0

我的帖子

个人中心

设置

  发新话题
现有网络情况:公司现有网络状况为边界使用一台深信服AF-1800的防火墙作为边界防护,共有两根电信宽带,一根为拨号上网(仅用作用户上网),一根为固定地址互联(有ip可以做服务器映射)。防火墙端口已经全部被使用。需求:需要增加一根移动的固定地址互联的宽带改善外网带宽不够问题。需要可以使用分配的ip进行服务器映射及正常用户上网。

上图!
现有的网络拓扑:




我的想法是在原有固定地址互联的接口前增加一台3层的交换机(有现成的cisco 35系列,老设备了。先能用为主),然后通过三层交换机里面的路由来实现。

设想的网络拓扑:



本人技术有限,不知道这样子能不能行得通。能不能正常映射,如果大佬们有更好的办法,求告知。谢谢啦!!!




本帖最后由 wx5c3c24dfc4c0a 于 2019-2-12 10:26 编辑
不用想了,深信服多WAN口是要买授权的

去买台路由器,防火墙做透明部署



引用:
原帖由 erfdcv 于 2019-2-12 12:35 发表
不用想了,深信服多WAN口是要买授权的

去买台路由器,防火墙做透明部署
授权因为别的原因已经需要购买,我就是想问一下大佬这种操作方法可行吗?其实还有别的外网口,我抽出了其中的2个做的例子。



引用:
原帖由 wx5c3c24dfc4c0a 于 2019-2-12 13:37 发表

授权因为别的原因已经需要购买,我就是想问一下大佬这种操作方法可行吗?其实还有别的外网口,我抽出了其中的2个做的例子。
不可以…………



最简单的办法
现有宽带停掉,重新办理一条1G的专线



引用:
原帖由 erfdcv 于 2019-2-12 13:45 发表

不可以…………
主要是我当时问了一下深信服销售,然后他就告诉了我加个交换机?! 我是一头雾水再问就不会了,领导逼着。我怎么想也想不通交换机怎么能把两个不同链路接到防火墙一个口上。



引用:
原帖由 wx5c3c24dfc4c0a 于 2019-2-12 14:08 发表

主要是我当时问了一下深信服销售,然后他就告诉了我加个交换机?! 我是一头雾水再问就不会了,领导逼着。我怎么想也想不通交换机怎么能把两个不同链路接到防火墙一个口上。 ...
那他可能想让你用子接口来做WAN口

现在你确定你防火墙的授权是3条WAN链路吗?



引用:
原帖由 erfdcv 于 2019-2-12 14:22 发表

那他可能想让你用子接口来做WAN口

现在你确定你防火墙的授权是3条WAN链路吗?
可以增加的,商务去谈了。子接口是指虚拟地址吗?



引用:
原帖由 erfdcv 于 2019-2-12 14:22 发表

那他可能想让你用子接口来做WAN口

现在你确定你防火墙的授权是3条WAN链路吗?
我知道了,防火墙里面在同一个端口建立子接口然后通过vlan ID号来区分流量出口是哪个交换机端口? 但是原来这个端口设置的是通过路由的,我需要一并修改让他通过2层走?



交换机只能当HUB用  ,在防火墙上写2个外网地址,在用2条静态路由就可以了



引用:
原帖由 wx5c3c24dfc4c0a 于 2019-2-12 14:49 发表

我知道了,防火墙里面在同一个端口建立子接口然后通过vlan ID号来区分流量出口是哪个交换机端口? 但是原来这个端口设置的是通过路由的,我需要一并修改让他通过2层走? ...
嗯,差不多那个意思

我意思是,买多WAN线路的授权的钱,不如用来买路由器专门做路由和NAT,防火墙就透明部署,只做数据包过滤得了。






引用:
原帖由 wx5c3c24dfc4c0a 于 2019-2-12 10:21 发表
现有网络情况:公司现有网络状况为边界使用一台深信服AF-1800的防火墙作为边界防护,共有两根电信宽带,一根为拨号上网(仅用作用户上网),一根为固定地址互联(有ip可以做服务器映射)。防火墙端口已经全部被使用。需求:需要增加一 ...
建议你买个企业级路由器。在上网行为管理管理前增加三层交换机容易出问题。



引用:
原帖由 erfdcv 于 2019-2-12 16:31 发表

嗯,差不多那个意思

我意思是,买多WAN线路的授权的钱,不如用来买路由器专门做路由和NAT,防火墙就透明部署,只做数据包过滤得了。
因为是生产环境,原有已经有大量的配置了。我领导觉得改动有些大,还是希望可以通过三层交换机解决(三层交换机之前就已经接在现有环境中了)。谢谢您的解惑!这个问题困扰了我很长时间,对防火墙不太了解,防火墙厂商的说法各种对不起来,只能自己研究了。



引用:
原帖由 wx5c3c24dfc4c0a 于 2019-2-12 10:21 发表
现有网络情况:公司现有网络状况为边界使用一台深信服AF-1800的防火墙作为边界防护,共有两根电信宽带,一根为拨号上网(仅用作用户上网),一根为固定地址互联(有ip可以做服务器映射)。防火墙端口已经全部被使用。需求:需要增加一 ...
肯定不行,交换机没有NAT功能,不能把私网IP地址转换成公网IP地址,必须要个三出口防火墙墙,不然把在前面加个路由器



可是你加子接口用vlan id区分,改配置不是更多?



三层交换机不能放在出口处啊,你弄台路由器到防火墙前面,防火墙配成透明模式



分离1部分PC用户,买个好点的企业级路由器,分离的这部分用户单独使用移动宽带,服务器再配个地址做映射。改动可能小一点。



简单,外边加一个二层交换机,在firewall上启用两个子接口,做VLAN ,跟外边那台交换机做下对接。



‹‹ 上一贴:求教:H3C-F1000的防火墙有什么好办法可以禁止内网的Tea ...   |   下一贴:网管是怎样炼成的:网管常见故障排除汇总 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com