路由-防火墙-交换机架构的疑问

pcxys · 2024-9-4 10:16:04 · 326 次点击
家庭环境
目前只有一条联通 1000M 的宽带,后期打算添加一条电信的宽带。
采购了华为二层交换机,和飞塔防火墙,都是二手。
目前想要实现的网络架构是:路由器( RouterOS BR750Gr3 )-防火墙(飞塔 60E )-交换机( huawei5720-28 )-各类设备。
想要设备实现的原则是各干各的,路由器只负责流量、分流、以及双线接入,防火墙只负责安全、控制,交换机只负责内网、vlan 划分交换。

目前的疑问是:
1. 尽量不去使用防火墙来进行 DHCP 分配 IP ,是否还可以继续使用路由器的 DHCP 功能来分配路由?这样的方式是不是合理?有没有更合理的方式?
2. 如果说我在交换机上划分出来两个 vlan ,都是:光纤猫-交换机 vlan-路由器,这样的连接,是不是可以拨号成功?
3. 如果我采用:防火墙-路由器-交换机,这种模式,是否还可以成功的拨号?这种模式,是不是更安全,更实用,对速度有没有影响?

路由器和防火墙应该是都可以拨号上网,所以其实可以省掉路由器,我是觉得没啥区别。但是,因为 Routeros 稳如老狗,以及有设备就要用的原则,我就不改变原始的架构,只是往里面添加设备了。
举报· 326 次点击
登录 注册 站外分享
18 条回复  
Vitumoc 小成 2024-9-4 10:55:31
1. 可以使用路由器做 DHCP ,但是路由器只做 DHCP 就没啥意义,不如直接用防火墙
2. 可以拨号成功,但是光猫到路由器为什么不直连?不应该经过交换机
3. 安全,不实用,影响可以忽略不计。

感觉光猫 - 防火墙 - 交换机 - 设备,这个架构更加合理,故障点更少,维护成本更低。

路由器是用来组网的设备,一般是和其他路由器一起跑路由协议的,用来决定网络包往哪个方向跑。

你这种家庭宽带,实际上的路由就一条(全都到光猫),那路由器就只剩一个 DHCP 的作用了,但是这事情防火墙也能干得很好,所以路由器就没用了。

实际上,如果你路由器支持访问控制的话,防火墙都不用买。
如果已经买了,就直接用防火墙,不需要路由器了。

光猫 - 防火墙 - 交换机 - 设备,这个架构画成图最简单,全都是直连一路往下,一般网络方面的事情就是拓扑越简单越好。
FabricPath 小成 2024-9-4 11:11:23
我感觉你还不如换一个 4 口 2.5G N100 的软路由 + 2.5G 交换机
软路由装 openwrt ,性能、功能都比你现在的方案好。
wifi 用便宜的 AP ,AP 就好好做 AP 。
fortigate 的防火墙都是 dpdk 实现的,性能不会比内核转发快多少,60E 标称也才 3Gbps ,实际跑 2Gbps 不到。
exiaohao 小成 2024-9-4 13:30:09
1 )飞塔确实「完全」不应该做 DHCP 。既然楼主有 5720 ,在 5720 开三层+DHCP 都行。这是最低版 LI 都支持的基础功能
2 )拨号把二层打通就行了
3 )就家用,不理解到底要干到多安全。真要讲安全 飞塔的授权还在吗?特征库更新了吗?
tool2dx 初学 2024-9-4 13:38:04
家用环境,路由器都自带防火墙,没必要单独买硬件吧。
datocp 初学 2024-9-4 13:45:52
玩得这么大。老实说,搞了这么多年,连防火墙硬件是啥都弄不清楚。以前美资公司是不是有 sharepoint 。

这种结构就是目前公司用的

openwrt iptables/ipset 基于 ip+port 的防火墙还不够用嘛,起 qos+静态路由,dhcp 分配给后方的 s5720 li 交换机
s5720 li 主要作用 poe+vlan+acl 控制

一个家用网络玩得太复杂了。。。浪费钱,浪费效率。linux 类路由能深化的东西多着呢,比 RouterOS 可强多了。
xcodeghost 小成 2024-9-4 14:04:04
你这个搞得和企业网络架构差不多了。

如果想要单独使用路由器,防火墙改为透明模式即可,专门负责安全这块。其实意义也不大,因为飞塔 60E 的性能足够跑满千兆宽带,可以去掉路由器。

再说防火墙,飞塔你不买 fortiguard 服务,也就是个普通的四层防火墙功能,好一点的路由器都带基本的防火墙功能。

所以建议就买一个高性能的路由器即可,实在想买飞塔防火墙的话,就不要路由器了。
kalayygl001 小成 2024-9-4 17:34:42
2 条宽带 都 1000M+ 的线路,你的设备只有千兆,有线路瓶颈 。请直接上 2.5G 小主机 +爱快 +se109
htfcuddles 小成 2024-9-4 18:09:52
显然楼主家里电太多了,有什么业务软硬路由不行要上硬件防火墙?想高大上直接上 10G NGFW 的墙,看中稳定性要不要再搞全套冗余?你现在交换机一条千兆都拉不满(单条宽带可以跑 1.2G 左右),2.5G 电口显然妨碍你拉第三条宽带了,要不要考虑一下全光三层网管? DHCP vlan acl 就给交换机好了,这下满意了吧 https://i.imgur.com/L62ZP7V.png
kk2syc 初学 2024-9-4 21:14:29

路由-防火墙-交换机架构的疑问

我屋子 4 条宽带,电|联|移|长城,直接 5600G 做主路由,双网卡直接上联光猫下联交换机,装的 debian ,自己配的各种路由服务组件,跑的起飞。家用环境,你要的功能都有现成开源的项目,自己组合好就行了。
12下一页
返回顶部