【请教】我们的网络需不需要核心交换机

llb19901227 · 发表于 2011-3-17 11:18:56

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

本帖最后由 llb19901227 于 2011-3-17 11:19 编辑

最近真的是祸不单行，服务器被人恶意DDOS，公司网络不稳定总掉线......，有个问题一直没明白，想请教下大家

公司网络架构情况：

电脑数量：115台（目前），将来可能到200台
网络：10M光纤
路由器：vigor 2950（双WAN）
交换机：24口tp_link六个（用A、B、C、D、E、F）和很6小sohu 8口交换机

目前状况:10M光纤接入vigor 2950 WAN口，然后A、B、C三个24口交换机接在路由器的LAN口上，D、E、F这三个24口交换机接在了A交换机上（这三个交换机在大厅），F交换机下边又接了2个8口交换机（sohu），在路由器限制了带宽，但是带宽还是跑满，有时候在内网ping 网关跳Ping和掉包，有时候甚至死机，重启路由器后，大厅的D这个24口交换机的那条线不敢插到A交换机上，不然全体掉线，网关都不通，然后把D交换机上的网线全部拔掉在一根一根插上网络就没事了，通过抓包检查和其他方式检查也没有ARP病毒，在路由器都强制绑定了ip和mac，D交换机下的机器基本上都重装系统了，所以个人认为不是ARP攻击所致。

网络拓扑：

登录/注册后可看大图

路由器内存是64M，经常用到62%，CPU经常在33%左右，不知道是路由器问题还是怎么回事，问了路由器厂商他说是没有使用核心交换机的缘故，真的被搞郁闷了，请问大家100多台机器需要核心交换机吗，一般多少台机器以上就要用核心交换机了谢谢大家！！

ALL_ROLL · 发表于 2011-3-17 22:09:11

本帖最后由 ALL_ROLL 于 2011-3-17 22:34 编辑

1.楼主这个网络相当于是路由器成为了整个的核心，提供了本地网络中ABC三个交换机之间互访的转发，所以路由器承担的压力会比较大,所以出现了你反映的CPU和内存占用高。

2.使用核心交换机来处理本地网络的数据是可以解决这一问题的，此时核心交换机处理了本地网络中的互访数据，当然如果核心交换机附带VLAN划分功能会更好，这要可以缩小广播域，提高带宽利用。

3.路由器最好只提供做为互联网出口的nat功能，当然必要的安全策略还是要的

4,。路由器上绑定mac-ip并不能完全防止ARP病毒

ALL_ROLL · 发表于 2011-3-17 22:11:43

本帖最后由 ALL_ROLL 于 2011-3-17 22:26 编辑

D交换机及下面接的交换机上是否存在拓扑或物理上的环路，另需要确认是否存在广播风暴

因为你提到重新插拔线可以暂时解决问题，而广播风暴有时是可以通过切断设备连接来暂时恢复

另最好不要串接多级交换机，你的情况做成接入+汇聚（核心）的两层结构比较好

希望对你有帮助

llb19901227 · 发表于 2011-3-18 12:05:25

回复 ALL_ROLL 的帖子

非常感谢你的回答，使我明白了不少问题，我先检查下谢谢你！

llb19901227 · 发表于 2011-3-18 18:12:34

本帖最后由 llb19901227 于 2011-3-18 19:55 编辑

回复 ALL_ROLL 的帖子

今天抓了包出现这种下图：
广播.jpg

不知是否正常，希望可以指点一下谢谢

其中有两个交换机是：
RUBYTech fast ethernet 10/100 switching hub

不知道到底是交换机还是集线器也搞不明白

txwwy · 发表于 2011-3-25 14:24:18

整个ROS ，多整几个内网网卡，分几个段，网段之间通过3层访问，实在不行跑PPPOE 也行，很简单的小改造就解决了全部问题

llb19901227 · 发表于 2011-3-25 14:34:35

回复 txwwy 的帖子

谢谢txwwy的回答，我也是这样想的已经联系网大了，搞成vlan

txwwy · 发表于 2011-3-25 14:45:05

搞VLAN 是乱扯，你交换机都不支持VLAN ,你搞VLAN 有毛用啊，真正要做的多做几个内网段，把内网网段二层隔离，就减小了广播域，即使有ARP 也是小范围的，要彻底完全解决了好搞内网PPPOE 吧

