iT邦幫忙

0

firewall 適合當作 core switch 使用嗎

公司設備大約200多台左右. 僅有區分三個網段
最近公司打算更換防火牆與core switch
廠商說 可以將防火牆作為core switch 使用. 這樣可省下core switch 的費用
請問各位大大這樣是否可行~
防火牆預計會使用utm 防火牆 且等級會好一點~

zyman2008 iT邦大師 6 級 ‧ 2015-12-22 09:04:31 檢舉
要買layer 3以上的產品,不要被firewall throughput這個數字給唬了.
若想要routing達到wire speed,只要看PPS(packet per second)這個數字.
硬體的能力就會現形.
http://kb.juniper.net/InfoCenter/index?page=content&id=KB14737&cat=SWITCH_PRODUCTS&actp=LIST
一般 core switch 的 PORT 都是 10G 甚至 40G 還聽過 100G 的
如果你的 UTM 的 PORT 有 10G 以上的速度
拿來當 core switch 就可以
如果沒有還是乖乖去買 core switch 吧
zyman2008 iT邦大師 6 級 ‧ 2015-12-22 12:08:46 檢舉
要注意喔,
PORT有10G,並不等於routing pps有10G.
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
mytiny
iT邦超人 1 級 ‧ 2015-12-21 20:44:40
最佳解答

版大預計想用哪一款防火牆當Core Switch ?
因為一般防火牆多半沒有特別的晶片來處理網路流量
只是用CPU及Memory來處理封包,面對Gigabits的流量很可能吃力
版大可以特別比較一下L3交換機數據就會發現差別
如果再加上有應用層的資安管理,只怕封包處理會更吃力
在上述前提下,建議務必選購有晶片加速處理能力的設備

但是話說回來,網路結構也是要考量因素
如果版大的流量多半是內對外,很少橫向的不同Vlan流量
這種情形由防火牆承擔網路路由及流量或許可以評估採用

衝刺

allen1975 iT邦新手 2 級 ‧ 2015-12-22 08:27:55 檢舉

謝謝大大回復
原本我公司架構也是 有獨立的core switch . 剛好此次有打算更換防火牆
故這是這間SI公司給的建議. 目前我打算換的SOPHOS or Cyberoam 這兩間其中一間
. 公司內部橫向使用的其實流量也很大. 我想我已經有答案了 謝謝

0
yesongow
iT邦大師 1 級 ‧ 2015-12-21 21:54:52

不適合!

allen1975 iT邦新手 2 級 ‧ 2015-12-22 08:28:10 檢舉

謝謝大大回復

2
souda
iT邦好手 1 級 ‧ 2015-12-22 08:14:24

這廠商專業嗎? 我還沒聽過Firewall可以當Core Switch 因為這是兩種不同樣的等級. 縱使可以做到那機器本身效能要很高,否則容易當機和流量慢..!! 請多找幾間SI評估.

allen1975 iT邦新手 2 級 ‧ 2015-12-22 08:29:59 檢舉

因為之前是配合軟體面向. 這間廠商基本上應該是有一定能力.所以才會提出這樣疑問. 因我公司以往都是core switch 與防火牆獨立分開的. 我想我應該多找幾間評估

0
vicentli
iT邦研究生 4 級 ‧ 2015-12-22 10:03:08

防火牆先買了,撐不住再加買Core Switch,如何?
若一開始就發現不夠用,你們還有舊有設備可先頂,再等Core Switch到貨換上
除非是兩個選項1.高等級防火牆 2.中等及防火牆+Core Switch
才考慮要如何買

allen1975 iT邦新手 2 級 ‧ 2015-12-22 10:18:21 檢舉

這方式我也想過. 先更換防火牆試試. 如的確效能不足再添加也可
謝謝大大告知

vicentli iT邦研究生 4 級 ‧ 2015-12-22 11:33:13 檢舉

我公司100多台設備,只用Fortigate 100D當Core Switch是足夠了
檢視CPU、RAM使用率都不高,CPU還不到10%
記憶體吃一半,不過我們環境只有1G啦…跟UTM有關的Policy其實也沒很多

4
roylee
iT邦高手 1 級 ‧ 2015-12-23 08:00:31

您好

個人認為fw做core 是OK,但是我還是建議讓core做所有lan的路由,fw做自己該做的事情會比較好。

0
傑瑞米
iT邦新手 4 級 ‧ 2017-04-06 10:26:37

建議各設備做好該設備應該做的事情,雖說成本上會支出許多,但可一步一步進行更換or新增,以避免不必要的狀況發生,導致需花費更多時間及金錢來解決!

allen1975 iT邦新手 2 級 ‧ 2017-04-06 10:51:38 檢舉

謝謝您的回答 . 目前正朝此方向處理

我要發表回答

立即登入回答