目前Cisco的IOS已經開始逐漸捨棄ISL的封裝(Cisco自有的封裝)...

逐漸採用 802.1q 的封裝模式...

所以你設定Trunk的時候... 記得將3550的封裝格式改成 802.1q 就可以了...

然而你說你的環境裡頭有非Cisco的設備...

所以你要看看該L2 Switch 是否能夠支援 Trunk 與 802.1q的封裝...

若支援... 理論上應該是可以在這樣的VLAN環境下進行操作~~~

Static Route 還蠻好設定的...

你只要將你的 3550 的Default Route 指向Firewall 的 LAN Port IP 就可以了...

並且Firewall設定添加你網段的路由封包要往內跑的路徑就可以了...
(剛剛看了你的案例... 你要在firewall這邊指定 10.1.0.0/16 的封包往你的Firewall Port 送)

這是很重要的一環...

個人可以建議去購買一本TCP/IP的聖經
(雖然只有IPv4...因為作者1999年往生了...不過這是必讀的書籍~~~)

TCP/IP Illustrated Vol 1,2,3

Vol 1 討論理論為主

Vol 2 討論實作為主

Vol 3 討論網路應用程式為主 (也就是網路API的撰寫等等)

挖~~是以家裡房間為IDC設備為目標鴨大嗎??(開玩笑XD)
感謝您的回覆^^

小弟公司的3550已經沒有ISL了 這個在新版的CCNA也已經廢了 所以沒關係
感謝提醒

因為之前有聽過有某個X牌沒辦法跟某些switch做trunk ，竟然跟IEEE的標準不合
所以小弟才會怕說有問題囉!!!

也就是說3550的default gateway指向firewall的IP
以下是打各比方!!!
sh ip route
Gateway of last resort is 我firewall gateway的IP to network 0.0.0.0
C 10.1.40.0/24(參考用，也就是我的直連路由) is directly connected,Vlan40
C 10.1.30.0/24(參考用，也就是我的直連路由 is directly connected, Vlan30
C 10.1.20.0/24(參考用，也就是我的直連路由) is directly connected,Vlan20
C 10.1.10.0/24(參考用，也就是我的直連路由) is directly connected,Vlan10
S* 0.0.0.0/0 [1/0] 我firewall gateway的IP

然後意思是說 假如我的3550 有10個vlan 那我的firewall就要指10個vlan IP回去吧
這樣才會遶回去!!!

這樣子有錯嗎??

恩... 至少你每個VLAN的機器應該都可以ping的到 Firewall 的 LAN吧...

若ping不到... 那代表你的 firewall 不知道如何回應你VLAN當中機器的封包

OK 回歸正題....

不用那麼辛苦... 除非你有多規劃一段DMZ~~~

其實你大部分的網段都屬於 10.1.0.0/16 這個範圍當中的規劃...

所以你只要設定 Firewall 的 route 部分...

只要看到是要送往 10.1.0.0/16 的封包... 通通都丟給 Cisco 3550 的 10.1.70.254 這個IP當中...

這樣設計應該會讓你的Firewall比較輕鬆一些~~~ 至少Cisco 3550 的L3 Switch 的能力還不錯~~~

通常若是以你目前的架構來說，最省錢的就是不要花錢... 通常使用ACL就可以達到妳要的功能~~~ 不過ACL搞的越多條~~~ IOS 的 loading也就越大~~~
若真的有錢... 看看要不要搞個 Cisco 6509 (很多人應該會罵~不過我只是單純的建議)
透過Cisco 6509的Firewall Module來加強各個VLAN之間的封包交通會比較具有彈性~

New Cisco Catalyst 6500 10Gig Firewall Security System Bundle

Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series












恩... 這個idea是必然的~ 畢竟要要求員工將資料集中放置在機房的Server是很正確的作法~ 當然機房有機房的要求規格與伺服器不中止服務的一些需求(不斷電(機電系統)、消防系統、熱備援、異地備援、服務叢集、磁碟陣列...等等) 的這些考量等等~~~

