pfSense如何創建和配置VLAN
在計算機網絡中,一個二層網絡可以被劃分為多個不同的廣播域,一個廣播域對應了一個特定的用戶組,默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信,需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。
在這篇文章中,我將介紹如何在pfSense中創建和配置一個VLAN。 配置完成後,可以允許(或阻止)該VLAN與其他VLAN之間的通信,每個VLAN將能夠共享相同的Internet連接。配置分以下幾下步驟:
在24端口交換機上創建一個靜態VLAN。
將該VLAN從交換機中繼到pfSense上的LAN接口。
為該VLAN分配一個24位掩碼的私有IP子網。
我們假定:
pfSense已經正確安裝,並為現有LAN接口提供了基本的Internet連接。
分配給LAN接口的網卡支持IEEE 802.1Q VLAN標識。
連接到局域網接口的交換機能夠支持基於端口的VLAN的創建、配置和中繼。
本文中使用的軟件版本如下:
pfSense2.4.2-RELEASE-P1(AMD64)
本文中使用的交換機是Ciscor的SG200-26,千兆以太網端口,基於Web的管理界面,同時支持多達256個基於端口和IEEE 802.1Q標識的VLAN。
每個交換機及其相關的管理接口不一定相同,你可以參照本文中的說明進行適當的調整,來配置你自己的交換機。
在小型企業交換機上創建了一個靜態VLAN,並將該VLAN中繼到pfSense上的LAN接口。
創建並添加VLAN接口,創建必要的防火墻規則。
為VLAN分配了一個24位掩碼的私有IP子網,使用DHCP給主機分配IP地址。
VLAN可以共享pfSense的Internet連接。
配置pfSense來防止每個VLAN之間的通信。
現在,我們來開始配置。
交換機配置
靜態VLAN(通常稱為“基於端口”的VLAN)是通過將交換機端口分配給預先配置的VLAN標識符來創建的。 在這個例子中,我將在交換機上配置一個靜態VLAN並為其指定一個VLAN ID 50。你也可以使用2到4094之間的任何正整數來表示VLAN ID,但應避免使用VLAN ID 1和4095,因為一般來說,大多數交換機默認將所有端口分配給VLAN ID 1, 並將VLAN ID 4095作為“丟棄”VLAN。
首先導航到VLAN Management->Create VLAN並選擇“Add”。在“VLAN ID”字段中輸入值50,並在“VLAN Name”字段中輸入一個名稱來表示該特定VLAN。 在這個例子中,我使用了名稱“vlan50”。完成後,點擊“Apply”。 (見下圖)
在將特定端口的成員資格分配給我們的新VLAN之前,我們必須首先將該端口配置為“Access”端口或“Trunk”端口。Access端口是只有一個VLAN成員的端口。 這種類型的端口通常用於連接通常不知道VLAN成員資格的終端設備,或者是因為它們的NIC不能將以太網幀標記為VLAN ID,或者它們沒有配置為這樣做。 配置為Access端口的交換機端口在將以太網幀發送到設備之前,將刪除所有VLAN信息。 另一方面,Trunk端口可以承載多個VLAN流量,通常用於將交換機連接到其他交換機或路由器。 通常情況下,小型企業級交換機(如Cisco SG200)默認將每個端口指定為Trunk端口。
為了讓本示例簡單明了,我們假設連接到交換機的設備沒有配置。在本例中,我們將端口19配置為Access端口,並將其分配給新創建的VLAN中的成員資格。 此外,我們還假設目前使用端口25將交換機連接到pfSense LAN接口,並將其配置為Trunk端口,並將它分配給新創建的VLAN中的成員資格。
導航到VLAN Management->Interference Settings,選擇端口19,然後選擇“EDIT”。 將接口VLAN模式從“Trunk”更改為“Access”,然後選擇“Apply”(見下圖)。 現在按照類似的步驟將端口2配置為Access端口。
接下來,導航至VLAN Management->Port VLAN Membership,選擇端口19,然後選擇“加入VLAN”。 由於接入端口可以作為untagged添加到單個VLAN,我們需要先刪除交換機自動分配給每個端口(通常是VLAN 1)的默認VLAN。 突出顯示VLAN 1,方法是左鍵單擊,然後選擇箭頭圖標將其從接口中刪除。 現在突出顯示VLAN 50,然後選擇箭頭圖標將其添加到接口,確保從“Tagged”下的選項中選擇“Untagged”。 完成後選擇“Apply”(見下圖)。
