如果有有三條固定IP的線路+VPN
機器有頻寬管理器,防火牆,路由器,L3交換器
因為這些設備有些功能都重複到了,大家會如何接線(設備順序)及分配這些設備所提供的服務?
我想法是頻寬管理器-防火牆-L3交換器,然後路由器接在LAN負責內部封包轉送(VPN)
IP設定在頻寬管理器上,然後如果是需要外部IP的在這邊設定NAT
防火牆設透明模式,然後一些規則or開放port都設在這
L3交換器當gateway,設定VLAN及靜態路由
目前苦惱的是
1.有需要多開一個DMZ嗎? 在頻寬管理器上設定NAT這樣好不好
2.gateway用路由器好還是L3交換器,因為目前VPN走得也都是ethernet
據我所知L3交換器處理路由的效率會比路由器還好
3.有沒有大家公認網路設備的順序或是其他更好的設定?
謝謝大家
已邀請的邦友 {{ invite_list.length }}/5
因為版大完全沒提到設備的名稱及運用的方向
所以應該會有很多各式不同的答案
小小的建議如下:由外到內
路由器->頻寬管理器->防火牆->L3交換機
而且一定要設DMZ,如果防火牆效能夠,最好DMZ開在防火牆
另,版大未註明是何種VPN
但也建議VPN應該接在防火牆上
建議原因:
路由器在外,負責NAT與網路第四層以下的轉換,降低防火牆負擔
頻寬管理器,負責內外第七層流量的控制,部分USER至Server的流量負擔可以避免
防火牆,採透通模式,但各埠之間可以做第七層的資安控管(含VPN往來)
L3交換機,負責各VLAN轉發,記錄內網之間網路轉發情形
其實,說真話,現代設備技術日新月異
以上所有東西一台設備就可以完成了(含L3交換機)
還可以多ThinAP控管及BYOD
防火牆-頻寬管理器-L3交換器...現在一般公司用的防火牆都有路由功能, 其實連頻寬管理器都不需要...防火牆/交換器都有頻寬管理....
您們的架構與我們的相似,提供參考狀況..
LoadBalance --> Firewall---> L3 SWITCH
讓LOAD BALANCE去做NAT跟線路的調整,流量全往FW拋,FW做自己的角色,但LOG每天只留Active,昨天以前的全拋到另一部LOG SERVER...
另外DMZ是一定要的,設定Untrust to DMZ Allow , DMZ to Trust Deny ,將該開的開啟,不該開的port要關閉...
說的對,小的也認為是這樣
iThome鐵人賽
看影片追技術