公司正在考虑用新设备升级他们的网络,同时,我想设计它以使其更安全、更快速等。
Agg 交换机将与每台核心交换机建立 1 个连接。接入交换机将与每台 Agg 交换机建立 1 个连接。(未显示)。
公司不介意没有多余的路由器/防火墙。如果需要,我们有额外的设备可以替换。
我们有两个 ISP,分别有 5 个可用 IP。我的想法是按以下方式进行设置:
RTR/FW IP 200.x.x.1 WAN PORT 1 -> Credit Processing company has their own network that can't connect behind our FW
/
ISP2 -> L3 SWT 1 Core Switch 1 -> Agg Switch -> Access Switch
\ /
\ /
= RTR/FW (Dual WAN) IP 100.x.x.1 =
/ \
ISP1 -> L3 SWT 2 \ Core Switch 2 -> Agg Switch -> Access Switch
\
\ RTR/FW IP 200.x.x.1 WAN PORT 2-> Credit Processing....
有什么想法吗?
答案1
您绝对可以实现一定程度的安全性、冗余性和快速的网络。
- 确保您的路由器支持 WAN 故障转移/负载平衡和负载共享。负载平衡将确保在任何 ISP 发生故障时至少有 WAN 可用。负载共享可确保您可以同时使用两个 ISP。
- 正如您所说的,您从两个 ISP 获得了五个可用的 IP,因此您可以选择是否使用这些 IP 地址作为 WAN,或者您可以要求您的 ISP 提供单独的 WAN。
- 在核心交换机和 Agg 交换机之间使用 HSRP,这非常容易配置 - 如果不可用,那么您也可以尝试使用 STP 实现冗余。
- 在核心交换机级别使用集群。它们还为 Agg 交换机提供交叉连接。
- 始终确保中继端口的吞吐量高于接入端口。您可以在接入交换机端口级别检查端口上行/下行限制功能。
- 在接入交换机端口级别应用风暴控制功能。
- 使用 VLAN 将您的网络划分为适用于不同部门/楼层级别的多个子网。
- 在防火墙级别应用强大的 NAT 策略。
- 检查支持 UTM 功能的防火墙,例如 - 网站过滤、防病毒、各种级别的过滤器。
还有很多其他的,这都取决于设备提供的功能集。