不同網段要做成內網可連線的問題

vpn 網路管理防火牆 switch

charles502 2015-03-15 00:04:12 ‧ 22314 瀏覽

想不清楚這個問題該怎麼實作
而且貿然做下去不知道會有什麼問題
特來請問大家

集團內有兩間公司
A公司有自己的WAN跟LAN
設備有防火牆走DHCP，Switch無VLAN

B公司也有自己的WAN跟LAN
設備有防火牆走DHCP，Switch無VLAN

現在A跟B公司搬家搬到同大樓不同樓層了
原本B公司有一些系統連線透過SSLVPN連到A公司
現在有人建議拉網路線到A公司去直接走內網

作法一、
兩端網路線直接透過兩間公司的Switch互連
但我認為這樣會造成DHCP派發IP的混亂
Client端的電腦會接收到錯誤的IP導致內部資源取用異常

作法二、
不管網路線的連接
改成Site to Site VPN連接

小弟對於網路的了解有限
目前僅知作法二可行且稍有把握
但倘若真的要透過網路線的連接
把兩間公司的內網相通
不知道還缺少了哪些設備跟執行方式
還請IT邦的前輩們指教
謝謝

林門神JanusLin iT邦超人 1 級 ‧ 2015-03-15 15:33:03 檢舉

集團內兩家公司只有一個資訊室和同一個財務嗎 ?
如果是
怎麼搞都行

如果不是
建議走 VPN

charles502 iT邦研究生 5 級 ‧ 2015-03-19 00:00:14 檢舉

您的建議很寶貴
集團內最大的問題不在於有幾個資訊跟財務
問題是每家公司都有大主管......

VPN確實是很實際的方案
謝謝

林門神JanusLin iT邦超人 1 級 ‧ 2015-03-19 07:47:32 檢舉

政治力啊 ~~~ (茶)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

Ray

iT邦大神 1 級 ‧ 2015-03-15 00:49:40

最佳解答

不要用 Switch 對接, 透過防火牆走 Layer 3 路由過去, 就解決 DHCP 問題了.

假設情境:

A 公司

網段 192.168.1.x/24
防火牆 1st LAN Port 192.168.1.254

B 公司

網段 192.168.2.x/24
防火牆 1st LAN Port 192.168.2.254

在兩家公司的防火牆上, 另找一個獨立的 2nd LAN Port, 分別設為對方的網段:

A公司 2nd LAN Port = 192.168.2.253/24
B公司 2nd LAN Port = 192.168.1.253/24

在兩台防火牆上互設 Static Route (也可能不需要設, 要看防火牆的設計):

A公司防火牆:
route 192.168.2.x/24 gateway 192.168.2.253
B公司防火牆:
route 192.168.1.x/24 gateway 192.168.1.253

然後, 最重要的是這裡:

將A公司防火牆的 2nd LAN Port, 接到 B 公司的 Switch 上
將B公司防火牆的 2nd LAN Port, 接到 A 公司的 Switch 上
如果防火牆會阻擋非對稱路由的話, 要將這條 Rule 關掉 (例如: Cyberoam)
限定防火牆上只能針對自己的 1st LAN Port 提供 DHCP 服務

但這樣只是權宜之計, 並非不是一個良好的網路架構設計, 長久之計還是要整合.

回應 3
分享
檢舉

charles502 iT邦研究生 5 級 ‧ 2015-03-15 23:10:37 檢舉

感謝Ray大的回應
有一點想請教
A公司剛好防火牆設備就是Cyberoam
您有提到阻擋非對稱路由的Rule
不知道是否為系統自動產生的Loopback?

Morris iT邦研究生 3 級 ‧ 2015-03-16 07:50:13 檢舉

您有提到 A 公司用的是 Cyberoam
建議找廠商支援一下(奕瑞或富揚), 因設定時可能會產生莫名的 Loopback

tonykw iT邦新手 2 級 ‧ 2015-03-18 21:06:36 檢舉

建議

將A公司防火牆的 2nd LAN Port, 接到 B 公司的 Switch 上
將B公司防火牆的 2nd LAN Port, 接到 A 公司的 Switch 上
選一個來做就好

登入發表回應

morryboy

iT邦新手 1 級 ‧ 2015-03-15 22:56:56

有配合廠商的話，可以詢問一下他們的意見，有的廠商會不吝給予建議，但我建議您後續要以「集團化」的觀點去看你的網路....^^

回應 1
分享
檢舉

charles502 iT邦研究生 5 級 ‧ 2015-03-16 00:06:22 檢舉

冒昧請問
集團化的網路該怎麼管理比較好?

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2015-03-16 16:15:09

根據raytracy大大的架構

建議調整為
A公司防火牆的 LAN2 Port = 192.168.2.253/24，並去接B公司的網路

而B公司防火牆的LAN2，不要(雞婆)去接A公司的網路
僅在B公司防火牆的Route Table，新增以下Routing
add route 192.168.1.0/24 192.168.2.253

PS.不用在A公司的防火牆，加以下的Route Table喔
add route 192.168.2.0/24 192.168.2.253
因為加不上去！

回應 2
分享
檢舉

yesongow iT邦大師 1 級 ‧ 2015-03-18 11:31:47 檢舉

不然
A公司防火牆的LAN2=10.0.0.1/30
B公司防火牆的LAN2=10.0.0.2/30
然後A公司防火牆的LAN2直接去接B 公司防火牆的LAN2

A 防火牆需新增以下Route tables
route add 192.168.2.0/24 10.0.0.2
policy route 需新增
permit 192.168.1.0/24 to 192.168.2.0/24
permit 192.168.2.0/24 to 192.168.1.xx (Server IP)

B 防火牆需新增以下Route tables
route add 192.168.1.0/24 10.0.0.1
policy route 需新增
permit 192.168.2.0/24 to 192.168.1.0/24
permit 192.168.1.0/24 to 192.168.2.xx (Server IP)