防火牆的設計 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 網 路 技 術 版
更新本頁 防火牆的設計


PCZONE 討論區
聯絡我們

通知

-- 網 路 技 術 版 較深入的網路方面技術問題,請來此這版討論

第1頁,共2頁 1 2
會員
 防火牆的設計
日前,因為採購新的防火牆,及人員調動,以至於需要重新設計一下網路,我們的人員散布在兩個不同地方(不同棟,但不是很遠),我們有許多部門,目前要確定的是如何設計網路讓三個重要部門(A、B、C)的人可以用網路,A部門的人固定在一個地方工作(地點1),但B部門的人分布在兩個不同地方工作(地點1、2),C部門的人只在地點2工作,我們的file server放在地點1,A及B部門的人,需要可以使用這些server,但C部門的人不能讓他們使用。目前想法如下

地點2(小台防火牆),分兩個vlan,給B部門和C部門的人不同的vlan id,分別為10和20
地點1(大台防火牆),分給A部門的人 vlan id 10

由於這兩個地方人員不是很多,每個點大約幾十人,所以沒有router,只有managed switch,所以vlan是直接用防火牆分出來的

地點2的防火牆,直接用site to site vpn,強迫所有流量轉給大台防火牆的external interface,讓該防火牆決定封包可不可以進入區域網路,不知這樣的架構有沒有問題?可以實現嘛?總覺得應該有更好的架構,麻煩先進指導一下,謝謝。我們採買的是Cisco的防火牆。


PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。

此篇文章於 2010-08-27 06:11 PM 被 astronomy 編輯。.
回覆
進階會員
 回覆: 防火牆的設計
怎不找專業的人到現場去看呢?? .....
回覆
地平線的那端
 回覆: 防火牆的設計
若已經採買設備了,就詢問購買廠商尋求解決方法吧.
回覆
FYI
會員
建議畫一下架構和頻寬圖, 因為小弟不瞭解既然已經切割VLAN, 何以還需要Site to Site VPN? 除非兩地是透過企業VPN 網路或網際網路連結, 而非直接連結
回覆
會員
 回覆: 防火牆的設計
謝謝大家的回應,基本上這兩個防火牆,不是我們直接採購的,是發下來的,因此雖有廠商但也無法詢問。而且我們資料有敏感性,通常都是自己動手的。

畫了一下構想中的圖,防火牆的外部IP不在同一個網路上,因此我想是需要VPN的,請問各位先進有比較好的建議嘛?目前尚未實作,因為防火牆還沒到手上,但是希望先設計一下網路

設計兩個vlan的目的,如前所述,不希望C部門的人存取Server,而且翻閱資料,發現cisco的防火牆似乎不能綁IP到MAC上,也由於我們並未另外架設dhcp server(打算利用防火牆內建的),所以地點1流出的IP是不固定的,也就是同一IP可能是B部門的人但也可能是C部門的人,不知道防火牆有辦法在外部介面上辨識此VLAN資料嘛?如果外部介面可以直接辨識,不知道同樣接受vlan10的人員,還要需要更動什麼設定嘛?
上傳的圖檔
檔案類型: png topology.png (81.9 KB, 30 次觀看)
回覆
FYI
會員
請提供Cisco 設備型號
兩地是否目視無障礙? 屋頂能否架設天線?

既然是防火牆, 利用防火牆條例應該就可以限制C 部門無法通過VPN, 你該擔心的是VPN 流量, 以便決定兩地所需申請的頻寬, 此外VPN 不一定得自己架設, 也可以租用企業VPN 線路, 如此比較不用擔心頻寬, 但小弟無法理解的是設備已經採購了, 那麼意思應該是架構早已決定了, 何不詢問當初規劃的人, 否則豈不是本末倒置?
引用:
作者: astronomy 觀看文章
PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。
另外買一台低階分享器當作專用DHCP Server 即可, 否則也可以運用Windows 架設DHCP Server, 然而更有效率的方法應該是透過網域伺服器管理帳號權限, 否則在防火牆上過濾MAC 可能很沒效率, 此外, 是否有必要防範私人電腦連接公司網路? 否則似乎沒必要大費周章搞MAC 綁IP
此篇文章於 2010-08-28 03:57 PM 被 FYI 編輯。.
回覆
會員
 回覆: 防火牆的設計
謝謝FYI前輩的回答!基本上有許多事情都不是我們這個單位能決定的,我們是配合的單位,並無決定權,所以...
當初的架構就是這樣,只是預設用cisco vpn client來連線到防火牆,再連server,但是我覺得如果配合vlan,應該可以更方便才對,而且我需要管理C部門的電腦,因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。
所以目前亟需知道
1)到底vlan的tag可不可以穿兩邊的防火牆?
2)只用cisco防火牆,怎麼綁IP?

至於頻寬是完全沒問題,絕對夠的。建築物間可以目視,但無法直接牽線。
回覆
FYI
會員
引用:
作者: astronomy 觀看文章
而且我需要管理C部門的電腦,因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。
小弟無法理解你的想法和目的, 建議你還是和原規劃者或設備供應商討論網路架構, 畢竟網路技術應該不至於牽涉公司機密

回覆
會員
 回覆: 防火牆的設計
??
我從頭到尾都在討論技術阿?我最後的兩個問題,都只和技術有關耶?希望有經驗的前輩能指點一下,到底在cisco的架構中可以實現我們的需求嘛?
回覆
會員
 回覆: 防火牆的設計
既然貴單位不能決定所有的事,也不知道設備型號
你問了這些問題,真的很雞肋...
不用去管啥VPN裡面跑VLAN tag跑啥香蕉,
MAC Address綁定IP,記得是可以的...

另外,很多你們口中的防火牆,不是防火牆...甚至嚴格說,也不干防火牆的事
反正VLAN 2裡的人,就是在VLAN 2裡面晃,經過那麼多無用的設備做啥?

回覆
第1頁,共2頁 1 2







 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。