最近公司si廠商提供以下切割vlan方式,想請問各位前輩公司vlan網段都怎麼做切割的?
1.在fortigate上切割vlan,所有vlan網段都能利用foritigate policy作控管。
2.在l3 switch上切割vlan,利用acl做vlan網段控管,再與fortigate相接,再設一條預設路由網fortigate走,直接對外。
已邀請的邦友 {{ invite_list.length }}/5
在正規化的網路維運環境中, 盡量使用單一設備執行單一功能, 這樣做有幾個考量:
舉例來說:
很多大型網路, 負責維運 L3 以下設備的人員, 是沒有權限去碰防火牆政策的; 如果你把 L3 Routing 功能放進防火牆裡面去, 那這個設備上面的權限分配就會變得很複雜, 也很容易因為人為設定上的疏失, 造成意外的提權事件.
在大型網路的 L3 Routing 作業非常繁重, 甚至需要跑 BGP 協定才能處理. 雖然防火牆也可以跑 BGP, 但是你要如何去平衡 BGP 所需要的 CPU 效能 vs. IDP/IDS防駭 所需要的效能? 大部分防火牆都沒有 Function Isolation 的功能, 我也無法限制: 萬一 CPU 被 IDP/IDS 打掛的時候, 還能保留 CPU 撥給 BGP 使用, 或者反之亦然. 所以一旦某一個關鍵元件掛掉, 影響的功能會非常多. (但是如果你把功能隔離放在不同設備的話, FW 掛掉頂多只是不能去網外, 網內的功能都還可以正常運作)
又如: 假設今天我們懷疑 FW 上面的 L3 Routing 有問題, 想要換一台其他廠牌的 L3 上去驗證看看, 這時候, 你的實體網路拓蹼 (Topology) 要怎麼改? 你如何讓: 原本只是一條實體線進入 FW 設備, 改成一條網路線: 同時接入一台 L3, 又能同時進入另一台 FW?
爰上例若我原本就設計成: L3 由獨立的設備負責 Routing, 那麼當初在建置的時候, 實體 Topology 就已經被配置妥當, 就算我要換一台 L3 上去測試, 也不需要改動實體拓蹼.
當然, 我並不是說:用一台設備擔任多功能角色就是錯的, 因為不同環境, 不同預算, 會有不同的考量. 但若不考慮現實環境的限制, 我會在抽象設計的階段, 就盡量將功能區分開來....
看來業界贊同raytracy大大的很多
在下不才,希望提出一些不同的看法
希望R大多多包涵才是,大家鞭小力點
資訊科技發展的很快
網路架構隨之也有不少的變化
在網路防火牆只有L3/L4功能的時代
或許分門別類地處理網路流量是一種辦法
但隨著UTM或NGFW的日新月異
對現實資安的需求改變了原來的環境
所以UTM或NGFW整合設備已被市場明確接受
不當比喻就比如手機有照相功能被接受一樣
多數人只會要求整合功能越來越強
少數需求才仍以極致功能來採買使用
近年改變網路生態的,當然是因為資安威脅的緣故
多數威脅已不再單純來自外部網路,
反而研究統計來自內網的資安威脅更多
這樣單純的網路交換器不論L3/L4
自然是再也不足以應付威脅(原本也不是這用途)
因此如果能整合網路交換與資安防護
對一般大多數網路問題解決及需求,
是既省錢又省力還能解決問題
是不是另一種網路的進化發展呢?
相信R大提到許多的 "what if ? "
肯定是非常中肯的建議
可是網路原本就有備援機制或效能評估
路由或交換已經是非常成熟的功能
科技進步到晶片能量早就高過一般所需
但世事的演進都是朝整合功能居多
以便應付越來越複雜的其他網路問題
what if?的可能性有多高,網路架構能否簡化就好
所以用多個網路設備分別處理流量
就給有龐大預算及人力的公司好了
期待最好一台搞定一切又便宜的設備
實例來看,ACL的功能與效能遠不如防火牆實用
阻擋網路威脅的效能NGFW也越來越強
多數人只會期待更多功能整合且效率更高的設備
現在的創新網路架構更可能是未來的正規化
R大是IT邦的意見領袖,
在下無意置喙
僅是提供個人對未來網路架構的看法
失禮之處還請見諒!
mytiny大太客氣了, 您才是網路和 Forti 的知名專家, 建言當然也是黃金級的經驗累積.....
