引用:
|
作者Raziel
1. ACL 可以做到各vlan分離與控制存取, 不過就看你的目的為何. ACL 越多, IOS跑得越喘.
2.不使用網芳是正確的,找個file server用 FTP/http, 做patch設好控管,可能還安全一點.
3.你下面的L2 SW 已經把vlan trunk上來了, vlan的終結點就是在3550上面, 所以不適合
再把VLAN帶過去 FW! 外界的internet流量當然是沒有帶vlan ID的. 如果你的vlan trunk
是終結到FW上, 則FW自然會有多個sub interface 分別bind 各個不同網段IP.自然可以
將目的地IP傳向適當的網路(direct connect). 在你的case, 需要加static route在FW上,
將內部各網段路由指向3550. FW就可以知道該往哪裡傳送3550上面的各個網段.
4. multi-WAN load balancer已經可以做到你想像得到最花俏的功能(只要掏錢出來買)
不管你是要by loading, by IP, by application , by schedule...etc 都行.
5. 有需要的地方就做ACL, 355...
|
首先,先感謝Raziel大大回答得這麼詳細
這個我能了解ACL下的越多一定越喘~wildcard要會活用對吧!!
但是我想,在一個小公司的環境裡面ACL因該不會下很多條
之前小弟有在packet tracer測試過!!可能是in out設定有問題
一直搞不定,晚點我把lab&我下的指令傳上來給您看看是我哪邊設定錯了!!
其實小弟原本是想把vlan trunk by在FW上,但是好像不是每種FW都有支援trunk的樣子(PIX因該不算,太貴了小弟公司因該買不起),而且好像很少人會在FW上做trunk(不確定拉聽說的),很像還有別的機制做解決。
所以您的意思是C3550要跟FW做static route囉對吧!!
那還有幾個小問題想問一下
因為我的網路拓普裡面有幾台非cisco的SW 所以假如我在core SW(3550)上面create 一堆vlan 而非cisco的SW他們因為不認識VTP這個protocol 所以vlan的資訊並不會傳送過去對吧!!那這樣了話 假設我的vlan 10 在cisco的SW上 而 也有一個非cisco的SW上也有一個vlan 10(但是有支援802.1Q)這樣理論上是會通嗎???? 因為我的環境有非cisco的SW 我怕vtp&trunk會有問題,不知道大大您有處理過這樣的狀況嗎??
小弟在pfsense的官網爬文&看了您的說法
好像session數目跟ram比較有關係,問題是FW上的ram也有1G
而當我看到pfsense的session爆掉的時候,好像ram的使用量沒有暴增
(印象中)
之前我們有上過netscreen NS 50 好像從來都沒有session數的問題
這真的是硬體FW跟Linux FW的最大差異嗎
(PS:NS 50的session好像有64000條)