Как объединить три сегмента сети на Juniper SRX210?

Question

[Константин]

Помогите с настройкой Juniper SRX210. Имеется три сегмента сети 192.168.1.*/24, 10.101.150*0/24, 10.101.148.*/24, необходимо объединить данные сегменты.

Comments

[Константин]

А если я сделаю три vlan на одном интерфейсе и они будут пренадлежать к зоне trust, будут компы из подсетей видеть друг друга???

Answer 1

[telegin]

Привет, надо понимать что подразумевается под "объединить"? Сейчас между ними есть связь? Через L3 SRX?
Ты же хочешь всех в один L2 сегмент и перевести хосты на единую адресацию?

Comments

[Константин]

Нет, адресации остаётся прежней, хочу чтобы компы из подсети 192.168.1.*, видели компы из подсетей 10.101.150.* и 10.101.148.*.

[Константин]

Сейчас все подсети просто подключены к одному коммутатору

[Константин]

Как я понимаю мне надо создать три vlan, три security-zona и настроить между ними маршрутизацию. Три vlan поднимать на одном интерфейсе или на разных???

[Ярослав]

Поднимать ли три vlan на одном и том же интерфейсе, или на разных - принципиальной разницы нет.
Если надо экономить порты, и перед srx стоит умеющий VLAN'ы свитч - можно и объединить.

Если интерфейсы находятся в одной и той же routing-instance (например, routing-instance не созданы явно, и тогда все интерфейсы находятся в inet.0), то _маршрутизацию_ между сегментами прописывать явно не требуется: SRX и так все адреса знает.

А вот настроить правила фильтрации трафика придётся как раз силами security zone/security policies.

По security zone: если необходимо фильтровать трафик между сегментами, есть смысл создать отдельную security zone для каждого сегмента.
Если требование - чтобы все всех видели без каких-либо ограничений, можно засунуть все три сегмента в одну и ту же security zone.

Внимание! По умолчанию, транзитный трафик блокируется, и его надо явно разрешить в security policy.
Это касается как случая с тремя security zone:

set security policies from-zone zone1 to-zone zone2 policy allow match source-address any destination-address any application any
set security policies from-zone zone1 to-zone zone2 policy allow then permit

И так все возможные комбинации:
zone1 -> zone2
zone2 -> zone1
zone1 -> zone3
и т.д.

Есть ещё один момент: транзитный трафик _внутри_ зоны блокируется тоже, поэтому, даже если все три сегмента будут прописаны в одной и той же security zone, для того, чтобы сегменты увидели друг друга, надо прописать что-то типа:

set security policies from-zone zone1 to-zone zone1 policy allow match source-address any destination-address any application any
set security policies from-zone zone1 to-zone zone1 policy allow then permit