家庭环境 目前只有一条联通 1000M 的宽带,后期打算添加一条电信的宽带。 采购了华为二层交换机,和飞塔防火墙,都是二手。 目前想要实现的网络架构是:路由器( RouterOS BR750Gr3 )-防火墙(飞塔 60E )-交换机( huawei5720-28 )-各类设备。 想要设备实现的原则是各干各的,路由器只负责流量、分流、以及双线接入,防火墙只负责安全、控制,交换机只负责内网、vlan 划分交换。
目前的疑问是:
- 尽量不去使用防火墙来进行 DHCP 分配 IP ,是否还可以继续使用路由器的 DHCP 功能来分配路由?这样的方式是不是合理?有没有更合理的方式?
- 如果说我在交换机上划分出来两个 vlan ,都是:光纤猫-交换机 vlan-路由器,这样的连接,是不是可以拨号成功?
- 如果我采用:防火墙-路由器-交换机,这种模式,是否还可以成功的拨号?这种模式,是不是更安全,更实用,对速度有没有影响?
路由器和防火墙应该是都可以拨号上网,所以其实可以省掉路由器,我是觉得没啥区别。但是,因为 Routeros 稳如老狗,以及有设备就要用的原则,我就不改变原始的架构,只是往里面添加设备了。
52 条回复 • 2024-09-14 08:57:30 +08:00
 |
1
Vitumoc 12 天前
1. 可以使用路由器做 DHCP ,但是路由器只做 DHCP 就没啥意义,不如直接用防火墙
2. 可以拨号成功,但是光猫到路由器为什么不直连?不应该经过交换机 3. 安全,不实用,影响可以忽略不计。 感觉光猫 - 防火墙 - 交换机 - 设备,这个架构更加合理,故障点更少,维护成本更低。 路由器是用来组网的设备,一般是和其他路由器一起跑路由协议的,用来决定网络包往哪个方向跑。 你这种家庭宽带,实际上的路由就一条(全都到光猫),那路由器就只剩一个 DHCP 的作用了,但是这事情防火墙也能干得很好,所以路由器就没用了。 实际上,如果你路由器支持访问控制的话,防火墙都不用买。 如果已经买了,就直接用防火墙,不需要路由器了。 光猫 - 防火墙 - 交换机 - 设备,这个架构画成图最简单,全都是直连一路往下,一般网络方面的事情就是拓扑越简单越好。 |
 |
2
FabricPath 12 天前
我感觉你还不如换一个 4 口 2.5G N100 的软路由 + 2.5G 交换机
软路由装 openwrt ,性能、功能都比你现在的方案好。 wifi 用便宜的 AP ,AP 就好好做 AP 。 fortigate 的防火墙都是 dpdk 实现的,性能不会比内核转发快多少,60E 标称也才 3Gbps ,实际跑 2Gbps 不到。 |
 |
3
exiaohao 12 天前
1 )飞塔确实「完全」不应该做 DHCP 。既然楼主有 5720 ,在 5720 开三层+DHCP 都行。这是最低版 LI 都支持的基础功能
2 )拨号把二层打通就行了 3 )就家用,不理解到底要干到多安全。真要讲安全 飞塔的授权还在吗?特征库更新了吗? |
 |
4
tool2dx 12 天前
家用环境,路由器都自带防火墙,没必要单独买硬件吧。
|
 |
5
datocp 12 天前
玩得这么大。老实说,搞了这么多年,连防火墙硬件是啥都弄不清楚。以前美资公司是不是有 sharepoint 。
这种结构就是目前公司用的 openwrt iptables/ipset 基于 ip+port 的防火墙还不够用嘛,起 qos+静态路由,dhcp 分配给后方的 s5720 li 交换机 s5720 li 主要作用 poe+vlan+acl 控制 一个家用网络玩得太复杂了。。。浪费钱,浪费效率。linux 类路由能深化的东西多着呢,比 RouterOS 可强多了。 |
