路由-防火墙-交换机架构的疑问

家庭环境目前只有一条联通 1000M 的宽带，后期打算添加一条电信的宽带。采购了华为二层交换机，和飞塔防火墙，都是二手。目前想要实现的网络架构是：路由器（ RouterOS BR750Gr3 ）-防火墙（飞塔 60E ）-交换机（ huawei5720-28 ）-各类设备。想要设备实现的原则是各干各的，路由器只负责流量、分流、以及双线接入，防火墙只负责安全、控制，交换机只负责内网、vlan 划分交换。

目前的疑问是：

尽量不去使用防火墙来进行 DHCP 分配 IP ，是否还可以继续使用路由器的 DHCP 功能来分配路由？这样的方式是不是合理？有没有更合理的方式？
如果说我在交换机上划分出来两个 vlan ，都是：光纤猫-交换机 vlan-路由器，这样的连接，是不是可以拨号成功？
如果我采用：防火墙-路由器-交换机，这种模式，是否还可以成功的拨号？这种模式，是不是更安全，更实用，对速度有没有影响？

路由器和防火墙应该是都可以拨号上网，所以其实可以省掉路由器，我是觉得没啥区别。但是，因为 Routeros 稳如老狗，以及有设备就要用的原则，我就不改变原始的架构，只是往里面添加设备了。

Vitumoc

15 天前

1. 可以使用路由器做 DHCP ，但是路由器只做 DHCP 就没啥意义，不如直接用防火墙
2. 可以拨号成功，但是光猫到路由器为什么不直连？不应该经过交换机
3. 安全，不实用，影响可以忽略不计。

感觉光猫 - 防火墙 - 交换机 - 设备，这个架构更加合理，故障点更少，维护成本更低。

路由器是用来组网的设备，一般是和其他路由器一起跑路由协议的，用来决定网络包往哪个方向跑。

你这种家庭宽带，实际上的路由就一条（全都到光猫），那路由器就只剩一个 DHCP 的作用了，但是这事情防火墙也能干得很好，所以路由器就没用了。

实际上，如果你路由器支持访问控制的话，防火墙都不用买。
如果已经买了，就直接用防火墙，不需要路由器了。

光猫 - 防火墙 - 交换机 - 设备，这个架构画成图最简单，全都是直连一路往下，一般网络方面的事情就是拓扑越简单越好。

FabricPath

15 天前

我感觉你还不如换一个 4 口 2.5G N100 的软路由 + 2.5G 交换机
软路由装 openwrt ，性能、功能都比你现在的方案好。
wifi 用便宜的 AP ，AP 就好好做 AP 。
fortigate 的防火墙都是 dpdk 实现的，性能不会比内核转发快多少，60E 标称也才 3Gbps ，实际跑 2Gbps 不到。

exiaohao

15 天前

1 ）飞塔确实「完全」不应该做 DHCP 。既然楼主有 5720 ，在 5720 开三层+DHCP 都行。这是最低版 LI 都支持的基础功能
2 ）拨号把二层打通就行了
3 ）就家用，不理解到底要干到多安全。真要讲安全飞塔的授权还在吗？特征库更新了吗？

datocp

15 天前

玩得这么大。老实说，搞了这么多年，连防火墙硬件是啥都弄不清楚。以前美资公司是不是有 sharepoint 。

这种结构就是目前公司用的

openwrt iptables/ipset 基于 ip+port 的防火墙还不够用嘛，起 qos+静态路由，dhcp 分配给后方的 s5720 li 交换机
s5720 li 主要作用 poe+vlan+acl 控制

一个家用网络玩得太复杂了。。。浪费钱，浪费效率。linux 类路由能深化的东西多着呢，比 RouterOS 可强多了。

xcodeghost

15 天前

你这个搞得和企业网络架构差不多了。

如果想要单独使用路由器，防火墙改为透明模式即可，专门负责安全这块。其实意义也不大，因为飞塔 60E 的性能足够跑满千兆宽带，可以去掉路由器。

再说防火墙，飞塔你不买 fortiguard 服务，也就是个普通的四层防火墙功能，好一点的路由器都带基本的防火墙功能。

所以建议就买一个高性能的路由器即可，实在想买飞塔防火墙的话，就不要路由器了。

htfcuddles

15 天前

显然楼主家里电太多了，有什么业务软硬路由不行要上硬件防火墙？想高大上直接上 10G NGFW 的墙，看中稳定性要不要再搞全套冗余？你现在交换机一条千兆都拉不满（单条宽带可以跑 1.2G 左右），2.5G 电口显然妨碍你拉第三条宽带了，要不要考虑一下全光三层网管？ DHCP vlan acl 就给交换机好了，这下满意了吧

