PDA

防火牆的設計



贊助商連結

頁 : [1] 2
astronomy
2010-08-27, 06:04 PM
日前,因為採購新的防火牆,及人員調動,以至於需要重新設計一下網路,我們的人員散布在兩個不同地方(不同棟,但不是很遠),我們有許多部門,目前要確定的是如何設計網路讓三個重要部門(A、B、C)的人可以用網路,A部門的人固定在一個地方工作(地點1),但B部門的人分布在兩個不同地方工作(地點1、2),C部門的人只在地點2工作,我們的file server放在地點1,A及B部門的人,需要可以使用這些server,但C部門的人不能讓他們使用。目前想法如下

地點2(小台防火牆),分兩個vlan,給B部門和C部門的人不同的vlan id,分別為10和20
地點1(大台防火牆),分給A部門的人 vlan id 10

由於這兩個地方人員不是很多,每個點大約幾十人,所以沒有router,只有managed switch,所以vlan是直接用防火牆分出來的

地點2的防火牆,直接用site to site vpn,強迫所有流量轉給大台防火牆的external interface,讓該防火牆決定封包可不可以進入區域網路,不知這樣的架構有沒有問題?可以實現嘛?總覺得應該有更好的架構,麻煩先進指導一下,謝謝。我們採買的是Cisco的防火牆。


PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。

贊助商連結

pavo
2010-08-27, 07:29 PM
怎不找專業的人到現場去看呢?? .....:jump2:
DarkSkyline
2010-08-27, 07:52 PM
若已經採買設備了,就詢問購買廠商尋求解決方法吧.
FYI
2010-08-28, 09:36 AM
建議畫一下架構和頻寬圖, 因為小弟不瞭解既然已經切割VLAN, 何以還需要Site to Site VPN? 除非兩地是透過企業VPN 網路或網際網路連結, 而非直接連結
astronomy
2010-08-28, 01:43 PM
謝謝大家的回應,基本上這兩個防火牆,不是我們直接採購的,是發下來的,因此雖有廠商但也無法詢問。而且我們資料有敏感性,通常都是自己動手的。

畫了一下構想中的圖,防火牆的外部IP不在同一個網路上,因此我想是需要VPN的,請問各位先進有比較好的建議嘛?目前尚未實作,因為防火牆還沒到手上,但是希望先設計一下網路

設計兩個vlan的目的,如前所述,不希望C部門的人存取Server,而且翻閱資料,發現cisco的防火牆似乎不能綁IP到MAC上,也由於我們並未另外架設dhcp server(打算利用防火牆內建的),所以地點1流出的IP是不固定的,也就是同一IP可能是B部門的人但也可能是C部門的人,不知道防火牆有辦法在外部介面上辨識此VLAN資料嘛?如果外部介面可以直接辨識,不知道同樣接受vlan10的人員,還要需要更動什麼設定嘛?
FYI
2010-08-28, 03:17 PM
請提供Cisco 設備型號
兩地是否目視無障礙? 屋頂能否架設天線?

既然是防火牆, 利用防火牆條例應該就可以限制C 部門無法通過VPN, 你該擔心的是VPN 流量, 以便決定兩地所需申請的頻寬, 此外VPN 不一定得自己架設, 也可以租用企業VPN 線路, 如此比較不用擔心頻寬, 但小弟無法理解的是設備已經採購了, 那麼意思應該是架構早已決定了, 何不詢問當初規劃的人, 否則豈不是本末倒置?

PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。
另外買一台低階分享器當作專用DHCP Server 即可, 否則也可以運用Windows 架設DHCP Server, 然而更有效率的方法應該是透過網域伺服器管理帳號權限, 否則在防火牆上過濾MAC 可能很沒效率, 此外, 是否有必要防範私人電腦連接公司網路? 否則似乎沒必要大費周章搞MAC 綁IP
astronomy
2010-08-28, 03:41 PM
謝謝FYI前輩的回答!基本上有許多事情都不是我們這個單位能決定的,我們是配合的單位,並無決定權,所以...
當初的架構就是這樣,只是預設用cisco vpn client來連線到防火牆,再連server,但是我覺得如果配合vlan,應該可以更方便才對,而且我需要管理C部門的電腦,因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。
所以目前亟需知道
1)到底vlan的tag可不可以穿兩邊的防火牆?
2)只用cisco防火牆,怎麼綁IP?

至於頻寬是完全沒問題,絕對夠的。建築物間可以目視,但無法直接牽線。
FYI
2010-08-28, 04:20 PM
而且我需要管理C部門的電腦,因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。
小弟無法理解你的想法和目的, 建議你還是和原規劃者或設備供應商討論網路架構, 畢竟網路技術應該不至於牽涉公司機密
astronomy
2010-08-28, 04:49 PM
??
我從頭到尾都在討論技術阿?我最後的兩個問題,都只和技術有關耶?希望有經驗的前輩能指點一下,到底在cisco的架構中可以實現我們的需求嘛?
tvirus
2010-08-28, 06:09 PM
既然貴單位不能決定所有的事,也不知道設備型號
你問了這些問題,真的很雞肋...
不用去管啥VPN裡面跑VLAN tag跑啥香蕉,
MAC Address綁定IP,記得是可以的...

另外,很多你們口中的防火牆,不是防火牆...甚至嚴格說,也不干防火牆的事
反正VLAN 2裡的人,就是在VLAN 2裡面晃,經過那麼多無用的設備做啥?