詢問layer3的觀念及解決方法 [Site Map]

贊助商連結

astronomy

2009-04-21, 02:02 PM

目前因應電腦數量增加，及電腦實體位置及人員變動，因此有必要調整網路架構，翻閱layer3相關書籍，發現不是十分了解，因此想詢問一下大家。

目前設備：
firewall(F1) 一台，只有一個wan及一個lan
unmanaged switch(S1)一台

需求：
將所有電腦分成兩個vlan( vlan1:192.168.10.0, vlan2:192.168.20.0)，vlan間能互通，如要採購設備，但採購設備數量要求最少（也就採買越少數量設備越好），在這樣的情形下，要採購怎樣的設備呢？

我知道，如果採購兩個router，上接unmanaged switch下接users便可達成目的，雖然不是用vlan switch，但一樣可達成需求。

圖1
17957

但如果不要這種接法，是否還有其他方法？似乎一台 L3 switch也可以？
圖2
17958

請問這圖對嘛？不知我對layer 3 switch的觀念有無錯誤？所謂vlan forward其實就是L3 switch可以設定：從192.168.10.0及192.168.20.0的資料互相流到對方vlan或192.168.1.1，不知道我這樣的理解對嘛？
以上這兩種方法？哪一個方法會較有彈性呢？除了這兩種方法，不知還有更好的方法嘛？
此外，有個觀念不是很清楚的地方，firewall和layer3 switch功能差在哪裡呢？因為如果再購買一台有DMZ及多個lan ports的firewall取代圖2中的router2，似乎也是可行的方法，這樣還可以達成控制 Lan2的流向，雖然說不是實際用切割vlan的方法，但是一樣可以達成需求？不知這樣對嘛？煩請大家多多指教。謝謝。

贊助商連結

muna

2009-04-21, 02:47 PM

看樣子電腦數不是很多先確定一下為什麼要切vlan
你說的需求...將所有電腦分成兩個vlan( vlan1:192.168.10.0, vlan2:192.168.20.0)，vlan間能互通那為啥要切??

1.圖一用兩台 router.分別設定lan1 lan2.要互通還需要設定 static route .感覺也很奇怪.一台router也可以做到實體port1.port2分別使用lan1 lan2

2.圖二.是vlan架構沒錯.但是你又要vlan間互通.就怪怪的.vlan 切有 by port(實體網路孔)by ip . by protocal.你可能要想清楚你的需求喔.

vlan 切跨網段還會有 dhcp 問題 .需要做 relay.. 你的 dhcp 是server ?還是設備?

問題:firewall和layer3 switch功能差在哪裡呢
答:firewall 屬 layer4設備.可以控制通訊協定那些 protocal 可以進.或哪些可以出 .我舉一個觀念很簡單.一道牆.開洞讓資料流過.哪個洞可以進.哪個洞只可以出.哪個洞可以進進出出

問題:因為如果再購買一台有DMZ及多個lan ports的firewall取代圖2中的router2
答:是可以的.現在很多產品voip.vlan.iptable.Qos.NAT都內建在防火牆裡.在小公司使用效能可以.大公司可能沒辦法.

其實你可以把環境都寫出來.這裡有眾多高手會給你意見的.有時自己的會忽然鬼打牆.有時一點就通喔~~

你說的 vlan forward 是不是 vlan 下面還有 vlan 的架構.我對這名詞也不是很懂.希望有人知道可以講一下

上面是我粗淺的看法
下面會有專業的回答~~~~~我是肉腳

cheerx

2009-04-21, 06:35 PM

請問樓主想達到的實際目的到底是甚麼,如果是簡單的PORT BASE VLAN人數又不多的話,採用居易的2910系列就可以把4個LAN作PORT BASE VLAN分開,如果人數多一些的話,小弟手上也有中型的BILLION BIGGUARD 50G防火牆,他有一版韌體可以L3切割搭配port base vlan,可以讓下面不同lan port的用戶使用不同的虛擬ip網段.這樣的架構應該會比樓主題出來的架構簡單些.

