routing 路由設定問題

router l3 switch routing gateway route

ee88521 2020-05-20 17:47:46 ‧ 6313 瀏覽

分享至

架構圖如上, 有三個問題:

1.PC A要傳資料到PC B, 但PC A的gateway是設在防火牆上, 這時候L3 switch用static route設定就可以解決A到B的問題嗎?

2.PC A的gateway設定在防火牆上這樣是正規作法嗎? 還是正規設法gateway要設定在L3 switch身上?

3.L3 switch除了用static route, 有更好的設定嗎? 例如用OSPF? RIP?

謝謝!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

echochio

iT邦高手 1 級 ‧ 2020-05-20 20:05:36

L3 設定 static route 就可以了
正規設法gateway要設定在L3 switch
L3 switch除了用static route .... 你確定了解 OSPF 與 RIP 嗎?
你的網路架構有多台且星狀的路由 , 有就考慮用 RIP -> IGRP -> OSPF
最小的 RIP 支援單一路徑最多支援15個網路設備 .... 你有需要嗎 ?
動態學習路由會吃效能的

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

harvey9527 iT邦新手 5 級 ‧ 2020-05-21 10:11:41 檢舉

不太理解為什麼有L4設備為什麼中間要掛一台L3 switch，這樣內部policy不就沒有任何意義，如果單純要做路由繞送，邏輯上應該把L3 switch放在最上面吧

casper2048 iT邦新手 4 級 ‧ 2020-05-21 11:46:10 檢舉

防火牆擺外面這是最好的方式吧
路由交給L3這樣是最符合效能的

ee88521 iT邦新手 5 級 ‧ 2020-05-21 14:20:55 檢舉

L3 SW是hardware routing對比防火牆software routing效率應該會比較好

echochio iT邦高手 1 級 ‧ 2020-05-22 08:50:19 檢舉

@ harvey9527
不知您是否知道 core switch 定義 ,
正常是
core switch -> L3 內部交換用 ...
f/W -> L4 - L7 做對外交換用 ...
當然 L4 - L7 來當內部交換用也可 ...
很多人L3 不路由當 L2 用... XD

harvey9527 iT邦新手 5 級 ‧ 2020-05-22 13:50:17 檢舉

＠echochio
理解core switch，單純是好奇內部管理都直接通過L3 switch，那要怎樣透過政策去做管理，他又沒辦法做L4 session管制;當然理解FW該做的事對外政策/NAT等等做交換，這裏只是討論一個架構做法,沒有規定一定要這樣做

echochio iT邦高手 1 級 ‧ 2020-05-23 10:57:22 檢舉

@harvey9527
沒規定要如何做, 既然問 "正規作法" 當然回 -> 正規作法
只是於IPS 那種 -> 正規作法
當然有那種將所有內外網線都接在 f/w 上 , 所有都由 f/w 交換的 ,
更本沒有 L3

harvey9527 iT邦新手 5 級 ‧ 2020-05-25 11:09:19 檢舉

我可以理解這樣的配置，只是我是好奇那內部管治要怎樣做到？
另外，如果要都由 f/w 交換的，正常做法也是都線都接在L2上面，做port-channel 和F/w對接

登入發表回應

yesongow

iT邦大師 1 級 ‧ 2020-05-21 13:07:58

Layer3 swtich 的ip interface 有沒有 PC B的網段？理論上要有，以便當pc B的gateway
例如10.0.1.253/24

所以，L3 Switch 不用設定 route ，才對，而是設定Interface 2 IP=10.0.1.253/24
(如同你的左右手，你不用告知左手如何找到右手，因為左右手都是你的interface)

PC A的IP與FW是同網段，所以PC A的GW可以是FW，也能是L3 Switch 同網段的ip
(Interface 1 IP=192.168.1.253)

另外一個重點，你必須要在FW牆上，設定PC B網段，需透過L3 Switch IP，這很重要！
(你必須告訴你的同事，你的右手藏在哪裡（撸管？），這樣她才知道如何找到你的右手）