由於之前工作的公司，用戶端來說大多採用微軟個人端作業系統 (windows 2000 Professional、Windows XP、Windows Vista...等) 所以可以建議比照我之前工作的公司一樣，建立一台Active Directory (AD)的機制~ 透過AD並且要求各用戶端join(加予)到Domain當中~ 再加上帳號的集中控管機制，這樣最起碼的權限管控也就做得到了... 剛開始建置會擁有相當程度性的陣痛期~ 但是只要加強宣導與相關程度的要求，自然而然用戶端就會將資料放置在伺服器當中~ 若有經費的話.. 就讓AD跟Files Server分開使用~ 這樣也會比較減輕彼此之間的loading... AD可以將帳號與密碼集中控管~ 可以透過GPO (群組原則) 來委派一些你所需要的一些批次檔或者相關打包好的msi檔案~ 就不用每一台辛辛苦苦的再度安裝類似修正檔或者小程式之類的~ 恩! 離題了! 總之... AD建置完成之後... 而你的Files 也 Join到Domain當中~ 也成為該Domain 的 Member Server...
你就可以善加利用AD的好處~ 來一一設定 Files Server的每個目錄當中的權限~
檔案存取的權限控管也就必然的方便彈性許多~~~ 很多東西可以慢慢的開始整合~~~ 慢慢的將資料、資訊、應用程式(網路資料庫、網路API等)都慢慢的整合到Server當中~











subinterface 應該只有Cisco Router支援吧~~~
(這個機制叫做 Router on a Stick，你上過CCNA...就自己去參考ICND 2 vol1 的 2-76)
內部的路由就交給 Cisco 3550 來進行L3 Switching的行為~~~ 別交給Firewall...
Firewall的主力應該屬於管制進出的封包... 而不是封包交換的部份...
方法的部份前面我已經稍稍提到了... 你可以測試看看~~~












這部分應該是沒有問題...
我看過的一些方法... 有些人是透過Group的方式來規劃...
意思就是... A Group 規劃到 ADSL ... 而 B Group 規劃到光纖那邊...
另外一種的方法比較好玩~~~ 比較屬於權重的方式...
透過數值的高低來決定要將封包傳輸出去的線路為何














這個部份~ 我個人建議IDC那端來進行管制的行為~ 若IP能夠通過那倒是還好...
看是否能夠過更上層的協定來進行管制(不知道你IDC的Service為何)
看是授權給可以使用的人透過帳號密碼的管制來進行連線~ 這樣管制會比較彈性許多
而IDC的安全管控部分~ 個人還是只偏向開放需要的公司IP這倒是OK...
不過要管到公司內部存取IDC的部份~ 個人比較偏向IDC端的控管...
而IDC端的控管... 則看IDC的Service來進行權限管控
(最基本的帳號密碼管控~)











pfense這部份... 效能應該還不差才對~
不過pfense比較偏向firewall的定位，並且免費之外... 使用的方向把較偏向玩家型的用戶
真的要拿來當公司的Firewall... 也是可以...
不過VLAN與loadbalance的部份... 目前看起來 brazilfw的2.31.10 應該有支援四個WAN
這個部份你可以測試看看~~~ 不過建議機器的效能要拉高一點~ CPU、RAM、網路卡...是這個重點~~~
之前回應的文章


若要Linux來搞... 我個人是不反對~ 但是你要花不少時間投資在於Linux的基礎與iptables上頭... 若是你學會了~~~ 很多東西都可以使用Linux來頂替著~~~

人家實作多WAN的 Linux Firewall 範例

我個人學習Linux的心得~ 個人偏好 Redhat Linux Like Family (FC、CentOS、RHEL)
必讀Linux書籍
1. 鳥哥基礎篇 (只要新版就好)
2. 鳥哥伺服器建置篇 (建議新舊版都讀~新版的刪除與簡化許多早期消失的服務;但強化iptables的概念方面，還有一些新版Linux所添增與修改的地方)
3. Redhat Enterprise Linux 5 系統管理寶典 (基礎篇) 陳永昇著
4. Redhat Enterprise Linux 5 系統管理寶典 (進階篇) 陳永昇著
5. Linux 網路安全技術與實現 陳永勳著

