思科4503交换机和防火墙

引用:                                                                                                                                作者: tangjie                                                                                                                                                                                                        资金敏感的话，先不要考虑动核心和防火墙，你的主要问题是网络慢吗？我建议还是先优化一下网络。
全盘否定掉前任的做法不是好方法，你知道还有哪些前任的关系网？
专线前面用路由器最合适。
另外，可以考虑使用上网行为管理设备，管理平时一些上网的流量，避免异常流量或者下载流量造成网络资源占用过大。
希望对你有帮助。                                                                                                                谢谢朋友, 我现在的想法, 想把原专线防火墙改到外部internet前, 我也只好这样了. 几十万不知道花在什么地方了. 正因为前面的几十万已经花下了, 所以以后不会再给几十万了, 哎. 我看看吧, 网络是不慢, 主要不合理, 核心华为的, 一款看上去也就2层的交换机, 下面是TP-link的傻交换机, 一个近10W的防火墙,还是专线的, DHCP还是防火墙做的,你说, 这样的东西, 几十万????
哎, 真绝望了.

300个点.就用4503 吗.蛋疼了吧.你们这300个点.有无盘网吧300个点的数据量大吗.人家也才锐捷5600系列啊.那还是浪费的..25000一台.纯属浪费..
# q  z: {* N5 H; V4 P
300个点.只是上网的话.搞好vlan 和隔离...普通2000块也搞定了啊

我们数据机房 4507+4515引擎.带了8个G 流量.你这才多少.
# Z! D- Z1 o8 o
( t9 D8 c8 _) e) B) f别说cisco 3700 就是 tp-link 全千兆都浪费

我公司用的就是4503 用了11年了，目前有900台电脑通过它转发数据。不过你的防火墙应该淘汰，PIX525比较老了，更换一台SONICWALL 防火墙，我公司用的就是SONICWALL 5060，配置起来非常简单，比较容易操作。

PIX的确是被列入淘汰的行列了，思科本身也用asa去淘汰PIX，不过我觉得防火墙还是用juniper的SSG用起来很舒服，各种功能也差不多，我用asa的感觉不如SSG，从访问记录的显示上，SSG很容易可以做，可以看，可以保存，ASA怎么都做不好，VPN站点，SSG支持隧道接口方式，很容易引入路由，ASA或者说思科的都没这个东西，但SSG没有SSL-VPN，juniper是通过一个专门的硬件来做这事；VPN隧道排除NAT，SSG更本就没出现过这个问题，ASA至今也不能解决已经建立过NAT的连接，修改配置之后，无法立即生效，需要等NAT的session超时才行；还有icmp的处理，ASA真的很糟糕，一样的配置，结果很有可能都不一样。SONICWALL似乎差一个等级。

没事整防火墙干什么.4503的acl足够用了.pix 能满载100M 都困难..

# W" Z- f, G7 @/ h* h  l  b2 D防火墙鸟用? 给我说个防火墙的作用来?

怎么老有人在这讨论防火墙.搞的跟真的似的.

) M0 s  M. ]6 S) C' N& l防火墙能干什么? 检测你下载的文件是否带毒? 防ddos ? 还是能检测黑客的连接是否正常连接??

屏蔽ip ? 封ip段?     这不都是交换机都可以完成的.亏买的还是 4500系列.蛋疼.没事加个防火墙赚钱+增加故障率
% j: P* B; K$ T' p: I- q' g7 }7 K4 N3 A
特别让我纠结的是专线还架防火墙.....
5 w8 @' C, P6 `2 y
防火墙只需要架在公众网络上.专线你只需要加密.而不是防火墙!!!

1 a8 Y- H/ ^* G: f2 f4 t, k你有钱买防火墙不如花点钱买个好的NAT设备.只要一NAT 屁也进不来.里面该中毒的机器照样中毒.还看黄色网站照样看.你要担心内部中毒把骨干拖垮掉..应该把钱花在汇聚层上.灵活的汇聚才是保障核心的硬道理

任何防火墙都没有能力检测内部300机器下载和传输是否带毒.是否违规操作...
5 ]+ O5 y; v9 ]

300个节点, 我记得4503的背板是64G, 如果都按照100Mbps算的话, 300个节点算, 应该理论上是60Gbps 照你这算法。电信公司还不倒闭.............
( g& X: Q! J- \% X$ S
7 P: ~" k' T5 X; d3 y) v' ^& k10万宽带用户。不是要买 200G的设备了.......  200G还只是跑满的。实际要400G  一个县级市有个十万宽带很正常...
1 O) [9 j! K/ w1 l2 V
8 ]" ^' b3 x0 u& |+ i0 I6 B200G 需要200个1G口......... 20个10G口  

5 V+ l8 \- P( V7 Q3 M现在那个县级市有200G出口 ??

' a  M  @  B" P0 V& i# Y3 a1 x( W300X100M 跑满是何其壮观了.......... 连数据中心都比不上你的流量了....
" _+ B. g. S5 \
你三百台机器。你只需要按300台电脑的网吧爆满的时候的流量配置就行了

真是 收益 匪浅

过来看看的,感谢攻城狮论坛

路过,学习下,感谢攻城狮论坛

谢谢楼主，共同发展