各位大神好:
因公司將與母公司分開需自行網路獨立
現在是透過Switch->L3 Switch->母公司
目前已經申請中華電信兩條線路 一條走網際網路 一條走伺服器服務
同時還新購了一台 fortigate 200E 防火牆
想請問各位該如何規劃基礎網路路由
兩條外網接到防火牆(算input port還是output port)
防火牆下來就可以對到l3 Switch做VLAN的切割跟路由嗎
同時若還想保留一條線路暫時通往母公司那那條線路接哪裡?
我知道問題可能有點菜但請各位提點了~
已邀請的邦友 {{ invite_list.length }}/5
我也不是專家
但我覺得 如果都是在同一棟大樓. 你 L3 switch 切vlan 去切開就好
對外網路 可以同一台 firewall 2 wan 走不同外網出去
如果你是不同大樓
實體線路要分開. 那就是如你所說
兩台firewall , 兩台 L3 switch , 中間透過vpn 連接
速度不比區網. 看你中間要丟啥資料**
看樓主的描述,心中不免疑惑
那個新購FG-200E的SI,沒有提供技術服務嗎?
這些規劃網路的細節,不是該採購前就要先完成的嗎?
整個的思維,可以看出SI沒有提供Fortinet現今架構的要點
讓貴公司網路規畫還停留在上一世紀
在下這樣說吧!
如果照Fortinet資安鐵三角網路的規劃,
應該都用不到繁雜的路由設定
交換器不用設IP,把VLAN分配到實體埠就好
剩下來的都是policy的設定,很簡單
至於聯外的兩條線路就更容易了
啟用SD-WAN,
然後將不同的網段指定給想去的線路就好
路由呢? 只有一條 0.0.0.0 to SD-WAN
剩下的呢? 都是SD-WAN的policy
如果對在下的敘述一時間不能理解
建議快將SI找來好好問清楚
到底 Fortinet 資安鐵三角是怎麼回事
還是老話一句
慎選SI,特別是技術服務能力不可少
謝謝你解答~但還真沒有si因為是買中華電信的方案附設備
所以一切規劃自己來xd
啟用sd-wan我可以指定user網段走不同線路
但是可以符合同時上內網跟外網嗎
買中華電信的方案附設備 >> 就可以不用提供技術服務 ??
這樣會比較省嗎? 很懷疑?
SD-WAN的policy很像以往的政策路由
但卻沒有政策路由的複雜度與缺點
簡單說,不會因為指定某user網段去線路A
而影響USER網段去FG-200E上的其他網段
照樣下防火牆policy就會通
如果用的是資安鐵三角
所有的網段都會在FG-200E身上
基本上,根本就沒有路由設定
還有,用FortiSwitch (鐵三角一員)
跟本不用擔心網路線的port接錯
因為會自動顯示連接拓譜圖 (無須付費)
同時就算接錯也會自動合併(trunk)
連接錯在哪一埠也會顯示
沒辦法 當初沒找si真的失策
一方面也是為了加速推動計畫 導致壓低預算執行
所以我也只能摸摸鼻子自己進行了
您說的資安鐵三角 是防火牆+switch+AP
但目前我只有防火牆其他設備都不是fortigate的
而且應該也不會採購所以就不能實現讓他們自動連接拓樸XD
router用防火牆本身的設定就足夠了嗎
要看貴公司路由的中心在哪
如果是FG-200E有NP4Lite的加速晶片
同時不是上萬 new session,應該撐得住
不是服務的SI會不容易理解架構造成誤判
不過FortiOS建議用6.0.x
不要用5.4或5.6,也不建議用6.2.x
如果要自己搞不找SI的話,事前功課就要做足
把規劃的架構圖畫出來
再去下載FG-200E的手冊
研究一下線怎麼接,規則要怎麼設
L3 Switch VLAN怎麼切,路由怎麼設
在研究過程也可以學到不少東西
要求快就最好還是找SI
iThome鐵人賽
看影片追技術