ATP/USG FLEX 防火牆 VLAN 介面設定教學

Zyxel小編 Corey

前言

在一個網路環境中，通常會有許多不同類別的網路設備。為了實現隔離，網路管理人員通常會將這些設備劃分到不同的網段。為了達成這個需求，最常使用的功能就是 VLAN。透過 VLAN，可以讓同一條網路線傳輸來自不同網段的流量，同時實現彼此的隔離。

每個 VLAN 需要有專屬的閘道，也就是防火牆的 VLAN 介面。本篇文章將指導您如何在 ZYXEL 防火牆上新增 VLAN 介面。

設定教學

如下圖範例，防火牆規劃 LAN1、VLAN10 和 VLAN20 介面，讓相應的網路設備可以取得 IP 並進行路由傳輸。

• 若防火牆啟用了 VLAN 介面，封包經過的交換器也需要配置相應的 VLAN 設定。關於交換器的 VLAN 設定，您可以參考這篇文章： Switch VLAN 設定教學 (V4.80)
• 當您為網路設備配置了不同的網段後，您還可以使用防火牆規則來限制不同網段之間的存取。關於防火牆規則設定的詳細教學，您可以參考這篇文章： 防火牆規則設定教學

請前往【設定 > 介面 > VLAN虛擬區域網路】，點選「+新增」即可建立 VLAN 介面。

設定參數說明如下 :

• 介面類別 : 新增內網介面，請選擇「Internal」。
• 介面名稱 : 若為 vlan20 介面，請直接輸入「vlan20」。
• 區域 : 決定防火牆規則屬性，若希望開放所有連線，請選擇「LAN1」 即可。
• 基本埠 : 決定 VLAN Tag 要從哪個介面發出。如範例所示，需要由 lan1 發出，因此此處選擇「lan1」。
• VLAN ID : 決定該 VLAN 介面所屬 ID。
• IP 位址、子網路遮罩 : 依照規劃設定，注意請勿與其他網段重疊
  • 子網路計算工具可參考 : http://www.subnet-calculator.com/subnet.php?net_class=B　
• DHCP : 若要讓防火牆分配 IP 位址，請選擇 DHCP 伺服器。
• IP pool 起始位址 : 假設設定 192.168.1.33 ，則表示 192.168.1.2~192.168.1.32 這個範圍的 IP 不會發送給使用者，可用於 Server 固定 IP 保留使用。
• Pool 大小 : 假設設定 200 ，則表示 DHCP Server 發放範圍為 192.168.1.33~192.168.1.232，共 200 個 IP 位址。
  • 注意！如果 Pool 耗盡，請重新調整子網路遮罩與 Pool 大小。
• DNS 伺服器 : 可自定義常用外部 DNS 168.95.1.1、8.8.8.8，或內部自建 DNS Server。
• 租約時間 : 若該網段為公司員工使用，則可設定為 7 天；若網段為訪客使用，則建議設定 8 小時，避免 IP Pool 耗盡。
  • 注意！不論任何請況，強烈建議不要設定無限，否則 IP 發出去就不會再釋放。