iT邦幫忙

0

網路設備的順序

handsheap 2 年前4977 瀏覽

如果有有三條固定IP的線路+VPN
機器有頻寬管理器,防火牆,路由器,L3交換器
因為這些設備有些功能都重複到了,大家會如何接線(設備順序)及分配這些設備所提供的服務?
我想法是頻寬管理器-防火牆-L3交換器,然後路由器接在LAN負責內部封包轉送(VPN)
IP設定在頻寬管理器上,然後如果是需要外部IP的在這邊設定NAT
防火牆設透明模式,然後一些規則or開放port都設在這
L3交換器當gateway,設定VLAN及靜態路由

目前苦惱的是
1.有需要多開一個DMZ嗎? 在頻寬管理器上設定NAT這樣好不好
2.gateway用路由器好還是L3交換器,因為目前VPN走得也都是ethernet
據我所知L3交換器處理路由的效率會比路由器還好
3.有沒有大家公認網路設備的順序或是其他更好的設定?
謝謝大家

hon2006 iT邦大師 1 級 ‧ 2 年前 檢舉
三條線路的頻寬?
有什麼服務要對外的?
4
mytiny
iT邦大師 7 級 ‧ 2 年前
最佳解答

因為版大完全沒提到設備的名稱及運用的方向
所以應該會有很多各式不同的答案
小小的建議如下:由外到內
路由器->頻寬管理器->防火牆->L3交換機
而且一定要設DMZ,如果防火牆效能夠,最好DMZ開在防火牆
另,版大未註明是何種VPN
但也建議VPN應該接在防火牆上

建議原因:
路由器在外,負責NAT與網路第四層以下的轉換,降低防火牆負擔
頻寬管理器,負責內外第七層流量的控制,部分USER至Server的流量負擔可以避免
防火牆,採透通模式,但各埠之間可以做第七層的資安控管(含VPN往來)
L3交換機,負責各VLAN轉發,記錄內網之間網路轉發情形

其實,說真話,現代設備技術日新月異
以上所有東西一台設備就可以完成了(含L3交換機)
還可以多ThinAP控管及BYOD

開心讚

看更多先前的回應...收起先前的回應...
danking iT邦研究生 3 級 ‧ 2 年前 檢舉

~~路過

All in One 雖然很方便, 但是只要設備固障, 那就影響很大了!

mytiny iT邦大師 7 級 ‧ 2 年前 檢舉

汗 說的對,小的也認為是這樣
可是...
網路設備不管哪個故障,都是影響很大
暈

enen1980 iT邦研究生 1 級 ‧ 2 年前 檢舉

ALL in ONE X 2 做HA 嗎~或者DUAL WAN X2 做HA~設備減少而集中管理細項~~
有事起上來要逐樣檢查~老闆都走到位前要罵了HOHOHO~~

iam666 iT邦新手 5 級 ‧ 2 年前 檢舉

重新調整後的方式不錯,但建議VPN網路僅經路由器後直進switch,VPN節點越簡單越好(都在內網了...)

0
enen1980
iT邦研究生 1 級 ‧ 2 年前

防火牆-頻寬管理器-L3交換器...現在一般公司用的防火牆都有路由功能, 其實連頻寬管理器都不需要...防火牆/交換器都有頻寬管理....

0
morryboy
iT邦新手 1 級 ‧ 2 年前

您們的架構與我們的相似,提供參考狀況..

LoadBalance --> Firewall---> L3 SWITCH

讓LOAD BALANCE去做NAT跟線路的調整,流量全往FW拋,FW做自己的角色,但LOG每天只留Active,昨天以前的全拋到另一部LOG SERVER...

另外DMZ是一定要的,設定Untrust to DMZ Allow , DMZ to Trust Deny ,將該開的開啟,不該開的port要關閉...

我要發表回答

立即登入回答