现在单位的网络越来越难忍受了,要求越来越多,越来越复杂,可是我的知识越来越不够用,现在总是怕出故障。 不知道应该换什么样的设备。我应该怎么样改造网络呢?
现状:
服务器是内部使用的,数据要通过 PC[双网卡接] 做中转后从VPN专线出去。
改造后:
下图是我想要做成的网络拓扑图,可是VPN防火墙不知道放到哪合适了,它对内网 一个口,对外网一个口。
PC的数量一共约100台。不排除以后增加。3年内有可能会增加到150台。
核心层交换机想做成热备的,接入层的要支持VLAN吧,不然达不到我图上的要求吧?
设备华为 、思科。H3C不放心。 希望给些型号建议。
PS: 虽然商家也会给些建议,不过还是想听听专业人的意见。对卖商品的建议持观望态度,你们懂的,内网是重点,外网与VPN专线要求不高,断网时间长一点儿还没关系。所以想在核心层做热备。PC_D 要访问内网服务器+VPN网络。 [VPN线路要访问的是个网站]
答:分析如下:
1、设备选型:2层用cisco2950,3层使用华为s系列的层交换机,购买支持策略路由的3层交换机,比如你内网A走A网关,B走B网关互不干扰。
2、vpn防火墙和路由连接到2个3层交换上面,相当于有2个网关是吧,就是刚才说内网客户端A走A网络,B走B网络。
3、在3层上面划分5个vlan,服务器组一个vlan2,内网不上网的一个vlan3,内网上网的一个vlan4,连接路由A的vlan5,连接vpn防火墙的VLAN6.因为华为的3层不支持接口ip。
4、2层接入交换机就加入相应的vlan,客户端pc就接入相应的2层交换机。
5、如果有需要就在3层上面做acl控制策略,内网的网关指向你vlan的管理ip就可以了,然后通过3层交换机直连连防火墙出去上网。
H3C的不放心不明白你为什么有这样的想法,还是因为H3C价格便宜你不放心?你那100多点的网络,我这里600+的网络从上到下使用的都是H3C的设备,从来未出现过任何问题。
我给你推荐H3C的,当然你是否选择完全取决于你。核心交换需要做热备的话可以选择H3C S5510,使用在你的网络里没有任何问题,即使你的网络增加到300,依然没有问题,而且都是全千兆口,带4个combo口可以增加光模块。
接入层可以选择H3C S3600,也是三层,价钱不贵,VLAN,ACL等常用功能一应俱全。
既然你的服务器数据是通过专用网出去,服务器还有双网卡,那完全可以和你的内网分离开,在VPN防火墙下增加交换机,连接你服务器的另外一个网口。
其实没有必要非要把你的VPN防火墙接到核心交换机上去
1,你的防火墙只有2个口,你只有1个防火墙
2,防火墙没有热备,核心热备了没有任何意义,因为即使你接到核心交换上了,防火墙故障了数据一样出不去,虽然你没接核心上,防火墙坏了,内网仍然可以访问服务器,因为服务器有一个网卡是接在核心上的。
最后,说白了,你核心交换热备其实意义不大,因为你的路由没有热备,即使你的路由热备了,你外网的线路仍然是一条。
