1. ACL 可以做到各vlan分離與控制存取, 不過就看你的目的為何. ACL 越多, IOS跑得越喘.

2.不使用網芳是正確的,找個file server用 FTP/http, 做patch設好控管,可能還安全一點.

3.你下面的L2 SW 已經把vlan trunk上來了, vlan的終結點就是在3550上面, 所以不適合

再把VLAN帶過去 FW! 外界的internet流量當然是沒有帶vlan ID的. 如果你的vlan trunk

是終結到FW上, 則FW自然會有多個sub interface 分別bind 各個不同網段IP.自然可以

將目的地IP傳向適當的網路(direct connect). 在你的case, 需要加static route在FW上,

將內部各網段路由指向3550. FW就可以知道該往哪裡傳送3550上面的各個網段.

4. multi-WAN load balancer已經可以做到你想像得到最花俏的功能(只要掏錢出來買)

不管你是要by loading, by IP, by application , by schedule...etc 都行.

5. 有需要的地方就做ACL, 3550 或是 FW 都可以阻止vlan 70的人不可往IDC.

不放心的話,主機端上再加認證,通過後才能使用.

6.找linux文獻我是不知道能不能做/能做多少,不過買現有的FW產品,已經有不少可以做到你要的.

7. FW session是real time 資料, 必須動態存在於記憶體當中. 比較快遇到限制的可能是RAM,

RAM 不夠大就跑不了多session(多會耗RAM跟你軟體的撰寫也有關係), 不過兩萬session

實在不大, 很多商用FW都可以輕鬆應付. 倒是不用擔心網卡的承受能力, 它只是單純做

packet forward而已, session是FW application在管理的, 現在的網卡再怎麼樣也應該

會比你租的頻寬要大得多.