者ChanSui (肥宅eeee)
看板MIS
标题[请益] 办公室网路架构调整与建议
时间Mon Jun 21 11:58:52 2021
各位大大您好
小弟刚到新公司目前在帮公司规画整理网路架构的部分。
原IT在架设时感觉很混乱,防火墙有两台都直接接上去,
未切Vlan所有设备IP都混在一起在192.168.1.X
所以打算趁这次Server 更新时顺便把网路架构也整理一下。
公司目前人数约80人左右
有两台Hyper-V 伺服器 一台有AD DNS Web Server WSUS
还有一台 ERP系统
NAS 有三台
Switch部分 原先使用 Dlink DGS 1210-28 之後会换成1G设备。
大致上绘制的架构图如下
https://imgur.com/frdO1Ec
防火墙100E 切Vlan出来 分 伺服器 员工电脑 与设备 三类
DMZ区 因为只有一台Web Server 要对外 所以不加上Switch
想问一下各位大大还有没有甚麽地方可以修改的?
AD Server 因为台数不多 是否可以直接插在防火墙上就好?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.251.163.115 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1624247934.A.D40.html
1F:推 eric00169: 对内服务要就放一起 不要分开 不然也麻烦06/21 15:50
2F:→ eric00169: 传真机之类的不一定要额外的switch 同一台切Vlan就好06/21 15:51
3F:→ eric00169: 因为这种数量肯定不会多 不用多浪费一台switch放他06/21 15:52
4F:→ eric00169: 你把多的switch拿去给Server做LACP还比较好06/21 15:52
5F:→ eric00169: 喔不对 你的switch应该不能做stack 多的拿去用别的好了06/21 15:53
了解 那我再修改一下 switch 会提议看是否可以更换。
※ 编辑: ChanSui (60.251.163.115 台湾), 06/21/2021 17:36:19
6F:推 axuiolji: 经费允许的话建议采购L3 switch,vlan的routing还是交06/21 17:50
7F:→ axuiolji: 给L3 Switch吧,firewall专心处理policy就好06/21 17:50
8F:推 darktasi: web sv如果没有内网要修改资料建议单独对外06/21 23:09
目前了解应该是会需要修改的资料,所以原先规划放DMZ区,如果是会需要修改的话
是会建议放内网吗?
※ 编辑: ChanSui (60.251.163.115 台湾), 06/22/2021 09:42:03
※ 编辑: ChanSui (60.251.163.115 台湾), 06/22/2021 10:00:30
9F:→ eric00169: 不用 照常放dmz ,只是switch或fw端 acl设定好就好06/22 16:19
10F:→ eric00169: 你可以只开放某一段内部vlan可以存取这台server,把会06/22 16:20
11F:→ eric00169: 需要存取的人设备放到这个vlan就好06/22 16:20
12F:→ lovespre: 你这架构是很问号..06/23 21:30
嗯…可以请问有哪些问题吗? 这架构是大概参考网路资料跟理解个port 功能 配合目前公司目前有的设备尝试设计出来的 因为目前公司所有设备全部都在同一个网段 才想说尝试江他们分出来
※ 编辑: ChanSui (118.166.53.19 台湾), 06/24/2021 00:04:51
13F:推 Klauhal: FortiSwitch接FortiGate可以每个port分vlan 06/24 13:25
14F:推 lovespre: Fortinet 预设用应该都是switch mode改一下还是可以变回 06/24 21:20
15F:→ lovespre: individual port 06/24 21:20
16F:推 lovespre: 然後接个L2 SW让FW走routing 好处是这样才有log做稽核 06/24 21:36
17F:→ lovespre: 当然你也可以不修改fortinet switch mode走trunk 06/24 21:37
18F:推 bogege: 看起来流量不大,core拿2台L3 堆叠,其他edge看port分配, 08/06 00:27
19F:→ bogege: 有stom control功能的话开一下,需要收log的话server的gat 08/06 00:27
20F:→ bogege: eway拉到fw,没有的话统一在core, 公司会扩的话ap跟db分不 08/06 00:27
21F:→ bogege: 同网段,不要用mask c,直接分2个B 08/06 00:27
22F:推 bogege: 不是2个B,打错,直接要个/21的吧 08/06 00:33
23F:→ bogege: 21的2个差不多 08/06 00:33
24F:推 bogege: 无线不要跟iot同网段,独立开,有guest需求的话用vrf切开 08/06 00:36
25F:→ bogege: 不进内网 08/06 00:36
26F:→ bogege: ptt 不太会用,就不调整字了 08/06 00:37
27F:推 erictaiwan: 考虑风险, 如有一台switch坏了, 工作就停摆了 10/20 09:52