資深企業(yè)網(wǎng)絡(luò)管理員講解網(wǎng)絡(luò)拓?fù)湟?guī)劃圖

作為企業(yè)網(wǎng)絡(luò)管理員的你是否考慮過這個問題：如果一個單位大概有3萬用戶在使用網(wǎng)絡(luò)，那么該如何合理的規(guī)劃以及硬件的配置？想必每個企業(yè)網(wǎng)絡(luò)管理員都會想到網(wǎng)絡(luò)拓?fù)湟?guī)劃圖，對，做好網(wǎng)絡(luò)拓?fù)湟?guī)劃圖是重中之重，關(guān)于如何設(shè)計網(wǎng)絡(luò)規(guī)劃圖，一個從事多年的企業(yè)網(wǎng)絡(luò)管理員提出了這么幾個主要的方面：
    一、物理層：
    1）對于各樓層接入交換機與核心之間應(yīng)采用匯聚設(shè)備進(jìn)行連接，匯聚設(shè)備應(yīng)與核心做好雙鏈路單模光纖冗余，既可以支持負(fù)載均衡也可以起到互為備份的目的。
    2）核心設(shè)備采用雙10萬M核心交換機，進(jìn)行數(shù)據(jù)交換。
    3)企業(yè)網(wǎng)絡(luò)管理員必須對于數(shù)據(jù)中心服務(wù)器應(yīng)劃分出DMZ區(qū)，將內(nèi)網(wǎng)訪問與外網(wǎng)訪問分離開來，保證數(shù)據(jù)安全。
    二、數(shù)據(jù)鏈路層
    1）對于大型的網(wǎng)絡(luò)各個樓層或部門應(yīng)采用VLAN進(jìn)行劃分，這樣可以有效地限制廣播包的發(fā)送范圍，防止廣播風(fēng)暴。
    2）最好不要啟動STP協(xié)議，生成樹協(xié)議對交換機轉(zhuǎn)發(fā)報文速率影響較大，收斂慢，但如果存在冗余的交換機最好手工封閉端口。避免形成環(huán)路。
    3)接入交換機對辦公區(qū)域計算機可采用WEB認(rèn)證方式。對其它區(qū)域采用802.1X協(xié)議進(jìn)行用戶認(rèn)證。資深企業(yè)網(wǎng)絡(luò)管理員表示：由于這兩種認(rèn)證方式，只是對當(dāng)前交換機的端口進(jìn)行互聯(lián)網(wǎng)訪問進(jìn)行了驗證，綁定MAC地址，因此比PPPoE形成邏輯數(shù)據(jù)鏈路交換數(shù)據(jù)包較快。
    4)在端口上設(shè)置并綁定網(wǎng)關(guān)MAC地址，避免ARP攻擊，阻止非網(wǎng)關(guān)端口發(fā)送ARP包。
    三、網(wǎng)絡(luò)層
    1）專業(yè)的企業(yè)網(wǎng)絡(luò)管理員對于各個VLAN之間通訊，一般使用OSPF動態(tài)路由，劃分路由區(qū)域。
    2)對外網(wǎng)訪問設(shè)置訪問控制列表，并啟用策略路由，將訪問電信IP的數(shù)據(jù)包發(fā)往電信光纖，訪問網(wǎng)通的數(shù)據(jù)包發(fā)往網(wǎng)通的光纖。
    3）設(shè)置NAT的數(shù)量，每個外網(wǎng)IP不超過800NAT。
    四、應(yīng)用層
    1）單獨設(shè)置DHCP,DNS服務(wù)器。
    2）DNS服務(wù)器最好架設(shè)兩臺，一臺負(fù)責(zé)外網(wǎng)訪問解析，將外網(wǎng)訪問服務(wù)器IP解析為外網(wǎng)IP，另一臺負(fù)責(zé)內(nèi)網(wǎng)IP解析，將內(nèi)網(wǎng)訪問服務(wù)器解析為內(nèi)網(wǎng)的IP。避免訪問服務(wù)器繞到外網(wǎng)又繞回來。
    3）防火墻對外網(wǎng)訪問DMZ區(qū)及內(nèi)網(wǎng)做嚴(yán)格的限制，只開放相應(yīng)服務(wù)端口及IP。
    4)對BT等P2P做流量限制，在辦公時間，限制在10%，在非辦公時間限制在60%。
    5）企業(yè)網(wǎng)絡(luò)管理員還要考慮做上網(wǎng)行為管理，最好做成旁路監(jiān)控，不用做成網(wǎng)關(guān)，否則會對網(wǎng)絡(luò)性能產(chǎn)生很大的影響。