其他網路設備與技術 - 網路架構規劃 - 電腦

前往內容


網路架構規劃

各位好,因需求故小弟需要規劃一個網路架構,但小弟並不是很了解,請各位大大能指導一下

目前有的設備如下
Firewall 1台(含UTM功能 包含IPS GAV )
L3 Switch 1台(可做路由交換功能)
L2 Switch 6台

線路架構如下
10M/10M 一條
512K/512K 一條
使用人數大約100-120人

目前架構圖如下



現在想要重新規劃架構 原本無L3 Switch 設備,目前要放入架構上
有同仁建議以部門來做規劃(基本上會改成3-4個網段)網段並且把routing 全部改到 L3 Switch 上 也就是
pc & server default gw指向 L3 Switch
而防火牆就只做進出控管的部分

可是這樣就變成所有網段在做路由交換時全部變成L3 Switch做控管
這樣小弟想到了2個問題
1.每個網段存取控制都得由ACL來進行

但是如果以ACL做控管時,這時候L3 switch 只能看的懂封包 但是看不懂連線 這樣我只想讓Lan的網段能到Dmz區 但不能讓Dmz過來 Lan好像是會有問題 這需要怎麼解決呢?

2.每個網段DHCP問題 藉由dhcp relay

因為小弟沒有設定過dhcp relay不知道這部分是否會很複雜

或者是有其他的方式來做部署此架構希望大大能解答囉 謝謝
1. 依你的圖來看
DMZ主機是在UTM後面 既然都是DMZ了 把他擺在UTM前面 不就不回有你想的那個問題了
當然DMZ主機要有兩張網卡 兩張再BRIDGE起來

2. 請看椰子殼
他舉的例子跟你的架構很像


prottos2003 wrote:
各位好,因需求故小弟需要規劃一個網路架構,但小弟並不是很了解,請各位大大能指導一下

目前有的設備如下
Firewall 1台(含UTM功能 包含IPS GAV )
L3 Switch 1台(可做路由交換功能)
L2 Switch 6台

線路架構如下
10M/10M 一條
512K/512K 一條
使用人數大約100-120人

目前架構圖如下



現在想要重新規劃架構 原本無L3 Switch 設備,目前要放入架構上
有同仁建議以部門來做規劃(基本上會改成3-4個網段)網段並且把routing 全部改到 L3 Switch 上 也就是
pc & server default gw指向 L3 Switch
而防火牆就只做進出控管的部分

可是這樣就變成所有網段在做路由交換時全部變成L3 Switch做控管
這樣小弟想到了2個問題
1.每個網段存取控制都得由ACL來進行

但是如果以ACL做控管時,這時候L3 switch 只能看的懂封包 但是看不懂連線 這樣我只想讓Lan的網段能到Dmz區 但不能讓Dmz過來 Lan好像是會有問題 這需要怎麼解決呢?

2.每個網段DHCP問題 藉由dhcp relay

因為小弟沒有設定過dhcp relay不知道這部分是否會很複雜

或者是有其他的方式來做部署此架構希望大大能解答囉 謝謝


既然使用人數都破百人
何不找一個MIS來處理?
畢竟網路切換只有1~n個晚上讓你處理(端看公司老闆的容忍度)

dllion3333 wrote:
既然使用人數都破百人...(恕刪)


您好 我就是負責這是更換架構的人員了
prottos2003 wrote:
各位好,因需求故小弟...(恕刪)


才100~200的人的公司
就要切成3-4的網段...會不會太多了一點
搞的這麼復雓做啥

光維護找問題 就會找死你了


前面可以加一台類似ascenlink 負載平衡的設備 斷線時 可以自動切到另一條去

這時你的DMZ的問題 就可以用防火牆的規則來解決 誰可以過去 誰不可以過去 Policy設一下就好了


viphone wrote:
1. 依你的圖來看D...(恕刪)


您好!

我想請問一下 您說DMZ Server 需要有兩張網卡並且把他bridge起來的意思是什麼呢
原因是什麼呢?謝謝

prottos2003 wrote:
您好 我就是負責這是...(恕刪)


如果你是更換此架構的人員
不應該上來提這些問題吧
畢業有幾分功力 做幾分事

自己要有自己架設的能力才行
被含打南含 wrote:
才100~200的人...(恕刪)


主要是管理部門&開發部門需要有個獨立的LAN 再來是常常會有外賓使用我們網路
在管理&開發部門LAN上有他們自己的nas 不希望讓別的部門來存取他們的資源
加上如果部門人數有增加了話 以後也會比較好調整
一個區域網路pc越多 broadcast也會越重 既然都要更換架構了 一次規劃到好不是更好嗎?

補充一
再L3 Switch 上的acl只有非狀態式的防火牆 只能看出packet 那剛剛有大大建議我把dmz直接放在fw那我就可以了解

補充二
我的F/W 本身就有link load balancing的功能
prottos2003 wrote:
主要是管理部門&開發...(恕刪)


你要的功能
除了開發環境 要有獨立的網段以外

其他都可以用ACL解決
NAS不想別的部門來存取 權限改一下不就好了...
為了這幾支貓...要加一個網段? 太小題大作了一點

至於broadcas以你的人數 影響不大

我現在四個網段全滿 每個網段各放一台DHCP 也沒有你說的broadcas的問題啊

要是有PC中毒 大量發送broadcast封包 也會被我的switch直接封鎖他的網路埠

等中毒解決了 再自行啟用即可

FW有這個功能啊 如果你的FW performacne 做的來 那也OK

重點是你的FW 硬體performacne 檔的住你公司未來成長的流量嗎?


被含打南含 wrote:
你要的功能除了開發環...(恕刪)


贊成這位大大說的 為了幾個人開一個網段實在很不妥當

而且FW要做到load balance也可以只是要看你的FW撐不撐的助而已...

如果真的只是開發環境要用那可以直接用實體線路閤開..(我這邊的開發人員是不准上網的)

以上

1頁 (共7頁) » 分享到

前往



廣告
廣告