思科4503交换机和防火墙

引用:                                                                                                                                作者: tangjie                                                                                                                                                                                                        资金敏感的话，先不要考虑动核心和防火墙，你的主要问题是网络慢吗？我建议还是先优化一下网络。
全盘否定掉前任的做法不是好方法，你知道还有哪些前任的关系网？
专线前面用路由器最合适。
& r2 u- j/ }6 d( @另外，可以考虑使用上网行为管理设备，管理平时一些上网的流量，避免异常流量或者下载流量造成网络资源占用过大。
: e! F% M/ n. S% H- k/ R希望对你有帮助。                                                                                                                谢谢朋友, 我现在的想法, 想把原专线防火墙改到外部internet前, 我也只好这样了. 几十万不知道花在什么地方了. 正因为前面的几十万已经花下了, 所以以后不会再给几十万了, 哎. 我看看吧, 网络是不慢, 主要不合理, 核心华为的, 一款看上去也就2层的交换机, 下面是TP-link的傻交换机, 一个近10W的防火墙,还是专线的, DHCP还是防火墙做的,你说, 这样的东西, 几十万????
& F3 F4 ^" `( K' T$ u9 a" y哎, 真绝望了.

300个点.就用4503 吗.蛋疼了吧.你们这300个点.有无盘网吧300个点的数据量大吗.人家也才锐捷5600系列啊.那还是浪费的..25000一台.纯属浪费..
* \: B( D) _3 o2 ~: h7 X
9 N+ a7 U% ~, [( d3 v300个点.只是上网的话.搞好vlan 和隔离...普通2000块也搞定了啊

我们数据机房 4507+4515引擎.带了8个G 流量.你这才多少.

别说cisco 3700 就是 tp-link 全千兆都浪费

我公司用的就是4503 用了11年了，目前有900台电脑通过它转发数据。不过你的防火墙应该淘汰，PIX525比较老了，更换一台SONICWALL 防火墙，我公司用的就是SONICWALL 5060，配置起来非常简单，比较容易操作。

PIX的确是被列入淘汰的行列了，思科本身也用asa去淘汰PIX，不过我觉得防火墙还是用juniper的SSG用起来很舒服，各种功能也差不多，我用asa的感觉不如SSG，从访问记录的显示上，SSG很容易可以做，可以看，可以保存，ASA怎么都做不好，VPN站点，SSG支持隧道接口方式，很容易引入路由，ASA或者说思科的都没这个东西，但SSG没有SSL-VPN，juniper是通过一个专门的硬件来做这事；VPN隧道排除NAT，SSG更本就没出现过这个问题，ASA至今也不能解决已经建立过NAT的连接，修改配置之后，无法立即生效，需要等NAT的session超时才行；还有icmp的处理，ASA真的很糟糕，一样的配置，结果很有可能都不一样。SONICWALL似乎差一个等级。

没事整防火墙干什么.4503的acl足够用了.pix 能满载100M 都困难..

防火墙鸟用? 给我说个防火墙的作用来?

) o8 S9 E, ^) \6 K# `# C怎么老有人在这讨论防火墙.搞的跟真的似的.
6 P7 `$ p4 \  B! }  \# Z1 M
% J. _- I: }$ _8 a防火墙能干什么? 检测你下载的文件是否带毒? 防ddos ? 还是能检测黑客的连接是否正常连接??

屏蔽ip ? 封ip段?     这不都是交换机都可以完成的.亏买的还是 4500系列.蛋疼.没事加个防火墙赚钱+增加故障率

特别让我纠结的是专线还架防火墙.....
3 a/ Q+ N  l3 M: S1 \4 t- I: ^; O
防火墙只需要架在公众网络上.专线你只需要加密.而不是防火墙!!!
! h, V$ y0 [- o8 S/ e
你有钱买防火墙不如花点钱买个好的NAT设备.只要一NAT 屁也进不来.里面该中毒的机器照样中毒.还看黄色网站照样看.你要担心内部中毒把骨干拖垮掉..应该把钱花在汇聚层上.灵活的汇聚才是保障核心的硬道理
7 Y; k) s5 ?: L7 Y% ^
5 C* f( T2 o7 w2 V; g3 H$ `任何防火墙都没有能力检测内部300机器下载和传输是否带毒.是否违规操作...

. S% K" f: C& |5 Y
: j. H# z6 w; h300个节点, 我记得4503的背板是64G, 如果都按照100Mbps算的话, 300个节点算, 应该理论上是60Gbps 照你这算法。电信公司还不倒闭.............

7 g! ~7 w6 Y7 h  M+ {& A" N10万宽带用户。不是要买 200G的设备了.......  200G还只是跑满的。实际要400G  一个县级市有个十万宽带很正常...
' K" Z/ g! n2 S; P. L
200G 需要200个1G口......... 20个10G口  

现在那个县级市有200G出口 ??
. \3 n! A: j2 i  O
& g( r$ r' T9 S8 E+ A300X100M 跑满是何其壮观了.......... 连数据中心都比不上你的流量了....
  l! B7 I0 P( R4 R3 T' {
! E1 N" a: Y& L+ P2 C) ?你三百台机器。你只需要按300台电脑的网吧爆满的时候的流量配置就行了

真是 收益 匪浅

过来看看的,感谢攻城狮论坛

路过,学习下,感谢攻城狮论坛

谢谢楼主，共同发展