ad网络组建.doc

星期天去了东莞，上午，去市场大半天，11：30才去上课，课程已经讲到BGP的基本配置了，下午讲了一节高级BGP配置，讲到路由汇总，讲完后大家做实验，由于之前做过此类实验，所以难度不大昨天下午请假了，去了虎门的一个朋友那，他那边局域网环境，有400台PC，目前全部是工作组环境，没有划分VLAN，目前只是使用/24和/24的IP地址段，内部有ERP系统，内部没有mail服务器，目前是租用mail服务器，没有布置WSUS服务器、全部杀毒软件是使用单机版的，没有控制中心，所有交换机都是不可网管的，更有“意思”的是，里面没有使用防火墙，全网使用一台windows2003接入专线，使用固定IP，通过NAT转换进行上网，并通过一台网管机进行上网记录的监控。因我提出如下意见：我个人觉得当务之急应该先把AD建立起来，因为企业网内有很多服务是基于AD来布署的，并充分利用组策略，然后再考虑使用布署mail server,wsus server,因电脑较多，还建议划分vlan,减少单个广播域的数据量，避免广播风暴，但这个比较难实现，因为要看当初是如何布线的，如果布线不合理，很难是划分VLAN，因为不太现实（工程量太大）后来hai1130发出评论：400台电脑在两个网段，全可上网，我实在不可想像这样的网络有什么稳定性和安全性可言，我觉得首要问题不是上AD，而是网络要先用三层交换机（现在也不贵了）按部门隔开,并布署网络版杀毒软件,即先要保证网络的稳定性。先前他们上AD，为什么会慢呢，很可能是因为网络有病毒在阻碍交通。这样的网络，如果上AD，AD down机的可能性很大，AD一旦Down的话，整个域网络的电脑都会变得很慢很慢，这样的局面不可想像的，而且在网络没有切开前，你也无法规划AD架构，AD的架设不是说想架就架的，到时改得话工作会很大的。至于你说的网络布线问题，我想只要每个信息点原来有线的话，应该没什么问题吧！请仁兄三思而后行！一个拓扑图：以下是构想方案：1.核心交换机采用cisco 3750系列，24口全部支持10/100/1000mbps，或使用同类档次的产品（华为）2.接入层采用cisco 2960系列交换机，有两个1000Mbps端口，主干网采用千兆网，中心交换机与接入交换机同时连接两条线，启用STP，防止单点连接失败。PS：不过这里这样设计不太现实，因为一般公司不会一下子购买10台2950的交换机，毕竟成本不低，也可以使用不可网管的交换机，但普通交换机无法启用STP，不能同时接入两条线，其中一条线用作备用，而且该公司现有的交换机也不支持1000Mbps.3.按部门划分VLAN，服务器群放入DMZ区，或者将服务器群单独放入一个VLAN；4.防火墙采用ISA SERVER 2004（2006），控制上网、发布服务器，作为网关。5.会议室启用无线网络，同时也布置有线，接入交换机采用不可网管的即可，并也企业内部网完全隔离。6.服务器全部采用千兆网卡，提高网络性能。hai1130回复：LING 图画得不错。我的意见如下：1. 你的DMZ区不能接在Cisco核心交换机上（这样发布服务器会有问题），你应该接在ISA2004（三块网卡）防火墙上。2. 如果你的预算很紧的话，你的接入层交换机没有必要上Cisco，一般的二层交换就可以了（TP-link), 所有Vlan在你的核心交换机（3750）上划分，然后如果有必要的话就起Vlan间路由。3. 把你核心交换机上连ISA2004的那个端口改为三层模式（ no switchport），然后设ip地址，再添加一条默认路由指向ISA2004的内网卡地址。4. 还需在ISA2004上添加一条到所有想让上网的Vlan路由。（目的是使外网回来的数据包能被路由回相应VLAN内）5. 你会议室的无线网络是单独走一条出路（不通过ISA2004）你怎么控制那区域的网络用户？6. 最好用两台服务器建一个ISA2004的阵列，这样你的处理能力和冗余都解决了，具体参考/bbs/uploads/8/post-2054-1155871691.jpg（ISA2004的具体设置问题，你可以去Microsoft Technet下载ISA2004 终极打靶教程。我的回复：非常感谢hai1130的热情、积极回复，就此作以下回复：1.其实我开始时是将服务器群放在一个VLAN，按理说，这样发布服务应该不会有什么问题；个人认为，在这里DMZ意义不大；2.我的设想是这样的，所有服务器使用GB网，所以，如果通过核心交换机接入服务器群的话，核心交换机下面还要连接一个所有端口支持GB的交换机才能实现要求；3.这里还不是很清楚，概念有些模糊，没有实践过，风间子也有文章提到过类似案例，还要实际体验：/info/info.php?sessid=&infoid=1454.实际环境中，每个VLAN都会有个别用户需要上网，而且还有部分用户要对外收发mail，所以要开通25/110，因此，需要在ISA SERVER上添加到各个VLAN的路由。5.会议室的初步设想是这样的：因为在会议室使用电脑的用户大都是临时用户，且大部分都是客户、客人来访，所以个人认为，在这一块没有必要去控制，这里最重要的是实现方便接入internet，因此启用Wireless+DHCP，使用客人可以快速接入internet，目前我所在公司的会议室就是这样做的。6.主要目前是一条专线接入，如果是两条专线的话，是必须布置两台，所以这要看公司的服务器是否有足够多。小斌斌提出如下建议：四百台电脑，我觉得分三个网段左右就够了，没必要非要按部门来划分。这样你的内部路由器或者ISA就不用用十几个接口/网卡这么恐怖了。还有，你的DC应该放在内网，比DMZ区域相对安全。或者可以这样，DC，内部服务器可以放在一个网段内，财务及研发等部门再放另一个网段，其它再分在第三个网段。我