作者 主題: 防火牆如何取代原有的思科路由器呢?  (閱讀 7835 次)

0 會員 與 1 訪客 正在閱讀本文。

jackchen681

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
請問各位先進,目前我們校內的上網環境是
           學校router        ----->       學校ATU-R   -------->縣網中心
 router ip是163.22.x.x, A點10.111.103.x
B點10.111.103.34(ATU-R)
請問我們現已改成光纖,那我要把原有的路由器拿掉,線路改接成
學校switch----->firewall-----光纖---->縣網中心
請問這樣可行嗎?那防火牆的ip要如何設路由呢?
請大大們不吝教導,謝謝

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Re: 防火牆如何取代原有的思科路由器呢?
« 回覆 #1 於: 2006-12-23 15:48 »
引述: "jackchen681"
請問各位先進,目前我們校內的上網環境是
           學校router        ----->       學校ATU-R   -------->縣網中心
 router ip是163.22.x.x, A點10.111.103.x
B點10.111.103.34(ATU-R)
請問我們現已改成光纖,那我要把原有的路由器拿掉,線路改接成
學校switch----->firewall-----光纖---->縣網中心
請問這樣可行嗎?那防火牆的ip要如何設路由呢?
請大大們不吝教導,謝謝


這麼少的資訊怎麼知道怎麼做=.=

線網中心和學校之間的線路是什麼東東 ?
然後你寫 Router IP是 163.22.x.x 這是對外那個 Port 嗎 ?
A點是指那裡 ? 指 Router 對內的 Port ?
學校內部網路是那種網段 ?
學校內部PC的 Gateway 是多少 ?

我不知道你用什麼Firewall. 但用Firewall和拿掉Router有什麼關係 ? 還有 ATU-R
會不會認 Router 的 MAC Address ?

jackchen681

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
防火牆如何取代原有的思科路由器呢?
« 回覆 #2 於: 2006-12-23 15:58 »
不好意思,我再詳細說明一下環境,目前我們環境為區網接至交換器,交換器再接至路由器,然後路由器再接至ATU-R,然後連出去,問題是我們學校目前添購一台硬體防火牆,我們想把原本的路由器捨去不用,直接改成區網接至防火牆的LAN,然後防火牆的WAN就接對外的設備,請問那防火牆要作什麼設呢?
是不是將原有的路由器裡的ip更改至防火牆上呢?

jackchen681

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
防火牆如何取代原有的思科路由器呢?
« 回覆 #3 於: 2006-12-23 16:01 »
修正一下想已的環境為區網--->交換器---->firewall LAN,firewall WAN---->internet
我本身就是網管= =!,因為我不懂但又要勉強趕鴨子上架去設定,無言= =

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
防火牆如何取代原有的思科路由器呢?
« 回覆 #4 於: 2006-12-23 16:09 »
引述: "jackchen681"
不好意思,我再詳細說明一下環境,目前我們環境為區網接至交換器,交換器再接至路由器,然後路由器再接至ATU-R,然後連出去,問題是我們學校目前添購一台硬體防火牆,我們想把原本的路由器捨去不用,直接改成區網接至防火牆的LAN,然後防火牆的WAN就接對外的設備,請問那防火牆要作什麼設呢?
是不是將原有的路由器裡的ip更改至防火牆上呢?


Router 前面還有 ATU-R , 你要先詢問ISP, ISP機房或ATU-R會不會認 Router 的
MAC Address..我公司的專線就會認(本來ATM專線後來換光纖)

我的 Fortigate Firewall 放在 Router 後面. 做法如下.

內部網路是 192.168.1.0 / 255.255.255.0

Firewall內部IP是 192.168.1.254, 外部IP是 61.111.111.113(Internet IP)

Router內部IP是 61.111.111.112外部IP是61.111.111.111

Router 的外部 Port  61.111.111.111 設定 路由往 ISP機房跑..
Firewall 的外部 Port 61.111.111.113 設定往路由 Router 的內部Port 61.111.111.112 跑..
ISP機房那邊也有設定路由往 61.111.111.0 跑 (往我公司Router的外部 Port 61.111.111.111 )

以上 IP 都是舉例用..

如果ISP機房或ATU-R不會認 Router 的MAC Address 的話, 以硬體式的 Firewall
來說, 只要外部 Port 設定好 IP/Netmask (例如 61.111.111.113 ) 然後在路由設定中設定 0.0.0.0/0.0.0.0 往 61.111.111.254 (ISP機房端IP) 這樣就OK了, 比較
低階的如 NetScreen-5GT則是一開始會要你輸入 IP/Netmask/Gateway, 然後它就會自動幫你建這條路由了.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17464
    • 檢視個人資料
    • http://www.study-area.org
防火牆如何取代原有的思科路由器呢?
« 回覆 #5 於: 2006-12-23 16:47 »
如果你的 firewall 是 transparent 的,那就直接將兩邊的網路孔接好就是了。

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
防火牆如何取代原有的思科路由器呢?
« 回覆 #6 於: 2006-12-24 09:53 »
畫張圖,自己才會了解!!, 別人也才會了解...
有 163.x & 10.& 因此應該有 NAT 的轉換,不然就是有 VPN ..

換成 FTTB 也需要有 L3 Switch or Router or Firewall 來處理!!

因此畫張圖,把手上的資料田上去...自己就可以分析了...
Networking & Communication Security SE

anderson1127

  • 訪客
防火牆如何取代原有的思科路由器呢?
« 回覆 #7 於: 2006-12-24 12:16 »
嗯,我看多了,您不是第一個趕鴉子上架的人....

如果您真的有興趣,那還真是趕對鴨子了 , 快把握這難得的機會 , 好好的把這個
單純的環境練上手 , 另外跟您說的是 ,這是一個很好的實驗室 ,因為弄掛了可以說
有人硬是要把我推上火線 , 不關我的事!! 把責任推得一乾二淨 ....  :lol:

如果抱著多一事不如少一事的心態 , 那麼還是請校方速速找維護廠商來做
site survey , 直接外包算了!! 不然那天一出問題,沒人支援,那可就不好玩了!!

jackchen681

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
防火牆如何取代原有的思科路由器呢?
« 回覆 #8 於: 2006-12-25 20:11 »
謝謝大家的回覆,今天我搞定了對外的連線,先說說原本router有兩組ip,一是10.111.103.3x ,10.111.103.x4,3x原本是接到內部swithc,x4接至光電轉換器然後出去,而我們學校所配發的ip為163.22.x.x,我直接將原本router(10.111.103.3x)這條線接至firewall的LAN,再將(10.111.103.x4)接到firewall的wan,然後將wan給于163.22.x.x的ip/subnet/gateway,這樣竟然能連出去了,
那原本的router到到是作啥用的= =?,
另外目前又碰到一個問題,目前firewall的對外連線是163.22.x.x,對內是192.168.100.1/24,內部的同段虛擬ip都能經過nat 出去,但有部份是真實ip(163.22.x.x)這段就無法出去,這問這是要設定路由讓他出去嗎?小弟有先將firewall policy全部設通過,其它還有什麼要注意呢?