架構圖如上, 有三個問題:
1.PC A要傳資料到PC B, 但PC A的gateway是設在防火牆上, 這時候L3 switch用static route設定就可以解決A到B的問題嗎?
2.PC A的gateway設定在防火牆上這樣是正規作法嗎? 還是正規設法gateway要設定在L3 switch身上?
3.L3 switch除了用static route, 有更好的設定嗎? 例如用OSPF? RIP?
謝謝!
不太理解為什麼有L4設備為什麼中間要掛一台L3 switch,這樣內部policy不就沒有任何意義,如果單純要做路由繞送,邏輯上應該把L3 switch放在最上面吧
防火牆擺外面這是最好的方式吧
路由交給L3這樣是最符合效能的
L3 SW是hardware routing對比防火牆software routing效率應該會比較好
@ harvey9527
不知您是否知道 core switch 定義 ,
正常是
core switch -> L3 內部交換用 ...
f/W -> L4 - L7 做對外交換用 ...
當然 L4 - L7 來當 內部交換用也可 ...
很多人L3 不路由當 L2 用... XD
@echochio
理解core switch,單純是好奇內部管理都直接通過L3 switch,那要怎樣透過政策去做管理,他又沒辦法做L4 session管制;當然理解FW該做的事對外政策/NAT等等做交換,這裏只是討論一個架構做法,沒有規定一定要這樣做
@harvey9527
沒規定要如何做, 既然問 "正規作法" 當然回 -> 正規作法
只是於IPS 那種 -> 正規作法
當然有那種將所有內外網線都接在 f/w 上 , 所有都由 f/w 交換的 ,
更本沒有 L3
我可以理解這樣的配置,只是我是好奇那內部管治要怎樣做到?
另外,如果要都由 f/w 交換的,正常做法也是都線都接在L2上面,做port-channel 和F/w對接
Layer3 swtich 的ip interface 有沒有 PC B的網段?理論上要有,以便當pc B的gateway
例如10.0.1.253/24
所以,L3 Switch 不用 設定 route ,才對,而是設定Interface 2 IP=10.0.1.253/24
(如同你的左右手,你不用告知左手如何找到右手,因為左右手都是你的interface)
PC A的IP與FW是同網段,所以PC A的GW可以是FW,也能是L3 Switch 同網段的ip
(Interface 1 IP=192.168.1.253)
另外一個重點,你必須要在FW牆上,設定PC B網段,需透過L3 Switch IP,這很重要!
(你必須告訴你的同事,你的右手藏在哪裡(撸管?),這樣她才知道如何找到你的右手)
類似這樣的規則
route add 10.0.1.0/24 192.168.1.253 metric 1
另外一個重點,你必須要在FW牆上,設定PC B網段,需透過L3 Switch IP
請問FW牆上如果沒設定PC B網段需走向L3 SW, 這樣在怎樣的情況下會出問題呢? 因為封包如果是由下往上出internet, 路都打通了, 封包回來時應該不會有routing找不到的問題, 我的想法不知道對嗎? 謝謝您!
樓上說的正確 , "你必須要在FW 上,設定PC B網段,需透過L3 Switch IP" ,
然後 說 L3 Switch 不用 設定 route ,才對 ....
當然可以的 ... 那用 L2 就好為啥用 L3 有點浪費 使用
把 L2 做 trunk 連到 f/w , 然後所有規則在 f/w 做 ....
例如 routing , nat , dnz , policy ....
應該沒有人會說 f/w 的 routing 效能會比 L3 好吧 ?
既然如此為啥用 f/w 做不用 L3 做 ?
1.L3上作static route是可行,但如果要把gateway設在firewall上,firewall也必須作static route,如此,firewall才會認識pcA和pcB的網段。
2.正規的做法應該是L3上面做trunk讓vlan可以溝通,然後,gateway設在firewall上。
3.同上。ospf,eigrp這些都是cisco route的動態路由設定。L3switch也可設定rip。
樓主不知用哪牌防火牆的
如果有說防火牆各式檢測出來效能都一致的
那肯定就是software routing
不過,防火牆也有晶片做路由的,效能好得很
網段跟網段除了抑制封包廣播外
沒有安全檢核的作用與功能
所以最好還是交防火牆分割網段做路由及資安檢核吧
其實,內網如果數量多,HP1910能做啥實在很令人懷疑
如果想網路管理做得好,除切網段做路由外還有很多課題
目前看了很多先進的做法
感覺跟上一世紀的網路做法沒啥變化
還在切網段,設trunk,搞tag,做路由
其實,現代的網路很進步了
接一接線路,把網段設一下防火牆政策就好
其它什麼設IP、路由、Trunk的全都不用做
拓譜圖自動直接會畫出來,
設備接在哪裡清清楚楚
以後大概學網管的會失業