loogiajjjh
2021-02-15T16:58:17+00:00
某些场合例如医院、税务等部门都有外网、内网、专网等多个网络并行
那么在接入层用一个48口交换机配置vlan的方法隔离多个网络,以达到交换机复用、灵活变动端口所属网络的目的,不知道这样的方法和多个独立交换机比较在性能、安全性上有没有区别?
搜了好久都没搜到相关解释,特来请教水区老哥。万分感谢!
进阶的一个问题,假设有6个需要隔离的网络,汇聚层48口交换机6上行42下行,其中42下行分配给7个接入层交换机,这样理论上可以在不改变物理拓扑的基础上,随时通过vlan配置接入层交换机6个网络的启用与端口管理。但是理论归理论,不知道实际可行性怎么样。
有些单位是要求物理隔离的。。。为了安全就只能用多个交换机了。
1.性能上没有差别。因为现在交换机基本上性能过剩,接入层根本没有多少流量。前提是你用的不是什么杂牌(比如银河风云、银河风云和银河风云)
安全性这块主要要保证机房的规范管理,不要让用户接触到交换机乱插线导致串网什么的
2.
本质上没有区别,预算多就上独立交换机或者上冗余,偷懒方便管理就上一台
1楼老哥说的比较详细了
我补充一下,接入上连汇聚带宽一定要给够
最好再考虑一下冗余,汇聚最好搞多台,有条件做堆叠,没条件做vrrp/hsrp
如果有用到防火墙,一定要预估好,防火墙单个端口的pps值(不是设备背板pps,一般是背板pps/所有端口总数)和datasheet比较,超了会丢包的
[quote][pid=495467093,25660645,1]Reply[/pid] Post by [uid=699054]sssdfdfdf[/uid] (2021-02-24 01:12):
1.性能上没有差别。因为现在交换机基本上性能过剩,接入层根本没有多少流量。前提是你用的不是什么杂牌(比如银河风云、银河风云和银河风云)
安全性这块主要要保证机房的规范管理,不要让用户接触到交......[/quote]那我就放心了,单位现存一些华三的S3000和S5000系列交换机,大量买新设备不现实,就考虑用现有设备改造一下用,负载也不高,全部就150台终端
[quote][pid=495468134,25660645,1]Reply[/pid] Post by [uid=43173966]无言独上西楼2[/uid] (2021-02-24 01:19):
本质上没有区别,预算多就上独立交换机或者上冗余,偷懒方便管理就上一台[/quote]小单位,没钱又没人,只有我一个运维,就想着这样省事,也方便随时变动
[quote][pid=495468267,25660645,1]Reply[/pid] Post by [uid=1945059]bullseye0718[/uid] (2021-02-24 01:20):
有些单位是要求物理隔离的。。。为了安全就只能用多个交换机了。[/quote]对我们来说逻辑隔离的安全性就够了,复杂了我也弄不过来,真有等保要求就走招标找专门的公司了
[quote][pid=495469061,25660645,1]Reply[/pid] Post by [uid=38202664]亦若涟云[/uid] (2021-02-24 01:26):
小单位,没钱又没人,只有我一个运维,就想着这样省事,也方便随时变动[/quote]小公司的话就上一台吧。备份好配置,妥妥的
划vlan 搞trunk 最省钱的方案,就你一个谁评估你。估计你们公司就你一个懂这个的,放心搞吧。网络安全那都是纸上谈兵,自己骗自己。
[quote][pid=495467093,25660645,1]Reply[/pid] Post by [uid=699054]sssdfdfdf[/uid] (2021-02-24 01:12):
1.性能上没有差别。因为现在交换机基本上性能过剩,接入层根本没有多少流量。前提是你用的不是什么杂牌(比如银河风云、银河风云和银河风云)
安全性这块主要要保证机房的规范管理,不要让用户接触到交......[/quote]2我是这么考虑的,年后大楼要整体装修布线,一共5层楼,每层楼的接入交换机到机房汇聚交换机用12芯单模光纤,就是6条线路。用6条线路的目的是独立网络、冗余线路。接入层不一定是一个交换机,也可能是poe交换机,也可能是某终端直连服务器。机房中也可能是6条线路分别连核心交换机、服务器等。这样的话一条线路配置vlan-trunk就没这么灵活了。
另外你提到的eth-trunk应该就是链路聚合吧,也是启发我了,的确多条线路以后可以这么玩。
汇聚层用2台S53然后起vrrp,省的万一一台死了就全挂了