设为首页收藏本站
切换到简单版切换到宽版

新足迹

 找回密码
 注册
新足迹 论坛 兴趣爱好区 IT与科技 IT专业论坛 发个网络图,探讨一下~~

精华好帖回顾

· 皖南旧韵(圖文) (2008-9-22) 着我青衣永飘零 · 新足迹厨艺大展示 12月下:主料鸡块 - 上海白斩鸡 (2008-12-20) patrickzhu
· 木地板DIY - 加了Tips (2007-6-8) 童心的魔镜 · 澳洲7人坐汽车选购之参考,(持续增加新车型),希望 对想买7座的童鞋有帮助。 (2012-11-13) paynehe
Advertisement
Advertisement
12下一页
返回列表 发新帖
查看: 3315|回复: 38

发个网络图,探讨一下~~ [复制链接]

夜游神

发表于 2011-5-7 00:22 |显示全部楼层
此文章由 夜游神 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 夜游神 所有!转贴必须注明作者、出处和本声明,并保持内容完整
(paopaobing(88)) (paopaobing(88)) (paopaobing(88))
大家请踊跃发言,话题很open,任何改进的建议~~~~请用犀利的眼光来评价


尼玛,7&12楼的,这个帖子是发在IT专业论坛,纯粹讨论技术的,丫忽悠收入多少是什么意思啊??
强烈鄙视~~~~
把好好的一个技术贴搞得不纯粹了~~~

[ 本帖最后由 夜游神 于 2011-5-11 09:04 编辑 ]

评分

参与人数 3积分 +16 收起 理由
bulaohu + 8 感谢分享
kr2000 + 5 偶对你的景仰如滔滔江水
乱码 + 3 头很晕,但要顶一下!!

查看全部评分

Do My Best!! 把梦实现 走到海的最遥远!!!!!
Advertisement
Advertisement

举报

javed

发表于 2011-5-7 10:11 |显示全部楼层
此文章由 javed 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 javed 所有!转贴必须注明作者、出处和本声明,并保持内容完整
顶一下...
我不是做网络设计的,光看拓扑图看不出太多东西...不过有几个area(171, 155 etc)只有一个ABR, 似乎是single point of failuire...

另外,在实际情况下, 这个网络平时问题多不多? 流量大不大呢?

举报

夜游神

发表于 2011-5-7 11:48 |显示全部楼层
此文章由 夜游神 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 夜游神 所有!转贴必须注明作者、出处和本声明,并保持内容完整
core的范围内,所有的链路都是10G;从core到distribution节点都是2~6条1g的链路~~~
刚刚做完这个,关于流量,因为还没有部署QoS架构,所以出口的节点都是100%;即使链路带宽是1000G,我相信也很快会被占满,这个是网络本身的特性~~~

Routing:关于路由,在这个拓扑里的IGP路由是OSPF+IBGP,原因有2个,A: core & distribution用的是Juniper; B:因为有MPLS接口运行eBGP,这个样子不必再做route distribution在边界上,此外bgp可以控制inbound和outbound流量的路线和节点。

整个网络上hosting滴subnets差不多超过300多个,所以不用静态路由。
PS.本网络已经启用将近1个半月,目前为止没有任何关于路由或者交换的问题~~~

现在的挑战是,我如何把一个IPS集成到这样一个架构设计中去,如何在几个DMZ中移入所有的Internet facing服务

Backgroud: This is a brand new network design with double 2 homed/2 hosted access to MPLS cloud/International MPLS cloud/Internet; will support two data centres with DR and 660 branch sites accross entire earth.

13楼,看别人帖子要用心,我清清楚楚,明明白白写了IGP是OSPF+iBGP,丫一直说什么单一OSPF不好·#!¥%#·
Besides that, I would like to mension something else about the products choosing for such a multi-million network project, the decision should be driven by the cost rather than the capacities/techs, as preety much you will be able to get the similar fit for purposes products from the top 3 vendors. The key is how to cut the cost and save the money for the business. And this is not something one time off investment from long term point of view. To make up the cost evalution, you have to think about the operation and maintaince as well. (In our case, it doesn't mean J's capacities is better than Cisco, the only reason is because they are cheaper than Cisco in many ways.)

About the VoIP solution: We went for Simense HiPath rather than Cisco/Awaya; however as I mensioned before, it is not running properly as there is no QoS been build and enforced in the entire network.

About the DR: It is very challeging for me, as the SAN is running and hosting on a completed isolated network from the new production network. We are going to put everything on the new network, but you know it is going to be a joke with out a good QoS enforcment.

Then about the IPS roll out, thanks so much for your updates, which is very useful.

[ 本帖最后由 夜游神 于 2011-5-10 14:24 编辑 ]
Do My Best!! 把梦实现 走到海的最遥远!!!!!

举报

kr2000

特殊贡献奖章

发表于 2011-5-7 12:33 |显示全部楼层
此文章由 kr2000 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 kr2000 所有!转贴必须注明作者、出处和本声明,并保持内容完整
牛x呀
这么大个网络,楼主是主设计师?

