會員 | 防火牆的設計 日前,因為採購新的防火牆,及人員調動,以至於需要重新設計一下網路,我們的人員散布在兩個不同地方(不同棟,但不是很遠),我們有許多部門,目前要確定的是如何設計網路讓三個重要部門(A、B、C)的人可以用網路,A部門的人固定在一個地方工作(地點1),但B部門的人分布在兩個不同地方工作(地點1、2),C部門的人只在地點2工作,我們的file server放在地點1,A及B部門的人,需要可以使用這些server,但C部門的人不能讓他們使用。目前想法如下 地點2(小台防火牆),分兩個vlan,給B部門和C部門的人不同的vlan id,分別為10和20 地點1(大台防火牆),分給A部門的人 vlan id 10 由於這兩個地方人員不是很多,每個點大約幾十人,所以沒有router,只有managed switch,所以vlan是直接用防火牆分出來的 地點2的防火牆,直接用site to site vpn,強迫所有流量轉給大台防火牆的external interface,讓該防火牆決定封包可不可以進入區域網路,不知這樣的架構有沒有問題?可以實現嘛?總覺得應該有更好的架構,麻煩先進指導一下,謝謝。我們採買的是Cisco的防火牆。 PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。 此篇文章於 2010-08-27 06:11 PM 被 astronomy 編輯。. |
回覆 |
進階會員 | 回覆: 防火牆的設計 怎不找專業的人到現場去看呢?? ..... |
回覆 |
地平線的那端 | 回覆: 防火牆的設計 若已經採買設備了,就詢問購買廠商尋求解決方法吧. |
回覆 |
會員 | 建議畫一下架構和頻寬圖, 因為小弟不瞭解既然已經切割VLAN, 何以還需要Site to Site VPN? 除非兩地是透過企業VPN 網路或網際網路連結, 而非直接連結 |
回覆 |
會員 | 回覆: 防火牆的設計 謝謝大家的回應,基本上這兩個防火牆,不是我們直接採購的,是發下來的,因此雖有廠商但也無法詢問。而且我們資料有敏感性,通常都是自己動手的。 畫了一下構想中的圖,防火牆的外部IP不在同一個網路上,因此我想是需要VPN的,請問各位先進有比較好的建議嘛?目前尚未實作,因為防火牆還沒到手上,但是希望先設計一下網路 設計兩個vlan的目的,如前所述,不希望C部門的人存取Server,而且翻閱資料,發現cisco的防火牆似乎不能綁IP到MAC上,也由於我們並未另外架設dhcp server(打算利用防火牆內建的),所以地點1流出的IP是不固定的,也就是同一IP可能是B部門的人但也可能是C部門的人,不知道防火牆有辦法在外部介面上辨識此VLAN資料嘛?如果外部介面可以直接辨識,不知道同樣接受vlan10的人員,還要需要更動什麼設定嘛? |
回覆 |
會員 | 請提供Cisco 設備型號 兩地是否目視無障礙? 屋頂能否架設天線? 既然是防火牆, 利用防火牆條例應該就可以限制C 部門無法通過VPN, 你該擔心的是VPN 流量, 以便決定兩地所需申請的頻寬, 此外VPN 不一定得自己架設, 也可以租用企業VPN 線路, 如此比較不用擔心頻寬, 但小弟無法理解的是設備已經採購了, 那麼意思應該是架構早已決定了, 何不詢問當初規劃的人, 否則豈不是本末倒置? 另外買一台低階分享器當作專用DHCP Server 即可, 否則也可以運用Windows 架設DHCP Server, 然而更有效率的方法應該是透過網域伺服器管理帳號權限, 否則在防火牆上過濾MAC 可能很沒效率, 此外, 是否有必要防範私人電腦連接公司網路? 否則似乎沒必要大費周章搞MAC 綁IP 此篇文章於 2010-08-28 03:57 PM 被 FYI 編輯。. |
回覆 |
會員 | 回覆: 防火牆的設計 謝謝FYI前輩的回答!基本上有許多事情都不是我們這個單位能決定的,我們是配合的單位,並無決定權,所以... 當初的架構就是這樣,只是預設用cisco vpn client來連線到防火牆,再連server,但是我覺得如果配合vlan,應該可以更方便才對,而且我需要管理C部門的電腦,因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。 所以目前亟需知道 1)到底vlan的tag可不可以穿兩邊的防火牆? 2)只用cisco防火牆,怎麼綁IP? 至於頻寬是完全沒問題,絕對夠的。建築物間可以目視,但無法直接牽線。 |
回覆 |
會員 | |
回覆 |
會員 | 回覆: 防火牆的設計 ?? 我從頭到尾都在討論技術阿?我最後的兩個問題,都只和技術有關耶?希望有經驗的前輩能指點一下,到底在cisco的架構中可以實現我們的需求嘛? |
回覆 |
會員 | 回覆: 防火牆的設計 既然貴單位不能決定所有的事,也不知道設備型號 你問了這些問題,真的很雞肋... 不用去管啥VPN裡面跑VLAN tag跑啥香蕉, MAC Address綁定IP,記得是可以的... 另外,很多你們口中的防火牆,不是防火牆...甚至嚴格說,也不干防火牆的事 反正VLAN 2裡的人,就是在VLAN 2裡面晃,經過那麼多無用的設備做啥? |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。