1-192.168.63.254
把防火墙接到VLAN10里面,设置其IP为192.168.61.2
这样设置可行么(保证PC正常上网即可)
VLAN10 192.168.61.1-192.168.61.254
VLAN20 192.168.62.1-192.168.62.254
VLAN30 192.168.63.1-192.168.63.254
把防火墙接到VLAN10里面,设置其IP为192.168.61.2
这样设置可行么(保证PC正常上网即可)
#7
把防火墙看做什么?
PC?
交换机?
网关?
路由?
-----------------
搞清楚它的角色就没有疑惑了.
PC?
交换机?
网关?
路由?
-----------------
搞清楚它的角色就没有疑惑了.
#8
好像我没有搞清楚防火墙的角色
请教
#9
可以