|
◆ VLANルーティング その1
SSGは、ルーティングデバイスとして動作させられるので、例えば下図のようにVLAN間のルーティングが
可能です。VLANルーティングといっても、この構成の場合はSSGからすれば単なるルーティング処理です。
あとは、異なるセキュリティゾーン間ではポリシーの作成が必要となるのでその設定を行えばOKとなります。
SSG5-> set zone name VLAN10
SSG5-> set zone name VLAN20
SSG5-> set interface ethernet0/5 zone VLAN10
SSG5-> set interface ethernet0/5 ip 10.1.1.1/24
SSG5-> set interface ethernet0/5 route
SSG5-> set interface ethernet0/6 zone VLAN20
SSG5-> set interface ethernet0/6 ip 10.1.2.1/24
SSG5-> set interface ethernet0/6 route
SSG5-> set policy from VLAN10 to VLAN20 Any Any ANY permit
SSG5-> set policy from VLAN20 to VLAN10 Any Any ANY permit
|
※ この構成は単なるルーティングであり、VLAN番号を意識することはない構成。ゾーンを同じにした場合はポリシー設定も不要。
◆ VLANルーティング その2
SSGでは、Ciscoルータと同様に1つの物理インターフェースに複数のサブインターフェースを作成できます。
従って、下図のような構成でVLANルーティングを行うこともできます。この構成ではサブインターフェース
ごとにゾーンを割り当てることになります。従って異なるセグメント間ではポリシーで制御を行えます。この
構成では1つの物理インターフェースを共有することになるので、アップリンクの帯域幅があまり使えません。
SSG5-> set zone name TRUNK
SSG5-> set interface ethernet0/4 zone TRUNK
SSG5-> set interface ethernet0/4.1 tag 10 zone TRUNK
SSG5-> set interface ethernet0/4.2 tag 20 zone TRUNK
SSG5-> set interface ethernet0/4.1 ip 10.1.1.1/24
SSG5-> set interface ethernet0/4.1 route
SSG5-> set interface ethernet0/4.2 ip 10.1.2.1/24
SSG5-> set interface ethernet0/4.2 route
|
異なるセグメント間の通信ですが、異なるセキュリティゾーン間の通信ではないのでポリシーは不要です。
Catalystスイッチの設定は以下の通り、特別な設定はありません。
Catalyst(config)# vlan 10
Catalyst(config)# vlan 20
Catalyst(config)# interface FastEthernet0/1
Catalyst(config)# switchport mode access
Catalyst(config)# switchport access vlan 10
Catalyst(config)# interface FastEthernet0/2
Catalyst(config)# switchport mode access
Catalyst(config)# switchport access vlan 20
Catalyst(config)# interface GigabitEternet0/1
Catalyst(config)# switchport mode trunk
|
|