ad网络组建.doc

?星期天去了东莞，上午，去市场大半天，11：30才去上课，课程已经讲到BGP的基本配置了，下午讲了一节高级BGP配置，讲到路由汇总，讲完后大家做实验，由于之前做过此类实验，所以难度不大…… ? ????昨天下午请假了，去了虎门的一个朋友那，他那边局域网环境，有400台PC，目前全部是工作组环境，没有划分VLAN，目前只是使用/24和/24的IP地址段，内部有ERP系统，内部没有mail服务器，目前是租用mail服务器，没有布置WSUS服务器、全部杀毒软件是使用单机版的，没有控制中心，所有交换机都是不可网管的，更有“意思”的是，里面没有使用防火墙，全网使用一台windows2003接入专线，使用固定IP，通过NAT转换进行上网，并通过一台网管机进行上网记录的监控。 ? ? ???因我提出如下意见： ???我个人觉得当务之急应该先把AD建立起来，因为企业网内有很多服务是基于AD来布署的，并充分利用组策略，然后再考虑使用布署mail server,wsus server,因电脑较多，还建议划分vlan,减少单个广播域的数据量，避免广播风暴，但这个比较难实现，因为要看当初是如何布线的，如果布线不合理，很难是划分VLAN，因为不太现实（工程量太大） ? ???后来hai1130发出评论： 400台电脑在两个网段，全可上网，我实在不可想像这样的网络有什么稳定性和安全性可言，我觉得首要问题不是上AD，而是网络要先用三层交换机（现在也不贵了）按部门隔开,并布署网络版杀毒软件,即先要保证网络的稳定性。先前他们上AD，为什么会慢呢，很可能是因为网络有病毒在阻碍交通。这样的网络，如果上AD，AD down机的可能性很大，AD一旦Down的话，整个域网络的电脑都会变得很慢很慢，这样的局面不可想像的，而且在网络没有切开前，你也无法规划AD架构，AD的架设不是说想架就架的，到时改得话工作会很大的。至于你说的网络布线问题，我想只要每个信息点原来有线的话，应该没什么问题吧！请仁兄三思而后行！ ? 一个拓扑图： ?? 以下是构想方案：1.核心交换机采用cisco 3750系列，24口全部支持10/100/1000mbps，或使用同类档次的产品（华为）2.接入层采用cisco 2960系列交换机，有两个1000Mbps端口，主干网采用千兆网，中心交换机与接入交换机同时连接两条线，启用STP，防止单点连接失败。PS：不过这里这样设计不太现实，因为一般公司不会一下子购买10台2950的交换机，毕竟成本不低，也可以使用不可网管的交换机，但普通交换机无法启用STP，不能同时接入两条线，其中一条线用作备用，而且该公司现有的交换机也不支持1000Mbps.3.按部门划分VLAN，服务器群放入DMZ区，或者将服务器群单独放入一个VLAN；4.防火墙采用ISA SERVER 2004（2006），控制上网、发布服务器，作为网关。5.会议室启用无线网络，同时也布置有线，接入交换机采用不可网管的即可，并也企业内部网完全隔离。6.服务器全部采用千兆网卡，提高网络性能。 ? hai1130回复： LING 图画得不错。我的意见如下：1. 你的DMZ区不能接在Cisco核心交换机上（这样发布服务器会有问题），你应该接在ISA2004（三块网卡）防火墙上。2. 如果你的预算很紧的话，你的接入层交换机没有必要上Cisco，一般的二层交换就可以了（TP-link), 所有Vlan在你的核心交换机（3750）上划分，然后如果有必要的话就起Vlan间路由。3. 把你核心交换机上连ISA2004的那个端口改为三层模式（ no switchport），然后设ip地址，再添加一条默认路由指向ISA2004的内网卡地址。4. 还需在ISA2004上添加一条到所有想让上网的Vlan路由。（目的是使外网回来的数据包能被路由回相应VLAN内）5. 你会议室的无线网络是单独走一条出路（不通过ISA2004）你怎么控制那区域的网络用户？6. 最好用两台服务器建一个ISA2004的阵列，这样你的处理能力和冗余都解决了，具体参考/bbs/uploads/8/post-2054-1155871691.jpg（ISA2004的具体设置问题，你可以去Microsoft Technet下载ISA2004 终极打靶教程。 我的回复： 非常感谢hai1130的热情、积极回复，就此作以下回复：1.其实我开始时是将服务器群放在一个VLAN，按理说，这样发布服务应该不会有什么问题；个人认为，在这里DMZ意义不大；2.我的设想是这样的，所有服务器使用GB网，所以，如果通过核心交换机接入服务器群的话，核心交换机下面还要连接一个所有端口支持GB的交换机才能实现要求；3.这里还不是很清楚，概