L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 小弟有些網路上的問題,想請各位大大幫我看看,這樣的設定,有沒有什麼問題? 現在的情況是公司要改網路的配置,要做到下面的四點的功能: 1.總公司樓下的門市 POS 電腦可以透過內網 VLAN2 連回總公司的 POS 伺服器, 2.樓下的門市刷卡機,透過 VLAN3 經由 ATU-R 連接 VPN 與收單銀行做授權。 3.其他門市的POS電腦,可以透過 VPN 經由 ATU-R、Switch、VLAN2連接到 POS 伺服器。 4.辦公室電腦可以經由VLAN1、Switch、與POS伺服器連線,也可以經由VLAN1、Switch分享器,連上網。 Switch切三個VLAN,一個VLAN接分享器,再接VTU-R光纖固定制,另外二個VLAN,再接ATU-R, 示意圖: VTU-R POS伺服器 其他門市的POS電腦 │ VLAN1││VLAN2 │ │ ││ │ │ ││ │ 分享器 ││ ATU-R─VPN─┴──收單銀行 VLAN1 │ ││ │ └─Switch──┘ │││ 辦公室電腦┘│└─信用卡刷卡機 VLAN1 │ VLAN3 POS電腦 VLAN2 我的想法: 分享器在VLAN1中送DHCP的封包,其他的VLAN2, VLAN3不會收到DHCP。 而有一個疑問,就是 VLAN2 與 VLAN3 ,是否需要各一條網路線,連到 ATU-R? 還是說只要一條網路線? 我在想,因為是 L2 Port Base Switch,所以,是不是要二條網路線連到 ATU-R? 先謝謝各位的回答。 |
你可能分析得還不夠透徹, 首先是Port-Based VLAN 功能有限, 所以要有一些技巧, 其次根據第3 點, VLAN3 應該還包含ATU-R, 這就會有問題, 如果把VLAN 分組來看:[INDENT]VLAN1: 分享器, 辦公室電腦, POS 伺服器 VLAN2: POS 電腦, POS 伺服器, ATU-R (其他門市的POS 電腦) VLAN3: 信用卡刷卡機, ATU-R (收單銀行)[/INDENT]小弟只知道Tecom AR4031C 可以設定第二組IP, 然而以你的規劃, 勢必無法[B]實體分割[/B]VLAN2 & VLAN3, 最多只能以IP 區段分割, 因為ATU-R 對VLAN 的支援有限, 除非是小弟誤會了, 而你有兩個ATU-R, 那麼可能也不需要VLAN3 如果可以取消VLAN3, 那麼小弟會建議把L2 Switch 的共通埠連接POS 伺服器, 剩下的就很清楚了 某些分享器支援VLAN, 也有管理功能, 或許可以省下一個L2 Switch, 請提供分享器, VTU-R 和ATU-R 的型號 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 POS Server算VLAN1還VLAN2? 其他門市的電腦透過ATU-R後端的VPN設備進來? 但VPN設備與ATU-R在VLAN3? 你畫的架構圖有不少衝突的地方. 若有興趣. 歡迎將您的MSN PM給我. 可以給您一些建議. |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 看起來像小型區網.有必要這麼多vlan嗎?? |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=muna;1045846]看起來像小型區網.有必要這麼多vlan嗎??[/QUOTE] Security Issue |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 要補充一些,VLAN2接一條線到ATU-R,VLAN3也接一條線到ATU-R。 還有,VPN是中華電信的月租 HiLink VPN,不是自己架的VPN。 POS Server 是雙網卡的,所以一個接 VLAN1,另一個接 VLAN2。 因為二邊都要讀得到 POS Server。 因為想讓門市跟總公司共用一組VPN,不想門市再多申請一組, 而總公司又有光纖跟VPN二組網路,所以不想那麼多台設備, 想說用可以切VLAN,共用一台Switch的方式。 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 照FYI大大的說法:「小弟只知道Tecom AR4031C 可以設定第二組IP!」 那可能真的是這樣,因為中華電信的業務工程師跟我說, 只要可以切 VLAN 的 L2 Switch 就可以了,不需要用到 L3 的, 所以, 應該是 VLAN2 是 POS 用的一組,用第一組的IP。 VLAN3 則是刷卡機用的那組,然後用第二組的IP。 而VLAN1,因為也等於一個Switch,靠的是分享器, 來連VTU-R上網。 ※ 因為目前只是在規劃的階段,所以不知道VTU-R/ATU-R的型號。 而這些東西,我以前沒碰過,對網路的概念不熟,所以想請教各位。 感謝各位的幫忙。 |
