異なるゾーン内で通信するために L3 タグなしサブインタフェースを構成する方法

概要

このドキュメントでは、レイヤー3のタグなしサブインタフェースを構成する手順を説明します。

手順

1. ネットワークに行く > インターフェイス。
2. 物理インタフェースを選択します。
3. タグなしサブインターフェイスを有効にします。

   タグなしの L3 サブインタフェースは、物理デバイス上の ip アドレスなしで動作するように設計されています。

   

4. タグなしのサブインタフェースを作成し、別の仮想ルーターとゾーンを割り当てます。

   次のスクリーンショットは、3つの L3 サブインタフェース構成された eth1/6.10、eth1/4.11、および eth1/6.12 を示しています。

   

   • サブインターフェイスインターフェイス: イーサネット 1/6.10 はゾーン L3-信頼を割り当てられています
   • サブインターフェイスインターフェイス: イーサネット 1/7 ゾーン L3 を割り当てられている-DMZ
   • サブインターフェイスインターフェイス: イーサネット 1/6.12 ゾーン L3 を割り当てられている-トラスト
5. [ポリシー] > [セキュリティ] に移動して、l3-Trust から l3-DMZ に通信するためのセキュリティポリシーを表示します。

   

6. 各テナントからのすべての発信トラフィックは、サブインターフェイス IP アドレスへのソース NAT'ed です。  [ポリシー] > [nat] を参照して、サブインターフェイスイーサネット 1/6.10 の背後にあるホスト10.10.10.10 の nat ポリシーを表示して、サブインターフェイスイーサネット 1/6 の背後にあるホスト11.11.11.11 と通信します。

   

7. l3-DMZ から l3-Trust への通信に適用されるセキュリティポリシーを表示するには、[ポリシー] > [セキュリティ] を参照してください。

   

8. [ポリシー] > [nat] を参照して、サブインターフェイス Ehternet 1/11.11.11.11 の背後にあるホストの nat ポリシーを表示し、サブインターフェイスイーサネット 1/6.10 の背後にあるホスト10.10.10.10 と通信します。

   

上記の構成では、ホスト 10.10.10.10 (サブインターフェイスイーサネット 1/6.10 の背後にある) ホスト 11.11.11.11 (Etherent 1/6/7) と他の方法の後ろに ping を行うことができます。

所有者: ppatel