中国和菲律宾开战，谁赢的几率会大？_百度知道巴西对战德国，哪个球队赢的机率大？请专业人士分析分析_百度知道LOL请大家帮忙分析一下这一波团战。_百度知道查看:1300|回复：19
各位好！学弟这有一个工程，请大家帮忙分析一下，给些建议或方案。先谢谢！
本工程详细情况及工程需求如下：
&&详细情况和布局：
&&1、公司总部在市A区，有80台电脑，3台网络打印机，3台对内服务器，共8个部门；大小会议室和接待室都有无线AP，5条百M拨号光纤，其中有一条给接待室给客人专用。
&&2、公司厂区在市B区，300台电脑，4台网络打印机，厂区有管理本部（有3个部）、业务本部（有3个部门）、制造本部（有7个部门）、研发本部（有3个部门），外网有电信50M光纤专线，固定IP，200M大拔号光纤，有3台对外网的服务器（FTP、WEB、管家婆），若干台内网服务器（ERP、项目、人事系统等）。有大小会议室和接待室AP，接待室AP有独立宽带。
&&3、公司厂区有安防监控系统；有视频会议服务器（有固定IP）；
4、公司总部和厂区有一条10M局域网专线，用于总部职员访问厂区服务器，属于内网访问。
5、公司在本市C区和D区各有一分公司，外地E区有一办事处，香港、台湾、Z国有办事外。
二、工程计划如下：
1、公司总部和厂区按部门划分VLAN，（注意总部和厂区有重叠部门，比如总部和厂区都有开发部，同属一个部门，需在同一个VLAN内），各部门间不能互访，但可以访问一些公共服务器，内网和对外网服务器要分不同网段。
2、厂区安防监控系统作一个独立网段，提供给有需要的厂区领导访问。
3、其它分公司、办事处、出差职员（C区、D区、外地E区、香港等）通过VPN访问厂区服务器。
4、工程计划用思科或华为的交换机、路由器的，H3C的也可以。其中三层交换机总部一台，厂区二台，厂区两台做冗余。其它分公司办事外除厂区VPN接入外，不在此工程考勤范围。
5、公司网络安全要求比较高，防火墙是要的，不知什么型号的好。另有计划增加防入侵、防攻击系统，有漏洞扫描、示警功能，不知用啥好。另外可以考虑总部和厂区各增加一台上网行为管理设备。
6、公司总部和厂区要搭建Windows域环境,内网电脑一律加入域，不加入域的电脑没有权限访问域共享资料（就这一条，那位学长现在是怎样实现的，请给点建议）。
上边工程情况和初步计划大概就这些，写得有点乱。请各位耐心帮看看。有时间最好能给个详细的网络拓扑图，标明所用的路由器、交换机（二三层）、防火墙型号，VPN接入最好放在路由器上，如还有更好的方法也请建议。谢谢！
本帖最后由 huang28b 于
16:58 编辑
资深技术经理
这工程量挺大，建议找集成商做。
不说预算，啥都没头绪
对不起，说明下。
计划二三层交换机（三层3台，二层18台、网关、防入侵攻击或上网行为管理设备，防火墙（2台总部和厂区各一台）预算25万RMB，其它服务器不算。
资深技术经理
核心交换机S5700-EI；
接入交换机S2700-EI；
安全设备，USG6320、USG6350；
厂区2台核心交换机做堆叠。
初级工程师
我是个实在人，直接说了，
1、你的计划不够详细；
2、即使详细了也不会有答案，因为涉及专业智力成果也就是RMB的问题，不会有人无偿服务的
论坛首席搬砖工程师
入侵防护和防火墙放到一起就行了不用分开了
有问题请表述清楚，网络问题请带拓扑图
论坛首席搬砖工程师
网关用防火墙+入侵检测模块就可以了，性能稍微好点即可，至于详细的还是找集成商给你做方案吧，论坛上没人给你出方案，你可以把集成商出好的方案拿到论坛上让大神给你看看
有问题请表述清楚，网络问题请带拓扑图
引用:原帖由 erfdcv 于
17:35 发表
核心交换机S5700-EI；
接入交换机S2700-EI；
安全设备，USG6320、USG6350；
厂区2台核心交换机做堆叠。 谢谢！
我想问下，如一台S5700的24个物理网口足以连接接入层交换机，那厂区的2台S5700是否可以考虑做冗余接法，还是2台做成堆叠有其他更好的用处?
