双网络交换机设置到防火墙-最佳实践

Question

我有两个戴尔X1052交换机和一个SonicWall TZ400防火墙。SonicWall有一个广域网端口，然后有6个可用的局域网端口。

最好的做法是将网络电缆从SonicWall的局域网端口连接到我的第一个X1052交换机，然后连接从第一个X1052交换机到第二个X1052交换机的网络电缆吗？

或

从SonicWall的局域网端口连接到我的第一个X1052交换机，然后将第二个网络电缆从SonicWall上的另一个局域网端口连接到第二个X1052交换机，这样更好吗？

谢谢你的帮助！

Answer 1

答案将取决于您的大部分内部LAN流量的去向：

如果您的局域网通信量大部分是内部绑定的(即，到本地文件服务器、终端服务器、Intranet服务器等)，那么您肯定希望选择1个交换机作为“主/核心”交换机，并将SonicWALL的LAN与第二个交换机和任何其他交换机连接起来。将服务器(S)插入主开关，以及最关键的工作站。

原因是:如果大多数流量是内部的，那么你不想浪费SonicWALL的资源，把那些帧从交换机#1切换到交换机#2 --事实上，它可能没有专用交换机那么快。如果将两个交换机都插入SonicWALL的LAN端口，则从交换机#1到交换机#2的所有通信量都将通过SonicWALL。

如果您的局域网流量大部分是外部绑定的(即与因特网；例如。您几乎没有内部资源，并且主要连接到基于云的资源，如Office 365或各种网站)，那么将这两个交换机分别连接到SonicWALL的LAN端口可能是有意义的。

原因是:如果您的大部分流量是通过SonicWALL，那么您最好直接连接到SonicWALL，而不是有一个交换机通过额外的帧从第二个交换机。另外，如果“主”开关发生故障，则另一个开关仍将连接。

在这两种情况下，如果您有单独的子网/VLAN，那么我不会改变任何事情--您的戴尔X1052交换机只是第二层，所以从一个网络/子网/VLAN到另一个网络的任何数据包路由都需要SonicWALL路由器来路由这些数据包。如果您将一个LAN端口配置到不同的网络/子网上，这并不重要(例如。如果您配置了一个内部接口，并通过一个端口集群了一个或多个VLAN，则为DMZ。在这两种情况下，SonicWALL都在执行所有的路由。

当然，如果您有一个具有多个子网的大型/复杂网络，我建议使用第三层开关从SonicWALL关闭负载.的工作是防火墙/UTM/数据包检查，它不会像普通的旧的第二层交换或第三层路由的交换机那样快。

Answer 2

我认为您的防火墙有6个LAN网络接口来划分您的网络，在使用各种网络和应用安全策略的过程中。最好的做法是将一个交换机连接到一个LAN端口，这将是您的intranet区域将位于您的所有专用局域网和网络基础设施。第二，您可以将另一个交换机连接到第二个LAN端口，这将是您的DMZ区域，将位于需要从外部访问的服务器和服务，例如web服务器。这个非军事区将是一个你需要仔细规划你的安全和从外部进入的地方。这个是更好的练习。如果你不需要有一个DMZ区域，你可以连接2开关，就像你在第一个案例中解释的那样，一个在另一个旁边。