各位前輩們好,小弟我想請教一個問題,我司這邊目前狀況是一棟大樓共用同一套網路設備,fortigate型號是310b,每一層有做VLAN,目前有一層樓想要單獨切出來網路獨立,但是原本的網路上的有一些虛擬機器希望共用,網域也是用原本的,目前公司有意再購入一台fortigate 100D,但是現在不知道用甚麼方法做才是最快速的不用動太多東西的方法,想請問一下各位前輩們的意見,謝謝
已邀請的邦友 {{ invite_list.length }}/5
如果只是單獨一層樓切出來獨立
應該是不用另外買FG-100D
只要該樓層一條線直接接到FG310B上的實體埠就好
就類似做一個DMZ區差不多的意思
接下來就是政策的設定
限制連往虛擬機及AD的政策即可
架構這樣最簡單,最省錢
複雜一點就在FG310B上切VDOM
中間用VDOM Link來溝通
就可以一台當兩台用了
mytiny前輩,我們想要切開的原因是,我們沒有權限進入FG310B,如果有狀況時只能拜託總公司人員幫忙處理,加上最近他們實施資安計畫改成ISA,對我們公司影響頗大,才會有計畫想要切開,我們是ISP→L3swich→FG→L3swich→2F三台L2swich,不曉得這樣有甚麼方法可以解決,目前還有尋到一台FG140D,謝謝。
有 L2 SWITCH在,如果自己外接線路,還是有可能被封鎖掉,
說不定已經有鎖 MAC ADDRESS 了,
建議自己申請一條線路,走無線的方案,
如果沒有鎖 MAC ADDRESS,在考慮買 FG140D,
在 FG140D 設定路由就可以.
原有的架構不變,用戶端把預設閘道改成 FG140D 就可以出去了
牽涉到公司政策的問題,建議你一定要先找總公司討論
特別總公司已經要實施ISA的資安計畫
貴單位想要自行搞一條聯外線路,總公司不會有意見嗎?
如果總公司同意這樣的運作,其實架構設定上就很簡單
只是看你說有三台L2交換機,差不多也上百人使用了,
不建議用FG100D或140D,除非你不做UTM,BYOD,流量控制等等功能
架構上雖然用路由設定即可解決(一埠連線接往L3,設靜態路由即可)
但是畢竟一端是內網走總公司,一端是上網負擔上百人
萬一將來撐不住可就麻煩了
看來架構易解,價錢難談
呵呵,說笑了!
iThome鐵人賽
看影片追技術