企业网络 VLAN 隔离与防火墙互联：实验全解析与实战指南

学习目标：

学习

在企业网络架构中，VLAN 隔离与防火墙互联是保障网络安全、优化流量管理的核心方案。不少运维或网络初学者在实操时，常因拓扑理解不深、配置步骤混乱导致实验失败。本文将从实验原理切入，拆解完整配置流程，再延伸到实战应用场景与实施条件，帮你彻底掌握这一基础且关键的网络技术。

一、实验核心：为什么要做 VLAN + 防火墙互联？

在开始配置前，先明确实验的 "核心价值"------ 这不是单纯的技术操作，而是模拟企业真实需求：

VLAN 隔离：解决 "不同业务网段混连" 问题。比如企业的 "办公网段"（员工 PC）和 "服务器网段"（数据库、应用服务器）若直接互通，一旦 PC 感染病毒，易直接攻击服务器；通过 VLAN 划分，可实现物理上的逻辑隔离，降低安全风险。
防火墙互联：解决 "隔离后如何受控互通" 与 "外网访问安全" 问题。VLAN 隔离后，网段间默认无法通信，需通过防火墙配置 "允许策略" 实现受控访问；同时，防火墙作为内网与外网的 "网关"，可过滤非法外网流量，保护内网安全。
核心目标：实现 "VLAN 间受控互通 + 内网安全访问外网 + 外网访问拦截" 的三重效果，贴合企业网络 "隔离 - 防护 - 可控" 的核心需求。

二、实验全流程：从拓扑到配置，每步都讲透

1. 实验拓扑与设备规划（先明确 "硬件连接"）

实验用到 4 类设备：二层交换机（LSW1） 、防火墙（FW1） 、服务器（Server4） 、PC 机（PC6） ，外加模拟外网的Cloud1。拓扑逻辑如下：

交换机 LSW1：连接服务器、PC，负责 VLAN 划分与二层转发；
防火墙 FW1：连接交换机与 Cloud1，负责三层路由、安全策略控制；
Server4/PC6：分别属于两个 VLAN，模拟不同业务终端；
Cloud1：模拟公网环境，提供外网 IP 与网关。

关键 IP 与接口规划表（核心，配置前必须记清）

设备	接口	配置类型	IP 地址 / 掩码	VLAN 归属	安全区域（防火墙）
防火墙 FW1	Vlanif 10	三层虚接口（网关）	192.168.1.1/24	VLAN 10	Trust（信任区）
	Vlanif 20	三层虚接口（网关）	192.168.2.1/24	VLAN 20	Trust（信任区）
	GE 0/0	外网物理接口	202.0.0.1/24（Cloud1 分配）	-	Untrust（非信任区）
交换机 LSW1	GE 0/0/1	Trunk 接口（连防火墙）	-	允 VLAN10/20	-
	GE 0/0/2	Access 接口（连 Server4）	-	VLAN 10	-
	GE 0/0/3	Access 接口（连 PC6）	-	VLAN 20	-
Server4	Ethernet 0/0	终端网卡	192.168.1.10/24	VLAN 10	-
PC6	Ethernet 0/0	终端网卡	192.168.2.10/24	VLAN 20	-
Cloud1	-	外网网关	202.0.0.254/24	-	-

2. 分步配置：从交换机到防火墙，代码 + 解释

（1）第一步：交换机 LSW1 配置（VLAN 划分核心）

交换机的核心任务是 "将不同接口划入对应 VLAN，并配置 Trunk 接口与防火墙通信"，所有配置需在系统视图 （system-view）下执行：

plaintext

复制代码

# 1. 创建VLAN 10和VLAN 20（先建"容器"，再分配接口）
vlan batch 10 20

# 2. 配置GE 0/0/1（连防火墙）为Trunk模式：允许VLAN10/20的标签通过
interface GigabitEthernet 0/0/1
 port link-type trunk  # 接口模式设为Trunk（用于跨设备VLAN通信）
 port trunk allow-pass vlan 10 20  # 仅允许指定VLAN通行，避免无关流量

# 3. 配置GE 0/0/2（连Server4）为Access模式：划入VLAN10
interface GigabitEthernet 0/0/2
 port link-type access  # 终端连接的接口默认用Access（不携带VLAN标签）
 port default vlan 10  # 把接口"绑定"到VLAN10

# 4. 配置GE 0/0/3（连PC6）为Access模式：划入VLAN20
interface GigabitEthernet 0/0/3
 port link-type access
 port default vlan 20

配置验证 ：执行display vlan，查看 VLAN 10/20 是否已包含对应接口，确保无配置错误。

（2）第二步：防火墙 FW1 配置（路由 + 安全策略核心）

防火墙是实验的 "大脑"，需完成 3 件事：接口与 VLAN 绑定 、安全区域划分 、路由与策略配置，同样在系统视图下操作：

① 接口与 VLAN 绑定（让防火墙 "识别" VLAN 网段）

plaintext

复制代码

# 1. 配置连交换机的接口（GE 1/0/0）为Trunk模式，与交换机适配
interface GigabitEthernet 1/0/0
 port link-type trunk
 port trunk allow-pass vlan 10 20

# 2. 创建Vlanif 10虚接口（作为VLAN10的网关，三层转发核心）
interface Vlanif 10
 ip address 192.168.1.1 24  # 对应规划的网关IP

# 3. 创建Vlanif 20虚接口（作为VLAN20的网关）
interface Vlanif 20
 ip address 192.168.2.1 24

# 4. 配置外网接口（GE 0/0）：假设从Cloud1获取静态IP（也可DHCP自动获取）
interface GigabitEthernet 0/0
 ip address 202.0.0.1 24  # 公网IP，需与Cloud1网关在同一网段

