星星相心zz
对于1000多个节点的企业组网,需要考虑网络规划,网络可靠性设计,网络安全设计等,不仅仅是购买交换机,路由器和防火墙的问题。下文针对这个问题说一说。
需求分析
与不同的业务部门进行沟通,了解每个时间段的业务量,组网结构需要满足业务部门的需求;
针对这种中大型局域网,需要根据部门或者位置划分VLAN,每个部门对应一个VLAN和网段,不同VLAN的数据在三层汇聚交换机或者核心交换机中交换数据;
如下表所示,给出了一个VLAN划分和IP端的划分,根据实际情况进行规划。
网络拓扑结构
网络拓扑结构如下图所示,内部网络采用三层结构,核心层,汇聚层,接入层。其中核心层用来完成数据的高速转发,核心层设备最好部署两台,增加整个网络的了可靠性。接入层设备用来实现办公电脑的接入,无线AP的接入,并且完成上网认证等;
路由器连接运营商提供的出口网络;
防火墙连接在出口路由器和内网核心交换机之间,用于保护内网,阻拦非法访问;
如果企业有对外服务,比如对外网站,邮件等,需要将这些服务器连接到防火墙的DMZ区域。
IP地址的分配
业务服务器和监控,打印机等应该使用静态地址,以便于管理控制;
网络设备的IP地址使用32位掩码的地址,与办公网等隔离,防止非授权人员随意配置网络设备;
网络设备的互联地址使用30位掩码的地址,比如静态路由器,OSPF路由的互联地址等,节约ip地址的同时可以提高收敛速度;
办公电脑,无线终端的IP地址,建议使用DHCP服务器根据不同部门的VLAN进行自动分配。
一种新的组网方案
可以考虑PON网络,即无源光网络,采用了类似与运营商网络的结构组建企业网,由OLT、ODN、ONU组成;
OLT设备连接上游核心交换机,ODN连接ONU,实现接入,全程使用了光网络,用光纤代替双绞线,用分光器代替了汇聚交换机;
这种组网方式适合初次组网,一次性投资比较大,但是后期管理维护费用会低很多;
网络结构参考下图。
总结
这里只是对企业网络的建设做个简要的介绍,还需要考虑机房建设,综合布线等各类问题。
对于企业网的组建,大家有什么看到呢,欢迎在评论区,留言讨论。
如需更多帮助,请私信关注,谢谢。
Geek视界
你好,如果给你们的企业做规划网络,必须要考虑到以下几点:
1、网络系统结构要清晰,统一进行网络分层规划,网络拓扑不能太混乱;
2、考虑到系统扩容,要做冗余设计,包括带宽、线路、接入设备等,容易卡脖子的设备,比如汇聚交换机,最好考虑模块化设计;
3、多种业务需求,比如支持WLAN无线接入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求;
4、网络安全,防范网络攻击、消耗流量、窃取电子资产等行为,接入认证控制等,所以要做多层次的防护,用交换机网管+防火墙的方式进行部署;
5、网络管理运维的便捷性,流量控制,上网行为管理、设备管理等,工作量很大,另外考虑到网管的工作交接和资料保管不一定完善,所以你们可以考虑上一套可视化运维系统。
典型的企业网络结构可以按下图进行设计:
建议采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署;交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。
高用户密度的企业接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。
汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为企业汇聚层交换机。
企业核心层交换机部署在核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。
企业出口路由器,连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。
关于企业的总体安全方案,可以按照下图的策略部署:
防火墙的选择首先是安全防护能力,对于每秒新建连接数,并发连接数和吞吐量,ACL匹配速度,DDOS识别均要进行重点考察。可以选用华为S93系列集成的防火墙。
需要在企业出口通过NAT设备进行IP地址转换,因为考虑到企业内网安全和企业公网地址缺乏等原因,通常要选择通过采用私网IP地址来建设企业网,可以隐藏企业园区内部网络拓扑。为了进行安全防护,NAT功能一般部署在防火墙设备上。
最后就是网管系统,主要由网络管理、流量管理、认证计费等几个产品组成。
希望我的回答可以帮助到你,谢谢!