引用:原帖由 xinming1369158 于
20:45 发表
我是个实在人，直接说了，
1、你的计划不够详细；
2、即使详细了也不会有答案，因为涉及专业智力成果也就是RMB的问题，不会有人无偿服务的 嗯，理解。
我发上来就是希望有那位大神有空免费指点下，给点建议。
我原计划是想用思科的产品，后来对比下又觉得华为的相对便宜，再加上自已水平有限、想在这里着下大神们有什么建议没，就发上来了。
引用:原帖由 lover119 于
22:17 发表
网关用防火墙+入侵检测模块就可以了，性能稍微好点即可，至于详细的还是找集成商给你做方案吧，论坛上没人给你出方案，你可以把集成商出好的方案拿到论坛上让大神给你看看 ... 谢谢
安全网关这方面我个人计划是想用深信服的防火墙+上网行为管理，也有想过用微软的安全管理软件，二楼学长推荐的华为防火墙，也给了我一个考虑方向。
至于找集成商做方案，目前还没有想法，呵呵，我就是想在这吸收点技术，各位学长的技术。
版主，要不你多给点思路，过段时间我再做个方案发上来，你们再帮指点下。
各位大神请多给点建议，重点在路由交换、安全方面，要有产品型号，Windows核心基础架构有什么好想法的，也请给点。重点是安全.
我只是路过打酱油的。
a423b9a847,,/027kfp,,/028kfp,,/0551kfp,,/0431kfp,,/xiankaifp,,/024kfp,,/021kfp,,/010kfp,,/0791kfp,,/0731kfp,,/020kfp,,/0755kfp,,/0571kfp,,/025kfp,,/022kfp,,/0574kfp,,/0591kfp,,/0311kfp,,/0451kfp,,/0532kfp,,/0512kfp,,/0871kfp,,/xakaifp,,/0931kfp,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
资深技术经理
华为USG6000系列是下一代防火墙，自带上网行为管理和IPS模块了，开通就好了，有钱就买更高型号的，这样安全功能开再多也不用担心性能问题。交换机主干一定要走光纤，哪怕上联口是电口，你可以用收发器，特别是厂区。
（华为USG年的2016 NSS Labs下一代防火墙测试里表现还不错。）
(36.52 KB)
本帖最后由 erfdcv 于
02:02 编辑
引用:原帖由 erfdcv 于
01:57 发表
华为USG6000系列是下一代防火墙，自带上网行为管理和IPS模块了，开通就好了，有钱就买更高型号的，这样安全功能开再多也不用担心性能问题。交换机主干一定要走光纤，哪怕上联口是电口，你可以用收发器，特别是厂区。
（华为USG6650 ... 1、接入用2700有点低端了，建议上千兆交换机
2、B、C部门不能放在同一个VLAN
3、主城防火墙建议上两台做HA,毕竟汇聚都考虑了冗余，核心也应该考虑下
4、主城、子城服务器建议全部放主城DMZ区，如果要各自单独放，建议服务器前加防火墙，内部攻击的风险一样很大
5、所有电脑加域，文件共享权限基于域帐号来设置即可实现
6、视频监控建议上网络监控，布线比上模拟监控会方便，可以考虑POE供电。
7、视频会议注意做QOS
每个细小的问题都将助你向成为高手迈进一大步。
资深技术经理
引用:原帖由 4 于
10:02 发表
1、接入用2700有点低端了，建议上千兆交换机
2、B、C部门不能放在同一个VLAN
