如果一个单位大概有3万用户在使用网络,那么合理的规划以及硬件的配置都非常的重要。
首先网络拓扑规划上主要有这么几个方面:
一、物理层:
1)对于各楼层接入交换机与核心之间应采用汇聚设备进行连接,汇聚设备应与核心做好双链路单模光纤冗余,既可以支持负载均衡也可以起到互为备份的目的。
2)核心设备采用双10万M核心交换机,进行数据交换。
3)对于数据中心服务器应划分出DMZ区,将内网访问与外网访问分离开来,保证数据安全。
二、数据链路层
1)对于大型的网络各个楼层或部门应采用VLAN进行划分,这样可以有效地限制广播包的发送范围,防止广播风暴。
2)最好不要启动STP协议,生成树协议对交换机转发报文速率影响较大,收敛慢,但如果存在冗余的交换机最好手工封闭端口。避免形成环路。
3)接入交换机对办公区域计算机可采用WEB认证方式。对其它区域采用802.1X协议进行用户认证。由于这两种认证方式,只是对当前交换机的端口进行互联网访问进行了验证,绑定MAC地址,因此比PPPoE形成逻辑数据链路交换数据包较快。
4)在端口上设置并绑定网关MAC地址,避免ARP攻击,阻止非网关端口发送ARP包。
三、网络层
1)对于各个VLAN之间通讯,一般使用OSPF动态路由,划分路由区域。
2)对外网访问设置访问控制列表,并启用策略路由,将访问电信IP的数据包发往电信光纤,访问网通的数据包发往网通的光纤。
3)设置NAT的数量,每个外网IP不超过800NAT。
四、应用层
1)单独设置DHCP,DNS服务器。
2)DNS服务器最好架设两台,一台负责外网访问解析,将外网访问服务器IP解析为外网IP,另一台负责内网IP解析,将内网访问服务器解析为内网的IP。避免访问服务器绕到外网又绕回来。
3)防火墙对外网访问DMZ区及内网做严格的限制,只开放相应服务端口及IP。
4)对BT等P2P做流量限制,在办公时间,限制在10%,在非办公时间限制在60%。
5)做上网行为管理,最好做成旁路监控,不用做成网关,否则会对网络性能产生很大的影响。
【更多关于局域网管理经验分享】
1. 如何写好局域网规划与设计方案
2. 未来无限的企业级无线局域网
3. 局域网的信息安全与病毒防治策略
4. 企业局域网故障诊断分析与排除
5. 浅析企业局域网的构建
6. 基于GHOST的局域网快速恢复系统
7. 浅谈企业局域网信息安全
发表于:
2011-08-24 20:13 阅读(2243)
评论(2) 收藏 好文推荐本博客所有内容,若无特殊声明,皆为博主原创作品,未经博主授权,任何人不得复制、转载、摘编等任何方式进行使用和传播。
作者该类其他博文:
网站相关博文: