日前,因為採購新的防火牆,及人員調動,以至於需要重新設計一下網路,我們的人員散布在兩個不同地方(不同棟,但不是很遠),我們有許多部門,目前要確定的是如何設計網路讓三個重要部門(A、B、C)的人可以用網路,A部門的人固定在一個地方工作(地點1),但B部門的人分布在兩個不同地方工作(地點1、2),C部門的人只在地點2工作,我們的file server放在地點1,A及B部門的人,需要可以使用這些server,但C部門的人不能讓他們使用。目前想法如下
地點2(小台防火牆),分兩個vlan,給B部門和C部門的人不同的vlan id,分別為10和20
地點1(大台防火牆),分給A部門的人 vlan id 10
由於這兩個地方人員不是很多,每個點大約幾十人,所以沒有router,只有managed switch,所以vlan是直接用防火牆分出來的
地點2的防火牆,直接用site to site vpn,強迫所有流量轉給大台防火牆的external interface,讓該防火牆決定封包可不可以進入區域網路,不知這樣的架構有沒有問題?可以實現嘛?總覺得應該有更好的架構,麻煩先進指導一下,謝謝。我們採買的是Cisco的防火牆。
PS:我們也希望能綁mac到固定ip,但似乎cisco的防火牆,不能綁ip,請問有什麼方法可以實現嘛?謝謝。
書籤