麻煩大家幫我看看我的校園網設計方案設計的有沒有什麼漏洞^
麻煩大家幫我看看我的校園網設計方案設計的有沒有什麼漏洞,或是好的改進,大家一起交流~
學校有2個公網C類地址,一共600左右主機。考慮到以後擴展,8個vlan這樣設計:辦公室200節點、教室150節點、電子閱覽室100節點、專業部50節點、機房1,機房2,機房3,機房4,各80個節點。
以下是我設計的兩個方案,核心交換機用什麼向大家請教
設備描述:學校準備買20個3560交換機做接入,一個核心層交換機,一個路由器,一個硬件防火牆。不過我覺得這樣太浪費錢,好刀應該用在刀刃上,於是有了方案2.核心交換機類型,上外網使用nat還是代理服務器還都在討論中,希望大家給點意見。感激不盡!!
![]()
方案二中2個核心交換機,8個3560交換機,其它交換機均爲分線用傻瓜交換機,在這裏用cisco2層交換機圖標代替了
![]()
可以實現的功能都是一下幾個:
1.快速交換,基於CEF的硬件交換
2.劃分vlan ,vlan間使用三層交換通信。
3.ip源防護,snooping,防止每個三層接口的欺騙***,ip地址非授權更改,ARP病毒,泛洪***。(設備CPU消耗高)
4.QOS服務質量,定製優先級隊列,定製http流量最優,ftp流量最差。
5.交換機間連接使用channel捆綁增加交換帶寬。
6.vlan間路由啓用EIGRP路由協議
7.由互聯網控制網關提供嚴格的上網行爲控制
8.核心交換機上啓用DHCP功能自動分配IP
9.AAA授權,審計,認證
10.HSRP熱冗餘備份
11.PVST,vlan間負載均衡
方案二比方案一節省12個3560接入層交換機。
解答方案:
by東軟guokuo 38樓
拓撲結構沒有問題,我沒仔細看你那段對話,假使你是1000個客戶端的話,核心不能用3560,要是選思科的話建議用4500系列。接入層交換機如果ACL以及其他業務跑的不多的話,沒有必要把需求建在接入層上,管理麻煩,思路也不清晰。上幾個二層交換機足夠了,比如2960。當然你學校要是就這麼多設備話,拓撲結構沒有問題。但還是建議把需求坐在覈心上,你要是上45的話,1000個點性能綽綽有餘。
線路備份問題,教育網速度太慢,如果對網絡穩定有需求的話,建議拉一條電信或者聯通的光纖。通過策略路由控制流量方向。
另外建議核心需要兩個設備,隨便跑ospf還是靜態還是HSRP都無所謂,起到備份作用就行,實在不行拿個35做冷備,臨時頂一下。設備出故障的可能性不大。
我的建議就是核心下直接連2960之類,完全能滿足你的需求。你的那些需求可以直接做在覈心上,不需要在接入層做。核心用45性能足夠。
外網連ASA吧,PIX畢竟是老產品,下面隨便連個3XXX的路由都沒問題。
你的問題:
1.快速交換,基於CEF的硬件交換
(這個主要看設備是否支持,3560支持,但是用在你這個核心上怕1000個點以後也不好擴展,性能限制)
2.劃分vlan ,vlan間使用三層交換通信。
(爲了管理方便的話,trunk足矣,當然路由也可以就是你管理起來麻煩些)
3.ip源防護,snooping,防止每個三層接口的欺騙***,ip地址非授權更改,ARP病毒,泛洪***。(設備CPU消耗高)(這個東西很多事做在計算機系統本身,網絡設備只能起到一部分作用)
4.QOS服務質量,定製優先級隊列,定製http流量最優,ftp流量最差。
(也可以不做,畢竟QOS對性能要求不低,建議只需要用ACL把不必要的IP和端口封掉,就可以解決BT,在線視頻等耗費網絡流量的問題)
5.交換機間連接使用channel捆綁增加交換帶寬。
(現在網絡一般都是星形結構,不存在這個問題,一個接入上面都有幾個千兆的上連口足夠用)
6.vlan間路由啓用EIGRP路由協議
(你的網絡不大,最好不用這個協議還是思科獨有的,用trunk,在覈心啓用靜態路由連外網最方便。用的話也是單區域OSPF,以後你網絡擴展也方便,複雜的協議不都是適用於所有網絡,排錯起來你會很痛苦)
7.由互聯網控制網關提供嚴格的上網行爲控制
(ACL可以實現,這個需要做在覈心而不是路由或者防火牆,後兩者起到的作用是傾向於外部接入而不是內部)
8.核心交換機上啓用DHCP功能自動分配IP
(可以實現,不過說實話靜態IP的故障率更低一些)
9.AAA授權,審計,認證
(可以,但是實際來說說實話要是網管不多,或者離職率不高的話這個東西用途不是很大)
