iT邦幫忙

0

網路架構問題請教

小弟最近在練習網路架構規劃,以圖為例,三個廠房,主辦公樓在右側六層樓的區域
考慮每層樓網段可分開管理,分開做VLAN,這樣設計似乎是最省錢的做法
但這樣中心的防火牆壓力似乎會很大,不同網段間還要交換,PC和監控都走網路

想請問這樣設計的可行性?該如何改進呢?

littlemi7 iT邦新手 5 級 ‧ 2016-03-10 08:58:46 檢舉
如需沒有要做到L4控管其實不需要用到防火牆,如以上架構 我會比較偏向1樓回答的一樣將F/W換成L3
其實防火牆是來做L4以上控管並不太適合拿來大架構裡面做Router雖然防火牆也可以做Routing等等的可是畢竟他的強項是在L4控管,所以希望版主能把什麼機器運用在網路的哪一層會比較洽當搞清楚
這樣以後在規劃時會更明確也更有效率^^
student iT邦新手 2 級 ‧ 2016-03-10 15:21:58 檢舉
您好,感謝指導

小弟現在的問題在於對L3 Switch與防火牆間的功能連結不懂,想請教問題,有錯誤請指正:
用L3 switch做 coreswitch切VLAN,那麼防火牆所建立的規則,可以套用到L3 Switch的各VLAN上嗎?譬如NAT進不同網段IP,或是針對不同網段做限制存取之類的?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
cpj2028
iT邦新手 4 級 ‧ 2016-03-09 10:37:36

買一台layer 3 switch取代F/W 做router。效能會好很多!!

看更多先前的回應...收起先前的回應...
student iT邦新手 2 級 ‧ 2016-03-09 14:19:43 檢舉

您好,對L3 switch並不了解,想請問下
意思是說,F/W接一條線到L3 switch,由L3 switch指定各port的IP交換結合,這樣說嗎?

sean823 iT邦新手 4 級 ‧ 2016-03-10 09:26:57 檢舉

正確說法應該是
買一台L3 switch做VLAN
FW單純做規則就好

student iT邦新手 2 級 ‧ 2016-03-10 15:19:56 檢舉

對L3 Switch與防火牆間的功能連結不懂,想請教問題,有錯誤請指正:
用L3 switch做 coreswitch切VLAN,那麼防火牆所建立的規則,可以套用到L3 Switch的各VLAN上嗎?譬如NAT進不同網段IP,或是針對不同網段做限制存取

exp:
由internet存取192.168.3.1
防火牆會設MIP或VIP讓一個public ip mapping到192.168.3.1,例如
2.2.2.2 mapping 192.168.3.1
防火牆規則就會是
source ip dest ip service active
any 2.2.2.2 80 allow

當有人連到2.2.2.2的IP時,就會連到192.168.3.1

不知這樣解釋您可以了解嗎??

0
sean823
iT邦新手 4 級 ‧ 2016-03-10 09:43:00

很開心你的學習態度,目前您對網路的了解應該還在基礎

每個人在規劃網路架構之前,一定有他的原因跟想法
不同的人面對同樣的問題也會有不同的規劃

按照架構看,直覺認為防火牆應該是要上網用的
至於Vlan我就有點納悶,是因為使用者人數很多嗎?
假設你每個樓層100人,都使用一個class C的網段

六個樓層600人,我相信你的防火牆效能也不差,LAN PORT應該也夠多

那就把每個EDGE SWITCH直接接到防火牆上,防火牆可以設定每個Port為不同的網段,作規則的管控即可
不一定要切Vlan

當然也可以如一樓所說,買一台L3的SIWTCH去切VLAN

回到問的問題
"想請問這樣設計的可行性?該如何改進呢?"

講難聽點,你用個/21的網段也是可以上網

應該說你希望你的網路架構最終是可以達到那些目的?

例如說,你希望每層樓網段不同但是可以互通,你希望甚麼甚麼諸如此類,或是發生問題是不是好查,好解決

從你的目的跟目標再來思考這樣的架構適不適合

student iT邦新手 2 級 ‧ 2016-03-10 15:19:31 檢舉

您好,感謝指導

小弟是這樣想的,把樓層網段分開,以後可以分樓層管控,好設定規則,有問題也較好查
想到的是,這樣做防火牆的負擔較大,同一樓,有一台core switch做交換,對防火牆負擔較小
而換core switch上去應該比換防火牆上去簡單?(在沒有HA、價格的情況下)

目標是以後若有新增的建築物,都做一新網段管理
但主要SERVER會集中在主樓區(1-6F),加上網路監控什麼的,所以必須跨網段互通

對L3 Switch與防火牆間的功能連結不懂,想請教問題,有錯誤請指正:
用L3 switch做 coreswitch切VLAN,那麼防火牆所建立的規則,可以套用到L3 Switch的各VLAN上嗎?譬如NAT進不同網段IP,或是針對不同網段做限制存取

0
xxoo1122
iT邦新手 3 級 ‧ 2016-04-05 18:13:10

我提供一個簡單的案例分享,這個架構CORE SW是24PORT 10G L3 SWITCH,
EDGE SW是24PORT 1G,2PORT 10G L2 SWITCH,如圖我用兩台CORE SW
做STACK,下面的EDGE SW分別拉兩條線接在CORE SW,提升可用性
,CORE SW上面切了若干VLAN並且在CORE SW上面開啟ROUTING功能,
因此VLAN間的交換就直接在CORE SW交換,至於INTERNET的部分就
增加一筆靜態路由指向防火牆即可。

0
Jerry
iT邦好手 1 級 ‧ 2016-05-03 00:33:38

建議不要使用192.168.X.X,若有使用到vpn連入時,對方原本的也是192.168.x.x,會產生些問題。

我要發表回答

立即登入回答