pcxys

15 天前

@FabricPath
感谢回复
软路由，我现在有一个 openwrt ，不过专门用来国外分类的，不打算作为主力路由使用，不太信得过，软路由这种设备。
至于你说的 fortigate60E 的流量可以跑到 2Gbps 不到，我也了解了，谢谢指点，其实吧，我就是想模拟一个公司环境来弄的，简陋版的，不用模拟器的原因是因为看不到实际效果，也没有真实体验。
我加上后期准备办理的电信宽带，加一起（ 1000 联通+500 电信），可能最多也就是 2Gbps 不到吧，目前还是可以满足的。

pcxys

15 天前

@datocp
感谢回复
都是电子垃圾，再说了，有点啥爱好不得费点钱呢，是吧（为自己开脱一下）
你的意思是，还是路由器去 DHCP 分配 IP ，然后 qos ，可以防火墙去做吧？
你说的 5720 的主要作用中的 vlan ，我打算实现一下，这个 acl 我再了解一下，poe 目前应该是用不到。

pcxys

15 天前

@xcodeghost
感谢回复
其实我就是想模拟一下公司或者机房，简陋版的网络架构，用途呢，学习吧，也能实际用到。
我也是想直接路由拨号，然后防火墙作为下一级，至于这个透明路由，说实话，查过资料，还是云里雾里，我再研究研究。我还是不打算省掉路由这一步了，因为后期还打算再上一条宽带，所以还是由路由去干这个事情比较好。

pcxys

15 天前

@htfcuddles
感谢回复
后期准备换一个 mikrotik 的 5009 ，2.5G 速率能够满足了，移动的就算了，口碑不是很好。
10G NGFW ，这个，简单说，囊中羞涩。
冗余这个就算了，毕竟只是网络架构，又没有什么核心业务或者服务，没必要。
DHCP vlan acl ，这三个我研究一下。

xcodeghost

15 天前

@pcxys

我们公司就是用的飞塔，两条 100M ，两条 2000M ，一共 4 条宽带，都没用专业的路由器，直接使用飞塔 NAT 就搞定了。

飞塔的包转发率是相当的强悍，稳定性估计要比 mikrotik 要高很多，不过你不买飞塔服务其实意义不大的。

pcxys

15 天前

@xcodeghost
你们公司的飞塔型号是多少，看起来性能很强悍。
我这个是已经淘汰的飞塔型号，应该达不到你们公司设备的强度。
不过，其实我的 mikrotik BR750GR3 也是过期淘汰的产品了，由于性能强悍，目前大家也在用，毕竟 300 块钱的路由器，跑满 1000M 宽带，CPU 占用率也就是 40%多点，也算是家用里面比较好的了。后期我就打算再换有一个 2.5G 网口的 BR5009 了，然后再加一条宽带，估计飞塔 60E 就够呛了，上面有位朋友说我这个型号，估计 2Gbps 都跑不了。

kk2syc

15 天前

我屋子 4 条宽带，电|联|移|长城，直接 5600G 做主路由，双网卡直接上联光猫下联交换机，装的 debian ，自己配的各种路由服务组件，跑的起飞。家用环境，你要的功能都有现成开源的项目，自己组合好就行了。

pcxys

15 天前

@kk2syc
感谢回复
5600G 是什么，AMD 的 CPU 吗？我刚才没查到这个路由。
双网卡，怎么连接的四个网络呢？一个网卡两个口？

你说的确实对，其实现在 linux 作为网关，功能都很齐全，我描述里面没有提到，后来在很多答案中都有说明，其实我是想模拟一个公司或者说机房环境，乞丐版的，所以还是成品比较好。我不是一个玩家，所以你这个方案对我来说，应该说是个备选方案，如果我单纯的想改变家里面网络的，大概率会采用你这个方案，毕竟可折腾度高，而且便宜。不过回头我也可以试试你的方案，我还有个 j4125 的小主机，回头可以试试你的方案，如果用小主机的话，还可以解决多个光猫的问题，毕竟它的口也不少。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1070089

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.