网络管理之超大型公司的网络如何管理

时间:2022-02-22 21:48:35

如果一个单位大概有3万用户在使用网络,那么合理的规划以及硬件的配置都非常的重要。
首先网络拓扑规划上主要有这么几个方面:
一、物理层:
1)对于各楼层接入交换机与核心之间应采用汇聚设备进行连接,汇聚设备应与核心做好双链路单模光纤冗余,既可以支持负载均衡也可以起到互为备份的目的。
2)核心设备采用双10万M核心交换机,进行数据交换。
3)对于数据中心服务器应划分出DMZ区,将内网访问与外网访问分离开来,保证数据安全。
二、数据链路层
1)对于大型的网络各个楼层或部门应采用VLAN进行划分,这样可以有效地限制广播包的发送范围,防止广播风暴。
2)最好不要启动STP协议,生成树协议对交换机转发报文速率影响较大,收敛慢,但如果存在冗余的交换机最好手工封闭端口。避免形成环路。
3)接入交换机对办公区域计算机可采用WEB认证方式。对其它区域采用802.1X协议进行用户认证。由于这两种认证方式,只是对当前交换机的端口进行互联网访问进行了验证,绑定MAC地址,因此比PPPoE形成逻辑数据链路交换数据包较快。
4)在端口上设置并绑定网关MAC地址,避免ARP攻击,阻止非网关端口发送ARP包。
三、网络层
1)对于各个VLAN之间通讯,一般使用OSPF动态路由,划分路由区域。
2)对外网访问设置访问控制列表,并启用策略路由,将访问电信IP的数据包发往电信光纤,访问网通的数据包发往网通的光纤。
3)设置NAT的数量,每个外网IP不超过800NAT。
四、应用层
1)单独设置DHCP,DNS服务器。
2)DNS服务器最好架设两台,一台负责外网访问解析,将外网访问服务器IP解析为外网IP,另一台负责内网IP解析,将内网访问服务器解析为内网的IP。避免访问服务器绕到外网又绕回来。
3)防火墙对外网访问DMZ区及内网做严格的限制,只开放相应服务端口及IP。
4)对BT等P2P做流量限制,在办公时间,限制在10%,在非办公时间限制在60%。
5)做上网行为管理,最好做成旁路监控,不用做成网关,否则会对网络性能产生很大的影响。
以上是我的一点小小的经验。烦请笑纳。欢迎讨论

本文出自 “逆水行舟不进则退-敏少” 博客,请务必保留此出处http://minshao.blog.51cto.com/2152239/634951