astronomy

2009-04-21, 09:08 PM

muna

2009-04-22, 08:46 AM

謝謝大家的回應！講的不夠清楚，在此再說明一下，
目前希望切的是ip based的vlan，切割vlan是因為部門別的不同，vlan1中人員是固定的，vlan2是變動的，人來來去去，因此電腦數目（有notebooks和pc）也是變動的。所以規劃vlan1中電腦都是static ip，vlan2則用設備中的dhcp。網路流量在這兩個vlan中，vlan2會遠多於vlan1，因此希望將流量分開，不要干擾對方。至於為何vlan1及vlan2要互通，是因為兩邊都有實體檔案資料庫，vlan1中人員需要去vlan2中找資料，印象中，vlan不是會切出實體不同的網段，如果不能互通？那網路芳鄰不就不能用了？

我建議你.改變一下架構
人數多.改採3個區塊.vlan1 vlan2 lan3(server移過來.也就是你說的檔案資料庫)
---------------------------------------------------------------------------------
人數少.那切一段vlan就可以 lan1與server放一起.切1個vlan2就可以.

用固定ip不是很建議.以後萬一人多你的ip管理會有點累dhcp server要架.relay要做.

切vlan網芳不互通.要通.就在上層放server或PC嚕

dhcp設備要跨網段不便宜.vlan ip base 也不便宜.考慮一下人是不是有這多.lan1.lan2資料是不是很重要.人員使用是不是固定人員或是訪客都可以用.真的需要切.那就花錢開下去

astronomy

2009-04-22, 10:09 AM

cheerx

2009-04-22, 11:50 AM

L2和L3的差異就在於有沒有IP層資料的解析,跟我們在學網路osi七層架構的第二層或是第三層有關,以切vlan為例,通常L3的switch切vlan都還會做一下網段的規劃.如果人不多,同網段的PORT BASE VLAN是比較簡單的,讓公司固定員工用的port可以上網,可以接資料庫主機port.讓流動的人員可以存取資料庫主機port,可以上網,但是不能連接固定員工使用的port,這樣的規劃比較簡單,花費也低.

如果人多一點的話就切L3的VLAN,把固定的員工和流動員工的網段分開,資料庫的主機看是否考慮規劃在獨立的網段或是放在固定員工的網段.主要我想還是看您要用到多少個ip和有多少預算可以做這件事情.

muna

2009-04-22, 01:48 PM

請問muna及各位前輩

首先，想先確認一下vlan觀念，如我依照muna的建議，將資料庫放在vlan1，另外設定vlan2管理變動人員，假設我要實行port based vlan且 vlan間要可以互通(vlan2要去vlan1找資料)，是否只要採購 L2 managed switch就夠了？以8 ports L2 switch為例，是否應這樣接？
port 1-4 : vlan1
port 5-8 : vlan2
這些ports 下接一般switch，上接 router 甚至 firewall去管理資料流？
以用port based vlan為前提，如果現在要切更多vlan，架構以是一樣，只要將實體port重新分配到不同vlan即可？
最後再問一下，L3 與 L2差別是否只有差在不需上層 router解析？
抱歉，問題有點多，因為接觸的設備太少，先在此謝謝你

我的意思是資料庫放在 "LAN1" 屬於沒有切vlan的區塊. 變動人員屬於 vlan區塊
vlan底下電腦可以連到 lan1底下存取

8port switch 為例.
port 1-4 : lan (server跟固定人員PC放在這)
port 5-8 : vlan (變動人員)

---------------------------------------------
產品類我也不是很熟.cheerx 董比較知道.我只是失業勞工 >< .我不是前輩.網管就互相學習求進步吧.其實可以叫廠商來規劃給你聽或打電話問.多聽幾家.你就了解.
---------------------------------------------
不過說到這裡.你還沒有說大概員工多少人.預算多少錢

cheerx 董提供的 IP數 200以下其實用1個網段就夠了.vlan用port based 切.dhcp也用設備給.又沒有relay問題.簡單又好用.
---------------------------------------------

FYI

2009-04-23, 10:42 PM

小弟提供一個笨方法:

Ｉｎｔｅｒｎｅｔ
　　　　↑
　　　　↓
Ｖ←→ＧＷ←→Ｖ
Ｌ　　　　　　Ｌ
Ａ←→ＤＣ←→Ａ
Ｎ　　　　　　Ｎ
１　　　　　　２
ＧＷ: 預設閘道, 支援VLAN 和頻寬管理
ＤＣ: Domain Controller & WINS & DHCP Server & Internal Router

技巧在於登入網域並自動將網路設定傳到客戶端, 包含WINS 和靜態路由, 只有VLAN1 和VLAN2 互訪需要經過DC, GW 則只負責Internet 頻寬管理, GW 也可以直接由DC 取代

考慮不周之處, 敬請不吝指正