L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。





頁 : 1 [2]

chenbj1102
2009-02-11, 01:18 AM
不懂
銀行業.高科技半導體.(office跟產線.server 電腦數多.broadcast複雜 需要切vlan )可以接受.我不知道還有啥行業需要.

只是店面.樓上辦公室 防火牆 intrant 防毒.不就搞定了

切 VLAN,是中華電信的工程師建議的,

因為店面的電腦,是多機連線的,會一直同步每機台的資料,網路也很忙。
信用卡刷卡機連到收單銀行。中華電信說,把這二組的訊號分開來。
各自用各自的…應該也有一部份是安全的因素吧。

我在網路上找了很久,沒看過有人這樣的情況,所以才上來發問的。
(指的是同一個ATU-R接信用卡刷卡機、電腦,再切 VLAN),

其實,中華電信是告訴我,只要有一台可切 VLAN 的L2 Switch,
這樣就可以用了,我只是想知道這樣相關的技術,是用什麼方式。

還有,也還不知道這台 Switch 是要怎麼連 ATU-R,
這個可能要等到中華電信來裝完機後,再等銀行方面的工程師,
來設定刷卡機後,才會知道了。




chenbj1102
2009-02-11, 01:40 AM
我想重新解釋一遍好了,一開始只是要申請中華電信的 VPN,總公司是頭端,
門市端連回頭端,而中華電信跟我說,可以再申請 VPN ACL 信用卡刷卡服務,

傳統信用卡刷卡是透過電話線 PSTN 跟收單銀行連線(就像是撥接上網),
而 ACL 刷卡,就是透過 VPN ADSL 跟收單銀行連線(就像是寬頻上網),
速度上會比較快,

因此,門市的信用卡刷卡機跟 POS 電腦,是經由同一個 ATU-R 的線路連出,
但彼此不用互通,「這樣的狀況,就有點像是 FTTB VDSL + MOD 的狀況」。

所以中華電信要我把門市的 Switch 換成可以切 VLAN 的 L2 Switch,
讓 POS 電腦跟信用卡刷卡機的訊號分開。


而總公司的部份因為樓下也有一個門市,剛好這個門市也有線連到樓上,
所以想說就共用一組 VPN,不另外申請一組線路(省下一組 ADSL VPN),

後來想想,總公司原本是獨立用一個 Switch,POS 也有一個 Switch,
那這樣很多台,可以切 VLAN,那不如就切一個 VLAN 給總公司的電腦用,

所以,最後就變成是一台切三個 VLAN…

VLAN1 這個虛擬的 Switch,是接分享器上網,連到 VTU-R。

VLAN2 這個虛擬的 Switch,則是把樓下的 POS 電腦跟 POS 伺服器連接,
共用一個中華電信 VPN 與其他的門市連線。

VLAN3 這個虛擬的 Switch,則是把樓下的信用卡刷卡機連到收單銀行,


其實,若是先不考慮「信用卡刷卡機的 VLAN3」,這樣的狀況就比較簡單,
就只是二個虛擬的 Switch,各接一個 ATU-R, VTU-R,這種狀況就沒問題。

但現在的狀況,是在 ATU-R 這部份,會有二個 VLAN,一個是 VPN 連網,
另一個則是「信用卡刷卡機的連網」,

這種用途,就像是上面說的 FTTB VDSL + MOD 一樣,同一個 VTU-R,
一個是 FTTB VDSL 連網,而另一個則是 MOD 的連網。
或許是家用的關係,所以就不用切 VLAN,而因為是信用卡刷卡機,
所以要切 VLAN,我想,另一方面,也可能是安全性的考量,
因為畢竟是信用卡刷卡的授權驗證,金流的部份,還是要考慮安全性吧。

FYI
2009-02-11, 03:23 PM
因此,門市的信用卡刷卡機跟 POS 電腦,是經由同一個 ATU-R 的線路連出,
但彼此不用互通,「這樣的狀況,就有點像是 FTTB VDSL + MOD 的狀況」。
除非刷卡機和POS 電腦走的是不同的VPI/VCI, 否則ATU-R 無法切割二者, 也就無法分成兩個VLAN, 是否可以請華電說明? 如果可以切割, 而且華電配給你含四埠的ATU-R (AR4031B/C), 那麼直接把刷卡機連接ATU-R 即可, 不需經過Port-Based Switch, VLAN3 確實存在, 但和Port-Based Switch 無關, 這也是小弟一直努力想要解釋的, 硬要在Switch 搞個VLAN3 並非不可以, 但意義不大

此外, 不知道你要的是哪一種Port-Based L2 Switch? 如果沒有共通的必要, 那麼3 個VLAN 何不只用三個交換器就好?

chenbj1102
2009-02-11, 05:03 PM
硬要在Switch 搞個VLAN3 並非不可以, 但意義不大

剛剛有再跟中華電信確認過一遍了,刷卡機跟POS是用同一個VLAN就好了,
不用切到第三個VLAN。
因為刷卡的流量不大,共用同一個VLAN就好,不需要另外獨立一個。

我誤會了…哈,不好意思,想太多了。

因為網路上關於這方面的資料,我都沒看到,也算是有學到了。

感謝各位的回應。^_^

FYI
2009-02-11, 07:03 PM
剛剛有再跟中華電信確認過一遍了,刷卡機跟POS是用同一個VLAN就好了,
不用切到第三個VLAN。
確認什麼? 是使用同一組VPI/VCI 嗎? 大家都很認真, 可別只有你馬虎, 這樣學不到真正的技術

chenbj1102
2009-02-11, 10:04 PM
確認什麼? 是使用同一組VPI/VCI 嗎? 大家都很認真, 可別只有你馬虎, 這樣學不到真正的技術

嗯。抱歉,沒說清楚,就是用同一組VPI/VCI,同一個ATU-R,謝謝。

FYI
2009-02-11, 10:34 PM
建議你問清楚華電的VPN 架構, 刷卡機和POS 伺服器分配到兩個或一個IP? 因為這樣才能確定你的架構:
VLAN1: 分享器, 辦公室電腦, POS 伺服器
VLAN2: POS 電腦, POS 伺服器
VLAN3: POS 伺服器, 信用卡刷卡機, ATU-R
此外, 請重新考慮採用Port-Based L2 Switch 的目的?

FYI
2009-02-12, 08:20 PM
突然想到一個問題, 按照樓主的敘述, 可能只有一台POS 伺服器, 如此架構當然比較單純, 萬一要擴充時, 架構如何變更? 不妨趁此機會通盤考慮

此外, 當公司規模達到一定程度, 自然就會需要稽核控管, 所以設備採購不宜太節省, 該花的錢就必須花

doomcat
2009-02-12, 10:14 PM
如果把三個VALN實體接回ATU-R上,理論上VLAN無效,因為你等於把三個switch又一起串到一台Switch上,這樣不就等於所有switch就可以戶傳資料,基本Port-base VLAN設定,如果有16Port就會有16個群組,我舉個簡單的例子,如果我今天1~5個Port 我要讓每個Port都切vlan,又要讓大家能夠上網,那設定方法會如下
Port 1 群組 1、2、3、4、5 接 ATU-R
Port 2 群組 1、2
Port 3 群組 1、3
Port 4 群組 1、4
Port 5 群組 1、5
-----------------------------------------
以上這樣的設定2~5 Port跟 Port 1同一個群組所以都可以看到Port 1的資料,又因2~5個在不同群組所以互相看不到,這樣看的懂嗎^^