將交換機端口19配置為Access端口並加入到VLAN 50中,同時配置連接到pfSense LAN 接口的端口25, 此端口將配置為Trunk端口並加入到VLAN 50中。
確保將端口25配置為Trunk端口,然後導航到VLAN Management->Port VLAN Membership,選擇端口25,然後選擇“Join VLAN”。 突出顯示VLAN 50,然後選擇箭頭圖標將其添加到接口,確保從“Tagged”下的選項中選擇“Tagged”。 完成後選擇“Apply”(見下圖)。
交換機的配置完成, 如果你的交換機同時支持正在運行的配置和啟動配置,請確保將所做的更改保存到啟動配置中,以防交換機因任何原因重新啟動而丟失配置。
pfSense配置
現在,我們需要在pfSense中配置VLAN 50。導航到網絡接口- >接口分配,並記下分配給LAN網卡的設備驅動程序名稱。 在本例中,我們假定設備驅動程序的名字是“em1”(見下圖)。 LAN2接口將作為我們將在下一步創建的VLAN接口的“父接口”。
接下來,導航到網絡接口->接口分配 > VLANs,選擇“+添加”圖標。 在隨後的頁面中,從“父接口”下拉列表中的選項中,選擇LAN 2接口“em1”,並在“VLAN 標識”下輸入值50。 在“描述”欄添加該VLAN的可選說明,然後選擇“保存設置”(見下圖)。
創建VLAN接口後,返回到網絡接口->接口分配,在可用網絡端口中,選擇“em1上的VLAN 50-opt1,點擊“+ 添加”圖標,然後選擇“保存設置”。
在這個例子中,我們假定pfSense已經將VLAN 50分配為OPT4。 導航到網絡接口 - > OPT4並選擇“啟用接口”。 在“描述”欄,將“OPT4”替換為“VLAN 50”,然後從“IPv4配置類型”下拉列表中的選項中選擇“靜態IPv4”。 對於VLAN 50,我們將使用網絡192.168.50.0/24,在此接口上分配靜態IP地址192.168.50.1,並在“靜態IP配置”部分下選擇“24”的網絡掩碼。 其他參數可以保持其默認值。 完成後選擇“保存設置”和“應用更改”(見下圖)。
接下來,我們需要為我們的新VLAN構建防火墻規則,以便流量可以從WAN接口入站/出站,也可以接入Internet。 導航到防火墻 - >規則策略,選擇VLAN 50,選擇“添加”圖標創建一個新的規則。 在本例中,我們將為VLAN 50創建一個簡單的出站傳遞規則,類似於典型的LAN出站傳遞規則的配置方式。動作選“通過” ,協議選“any”,源地址選“VLAN50 net”。 輸入這個新建規則的描述。 其他參數可以保持其默認值。 完成後選擇“保存設置”和“應用更改”(見下圖)。
除非您打算為主機設備分配靜態IP地址,否則您需要為新VLAN配置DHCP服務器。導航至服務 - > DHCP服務,並選擇VLAN 50接口。選擇“在接口VLAN50上啟用DHCP服務”,然後 輸入IP地址範圍。 pfSense將默認使用分配給此接口的IP地址作為網關地址。 在本例中,網關地址是192.168.50.1。 如果是其他網關,請在“網關”下輸入其他網關的IP地址。 同時輸入DNS地址,其他參數保持默認。 完成後選擇“保存設置”。
如果在上一步,你沒有指定DNS地址,那還需要導航到服務 - > DNS轉發器 - >接口,並確保DNS轉發器用於響應來自客戶端的查詢接口包含VLAN50,然後“保存設置”並“應用更改”(見下圖)。
至此,配置完成。
此時,LAN交換機和pfSense應配置為支持VLAN 50。要進行測試,請將主機設備(如臺式機或筆記本電腦)連接到交換機上的端口19。如果按照所述配置了所有內容,則應該在為VLAN 50網絡192.168.50.0/24指定的DHCP地址範圍內收到一個IP地址。默認網關應該是192.168.50.1,地址為DHCP分配,DNS應該是你指定的地址,如果pfsense之前已經連接互聯網,你現在應該可以正常訪問網絡。
這裏要註意,按照當前配置,每個VLAN都可以路由到所有其他VLAN。如果想禁止某個或某些特定VLAN的流量,則必須創建防火墻規則,明確規定路由走向。請記住,pfSense在第一次匹配的基礎上評估防火墻規則(即第一個匹配數據包的規則的操作將被執行)。因此,例如,如果您想要阻止所有VLAN 50流量到達LAN,則可以在之前創建的規則之前創建一條規則,將所有VLAN 50流量路由到任何目標(見下圖)。
結論
如果交換機和網絡接口支持VLAN功能,配置pfSense的VLAN很容易。 可以簡單歸納為以下幾個步驟:
2018-2-2
pfSense如何創建和配置VLAN