早安感謝回應
因為其實客戶還尚未給我IP 網路架構圖, 沒錯最簡單的確實是您說在VM前面擺一台, 因為客戶環境是2台 ESXI 大概有20台的虛擬機。
原廠提到這樣流量會不足, 才會需要另外的Switch,
我昨天試著用虛擬機玩了一下, 犯了一個蠢, 我原先認知的透通模式。
假定我使用CP1600 於Lan1 設定成網際網路, 假設透過公司取得DCHP - 192.168.2.99, 那我剩下如果我要將Lan port 2.3.4 都包成一個份br

那我2.3.4 網段需要改嗎?
因為會想要做透通就是不希望更改原先網路架構, 做內網防火牆..
如果要改IP程式甚麼都就會是一個大工程了..

因為各家防火牆bridge底層運作模式不同
按你說的原廠提到這樣流量會不足
看來應該是packet forwarding而不是Proxy ARP
同時網路又是CPU處理，而不是加速晶片
他怕20台在上面交換，防火牆扛不住
所以才叫你用台switch接

如果你是乙方，應該問一下原廠或代理商確實的解法該如何
照理說應該不會需要IP層的變動才是
如果沒有很好的解決方式
也可以改用加速晶片支持的防火牆
不過按照你這個方案
你其實需要的應該是WAF

抱歉哥, 其實我也明白WAF 也是一個好解法,
但就我使用過, CP 的WAF 不是很好用, 設定也很麻煩
常常一開WAF 就發生不該擋的也被擋, 較要花很多時間去處理
我今天畫了一個很粗略的架構圖, 針對192.168.2.x 紅色這兩台要掛在這台1600的下面, 那大哥建議這種架構要掛Switch 要掛在哪邊?

如果沒猜錯，你原本匯集三條線的點預計是CP1600
然後VM有各不同網段的主機都會到CORE switch路由吧
怪不得要買台switch，他沒說清楚是L3 Switch

你如果不是很在意內網防護
其實就不用再買防火牆了
如果在意，L3應該取代CP1600位置
然後CP應該夾在Core跟L3中間
建議你再跟原廠確認看看
CP我印象中服務還不錯的

是的阿, 但我們試過把CP夾在Core switch 跟防火牆中間
完蛋流量爆炸, 稱不太住。
所以問過原廠才知道, 他的Bridge 只能一進一出, 我以一直會錯意CP可以有Switch 功能, 所以架構上會變成在Core Switch 後面再補一台Switch, 然後把CP夾在中間, 再把我兩台ESXI去接Switch。
這樣就可以了?