防火牆的設計

**astronomy** · 2010-08-27, 06:04 PM

日前，因為採購新的防火牆，及人員調動，以至於需要重新設計一下網路，我們的人員散布在兩個不同地方（不同棟，但不是很遠），我們有許多部門，目前要確定的是如何設計網路讓三個重要部門(A、B、C)的人可以用網路，A部門的人固定在一個地方工作(地點1），但B部門的人分布在兩個不同地方工作（地點1、2），C部門的人只在地點2工作，我們的file server放在地點1，A及B部門的人，需要可以使用這些server，但C部門的人不能讓他們使用。目前想法如下

地點2（小台防火牆），分兩個vlan，給B部門和C部門的人不同的vlan id，分別為10和20
地點1（大台防火牆），分給A部門的人 vlan id 10

由於這兩個地方人員不是很多，每個點大約幾十人，所以沒有router，只有managed switch，所以vlan是直接用防火牆分出來的

地點2的防火牆，直接用site to site vpn，強迫所有流量轉給大台防火牆的external interface，讓該防火牆決定封包可不可以進入區域網路，不知這樣的架構有沒有問題？可以實現嘛？總覺得應該有更好的架構，麻煩先進指導一下，謝謝。我們採買的是Cisco的防火牆。

PS:我們也希望能綁mac到固定ip，但似乎cisco的防火牆，不能綁ip，請問有什麼方法可以實現嘛？謝謝。

**pavo** · 2010-08-27, 07:29 PM

怎不找專業的人到現場去看呢?? .....

**DarkSkyline** · 2010-08-27, 07:52 PM

若已經採買設備了,就詢問購買廠商尋求解決方法吧.

**FYI** · 2010-08-28, 09:36 AM

建議畫一下架構和頻寬圖, 因為小弟不瞭解既然已經切割VLAN, 何以還需要Site to Site VPN? 除非兩地是透過企業VPN 網路或網際網路連結, 而非直接連結

**astronomy** · 2010-08-28, 01:43 PM

謝謝大家的回應，基本上這兩個防火牆，不是我們直接採購的，是發下來的，因此雖有廠商但也無法詢問。而且我們資料有敏感性，通常都是自己動手的。

畫了一下構想中的圖，防火牆的外部IP不在同一個網路上，因此我想是需要VPN的，請問各位先進有比較好的建議嘛？目前尚未實作，因為防火牆還沒到手上，但是希望先設計一下網路

設計兩個vlan的目的，如前所述，不希望C部門的人存取Server，而且翻閱資料，發現cisco的防火牆似乎不能綁IP到MAC上，也由於我們並未另外架設dhcp server（打算利用防火牆內建的），所以地點1流出的IP是不固定的，也就是同一IP可能是B部門的人但也可能是C部門的人，不知道防火牆有辦法在外部介面上辨識此VLAN資料嘛？如果外部介面可以直接辨識，不知道同樣接受vlan10的人員，還要需要更動什麼設定嘛？

**FYI** · 2010-08-28, 03:17 PM

請提供Cisco 設備型號
兩地是否目視無障礙? 屋頂能否架設天線?

既然是防火牆, 利用防火牆條例應該就可以限制C 部門無法通過VPN, 你該擔心的是VPN 流量, 以便決定兩地所需申請的頻寬, 此外VPN 不一定得自己架設, 也可以租用企業VPN 線路, 如此比較不用擔心頻寬, 但小弟無法理解的是設備已經採購了, 那麼意思應該是架構早已決定了, 何不詢問當初規劃的人, 否則豈不是本末倒置?

作者：astronomy

PS:我們也希望能綁mac到固定ip，但似乎cisco的防火牆，不能綁ip，請問有什麼方法可以實現嘛？謝謝。

另外買一台低階分享器當作專用DHCP Server 即可, 否則也可以運用Windows 架設DHCP Server, 然而更有效率的方法應該是透過網域伺服器管理帳號權限, 否則在防火牆上過濾MAC 可能很沒效率, 此外, 是否有必要防範私人電腦連接公司網路? 否則似乎沒必要大費周章搞MAC 綁IP

**astronomy** · 2010-08-28, 03:41 PM

謝謝FYI前輩的回答！基本上有許多事情都不是我們這個單位能決定的，我們是配合的單位，並無決定權，所以...
當初的架構就是這樣，只是預設用cisco vpn client來連線到防火牆，再連server，但是我覺得如果配合vlan，應該可以更方便才對，而且我需要管理C部門的電腦，因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。
所以目前亟需知道
1)到底vlan的tag可不可以穿兩邊的防火牆？
2)只用cisco防火牆，怎麼綁IP?

至於頻寬是完全沒問題，絕對夠的。建築物間可以目視，但無法直接牽線。

**FYI** · 2010-08-28, 04:20 PM

作者：astronomy

而且我需要管理C部門的電腦，因為該部門的電腦是共用的。所以才想到直接把小防火牆的流量都轉到大防火牆上去。

小弟無法理解你的想法和目的, 建議你還是和原規劃者或設備供應商討論網路架構, 畢竟網路技術應該不至於牽涉公司機密

**astronomy** · 2010-08-28, 04:49 PM

??
我從頭到尾都在討論技術阿？我最後的兩個問題，都只和技術有關耶？希望有經驗的前輩能指點一下，到底在cisco的架構中可以實現我們的需求嘛？

**tvirus** · 2010-08-28, 06:09 PM

既然貴單位不能決定所有的事,也不知道設備型號
你問了這些問題,真的很雞肋...
不用去管啥VPN裡面跑VLAN tag跑啥香蕉,
MAC Address綁定IP,記得是可以的...

另外,很多你們口中的防火牆,不是防火牆...甚至嚴格說,也不干防火牆的事
反正VLAN 2裡的人,就是在VLAN 2裡面晃,經過那麼多無用的設備做啥?