资深企业网络管理员讲解网络拓扑规划图

作为企业网络管理员的你是否考虑过这个问题：如果一个单位大概有3万用户在使用网络，那么该如何合理的规划以及硬件的配置？想必每个企业网络管理员都会想到网络拓扑规划图，对，做好网络拓扑规划图是重中之重，关于如何设计网络规划图，一个从事多年的企业网络管理员提出了这么几个主要的方面：
    一、物理层：
    1）对于各楼层接入交换机与核心之间应采用汇聚设备进行连接，汇聚设备应与核心做好双链路单模光纤冗余，既可以支持负载均衡也可以起到互为备份的目的。
    2）核心设备采用双10万M核心交换机，进行数据交换。
    3)企业网络管理员必须对于数据中心服务器应划分出DMZ区，将内网访问与外网访问分离开来，保证数据安全。
    二、数据链路层
    1）对于大型的网络各个楼层或部门应采用VLAN进行划分，这样可以有效地限制广播包的发送范围，防止广播风暴。
    2）最好不要启动STP协议，生成树协议对交换机转发报文速率影响较大，收敛慢，但如果存在冗余的交换机最好手工封闭端口。避免形成环路。
    3)接入交换机对办公区域计算机可采用WEB认证方式。对其它区域采用802.1X协议进行用户认证。资深企业网络管理员表示：由于这两种认证方式，只是对当前交换机的端口进行互联网访问进行了验证，绑定MAC地址，因此比PPPoE形成逻辑数据链路交换数据包较快。
    4)在端口上设置并绑定网关MAC地址，避免ARP攻击，阻止非网关端口发送ARP包。
    三、网络层
    1）专业的企业网络管理员对于各个VLAN之间通讯，一般使用OSPF动态路由，划分路由区域。
    2)对外网访问设置访问控制列表，并启用策略路由，将访问电信IP的数据包发往电信光纤，访问网通的数据包发往网通的光纤。
    3）设置NAT的数量，每个外网IP不超过800NAT。
    四、应用层
    1）单独设置DHCP,DNS服务器。
    2）DNS服务器最好架设两台，一台负责外网访问解析，将外网访问服务器IP解析为外网IP，另一台负责内网IP解析，将内网访问服务器解析为内网的IP。避免访问服务器绕到外网又绕回来。
    3）防火墙对外网访问DMZ区及内网做严格的限制，只开放相应服务端口及IP。
    4)对BT等P2P做流量限制，在办公时间，限制在10%，在非办公时间限制在60%。
    5）企业网络管理员还要考虑做上网行为管理，最好做成旁路监控，不用做成网关，否则会对网络性能产生很大的影响。

【编辑推荐】

◆网管软件专区

◆网络管理者最易犯的十大低级错误

◆网络管理基础知识：网路管理模式

◆学习高效网络管理技巧三招五式

◆IT运维管理专区