10.HSRP熱冗餘備份
(核心有兩臺以上的話可以做)
11.PVST,vlan間負載均衡
(生成樹之類的默認就有)
快下班了先寫這些吧,有什麼問題再討論
可能有些東西把你的東西變簡單了,但這是我站在企業應用的角度考慮的,不求技術用的最多,但求最實用
解決方案二 出自 42樓 WYYN
一高中用3560做接入還真是有錢哦。估計是被代理商忽悠了吧![]()
雖然來晚了當我也給點意見吧:
1、從網絡的安全、可靠、可管理、可擴展性來講方案二優於方案一
2、設備選型方面的話,3560已經買了也不好怎麼說。但是核心是肯定不能用3560的,強烈建議用思科45系列的做核心,然後核心直接連接3560做接入。至於外網接入的話如果那個路由器還沒買的話建議將買路由器的錢花在買個上網行爲管理設備(如深信服的ac5400或是飛魚星的設備等)。直接用防火牆做外網接入已經足夠了。使用了上網行爲管理設備你完全可以將QOS的策略做在上網行爲管理設備上面而且延遲小管理方面。
3、如果要做dhcp、aaa認證的話最好用一臺專門的pc做服務器。核心45只是用了快速轉發數據儘量不要在上面配置任何策略。
4、路由協議的話就你現在了網絡規模來看最好是用靜態,因爲你現在網絡規模不算太大手動寫的路由條目也不會太多,而且靜態不管怎麼說還是比動態要穩定不容易出錯。如果你硬要使用動態路由的話我建議你用ospf,因爲eigrp是思科私有協議如果學校以後在網絡擴展的時候使用非思科的設備的話會很麻煩的。
5、從安全、轉發性能上說外網方式使用NAT要優與使用代理服務器,而且使用代理服務器話萬一服務器pc中病毒就麻煩了。
樓主問題修改補充:
經過彙總大家的意見我如果把拓撲設計成這個樣子大家看可以麼?其它需求不變,依然是8個匯聚交換機,每個匯聚交換機爲一個vlan。現在這樣無論哪一個單點故障都不會使網絡中斷。不過我總是拿捏不好匯聚層交換機要幾個比較合適,我本來想讓8個vlan一人一個匯聚層交換機,可是這樣是不是太浪費了,請高手指教。且在細節配置上面希望大家能夠指點應該做什麼配置可以忽略掉什麼配置,不用寫出具體命令。比如是否有必要做QOS,ip源防護,匯聚層做哪些策略等等。。
![]()
剩下的解決方案請查看 liweinan2005的聊天記錄
學校有2個公網C類地址,一共600左右主機。考慮到以後擴展,8個vlan這樣設計:辦公室200節點、教室150節點、電子閱覽室100節點、專業部50節點、機房1,機房2,機房3,機房4,各80個節點。
以下是我設計的兩個方案,核心交換機用什麼向大家請教
設備描述:學校準備買20個3560交換機做接入,一個核心層交換機,一個路由器,一個硬件防火牆。不過我覺得這樣太浪費錢,好刀應該用在刀刃上,於是有了方案2.核心交換機類型,上外網使用nat還是代理服務器還都在討論中,希望大家給點意見。感激不盡!!
方案二中2個核心交換機,8個3560交換機,其它交換機均爲分線用傻瓜交換機,在這裏用cisco2層交換機圖標代替了
可以實現的功能都是一下幾個:
1.快速交換,基於CEF的硬件交換
2.劃分vlan ,vlan間使用三層交換通信。
3.ip源防護,snooping,防止每個三層接口的欺騙***,ip地址非授權更改,ARP病毒,泛洪***。(設備CPU消耗高)
4.QOS服務質量,定製優先級隊列,定製http流量最優,ftp流量最差。
5.交換機間連接使用channel捆綁增加交換帶寬。
6.vlan間路由啓用EIGRP路由協議
7.由互聯網控制網關提供嚴格的上網行爲控制
8.核心交換機上啓用DHCP功能自動分配IP
9.AAA授權,審計,認證
10.HSRP熱冗餘備份
11.PVST,vlan間負載均衡
方案二比方案一節省12個3560接入層交換機。
解答方案:
by東軟guokuo 38樓
拓撲結構沒有問題,我沒仔細看你那段對話,假使你是1000個客戶端的話,核心不能用3560,要是選思科的話建議用4500系列。接入層交換機如果ACL以及其他業務跑的不多的話,沒有必要把需求建在接入層上,管理麻煩,思路也不清晰。上幾個二層交換機足夠了,比如2960。當然你學校要是就這麼多設備話,拓撲結構沒有問題。但還是建議把需求坐在覈心上,你要是上45的話,1000個點性能綽綽有餘。
線路備份問題,教育網速度太慢,如果對網絡穩定有需求的話,建議拉一條電信或者聯通的光纖。通過策略路由控制流量方向。
