一顆Switch接2個Firewall會有問題嗎??

網路架構網路管理防火牆

raja49648473 2015-06-08 17:15:56 ‧ 5098 瀏覽

分享至

WAN 172是SERVER網段，LAN 192是USER網段
假設一個區網內有2個Firewall，而LAN都接在同一顆Switch，各自都有開啟DHCP功能
A-Firewall，WAN 172.16.43.2，LAN 192.168.1.254，DHCP 1~50
B-Firewall，WAN 172.16.43.3，LAN 192.168.1.253，DHCP 51~100
會這樣做是因為A-Firewall效能不足，當有USER用"有線網路"複製10GB資料到172網段 Fire SVR頻寬就會占用，影響其他使用者!!

現在想要將A-Firewall專門給無線網路用，用無線網路的電腦會抓到A-Firewall的IP
而B-Firewall(效能較佳)專門給有線網路用，用有線網路的電腦會抓到B-Firewall的IP
請問這樣的作法會不會有問題，或者會造成區網或Switch異常還是網路封包碰撞異常呢??
請大家指導~謝謝

看更多先前的討論...收起先前的討論...

外獅佬 iT邦大師 1 級 ‧ 2015-06-08 17:18:22 檢舉

兩個DHCP會互搶生意的....

raja49648473 iT邦新手 5 級 ‧ 2015-06-08 17:21:46 檢舉

修正最後會把A跟B FIREWALL的SWITCH各自獨立!!3Q

raja49648473 iT邦新手 5 級 ‧ 2015-06-08 17:35:54 檢舉

外獅佬 iT邦大師 1 級 ‧ 2015-06-08 17:38:15 檢舉

...這樣...兩個DHCP還是串在同一個子網路下了啊...

mytiny iT邦超人 1 級 ‧ 2015-06-08 18:16:23 檢舉

直接回報版大，絕對有問題
而且你對網路的觀念應該也不清楚
給點數0點，會讓其他想幫忙的人無力

yesongow iT邦大師 1 級 ‧ 2015-06-08 21:44:52 檢舉

既然Firewall-A的效能不好，則Firewall-A的LAN應該接Thin-AP即可，
不用再將Thin-AP去接192.168.xx網段的Switch
--
如果Firewall-A的LAN有接Switch，則建議透過Thin-AP連線的無線設備MAC清單
加入Firewall-A的DHCP Spool
而Firewall-B的DHCP Spool，也是使用綁定桌機MAC，以防無線設備來索取IP

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 08:48:01 檢舉

是沒錯~
可是配發的DHCP不重複，也不行囉??
感謝回覆~

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 08:48:15 檢舉

感謝回覆~

外獅佬 iT邦大師 1 級 ‧ 2015-06-09 09:01:42 檢舉

電腦『真的』沒那麼聰明
2台dhcp都發出命令說：接收我的ip
請問，電腦該聽誰的？

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 09:10:20 檢舉

電腦抓DHCP不是先抓到那一個，就會用那一個
基本上應該不會一直換來換去才對(我的認知)
感謝~

外獅佬 iT邦大師 1 級 ‧ 2015-06-09 09:22:57 檢舉

好吧...就這樣了...no reply

poiu124pat iT邦新手 2 級 ‧ 2015-06-09 10:05:16 檢舉

我們公司也是類似的網路架構，不過DHCP只有設在其中的一台。
另外你需要手動設定路由表，要不然可能會出現一堆怪問題....

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 10:39:14 檢舉

我的想法
將所有無線AP線路都接到Firewall-A(效能不足)的SWITCH上，只要是用無線網路都是透過Firewall-A到172SERVER網段，
而Firewall-B都是桌機走實體線路，這樣是否可行
謝謝你~

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 10:40:12 檢舉

我的想法
將所有無線AP線路都接到Firewall-A(效能不足)的SWITCH上，只要是用無線網路都是透過Firewall-A到172SERVER網段，
而Firewall-B都是桌機走實體線路用
這樣是否可行呢，謝謝你~

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 10:43:46 檢舉

可以請問設定路由表的目的是??不設定路由表會有什麼樣的問題呢~謝謝

yesongow iT邦大師 1 級 ‧ 2015-06-09 10:44:26 檢舉

將數台Thin-AP的Lan孔，去接Firewall-A的專屬Switch
而無線設備應該不需要去使用(辦公室印表機)吧？
因為辦公室印表機應該屬於Firewall-B的(有線網路switch)喔！

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 13:36:11 檢舉

對厚~這樣無線網路會無法列印印表機，謝謝提醒

fz500 iT邦新手 4 級 ‧ 2015-06-09 14:16:57 檢舉

基本上只要線路有串在一起就只能有一台DHCP Server來發送IP,架構上也怪怪的~應該很少人會這樣用吧，還是你指的Firewall是指IP分享器，那就另當別論了，一般不要太差的Firewall應該是有DMZ這種設計才對。

李大瑋 iT邦好手 1 級 ‧ 2015-06-09 14:17:31 檢舉

想給外獅佬一個讚
可是找不到

raja49648473 iT邦新手 5 級 ‧ 2015-06-09 17:00:23 檢舉

這是公司先期的規劃，應用上感覺就是DMZ
Firewall-A品牌是4ipnet
公司最早會買他，是因為他有1個功能是如電腦MAC沒設定在Firewall-A，他就無法到172網段，另一個方式也可以到172網段，就是透過網頁輸入帳號密碼認證通過也可以到172網段(Firewall-A沒設定該電腦MAC)，
運用：1.是讓來賓使用上網(我們無線都沒設密碼)2.我想應該是資安考量
一般Firewall是沒設定MAC進去就不能通，但它可以透過網頁認證

fz500 iT邦新手 4 級 ‧ 2015-06-09 17:38:49 檢舉

基本上你們等於把內網和SERVER分離，把SERVER當成外網用，將Firewall上設置MAC過濾及網頁認証設置沒通過的出不去的意思，建議你們還是重新規畫一下嘍，這樣用太怪了，且效能一定差的。

raja49648473 iT邦新手 5 級 ‧ 2015-06-10 09:11:40 檢舉

公司喜歡Firewall-A網頁認証功能
剛到知道這個網路架構我也覺得很奇怪!!
是有考慮將Firewall-A拿掉，將PC網段變成172，無線AP設密碼，問題應該就解決ㄌ
可是Firewall-A網頁認証功能也不需要ㄌ，公司不知O不OK，唉~

