network desgin 問題

有冇CHING 可以解釋下點解通常公司 firewall 同isp 隻modem/router 中間會加隻swtich?

多舊野troubleshoot唔係仲麻煩咩?

本帖最後由 hkbenben 於 2015-11-25 14:39 編輯

中間多數用LAYER 2 SWITCH, 用唔同VLAN 去分開ISP, 之後唔同PORT 去唔同VLAN, EXPAND 會方便好多.

TOP

有冇CHING 可以解釋下點解通常公司 firewall 同isp 隻modem/router 中間會加隻swtich?

多舊野troubleshoot ...
829036 發表於 2015-11-25 11:55


I don't see the reason why someone will put a L2 switch between a WAN and the Firewall ..
You cannot do WAN load balance with a L2 switch

TOP

Ching講既通常係點通常呢?有啲中小型公司係直駁router。你係指一般大公司都會咁做?我係留名想得個知字

TOP

FireWall 支援 Load-Balanced 和 MultiHome, 都可以通過 Switch 去做.
但 Switch 就要用回相關的 支援 , eg. Ethernet-Channel, 802.1Q tunnel....OAM.
Firewall, 本又要支援 e.g. IP SLA. Ethernetping.
用 VLAN Switch 一般時候用來 Monitor 流量, 方便 Troubleshoot, Bypass 因 Firewall 做錯的 FilterList. 同時 可以 做 Port Mirror, 分析 Traffic.
實情是 BackDoor, 預留給Support的人, 使用只定source IP和 VPN 可以 Access Switch. debug 因 Firewall, 套用 Config 出錯時 的後門.

TOP

簡單D講, 用得呢個DESIGN, NETWORK 有返咁上下大. ISP 1 個PORT黎到 16, 32, 64 個FIXED IP, FIREWALL 又唔會係單頭。 落隻LAYER 2 如2960係  NUMBER OF PORT, EASY OF MANAGEMENT 都方便好多.

TOP

should be depends on
1) no. of router
2) no. fw
3) ISP configuration

for NAT issue, it is better off load to FW instead of direct expose to Internet. under this design you need to request ISP for some configuration change on their router.

TOP