另外建議核心需要兩個設備,隨便跑ospf還是靜態還是HSRP都無所謂,起到備份作用就行,實在不行拿個35做冷備,臨時頂一下。設備出故障的可能性不大。
我的建議就是核心下直接連2960之類,完全能滿足你的需求。你的那些需求可以直接做在覈心上,不需要在接入層做。核心用45性能足夠。
外網連ASA吧,PIX畢竟是老產品,下面隨便連個3XXX的路由都沒問題。
你的問題:
1.快速交換,基於CEF的硬件交換
(這個主要看設備是否支持,3560支持,但是用在你這個核心上怕1000個點以後也不好擴展,性能限制)
2.劃分vlan ,vlan間使用三層交換通信。
(爲了管理方便的話,trunk足矣,當然路由也可以就是你管理起來麻煩些)
3.ip源防護,snooping,防止每個三層接口的欺騙***,ip地址非授權更改,ARP病毒,泛洪***。(設備CPU消耗高)(這個東西很多事做在計算機系統本身,網絡設備只能起到一部分作用)
4.QOS服務質量,定製優先級隊列,定製http流量最優,ftp流量最差。
(也可以不做,畢竟QOS對性能要求不低,建議只需要用ACL把不必要的IP和端口封掉,就可以解決BT,在線視頻等耗費網絡流量的問題)
5.交換機間連接使用channel捆綁增加交換帶寬。
(現在網絡一般都是星形結構,不存在這個問題,一個接入上面都有幾個千兆的上連口足夠用)
6.vlan間路由啓用EIGRP路由協議
(你的網絡不大,最好不用這個協議還是思科獨有的,用trunk,在覈心啓用靜態路由連外網最方便。用的話也是單區域OSPF,以後你網絡擴展也方便,複雜的協議不都是適用於所有網絡,排錯起來你會很痛苦)
7.由互聯網控制網關提供嚴格的上網行爲控制
(ACL可以實現,這個需要做在覈心而不是路由或者防火牆,後兩者起到的作用是傾向於外部接入而不是內部)
8.核心交換機上啓用DHCP功能自動分配IP
(可以實現,不過說實話靜態IP的故障率更低一些)
9.AAA授權,審計,認證
(可以,但是實際來說說實話要是網管不多,或者離職率不高的話這個東西用途不是很大)
10.HSRP熱冗餘備份
(核心有兩臺以上的話可以做)
11.PVST,vlan間負載均衡
(生成樹之類的默認就有)
快下班了先寫這些吧,有什麼問題再討論
可能有些東西把你的東西變簡單了,但這是我站在企業應用的角度考慮的,不求技術用的最多,但求最實用
解決方案二 出自 42樓 WYYN
一高中用3560做接入還真是有錢哦。估計是被代理商忽悠了吧
雖然來晚了當我也給點意見吧:1、從網絡的安全、可靠、可管理、可擴展性來講方案二優於方案一
2、設備選型方面的話,3560已經買了也不好怎麼說。但是核心是肯定不能用3560的,強烈建議用思科45系列的做核心,然後核心直接連接3560做接入。至於外網接入的話如果那個路由器還沒買的話建議將買路由器的錢花在買個上網行爲管理設備(如深信服的ac5400或是飛魚星的設備等)。直接用防火牆做外網接入已經足夠了。使用了上網行爲管理設備你完全可以將QOS的策略做在上網行爲管理設備上面而且延遲小管理方面。
3、如果要做dhcp、aaa認證的話最好用一臺專門的pc做服務器。核心45只是用了快速轉發數據儘量不要在上面配置任何策略。
4、路由協議的話就你現在了網絡規模來看最好是用靜態,因爲你現在網絡規模不算太大手動寫的路由條目也不會太多,而且靜態不管怎麼說還是比動態要穩定不容易出錯。如果你硬要使用動態路由的話我建議你用ospf,因爲eigrp是思科私有協議如果學校以後在網絡擴展的時候使用非思科的設備的話會很麻煩的。
5、從安全、轉發性能上說外網方式使用NAT要優與使用代理服務器,而且使用代理服務器話萬一服務器pc中病毒就麻煩了。
樓主問題修改補充:
經過彙總大家的意見我如果把拓撲設計成這個樣子大家看可以麼?其它需求不變,依然是8個匯聚交換機,每個匯聚交換機爲一個vlan。現在這樣無論哪一個單點故障都不會使網絡中斷。不過我總是拿捏不好匯聚層交換機要幾個比較合適,我本來想讓8個vlan一人一個匯聚層交換機,可是這樣是不是太浪費了,請高手指教。且在細節配置上面希望大家能夠指點應該做什麼配置可以忽略掉什麼配置,不用寫出具體命令。比如是否有必要做QOS,ip源防護,匯聚層做哪些策略等等。。
剩下的解決方案請查看 liweinan2005的聊天記錄