网络管理之超大型公司的网络如何管理

如果一个单位大概有3万用户在使用网络，那么合理的规划以及硬件的配置都非常的重要。

首先网络拓扑规划上主要有这么几个方面：

一、物理层：

1）对于各楼层接入交换机与核心之间应采用汇聚设备进行连接，汇聚设备应与核心做好双链路单模光纤冗余，既可以支持负载均衡也可以起到互为备份的目的。

2）核心设备采用双10万M核心交换机，进行数据交换。

3)对于数据中心服务器应划分出DMZ区，将内网访问与外网访问分离开来，保证数据安全。

二、数据链路层

1）对于大型的网络各个楼层或部门应采用VLAN进行划分，这样可以有效地限制广播包的发送范围，防止广播风暴。

2）最好不要启动STP协议，生成树协议对交换机转发报文速率影响较大，收敛慢，但如果存在冗余的交换机最好手工封闭端口。避免形成环路。

3)接入交换机对办公区域计算机可采用WEB认证方式。对其它区域采用802.1X协议进行用户认证。由于这两种认证方式，只是对当前交换机的端口进行互联网访问进行了验证，绑定MAC地址，因此比PPPoE形成逻辑数据链路交换数据包较快。

4)在端口上设置并绑定网关MAC地址，避免ARP攻击，阻止非网关端口发送ARP包。

三、网络层

1）对于各个VLAN之间通讯，一般使用OSPF动态路由，划分路由区域。

2)对外网访问设置访问控制列表，并启用策略路由，将访问电信IP的数据包发往电信光纤，访问网通的数据包发往网通的光纤。

3）设置NAT的数量，每个外网IP不超过800NAT。

四、应用层

1）单独设置DHCP,DNS服务器。

2）DNS服务器最好架设两台，一台负责外网访问解析，将外网访问服务器IP解析为外网IP，另一台负责内网IP解析，将内网访问服务器解析为内网的IP。避免访问服务器绕到外网又绕回来。

3）防火墙对外网访问DMZ区及内网做严格的限制，只开放相应服务端口及IP。

4)对BT等P2P做流量限制，在办公时间，限制在10%，在非办公时间限制在60%。

5）做上网行为管理，最好做成旁路监控，不用做成网关，否则会对网络性能产生很大的影响。

以上是我的一点小小的经验。烦请笑纳。欢迎讨论
本文出自 “逆水行舟不进则退-敏少” 博客，请务必保留此出处http://minshao.blog.51cto.com/2152239/634951