Lease line專線設定問題

#leaseline #routing

boy1010 2019-03-20 15:23:31 ‧ 2114 瀏覽

分享至

請問各位,
如下圖所示, 我公司原本的設定就是1個防火牆,1個Switch,所有使用者都連接到這個Switch.
現在我們申請了彭博的股票資訊服務, 彭博提供了專線(lease line)讓我們連接去他們的服務.
我們有2個使用者要同時連接去彭博和原本內部網絡的伺服器, 還有上網要通過原本的網絡供應商.請問: 我把彭博的Router連接Switch以後, 我的防火牆和SWITCH的設定需要調整嗎?
需要設定路由(routing)嗎?
還是只需要在使用者的電腦設定static route就可以?
謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

bluegrass

iT邦高手 1 級 ‧ 2019-03-20 16:18:42

最佳解答

假設你現有用戶的GATEWAY是指到防火牆

防火牆要加STATIC ROUTE, 去彭博網絡時侯GATEWAY是192.168.0.224

另你的防火牆如也有機會要指令去bypass Asymmetric ROUTE

你現在的設計有Asymmetric ROUTE問題的

除非你防火牆加NAT去彭博網絡時侯SRC IP改成防火牆的

回應 15
分享
檢舉

看更多先前的回應...收起先前的回應...

boy1010 iT邦新手 5 級 ‧ 2019-03-21 09:26:39 檢舉

如果我不在防火牆加static route, 直接在那2個使用者的電腦上加static route, 效果是不是一樣?

bluegrass iT邦高手 1 級 ‧ 2019-03-21 09:53:33 檢舉

可以, 但你的static route不能是0.0.0.0/0

如是0.0.0.0/0 , 你彭博的Router要有自己的

0.0.0.0/0 交回你防火牆

boy1010 iT邦新手 5 級 ‧ 2019-03-21 11:26:35 檢舉

明白. 如果我在使用者電腦直接設定static route後, 防火牆不作任何設定. 請問我把這條專線直接連接到SWITCH以後, 會引致我的網絡出現甚麼不穩定的問題嗎? 謝謝

bluegrass iT邦高手 1 級 ‧ 2019-03-21 12:14:13 檢舉

應該是沒大問題, 不如你說說你彭博網絡那邊的LAN是什麼

boy1010 iT邦新手 5 級 ‧ 2019-03-21 14:14:19 檢舉

彭博的LAN用了我們內部的IP 192.168.0.224. 然後應該沒有ENABLE DHCP

bluegrass iT邦高手 1 級 ‧ 2019-03-21 14:47:05 檢舉

那你專線很大機會是LAYER 2的?

boy1010 iT邦新手 5 級 ‧ 2019-03-21 15:04:28 檢舉

它是一個Cisco 1921的ROUTER

bluegrass iT邦高手 1 級 ‧ 2019-03-21 15:09:22 檢舉

?_?

boy1010 iT邦新手 5 級 ‧ 2019-03-21 15:13:22 檢舉

請問彭博的專線是Layer 2 或者 Layer3 對我們的網絡有甚麼不同和影響? 因為我本身網絡的智識不是很初階. 謝謝

bluegrass iT邦高手 1 級 ‧ 2019-03-21 15:56:55 檢舉

Layer 2 的話, 他是能直接到你LAN, 沒有任何ROUTE要加減/改動

Layer 3 的話, 你和他都要有ROUTE才能接到你和他的LAN

boy1010 iT邦新手 5 級 ‧ 2019-03-21 17:46:07 檢舉

請問是甚麼設定決定router是layer2 or layer3? 是router裡面有個設定選擇router是layer2 or layer3嗎? 還是開啟了甚麼功能決定了他是layer2 or layer3?

bluegrass iT邦高手 1 級 ‧ 2019-03-22 00:13:33 檢舉

算了, 當我沒問, 太難說明了

boy1010 iT邦新手 5 級 ‧ 2019-03-22 10:21:35 檢舉

好的, 謝謝

納貝 iT邦新手 1 級 ‧ 2019-03-26 13:11:01 檢舉

Layer2意思就你們內網會跟他們內網相連接，就像在同一個辦公室裡的電腦一樣，不過看你情況應該不是layer2，你們是layer3的做法，這也是最常見的做法，對方提供一個IP給你讓你把相關的路由指到這個IP上

boy1010 iT邦新手 5 級 ‧ 2019-04-01 08:58:50 檢舉

請問如果是Layer2, 他的router LAN IP是不是需要設定一個我們內聯網的IP? 如果是Layer3, 他的router LAN IP就不是我們內聯網的IP?

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-03-20 22:48:49

建議將彭博的Router接在防火牆上
如果能做點資安管控會比較好
不然彭博的Router連在switch等於是公司的內部

回應 3
分享
檢舉

補覺鳴詩 iT邦高手 1 級 ‧ 2019-03-21 07:25:42 檢舉

而且網段也應該錯開

boy1010 iT邦新手 5 級 ‧ 2019-03-21 09:28:18 檢舉

如果不理資安的問題, 直接連在switch上面, 防火牆是不是甚麼設定和管理這條lease line也不用?

補覺鳴詩 iT邦高手 1 級 ‧ 2019-03-21 10:38:33 檢舉

要設定路由

登入發表回應

做工仔人!

iT邦大師 1 級 ‧ 2019-03-21 11:55:13

請彭博的工程師設定 : 要出INTERNET 的封包轉送到: 原來的防火牆的 IP
可以連到彭博 USER 的GATEWAY 直接指到:192.168.0.224 即可.
基本上彭博的工程師應該都會幫忙.

假設公司要管制可以連彭博的人員: 就將可以連線的內部IP給彭博的工程師: 就是這些IP 可以連線到彭博的後端. 其他的IP 全部轉送到原本的 GATEWAY .

回應 3
分享
檢舉

boy1010 iT邦新手 5 級 ‧ 2019-03-21 14:19:01 檢舉

如果我2個使用者的GATEWAY是直接設了我防牆的IP 192.168.0.1.
然後在2個使用者的電腦設了STATIC ROUTE, 把所有彭博相關服務的IP都ROUTE去192.168.0.224. 這樣是不是不用彭博的工程師把要出INTERNET 的封包轉送到: 原來的防火牆的 IP? 謝謝

做工仔人! iT邦大師 1 級 ‧ 2019-03-22 08:47:21 檢舉

這樣也可以, 但是要考慮:
1.彭博會不會供相關SERVER 及PORT 的LIST? (這個彭博他們自己的資安考量)
2.當彭博的設定調整時,他們會不會主動通知? 股市是1秒鐘幾十萬上下的事.如果指到彭博的ROUTER , 那當彭博的設定改變時,他們就要自動去修改客戶家的設定.=>簡單的說:ROUTING 設在自己的GATEWAY 上, 責任就自己扛. GATEWAY 指到彭博ROUTER ,出問題時彭博背.
如果是我:我會把責任丟給彭博.(要賺錢就要做事及負責任.)