思科4503交换机和防火墙

引用:                                                                                                                                作者: tangjie                                                                                                                                                                                                        资金敏感的话，先不要考虑动核心和防火墙，你的主要问题是网络慢吗？我建议还是先优化一下网络。
; x/ N( a1 g3 t6 W全盘否定掉前任的做法不是好方法，你知道还有哪些前任的关系网？
专线前面用路由器最合适。
另外，可以考虑使用上网行为管理设备，管理平时一些上网的流量，避免异常流量或者下载流量造成网络资源占用过大。
希望对你有帮助。                                                                                                                谢谢朋友, 我现在的想法, 想把原专线防火墙改到外部internet前, 我也只好这样了. 几十万不知道花在什么地方了. 正因为前面的几十万已经花下了, 所以以后不会再给几十万了, 哎. 我看看吧, 网络是不慢, 主要不合理, 核心华为的, 一款看上去也就2层的交换机, 下面是TP-link的傻交换机, 一个近10W的防火墙,还是专线的, DHCP还是防火墙做的,你说, 这样的东西, 几十万????
哎, 真绝望了.

300个点.就用4503 吗.蛋疼了吧.你们这300个点.有无盘网吧300个点的数据量大吗.人家也才锐捷5600系列啊.那还是浪费的..25000一台.纯属浪费..
  O8 v( H: ^9 }2 F, `% @9 f" s6 ]
5 @+ ?% H% o) `/ h% |- R4 a300个点.只是上网的话.搞好vlan 和隔离...普通2000块也搞定了啊

我们数据机房 4507+4515引擎.带了8个G 流量.你这才多少.

别说cisco 3700 就是 tp-link 全千兆都浪费

我公司用的就是4503 用了11年了，目前有900台电脑通过它转发数据。不过你的防火墙应该淘汰，PIX525比较老了，更换一台SONICWALL 防火墙，我公司用的就是SONICWALL 5060，配置起来非常简单，比较容易操作。

PIX的确是被列入淘汰的行列了，思科本身也用asa去淘汰PIX，不过我觉得防火墙还是用juniper的SSG用起来很舒服，各种功能也差不多，我用asa的感觉不如SSG，从访问记录的显示上，SSG很容易可以做，可以看，可以保存，ASA怎么都做不好，VPN站点，SSG支持隧道接口方式，很容易引入路由，ASA或者说思科的都没这个东西，但SSG没有SSL-VPN，juniper是通过一个专门的硬件来做这事；VPN隧道排除NAT，SSG更本就没出现过这个问题，ASA至今也不能解决已经建立过NAT的连接，修改配置之后，无法立即生效，需要等NAT的session超时才行；还有icmp的处理，ASA真的很糟糕，一样的配置，结果很有可能都不一样。SONICWALL似乎差一个等级。

没事整防火墙干什么.4503的acl足够用了.pix 能满载100M 都困难..
' W7 _" I6 Q2 a! P/ W+ j. s. b
防火墙鸟用? 给我说个防火墙的作用来?
! _6 n7 b- f3 P2 `+ D( U
8 I3 A+ `: o/ r1 f怎么老有人在这讨论防火墙.搞的跟真的似的.

1 g: ^) x) Y. k防火墙能干什么? 检测你下载的文件是否带毒? 防ddos ? 还是能检测黑客的连接是否正常连接??

屏蔽ip ? 封ip段?     这不都是交换机都可以完成的.亏买的还是 4500系列.蛋疼.没事加个防火墙赚钱+增加故障率
' A/ m% h- _0 u4 ^( \2 }& s" S
特别让我纠结的是专线还架防火墙.....

防火墙只需要架在公众网络上.专线你只需要加密.而不是防火墙!!!

$ `7 u9 f7 }% F, O' `你有钱买防火墙不如花点钱买个好的NAT设备.只要一NAT 屁也进不来.里面该中毒的机器照样中毒.还看黄色网站照样看.你要担心内部中毒把骨干拖垮掉..应该把钱花在汇聚层上.灵活的汇聚才是保障核心的硬道理

任何防火墙都没有能力检测内部300机器下载和传输是否带毒.是否违规操作...

/ e4 M$ p& M; N4 r
0 H) Y' x* z5 C300个节点, 我记得4503的背板是64G, 如果都按照100Mbps算的话, 300个节点算, 应该理论上是60Gbps 照你这算法。电信公司还不倒闭.............
# U. P  ?& l+ S( J& X; Y
10万宽带用户。不是要买 200G的设备了.......  200G还只是跑满的。实际要400G  一个县级市有个十万宽带很正常...
  M. O) N& K# v7 Z( \8 K. q; @
6 a) _5 k& M/ b0 T. G5 F. y200G 需要200个1G口......... 20个10G口  
" g& o) v" ?6 ^- Y- N8 h
现在那个县级市有200G出口 ??

# q; \& d$ H" T+ O300X100M 跑满是何其壮观了.......... 连数据中心都比不上你的流量了....

% }) N% K$ _4 S% m$ o5 ^# J' H你三百台机器。你只需要按300台电脑的网吧爆满的时候的流量配置就行了

真是 收益 匪浅

过来看看的,感谢攻城狮论坛

路过,学习下,感谢攻城狮论坛

谢谢楼主，共同发展