iT邦幫忙

0

請教L3 Switch的選擇

小弟公司目前用HP A5120SI作為L3
但近日一直有個異常問題,就是ARP會咬住
也與SI公司報修過,也測試過備機仍然無解
會知道是ARP咬住是因為清掉ARP問題就能解決
這問題就是USER端設備有時候重新連線網路會無法上網(驚嘆號),但配發的到IP
封包卻被A5120擋住

但是清除SWITCH上的ARP就瞬間正常
每次都要手動清除

與公司報備後
目前希望尋找新一代的L3

礙於總預算問題現在在猶豫是要Cisco C3750X-12S+C3KX-NM-10G還是要Cisco C3850-24T-S+C3850-NM-2-10G
其實更希望的是48T+4Port 10G模組
主要是希望VM主機跟NAS可以上10G
如果是C3750X12S+2p10G 我會再配一台HP 5130 24G SFP+
同樣C3850-24T-S+2p10G也是要配一台HP 5130 24G SFP+

選3750是因為這台是全光纖介面,我下方L2都可以直接使用光纖(部分設備在不同樓層,都以光化)
選3850是因為畢竟新一代產品
但預算有限可能上不了48T+4Port10G

現在的架構
http://ithelp.ithome.com.tw/upload/images/20160826/20074366bgK9iyN1J9.jpg

期待的架構
http://ithelp.ithome.com.tw/upload/images/20160826/20074366NhQcCEA63S.png

想要的架構
http://ithelp.ithome.com.tw/upload/images/20160826/20074366l6VmMsvs6F.jpg
其他想法
http://ithelp.ithome.com.tw/upload/images/20160826/200743666Dke9sDXap.jpg

想問問各位先進有什麼其他更好的規畫建議嗎?
謝謝

整體預算以15-18W內為主

會知道是ARP咬住是因為清掉ARP問題就能解決

感覺像是抓一下看誰發ARP Proxy或是Broadcast就可以處理掉了的問題
沒有arp proxy,環境還滿單純的
這部分也協同SI做過檢查
重點是封包被HP那台自己擋住阿

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2016-08-27 12:30:07
最佳解答

小弟個人謬思,是認為HP A5120 SI的memeory過小,僅128M,不適合當骨幹交換或L3交換,尤其版大的公司看來人數(點位)甚多,看來當初的規劃若非預算不夠,就是思慮不深。

其次小弟對版大現在、期待、想要的架構都有一個根本的建議,就是版大未以網路安全作架構的評估規劃,小弟認為版大對架構的想法,植基於一個信任內部網路及人員的前提,因此才會將內網電腦與伺服主機區,放在一個完全可透通連接的範圍(儘管有VALN但仍然透通),而近年來資安事件已完全驗證這是一個危險的架構想法,如果做ISO27001資安稽核或CISSP顧問都會認為有問題,因此誠懇建議版大將伺服區一定要移置到防火牆上做區隔。

承上,既然防火牆上可做區隔,是否也可當路由器? 答案當然是肯定的,其實只要版大Fortigate的型號不要過低(至少200D以上),其內都有網路加速晶片,可以充當L3骨幹交換,同時又將內網網段可做區隔,在此同時又收另外的資安奇效,就是發揮全公司內網設備辨識認證,做到個人端末與閘道的完整防護,詳情可參酌原銷售防火牆廠商。
Yes

在L3 Switch的選擇,小弟認為拋開品牌迷思,專注在功能面,如果只是切VALN而做Routing交由防火牆,外商Extreme、Juniper或Dell,都有較多的SDRAM配置,且48P+10G的價格都在10萬之內,這樣不但既節約預算,又做到網路資安防護,豈非一舉數得,小弟謬思還請版大參酌,並請版上其他先進指教。

看更多先前的回應...收起先前的回應...

大大您好

Vlan2就是專門放置伺服器的
目前都是靠第三方防毒軟體在做防護
我們公司還滿傳統的企業
伺服器頂多都是Web服務,或資料庫服務
內部也只有訂單、財務等等功能,或是與客戶的ERP結合的第三方Router
所以當時也沒有規劃去用防火牆隔開
其實廠商也是有建議透過200D去做L3,但考量200D未來將完全吃下Vigor目前所扮演的VPN腳色,而且萬一200D故障或當機(這發生過),就會所有服務都GG了,所以主管覺得還是分開好。
當時購買A5120SI時確實是還沒有建立工廠與總公司之間的連線,這是後來建立的。
VPN連線主要只用於SQL交換(排程拋資料回來)以及最主要的用途就是SIP通訊,使用自建Avaya電話系統。

不好意思方便詢問大大
您的規畫似乎也是一個趨勢,對於安全來說
以這樣規劃的話,大大建議NAS應該放在哪裡呢?
我司內部交換量最大的是NAS,若透過FORTI去交換是不是骨幹部分SV與USER端交換資料的頻寬不就被限制住了?
我們內部同仁業務與財務以及生管常常互拋影片、訂單檔案、照片等等
我們主要做成衣代工,所以都會拍一些影片(做工等等)

mytiny iT邦大師 1 級 ‧ 2016-08-29 11:05:08 檢舉

按版大所提詢問,就可看出以目前VALN區隔的方式,是無法知道彼此間資料流動的詳情(身分、服務、流量),因此NAS放哪的評估就無法精準,不過FG-200D的防火牆支援LAG,且效能在3Gbps(NP4 Lite晶片),在不開應用層功能的情況下,仍然可以記錄包括service port等多項紀錄,因此在L3/L4層仍可做到很好的Log以資觀察過濾,小弟仍然建議在防火牆區隔NAS使用,詳細數據可看官網型錄。

另外,若擔心故障問題,其實只要網路故障,結果都是一樣的,任何一個重要網路節點故障,幾乎就是全公司停擺,主管在評估風險的時候,對於資安及網路基礎建設風險評估在比重放了多少份量,不言而喻,小弟也只能在此做點建議而已。

大大擬好
你的建議非常實用
目前我拿手上多餘的Fortigate 310B來做L3測試
但有個小問題不知道大大知不知道怎麼設定
我有台DHCP SERVER(Windows 2012跟DNS綁再一起)
我在310B上 VLAN設定DHCP轉送模式
但沒辦法配發IP耶
不得已目前暫時用FORTI去配發QQ

mytiny iT邦大師 1 級 ‧ 2016-09-09 09:52:15 檢舉

FG-310B很舊了,小弟猜測很可能過保固,且它最高只能用到OS 5.2
以OS 5.2.8為例,在GUI上只能啟動DHCP Server
因此必須進入CLI模式
相關DHCP Relay設定都在interface內
另外順便一提,FG-310B是非常舊款設備
在晶片效能上可能並不適合作ISFW
建議您找服務的SI商做深入了解

手上就剩下這台能玩L3了!
不過我有先看過原廠數據,看起來其實硬體效能還比200D強,所以才會索性拿來測試。
剛剛弄好了,確實只能到5.2.8,不過在GUI就可以設定轉送,我發現前面沒有配發IP是因為Server的DHCP SV掉線@@!

我打算買800C來做L3,手上這310B目前穩定使用,比Hp A5120好多了@@

我們配合的SI都很忙,其實還真的有點想換掉
尤其最近想請他們幫忙設定手上借來的C3750X 他們還要另外報價而不願意算原合約,時常需要建議的時候他們都是推他們家的設備QQ

我要發表回答

立即登入回答