作者 主題: L3 Switch與防火牆  (閱讀 4956 次)

0 會員 與 1 訪客 正在閱讀本文。

cc169

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
L3 Switch與防火牆
« 於: 2004-05-12 01:38 »
請教各位學長:
小弟公司近日因為IP嚴重不足因此購入了一部D-Link3326S L3 Switch分別切了2個網段供同仁使用....分述如下...
A段 192.168.0.0  VLAN閘道192.168.0.253 防火牆 inside 192.168.0.254
B段 192.168.1.0  VLAN閘道192.168.1.254
問題來了...A段192.168.0.0 的同事要ping 防火牆 inside 因為同段沒有問題,但是B段192.168.1.0 的同事閘道設定成B段VLAN閘道192.168.1.254,就只能ping 到192.168.0.253如果要ping 遠端防火牆192.168.0.254就不行,小弟曾試著將192.168.0.0 網段內其中一部Server(192.168.0.2)的閘道設成192.168.0.253然後再由B段 192.168.1.0 任何一部PC來Ping這樣就可以正確ping到。
因此小弟想請教各位學長,防火牆設定Inside應該不需要再設定閘道才對..那如果按照上例要使B段 192.168.1.0 同事正常ping到防火牆 inside那在防火牆 上是否需要做怎樣的內指動作,煩請各位學長解決小弟的困擾..謝謝!

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
L3 Switch與防火牆
« 回覆 #1 於: 2004-05-12 02:30 »
1.非常好奇為何有問題不去問賣你們設備的廠商而來這兒貼問題
    我忍了好久好久 終於憋不住問了出來

2.IP不足和買L3交換器有啥關係啊

3.不要用SUBNET的觀點去使用VLAN
佈線深似海!
網路高如天!

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #2 於: 2004-05-12 08:10 »
哈哈...終於說出我的看法.... :lol: 問廠商去解決問題就好了

Jack Yang.
Networking & Communication Security SE

vincent119

  • 憂鬱的高中生
  • ***
  • 文章數: 137
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #3 於: 2004-05-12 09:01 »
防火牆 inside 192.168.0.254
mask 設成 255.255.0.0
或加static route

cc169

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #4 於: 2004-05-12 09:24 »
各位學長不好意思,是這樣的。關於L3部分我已經問過D-link的技術詢問好多次了剛開始切成兩段Vlan還無法通呢!到後來只好更新韌體才搞定最後與D-link技術人員研究一下小弟公司的網路連接才發覺應該是防火牆設定的問題(D-link技術人員真的很熱心......),可是小弟公司的CISCO515R防火牆已經使用2年了,也問過CISCO人員但都會先要求保固續約等等因此小弟才想在此論壇中請教各位學長關於解決的問題。

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
L3 Switch與防火牆
« 回覆 #5 於: 2004-05-12 10:33 »
1.為何在這兒問這種問題不太能得到答案
    是因為沒有實際接觸到真實環境很難除錯
    光看一些簡單說明老實說真的要"擲碑"

2.我指的是賣你們設備的廠商而不是原廠或代理商
    L3交換器賣你們不是要含安裝設定到上線嗎
    PIX賣你們不是要提供教育訓練和技術諮詢嗎
    保固是和硬體故障有關
    當然CISCO有自己的特殊服務合約可以簽
    只是大家不是都靠賣東西的廠商解決問題不是嗎
    有問題就打電話叫廠商來啊
    如果叫不來或無能力解決 你們還是跟他繼續交易
    那...那....那...............
佈線深似海!
網路高如天!

dunix

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #6 於: 2004-05-13 08:04 »
來點實際的答案。
一、最好不要擴大subnet的範圍,也就是不要集subnet成supernet,
        例如netmask變成8/32  16/32
        不然你買L3的switch就沒有意義。
二、不要將主要的網路設備的單一介面設成兩個ip來解決,除非你找不到更
        好的方法。
三、建議將L3 routing 起來,防火牆設在第三個vlan ,偷懶的話使用static
      routing 最快,用心一點使用rip (現在的防火牆應都有支援)

a-su

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #7 於: 2004-06-13 09:24 »
雖然這位學長已經解決問題,
但是不是在firewall加上一筆
ip route 192.168.0.0 255.255.255.0 192.168.0.253??

alan7755

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
L3 Switch與防火牆
« 回覆 #8 於: 2004-09-05 22:39 »
你只要將防火牆加一筆靜態routing,
route inside 192.168.0.0 255.255.0.0 192.168.0.253 1