類似這樣的規則
route add 10.0.1.0/24 192.168.1.253 metric 1

回應 2
分享
檢舉

ee88521 iT邦新手 5 級 ‧ 2020-05-21 14:30:15 檢舉

另外一個重點，你必須要在FW牆上，設定PC B網段，需透過L3 Switch IP

請問FW牆上如果沒設定PC B網段需走向L3 SW, 這樣在怎樣的情況下會出問題呢? 因為封包如果是由下往上出internet, 路都打通了, 封包回來時應該不會有routing找不到的問題, 我的想法不知道對嗎? 謝謝您!

echochio iT邦高手 1 級 ‧ 2020-05-22 08:33:33 檢舉

樓上說的正確 , "你必須要在FW 上，設定PC B網段，需透過L3 Switch IP" ,

然後 說 L3 Switch 不用 設定 route ，才對 ....

當然可以的 ... 那用 L2 就好為啥用 L3 有點浪費使用
把 L2 做 trunk 連到 f/w , 然後所有規則在 f/w 做 ....
例如 routing , nat , dnz , policy ....

應該沒有人會說 f/w 的 routing 效能會比 L3 好吧 ?
既然如此為啥用 f/w 做不用 L3 做 ?

登入發表回應

msnman

iT邦研究生 1 級 ‧ 2020-05-21 14:13:53

1.L3上作static route是可行，但如果要把gateway設在firewall上，firewall也必須作static route，如此，firewall才會認識pcA和pcB的網段。
2.正規的做法應該是L3上面做trunk讓vlan可以溝通，然後，gateway設在firewall上。
3.同上。ospf,eigrp這些都是cisco route的動態路由設定。L3switch也可設定rip。

回應 3
分享
檢舉

ee88521 iT邦新手 5 級 ‧ 2020-05-21 14:31:41 檢舉

L3 switch要在防火牆上方，那routing不就都透過防火牆? 這樣防火牆loading不是很重? 我本來想防火牆應該在最上方耶

msnman iT邦研究生 1 級 ‧ 2020-05-21 14:38:56 檢舉

如果L3有做static route，那PCA和PCB溝通就跑L3的static route，在L3SWITCH上同時使用RIP，就可動態路由最少設備。
如果L3有做trunk，那PCA和PCB溝通就跑L3的trunk。不會跑gateway。

echochio iT邦高手 1 級 ‧ 2020-05-22 08:40:23 檢舉

正規的做法應該是L3上面做trunk讓vlan可以溝通，然後，gateway設在firewall上。

既然如此納為啥要用 L3
買 L2 就可做 trunk vlaln 到 f/w , 路由在 f/w 做不就好了 ?

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2020-05-21 18:32:41

樓主不知用哪牌防火牆的
如果有說防火牆各式檢測出來效能都一致的
那肯定就是software routing

不過，防火牆也有晶片做路由的，效能好得很

網段跟網段除了抑制封包廣播外
沒有安全檢核的作用與功能
所以最好還是交防火牆分割網段做路由及資安檢核吧
其實，內網如果數量多，HP1910能做啥實在很令人懷疑
如果想網路管理做得好，除切網段做路由外還有很多課題

目前看了很多先進的做法
感覺跟上一世紀的網路做法沒啥變化
還在切網段，設trunk，搞tag，做路由
其實，現代的網路很進步了
接一接線路，把網段設一下防火牆政策就好
其它什麼設IP、路由、Trunk的全都不用做
拓譜圖自動直接會畫出來，
設備接在哪裡清清楚楚
以後大概學網管的會失業

回應 2
分享
檢舉

echochio iT邦高手 1 級 ‧ 2020-05-22 09:51:44 檢舉

HP1910能做啥實在很令人懷疑 .... 真的.... XD
HP1910 在 HP 定義於樓層收納用的交換機
正常放於 core switch 下面與 L2 之間
當然 HP 定義不是所有路由都是由 core switch 來做所以才有這個超低階的 L3
學網管的會失業 ... 那是在一般小企業....
要學去ISP 你就會用到 TAG , VLAN ,Trunk , RIP , OSPF ....