思科4503交换机和防火墙

引用:                                                                                                                                作者: tangjie                                                                                                                                                                                                        资金敏感的话，先不要考虑动核心和防火墙，你的主要问题是网络慢吗？我建议还是先优化一下网络。
; S( W; W9 ^* a! R全盘否定掉前任的做法不是好方法，你知道还有哪些前任的关系网？
专线前面用路由器最合适。
另外，可以考虑使用上网行为管理设备，管理平时一些上网的流量，避免异常流量或者下载流量造成网络资源占用过大。
希望对你有帮助。                                                                                                                谢谢朋友, 我现在的想法, 想把原专线防火墙改到外部internet前, 我也只好这样了. 几十万不知道花在什么地方了. 正因为前面的几十万已经花下了, 所以以后不会再给几十万了, 哎. 我看看吧, 网络是不慢, 主要不合理, 核心华为的, 一款看上去也就2层的交换机, 下面是TP-link的傻交换机, 一个近10W的防火墙,还是专线的, DHCP还是防火墙做的,你说, 这样的东西, 几十万????
% c$ @! Z3 p2 |6 U: s- M哎, 真绝望了.

300个点.就用4503 吗.蛋疼了吧.你们这300个点.有无盘网吧300个点的数据量大吗.人家也才锐捷5600系列啊.那还是浪费的..25000一台.纯属浪费..
* _$ i, H' H1 L# H$ ~9 y! S& }
. T; d% x" n1 S& o, W$ D300个点.只是上网的话.搞好vlan 和隔离...普通2000块也搞定了啊

我们数据机房 4507+4515引擎.带了8个G 流量.你这才多少.

别说cisco 3700 就是 tp-link 全千兆都浪费

我公司用的就是4503 用了11年了，目前有900台电脑通过它转发数据。不过你的防火墙应该淘汰，PIX525比较老了，更换一台SONICWALL 防火墙，我公司用的就是SONICWALL 5060，配置起来非常简单，比较容易操作。

PIX的确是被列入淘汰的行列了，思科本身也用asa去淘汰PIX，不过我觉得防火墙还是用juniper的SSG用起来很舒服，各种功能也差不多，我用asa的感觉不如SSG，从访问记录的显示上，SSG很容易可以做，可以看，可以保存，ASA怎么都做不好，VPN站点，SSG支持隧道接口方式，很容易引入路由，ASA或者说思科的都没这个东西，但SSG没有SSL-VPN，juniper是通过一个专门的硬件来做这事；VPN隧道排除NAT，SSG更本就没出现过这个问题，ASA至今也不能解决已经建立过NAT的连接，修改配置之后，无法立即生效，需要等NAT的session超时才行；还有icmp的处理，ASA真的很糟糕，一样的配置，结果很有可能都不一样。SONICWALL似乎差一个等级。

没事整防火墙干什么.4503的acl足够用了.pix 能满载100M 都困难..

0 c1 g5 M- I* J0 S防火墙鸟用? 给我说个防火墙的作用来?
* R; T7 J8 z& d1 G1 ~
' G. v1 [5 Y0 }1 _/ _7 R怎么老有人在这讨论防火墙.搞的跟真的似的.
) o7 M( H" w- Y  l& i. X
防火墙能干什么? 检测你下载的文件是否带毒? 防ddos ? 还是能检测黑客的连接是否正常连接??

屏蔽ip ? 封ip段?     这不都是交换机都可以完成的.亏买的还是 4500系列.蛋疼.没事加个防火墙赚钱+增加故障率
% ^/ L4 e# q% m2 `1 \, O
2 k/ S8 l$ h4 N1 S特别让我纠结的是专线还架防火墙.....

, z3 c( z8 k6 f$ N" Z防火墙只需要架在公众网络上.专线你只需要加密.而不是防火墙!!!
% Z$ Q6 z0 K: t6 {* S$ T+ j
你有钱买防火墙不如花点钱买个好的NAT设备.只要一NAT 屁也进不来.里面该中毒的机器照样中毒.还看黄色网站照样看.你要担心内部中毒把骨干拖垮掉..应该把钱花在汇聚层上.灵活的汇聚才是保障核心的硬道理
: [0 `. |8 D6 N; D. z% G
任何防火墙都没有能力检测内部300机器下载和传输是否带毒.是否违规操作...

' C" p( q9 V( @4 L" X8 l/ x
6 K! k6 @# M% ?9 m300个节点, 我记得4503的背板是64G, 如果都按照100Mbps算的话, 300个节点算, 应该理论上是60Gbps 照你这算法。电信公司还不倒闭.............
0 u$ z3 D% X7 u3 l
10万宽带用户。不是要买 200G的设备了.......  200G还只是跑满的。实际要400G  一个县级市有个十万宽带很正常...
0 Y6 `- s' ^% g1 n
9 E% J9 g; j4 D3 G# ~* H200G 需要200个1G口......... 20个10G口  
5 @8 ^+ j1 w# U* F+ ?
* N9 X$ S  A4 d& |- |现在那个县级市有200G出口 ??

  k% i- S+ d) y' h. z+ j300X100M 跑满是何其壮观了.......... 连数据中心都比不上你的流量了....

# x) s% Q  _' J# w- j. C9 v你三百台机器。你只需要按300台电脑的网吧爆满的时候的流量配置就行了

真是 收益 匪浅

过来看看的,感谢攻城狮论坛

路过,学习下,感谢攻城狮论坛

谢谢楼主，共同发展