每個人遇到的場景各有所異, 不能只用一種思維去應對所有的場景, 我們在這裡討論的目的其實都相同: 就是鼓勵大家, 多汲取各種不同思維的做法, 但要依據自己的情境來做出決策, 而不是只聽一方之詞.
我是做機房端維運起家的, 在架構上的考量比較接近大型跨國的古典派別; 但現在有很多各種不同的內網威脅崛起, 加上零信任的架構逐漸成型, 要如何從古典轉身到次世代網路, 也都是每位網路架構師的考驗...就如 mytiny大 提到的: 當 L3 的 ACL 已經不足以應付內網威脅的時候, 你應該要怎麼設計, 才能讓手上的資源取得平衡與經濟? 這是個非常難的議題
中小企業能自己掌握的資源, 必定和洲際機房不相同, 在觀看各方火花激盪之際, 其實應該聚焦的, 是我們在過程中的思路發展, 與邏輯推演方法, 而不是只看最後結果而已. 這不是零和遊戲, 而是一場具有藝術的決策, 每個人呈現的色彩都不相同, 並不是只有黑與白而已.
感謝raytracy大大諍言,惠我良多!
首先你可能要確認一下fortigate在你的環境下是擔任什麼腳色
是只管理出口呢?還是vlan之間都要做政策管理
方案1.是有看過的做法沒錯,但是你要考量到的是,當fortigate把vlan綁在interface上以後,單一個vlan ID只能綁在一個介面上,假設vlan ID很多,所有的流量都會回到這個介面做路由,單一介面的流量是有限的,要這樣做建議這個介面要使用10G或者10G lacp
方案2. 算是一般公司比較常見的方式,防火牆只做出口管控,vlan端由switch 的ACL作控管,這點你要考量到的是,你想控管的是很細項的,還是很粗略的控管,一般來說L3 switch 控管的是很粗略的控管,且條數不會太多,當條數一多累的就是管理者了
也許你可以考慮的是 你想重點管控的網段 搬到防火牆上,管制比較鬆散的網段放在L3 switch 上管控
居然有這麼佛心來著SI
願意幫你規劃在Fortigate上切割vlan
如果是我就看業主想怎麼做就好了
這個提問的老大過往紀錄不太好,不算認真回答
我不如raytracy大大專業
確實如果 內網管理 到數千IP
Fortigate就不是適合產品(不是能量而是複雜度)
不過也只有Fortigte有網路加速晶片
在現代網路資安做微分割的觀念下
將各網段進入NGFW做檢測是最好的方法
用L3 Switch再去做ACL,
就是脫褲子放屁多此一舉
在台灣,內部網路要用到BGP的沒幾間
畢竟時代進步很快,網路晶片處理速度十倍速成長
路由已是上世紀非常成熟的穩定產品,各家設備都很穩定
現在注重的都是網路資安
內網才是近期資安事件的主因
而ACL根本沒啥資安防護力,觀念該改改了
如果提問老大採用了Fortigate上切割vlan
後來應該會感謝做事的SI
不過從來沒看你給過確認的回覆
當然是在fortigate上切割vlan
所有vlan網段都能利用foritigate policy作控管
有UTM不用那你買FIREWALL是要用來要干麻.
如果你網路超大型, FORTI也有相對應的MODEL
有需要你可以聯絡你SI問問/POC
1.會比較單純容易,代表VLAN interface/gateway在fortigate身上,會是Firewall接L2 Switch即可,基本上所有的路由問題就只要維護Firewall就好。
2.的話,會變成內部路由在L3 Switch,出internet控管在firewall,架構是完整許多,只是維護上就多一台設備。
兩種都有,通常是看架構或要求而定,主要是內部路由的轉發的考量,先前我這邊有回覆過類似的問題可以看看:https://ithelp.ithome.com.tw/questions/10206328
所以要看貴公司的架構是否比較大,如果不是很大其實一般1.未來比較方便維護,提供參考。
iThome鐵人賽
看影片追技術