page-button
page-button
.....
1 / 7
page-button
page-button

網路架構規劃

2011-04-25 14:38
各位好,因需求故小弟需要規劃一個網路架構,但小弟並不是很了解,請各位大大能指導一下

目前有的設備如下
Firewall 1台(含UTM功能 包含IPS GAV )
L3 Switch 1台(可做路由交換功能)
L2 Switch 6台

線路架構如下
10M/10M 一條
512K/512K 一條
使用人數大約100-120人

目前架構圖如下



現在想要重新規劃架構 原本無L3 Switch 設備,目前要放入架構上
有同仁建議以部門來做規劃(基本上會改成3-4個網段)網段並且把routing 全部改到 L3 Switch 上 也就是
pc & server default gw指向 L3 Switch
而防火牆就只做進出控管的部分

可是這樣就變成所有網段在做路由交換時全部變成L3 Switch做控管
這樣小弟想到了2個問題
1.每個網段存取控制都得由ACL來進行

但是如果以ACL做控管時,這時候L3 switch 只能看的懂封包 但是看不懂連線 這樣我只想讓Lan的網段能到Dmz區 但不能讓Dmz過來 Lan好像是會有問題 這需要怎麼解決呢?

2.每個網段DHCP問題 藉由dhcp relay

因為小弟沒有設定過dhcp relay不知道這部分是否會很複雜

或者是有其他的方式來做部署此架構希望大大能解答囉 謝謝
viphone #2
2011-04-25 16:25
1. 依你的圖來看
DMZ主機是在UTM後面 既然都是DMZ了 把他擺在UTM前面 不就不回有你想的那個問題了
當然DMZ主機要有兩張網卡 兩張再BRIDGE起來

2. 請看椰子殼
他舉的例子跟你的架構很像

2011-04-25 16:47

prottos2003 wrote:
各位好,因需求故小弟需要規劃一個網路架構,但小弟並不是很了解,請各位大大能指導一下

目前有的設備如下
Firewall 1台(含UTM功能 包含IPS GAV )
L3 Switch 1台(可做路由交換功能)
L2 Switch 6台

線路架構如下
10M/10M 一條
512K/512K 一條
使用人數大約100-120人

目前架構圖如下



現在想要重新規劃架構 原本無L3 Switch 設備,目前要放入架構上
有同仁建議以部門來做規劃(基本上會改成3-4個網段)網段並且把routing 全部改到 L3 Switch 上 也就是
pc & server default gw指向 L3 Switch
而防火牆就只做進出控管的部分

可是這樣就變成所有網段在做路由交換時全部變成L3 Switch做控管
這樣小弟想到了2個問題
1.每個網段存取控制都得由ACL來進行

但是如果以ACL做控管時,這時候L3 switch 只能看的懂封包 但是看不懂連線 這樣我只想讓Lan的網段能到Dmz區 但不能讓Dmz過來 Lan好像是會有問題 這需要怎麼解決呢?

2.每個網段DHCP問題 藉由dhcp relay

因為小弟沒有設定過dhcp relay不知道這部分是否會很複雜

或者是有其他的方式來做部署此架構希望大大能解答囉 謝謝


既然使用人數都破百人
何不找一個MIS來處理?
畢竟網路切換只有1~n個晚上讓你處理(端看公司老闆的容忍度)
2011-04-25 16:48

dllion3333 wrote:
既然使用人數都破百人...(恕刪)


您好 我就是負責這是更換架構的人員了
2011-04-25 16:49
prottos2003 wrote:
各位好,因需求故小弟...(恕刪)


才100~200的人的公司
就要切成3-4的網段...會不會太多了一點
搞的這麼復雓做啥

光維護找問題 就會找死你了


前面可以加一台類似ascenlink 負載平衡的設備 斷線時 可以自動切到另一條去

這時你的DMZ的問題 就可以用防火牆的規則來解決 誰可以過去 誰不可以過去 Policy設一下就好了

2011-04-25 16:50

viphone wrote:
1. 依你的圖來看D...(恕刪)


您好!

我想請問一下 您說DMZ Server 需要有兩張網卡並且把他bridge起來的意思是什麼呢
原因是什麼呢?謝謝
2011-04-25 16:54

prottos2003 wrote:
您好 我就是負責這是...(恕刪)


如果你是更換此架構的人員
不應該上來提這些問題吧
畢業有幾分功力 做幾分事

自己要有自己架設的能力才行
2011-04-25 16:55
被含打南含 wrote:
才100~200的人...(恕刪)


主要是管理部門&開發部門需要有個獨立的LAN 再來是常常會有外賓使用我們網路
在管理&開發部門LAN上有他們自己的nas 不希望讓別的部門來存取他們的資源
加上如果部門人數有增加了話 以後也會比較好調整
一個區域網路pc越多 broadcast也會越重 既然都要更換架構了 一次規劃到好不是更好嗎?

補充一
再L3 Switch 上的acl只有非狀態式的防火牆 只能看出packet 那剛剛有大大建議我把dmz直接放在fw那我就可以了解

補充二
我的F/W 本身就有link load balancing的功能
2011-04-25 17:01
prottos2003 wrote:
主要是管理部門&開發...(恕刪)


你要的功能
除了開發環境 要有獨立的網段以外

其他都可以用ACL解決
NAS不想別的部門來存取 權限改一下不就好了...
為了這幾支貓...要加一個網段? 太小題大作了一點

至於broadcas以你的人數 影響不大

我現在四個網段全滿 每個網段各放一台DHCP 也沒有你說的broadcas的問題啊

要是有PC中毒 大量發送broadcast封包 也會被我的switch直接封鎖他的網路埠

等中毒解決了 再自行啟用即可

FW有這個功能啊 如果你的FW performacne 做的來 那也OK

重點是你的FW 硬體performacne 檔的住你公司未來成長的流量嗎?

賴小謎 #10
2011-04-25 17:09

被含打南含 wrote:
你要的功能除了開發環...(恕刪)


贊成這位大大說的 為了幾個人開一個網段實在很不妥當

而且FW要做到load balance也可以只是要看你的FW撐不撐的助而已...

如果真的只是開發環境要用那可以直接用實體線路閤開..(我這邊的開發人員是不准上網的)

以上
page-button
page-button
.....
1 / 7
page-button
page-button
前往