Thaiadmin

รบกวนช่วยแนะนำหน่อยครับ

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ serim

  • *****
  • 5
  • 0
รบกวนช่วยแนะนำหน่อยครับ
« เมื่อ: 5 เมษายน 2016, 13:18:44 »
คือผมเพิ่งเข้ามารับช่วงดูระบบแทนคนเก่าที่ออกไปครับ เลยยังไม่ค่อยรู้เหนือใต้ในระบบ network มีข้อสงสัยดังนี้

1. ปัจจุบัน network ต่อแบบนี้ครับ

Client --> Squid --> L3 Switch --> Router --> Domestic Link --> Data Center --> internet
                                  |
                                  |
                           Fortigate 80C --> vDSL Link --> Internet

ปัญหาคือเวลาเล่นเว็บมักมีผลกระทบกับเว็บ VPN ไปใช้ resource server ของต่างประเทศเสมอ

2. มีอุปกรณ์อะไรทำหน้าที่ proxy ที่ดีกว่า squid ไหมครับ เอาแบบครบเครื่องเลย กำหนดเวลาเล่นเน็ตได้เช่นอนุญาติให้เข้า facebook ได้ตอนนอกเวลางาน ดู bandwidth ได้ใครเล่นเยอะ เข้าเว็บอะไรกี่โมง ทำ report ได้ และต้องไม่มีผลกระทบกับพวกเว็บ VPN ต่างประเทศ และที่สำคัญปรับแต่งง่ายผ่าน web browser จะดีมากครับ

3. ที่ทำงานมี Fortianalyzer 100C แต่หมด MA ไปเมื่อเดือน 9 แถมสติ๊กเกอร์ Void ฉีกขาดและ boot ไม่ขึ้น ยังจะต่อ MA ได้หรือไม่ หรือควรซื้ออุปกรณ์ใหม่ไปเลยดีกว่าครับ


4. ผมเคยศึกษาว่าตัว Fortigate 80C สามารถทำ load balance ได้ แต่ต้อง firmware 5.2 ขึ้นไป ผมควรจะทำเพื่อแบ่งเบาภาระ Domestic Link เพราะ e-mail เป็น outlook 365 หรือไม่ อย่างไรครับ ปัจจุบัน File Server อยู่บน cloud ที่ Data Center

ออฟไลน์ Supanirun.R

  • *****
  • 1,772
  • 5
  • เพศ: ชาย
  • TH@min Membership
Re: รบกวนช่วยแนะนำหน่อยครับ
« ตอบกลับ #1 เมื่อ: 5 เมษายน 2016, 18:55:03 »
ไปหาโปรแกรมมาวาด network diagram ก่อนครับ
ดูจากที่ส่งมาผมงงอะครับ  ;D

ตอบ
2. ผมว่าสมัยนี้ Proxy ไม่จำเป็นครับถ้ามี firewall

3. ซื้อใหม่ครับ

4. ขอดู Diagram ก่อนครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ serim

  • *****
  • 5
  • 0
Re: รบกวนช่วยแนะนำหน่อยครับ
« ตอบกลับ #2 เมื่อ: 8 เมษายน 2016, 17:11:40 »
https://onedrive.live.com/redir?resid=A7CA0E44C61E4AF6!155015&authkey=!AOS2tumEsU74QzE&v=3&ithint=photo%2cjpg

Proxy Server รวมถึงอุปกรณ์ Network ทั้งหมดอยู่ใน VLAN 12
Client อยู่ใน VLAN 13
โดย config ของ Proxy Server ชี้ Default Gateway ไปที่ Fortigate 80C IP: .111 (ขาสายนี้ VLAN 12 เสียบกับ L3Switch)
ส่วนขา DMZ ในรูปเป็นอีก subnet และ VLAN 22 ให้ใช้สำหรับ Guest เล่น internet อย่างเดียว link vDSL 30/1 mbps

จากรูป L3Switch ไปที่ router เซ็ต load balance domestic link 10/10 mbps 2 เส้นไปที่ data center เพื่อใช้งาน fileshare และระบบงานอื่นๆ โดยทางนี้ก็ออก internet ได้เหมือนกัน link 14/14 mbps

concept ของคนเก่าคือให้ใช้งาน internet เพื่อเล่นเว็บทั่วไปให้ออกทาง link vDSL ส่วน mail O356 กับ file share อื่นๆ ให้ออกทาง domestic link

ผมเคยปรึกษาคนเก่าก็เห็นตรงกันว่าควรเอา proxy ออกแล้วเอา Fortigate วางขวาง แล้วส่ง log ไปเก็บที่ FortiAnalyzer

ปัญหาคือว่า FortiAnalyzer เดี้ยงไปแล้วถ้าเอา proxy ออกแล้วจะเก็บ log อย่างไร ตัว Fortigate เองมี URL filtering อยู่แต่ไม่แน่ใจว่าประสิทธิภาพทำได้ถึงขนาดว่า block เป็นเวลาได้หรือไม่ เลยอยากจะสอบถามขอคำแนะนำหน่อยว่าควรใช้อุปกรณ์อะไรเพิ่มเติมครับ

ออฟไลน์ stwatchai

  • *****
  • 3,917
  • 4
  • เพศ: ชาย
  • System & Network Administrator
Re: รบกวนช่วยแนะนำหน่อยครับ
« ตอบกลับ #3 เมื่อ: 8 เมษายน 2016, 17:59:36 »
1. proxy server นั้นจะต้องมีการ config ยุ่งยากพอสมควร สำหรับการใช้งานผ่าน web ส่วนของ http และ https
2. การกำหนดเวลาการเข้าถึง น่าจะต้องทำบน firewall จะได้ตามความต้องการ
3. Fortianalyzer น่าจะมีบริษัทอยู่หลายที่ครับ

ออฟไลน์ Supanirun.R

  • *****
  • 1,772
  • 5
  • เพศ: ชาย
  • TH@min Membership
Re: รบกวนช่วยแนะนำหน่อยครับ
« ตอบกลับ #4 เมื่อ: 8 เมษายน 2016, 22:12:36 »
ยกเลิก proxy
ใช้ fortigate เป็น gateway ของทุกๆ link
Fortigate ส่ง syslog ได้ แต่สักว่าแต่เก็บ อ่านยาก วิเตราะห์ยาก ไม่เกิดประโชน์ 
ใช้ fortigate ต้องมี fortianalyzer

Fortigate ทำอะไรได้เยอะกว่าที่คุณคิด ลองไปหาข้อมูลดูครับ
การใช้  url filter ถือว่าเชยมากๆ ครับ ตัวมันเองทำได้มากกว่านั้น

คุณมีของดีอยู่กับตัว แต่เอามันไปทำอะไรก็ไม่รู้ ผมเดาเลยว่า box ไม่มี MA และไม่ได้ต่อ subscription
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย