3萬用戶的網絡如何管理

3萬用戶的網絡如何管理 2011-08-09 13:21:28

標籤： 大型網絡管理

原創做品，容許轉載，轉載時請務必以超連接形式標明文章 原始出處 、做者信息和本聲明。不然將追究法律責任。 http://minshao.blog.51cto.com/2152239/634951

若是一個單位大概有3萬用戶在使用網絡，那麼合理的規劃以及硬件的配置都很是的重要。
首先網絡拓撲規劃上主要有這麼幾個方面：
1、物理層：
1）對於各樓層接入交換機與核心之間應採用匯聚設備進行鏈接，匯聚設備應與核心作好雙鏈路單模光纖冗餘，既能夠支持負載均衡也能夠起到互爲備份的目的。
2）核心設備採用雙10萬M核心交換機，進行數據交換。
3)對於數據中心服務器應劃分出DMZ區，將內網訪問與外網訪問分離開來，保證數據安全。
2、數據鏈路層
1）對於大型的網絡各個樓層或部門應採用VLAN進行劃分，這樣能夠有效地限制廣播包的發送範圍，防止廣播風暴。
2）最好不要啓動STP協議，生成樹協議對交換機轉發報文速率影響較大，收斂慢，但若是存在冗餘的交換機最好手工封閉端口。避免造成環路。
3)接入交換機對辦公區域計算機可採用WEB認證方式。對其它區域採用802.1X協議進行用戶認證。因爲這兩種認證方式，只是對當前交換機的端口進行互聯網訪問進行了驗證，綁定MAC地址，所以比PPPoE造成邏輯數據鏈路交換數據包較快。
4)在端口上設置並綁定網關MAC地址，避免ARP***，阻止非網關端口發送ARP包。
3、網絡層
1）對於各個VLAN之間通信，通常使用OSPF動態路由，劃分路由區域。
2)對外網訪問設置訪問控制列表，並啓用策略路由，將訪問電信IP的數據包發往電信光纖，訪問網通的數據包發往網通的光纖。
3）設置NAT的數量，每一個外網IP不超過800NAT。
4、應用層
1）單獨設置DHCP,DNS服務器。
2）DNS服務器最好架設兩臺，一臺負責外網訪問解析，將外網訪問服務器IP解析爲外網IP，另外一臺負責內網IP解析，將內網訪問服務器解析爲內網的IP。避免訪問服務器繞到外網又繞回來。
3）防火牆對外網訪問DMZ區及內網作嚴格的限制，只開放相應服務端口及IP。
4)對BT等P2P作流量限制，在辦公時間，限制在10%，在非辦公時間限制在60%。
5）作上網行爲管理，最好作成旁路監控，不用作成網關，不然會對網絡性能產生很大的影響。
以上是個人一點小小的經驗。煩請笑納。歡迎討論

本文出自 「逆水行舟不進則退-敏少」 博客，請務必保留此出處http://minshao.blog.51cto.com/2152239/634951