者ChanSui (肥宅eeee)
看板MIS
標題[請益] 辦公室網路架構調整與建議
時間Mon Jun 21 11:58:52 2021
各位大大您好
小弟剛到新公司目前在幫公司規畫整理網路架構的部分。
原IT在架設時感覺很混亂,防火牆有兩台都直接接上去,
未切Vlan所有設備IP都混在一起在192.168.1.X
所以打算趁這次Server 更新時順便把網路架構也整理一下。
公司目前人數約80人左右
有兩台Hyper-V 伺服器 一台有AD DNS Web Server WSUS
還有一台 ERP系統
NAS 有三台
Switch部分 原先使用 Dlink DGS 1210-28 之後會換成1G設備。
大致上繪製的架構圖如下
https://imgur.com/frdO1Ec
防火牆100E 切Vlan出來 分 伺服器 員工電腦 與設備 三類
DMZ區 因為只有一台Web Server 要對外 所以不加上Switch
想問一下各位大大還有沒有甚麼地方可以修改的?
AD Server 因為台數不多 是否可以直接插在防火牆上就好?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.251.163.115 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1624247934.A.D40.html
1F:推 eric00169: 對內服務要就放一起 不要分開 不然也麻煩06/21 15:50
2F:→ eric00169: 傳真機之類的不一定要額外的switch 同一台切Vlan就好06/21 15:51
3F:→ eric00169: 因為這種數量肯定不會多 不用多浪費一台switch放他06/21 15:52
4F:→ eric00169: 你把多的switch拿去給Server做LACP還比較好06/21 15:52
5F:→ eric00169: 喔不對 你的switch應該不能做stack 多的拿去用別的好了06/21 15:53
了解 那我再修改一下 switch 會提議看是否可以更換。
※ 編輯: ChanSui (60.251.163.115 臺灣), 06/21/2021 17:36:19
6F:推 axuiolji: 經費允許的話建議採購L3 switch,vlan的routing還是交06/21 17:50
7F:→ axuiolji: 給L3 Switch吧,firewall專心處理policy就好06/21 17:50
8F:推 darktasi: web sv如果沒有內網要修改資料建議單獨對外06/21 23:09
目前了解應該是會需要修改的資料,所以原先規劃放DMZ區,如果是會需要修改的話
是會建議放內網嗎?
※ 編輯: ChanSui (60.251.163.115 臺灣), 06/22/2021 09:42:03
※ 編輯: ChanSui (60.251.163.115 臺灣), 06/22/2021 10:00:30
9F:→ eric00169: 不用 照常放dmz ,只是switch或fw端 acl設定好就好06/22 16:19
10F:→ eric00169: 你可以只開放某一段內部vlan可以存取這台server,把會06/22 16:20
11F:→ eric00169: 需要存取的人設備放到這個vlan就好06/22 16:20
12F:→ lovespre: 你這架構是很問號..06/23 21:30
嗯…可以請問有哪些問題嗎? 這架構是大概參考網路資料跟理解個port 功能 配合目前公司目前有的設備嘗試設計出來的 因為目前公司所有設備全部都在同一個網段 才想說嘗試江他們分出來
※ 編輯: ChanSui (118.166.53.19 臺灣), 06/24/2021 00:04:51
13F:推 Klauhal: FortiSwitch接FortiGate可以每個port分vlan 06/24 13:25
14F:推 lovespre: Fortinet 預設用應該都是switch mode改一下還是可以變回 06/24 21:20
15F:→ lovespre: individual port 06/24 21:20
16F:推 lovespre: 然後接個L2 SW讓FW走routing 好處是這樣才有log做稽核 06/24 21:36
17F:→ lovespre: 當然你也可以不修改fortinet switch mode走trunk 06/24 21:37
18F:推 bogege: 看起來流量不大,core拿2台L3 堆疊,其他edge看port分配, 08/06 00:27
19F:→ bogege: 有stom control功能的話開一下,需要收log的話server的gat 08/06 00:27
20F:→ bogege: eway拉到fw,沒有的話統一在core, 公司會擴的話ap跟db分不 08/06 00:27
21F:→ bogege: 同網段,不要用mask c,直接分2個B 08/06 00:27
22F:推 bogege: 不是2個B,打錯,直接要個/21的吧 08/06 00:33
23F:→ bogege: 21的2個差不多 08/06 00:33
24F:推 bogege: 無線不要跟iot同網段,獨立開,有guest需求的話用vrf切開 08/06 00:36
25F:→ bogege: 不進內網 08/06 00:36
26F:→ bogege: ptt 不太會用,就不調整字了 08/06 00:37
27F:推 erictaiwan: 考慮風險, 如有一台switch壞了, 工作就停擺了 10/20 09:52