HI,各位大大
小弟公司目前使用Ascenlink的負載平衡器作為透通模式,第二層是Checkpoint UTM-1 270防火牆。
公司線路共有三條,共計24個IP,扣除負載平衡器三組IP,防火牆上設定12組IP作為Server聯外代表IP。
但由於Ascenlink為早期機種,對外頻寬僅25M,(我們線有寬頻1條20M/20M;100M/100M;20M/5M),但由於要購買可達400M以上的負載平衡器需要大筆預算,而小弟部門的預算只剩下一點點,後來藉由其他設備汰換的預算購買了居易V300b的負載平衡器。
但是我們的防火牆網路設備公司卻說因為這一台沒有透通模式無法建立連線,後來聽了其他人意見,我們告知設備公司說希望將防火牆設為透通,由居易300b負責NAT。
但設備公司卻說那我們要自己想辦法設定300b...~"~
想問問是說,Checkpoint位於NAT後方,那其VPN我要怎麼連線設定?(外部連入)
因為是NAT後方,那Server的代表IP是不是就沒辦法設定了??
不好意思,小弟是電腦工程師,對網路技術不是很熟,所以我們採取外包的方式
但因為負載平衡器不是跟該公司買的,感覺它們就有點呼弄乎弄得,不想被騙
希望各位前輩幫幫忙給予指點QQQ
樓主的架構原本是
後來改為
300b的模式
5. NAT
埠號重導向
DMZ 主機
開放通訊埠
內部電腦對應到某個 WAN IP
其實就可以達到樓主要的透通需求
因為內部電腦對應到某個wan ip
以及埠號重導向都是透通的特色
以實際案例來看
如果樓主貴司有一網頁主機 ip為 192.168.1.10
wan的ip為 8.8.8.8
那麼可以在 300b上面設定 8.8.8.8 對應 192.168.1.10
也可以達到樓主的需求
vpn的服務也是一樣
那對應的IP需要設定在V300B上嗎??
因為現在的Checkpoint上就有設定
300b上面應該要設定3條電路的ip組態
以及 哪些wan ip 要對應到 checkpoint 的ip才行
例如
V300B的線路分別是
Wan1 59.120.46.1 wan2 219.80.249.1 wan3 61.220.44.1
而對應的Server WAN IP為
59.120.46.2 192.168.2.2
59.120.46.3 192.168.2.3
59.120.46.4 192.168.2.4
59.120.46.5 192.168.2.5
如此類的設定嗎?
是的阿
所以樓主可以先建一筆試試看
假設 192.168.2.2 是web主機
如果 http://59.120.46.2 可以看到 web頁面
那就代表已經可以透過300b 連接到後端了
OKOK,晚點搞台SERVER來測試
大大的解答真的比我們的外包公司還要清楚很多...
這對防火牆廠商來講是一個大工程,所有的ip mapping 及 policy 都要做相對的修改
我想要先把架構都規劃好才動手,不然只怕會一團亂