 |
6
xcodeghost 12 天前
你这个搞得和企业网络架构差不多了。
如果想要单独使用路由器,防火墙改为透明模式即可,专门负责安全这块。其实意义也不大,因为飞塔 60E 的性能足够跑满千兆宽带,可以去掉路由器。 再说防火墙,飞塔你不买 fortiguard 服务,也就是个普通的四层防火墙功能,好一点的路由器都带基本的防火墙功能。 所以建议就买一个高性能的路由器即可,实在想买飞塔防火墙的话,就不要路由器了。 |
 |
7
kalayygl001 12 天前
2 条宽带 都 1000M+ 的线路,你的设备只有千兆,有线路瓶颈 。请直接上 2.5G 小主机 +爱快 +se109
|
 |
8
htfcuddles 12 天前
显然楼主家里电太多了,有什么业务软硬路由不行要上硬件防火墙?想高大上直接上 10G NGFW 的墙,看中稳定性要不要再搞全套冗余?你现在交换机一条千兆都拉不满(单条宽带可以跑 1.2G 左右),2.5G 电口显然妨碍你拉第三条宽带了,要不要考虑一下全光三层网管? DHCP vlan acl 就给交换机好了,这下满意了吧
 |
 |
10
pcxys OP @FabricPath
感谢回复 软路由,我现在有一个 openwrt ,不过专门用来国外分类的,不打算作为主力路由使用,不太信得过,软路由这种设备。 至于你说的 fortigate60E 的流量可以跑到 2Gbps 不到,我也了解了,谢谢指点,其实吧,我就是想模拟一个公司环境来弄的,简陋版的,不用模拟器的原因是因为看不到实际效果,也没有真实体验。 我加上后期准备办理的电信宽带,加一起( 1000 联通+500 电信),可能最多也就是 2Gbps 不到吧,目前还是可以满足的。 |
|
12
pcxys OP |
|
13
pcxys OP @datocp
感谢回复 都是电子垃圾,再说了,有点啥爱好不得费点钱呢,是吧(为自己开脱一下) 你的意思是,还是路由器去 DHCP 分配 IP ,然后 qos ,可以防火墙去做吧? 你说的 5720 的主要作用中的 vlan ,我打算实现一下,这个 acl 我再了解一下,poe 目前应该是用不到。 |
|
14
pcxys OP @xcodeghost
感谢回复 其实我就是想模拟一下公司或者机房,简陋版的网络架构,用途呢,学习吧,也能实际用到。 我也是想直接路由拨号,然后防火墙作为下一级,至于这个透明路由,说实话,查过资料,还是云里雾里,我再研究研究。我还是不打算省掉路由这一步了,因为后期还打算再上一条宽带,所以还是由路由去干这个事情比较好。 |
|
15
pcxys OP @kalayygl001
后期打算换路由,打算上 mikrotik 的 5009 。这样应该就基本满足了两条宽带的传输了。 |
|
16
pcxys OP @htfcuddles
感谢回复 后期准备换一个 mikrotik 的 5009 ,2.5G 速率能够满足了,移动的就算了,口碑不是很好。 10G NGFW ,这个,简单说,囊中羞涩。 冗余这个就算了,毕竟只是网络架构,又没有什么核心业务或者服务,没必要。 DHCP vlan acl ,这三个我研究一下。 |
|
17
xcodeghost 12 天前
@pcxys
我们公司就是用的飞塔,两条 100M ,两条 2000M ,一共 4 条宽带,都没用专业的路由器,直接使用飞塔 NAT 就搞定了。 飞塔的包转发率是相当的强悍,稳定性估计要比 mikrotik 要高很多,不过你不买飞塔服务其实意义不大的。 |
|
18
pcxys OP @xcodeghost
