請問有關如何讓兩台防火牆的網段可以互連 ?

edras 2011-08-18 18:34:19 ‧ 17254 瀏覽

各位好:
請教一個問題,公司這邊有三條對外網路

雙向20M ==> 公司對外營運網站用
12M/3M ==> 公司辦公室環境用
12M/3M ==> 公司研發部門環境用

目前使用一台FortiGate UTM , 但因為效能不夠
所以打算使用之前公司多的一台防火牆來作為20M 這條線路出去用
這樣要請問各位

防火牆A : 192.168.1.x 網段
防火牆B : 192.168.2.x 網段

要如何讓兩台防火牆的內部網站可以互連呢 ?

謝謝

我就把你嘿嘿嘿 iT邦新手 3 級 ‧ 2011-08-26 17:14:44 檢舉

1. 防火牆A : 192.168.1.x 網段
2. 防火牆B : 192.168.2.x 網段

如果防火牆A 和防火牆B 都支援Site-to-Site VPN的功能
那麼原則上只要用VPN把兩邊串起來就可以互通了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

9 個回答

a218066

iT邦研究生 2 級 ‧ 2011-08-18 21:22:04

最佳解答

請在防火牆內各設對方路由就可以互通了

防火牆A : 192.168.1.x 網段設路由 : IP:192.168.2.x GW:192.168.2.254
防火牆B : 192.168.2.x 網段設路由 : IP:192.168.1.X GW:192.168.1.254

回應
分享
檢舉

登入發表回應

Tony

iT邦高手 4 級 ‧ 2011-08-18 19:10:31

如果將所以內部電腦都設同一網段, 設成不同gateway, 會不會比較簡單?

回應 3
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-19 09:54:48 檢舉

這樣的設定會有問題耶,謝謝

我就把你嘿嘿嘿 iT邦新手 3 級 ‧ 2011-08-29 03:49:02 檢舉

沒切網段就用不同 Gateway? 不會天下大亂嗎?

鐵殼心 iT邦高手 1 級 ‧ 2011-08-29 10:15:30 檢舉

hsw1976提到：
沒切網段就用不同 Gateway? 不會天下大亂嗎?

不給Ｇａｔｅｗａｙ當心被老闆叫去領紙箱一個.

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2011-08-19 08:26:28

給您參考

http://www.ublink.org/index.php/component/content/article/4-2010-02-27-08-02-27/180-route-static-route-.html

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-19 09:55:39 檢舉

謝謝告知,我會參考看看, 目前是FortiGate + Netscreen 互連, 但是發現NetScreen 效能有點不足,可能還是得換一台, 謝謝

登入發表回應

tombo

iT邦高手 1 級 ‧ 2011-08-19 09:29:38

1.路由通不通
2.Policy 設了沒...

LAN 1 與 LAN 2 之間的路由要設
Policy 就像沿路的關卡，也要設定，預設都是 Deny，就算路由通了，也過不去...

一般IP 分享器，防火牆預設都是 Allow，而 Fortigate 防火牆預設都是 Deny...

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-19 09:56:21 檢舉

您好:謝謝您的告知,目前還要再找一台防火牆設備, 目前的NetScreen 似乎無法負荷20M/20M 的頻寬, 謝謝

登入發表回應

joey6519

iT邦新手 4 級 ‧ 2011-08-19 10:05:49

兩台防火牆,內部又使用不同的網段,那直接建立Site to Site VPN就可以讓兩方互通囉。

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-25 10:46:26 檢舉

您好:內網的話用site to site VPN 多少會影響防火牆的效能,我想應該還是設定路油的方式比較好,謝謝

登入發表回應

tn11428

iT邦新手 4 級 ‧ 2011-08-19 13:13:34

之前公司是用Fortigate 60B
Fortigate的policy預設都是Deny
所以先把路由設定好，再去設定policy

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-19 15:26:13 檢舉

謝謝您,目前大概是這樣設定,接下來可能就要評估防火牆效能,謝謝

登入發表回應

fireflybug

iT邦研究生 4 級 ‧ 2011-08-19 13:50:31

兩個網段是獨立?還是都插在同一個SWITCH只是IP設定不同網段?
如果是後者,a218066大的方式即可
如果是前者,還是要有一台ROUTER的設備當路由比較恰當

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-19 15:27:12 檢舉

您好: 目前是前者
會拆開主要還是因為目前的UTM設備無法負荷三條對外線路的頻寬
謝謝

登入發表回應

johnnet01

iT邦新手 3 級 ‧ 2011-08-31 17:20:47

若是因為UTM無法負荷三條頻寬,應省下防火牆的費用,改買一台load balance的設備,
不僅可讓內部網段一致,外部頻寬也可以作最好的運用

回應 1
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-08-31 17:23:41 檢舉

您好:
謝謝您的建議,因為目前預算有限,所以比較沒辦法購買LB 設備
謝謝

登入發表回應

eeie9999

iT邦新手 4 級 ‧ 2011-09-08 16:01:09

這就是DMZ的架構阿(只是拆成兩個防火牆)
在內網的防火牆上開一個port設定DMZ區的IP 接到DMZ網段的Switch上
在DMZ的防火牆上加入內網網段路由指向剛剛的IP
在內網的防火牆上做限制只有DMZ區的IP能連"入",往DMZ區只有內網IP能連"出"
這樣應該就可以了

回應 3
分享
檢舉

edras iT邦新手 4 級 ‧ 2011-09-16 15:49:28 檢舉

您好:
但現在是不同對外線路接到不同的防火牆,採用這種架構,那兩台對外線路的負擔就落到前端那台上了
,以目前的防火牆效能可能無法負荷,謝謝

eeie9999 iT邦新手 4 級 ‧ 2011-09-18 14:12:49 檢舉

不會阿, 我講的架構是你目前的架購, 平行非前後
假設A是辦公室
Port 1 12/3 ADSL
Port 2 12/3 ADSL
port 3 IP設定為192.168.2.253, 並接上B環境的Switch
Port 4 IP為192.168.1.254
B_FW
Port 1 30/30
Port 2 IP:192.168.2.254
各防火牆的路由還是預設走自己的線路出去,
B_FW多條路由把192.168.1.0/24導到192.168.2.253
A_FW也只是把192.168.2.0/24導到192.168.2.253
Client不用動還是以FW為GW
通常會在A_FW加入
Port3->Port4
192.168.2.0 -> 192.169.1.0 Allow
Port4->Port3
192.168.1.0 -> 192.168.2.0 Allow
如果還看不懂, 我再畫圖好了...