資深企業(yè)網(wǎng)絡管理員講解網(wǎng)絡拓撲規(guī)劃圖

作為企業(yè)網(wǎng)絡管理員的你是否考慮過這個問題：如果一個單位大概有3萬用戶在使用網(wǎng)絡，那么該如何合理的規(guī)劃以及硬件的配置？想必每個企業(yè)網(wǎng)絡管理員都會想到網(wǎng)絡拓撲規(guī)劃圖，對，做好網(wǎng)絡拓撲規(guī)劃圖是重中之重，關于如何設計網(wǎng)絡規(guī)劃圖，一個從事多年的企業(yè)網(wǎng)絡管理員提出了這么幾個主要的方面：
    一、物理層：
    1）對于各樓層接入交換機與核心之間應采用匯聚設備進行連接，匯聚設備應與核心做好雙鏈路單模光纖冗余，既可以支持負載均衡也可以起到互為備份的目的。
    2）核心設備采用雙10萬M核心交換機，進行數(shù)據(jù)交換。
    3)企業(yè)網(wǎng)絡管理員必須對于數(shù)據(jù)中心服務器應劃分出DMZ區(qū)，將內網(wǎng)訪問與外網(wǎng)訪問分離開來，保證數(shù)據(jù)安全。
    二、數(shù)據(jù)鏈路層
    1）對于大型的網(wǎng)絡各個樓層或部門應采用VLAN進行劃分，這樣可以有效地限制廣播包的發(fā)送范圍，防止廣播風暴。
    2）最好不要啟動STP協(xié)議，生成樹協(xié)議對交換機轉發(fā)報文速率影響較大，收斂慢，但如果存在冗余的交換機最好手工封閉端口。避免形成環(huán)路。
    3)接入交換機對辦公區(qū)域計算機可采用WEB認證方式。對其它區(qū)域采用802.1X協(xié)議進行用戶認證。資深企業(yè)網(wǎng)絡管理員表示：由于這兩種認證方式，只是對當前交換機的端口進行互聯(lián)網(wǎng)訪問進行了驗證，綁定MAC地址，因此比PPPoE形成邏輯數(shù)據(jù)鏈路交換數(shù)據(jù)包較快。
    4)在端口上設置并綁定網(wǎng)關MAC地址，避免ARP攻擊，阻止非網(wǎng)關端口發(fā)送ARP包。
    三、網(wǎng)絡層
    1）專業(yè)的企業(yè)網(wǎng)絡管理員對于各個VLAN之間通訊，一般使用OSPF動態(tài)路由，劃分路由區(qū)域。
    2)對外網(wǎng)訪問設置訪問控制列表，并啟用策略路由，將訪問電信IP的數(shù)據(jù)包發(fā)往電信光纖，訪問網(wǎng)通的數(shù)據(jù)包發(fā)往網(wǎng)通的光纖。
    3）設置NAT的數(shù)量，每個外網(wǎng)IP不超過800NAT。
    四、應用層
    1）單獨設置DHCP,DNS服務器。
    2）DNS服務器最好架設兩臺，一臺負責外網(wǎng)訪問解析，將外網(wǎng)訪問服務器IP解析為外網(wǎng)IP，另一臺負責內網(wǎng)IP解析，將內網(wǎng)訪問服務器解析為內網(wǎng)的IP。避免訪問服務器繞到外網(wǎng)又繞回來。
    3）防火墻對外網(wǎng)訪問DMZ區(qū)及內網(wǎng)做嚴格的限制，只開放相應服務端口及IP。
    4)對BT等P2P做流量限制，在辦公時間，限制在10%，在非辦公時間限制在60%。
    5）企業(yè)網(wǎng)絡管理員還要考慮做上網(wǎng)行為管理，最好做成旁路監(jiān)控，不用做成網(wǎng)關，否則會對網(wǎng)絡性能產生很大的影響。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡管理者最易犯的十大低級錯誤

◆網(wǎng)絡管理基礎知識：網(wǎng)路管理模式

◆學習高效網(wǎng)絡管理技巧三招五式

◆IT運維管理專區(qū)