阿豪 iT邦新手 5 級 ‧ 2015-06-10 11:20:19 檢舉

感覺得你們server都在dmz區,我覺得應該是要拆成二部份,對外的Server放在172的網段,對內的放在192的網段,DHCP Server我習慣用主機來做,也許用ad Server來做,比較不建議用Firewall來做!
Firewall還是單純做Firewall的事就好!!

poiu124pat iT邦新手 2 級 ‧ 2015-06-10 17:42:43 檢舉

你試著把兩邊的路由表寫出來看看..
一個是
0.0.0.0 0.0.0.0 192.168.1.253
192.168.1.0 255.255.255.0 192.168.1.253

另一個是
0.0.0.0 0.0.0.0. 192.168.1.254
192.168.1.0 255.255.255.0 192.168.1.254

你覺得，你上面的東西如果同時發現到這兩個路由表的時候，他會怎麼了....
你不要忘記了，你的172.16.43.x是在同一個網段喔！

poiu124pat iT邦新手 2 級 ‧ 2015-06-10 18:02:55 檢舉

oscarbird提到：
DHCP Server

我的建議...
在有AD Server環境中，最好是讓DNS Server去負擔DHCP Server的工作，這樣在DHCP Server配發IP之後，還可以直接做DNS的解譯與反登錄動作，這樣的速度在AD的環境某些事情反應會快很多，如果可能還能順便將WINS結合在一起..不過如果沒有，其實FirwWall來負擔DHCP Server也不是不行，就要看你的應用是什麼，FireWall去負擔DHCP Server也有好處，某些FireWall在DHCP上會有一些比較特殊強化的功能，而且在FireWall將DCHP與MAC結合，會有一些意想不到的應用出現。

poiu124pat iT邦新手 2 級 ‧ 2015-06-10 18:07:27 檢舉

poiu124pat提到：
我的建議...

順便補充一下以前Microsoft的文件，有比較多的說明：
https://technet.microsoft.com/zh-tw/library/cc771732.aspx
整合 DHCP 與 DNS

蟹老闆 iT邦大師 1 級 ‧ 2015-06-11 12:28:45 檢舉

raja49648473提到：
當有USER用"有線網路"複製10GB資料到172網段 Fire SVR頻寬就會占用，影響其他使用者!!

假設你的設備沒問題(我認為)!!那你搞錯方向了,問題在檔案伺服器的磁碟存取能力不是在Firewall,我還沒買過背板頻寬小於總PORT數的Firewall.

raja49648473提到：
修正最後會把A跟B FIREWALL的SWITCH各自獨立!!

環境允許可以這麼做,但使用者不是要取存 (Fire SVR?)File Server?這樣做只會造成你更多的困擾.
多來IT邦可以學到不少知識,繼續充實.....

raja49648473 iT邦新手 5 級 ‧ 2015-06-12 10:33:52 檢舉

有確定是Firewall-A效能不足，因USER複製大檔案當下，所有USER會不能到172其他主機，Firewall-A無法進到管理介面，所以目前是將Firewall-A做頻寬上傳下載流量限制(當然使用複製資料就會較慢囉，冏...)，所以才想改善~

蟹老闆 iT邦大師 1 級 ‧ 2015-06-12 12:22:02 檢舉

raja49648473提到：
Firewall-A無法進到管理介面

Firewall 是不是壞了? 這麼不耐操

raja49648473 iT邦新手 5 級 ‧ 2015-06-12 15:42:28 檢舉

了解~感謝!感謝!

raja49648473 iT邦新手 5 級 ‧ 2015-06-12 15:44:48 檢舉

多謝建議幫忙!!

raja49648473 iT邦新手 5 級 ‧ 2015-06-12 15:46:28 檢舉

或許他稱不上FIREWALL吧??
http://4ipnet.blogspot.tw/

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

cysmis02

iT邦新手 4 級 ‧ 2015-06-09 10:03:39

說真的，看不太懂你為什麼要架兩台F.w，是UTM拿來做Route使用?撇開這個問題，你這樣的作法本身兩邊就容易互相影響，我從Client端要Copy資料，要使用Switch然後到g.w(firewall ?)再把封包丟過去另外一台F.w，再給你的Server，這樣怎麼會順勒...

回應 1
分享
檢舉

raja49648473 iT邦新手 5 級 ‧ 2015-06-10 09:00:10 檢舉

目前架構只有firewall-A，現在想做改善，所以想問加firewall-B會不會有其他問題
firewall-A是公司先期的規劃，Firewall-A品牌是4ipnet
公司最早會買他，是因為他有1個功能是如電腦MAC沒設定在Firewall-A，他就無法到172網段，另一個方式也可以到172網段，就是透過網頁輸入帳號密碼認證通過也可以到172網段(Firewall-如沒設定該電腦MAC就是用網頁認證)，
運用：1.是讓來賓使用上網(我們無線都沒設密碼)2.我想應該是資安考量
PS.一般Firewall是沒設定MAC進去就不能通，但4ipnet它可以透過網頁認證做放行通過

登入發表回應