L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。

[chenbj1102]

小弟有些網路上的問題，想請各位大大幫我看看，這樣的設定，有沒有什麼問題？

現在的情況是公司要改網路的配置，要做到下面的四點的功能：

1.總公司樓下的門市 POS 電腦可以透過內網 VLAN2 連回總公司的 POS 伺服器，

2.樓下的門市刷卡機，透過 VLAN3 經由 ATU-R 連接 VPN 與收單銀行做授權。

3.其他門市的POS電腦，可以透過 VPN 經由 ATU-R、Switch、VLAN2連接到 POS 伺服器。

4.辦公室電腦可以經由VLAN1、Switch、與POS伺服器連線，也可以經由VLAN1、Switch分享器，連上網。

Switch切三個VLAN，一個VLAN接分享器，再接VTU-R光纖固定制，另外二個VLAN，再接ATU-R，

示意圖：

　VTU-R　　POS伺服器　　其他門市的POS電腦
　　│　VLAN1││VLAN2　　　　 │
　　│　　　 ││　　　　　 　 　│
　　│　　 　 ││　　　　　 　 　 │
　　分享器　 ││　　ATU-R─VPN─┴──收單銀行
　VLAN1 │　 ││　　 │
　　　　└─Switch──┘
　　　　　　│││
　辦公室電腦┘│└─信用卡刷卡機
　　VLAN1 　│　　　　VLAN3
　　　　　　POS電腦
　　　　　　 VLAN2
我的想法：
分享器在VLAN1中送DHCP的封包，其他的VLAN2, VLAN3不會收到DHCP。

而有一個疑問，就是 VLAN2 與 VLAN3 ，是否需要各一條網路線，連到 ATU-R？
還是說只要一條網路線？
我在想，因為是 L2 Port Base Switch，所以，是不是要二條網路線連到 ATU-R？

先謝謝各位的回答。

[FYI]

你可能分析得還不夠透徹, 首先是Port-Based VLAN 功能有限, 所以要有一些技巧, 其次根據第3 點, VLAN3 應該還包含ATU-R, 這就會有問題, 如果把VLAN 分組來看:

VLAN1: 分享器, 辦公室電腦, POS 伺服器
VLAN2: POS 電腦, POS 伺服器, ATU-R (其他門市的POS 電腦)
VLAN3: 信用卡刷卡機, ATU-R (收單銀行)

小弟只知道Tecom AR4031C 可以設定第二組IP, 然而以你的規劃, 勢必無法實體分割VLAN2 & VLAN3, 最多只能以IP 區段分割, 因為ATU-R 對VLAN 的支援有限, 除非是小弟誤會了, 而你有兩個ATU-R, 那麼可能也不需要VLAN3

如果可以取消VLAN3, 那麼小弟會建議把L2 Switch 的共通埠連接POS 伺服器, 剩下的就很清楚了

某些分享器支援VLAN, 也有管理功能, 或許可以省下一個L2 Switch, 請提供分享器, VTU-R 和ATU-R 的型號

[Lettuce]

POS Server算VLAN1還VLAN2?

其他門市的電腦透過ATU-R後端的VPN設備進來?
但VPN設備與ATU-R在VLAN3?

你畫的架構圖有不少衝突的地方.

若有興趣. 歡迎將您的MSN PM給我.

可以給您一些建議.

[muna]

看起來像小型區網.有必要這麼多vlan嗎??

[Lettuce]

看起來像小型區網.有必要這麼多vlan嗎??

Security Issue

[chenbj1102]

要補充一些，VLAN2接一條線到ATU-R，VLAN3也接一條線到ATU-R。

還有，VPN是中華電信的月租 HiLink VPN，不是自己架的VPN。

POS Server 是雙網卡的，所以一個接 VLAN1，另一個接 VLAN2。
因為二邊都要讀得到 POS Server。

因為想讓門市跟總公司共用一組VPN，不想門市再多申請一組，
而總公司又有光纖跟VPN二組網路，所以不想那麼多台設備，
想說用可以切VLAN，共用一台Switch的方式。

[chenbj1102]

照FYI大大的說法：「小弟只知道Tecom AR4031C 可以設定第二組IP！」

那可能真的是這樣，因為中華電信的業務工程師跟我說，
只要可以切 VLAN 的 L2 Switch 就可以了，不需要用到 L3 的，

所以，
應該是 VLAN2 是 POS 用的一組，用第一組的IP。
VLAN3 則是刷卡機用的那組，然後用第二組的IP。
而VLAN1，因為也等於一個Switch，靠的是分享器，
來連VTU-R上網。

※ 因為目前只是在規劃的階段，所以不知道VTU-R/ATU-R的型號。
而這些東西，我以前沒碰過，對網路的概念不熟，所以想請教各位。
感謝各位的幫忙。

[FYI]

要補充一些，VLAN2接一條線到ATU-R，VLAN3也接一條線到ATU-R。

問題是就算ATU-R 支援VLAN, 也並不支援兩個VLAN 都橋接到同一個ATM, 你已經知道POS 伺服器需要雙網卡, 就不難想像ATU-R 如何支援雙VLAN, 所以小弟才會表示無法 "實體分割", 而ATU-R 所支援的第二組IP 只有Routing 用途(請看Vigor 分享器), 所以實際用途有限

從你的描述來看, 其他門市的POS 電腦和收單銀行是從同一個VPN 進來, 所以根本無法從ATU-R 分割, 同理也就無法分割刷卡機和POS 伺服器, 除非ATU-R 就是一台網管型的設備, 但事實上並非如此

好吧! 小弟想到另一個辦法就是利用Port-Based L2 Switch 的共用埠, 把它連接ATU-R, 而既然POS 伺服器必須連接三個VLAN, 那麼就需要三片網卡, 但這樣只能滿足刷卡機和POS 伺服器分開, 理論上刷卡機還是可以存取其他門市的POS 電腦, 而POS 伺服器也可以存取收單銀行, 反之亦然

另一個新的問題, ATU-R 不能只是橋接, 必須啟用NAT, 所以必須設法讓其他門市的POS 電腦能夠存取POS 伺服器, 刷卡機可能只需單向運作, 所以應該沒問題

[muna]

Security Issue

不懂
銀行業.高科技半導體.(office跟產線.server 電腦數多.broadcast複雜 需要切vlan )可以接受.我不知道還有啥行業需要.

只是店面.樓上辦公室 防火牆 intrant 防毒.不就搞定了

[chenbj1102]

問題是就算ATU-R 支援VLAN, 也並不支援兩個

POS 伺服器只需要連 VLAN1, VLAN2，因為不用與收單銀行連線，所以不用連 VLAN3，。

VLAN3 是信用卡刷卡機跟收單銀行連線用的。