② 安全区域划分（防火墙的 "隔离基础"）

防火墙通过 "区域" 划分网络信任等级，默认有 Trust（信任区，内网）、Untrust（非信任区，外网）、DMZ（dmz 区，服务器）等，需将接口划入对应区域：

plaintext

复制代码

# 1. 将VLAN10/20的虚接口划入Trust区（内网属于信任区域）
firewall zone trust
 add interface Vlanif 10
 add interface Vlanif 20

# 2. 将外网接口划入Untrust区（外网属于非信任区域）
firewall zone untrust
 add interface GigabitEthernet 0/0

原理：防火墙默认 "拒绝不同区域间的流量"，需通过策略明确 "允许哪些流量通过"，这是安全防护的关键。

③ 路由与安全策略配置（实现 "可控互通"）

路由配置：让内网知道 "访问外网要走哪个网关"，需配置默认路由（所有未知网段都转发到外网网关）：

plaintext
复制代码
```
ip route-static 0.0.0.0 0.0.0.0 202.0.0.254  # 0.0.0.0代表所有网段，下一跳是Cloud1网关
```

安全策略配置：解决 "哪些流量能过防火墙" 的问题，需配置 2 类核心策略：

plaintext

复制代码

# 1. 允许Trust区（内网）访问Untrust区（外网）：员工PC/服务器能上公网
security-policy
 rule name Trust_to_Untrust  # 策略名称，便于后续管理
 source-zone trust  # 流量来源区域
 destination-zone untrust  # 流量目标区域
 action permit  # 允许通过（默认是deny）

# 2. 允许VLAN10与VLAN20互访（Trust区内互通，按需配置）
security-policy
 rule name VLAN10_VS_VLAN20
 source-zone trust
 destination-zone trust
 source-address 192.168.1.0 24  # VLAN10网段
 destination-address 192.168.2.0 24  # VLAN20网段
 action permit

注意：若企业需限制 "VLAN20 不能访问 VLAN10 的服务器"，可将第二个策略的action改为deny，体现 "精细化控制"。

（3）第三步：终端设备配置（Server4 与 PC6）

终端只需配置IP、子网掩码、默认网关，确保与对应 VLAN 的网关一致：

Server4（VLAN10） ：
- IP 地址：192.168.1.10
- 子网掩码：255.255.255.0
- 默认网关：192.168.1.1（防火墙 Vlanif 10 的 IP）
PC6（VLAN20） ：
- IP 地址：192.168.2.10
- 子网掩码：255.255.255.0
- 默认网关：192.168.2.1（防火墙 Vlanif 20 的 IP）

3. 实验验证：3 步确认配置是否成功

配置完成后，需通过 "连通性测试" 验证效果，避免 "配置完但用不了" 的问题：

VLAN 间互通验证：在 Server4 上 ping PC6 的 IP（192.168.2.10），若能通，说明 VLAN 间策略生效；若不通，检查交换机 VLAN 配置或防火墙 Trust 区互访策略。
外网访问验证：在 PC6 上 ping Cloud1 的网关（202.0.0.254），若能通，说明默认路由与 Trust 到 Untrust 策略生效；若不通，检查防火墙外网接口 IP 或默认路由。
安全策略验证：从 Cloud1 模拟 "访问 Server4 的 IP（192.168.1.10）"，若被拦截，说明防火墙默认拒绝 "Untrust 到 Trust" 的策略生效（这是安全防护的关键，避免外网直接攻击内网）。

三、实战应用：实验方案在企业中的 3 类典型场景

实验不是 "纸上谈兵"，其配置逻辑可直接套用到企业真实网络中，核心应用场景有 3 类：

1. 中小型企业 "办公 + 服务器" 网段隔离

需求：员工 PC（VLAN20）可访问互联网，但仅允许特定 PC 访问服务器网段（VLAN10，如财务服务器）；服务器需访问外网更新，但拒绝外网访问服务器。
落地：沿用实验拓扑，仅修改防火墙策略 ------ 在 "VLAN10_VS_VLAN20" 策略中，限制 "仅 192.168.2.5-192.168.2.10（财务 PC）可访问 VLAN10"；同时添加 "拒绝 Untrust 到 Trust 访问 VLAN10" 的策略。

2. 连锁门店 "分支 - 总部" 互联（扩展场景）

需求：门店 PC（VLAN20）需访问总部服务器（VLAN10，如进销存系统），且所有流量需通过防火墙加密传输。
落地：将实验中的 "Cloud1" 替换为 "总部防火墙"，通过 VPN 隧道（如 IPsec）连接分支与总部防火墙，VLAN 配置不变，仅在防火墙添加 "VPN 策略"，确保跨地域流量安全。

3. 云环境 "内网 - 云服务器" 互通（混合云场景）

需求：企业内网 PC（VLAN20）需访问阿里云 ECS（模拟 VLAN10，公网 IP 202.0.0.100），且 ECS 仅允许内网访问。
落地：将实验中的 "防火墙 FW1" 替换为 "企业边界防火墙"，通过 "端口映射" 将 ECS 的私网 IP（如 172.16.1.10）映射到公网 IP，内网 PC 通过访问映射 IP 访问 ECS；同时配置防火墙策略，仅允许 VLAN20 访问该映射 IP。