弱电笔记
你好,我来回答一下这个问题,对于大型网络的规划设计,是有很多方面需要考虑的,下面我结合我的实际工作来谈一下我的经验。我的部门目前管理的在网电脑和其他联网设备约2000台,随着运行年限的增加,我们发现并解决了很多问题。大型企业或者园区在建设网络之前,一个合理并具有前瞻性的网络规划设计是非常重要的,这样才能避免走弯路,使企业的信息化建设可持续发展。
需要考虑你们企业或者园区内的建筑物分布及结构情况,很多园区是由多栋建筑物构成,那么作为网络设计而言首先要需要考虑的就是你的中心机房建在哪个位置,一般而言应该建在靠近园区中心的建设物内,楼层一般以二层到四层之间比较合适,中心机房选定位置后,应将核心交换机安装在中心机房,并且至少双机热备或者做双机虚拟化
中心机房内部除了设置局域网核心交换机之外,在一些对信息安全要求较高的企业,还要考虑设置外网核心交换机,将内网网络与外网网络做物理区隔,从而避免将外网病毒和恶意程序传入内网
楼主所提到的路由器和防火墙,应设置于中心机房内,外网出口的位置,应该选择质量较好带宽较宽的企业级产品,园区级别的互联网接入一般应最少不低于100M企业级光纤接入,防火墙应具备入侵检测、病毒防护、VPN和地址映射等功能。
园区内每栋建筑物应设置不低于两台全光口汇聚交换机,用来连接本建筑物内各楼层的接入交换机,并上联至核心交换机,楼层交换机与汇聚交换机之间用光纤连接
建筑物的每层楼应设置接入交换机,接入交换机可设置多台24口或48口交换机,交换机电口速度应不低于千兆,上行光纤端口应不低于万兆。
交换机组网后,应该开始规划网络设置,VLAN划分,交换机IP地址设置,端口划分,静态路由的配置等工作。园区内计算机的IP地址应该科学合理的规划,预留充足的IP地址资源,可为每栋建筑物设置单独的VLAN,一个C类地址段有250个可用IP地址。
阿飞的多彩世界
如果是1000台终端,我建议使用云桌面,前期投入和台式机差不多,可能还会多一些,但在运维的时候就会看到他的成效,且数据安全,随时随地访问使用。
网络采用超六类工程网络布线,核心交换机选择华为,思科,或者浪潮思科都可以,路由器就不需要了,买台深信服防火墙放在出口,就足够企业使用啦。
企业如果还有分支机构,建议各地采用vpn组网,更加便捷安全访问内部网络。
用户认证全部放到上网行为管理设备。通过设备运维后期会更加简单,省设备费用带来的就是增加人力成本,且处理问题时间久。
Kira_Tuuli
最近刚改造完单位网络 说点不一样的吧 不复制别人的 国家正在改造IPv6网络 我们单位先行了 采用的是双栈模式 我个人建议采用支持v6的核心交换机 避免二次升级费用 v4采用网上建议随便就能搜一堆 v6采用静态模式 别dhcp 便于管理 VLAN划分考虑后续v6改造 毕竟v6不远了 有不懂的欢迎私信 单纯复制网上信息的建议就别看了
A李平11694
需求不是很明确,有很多潜在疑问点以及风险点。
首先,只是满足办公就可以么?内部OA/ERP等企业工具部署在哪里?研发部门需不需要有业务暴露在互联网?然后出口带宽大约有多少?
硬件必备,有线环境:工业级路由器,DATACENTER级核心交换,防火墙,IPS,上网行为管理,三层交换,防毒墙。
无线环境:AC,POESW,AP
邢哒哒哒哒哒
大型网络,比较复杂,首先规划IP地址,微机大概用四段,再加上服务器 如果再考虑扩展,可以考虑8端地址,网络骨干可以采用万兆,机房用核心交换机,用VLAN隔离,路由器、防火墙采用千兆或者万兆,楼层交换机用万兆两层的就行。
星尘175560953
这个首先要看主要是仅仅满足办公需求,还是说有其他需求。
如果是简单的移动办公,可以采取万兆控制器—核心交换机—POE交换机—无线AP等的架构,具体可以采用集结号组网方式,集中管理,实现所有AP状态可视化,并且还可以使用“信锐云助手”随时随地管理网络;
建议不要使用普通的家用路由器设备,可以采用企业级无线设备,一个无线AP可以接100-200左右个终端,性能更稳定。
信锐技术
看做什么用了,如果只是上网,网络结构也简单,无线控制器-核心交换机-poe供电交换机-lc327ap瘦AP就可以了,预计20-40个AP就可以了。
