想請問一下各位先進:
小弟公司一廠內部網段192.168.1.x,伺服器也在同網段,
現在要新建二廠,會將一廠伺服器搬過去,
二廠要規劃切割子網路,但要能讓一廠的client連的進二廠的伺服器,兩廠間打算申請中華的專線,
想請教一下,
可以在二廠Firewall下接一台router,router切兩個網段:192.168.1.x , 192.168.2.x,
把一廠的伺服器搬進二廠router底下的192.168.1.x
會想這樣設定是希望伺服器的網段不變,且又能增加二廠的網段,
不知這樣可行嗎?
已邀請的邦友 {{ invite_list.length }}/5
版大的情況最簡單的方法
不需要在二廠Firewall下接一台router
而是直接在防火牆分成 .1 跟 .2 兩個介面即可
因為防火牆最少也是Layer3的設備,做路由並無問題
而且還可以做網路安全控管
/
現在的問題是,版大確定要一廠跟二廠都要有相同的網段嗎?
而且還要用專線把兩個廠介接
若只是為了要Server能通的方法很多,路由設清楚就好了
可是網路資安管理的概念不清楚
將來網路一通,互相都可以感染
有考慮過如何做好資安防護嗎?
mytiny您好:
我再詳細說明一下我們的需求
目前user數差不多150u,之後會有100u到二廠
而伺服器的服務有ERP/CRM(web)/AD/File server等,大部份伺服器會搬到二廠
未來二廠為總公司,二廠需連一廠WEB式的系統及File server,而一廠需連二廠ERP/File server/AD Server等伺服器
而二廠未來一個網段可能不夠用,所以要增加網段
一二廠會要有同網段,是希望新增二廠後,client端不需修改太多設定,如果一廠延用原1.x網段,而二廠也有1.x網段並放主要server,只是用專線延伸原先一廠1.x網段到二廠,這樣是否一二廠client端都不用再改其網路設定,且也不用增加任何路申設定
資安的部份,因一二廠是用專線連結,是否就等同內網一樣,也不會和外部網路直接相連,所以就用原先firewall+client防毒軟體來做
以資安規劃的角度來說,只要是Server就該獨立在防火牆的另個介面,這樣所有進出Server的流量才能管控、稽核、與紀錄,最忌諱的就是把Client與Server泡在同一個網段,至於省事與否,建議版大這樣考量,現在費點事,總比日後"很麻煩"好,況且搬新廠也不是天天會有,趁這一次有錢又能做事,何不好好建構一下呢? 至於已經是分兩個廠了,設定路由是怎樣都不可能少的,只是是由版大做還是由專線廠商作罷了,至於網段內IP數量的多少,來自於mask設定,小弟所瑣碎的說了一堆,還望版大見諒,建議版大應找專業的網路廠商好好研究一下。
很好的建議喔,謝謝阿
如果我是版大.我的規劃會是:
新廠的 Core Switch 用 L3 等級 (LINESYS 的L3 一台不到10萬就很好用了)
至少切二個VLAN : A. 192.168.1.0/24 => 這個VLAN當 Server Pool,放一廠移過來的server
B.192.168.2.0/24 => 這個VLAN當 User Pool ,二廠的User 用
原來一廠的網段就直接改為192.168.3.0/24
因為有中華電信的專線連接兩廠,二廠的接入點應該要放在192.168.1.0 的網段.
二廠的L3 加一條 Routing : 192.168.3.0/24 的GW 指到 Router
一廠的 防火牆加二條 Routing : 192.168.1.0 /24 的 GW 指到 Router
192.168.2.0/23 的 GW 指到 Router (如果兩廠的User 不互通的話就不要加這條)
另一建議:中華電信的專線可以找互聯通申請(他們可以拿到比你們申請還好的價格,同時又可以借Router=>我們以前申請比價過)
iThome鐵人賽
看影片追技術