|
||
|
Major Member
 加入日期: Jun 2005
文章: 152
|
小弟有個網路架構圖想請教一下
大家好:
因為小弟本身待的公司是小型企業公司人數大約在100-150人左右 稍為介紹一下網路架構 最前端有一台光纖轉換器(配有14組static ip mask/28)、另外一台ADSL(配有3組static ip ) 接下來有台Firewall 目前想更換新的Firewall 最後是Switch 每台S/W都有他們管理的IP 也是client端PC上面的Default Gateway IP 1.Cisco 3550 L3 switch 10.1.70.254 2.Cisoc 2960 L2 switch 10.1.60.254 10.1.50.254 3.Cisoc 2960 L2 switch 10.1.40.254 10.1.30.254 4.Cisoc 2960 L2 switch 10.1.20.254 10.1.10.254 但是想到公司會在未來擴增所以打算把Vlan給切出來 現在的架構是完全沒有切Vlan都是預設Vlan1 基於方便管理以及安全性考量,未來想改為切Vlan的方式來做好網路管理 目前在上面的圖有7個Vlan 以Vlan 70為IT 管理部門專用 而VLan 60 50 40 30 20 10為一般部門所使用 我想把Vlan 70下面的人跟 其餘的Vlan相通 而剩餘的Vlan 無法跟剩下的Vlan無法溝通 請問 1.這可以利用ACL做到沒錯吧!!!!! (也就是說Vlan 10跟20互不通 而Vlan 70可以存取任何Vlan下的PC 但Vlan 10-60無法直接存取Vlan 70) 或者是還有更好的方式能提供嗎?? 2.但是基於有時候檔案還是要能做分享,但利用網芳的方式來做資料的存取又不是很安全 所以建置了一台內部專用File Server 請問 這台File Server要如何建置(IP需要如何規劃以及該放在哪台S/W或者是F/W下面呢) 跟內網的所有人做溝通呢?? 這樣存取檔案的方式是否真的有比利用網芳的方式安全嗎?? 個人是覺得比較安全,不知道大家認為這樣的方式好嗎?? 3.切了這麼多Vlan後,假若我S/W接到F/W線路只有一條 可是卻有這麼多不同的網段 F/W只有一個port要怎麼把這麼多網段加到他的interface上呢?是利用trunk封裝subinterface的方式嗎?? (但是這種方式好像現在很少人在用了??這是cisco router only??) 或者還有其他的方式??還有從外面internet來的封包,封包總沒有帶tag(VID)吧 那F/W是怎麼去判定要往哪個Vlan送呢?? 4.再來是F/W 我想把它做為雙Wan 做loadbalance (因該是說unequal loadbalance嗎) 但是平常一般時間還是走較快的光纖線路,而當他loading較重的時候ADSL會幫 光纖先做一個附載平衡的動作,又或者是某條線路出問題時 Firewall可以立刻切換線路到正常狀況 (以上因該loadbalance 可以做到吧!!!!先姑且不論用哪種廠牌的硬體設備能達到此要求, 請問可以做到以上的要求嗎??) 5.因為我們對外在IDC這部分有很多主機,但是這部分只能給IT部門&特定的某些人(不在Vlan 70裡面)過去IDC 但是有這個loadbalance F/W上它的rule 需不需要做某些不同的設定呢???因為我怕其他的人也能跑去IDC 這樣會不太安全(IDC的設定是permit 光纖&ADSL的IP通過) 6.最後一個小問題,目前現況F/W就是用BSD的Pfsense來搞的 可是Pfsense沒有弄到說切Vlan&loadbalance的設定 那我想請問下圖F/W架構有沒有辦法用Linux架設就解決呢??? 我大概要看哪一方面的文獻來做研讀呢? (PS:switch簡寫S/W firewall 簡寫F/W) 感謝看完我囉哩囉嗦的一堆問題,祝各位在新的一年能薪餉事成,謝謝。 
__________________
"PCDVD" 讓我學會了"敗家" 
|
|||||||
2009-01-11, 02:23 AM
#1
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
推一下,請問大概有人可以跟我說一下方向嗎??謝謝
__________________
"PCDVD" 讓我學會了"敗家"
|
||
|
2009-01-12, 10:08 AM
#2
|
|
|
Elite Member
  加入日期: Oct 2002
文章: 4,803
|
cisco與vlan我不瞭
請自行加油 建議問賣的廠商 file server也是有ACL與quota 應該不用弄到實體隔離, 除非你每邊都弄一台 看你的file server是哪種架構 win或linux都可以設 然後你by部門做auto mount或網路磁碟機 降低使用者亂找機率 (就算找到, 沒權限的還是進不去) 不過 你們最好把AD或者LDAP弄出來 不然帳號認證是個大問題 load balance部份 沒問題的話 演算法通常是用auto 你的狀況可以設權重或loading 這應該都是基本功能 你想屏蔽掉其他內部ip往某網段 這也是可以的 from? to? protocol(or port)? deny這樣就好了 (我不知你是用哪種語法, 但觀念差不多)
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 此文章於 2009-01-12 01:14 PM 被 u8526425 編輯. |
|
2009-01-12, 01:09 PM
#3
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
原來如此~小弟不清楚file server也是有ACL與Quota的功能 目前的file server是win2003 我也沒想過說每個Vlan下要一台file server,這樣太花成本,我想老闆也不可能答應 AD部分近期因該會想把它弄好,這我能了解帳號認證的問題 那這些都有辦法在Linux下做的到囉~ 還有目前公司用的FW是pfsense 預設的session數目是2萬 但是有時候可能撐不到2萬就受不暸了 我有看到可以在加大session數 可是在加大是否沒意義,因為小弟認為session數跟我那台pfsense的網卡的承受能力有關係,不知道我的觀念有錯嗎??
