iT邦幫忙

0

GATEWAY設定的問題

plums 2009-12-22 10:10:4722303 瀏覽

我們公司有一台CISCO的ASA 5510防火牆及一台CISCO 3560G三層交換機,我之前的經驗都是將GATEWAY設定在ROUTER或防火牆上,但現在的網管是將GATEWAY設在CISCO 3560G上,這樣的做法是否妥當?效能是否比較好?我是一直覺得怪怪的,不知各位先進有何看法?

24
zyman2008
iT邦大師 8 級 ‧ 2009-12-22 11:56:14
最佳解答

你可以把CISCO 3560G三層交換機想成是一部多個port的"高速"router,負責做公
司內部不同網段之間的routing.
而CISCO 3560G的default gateway再指向ASA 5510 firewall,ASA5510 負責做
內部網路與Internet之間的routing.

這是現在公司網路很普遍的做法,因為Layer 3 switch的routing是透過ASIC處理,
所以比router的效能高又便宜.

16
cafebug
iT邦高手 2 級 ‧ 2009-12-22 11:55:03

基本上把Gateway設在firewall上是一般的做法, 比較傳統.
如果把Gateway設在L3 Switch的話那麼會有比較多種的玩法, 例如: 在client到外部之間或甚至於內部網路區段可以有較多的控制權,因為L3可以設定目的地到哪裡要怎麼繞之類的...

基本上網路可以通都沒問題, 如果是我的話, 我應該Gateway也會設在L3, 這樣比較有彈性 ..

8
jones0227
iT邦新手 4 級 ‧ 2009-12-22 16:53:41

跟我們公司現在規劃很像
這樣作法是最正確的
因為Router或者Firewall工作不外乎除了對外防禦之外,有些對內的policy工作loading也不少,倘若你有切割Vlan,loading量會更重!
將gateway指向switch,只是將你內部的routing工作量減輕囉!

18
cklin
iT邦新手 2 級 ‧ 2009-12-23 11:09:46

將內部的虛擬網段路由(VLAN Routing)設定在第三層核心交換器(Layer3 Core Switch)是最近10年的做法,因為Layer3 Core Switch 是以硬體ASIC的方式來作交換路由(Switch/Routing),速度遠比傳統的Router-以軟體IOS的方式來作路由快上許多。Layer3 Core Switch的出現比一般第二層交換器Layer2 Switch多了路由功能,也取代掉傳統的路由器Router功能。且Switch Port數遠多於Router Port數,且頻寬也較大,市場上有10gEthernet的Switch,卻沒有10gEthernet的Router

Cisco ASA系列Router 上市近3年,有別於傳統的Cisco R系列Router,功能比較接近於UTM(Unified Threat Management,統一威脅管理)設備,也就是將防火牆(Firewall)、防毒牆(Virus Wall)、入侵偵測系統(IPS)、垃圾郵件過濾器(SPAM Filter)、網頁過濾器(Web Filter).....等一些資訊安全控管的功能整合在一個設備中,這已經是超越傳統的路由器的功能,但沒有見過有人ASA所有功能都打開,Cisco 產品銷售時也有一些相牴觸的保護設定如 防毒牆(Virus Wall)與垃圾郵件過濾器(SPAM Filter)不建議同時打開

因此路由(Routing)功能就讓 L3 Switch 來作,Router角色已轉換成UTM

我要發表回答

立即登入回答