最近笔者单位对网络拓扑进行了一定的调整，增加了防火墙对上下级单位间进行精细化管理，确保业务系统的高安全稳定性，然而由于增加了防火墙限制规则造成了一部分业务不能使用，最后笔者对防火墙进行了一定的研究发现，可以采用防火墙上跨VLAN管理的配置方法就解决了该问题，下面就将此次配置的过程和经验和大家一同分享。

单位网络拓扑结构

单位的网络拓扑以一台中兴ZXR10 T40G作为核心交换机，平时为方便管理，对本级各部门及下级单位通过VLAN进行业务划分,与下级单位采用Trunk模式组建三级交换网络，各个业务系统通过核心交换机进行数据交换。最近单位为了确保本级与下级单位间的网络安全，实现精确控制各子网的业务功能，在年度维护中投入经费购置了联想网御防火墙，其网络拓扑结构如图1所示。

图1 单位网络拓扑结构

单位网络结构具体配置如 下，ZXR10 T40G核心交换机划分多个VLAN，其中，VLAN5为本级内网段，VLAN10、VLAN20 对应下级单位1的网段，VLAN30对应下级单位2的网段。本单位特殊调度服务(以下简称TSDD服务)要求仅能在下级单位间使用，而本级与下级单位间禁止使用。在网络升级前初步考虑的是在上下级单位间部署一台防火墙，在防火墙上制定相应的限定规则，实现精确控制子网间的业务功能。但是这样配置的话又会造成一个问题：如果仅简单地将各单位所有VLAN都划分为一个地址段资源，即本级内网（地址 范 围 ：172.16.1.0/24）、下级单位1（地址范围：192.168.10.0/23）、 下级单位2（地址范围：192.168.20.0/24），规 则 定义为本级内网与下级单位1和下级单位2之间禁止TSDD服务。那么下级单位1的VLAN10和VLAN20之间将不能正常使用TSDD服务。这是因为VLAN的划分是在核心交换机上，他们之间的互通必须穿过防火墙到达核心交换机后才能实现。在防火墙上做了禁止规则后，VLAN10和VLAN20间的数据交互也被禁止了，无法到达核心交换机。当然解决该问题也是有的，可以在下级单位部署三层交换机，上下级单位间采用路由模式实现网络互联，这样部署的话造成上级单位防火墙不能精确控制下级单位的业务系统，而且投入的资金过多，不符合单位的实际。

最后笔者对网御防火墙进行了一定的研究，发现可以通过在防火墙跨VLAN的管理配置方法进行配置。具体配置思路如下：在配置防火墙时首先创建VLAN10和VLAN20，并对其进行允许策略配置，才能使下级单位1的两个VLAN间正常使用TSDD服务。即：网络区段间的访问规则其一是防火墙默认策略为禁止；其二是VLAN10和VLAN20间允许TSDD服务。

具体配置方案

其配置具体方案如下：

一是配置网口fe1连接下级单位1交换机的TRUNK口，IP地址192.168.100.1，掩码255.255.255.0。

二是创建VLAN设备fe1.20，绑定设备 fel，VLAN ID为20，工作在“路由模式”，IP地址为 192.168.10.1，掩码255.255.255.0。

三是创建VLAN设备fe1.21，绑定设备 fel，VLAN ID为21，工作在“路由模式”，IP地址为 192.168.11.1，掩码255.255.255.0。

四是配置网口fe2连接下级单位2交换机的TRUNK口，IP地 址 为192.168.200.1，掩 码 255.255.255.0。创建VLAN设备同fe2.30，具体操作如二。

五是配置网口fe3接到核心交换机ZXR10 T40G，IP地址为172.16.1.1，掩码255.255.255.0。

六是配置VLAN10网关为192.168.10.1,VLAN20网关为192.168.11.1, VLAN30网关为192.168.20.1。

具体配置步骤

第一步是添加地址资源：其中VLAN10_NET:192.168.10.0， 掩 码255.255.255.0；VLAN20_NET:192.168.11.0， 掩 码255.255.255.0。

第二步配置访问策略：首先添加包过滤规则：源地址VLAN10_NET，目的地址VLAN20_NET，服务 TSDD，动作为允许；其次添加包过滤规则：源地址VLAN20_NET，目的地址VLAN10_NET，服务TSDD，动作为允许。

通过以上配置能有效解决多个VLAN访问控制问题。

总结

通过对防火墙内VLAN设备和访问规则的配置，实现了本单位专用服务功能要求，有效解决了跨多个VLAN访问控制的问题。其他应用规则的配置可依此类推，实现防火墙精准控制功能的灵活运用。