思科4503交换机和防火墙

引用:                                                                                                                                作者: tangjie                                                                                                                                                                                                        资金敏感的话，先不要考虑动核心和防火墙，你的主要问题是网络慢吗？我建议还是先优化一下网络。
全盘否定掉前任的做法不是好方法，你知道还有哪些前任的关系网？
. k' d* G/ U4 K7 U. S# S  U专线前面用路由器最合适。
1 a! h7 [) _3 y1 g$ O9 _, Y0 O另外，可以考虑使用上网行为管理设备，管理平时一些上网的流量，避免异常流量或者下载流量造成网络资源占用过大。
希望对你有帮助。                                                                                                                谢谢朋友, 我现在的想法, 想把原专线防火墙改到外部internet前, 我也只好这样了. 几十万不知道花在什么地方了. 正因为前面的几十万已经花下了, 所以以后不会再给几十万了, 哎. 我看看吧, 网络是不慢, 主要不合理, 核心华为的, 一款看上去也就2层的交换机, 下面是TP-link的傻交换机, 一个近10W的防火墙,还是专线的, DHCP还是防火墙做的,你说, 这样的东西, 几十万????
哎, 真绝望了.

300个点.就用4503 吗.蛋疼了吧.你们这300个点.有无盘网吧300个点的数据量大吗.人家也才锐捷5600系列啊.那还是浪费的..25000一台.纯属浪费..

( g$ H; l2 E; ~% y" r- `300个点.只是上网的话.搞好vlan 和隔离...普通2000块也搞定了啊

我们数据机房 4507+4515引擎.带了8个G 流量.你这才多少.
% u2 C/ Y1 h9 X2 K0 f; {5 y% n' J
别说cisco 3700 就是 tp-link 全千兆都浪费

我公司用的就是4503 用了11年了，目前有900台电脑通过它转发数据。不过你的防火墙应该淘汰，PIX525比较老了，更换一台SONICWALL 防火墙，我公司用的就是SONICWALL 5060，配置起来非常简单，比较容易操作。

PIX的确是被列入淘汰的行列了，思科本身也用asa去淘汰PIX，不过我觉得防火墙还是用juniper的SSG用起来很舒服，各种功能也差不多，我用asa的感觉不如SSG，从访问记录的显示上，SSG很容易可以做，可以看，可以保存，ASA怎么都做不好，VPN站点，SSG支持隧道接口方式，很容易引入路由，ASA或者说思科的都没这个东西，但SSG没有SSL-VPN，juniper是通过一个专门的硬件来做这事；VPN隧道排除NAT，SSG更本就没出现过这个问题，ASA至今也不能解决已经建立过NAT的连接，修改配置之后，无法立即生效，需要等NAT的session超时才行；还有icmp的处理，ASA真的很糟糕，一样的配置，结果很有可能都不一样。SONICWALL似乎差一个等级。

没事整防火墙干什么.4503的acl足够用了.pix 能满载100M 都困难..
- I' @2 B9 f( Y, q$ j/ s+ }, B$ d
防火墙鸟用? 给我说个防火墙的作用来?
8 _9 N/ e) q. G0 |" l$ U; C
1 U& o7 z: t5 }怎么老有人在这讨论防火墙.搞的跟真的似的.

防火墙能干什么? 检测你下载的文件是否带毒? 防ddos ? 还是能检测黑客的连接是否正常连接??
2 @, z& {: D9 @
6 n, p% H; ~! W/ G8 Q屏蔽ip ? 封ip段?     这不都是交换机都可以完成的.亏买的还是 4500系列.蛋疼.没事加个防火墙赚钱+增加故障率

特别让我纠结的是专线还架防火墙.....
0 u/ J4 r  [6 A  Q9 g
; D! Z0 i2 `* B# I" T% [防火墙只需要架在公众网络上.专线你只需要加密.而不是防火墙!!!
3 Z6 K* g( `% c1 v5 V# t7 O
( p! t& m- c/ I" D你有钱买防火墙不如花点钱买个好的NAT设备.只要一NAT 屁也进不来.里面该中毒的机器照样中毒.还看黄色网站照样看.你要担心内部中毒把骨干拖垮掉..应该把钱花在汇聚层上.灵活的汇聚才是保障核心的硬道理

任何防火墙都没有能力检测内部300机器下载和传输是否带毒.是否违规操作...
* T0 ~, Y5 q# N

3 k/ D& a6 c) q: q300个节点, 我记得4503的背板是64G, 如果都按照100Mbps算的话, 300个节点算, 应该理论上是60Gbps 照你这算法。电信公司还不倒闭.............

, Z9 I( W) }( G10万宽带用户。不是要买 200G的设备了.......  200G还只是跑满的。实际要400G  一个县级市有个十万宽带很正常...
( Z. o& @$ W  Q  t3 {( @
  y8 M& U3 O8 W; O! l200G 需要200个1G口......... 20个10G口  
3 D2 o8 N  a" b
现在那个县级市有200G出口 ??

300X100M 跑满是何其壮观了.......... 连数据中心都比不上你的流量了....

( }9 d# C0 v; y, h  e' ^4 A+ Q你三百台机器。你只需要按300台电脑的网吧爆满的时候的流量配置就行了

真是 收益 匪浅

过来看看的,感谢攻城狮论坛

路过,学习下,感谢攻城狮论坛

谢谢楼主，共同发展