麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞^
麻烦大家帮我看看我的校园网设计方案设计的有没有什么漏洞,或是好的改进,大家一起交流~
学校有2个公网C类地址,一共600左右主机。考虑到以后扩展,8个vlan这样设计:办公室200节点、教室150节点、电子阅览室100节点、专业部50节点、机房1,机房2,机房3,机房4,各80个节点。
以下是我设计的两个方案,核心交换机用什么向大家请教
设备描述:学校准备买20个3560交换机做接入,一个核心层交换机,一个路由器,一个硬件防火墙。不过我觉得这样太浪费钱,好刀应该用在刀刃上,于是有了方案2.核心交换机类型,上外网使用nat还是代理服务器还都在讨论中,希望大家给点意见。感激不尽!!
方案二中2个核心交换机,8个3560交换机,其它交换机均为分线用傻瓜交换机,在这里用cisco2层交换机图标代替了
可以实现的功能都是一下几个:
1. 快速交换,基于 CEF 的硬件交换
2. 划分 vlan , vlan 间使用三层交换通信。
3.ip 源防护, snooping ,防止每个三层接口的欺骗***, ip 地址非授权更改, ARP 病毒,泛洪***。(设备 CPU 消耗高)
4.QOS 服务质量,定制优先级队列,定制 http 流量最优, ftp 流量最差。
5. 交换机间连接使用 channel 捆绑增加交换带宽。
6.vlan 间路由启用 EIGRP 路由协议
7. 由互联网控制网关提供严格的上网行为控制
8. 核心交换机上启用 DHCP 功能自动分配 IP
9.AAA 授权,审计,认证
10.HSRP 热冗余备份
11.PVST , vlan 间负载均衡
方案二比方案一节省12个3560接入层交换机。
解答方案:
by东软guokuo 38楼
拓扑结构没有问题,我没仔细看你那段对话,假使你是1000个客户端的话,核心不能用3560,要是选思科的话建议用4500系列。接入层交换机如果ACL以及其他业务跑的不多的话,没有必要把需求建在接入层上,管理麻烦,思路也不清晰。上几个二层交换机足够了,比如2960。当然你学校要是就这么多设备话,拓扑结构没有问题。但还是建议把需求坐在核心上,你要是上45的话,1000个点性能绰绰有余。
线路备份问题,教育网速度太慢,如果对网络稳定有需求的话,建议拉一条电信或者联通的光纤。通过策略路由控制流量方向。
另外建议核心需要两个设备,随便跑ospf还是静态还是HSRP都无所谓,起到备份作用就行,实在不行拿个35做冷备,临时顶一下。设备出故障的可能性不大。
我的建议就是核心下直接连2960之类,完全能满足你的需求。你的那些需求可以直接做在核心上,不需要在接入层做。核心用45性能足够。
外网连ASA吧,PIX毕竟是老产品,下面随便连个3XXX的路由都没问题。
你的问题:
1.快速交换,基于CEF的硬件交换
(这个主要看设备是否支持,3560支持,但是用在你这个核心上怕1000个点以后也不好扩展,性能限制)
2.划分vlan ,vlan间使用三层交换通信。
(为了管理方便的话,trunk足矣,当然路由也可以就是你管理起来麻烦些)
3.ip源防护,snooping,防止每个三层接口的欺骗***,ip地址非授权更改,ARP病毒,泛洪***。(设备CPU消耗高) (这个东西很多事做在计算机系统本身,网络设备只能起到一部分作用)
4.QOS服务质量,定制优先级队列,定制http流量最优,ftp流量最差。
(也可以不做,毕竟QOS对性能要求不低,建议只需要用ACL把不必要的IP和端口封掉,就可以解决BT,在线视频等耗费网络流量的问题)
5.交换机间连接使用channel捆绑增加交换带宽。
(现在网络一般都是星形结构,不存在这个问题,一个接入上面都有几个千兆的上连口足够用)
6.vlan间路由启用EIGRP路由协议
(你的网络不大,最好不用这个协议还是思科独有的,用trunk,在核心启用静态路由连外网最方便。用的话也是单区域OSPF,以后你网络扩展也方便,复杂的协议不都是适用于所有网络,排错起来你会很痛苦)
7.由互联网控制网关提供严格的上网行为控制
(ACL可以实现,这个需要做在核心而不是路由或者防火墙,后两者起到的作用是倾向于外部接入而不是内部)
8.核心交换机上启用DHCP功能自动分配IP
(可以实现,不过说实话静态IP的故障率更低一些)
9.AAA授权,审计,认证
(可以,但是实际来说说实话要是网管不多,或者离职率不高的话这个东西用途不是很大)
