未部署防火墻前的拓?fù)洌?/p>

成都創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供橋東網(wǎng)站建設(shè)、橋東做網(wǎng)站、橋東網(wǎng)站設(shè)計(jì)、橋東網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、橋東企業(yè)網(wǎng)站模板建站服務(wù)，10余年橋東做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

部署防火墻后的拓?fù)洌?/p>

部署防火墻后，修改配置如下：

          刪除VLAN21的地址，在核心交換機(jī)上新建VLAN2021，把原本定義在VLAN21上的地址放在VLAN2021上。使用TRUNK與飛塔防火墻相 連，TRUNK內(nèi)包含VLAN2021和VLAN21。客戶端通過此模式可以訪問到服務(wù)器，并經(jīng)過防火墻。

         報(bào)文流程：

        1、client->server，報(bào)文在交換機(jī)上路由，從vlan2021發(fā)出，報(bào)文在防火墻上更換vlan tag為21，返回，到達(dá)服務(wù)器。

        2、server->client，報(bào)文在交換機(jī)上交換，從vlan21發(fā)出，報(bào)文在防火墻上更換vlan tag為2021，返回，到達(dá)客戶端。

          總結(jié)：

          飛塔防火墻的vlan橋接，可以不改變原來的拓?fù)洌⒘髁恳魍ㄟ^防火墻。查了其他家的資料，包括思科、h4c都不支持此功能。思科有vlan橋接，但是是針對非IP協(xié)議。這個(gè)功能可能最早是netscreen提出的。

           引申：一般交換機(jī)只有一個(gè)mac地址，交換機(jī)判斷ARP/IP報(bào)文是否是本地報(bào)文，不是直接查看報(bào)文的目的mac地址，而是首先檢查vlan是否具有IP地址，沒有則交換；有則再判斷mac地址是否到本地，ARP/IP報(bào)文是否本地處理。