大家好:

因為小弟本身待的公司是小型企業公司人數大約在100-150人左右
稍為介紹一下網路架構
最前端有一台光纖轉換器(配有14組static ip mask/28)、另外一台ADSL(配有3組static ip )
接下來有台Firewall 目前想更換新的Firewall
最後是Switch
每台S/W都有他們管理的IP 也是client端PC上面的Default Gateway IP
1.Cisco 3550 L3 switch 10.1.70.254
2.Cisoc 2960 L2 switch 10.1.60.254 10.1.50.254
3.Cisoc 2960 L2 switch 10.1.40.254 10.1.30.254
4.Cisoc 2960 L2 switch 10.1.20.254 10.1.10.254

但是想到公司會在未來擴增所以打算把Vlan給切出來
現在的架構是完全沒有切Vlan都是預設Vlan1
基於方便管理以及安全性考量，未來想改為切Vlan的方式來做好網路管理
目前在上面的圖有7個Vlan 以Vlan 70為IT 管理部門專用
而VLan 60 50 40 30 20 10為一般部門所使用
我想把Vlan 70下面的人跟 其餘的Vlan相通
而剩餘的Vlan 無法跟剩下的Vlan無法溝通
請問
1.這可以利用ACL做到沒錯吧!!!!!
(也就是說Vlan 10跟20互不通 而Vlan 70可以存取任何Vlan下的PC
但Vlan 10-60無法直接存取Vlan 70)
或者是還有更好的方式能提供嗎??

2.但是基於有時候檔案還是要能做分享，但利用網芳的方式來做資料的存取又不是很安全
所以建置了一台內部專用File Server
請問 這台File Server要如何建置(IP需要如何規劃以及該放在哪台S/W或者是F/W下面呢)
跟內網的所有人做溝通呢?? 這樣存取檔案的方式是否真的有比利用網芳的方式安全嗎??
個人是覺得比較安全，不知道大家認為這樣的方式好嗎??

3.切了這麼多Vlan後，假若我S/W接到F/W線路只有一條 可是卻有這麼多不同的網段
F/W只有一個port要怎麼把這麼多網段加到他的interface上呢?是利用trunk封裝subinterface的方式嗎??
(但是這種方式好像現在很少人在用了??這是cisco router only??)
或者還有其他的方式??還有從外面internet來的封包，封包總沒有帶tag(VID)吧
那F/W是怎麼去判定要往哪個Vlan送呢??

4.再來是F/W 我想把它做為雙Wan 做loadbalance (因該是說unequal loadbalance嗎)
但是平常一般時間還是走較快的光纖線路，而當他loading較重的時候ADSL會幫
光纖先做一個附載平衡的動作，又或者是某條線路出問題時 Firewall可以立刻切換線路到正常狀況
(以上因該loadbalance 可以做到吧!!!!先姑且不論用哪種廠牌的硬體設備能達到此要求，
請問可以做到以上的要求嗎??)

5.因為我們對外在IDC這部分有很多主機，但是這部分只能給IT部門&特定的某些人(不在Vlan 70裡面)過去IDC
但是有這個loadbalance F/W上它的rule 需不需要做某些不同的設定呢???因為我怕其他的人也能跑去IDC
這樣會不太安全(IDC的設定是permit 光纖&ADSL的IP通過)

6.最後一個小問題，目前現況F/W就是用BSD的Pfsense來搞的
可是Pfsense沒有弄到說切Vlan&loadbalance的設定
那我想請問下圖F/W架構有沒有辦法用Linux架設就解決呢???
我大概要看哪一方面的文獻來做研讀呢?

(PS:switch簡寫S/W firewall 簡寫F/W)


感謝看完我囉哩囉嗦的一堆問題，祝各位在新的一年能薪餉事成，謝謝。