你们公司的飞塔型号是多少,看起来性能很强悍。 我这个是已经淘汰的飞塔型号,应该达不到你们公司设备的强度。 不过,其实我的 mikrotik BR750GR3 也是过期淘汰的产品了,由于性能强悍,目前大家也在用,毕竟 300 块钱的路由器,跑满 1000M 宽带,CPU 占用率也就是 40%多点,也算是家用里面比较好的了。后期我就打算再换有一个 2.5G 网口的 BR5009 了,然后再加一条宽带,估计飞塔 60E 就够呛了,上面有位朋友说我这个型号,估计 2Gbps 都跑不了。 |
 |
19
kk2syc 12 天前
我屋子 4 条宽带,电|联|移|长城,直接 5600G 做主路由,双网卡直接上联光猫下联交换机,装的 debian ,自己配的各种路由服务组件,跑的起飞。家用环境,你要的功能都有现成开源的项目,自己组合好就行了。
|
|
20
pcxys OP @kk2syc
感谢回复 5600G 是什么,AMD 的 CPU 吗?我刚才没查到这个路由。 双网卡,怎么连接的四个网络呢?一个网卡两个口? 你说的确实对,其实现在 linux 作为网关,功能都很齐全,我描述里面没有提到,后来在很多答案中都有说明,其实我是想模拟一个公司或者说机房环境,乞丐版的,所以还是成品比较好。我不是一个玩家,所以你这个方案对我来说,应该说是个备选方案,如果我单纯的想改变家里面网络的,大概率会采用你这个方案,毕竟可折腾度高,而且便宜。不过回头我也可以试试你的方案,我还有个 j4125 的小主机,回头可以试试你的方案,如果用小主机的话,还可以解决多个光猫的问题,毕竟它的口也不少。 |
 |
21
kenneth0o0 12 天前 via iPhone
你想玩的话
最佳方式:路由器(功能:拨号)-》飞塔(功能:安全过滤,分配内网固定 Ip )-〉交换机( DHCP 服务) |
 |
22
yov123456 12 天前 via iPhone
@pcxys gr3 拨号是跑不满 1000m 的。虽然测速可以跑满 但是你开个 steam 这种多线程的就不行了。虽然总体占用率看着不高,但是点看看 pppd 已经跑满单核 100%,这时 steam 下载速度只有 500m 左右。
|
 |
23
hefish 12 天前
记得网线也都用上,拉长点,物尽其用。
|
|
24
pcxys OP |
|
25
pcxys OP |
 |
27
fairytale 12 天前 via Android
如果 500M 宽带,一个飞塔 60E 双 wan 直接拨号就行了,其他设备扔掉。如果千兆宽带,pppoe 性能就不够。
|
|
28
fairytale 12 天前 via Android
500M 以下宽带,防火墙不玩特征识别的话,飞塔扔掉,单个 rb750gr3 自带的 iptables 防火墙凑合用。千兆宽带,硬的就都太贵了,玩软的吧,迷你主机 all in bom 跑个 pfsence+ros ,用 cpu 硬抗。
|
|
29
fairytale 12 天前 via Android
飞塔不太方便操作透明模式,透明模式功能也少。非要全接上,双重 nat ,也没必要。折腾起来,太费尽。
|
|
30
kk2syc 11 天前
@pcxys 5600G 是 cpu ,主板 msi-b550 ,但是 5600g 只有 pcie3 ,后来咸鱼收了 5700x ,pcie4 才够带宽。主打一个性能过剩。
上联光猫是电口网卡 x710 ( 4 口),下联交换机是光卡 x520 ( 2 口),做了双链路。 |
|
31
pcxys OP @fairytale
感谢回复。 感谢你说了这么多,我大概了解了,就是我现在的速率不值得用硬件防火墙。 总带宽加一起应该可以到 1500M ,后期 750GR3 也得换,打算换 BR5009 。 双重 NAT ,按照我的想法,就是路由去去弄,防火墙不去负责这个事情。 至于你说的透明路由,可实现功能少,不太方便,我感觉这应该是个问题,后期实践的时候,我得注意一下,看看是不是要改变计划。 还是十分感谢你的回复。 |
