iT邦幫忙

1

串接兩台fortigate問題?

各位前輩們好,小弟我想請教一個問題,我司這邊目前狀況是一棟大樓共用同一套網路設備,fortigate型號是310b,每一層有做VLAN,目前有一層樓想要單獨切出來網路獨立,但是原本的網路上的有一些虛擬機器希望共用,網域也是用原本的,目前公司有意再購入一台fortigate 100D,但是現在不知道用甚麼方法做才是最快速的不用動太多東西的方法,想請問一下各位前輩們的意見,謝謝

hon2006 iT邦大師 1 級 ‧ 2015-05-05 16:13:51 檢舉
1.有做 vlan 所以有一台layer 2 還是 layer 3 的 switch 嗎?
2.如果沒有 layer 3 的 switch ,是用 fortigate 作路由嗎?
1.目前有三台L2-一台L3

2.現在是用FG做路由沒錯。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

4
mytiny
iT邦超人 1 級 ‧ 2015-05-06 01:14:07
最佳解答

如果只是單獨一層樓切出來獨立
應該是不用另外買FG-100D
只要該樓層一條線直接接到FG310B上的實體埠就好
就類似做一個DMZ區差不多的意思
接下來就是政策的設定
限制連往虛擬機及AD的政策即可
架構這樣最簡單,最省錢

複雜一點就在FG310B上切VDOM
中間用VDOM Link來溝通
就可以一台當兩台用了

開心

看更多先前的回應...收起先前的回應...

mytiny前輩,我們想要切開的原因是,我們沒有權限進入FG310B,如果有狀況時只能拜託總公司人員幫忙處理,加上最近他們實施資安計畫改成ISA,對我們公司影響頗大,才會有計畫想要切開,我們是ISP→L3swich→FG→L3swich→2F三台L2swich,不曉得這樣有甚麼方法可以解決,目前還有尋到一台FG140D,謝謝。

hon2006 iT邦大師 1 級 ‧ 2015-05-07 14:14:40 檢舉

有 L2 SWITCH在,如果自己外接線路,還是有可能被封鎖掉,
說不定已經有鎖 MAC ADDRESS 了,
建議自己申請一條線路,走無線的方案,
如果沒有鎖 MAC ADDRESS,在考慮買 FG140D,
在 FG140D 設定路由就可以.

hon2006 iT邦大師 1 級 ‧ 2015-05-07 14:17:37 檢舉

原有的架構不變,用戶端把預設閘道改成 FG140D 就可以出去了

mytiny iT邦超人 1 級 ‧ 2015-05-11 13:48:43 檢舉

牽涉到公司政策的問題,建議你一定要先找總公司討論
特別總公司已經要實施ISA的資安計畫
貴單位想要自行搞一條聯外線路,總公司不會有意見嗎?

如果總公司同意這樣的運作,其實架構設定上就很簡單
只是看你說有三台L2交換機,差不多也上百人使用了,
不建議用FG100D或140D,除非你不做UTM,BYOD,流量控制等等功能
架構上雖然用路由設定即可解決(一埠連線接往L3,設靜態路由即可)
但是畢竟一端是內網走總公司,一端是上網負擔上百人
萬一將來撐不住可就麻煩了
看來架構易解,價錢難談
呵呵,說笑了!

我要發表回答

立即登入回答