探析校園網設計之解決方案

麻煩大家幫我看看我的校園網設計方案設計的有沒有什麼漏洞，或是好的改進，大家一起交流~
         學校有2個公網C類地址（計算機愛好者，學習計算機基礎，電腦入門，請到本站http://www.woaidiannao.com，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用），（計算機基礎知識http://www.woaidiannao.com），一共600左右主機。考慮到以後擴展，8個vlan這樣設計：辦公室200節點、教室150節點、電子閱覽室100節點、專業部50節點、機房1，機房2，機房3，機房4，各80個節點。
以下是我設計的兩個方案，核心交換機用什麼向大家請教
設備描述：學校准備買20個3560交換機做接入，一個核心層交換機，一個路由器，一個硬件防火牆。不過我覺得這樣太浪費錢，好刀應該用在刀刃上，於是有了方案2.核心交換機類型，上外網使用nat還是代理服務器還都在討論中，希望大家給點意見。感激不盡！！

方案二中2個核心交換機，8個3560交換機，其它交換機均為分線用傻瓜交換機，在這裡用cisco2層交換機圖標代替了

可以實現的功能都是一下幾個：
1.快速交換，基於CEF的硬件交換
2.劃分vlan ，vlan間使用三層交換通信。
3.ip源防護，snooping，防止每個三層接口的欺騙攻擊，ip地址非授權更改，ARP病毒，泛洪攻擊。（設備CPU消耗高）
4.QOS服務質量，定制優先級隊列，定制http流量最優，ftp流量最差。
5.交換機間連接使用channel捆綁增加交換帶寬。
6.vlan間路由啟用EIGRP路由協議
7.由互聯網控制網關提供嚴格的上網行為控制
8.核心交換機上啟用DHCP功能自動分配IP
9.AAA授權，審計，認證
10.HSRP熱冗余備份
11.PVST，vlan間負載均衡
方案二比方案一節省12個3560接入層交換機。

解答方案一

拓撲結構沒有問題，我沒仔細看你那段對話，假使你是1000個客戶端的話，核心不能用3560，要是選思科的話建議用4500系列。接入層交換機如果ACL以及其他業務跑的不多的話，沒有必要把需求建在接入層上，管理麻煩，思路也不清晰。上幾個二層交換機足夠了，比如2960。當然你學校要是就這麼多設備話，拓撲結構沒有問題。但還是建議把需求坐在核心上，你要是上45的話，1000個點性能綽綽有余。

    線路備份問題，教育網速度太慢，如果對網絡穩定有需求的話，建議拉一條電信或者聯通的光纖。通過策略路由控制流量方向。

    另外建議核心需要兩個設備，隨便跑ospf還是靜態還是HSRP都無所謂，起到備份作用就行，實在不行拿個35做冷備，臨時頂一下。設備出故障的可能性不大。

    我的建議就是核心下直接連2960之類，完全能滿足你的需求。你的那些需求可以直接做在核心上，不需要在接入層做。核心用45性能足夠。

    外網連ASA吧，PIX畢竟是老產品，下面隨便連個3XXX的路由都沒問題。

你的問題：

1.快速交換，基於CEF的硬件交換
（這個主要看設備是否支持，3560支持，但是用在你這個核心上怕1000個點以後也不好擴展，性能限制）
2.劃分vlan ，vlan間使用三層交換通信。
（為了管理方便的話，trunk足矣，當然路由也可以就是你管理起來麻煩些）
3.ip源防護，snooping，防止每個三層接口的欺騙攻擊，ip地址非授權更改，ARP病毒，泛洪攻擊。（設備CPU消耗高）（這個東西很多事做在計算機系統本身，網絡設備只能起到一部分作用）
4.QOS服務質量，定制優先級隊列，定制http流量最優，ftp流量最差。
（也可以不做，畢竟QOS對性能要求不低，建議只需要用ACL把不必要的IP和端口封掉，就可以解決BT，在線視頻等耗費網絡流量的問題）
5.交換機間連接使用channel捆綁增加交換帶寬。
（現在網絡一般都是星形結構，不存在這個問題，一個接入上面都有幾個千兆的上連口足夠用）
6.vlan間路由啟用EIGRP路由協議
（你的網絡不大，最好不用這個協議還是思科獨有的，用trunk，在核心啟用靜態路由連外網最方便。用的話也是單區域OSPF，以後你網絡擴展也方便，復雜的協議不都是適用於所有網絡，排錯起來你會很痛苦）
7.由互聯網控制網關提供嚴格的上網行為控制
（ACL可以實現，這個需要做在核心而不是路由或者防火牆，後兩者起到的作用是傾向於外部接入而不是內部）
8.核心交換機上啟用DHCP功能自動分配IP
（可以實現，不過說實話靜態IP的故障率更低一些）
9.AAA授權，審計，認證
（可以，但是實際來說說實話要是網管不多，或者離職率不高的話這個東西用途不是很大）
10.HSRP熱冗余備份
（核心有兩台以上的話可以做）
11.PVST，vlan間負載均衡
（生成樹之類的默認就有）

快下班了先寫這些吧，有什麼問題再討論
可能有些東西把你的東西變簡單了，但這是我站在企業應用的角度考慮的，不求技術用的最多，但求最實用





解決方案二 

一高中用3560做接入還真是有錢哦。估計是被代理商忽悠了吧 雖然來晚了當我也給點意見吧：
1、從網絡的安全、可靠、可管理、可擴展性來講方案二優於方案一
2、設備選型方面的話，3560已經買了也不好怎麼說。但是核心是肯定不能用3560的，強烈建議用思科45系列的做核心，然後核心直接連接3560做接入。至於外網接入的話如果那個路由器還沒買的話建議將買路由器的錢花在買個上網行為管理設備（如深信服的ac5400或是飛魚星的設備等）。直接用防火牆做外網接入已經足夠了。使用了上網行為管理設備你完全可以將QOS的策略做在上網行為管理設備上面而且延遲小管理方面。
3、如果要做dhcp、aaa認證的話最好用一台專門的pc做服務器。核心45只是用了快速轉發數據盡量不要在上面配置任何策略。
4、路由協議的話就你現在了網絡規模來看最好是用靜態，因為你現在網絡規模不算太大手動寫的路由條目也不會太多，而且靜態不管怎麼說還是比動態要穩定不容易出錯。如果你硬要使用動態路由的話我建議你用ospf，因為eigrp是思科私有協議如果學校以後在網絡擴展的時候使用非思科的設備的話會很麻煩的。
5、從安全、轉發性能上說外網方式使用NAT要優與使用代理服務器，而且使用代理服務器話萬一服務器pc中病毒就麻煩了。

探析校園網設計之解決方案.