 |
33
sairoa 11 天前
我家里用的 50E ,两条宽带一条拨号一条虚拟线,移动宽带自己拨号没意义索性让光猫拨号了,两个宽带分别有自己网段。你这网络感觉跟我移动宽带的网络相似,直接透明模式就好了。
第二个疑问是可以实现的,在家和在公司都这样做过,公司把光猫接到交换机,通过 vlan 连到机房里的软路由是没问题的。 第三个问题,建议参考我的方案,一路在防火墙拨号,一路在路由器拨号,两路都在防火墙拨号可能扛不住,再一个做策略很麻烦。 防火墙的 IPS 功能不够覆盖全部流量,只能覆盖入站。羡慕 60E ,能升最新系统,不过价格能买好几个 50E 了。 |
 |
34
fs418082760 11 天前
家庭带宽确实直接用防火墙替代当路由拨号就行了,最多就是多带宽接入,这个路由如果用不到高级功能是可以直接省去的
|
|
35
pcxys OP @sairoa
感谢回复。 第 2 个问题,我觉得这是我想要的方案,毕竟那么多口,空着也是空着,也可以练练 vlan 。 第 3 个问题,为什么要分开拨号?都通过交换机 vlan ,然后路由去拨号,是不是这样有什么问题? 是不是防火墙的 IPS 都不能覆盖全部流量,应该是可以的吧?还是说 50E 不可以覆盖? 本来想买 60F 的,当然我也没什么经验,也就是这里大家说到比较多,价格相对来说我可以承受的,我就买了。毕竟模拟公司或者机房环境,差不多就可以了,架构出来了就 OK 了。 |
|
36
pcxys OP |
|
37
sairoa 11 天前
@pcxys
50 和 60 性能差的不多,ips 不论哪个都只能覆盖部分入站,分开拨号主要是 nat 性能,性能应该不够两条宽带跑满。 还有一个就是 ipv6 的问题,配置以后总有奇奇怪怪问题,负载均衡也很难做,最后决定分出来两个独立网关,下载和 ipv6 走移动,日常上网和对外服务用联通,家里还有个 10G 、2.5G 的存储专网,服务器、NAS 三个网都接,PC 接联通网和存储专网。 |
|
40
pcxys OP @1234ts
分光器吧。 曾经运营商的维护人员跟我说,一根光纤想分多少路光纤都可以,8 路、16 路都行,就是好像分到一定数量之后,需要加硬件设备。不过它应该说的同一个运营商,多个运营商应该逻辑也差不多吧。 |
|
41
kk2syc 11 天前
|
|
43
kk2syc 11 天前
@pcxys 说起来 x710 这网卡有故事的,不然这么贵我也不会买。当年公司服务器网卡坏了,戴尔售后发回来的这张,上午快递小哥放在我工位上,结果当天下午公司被法院查封了,因为老板之前欠钱被强制执行了。后来,这卡就作为我的个人物品从法院退回来给我了。
|
|
44
pcxys OP |
 |
46
Jhma 11 天前
现在多业务网关路由都有防火墙功能,而防火墙也有路由交换包括 pppoe 拨号功能,二者界限已经很模糊了,所以你这个飞塔在路由后面只能当个透明防火墙来用用,也不知道飞塔能不能变为透明模式
|
|
47
kk2syc 11 天前
@pcxys 装修的时候拉很容易的,你楼里如果有弱电井你只要从楼上往下一丢,专心解决入户管路就行了。没有的话你就考虑走空调孔,顺着空调排水管下楼去运营商分光箱,皮线中间绷紧上下用轧带固定紧不要乱吹就行(买野战光缆强度没问题)
|
 |
50
weip 10 天前
参考 All in Boom 架构,https://mp.weixin.qq.com/s/JZ5k4Mp81b590Pa1c17-dg
|
Select Language