iT邦幫忙

0

不同網段要做成內網可連線的問題

  • 分享至 

  • xImage

想不清楚這個問題該怎麼實作
而且貿然做下去不知道會有什麼問題
特來請問大家

集團內有兩間公司
A公司有自己的WAN跟LAN
設備有防火牆走DHCP,Switch無VLAN

B公司也有自己的WAN跟LAN
設備有防火牆走DHCP,Switch無VLAN

現在A跟B公司搬家搬到同大樓不同樓層了
原本B公司有一些系統連線透過SSLVPN連到A公司
現在有人建議拉網路線到A公司去直接走內網

作法一、
兩端網路線直接透過兩間公司的Switch互連
但我認為這樣會造成DHCP派發IP的混亂
Client端的電腦會接收到錯誤的IP導致內部資源取用異常

作法二、
不管網路線的連接
改成Site to Site VPN連接

小弟對於網路的了解有限
目前僅知作法二可行且稍有把握
但倘若真的要透過網路線的連接
把兩間公司的內網相通
不知道還缺少了哪些設備跟執行方式
還請IT邦的前輩們指教
謝謝

集團內兩家公司只有一個資訊室和同一個財務嗎 ?
如果是
怎麼搞都行

如果不是
建議走 VPN
charles502 iT邦研究生 5 級 ‧ 2015-03-19 00:00:14 檢舉
您的建議很寶貴
集團內最大的問題不在於有幾個資訊跟財務
問題是每家公司都有大主管......

VPN確實是很實際的方案
謝謝
政治力啊 ~~~ (茶)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
22
Ray
iT邦大神 1 級 ‧ 2015-03-15 00:49:40
最佳解答

不要用 Switch 對接, 透過防火牆走 Layer 3 路由過去, 就解決 DHCP 問題了.

假設情境:

A 公司

網段 192.168.1.x/24
防火牆 1st LAN Port 192.168.1.254

B 公司

網段 192.168.2.x/24
防火牆 1st LAN Port 192.168.2.254

在兩家公司的防火牆上, 另找一個獨立的 2nd LAN Port, 分別設為對方的網段:

A公司 2nd LAN Port = 192.168.2.253/24
B公司 2nd LAN Port = 192.168.1.253/24

在兩台防火牆上互設 Static Route (也可能不需要設, 要看防火牆的設計):

A公司防火牆:
route 192.168.2.x/24 gateway 192.168.2.253
B公司防火牆:
route 192.168.1.x/24 gateway 192.168.1.253

然後, 最重要的是這裡:

  1. 將A公司防火牆的 2nd LAN Port, 接到 B 公司的 Switch 上
  2. 將B公司防火牆的 2nd LAN Port, 接到 A 公司的 Switch 上
  3. 如果防火牆會阻擋非對稱路由的話, 要將這條 Rule 關掉 (例如: Cyberoam)
  4. 限定防火牆上只能針對自己的 1st LAN Port 提供 DHCP 服務

但這樣只是權宜之計, 並非不是一個良好的網路架構設計, 長久之計還是要整合.

charles502 iT邦研究生 5 級 ‧ 2015-03-15 23:10:37 檢舉

感謝Ray大的回應
有一點想請教
A公司剛好防火牆設備就是Cyberoam
您有提到阻擋非對稱路由的Rule
不知道是否為系統自動產生的Loopback?

Morris iT邦研究生 3 級 ‧ 2015-03-16 07:50:13 檢舉

您有提到 A 公司用的是 Cyberoam
建議找廠商支援一下(奕瑞或富揚), 因設定時可能會產生莫名的 Loopback

tonykw iT邦新手 2 級 ‧ 2015-03-18 21:06:36 檢舉

建議

  1. 將A公司防火牆的 2nd LAN Port, 接到 B 公司的 Switch 上
  2. 將B公司防火牆的 2nd LAN Port, 接到 A 公司的 Switch 上
    選一個來做就好
0
morryboy
iT邦新手 1 級 ‧ 2015-03-15 22:56:56

有配合廠商的話,可以詢問一下他們的意見,有的廠商會不吝給予建議,但我建議您後續要以「集團化」的觀點去看你的網路....^^

charles502 iT邦研究生 5 級 ‧ 2015-03-16 00:06:22 檢舉

冒昧請問
集團化的網路該怎麼管理比較好?

0
yesongow
iT邦大師 1 級 ‧ 2015-03-16 16:15:09

根據raytracy大大的架構

建議調整為
A公司 防火牆的 LAN2 Port = 192.168.2.253/24,並去接B公司的網路

而B公司 防火牆的LAN2,不要(雞婆)去接A公司的網路
僅在B公司防火牆的Route Table,新增以下Routing
add route 192.168.1.0/24 192.168.2.253

PS.不用在A公司的防火牆,加以下的Route Table喔
add route 192.168.2.0/24 192.168.2.253
因為加不上去!

yesongow iT邦大師 1 級 ‧ 2015-03-18 11:31:47 檢舉

不然
A公司防火牆的LAN2=10.0.0.1/30
B公司防火牆的LAN2=10.0.0.2/30
然後A公司 防火牆的LAN2直接去接B 公司防火牆的LAN2

A 防火牆需新增以下Route tables
route add 192.168.2.0/24 10.0.0.2
policy route 需新增
permit 192.168.1.0/24 to 192.168.2.0/24
permit 192.168.2.0/24 to 192.168.1.xx (Server IP)

B 防火牆需新增以下Route tables
route add 192.168.1.0/24 10.0.0.1
policy route 需新增
permit 192.168.2.0/24 to 192.168.1.0/24
permit 192.168.1.0/24 to 192.168.2.xx (Server IP)

charles502 iT邦研究生 5 級 ‧ 2015-03-19 00:03:48 檢舉

感謝您的補充

我要發表回答

立即登入回答