llb19901227 · 发表于 2011-3-25 16:06:59

回复 txwwy 的帖子

那边说是再买个华为的三层交换机，不过上周六刚买了两部新的24口交换机，再买新的设备可能也不会很好批，ROS太难了不好配置，个人还是倾向于海蜘蛛的。

ALL_ROLL · 发表于 2011-3-26 21:02:48

本帖最后由 ALL_ROLL 于 2011-3-26 21:59 编辑

你那要是使用三层交换机估计用这种结构哈（图上地址是为了说明方便）

登录/注册后可看大图

1、各VLAN网关做在三层交换机的接口上，三层交换机的每个接口做在对应的vlan内，用默认路由指向出口路由器的接口地址。这样内部流量经由三层交换机转发，互联网的流量通过出口路由器出去。
2、各接入交换机为三层隔离，减小了广播域。
3、可以在核心交换机每个端口上绑定下面接入交换机上用户的mac-ip地址，同时可以使用访问控制列表进行一些VLAN间的访问控制。
4、这样的拓扑你的出口路由器只处理用户访问互联网的三层流量，而不处理内部互访流量了（内部流量基本通过交换机背板进行处理了）
5、你可能需要注意下出口路由器上的连接数和流量情况

以上是不成熟的建议，希望对你有点帮助

其中：
1、出口路由器与核心交换机互联地址为
192.168.1.1 和192.168.1.2
子网掩码：255.255.255.252
vlan10
用户地址：172.16.1.X
子网掩码：255.255.255.0
网关：172.16.1.254
vlan11
用户地址：172.16.2.X
子网掩码：255.255.255.0
网关：172.16.2.254
vlan13
用户地址：172.16.3.X
子网掩码：255.255.255.0
网关：172.16.3.254
vlan14
用户地址：172.16.4.X
子网掩码：255.255.255.0
网关：172.16.4.254
核心交换机上配置静态路由0.0.0.0 0.0.0.0 下一跳指向192.168.1.1
出口路由器上配置静态路由172.16.0.0 255.255.0.0，下一跳指向192.168.1.2

另外说一下，使用三层交换机做核心后，出口路由器上基于MAC地址做的一些配置就不起作用了，只能基于用户的IP地址来做

ALL_ROLL · 发表于 2011-3-26 21:16:49

本帖最后由 ALL_ROLL 于 2011-3-26 21:48 编辑

按txwwy 版主给你的意见，拓扑应该是这样的

登录/注册后可看大图

这种情况下各网段间任然是三层隔离的，缩小了广播域

但是内部互访流量是要经过出口路由器的，

好处是不用投入三层交换机，而且可以方便利用出口路由器的一些功能

llb19901227 · 发表于 2011-3-28 15:05:27

回复 ALL_ROLL 的帖子

非常感谢你的回答，获益很大，懂了周六试下采用 pppoe这个好了，这边目前还没有三层交换机，再购买设备的话估计不好审批了，已经买了很多设备了但是就是缺少三层交换机呵呵谢谢你！

西山狼 · 发表于 2011-5-7 00:27:49

呵呵。广播风暴是很难避免的。而且你那交换机用堆叠方式弄的话会出问题的。最好用中心交换机的方式。就是中心交换机接路由。然后中心交换机接其他交换机中心交换机最好是弄个带网管的这样可以划分VLAN。中心交换机不可以接其他电脑。当然影视游戏服务器除外。
这样哪怕下面死了也就是24口的交换机挂掉而已不会全死。当然你弄PPPOE拨号了，这个就不是问题了。不过建议网络布局尽量不要用堆叠交换机的方式。

llb19901227 · 发表于 2011-5-10 21:07:27

回复 bobwalker 的帖子

非常感谢你的回答，已经解决了，是外网带宽不足造成的，现在换成了ROS现在好多了，基本上没有出问题了！！！！

luncer · 发表于 2011-8-4 15:20:30

ALL_ROLL 发表于 2011-3-26 21:02

登录/注册后可看大图

你那要是使用三层交换机估计用这种结构哈（图上地址是为了说明方便）

1、各VLAN网关做在三层交换机的接口 ...

赞成这种解决方法~~~前提是要由钱

账号		自动登录	找回密码
密码			注册