我正在尝试制作一个简单的小型公司的网络架构。
其中一个站点由防火墙(用于创建 DMZ,在站点之间建立 VPN)和三个交换机构建,如下面的链接所示。
每个交换机上都连接有工作站。这是一个基于 VLAN 的网络。员工通过 DHCP 服务器获取地址。公司还有另一个站点,通过 VPN/IPSec 隧道连接。
我的问题是,使用第 3 层交换机作为 SW3 是否合理?然后,我将在 SW3 上配置 DHCP 服务器和站点内的路由,而将 ASA 用于与 DMZ 和 VPN 相关的事情。
或者您认为使用第 2 层交换机作为 SW3 就足够了,并在 ASA 上进行所有路由和 DHCP 配置?
感谢大家的回答。我只是担心使用第 3 层交换机和防火墙来做这件事不值得。如果您知道一些关于创建架构的文献,我将不胜感激。
答案1
列出两种方案的优缺点并做出决定。只有您知道哪种选择最好,因为您知道您的环境要求是什么。我将开始:
使用三层交换机
- ASA 上的负载较小
- ASA 仅处理外部流量
- 所有 LAN 子网都包含在交换机内。
无需三层交换机
- 无需购买三层交换机
- 所有内部网络均暴露于 ASA
- 如果需要,您可以使用 ASA 过滤内部流量。
ETC..