謝大大，大大有建議的架構嗎?
需求是
1.能讓現場部分網路能上網能連server
2.其他現場PC不能連網，但要能連server和 Printer server

附上目前的想法，請教大大還有哪邊要修改的地方?

還沒花大錢在網路這方面
1.目前架構，造成廣播風暴的原因是新增太多非交換器的設備?
2.L3交換器底下建議接多少台交換器為上限?
3.HP交換器底下要換L3還是L2交換器就夠了?

1.交換器不算多，但是網段要分隔清楚，最好您的smart switch只分配一個class C的網段，除非不得已
2.L3交換器底下接的smart switch並沒有數量的限制，但是Vlan數目有，不過通常HP5130/5120應該足夠讓你使用
3.用L2就夠了。

在下認為主要關鍵在於為了要連server去把網段都泡在一起是最主要的障礙，最好是server一段，其他位置各自一段，都透過L3去做路由。
按最初的圖看來，也不過切三段VLAN。
可以直接跟SI說，就是要分網段，然後要誰跟誰能通，如果有狀況(如這次printerserver狀況)廠商多久就要來處理到好。

補充：能不能上網這件事，交給防火牆決定就好

謝大大建議
1.請教mytiny大大，如果某一區域有server又有PC，但server位置無法變更，一台交換器是不是就要切成2網段。

2.同一區域部分PC能上網，其他的PC不能上網，是不是可在同台交換器切vlan，還是說要直接分成2台實體交換器。

3.如果分成2台交換器的話，連到機房的距離很遠，需要拉光纖，這樣成本會提高很多。

4.防火牆有辦法限制某幾台PC可上網嗎?還是是以一個LAN去限制

PC數量不多，要由防火牆一台一台去處理也不是不行，但最大的問題是，當初設計網路沒有考量應用上的需求，還有後續擴建的空間，簡單來說，你的網路沒有經過設計，後續就會發生這種串接串出問題，用奇怪的方式來達到目的情況，需要有SI進行整個網路的調整，願主保佑你。

先回答最簡單的
如果可以固定住設備IP，防火牆用IP就可以管制上網了

1.對的，同一台要切兩段，但smart switch應該就可以做
2.上網交給防火牆控制，畢竟出口在這裡
3.不太明白原因，要請現場工程師評估
4.兩種都可以，Fortigate還有很多種方式，可以用MAC限制上網，但前提是所有路由都要給防火牆做，會需要更多技術服務
5.建議樓主在YT搜尋資安鐵三角，會有更多影片說明

pisceseros 謝謝大建議，網路架構是十幾年前的，我再與SI廠商討論。

謝謝mytiny大大
4.意思是L3交換器當L2用，區網互通使用防火牆政策去管理?
然後我google了一下，MAC限制上網是不是要把IP和MAC並啟動DHCP?
5.好的，我再去看看
6.歪樓一下，請教大大網頁跑出這個畫面與網路有關係嗎?
詢問系統廠說是網路環境有問題，但我google結果都沒提到網路問題

訊息是

已超過連接逾時的設定。在取得集區連接之前超過逾時等待的時間，可能的原因為所有的共用連接已在使用中，並已達共用集區大小的最大值

MAC限制上網是不是要把IP和MAC並啟動DHCP

在L2的網路中可以看到MAC，進而做存取控制
但如果切了VLAN然後在HP5120做路由
經過了L3，就會把原設備的MAC取代掉
這樣就只能用IP做限制，
但DHCP發放可以訂某個MAC永遠都是同一IP
猜想樓主要問的是這個意思

至於截圖的敘述
可以認為是網路延遲超時
樓主可以測一下TTL時間是否超長
有些系統就會顯示無法使用
可以請教系統廠商是否能調整

mytiny大大，沒錯，我打錯字，IP和MAC綁一起。

我ping web主機的TTL是128
這樣時間正常?

換在下這邊描述表達有誤
ping web主機時間是否超長，
以至於超過主機所允許的TTL(Time To Live)時間

看來應該會，因為樓主原本就是網路架構有問題
所以才說請教貴公司的該系統廠商TTL時間可以調長一點嗎?