小弟最近在練習網路架構規劃,以圖為例,三個廠房,主辦公樓在右側六層樓的區域
考慮每層樓網段可分開管理,分開做VLAN,這樣設計似乎是最省錢的做法
但這樣中心的防火牆壓力似乎會很大,不同網段間還要交換,PC和監控都走網路
想請問這樣設計的可行性?該如何改進呢?
已邀請的邦友 {{ invite_list.length }}/5
買一台layer 3 switch取代F/W 做router。效能會好很多!!
正確說法應該是
買一台L3 switch做VLAN
FW單純做規則就好
對L3 Switch與防火牆間的功能連結不懂,想請教問題,有錯誤請指正:
用L3 switch做 coreswitch切VLAN,那麼防火牆所建立的規則,可以套用到L3 Switch的各VLAN上嗎?譬如NAT進不同網段IP,或是針對不同網段做限制存取
exp:
由internet存取192.168.3.1
防火牆會設MIP或VIP讓一個public ip mapping到192.168.3.1,例如
2.2.2.2 mapping 192.168.3.1
防火牆規則就會是
source ip dest ip service active
any 2.2.2.2 80 allow
當有人連到2.2.2.2的IP時,就會連到192.168.3.1
不知這樣解釋您可以了解嗎??
很開心你的學習態度,目前您對網路的了解應該還在基礎
每個人在規劃網路架構之前,一定有他的原因跟想法
不同的人面對同樣的問題也會有不同的規劃
按照架構看,直覺認為防火牆應該是要上網用的
至於Vlan我就有點納悶,是因為使用者人數很多嗎?
假設你每個樓層100人,都使用一個class C的網段
六個樓層600人,我相信你的防火牆效能也不差,LAN PORT應該也夠多
那就把每個EDGE SWITCH直接接到防火牆上,防火牆可以設定每個Port為不同的網段,作規則的管控即可
不一定要切Vlan
當然也可以如一樓所說,買一台L3的SIWTCH去切VLAN
回到問的問題
"想請問這樣設計的可行性?該如何改進呢?"
講難聽點,你用個/21的網段也是可以上網
應該說你希望你的網路架構最終是可以達到那些目的?
例如說,你希望每層樓網段不同但是可以互通,你希望甚麼甚麼諸如此類,或是發生問題是不是好查,好解決
從你的目的跟目標再來思考這樣的架構適不適合
您好,感謝指導
小弟是這樣想的,把樓層網段分開,以後可以分樓層管控,好設定規則,有問題也較好查
想到的是,這樣做防火牆的負擔較大,同一樓,有一台core switch做交換,對防火牆負擔較小
而換core switch上去應該比換防火牆上去簡單?(在沒有HA、價格的情況下)
目標是以後若有新增的建築物,都做一新網段管理
但主要SERVER會集中在主樓區(1-6F),加上網路監控什麼的,所以必須跨網段互通
對L3 Switch與防火牆間的功能連結不懂,想請教問題,有錯誤請指正:
用L3 switch做 coreswitch切VLAN,那麼防火牆所建立的規則,可以套用到L3 Switch的各VLAN上嗎?譬如NAT進不同網段IP,或是針對不同網段做限制存取
我提供一個簡單的案例分享,這個架構CORE SW是24PORT 10G L3 SWITCH,
EDGE SW是24PORT 1G,2PORT 10G L2 SWITCH,如圖我用兩台CORE SW
做STACK,下面的EDGE SW分別拉兩條線接在CORE SW,提升可用性
,CORE SW上面切了若干VLAN並且在CORE SW上面開啟ROUTING功能,
因此VLAN間的交換就直接在CORE SW交換,至於INTERNET的部分就
增加一筆靜態路由指向防火牆即可。
建議不要使用192.168.X.X,若有使用到vpn連入時,對方原本的也是192.168.x.x,會產生些問題。
iThome鐵人賽
看影片追技術