路由-防火墙-交换机架构的疑问

15 天前
 pcxys

家庭环境 目前只有一条联通 1000M 的宽带,后期打算添加一条电信的宽带。 采购了华为二层交换机,和飞塔防火墙,都是二手。 目前想要实现的网络架构是:路由器( RouterOS BR750Gr3 )-防火墙(飞塔 60E )-交换机( huawei5720-28 )-各类设备。 想要设备实现的原则是各干各的,路由器只负责流量、分流、以及双线接入,防火墙只负责安全、控制,交换机只负责内网、vlan 划分交换。

目前的疑问是:

  1. 尽量不去使用防火墙来进行 DHCP 分配 IP ,是否还可以继续使用路由器的 DHCP 功能来分配路由?这样的方式是不是合理?有没有更合理的方式?
  2. 如果说我在交换机上划分出来两个 vlan ,都是:光纤猫-交换机 vlan-路由器,这样的连接,是不是可以拨号成功?
  3. 如果我采用:防火墙-路由器-交换机,这种模式,是否还可以成功的拨号?这种模式,是不是更安全,更实用,对速度有没有影响?

路由器和防火墙应该是都可以拨号上网,所以其实可以省掉路由器,我是觉得没啥区别。但是,因为 Routeros 稳如老狗,以及有设备就要用的原则,我就不改变原始的架构,只是往里面添加设备了。

2128 次点击
所在节点    宽带症候群
54 条回复
kenneth0o0
15 天前
你想玩的话

最佳方式:路由器(功能:拨号)-》飞塔(功能:安全过滤,分配内网固定 Ip )-〉交换机( DHCP 服务)
yov123456
15 天前
@pcxys gr3 拨号是跑不满 1000m 的。虽然测速可以跑满 但是你开个 steam 这种多线程的就不行了。虽然总体占用率看着不高,但是点看看 pppd 已经跑满单核 100%,这时 steam 下载速度只有 500m 左右。
hefish
15 天前
记得网线也都用上,拉长点,物尽其用。
pcxys
15 天前
@kenneth0o0
感谢回复
我不太理解分配内网固定 IP 和 DHCP 的区别。是不是说,给服务器类的由防火墙设置固定 IP ,然后其他设备由交换机分配动态 IP ?
pcxys
15 天前
@yov123456
感谢回复
pppd 是什么,不太了解,不过我打开 fasttrack 模式,用 IDM 多线程下载也是可以到 110M 一秒,我不玩游戏,所以没有用过 steam ,不太了解。
pcxys
15 天前
@hefish
感谢回复
我不太明白你说的意思,网线拉长点,是干啥用的???
fairytale
14 天前
如果 500M 宽带,一个飞塔 60E 双 wan 直接拨号就行了,其他设备扔掉。如果千兆宽带,pppoe 性能就不够。
fairytale
14 天前
500M 以下宽带,防火墙不玩特征识别的话,飞塔扔掉,单个 rb750gr3 自带的 iptables 防火墙凑合用。千兆宽带,硬的就都太贵了,玩软的吧,迷你主机 all in bom 跑个 pfsence+ros ,用 cpu 硬抗。
fairytale
14 天前
飞塔不太方便操作透明模式,透明模式功能也少。非要全接上,双重 nat ,也没必要。折腾起来,太费尽。
kk2syc
14 天前
@pcxys 5600G 是 cpu ,主板 msi-b550 ,但是 5600g 只有 pcie3 ,后来咸鱼收了 5700x ,pcie4 才够带宽。主打一个性能过剩。
上联光猫是电口网卡 x710 ( 4 口),下联交换机是光卡 x520 ( 2 口),做了双链路。
pcxys
14 天前
@fairytale
感谢回复。
感谢你说了这么多,我大概了解了,就是我现在的速率不值得用硬件防火墙。
总带宽加一起应该可以到 1500M ,后期 750GR3 也得换,打算换 BR5009 。
双重 NAT ,按照我的想法,就是路由去去弄,防火墙不去负责这个事情。
至于你说的透明路由,可实现功能少,不太方便,我感觉这应该是个问题,后期实践的时候,我得注意一下,看看是不是要改变计划。
还是十分感谢你的回复。
pcxys
14 天前
@kk2syc
你这个总造价多少钱?
至于网卡这个情况,贫穷限制了我的想象。看着就非常不错。
sairoa
14 天前
我家里用的 50E ,两条宽带一条拨号一条虚拟线,移动宽带自己拨号没意义索性让光猫拨号了,两个宽带分别有自己网段。你这网络感觉跟我移动宽带的网络相似,直接透明模式就好了。

第二个疑问是可以实现的,在家和在公司都这样做过,公司把光猫接到交换机,通过 vlan 连到机房里的软路由是没问题的。

第三个问题,建议参考我的方案,一路在防火墙拨号,一路在路由器拨号,两路都在防火墙拨号可能扛不住,再一个做策略很麻烦。

防火墙的 IPS 功能不够覆盖全部流量,只能覆盖入站。羡慕 60E ,能升最新系统,不过价格能买好几个 50E 了。
fs418082760
14 天前
家庭带宽确实直接用防火墙替代当路由拨号就行了,最多就是多带宽接入,这个路由如果用不到高级功能是可以直接省去的
pcxys
14 天前
@sairoa
感谢回复。
第 2 个问题,我觉得这是我想要的方案,毕竟那么多口,空着也是空着,也可以练练 vlan 。
第 3 个问题,为什么要分开拨号?都通过交换机 vlan ,然后路由去拨号,是不是这样有什么问题?
是不是防火墙的 IPS 都不能覆盖全部流量,应该是可以的吧?还是说 50E 不可以覆盖?
本来想买 60F 的,当然我也没什么经验,也就是这里大家说到比较多,价格相对来说我可以承受的,我就买了。毕竟模拟公司或者机房环境,差不多就可以了,架构出来了就 OK 了。
pcxys
14 天前
@fs418082760
感谢回复
后期准备再接入一条宽带,双线接入。
然后也打算练习一下 ospf 、BGP 等技术的使用,所有,我觉得这个层级还是有必要的,你觉得呢?
sairoa
14 天前
@pcxys
50 和 60 性能差的不多,ips 不论哪个都只能覆盖部分入站,分开拨号主要是 nat 性能,性能应该不够两条宽带跑满。

还有一个就是 ipv6 的问题,配置以后总有奇奇怪怪问题,负载均衡也很难做,最后决定分出来两个独立网关,下载和 ipv6 走移动,日常上网和对外服务用联通,家里还有个 10G 、2.5G 的存储专网,服务器、NAS 三个网都接,PC 接联通网和存储专网。
1234ts
14 天前
@kk2syc 怎么拉进去的,一般不是一户只有一芯光缆
pcxys
14 天前
@sairoa
了解了,我用路由专门负责拨号上网,应该可以解决性能问题,家用,日程也达不到峰值,所以这个我应该不需要担心。防火墙就专心做好防火墙的事情就好了。
pcxys
14 天前
@1234ts
分光器吧。
曾经运营商的维护人员跟我说,一根光纤想分多少路光纤都可以,8 路、16 路都行,就是好像分到一定数量之后,需要加硬件设备。不过它应该说的同一个运营商,多个运营商应该逻辑也差不多吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1070089

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX