请问一下,目前公司有两台防火墙架在同一个机架上,上层要求一台单独连mail server,另一台则是连Client端,除了用VPN site to site使两边内网互通外(之前试过但VPN无法通,不确定是不是两边韧体版本差异太多的关系导致无法通),还有其他方法吗?能透过两边的lan来互通吗?由于我还不是很懂规划防火墙,还请大家多多指教,谢谢。
5 个回答
- 旧至新
- 新至旧
- 最高Like数
1
rin0913
iT邦新手 5 级 ‧ 2024-11-20 23:58:23
能透过两边的lan来互通吗?由于我还不是很懂规划防火墙,还请大家多多指教,谢谢。
可以,最简单的方法就是两台防火墙直接插一条网路线,然后妥善配置,因爲不确定你的防火墙型号,这裏以 Palo Alto 爲例子:
- 插入网路线到两台防火墙的某个界面,例如 ethernetX
- 创建专属 VLAN
- 将 ethernetX 设置爲 L2 介面,然后选择 VLAN,并且允许所有流量通过。
还有其他方法吗?
最简单的两个想法:
- 利用 VXLAN 来实作 L2 的延伸。
- 透过第三台两者皆可访问的机器来当 VPN 伺服器。
3
mytiny
iT邦超人 1 级 ‧ 2024-11-21 00:23:47
不需要用到VPN
况且VPN并不会两边韧体版本差异太多而不通
但确实能连通就好
最简单的方式
就是一台单独连mail server
然后用来上网
另一台把WAN接到上一台防火墙LAN
而这台防火墙LAN接到PC
防火墙政策做NAT就好
0
EGG
iT邦新手 5 级 ‧ 2024-11-21 08:31:40
用AI的回答,第一条我觉得可以参考
在您的情况下,两台防火墙需要分别连接 Mail Server 和 Client 端,同时还需要互通内网,以下是一些可能的解决方案:
- 使用双防火墙互联
您可以设计防火墙之间的直接互联,透过 LAN 埠或 DMZ 埠实现内网互通。
步骤:
配置静态路由
为两台防火墙分别设定静态路由,确保可以辨识对方的内网网段。
例如:防火墙 A 的 LAN 网段是 192.168.1.0/24,防火墙 B 是 192.168.2.0/24,需在各自路由表内添加指向对方网段的静态路由。
互联埠配置
在两台防火墙上选择一个空闲的 LAN 埠,将它们物理连接。
设定该埠的 IP,确保两台防火墙互相可达。
ACL 或防火墙规则
开启相关内网流量的通行规则,例如允许 192.168.1.0/24 与 192.168.2.0/24 的双向通讯。
2. 使用第三方交换机实现互通
若两台防火墙背后的内网通过相同的交换机,则可以利用交换机的 VLAN 功能来实现内网互通。
步骤:
配置 VLAN
在交换机上划分 VLAN,分别对应两台防火墙后的内网网段。
VLAN 间路由
如果交换机具备 L3 路由功能,可以直接在交换机上实现 VLAN 间路由。
如果交换机是 L2 交换机,则需要将 VLAN 流量路由至防火墙处理。
chox609
iT邦新手 5 级 ‧ 2024-11-21 11:23:04
【**此则讯息已被站方移除**】
0
I.T. Wang
iT邦研究生 5 级 ‧ 2024-11-21 12:09:31
我觉得要先清楚自己的防火墙型号与版本,儘管您的需求很简单基本上防火墙都能做到,但是重点在每家防火墙一定都有各自适合的架构,比如说目前应该是paloalto有更明显zone概念,而且介面弹性大可以独立定义L3/L2/vwire等介面类型,不像大多数防火墙只能整台router/transparent mode。
当然我不是帮PA打广告,只是说儘管能做却基础架构设计不好,容易苦到后面维护或查修。
0
bluegrass
iT邦高手 1 级 ‧ 2024-12-02 09:29:09
单独连mail server,另一台则是连Client端
然后你Client端要用内网IP来抓mail server
你是因为这个目标才搞的VPN吗?