双线光纤,硬件防火墙,三层交换机如何组网配置
公司两条光纤, 光纤1=>飞鱼星ve1260=>D_link 1024R=>营销及生产的pc机。
光纤2=>华赛USG2210硬件防火墙=>华为S3700三层交换机=>应用服务器及数据服务器
网络要怎么整改,增加什么设备才能实现,要怎么配置vlan,使营销vlan能访问,应用及数据服务器,而让生产vlan里面的所有计算机不能访问到这两台服务器呢?
光纤1、光纤2是独立的ip
我之前的设置是1024R的所有营销和生产的pc都能访问到服务器,其中生产不归我们管,他们电脑中毒一直攻击我们的服务器。
------解决方案--------------------前提
一、要是用 双Vlan 口的路由 连接两条光纤 因为要实现上网的时候访问电信走电信线路,访问网通的时候走网通线路。推荐使用ROS
二、接下来就是交换机了 划VLAN了 需呀3个VLAN, vlAN1 1-24口 Vlan2 连接路由器端口和生产的电脑端口,Vlan3 就是 连接路由器端口和服务器口和营销部门的口!
------解决方案--------------------从营销和生产的交换机上拉跟线到防火墙,在防火墙上做策略允许营销的IP目的地址是服务器的时候通过,拒绝其他。
------解决方案--------------------
这个东西,我给你个全套方案,可能你的网络要大变动!嘿嘿
上路由器,最好是好的路由(思科、华为推荐思科嘿嘿路由起码要三个快速以太网口)两根光纤连路由。如果有好的防火墙支持双线接入也可以用防火墙替代路由!如果用路由做双线接入的话,需要配置策略路由做负载均衡、通断检测什么的。
下面接三层设备划分vlan,然后接二层设备下面可以加傻瓜交换机然后连ps。
根据部分划分vlan,你的情况弄3个vlan足够了,当让你可以弄更多vlan。然后再三层设备上用acl控制各个vlan的访问。最好不要做太多的acl影响数据转发!
然后可以再做qos什么的限制带宽之类的...
------解决方案--------------------DMZ啊,然后再做个ACL,只允许进出你开放的协议的数据。