[QUOTE=chenbj1102;1045848]要補充一些,VLAN2接一條線到ATU-R,VLAN3也接一條線到ATU-R。[/QUOTE] 問題是就算ATU-R 支援VLAN, 也並不支援兩個VLAN 都橋接到同一個ATM, 你已經知道POS 伺服器需要雙網卡, 就不難想像ATU-R 如何支援雙VLAN, 所以小弟才會表示無法 "實體分割", 而ATU-R 所支援的第二組IP 只有Routing 用途(請看Vigor 分享器), 所以實際用途有限 從你的描述來看, 其他門市的POS 電腦和收單銀行是從同一個VPN 進來, 所以根本無法從ATU-R 分割, 同理也就無法分割刷卡機和POS 伺服器, 除非ATU-R 就是一台網管型的設備, 但事實上並非如此 好吧! 小弟想到另一個辦法就是利用Port-Based L2 Switch 的共用埠, 把它連接ATU-R, 而既然POS 伺服器必須連接三個VLAN, 那麼就需要三片網卡, 但這樣只能滿足刷卡機和POS 伺服器分開, 理論上刷卡機還是可以存取其他門市的POS 電腦, 而POS 伺服器也可以存取收單銀行, 反之亦然 另一個新的問題, ATU-R 不能只是橋接, 必須啟用NAT, 所以必須設法讓其他門市的POS 電腦能夠存取POS 伺服器, 刷卡機可能只需單向運作, 所以應該沒問題 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=Lettuce;1045847]Security Issue[/QUOTE] 不懂 銀行業.高科技半導體.(office跟產線.server 電腦數多.broadcast複雜 需要切vlan )可以接受.我不知道還有啥行業需要. 只是店面.樓上辦公室 防火牆 intrant 防毒.不就搞定了 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=FYI;1045856]問題是就算ATU-R 支援VLAN, 也並不支援兩個[/QUOTE] POS 伺服器只需要連 VLAN1, VLAN2,因為不用與收單銀行連線,所以不用連 VLAN3,。 VLAN3 是信用卡刷卡機跟收單銀行連線用的。 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=muna;1045875]不懂 銀行業.高科技半導體.(office跟產線.server 電腦數多.broadcast複雜 需要切vlan )可以接受.我不知道還有啥行業需要. 只是店面.樓上辦公室 防火牆 intrant 防毒.不就搞定了[/QUOTE] 切 VLAN,是中華電信的工程師建議的, 因為店面的電腦,是多機連線的,會一直同步每機台的資料,網路也很忙。 信用卡刷卡機連到收單銀行。中華電信說,把這二組的訊號分開來。 各自用各自的…應該也有一部份是安全的因素吧。 我在網路上找了很久,沒看過有人這樣的情況,所以才上來發問的。 (指的是同一個ATU-R接信用卡刷卡機、電腦,再切 VLAN), 其實,中華電信是告訴我,只要有一台可切 VLAN 的L2 Switch, 這樣就可以用了,我只是想知道這樣相關的技術,是用什麼方式。 還有,也還不知道這台 Switch 是要怎麼連 ATU-R, 這個可能要等到中華電信來裝完機後,再等銀行方面的工程師, 來設定刷卡機後,才會知道了。 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 我想重新解釋一遍好了,一開始只是要申請中華電信的 VPN,總公司是頭端, 門市端連回頭端,而中華電信跟我說,可以再申請 VPN ACL 信用卡刷卡服務, 傳統信用卡刷卡是透過電話線 PSTN 跟收單銀行連線(就像是撥接上網), 而 ACL 刷卡,就是透過 VPN ADSL 跟收單銀行連線(就像是寬頻上網), 速度上會比較快, 因此,門市的信用卡刷卡機跟 POS 電腦,是經由同一個 ATU-R 的線路連出, 但彼此不用互通,「這樣的狀況,就有點像是 FTTB VDSL + MOD 的狀況」。 所以中華電信要我把門市的 Switch 換成可以切 VLAN 的 L2 Switch, 讓 POS 電腦跟信用卡刷卡機的訊號分開。 而總公司的部份因為樓下也有一個門市,剛好這個門市也有線連到樓上, 所以想說就共用一組 VPN,不另外申請一組線路(省下一組 ADSL VPN), 後來想想,總公司原本是獨立用一個 Switch,POS 也有一個 Switch, 那這樣很多台,可以切 VLAN,那不如就切一個 VLAN 給總公司的電腦用, 所以,最後就變成是一台切三個 VLAN… VLAN1 這個虛擬的 Switch,是接分享器上網,連到 VTU-R。 VLAN2 這個虛擬的 Switch,則是把樓下的 POS 電腦跟 POS 伺服器連接, 共用一個中華電信 VPN 與其他的門市連線。 