举报

mangrove

发表于 2011-5-7 12:36 |显示全部楼层
此文章由 mangrove 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 mangrove 所有!转贴必须注明作者、出处和本声明,并保持内容完整
牛人

举报

Turing

发表于 2011-5-7 17:06 |显示全部楼层
此文章由 Turing 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 Turing 所有!转贴必须注明作者、出处和本声明,并保持内容完整
200K的职位,鉴定完毕。
Advertisement
Advertisement

举报

回头望

发表于 2011-5-7 18:11 |显示全部楼层
此文章由 回头望 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 回头望 所有!转贴必须注明作者、出处和本声明,并保持内容完整
仰望200k的IT牛人。。。

举报

atm

发表于 2011-5-8 21:32 |显示全部楼层
此文章由 atm 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 atm 所有!转贴必须注明作者、出处和本声明,并保持内容完整
大神分析一下卖点嘛

举报

zhongbingo

发表于 2011-5-8 21:40 |显示全部楼层
此文章由 zhongbingo 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 zhongbingo 所有!转贴必须注明作者、出处和本声明,并保持内容完整
复杂无比,貌似毫无意义

举报

噜噜兔

发表于 2011-5-9 00:20 |显示全部楼层

回复 夜游神 1# 帖子

此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
为什么用ospf?
建议4个backbone core sw之间用iBGP,core和ABR之间分别用eBGP。Distribution layer可以尽量用static routes,其它的再用ospf(single area就可以了)。

[ 本帖最后由 噜噜兔 于 2011-5-9 00:31 编辑 ]
就爱吃螃蟹

举报

噜噜兔

发表于 2011-5-9 00:30 |显示全部楼层

回复 夜游神 3# 帖子

此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
用BGP的话,两个DMZ的ditribute layer可以用static route。然后在ABR redistribute static到core layer就好了。dual link的BGP可以用不同的local pref,这样就可以自动‘fail over'了。

评分

参与人数 1积分 +4 收起 理由
atm + 4 好可爱啊

查看全部评分

就爱吃螃蟹
Advertisement
Advertisement

举报

故乡

发表于 2011-5-9 19:28 |显示全部楼层
此文章由 故乡 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 故乡 所有!转贴必须注明作者、出处和本声明,并保持内容完整
仰望200k的IT牛人。。。

举报

噜噜兔

发表于 2011-5-9 21:16 |显示全部楼层

回复 夜游神 3# 帖子

此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
现在内容详细很多了。我想你光是用OSPF不是很合理。Hosting的network数量很多当然用dynamic routing,其实节点多的话,OSPF并不是好的选择,可以试试另外的iBGP。4个backbone core当然要用Juniper,流量大的话最好上mx960。ABR我看Cisco4500(12Gb/s)就够,hosting的可以用Juniper或者Cisco 6500。

关于IPS,记得你的diagram里有两个internet zone,IPS当然要设在internet zone的Firewall上或者靠近firewall。其它zone/area的default route都会指向这两个internet zones,顺便可以互相backup一下。Juniper的ISG screenOS就有IPS的功能,Fortinet也是不错的选择。这两个都可以all in one box了。另外提以下,如果hosting的customer有几百个,最好在internet zone加设DDos protection service。不然其中任何一个website被DDos,就会chewing up entire pipe,你的几百个websites会down掉一半。

VOIP如果整个网络是同公司的话call manager farm可以设在各自的area,然后设着gate keeper实现inter state call cluster routing。在layer 3可以trust DSCP就好了,cos可以在每个site/area的core switch上设置(ABR???)。这样就可以实现个分公司间电话免费了:),同时也剩下很多international calls因为可以routed to local branch and dial out from local。

最后。不记得你的DR在什么地方。如果DR是fully replicate to 2 DC的话我认为data sync是整个design的难点。10G的网络是必需的。公司能负担得起country之间得fiber connection么?dark fiber?如果真的可以,那么在server得virtualization方面也会有很大benefit的。VM的datacenter可以互相share load实现follow the sun load balance。

[ 本帖最后由 噜噜兔 于 2011-5-9 21:39 编辑 ]

评分

参与人数 1积分 +4 收起 理由
atm + 4 好可爱啊

查看全部评分

就爱吃螃蟹

举报

噜噜兔

发表于 2011-5-9 21:28 |显示全部楼层
此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 javed 于 2011-5-7 10:11 发表
顶一下...
我不是做网络设计的,光看拓扑图看不出太多东西...不过有几个area(171, 155 etc)只有一个ABR, 似乎是single point of failuire...

另外,在实际情况下, 这个网络平时问题多不多? 流量大不大呢?


