在OPNsense中配置VLAN

如果你的防火墙只有两个网络端口，但又要使用超过两个或更多的子网，不妨使用二层网管交换机，配合OPNsense的VLAN实现管理更多子网的目标。

一、创建新的VLAN接口

导航以“Interfaces > Other Types > VLAN”。单击“add”来添加新的VLAN。首先必须选一个父接口，这是VLAN应用的物理端口。如果你想使用多WAN线路，你可以选WAN所在的接口，如果想建立多个内部子网，选LAN所在的接口。在这之前，你应该在网管交换机上划分了正确的VLAN，并将不同的VLAN汇聚到了某一个端口上。输入与网管交换机对应的VLAN的标识，注意不能是数字1，选择VLAN的优先级，然后输入这个VLAN的简短描述。单击“保存”创建一个新的VLAN。

二、为VLAN分配新的逻辑接口。

选择父接口时，已经选择了VLAN的物理接口。选择“ New interface：”，然后选择我们刚才建立的VLAN，然后单击按钮“ +”。单击“保存”来保存更改。

该接口将显示在分配的接口列表中。如下图所示的“ OPT8”。显示为OPTX，具体取决于已经定义的接口数量。

它还将显示在导航面板的“接口”部分中：

三、启用VLAN接口

单击“ OPT8”接口后，便可以启用它，为其指定一个正确的接口名称。建议将接口命名为与VLAN相同的名称，以方便记忆。如果是用于内部子网，一般情况下应该为VLAN选择“静态IPv4”地址，输入接口IP地址。

四、在VLAN接口上启用DHCP

启用VLAN接口后，我们可以在接口上启用DHCP服务，以便VLAN上的设备自动获取IP地址。转到 Services > DHCPv4 > DMZ，单击“在DMZ接口上启用DHCP服务器”复选框。然后输入希望VLAN中的客户端使用的IP地址范围。如下图所示，如果你希望使用其他网关或DNS服务器，可以在相应栏输入相应IP地址。

五、添加防火墙规则

我们已经创建并启用了新的VLAN，还需要设置防火墙规则才能让数据从VLAN中流出。默认情况下，新创建接口的所有网络流量都会被阻止。为了方便操作，我们可以克隆LAN接口上创建的基本规则。如下所示：反锁定规则（它可以避免将自己锁定在Web管理页面之外），允许所有IPv4规则和允许所有IPv6规则。只需要在LAN接口规则列表的右边，单击克隆图标进行操作：

将接口从LAN更改为VLAN接口，本例中为DMZ接口。另外，还需要将源更改为DMZ net，以允许该网络上的所有设备访问网络和Internet的其他部分，当然，你也可以根据自己设置VLAN的目的来进行规则的设置。