10.HSRP热冗余备份
( 核心有两台以上的话可以做)
11.PVST,vlan间负载均衡
(生成树之类的默认就有)
快下班了先写这些吧,有什么问题再讨论
可能有些东西把你的东西变简单了,但这是我站在企业应用的角度考虑的,不求技术用的最多,但求最实用
解决方案二 出自 42楼 WYYN
一高中用3560做接入还真是有钱哦。估计是被代理商忽悠了吧
虽然来晚了当我也给点意见吧:
1、从网络的安全、可靠、可管理、可扩展性来讲方案二优于方案一
2、设备选型方面的话,3560已经买了也不好怎么说。但是核心是肯定不能用3560的,强烈建议用思科45系列的做核心,然后核心直接连接3560做接入。至于外网接入的话如果那个路由器还没买的话建议将买路由器的钱花在买个上网行为管理设备(如深信服的ac5400或是飞鱼星的设备等)。直接用防火墙做外网接入已经足够了。使用了上网行为管理设备你完全可以将QOS的策略做在上网行为管理设备上面而且延迟小管理方面。
3、如果要做dhcp、aaa认证的话最好用一台专门的pc做服务器。核心45只是用了快速转发数据尽量不要在上面配置任何策略。
4、路由协议的话就你现在了网络规模来看最好是用静态,因为你现在网络规模不算太大手动写的路由条目也不会太多,而且静态不管怎么说还是比动态要稳定不容易出错。如果你硬要使用动态路由的话我建议你用ospf,因为eigrp是思科私有协议如果学校以后在网络扩展的时候使用非思科的设备的话会很麻烦的。
5、从安全、转发性能上说外网方式使用NAT要优与使用代理服务器,而且使用代理服务器话万一服务器pc中病毒就麻烦了。
楼主问题修改补充:
经过汇总大家的意见我如果把拓扑设计成这个样子大家看可以么?其它需求不变,依然是8个汇聚交换机,每个汇聚交换机为一个vlan。现在这样无论哪一个单点故障都不会使网络中断。不过我总是拿捏不好汇聚层交换机要几个比较合适,我本来想让8个vlan一人一个汇聚层交换机,可是这样是不是太浪费了,请高手指教。且在细节配置上面希望大家能够指点应该做什么配置可以忽略掉什么配置,不用写出具体命令。比如是否有必要做QOS,ip源防护,汇聚层做哪些策略等等。。
剩下的解决方案请查看 liweinan2005的聊天记录
学校有2个公网C类地址,一共600左右主机。考虑到以后扩展,8个vlan这样设计:办公室200节点、教室150节点、电子阅览室100节点、专业部50节点、机房1,机房2,机房3,机房4,各80个节点。
以下是我设计的两个方案,核心交换机用什么向大家请教
设备描述:学校准备买20个3560交换机做接入,一个核心层交换机,一个路由器,一个硬件防火墙。不过我觉得这样太浪费钱,好刀应该用在刀刃上,于是有了方案2.核心交换机类型,上外网使用nat还是代理服务器还都在讨论中,希望大家给点意见。感激不尽!!
方案二中2个核心交换机,8个3560交换机,其它交换机均为分线用傻瓜交换机,在这里用cisco2层交换机图标代替了
可以实现的功能都是一下几个:
1. 快速交换,基于 CEF 的硬件交换
2. 划分 vlan , vlan 间使用三层交换通信。
3.ip 源防护, snooping ,防止每个三层接口的欺骗***, ip 地址非授权更改, ARP 病毒,泛洪***。(设备 CPU 消耗高)
4.QOS 服务质量,定制优先级队列,定制 http 流量最优, ftp 流量最差。
5. 交换机间连接使用 channel 捆绑增加交换带宽。
6.vlan 间路由启用 EIGRP 路由协议
7. 由互联网控制网关提供严格的上网行为控制
8. 核心交换机上启用 DHCP 功能自动分配 IP
9.AAA 授权,审计,认证
10.HSRP 热冗余备份
11.PVST , vlan 间负载均衡
方案二比方案一节省12个3560接入层交换机。
解答方案:
by东软guokuo 38楼
拓扑结构没有问题,我没仔细看你那段对话,假使你是1000个客户端的话,核心不能用3560,要是选思科的话建议用4500系列。接入层交换机如果ACL以及其他业务跑的不多的话,没有必要把需求建在接入层上,管理麻烦,思路也不清晰。上几个二层交换机足够了,比如2960。当然你学校要是就这么多设备话,拓扑结构没有问题。但还是建议把需求坐在核心上,你要是上45的话,1000个点性能绰绰有余。
线路备份问题,教育网速度太慢,如果对网络稳定有需求的话,建议拉一条电信或者联通的光纤。通过策略路由控制流量方向。
另外建议核心需要两个设备,随便跑ospf还是静态还是HSRP都无所谓,起到备份作用就行,实在不行拿个35做冷备,临时顶一下。设备出故障的可能性不大。
我的建议就是核心下直接连2960之类,完全能满足你的需求。你的那些需求可以直接做在核心上,不需要在接入层做。核心用45性能足够。
外网连ASA吧,PIX毕竟是老产品,下面随便连个3XXX的路由都没问题。
你的问题:
1.快速交换,基于CEF的硬件交换
(这个主要看设备是否支持,3560支持,但是用在你这个核心上怕1000个点以后也不好扩展,性能限制)
2.划分vlan ,vlan间使用三层交换通信。
(为了管理方便的话,trunk足矣,当然路由也可以就是你管理起来麻烦些)
3.ip源防护,snooping,防止每个三层接口的欺骗***,ip地址非授权更改,ARP病毒,泛洪***。(设备CPU消耗高) (这个东西很多事做在计算机系统本身,网络设备只能起到一部分作用)
4.QOS服务质量,定制优先级队列,定制http流量最优,ftp流量最差。
(也可以不做,毕竟QOS对性能要求不低,建议只需要用ACL把不必要的IP和端口封掉,就可以解决BT,在线视频等耗费网络流量的问题)
5.交换机间连接使用channel捆绑增加交换带宽。
(现在网络一般都是星形结构,不存在这个问题,一个接入上面都有几个千兆的上连口足够用)
6.vlan间路由启用EIGRP路由协议
(你的网络不大,最好不用这个协议还是思科独有的,用trunk,在核心启用静态路由连外网最方便。用的话也是单区域OSPF,以后你网络扩展也方便,复杂的协议不都是适用于所有网络,排错起来你会很痛苦)
7.由互联网控制网关提供严格的上网行为控制
(ACL可以实现,这个需要做在核心而不是路由或者防火墙,后两者起到的作用是倾向于外部接入而不是内部)
8.核心交换机上启用DHCP功能自动分配IP
(可以实现,不过说实话静态IP的故障率更低一些)
9.AAA授权,审计,认证
(可以,但是实际来说说实话要是网管不多,或者离职率不高的话这个东西用途不是很大)
10.HSRP热冗余备份
( 核心有两台以上的话可以做)
11.PVST,vlan间负载均衡
(生成树之类的默认就有)
快下班了先写这些吧,有什么问题再讨论
可能有些东西把你的东西变简单了,但这是我站在企业应用的角度考虑的,不求技术用的最多,但求最实用
解决方案二 出自 42楼 WYYN
一高中用3560做接入还真是有钱哦。估计是被代理商忽悠了吧
虽然来晚了当我也给点意见吧:
1、从网络的安全、可靠、可管理、可扩展性来讲方案二优于方案一
2、设备选型方面的话,3560已经买了也不好怎么说。但是核心是肯定不能用3560的,强烈建议用思科45系列的做核心,然后核心直接连接3560做接入。至于外网接入的话如果那个路由器还没买的话建议将买路由器的钱花在买个上网行为管理设备(如深信服的ac5400或是飞鱼星的设备等)。直接用防火墙做外网接入已经足够了。使用了上网行为管理设备你完全可以将QOS的策略做在上网行为管理设备上面而且延迟小管理方面。
3、如果要做dhcp、aaa认证的话最好用一台专门的pc做服务器。核心45只是用了快速转发数据尽量不要在上面配置任何策略。
4、路由协议的话就你现在了网络规模来看最好是用静态,因为你现在网络规模不算太大手动写的路由条目也不会太多,而且静态不管怎么说还是比动态要稳定不容易出错。如果你硬要使用动态路由的话我建议你用ospf,因为eigrp是思科私有协议如果学校以后在网络扩展的时候使用非思科的设备的话会很麻烦的。
5、从安全、转发性能上说外网方式使用NAT要优与使用代理服务器,而且使用代理服务器话万一服务器pc中病毒就麻烦了。
楼主问题修改补充:
经过汇总大家的意见我如果把拓扑设计成这个样子大家看可以么?其它需求不变,依然是8个汇聚交换机,每个汇聚交换机为一个vlan。现在这样无论哪一个单点故障都不会使网络中断。不过我总是拿捏不好汇聚层交换机要几个比较合适,我本来想让8个vlan一人一个汇聚层交换机,可是这样是不是太浪费了,请高手指教。且在细节配置上面希望大家能够指点应该做什么配置可以忽略掉什么配置,不用写出具体命令。比如是否有必要做QOS,ip源防护,汇聚层做哪些策略等等。。
剩下的解决方案请查看 liweinan2005的聊天记录
转载于:https://blog.51cto.com/bfp12/528864
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