以上這幾本我個人還蠻推薦的...不過看到你的網通設備都還算不差...再推薦幾本好了
1. Linux 網管技術 - 流量統計 與 效能監控 蔡一郎 與 邱敏乘 著
2. Linux 網管技術 蔡一郎 與 陳盈良 著

若要多看一些 iptables 的實用範例...
實戰Linux 防火牆 iptables 應用全蒐錄 Ziegler 著

不過還有一本書籍不知道你要不要參考看看...
這部分我不敢保證，因為我還沒有買這本... 可能你要親自去翻書看看再決定~~~
Designing and Implementing Linux Firewalls with QoS using netfilter, iproute2, NAT and l7-filter

這個應該是比較偏向你要將Linux iptables 搞成 QoS 模式的書籍...


該不會有人認為我在推銷書籍阿~~~ 上面說的這幾本我都擁有... (除非上面有註明我沒有的...)



~~~以上為本人的心得~~~請多包涵~~~

這邊我要稍微提一下...

前面說過的就不重複了... 當然前面也有先進提到Quota(磁碟配額)的機制...

至於Server放置在哪個區域... 通常是要看你的Server數量而定~~~

像我之前的公司採用Cisco 6513還搭配上面我說的Firewall Module and IDS Module...

像我們公司Server超過50多台... 當然也就會放置在所謂核心的位置~

其實CCNA的課程前部分已經提到網路架構的規劃~~~ OK...
這部份有興趣的就翻翻官方教學書籍

核心位置就是Cisco 6513上頭...
有些人會說那個 48Port Gbps RJ-45 Module是騙錢的... (有看到這樣的論點,這段就跳過)

http://www.cisco.com/en/US/prod/col...terface Modules



就在 Cisco 6513 裝上兩片這種Module...

OK... 回題... 放置的位置就是要看你切割的VLAN的區域...還有你的規劃~
以前我呆的公司規模還不小... 所以有搞多個DMZ等等這些架構...
這又有不同的規劃與構想... 不過通常會搞DMZ的架構除了安全性的管控之外...
也就是說內部的Server會對外提供服務... 所以架構也就需要調整~
假設你的環境很單純~ 公司只要純粹的LAN&WAN這樣的架構，而不需要參雜DMZ的架構~我個人倒是可以建議將你的Server插在Cisco 3550上面，並且多切割一個VLAN當作Server的網段來進行管制~
依據我之前工作的經驗，我們公司的Server會規畫成兩個區域DMZ...
DMZ 1 對外提供服務、DMZ 2 對內提供服務...
然後再將各單位切割成各個VLAN...
並且還會多切割一個VLAN給各個Cisco的網路設備當作管理IP的範圍~~~
(印象中...我記得好像是VLAN1...這個VLAN分割給Cisco網路設備的範圍)

以上為個人經驗... 扯太遠了...

我個人的經驗可以給你參考... 將各個Cisco Switch 多規劃一個網段... 例如: 10.1.0.0/24 之類 (VLAN 1) ... 而在切割Server的網段為 10.1.1.0/24 之類的規劃 (VLAN 2)... 對於你的狀況該接在哪裡... 其實很簡單... 將Server直接上那台Cisco 3550 的其中一個Port就可以了...

玩笑沒有開的我大吧...嘿嘿嘿...
(不過我是對靈異網站的站長開玩笑!!!)





好啦... 輕鬆一下啊... 回題了~~~

ISL的封裝格是屬於Cisco特有的格式...
而目前新的Cisco IOS 已經算是捨棄了... 就連我去年跑去中壢聯成上CCNA的時候...
講師也早承認ISL的封裝格式也不會再提了...
不過都採用 802.1q 的封裝... 應該是不會發生不同品牌不相容的因素...
除非像我六年前摸的Accton L2 Switch一樣... 不支援封裝...
頂多只能切割4個Accton自己定義的VLAN...更別說Trunk...
而且切到4個VLAN...那台Accton Switch... 整個網路傳輸效能低的像什麼一樣...
看了看旁邊的Cisco 2924 這台也不知道切割多少個VLAN (理論上應該有上百個VLAN Tag在上頭跑...最誇張的...每一個Port都各搞一個VLAN...)
現在都走相同的封裝格式...這段應該是不會發生才對... 除非他不支援 802.1q