3萬用戶的網絡如何管理 2011-08-09 13:21:28
如果一個單位大概有3萬用戶在使用網絡,那麼合理的規劃以及硬件的配置都非常的重要。
首先網絡拓撲規劃上主要有這麼幾個方面:
一、物理層:
1)對於各樓層接入交換機與核心之間應採用匯聚設備進行連接,匯聚設備應與核心做好雙鏈路單模光纖冗餘,既可以支持負載均衡也可以起到互爲備份的目的。
2)核心設備採用雙10萬M核心交換機,進行數據交換。
3)對於數據中心服務器應劃分出DMZ區,將內網訪問與外網訪問分離開來,保證數據安全。
二、數據鏈路層
1)對於大型的網絡各個樓層或部門應採用VLAN進行劃分,這樣可以有效地限制廣播包的發送範圍,防止廣播風暴。
2)最好不要啓動STP協議,生成樹協議對交換機轉發報文速率影響較大,收斂慢,但如果存在冗餘的交換機最好手工封閉端口。避免形成環路。
3)接入交換機對辦公區域計算機可採用WEB認證方式。對其它區域採用802.1X協議進行用戶認證。由於這兩種認證方式,只是對當前交換機的端口進行互聯網訪問進行了驗證,綁定MAC地址,因此比PPPoE形成邏輯數據鏈路交換數據包較快。
4)在端口上設置並綁定網關MAC地址,避免ARP***,阻止非網關端口發送ARP包。
三、網絡層
1)對於各個VLAN之間通訊,一般使用OSPF動態路由,劃分路由區域。
2)對外網訪問設置訪問控制列表,並啓用策略路由,將訪問電信IP的數據包發往電信光纖,訪問網通的數據包發往網通的光纖。
3)設置NAT的數量,每個外網IP不超過800NAT。
四、應用層
1)單獨設置DHCP,DNS服務器。
2)DNS服務器最好架設兩臺,一臺負責外網訪問解析,將外網訪問服務器IP解析爲外網IP,另一臺負責內網IP解析,將內網訪問服務器解析爲內網的IP。避免訪問服務器繞到外網又繞回來。
3)防火牆對外網訪問DMZ區及內網做嚴格的限制,只開放相應服務端口及IP。
4)對BT等P2P做流量限制,在辦公時間,限制在10%,在非辦公時間限制在60%。
5)做上網行爲管理,最好做成旁路監控,不用做成網關,否則會對網絡性能產生很大的影響。
以上是我的一點小小的經驗。煩請笑納。歡迎討論
本文出自 “逆水行舟不進則退-敏少” 博客,請務必保留此出處http://minshao.blog.51cto.com/2152239/634951