3,811
社区成员
发帖
与我相关
我的任务
分享小单位网络拓扑设计问题
局域网内大约200个普通工作站,分散在5个楼层,并有5台服务器(内部)。对外实现web和邮件服务,预计一台服务器。目前接入方式为10M光纤,有3个固定IP。
请教:
1.如何设计网络拓扑,使内网用户能访问互联网,内部服务器安全性能得到保证,对外服务器被攻击后不影响内部使用。
2.请推荐几款实现上述拓扑的路由器、防火墙、核心交换机、桌面交换机(可堆叠),服务器等设备。
谢谢,分不够再开贴!
请教:
1.如何设计网络拓扑,使内网用户能访问互联网,内部服务器安全性能得到保证,对外服务器被攻击后不影响内部使用。
2.请推荐几款实现上述拓扑的路由器、防火墙、核心交换机、桌面交换机(可堆叠),服务器等设备。
谢谢,分不够再开贴!
...全文
请发表友善的回复…
发表回复
beyondtc 2006-02-23
- 打赏
- 举报
在补充一点,在29上一定要做好spaning-tree的根的守卫,以及portfast,linkfast等!
在控制好风暴,设置一个合适的值;端口安全;
最后,画好拓扑,以便以后升级,维护!
在控制好风暴,设置一个合适的值;端口安全;
最后,画好拓扑,以便以后升级,维护!
beyondtc 2006-02-23
- 打赏
- 举报
1、主配线间放置cisco355012T。
没问题!
2、省略路由器,互联网进线通过防火墙直接接入cisco355012T。
绝对可以!
3、省略汇聚交换机,桌面接入交换机使用cisco2950,但是好像不支持堆叠,端口不够怎么办?
增加模块端口,或者级联hub!
4、对外服务器直接与cisco355012T相连。
可以!
5、cisco355012T与内网相连的每个端口均要做NAT转换,并划分vlan。
是的,每个2950与35相连的时候注意联结方式:我是说网线线序,还有trunk,vtp等!
vtp是很重要的,千万注意密码一致,以及工作模式server,cilient,transparent!
没问题!
2、省略路由器,互联网进线通过防火墙直接接入cisco355012T。
绝对可以!
3、省略汇聚交换机,桌面接入交换机使用cisco2950,但是好像不支持堆叠,端口不够怎么办?
增加模块端口,或者级联hub!
4、对外服务器直接与cisco355012T相连。
可以!
5、cisco355012T与内网相连的每个端口均要做NAT转换,并划分vlan。
是的,每个2950与35相连的时候注意联结方式:我是说网线线序,还有trunk,vtp等!
vtp是很重要的,千万注意密码一致,以及工作模式server,cilient,transparent!
dreamtoflying 2006-02-23
- 打赏
- 举报
多谢beyondtc,根据你的提示,可不可以按以下配置:
1、主配线间放置cisco355012T。
2、省略路由器,互联网进线通过防火墙直接接入cisco355012T。
3、省略汇聚交换机,桌面接入交换机使用cisco2950,但是好像不支持堆叠,端口不够怎么办?
4、对外服务器直接与cisco355012T相连。
5、cisco355012T与内网相连的每个端口均要做NAT转换,并划分vlan。
1、主配线间放置cisco355012T。
2、省略路由器,互联网进线通过防火墙直接接入cisco355012T。
3、省略汇聚交换机,桌面接入交换机使用cisco2950,但是好像不支持堆叠,端口不够怎么办?
4、对外服务器直接与cisco355012T相连。
5、cisco355012T与内网相连的每个端口均要做NAT转换,并划分vlan。
beyondtc 2006-02-23
- 打赏
- 举报
1.如何设计网络拓扑,使内网用户能访问互联网,内部服务器安全性能得到保证,对外服务器被攻击后不影响内部使用。
___________________________________________
每一层都做自己的NAT转换,当然要划分vlan,因为你只有3个ip,所以nat转换一定要用,如果想省钱就用PAT转换,当然这个速度要慢一点。
你在出口处设置两个网关,一个通向外网(互联网),一个内部用192.168.0.1等!内部服务器就加入你内部的子网,外部服务器自然就要让外面的人访问,做好入侵检测功能!
这样就能实现你的要求!
————————————————————————————————
2.请推荐几款实现上述拓扑的路由器、防火墙、核心交换机、桌面交换机(可堆叠),服务器等设备。
————————————————————————————
我觉得你的这个结构是分层的,我说的分层指两方面:你物理上十分楼层的,为了连接方便,每层都要配置一个交换机(当然这些不用分布于每层);从你的数量上来看,网络结构也要分层,这里分个简单的:两层:接入,核心!当然为了稳定你可以加上汇聚!
接入:用cisco的2950,当然华为、TP-link、D-link的同型号的也行,不过安全上可就远不如cisco了!
核心:不用太大功能的话,就用cisco3550,功能已经非常强大了!
汇聚:cisco29 XL、 35XL都行,主要就是一个安全,一个稳定!(为省钱此层可省略)
买了35以后,路由器买不买已经无所谓了,如果财政能力可以的话再买台cisco2614也不错,设置NAT或者网关什么的,这个在35上也能很轻松实现!
防火墙:用个cisco PIX515、PIX515E、PIX525都行,在使用pix时,最好加一个入侵检测设备,更安全!
服务器:浪潮、IBM……很多,都行!我觉得还是支持国货吧!哈哈……
祝你好运!
___________________________________________
每一层都做自己的NAT转换,当然要划分vlan,因为你只有3个ip,所以nat转换一定要用,如果想省钱就用PAT转换,当然这个速度要慢一点。
你在出口处设置两个网关,一个通向外网(互联网),一个内部用192.168.0.1等!内部服务器就加入你内部的子网,外部服务器自然就要让外面的人访问,做好入侵检测功能!
这样就能实现你的要求!
————————————————————————————————
2.请推荐几款实现上述拓扑的路由器、防火墙、核心交换机、桌面交换机(可堆叠),服务器等设备。
————————————————————————————
我觉得你的这个结构是分层的,我说的分层指两方面:你物理上十分楼层的,为了连接方便,每层都要配置一个交换机(当然这些不用分布于每层);从你的数量上来看,网络结构也要分层,这里分个简单的:两层:接入,核心!当然为了稳定你可以加上汇聚!
接入:用cisco的2950,当然华为、TP-link、D-link的同型号的也行,不过安全上可就远不如cisco了!
核心:不用太大功能的话,就用cisco3550,功能已经非常强大了!
汇聚:cisco29 XL、 35XL都行,主要就是一个安全,一个稳定!(为省钱此层可省略)
买了35以后,路由器买不买已经无所谓了,如果财政能力可以的话再买台cisco2614也不错,设置NAT或者网关什么的,这个在35上也能很轻松实现!
防火墙:用个cisco PIX515、PIX515E、PIX525都行,在使用pix时,最好加一个入侵检测设备,更安全!
服务器:浪潮、IBM……很多,都行!我觉得还是支持国货吧!哈哈……
祝你好运!
dreamtoflying 2006-02-23
- 打赏
- 举报
谢了,先结贴,下次有问题再问!