大一点的ABR一般会用Cisco 4500以上的router,通常都是有两个controller的,和两个router一个道理。但是link可能只有一个了。解释想法是这样的,除非两个links用不同的ISP,要不然通常一个link down掉,同ISP的另一个link一般也会down掉,没多大意义。两个ABR和两个links一般都是分用不同ISP,share不同的backbone。比如pri link选Sprint的10G MPLS WAN link,另一个用Telstra的2G做backup。

评分

参与人数 1积分 +4 收起 理由
atm + 4 好可爱啊

查看全部评分

就爱吃螃蟹

举报

噜噜兔

发表于 2011-5-9 21:42 |显示全部楼层

回复 atm 8# 帖子

此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
哇。给我这么多分???太太太感谢了。。。

举报

yyx_au

发表于 2011-5-9 21:46 |显示全部楼层
此文章由 yyx_au 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 yyx_au 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Could not see your network topology.
Advertisement
Advertisement

举报

噜噜兔

发表于 2011-5-9 21:48 |显示全部楼层
此文章由 噜噜兔 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 噜噜兔 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 Turing 于 2011-5-7 17:06 发表
200K的职位,鉴定完毕。

我看用不了200k。200k的职位都是那种CFO或者IT governance or policy的职位,就是那种光说不干活的职位。这种人没一个能设计网络,恐怕连自己的laptop都不会修。
就爱吃螃蟹

举报

roo81

发表于 2011-5-10 19:35 |显示全部楼层
此文章由 roo81 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 roo81 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 噜噜兔 于 2011-5-9 21:48 发表

我看用不了200k。200k的职位都是那种CFO或者IT governance or policy的职位,就是那种光说不干活的职位。这种人没一个能设计网络,恐怕连自己的laptop都不会修。


搞人比搞技术值钱
Water

举报

lingyang

发表于 2011-5-10 21:36 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
无图无真相

举报

夜游神

发表于 2011-5-11 09:11 |显示全部楼层

回复 lingyang 19# 帖子

此文章由 夜游神 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 夜游神 所有!转贴必须注明作者、出处和本声明,并保持内容完整
图补上了,之前弄挂了~~

举报

lingyang

发表于 2011-5-11 10:36 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
问一下你们是SP还是enterprise?
Advertisement
Advertisement

举报

lingyang

发表于 2011-5-11 10:59 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
关于IPS的集成, 我觉得你是不是可以引入一个PIN专门用来做data cleaning, 把IPS, anti-DDoS的设备放在那个PIN里面.

举报

夜游神

发表于 2011-5-11 11:00 |显示全部楼层
此文章由 夜游神 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 夜游神 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Enterprise~~~~~

举报

lingyang

发表于 2011-5-11 11:09 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
考虑是不是可以对IPS的集成用这样的架构

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

举报

夜游神

发表于 2011-5-11 11:20 |显示全部楼层
此文章由 夜游神 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 夜游神 所有!转贴必须注明作者、出处和本声明,并保持内容完整
看这阵势,那得要花多少钱哇~~~
有没有什么方案,看着气势磅礴,却又经济实惠的~~~

举报

lingyang

发表于 2011-5-11 11:34 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
其实没有推荐要完全按照那个圈圈的图来设计, 按照那样的设计整个网络要重新architecture了. don't fix anything that is not broken.  :-)

我猜你的IPS应该是promiscuous mode吧.我的意思就是是不是可以考虑做一个logical PIN用来host那些data cleaning的设备, 以后如果有需要加anti-DDOS的设备也可以放在那个PIN,leverage BGP 把流量倒来倒去, :-)
Advertisement
Advertisement

举报

gogogol

发表于 2011-5-11 14:15 |显示全部楼层
此文章由 gogogol 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 gogogol 所有!转贴必须注明作者、出处和本声明,并保持内容完整
DMZ  Internal FW 和 ABR直接采用 Juniper SRX3600 or SRX5600 Cluster. Router + FW + IPS都有了。

举报

lingyang

发表于 2011-5-11 14:35 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 gogogol 于 2011-5-11 14:15 发表
DMZ  Internal FW 和 ABR直接采用 Juniper SRX3600 or SRX5600 Cluster. Router + FW + IPS都有了。

这个就是CISCO ASA5585X 同等的juniper的产品吧. 那防火墙做ABR有风险:-)

举报

gogogol

发表于 2011-5-11 19:24 |显示全部楼层
此文章由 gogogol 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 gogogol 所有!转贴必须注明作者、出处和本声明,并保持内容完整
原帖由 lingyang 于 2011-5-11 14:35 发表

这个就是CISCO ASA5585X 同等的juniper的产品吧. 那防火墙做ABR有风险:-)


不是。ASA是不是IOS Base的。SRX是JUNOS Base的。ASA的路由功能差太远了。
"Education makes people easy to lead, but difficult to drive; easy to govern, but impossible to enslave."

--  Henry Peter Brougham 1778-1868

举报

lingyang

发表于 2011-5-11 22:41 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
LZ的网络流量肯定不小, 如果FW/Router/IPS 3合一的话可能会影响网络的性能.  

据我们测ASA5585-x除了有高性能与节省空间(只有2U高度)与能源(最大功耗只有370W, SRX5600最大功耗:2800 W)外. 其低延时也是是一大亮点. ASA5585-x在并发1000条流的情况下,平均时延只有25~35 us!而根据前期的实际测试,Juniper SRX FW的latency区间在只打了几条流的情况下,时延即高达53~79 us了.

举报

12下一页
返回列表 发新帖

发表回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Advertisement
Advertisement
返回顶部