VLAN3 這個虛擬的 Switch,則是把樓下的信用卡刷卡機連到收單銀行, 其實,若是先不考慮「信用卡刷卡機的 VLAN3」,這樣的狀況就比較簡單, 就只是二個虛擬的 Switch,各接一個 ATU-R, VTU-R,這種狀況就沒問題。 但現在的狀況,是在 ATU-R 這部份,會有二個 VLAN,一個是 VPN 連網, 另一個則是「信用卡刷卡機的連網」, 這種用途,就像是上面說的 FTTB VDSL + MOD 一樣,同一個 VTU-R, 一個是 FTTB VDSL 連網,而另一個則是 MOD 的連網。 或許是家用的關係,所以就不用切 VLAN,而因為是信用卡刷卡機, 所以要切 VLAN,我想,另一方面,也可能是安全性的考量, 因為畢竟是信用卡刷卡的授權驗證,金流的部份,還是要考慮安全性吧。 |
[QUOTE=chenbj1102;1045909]因此,門市的信用卡刷卡機跟 POS 電腦,是經由同一個 ATU-R 的線路連出, 但彼此不用互通,「這樣的狀況,就有點像是 FTTB VDSL + MOD 的狀況」。[/QUOTE] 除非刷卡機和POS 電腦走的是不同的VPI/VCI, 否則ATU-R 無法切割二者, 也就無法分成兩個VLAN, 是否可以請華電說明? 如果可以切割, 而且華電配給你含四埠的ATU-R (AR4031B/C), 那麼直接把刷卡機連接ATU-R 即可, 不需經過Port-Based Switch, VLAN3 確實存在, 但和Port-Based Switch 無關, 這也是小弟一直努力想要解釋的, 硬要在Switch 搞個VLAN3 並非不可以, 但意義不大 此外, 不知道你要的是哪一種Port-Based L2 Switch? 如果沒有共通的必要, 那麼3 個VLAN 何不只用三個交換器就好? |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=FYI;1045945]硬要在Switch 搞個VLAN3 並非不可以, 但意義不大[/QUOTE] 剛剛有再跟中華電信確認過一遍了,刷卡機跟POS是用同一個VLAN就好了, 不用切到第三個VLAN。 因為刷卡的流量不大,共用同一個VLAN就好,不需要另外獨立一個。 我誤會了…哈,不好意思,想太多了。 因為網路上關於這方面的資料,我都沒看到,也算是有學到了。 感謝各位的回應。^_^ |
[QUOTE=chenbj1102;1045964]剛剛有再跟中華電信確認過一遍了,刷卡機跟POS是用同一個VLAN就好了, 不用切到第三個VLAN。[/QUOTE] 確認什麼? 是使用同一組VPI/VCI 嗎? 大家都很認真, 可別只有你馬虎, 這樣學不到真正的技術 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 [QUOTE=FYI;1045992]確認什麼? 是使用同一組VPI/VCI 嗎? 大家都很認真, 可別只有你馬虎, 這樣學不到真正的技術[/QUOTE] 嗯。抱歉,沒說清楚,就是用同一組VPI/VCI,同一個ATU-R,謝謝。 |
建議你問清楚華電的VPN 架構, 刷卡機和POS 伺服器分配到兩個或一個IP? 因為這樣才能確定你的架構:[INDENT]VLAN1: 分享器, 辦公室電腦, POS 伺服器 VLAN2: POS 電腦, POS 伺服器 VLAN3: POS 伺服器, 信用卡刷卡機, ATU-R[/INDENT]此外, 請重新考慮採用Port-Based L2 Switch 的目的? |
突然想到一個問題, 按照樓主的敘述, 可能只有一台POS 伺服器, 如此架構當然比較單純, 萬一要擴充時, 架構如何變更? 不妨趁此機會通盤考慮 此外, 當公司規模達到一定程度, 自然就會需要稽核控管, 所以設備採購不宜太節省, 該花的錢就必須花 |
回覆: L2 Switch 切三個 VLAN 接中華電信固定制多IP、與 VPN 的問題。 如果把三個VALN實體接回ATU-R上,理論上VLAN無效,因為你等於把三個switch又一起串到一台Switch上,這樣不就等於所有switch就可以戶傳資料,基本Port-base VLAN設定,如果有16Port就會有16個群組,我舉個簡單的例子,如果我今天1~5個Port 我要讓每個Port都切vlan,又要讓大家能夠上網,那設定方法會如下 Port 1 群組 1、2、3、4、5 接 ATU-R Port 2 群組 1、2 Port 3 群組 1、3 Port 4 群組 1、4 Port 5 群組 1、5 ----------------------------------------- 以上這樣的設定2~5 Port跟 Port 1同一個群組所以都可以看到Port 1的資料,又因2~5個在不同群組所以互相看不到,這樣看的懂嗎^^ |
所有時間均為 +8。現在的時間是 04:49 AM。 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。