__________________
"PCDVD" 讓我學會了"敗家"
此文章於 2009-01-12 01:58 PM 被 imprezagt1031 編輯. |
|
|
2009-01-12, 01:55 PM
#4
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,803
|
pfsense我沒用過
不過官網上有所謂Hardware Sizing Guidance 你可以參考一下裡面的意見 file server部份 不管你要走MS系還是Linux系 建議先找書 把帳號認證與權限管理看懂 然後試著實作一次 再去規劃你的架構
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|
2009-01-12, 02:06 PM
#5
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
1. ACL 可以做到各vlan分離與控制存取, 不過就看你的目的為何. ACL 越多, IOS跑得越喘.
2.不使用網芳是正確的,找個file server用 FTP/http, 做patch設好控管,可能還安全一點. 3.你下面的L2 SW 已經把vlan trunk上來了, vlan的終結點就是在3550上面, 所以不適合 再把VLAN帶過去 FW! 外界的internet流量當然是沒有帶vlan ID的. 如果你的vlan trunk 是終結到FW上, 則FW自然會有多個sub interface 分別bind 各個不同網段IP.自然可以 將目的地IP傳向適當的網路(direct connect). 在你的case, 需要加static route在FW上, 將內部各網段路由指向3550. FW就可以知道該往哪裡傳送3550上面的各個網段. 4. multi-WAN load balancer已經可以做到你想像得到最花俏的功能(只要掏錢出來買) 不管你是要by loading, by IP, by application , by schedule...etc 都行. 5. 有需要的地方就做ACL, 3550 或是 FW 都可以阻止vlan 70的人不可往IDC. 不放心的話,主機端上再加認證,通過後才能使用. 6.找linux文獻我是不知道能不能做/能做多少,不過買現有的FW產品,已經有不少可以做到你要的. 7. FW session是real time 資料, 必須動態存在於記憶體當中. 比較快遇到限制的可能是RAM, RAM 不夠大就跑不了多session(多會耗RAM跟你軟體的撰寫也有關係), 不過兩萬session 實在不大, 很多商用FW都可以輕鬆應付. 倒是不用擔心網卡的承受能力, 它只是單純做 packet forward而已, session是FW application在管理的, 現在的網卡再怎麼樣也應該 會比你租的頻寬要大得多. |
|
2009-01-12, 03:24 PM
#6
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
OK!!謝謝嚕 我有去官網上看了 目前正在學習Linux的檔案權限概念了^^
__________________
"PCDVD" 讓我學會了"敗家"
|
|
|
2009-01-12, 08:45 PM
#7
|
|
|
Basic Member
加入日期: Mar 2008 您的住址: 台北
文章: 20
|
L2 switch 無route功能,設定管理的IP就只為管理用,
建議應用3550當 route 再把各vlan Default Gateway(各PC) 用3550所設定同vlan ip, 這樣3550會自動轉送到適當vlan |
|
2009-01-12, 09:05 PM
#8
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
首先,先感謝Raziel大大回答得這麼詳細 這個我能了解ACL下的越多一定越喘~wildcard要會活用對吧!! 但是我想,在一個小公司的環境裡面ACL因該不會下很多條 之前小弟有在packet tracer測試過!!可能是in out設定有問題 一直搞不定,晚點我把lab&我下的指令傳上來給您看看是我哪邊設定錯了!! 其實小弟原本是想把vlan trunk by在FW上,但是好像不是每種FW都有支援trunk的樣子(PIX因該不算,太貴了小弟公司因該買不起),而且好像很少人會在FW上做trunk(不確定拉聽說的),很像還有別的機制做解決。 所以您的意思是C3550要跟FW做static route囉對吧!! 那還有幾個小問題想問一下 因為我的網路拓普裡面有幾台非cisco的SW 所以假如我在core SW(3550)上面create 一堆vlan 而非cisco的SW他們因為不認識VTP這個protocol 所以vlan的資訊並不會傳送過去對吧!!那這樣了話 假設我的vlan 10 在cisco的SW上 而 也有一個非cisco的SW上也有一個vlan 10(但是有支援802.1Q)這樣理論上是會通嗎???? 因為我的環境有非cisco的SW 我怕vtp&trunk會有問題,不知道大大您有處理過這樣的狀況嗎?? 小弟在pfsense的官網爬文&看了您的說法 好像session數目跟ram比較有關係,問題是FW上的ram也有1G 而當我看到pfsense的session爆掉的時候,好像ram的使用量沒有暴增 (印象中) 之前我們有上過netscreen NS 50 好像從來都沒有session數的問題 這真的是硬體FW跟Linux FW的最大差異嗎 (PS:NS 50的session好像有64000條)
__________________
"PCDVD" 讓我學會了"敗家"
|
|
|
2009-01-12, 09:17 PM
#9
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
我知道也可以從L3的SW下手 只是我從L2SW設定default gateway指定到3550請問這樣不是也可以嗎??? 還是我的觀念有問題又或者我這樣的performance會比較差 ???
__________________
"PCDVD" 讓我學會了"敗家"
此文章於 2009-01-12 10:13 PM 被 imprezagt1031 編輯. |
|
|
2009-01-12, 10:05 PM
#10
|
|