3、主城防火墙建议上两台做HA,毕竟汇聚都考虑了冗余，核心也应该考虑下
4、主城、子城服务器建议全部放主城DMZ区，如果要各自单独放，建议服务器 ... 1：看预算需求
2：VLAN只是本地有效，怎么划分两地都不会冲突，只要IP不冲突即可
3：看预算需求
4：看预算需求
5：这个容易
6：现在基本见不到模拟监控了
7：这个容易
我只是随便写一下，具体详细还是楼主找集成商谈，建议找集成商做，毕竟专业
本帖最后由 erfdcv 于
11:34 编辑
谢谢给出拓扑图的erfdcv学长，直观明确。也谢谢14楼学长给出的建议。
就14楼学长给的几项建议，其中我要说明下
1：二层可以根据需要买几台千M的，其它地方2700也够用。
2：可能我写得让各位看不得不是很清楚，我只做A区和B区的相同部门相同VLAN，因这两区有一条局网专线，其它区不考虑。
3：网关防火墙价位还是不便宜，呵，谁都想用最好的。
5：这点我可能真的没详细说清楚，不是说有域账号就可以访问域内共享资源，而是计算机本身要加入域，没加入域的计算机就算有域账号也不能访问，是这相意思。现在想到的方案是在域内起用IPSec协议，不这个东东对技术不高的职员来说可以，但对研发的职员来说不难破解，而这部份员工也正是我重点关注防范的对象，看那位学长现在是用什么来实现的？
6：安防现在已做好，高清，用POE交换机供电，就差并网。
7：视频会议在纠结中，公司之前买回来的设备，修了好几次，修理费每次5升到2万，烧线。想自己搭服务器。看各位有什么推荐。
方案的事，自己懂就自己设计，自己不懂就找一家有资质的实际施工单位，网上淘来的方案不一定就是和你自己的单位，而且方案绝对不是一张拓扑图可以搞定的的。
打个比方：也许100元钱可以办妥的事，网上淘来的方案，你花了10000也搞不定。设计费必须出，这个省不得。一个价钱合理，经济适用的方案设计不需要花费心血吗？设计师不需要为成长付出代价吗？网上淘来的可以保证能用，不代表没有隐患，将来一旦出了问题，你会哭吗？至于你能不能发现隐患要看你的运气，通常可以发现技术漏统的人都是沉默不语的。
有能力的工程技术人员一般情况下都是很忙的，你相信会给你免费设计吗？你相信医院的医生给你开出的药房不需要付出脑力劳动吗？
找一家有资质、有能力的公司也不难，将来还会提供后续服务呢？
有病上医院，没问题吧。但是你也会遇到不好的医院、医护人员，甚至医疗事故，但总归有个源头。当然你可以相信偏方，路边小诊所，治愈的机会不是没有。隐患的可能性更大。
你这个项目能够做的公司多着呢，找找吧。
本帖最后由 szrszr 于
12:54 编辑
助理工程师
引用:原帖由 huang28b 于
16:56 发表
各位好！学弟这有一个工程，请大家帮忙分析一下，给些建议或方案。先谢谢！
本工程详细情况及工程需求如下：
&&详细情况和布局：
&&1、公司总部在市A区，有80台电脑，3台网络打印机，3台对内服务器，共8个部门；大小会议室和接待室都有无线 ... 兄弟，你这个还是找家集成商去做吧。
要不你这么一个人猴年马月才能搞出来。
汗，先谢谢各位的关注，其实，这方案我觉得也没多少技术含量在里边，可能是无知者无畏，我看似写了一大堆文字的要求，但真要挑出有难度的地方，还真没多少。我这都算小型公司的方案了，分几个VLAN，设一下安全访问规则，加个防火墙，设个VPN，不行可以再上个专业点的上网行为管理，网络拓扑相对这方案基本就这结构，不知我说得对否，觉得不对欢迎指出，我只是想看看各位在这方案里想用什么型号的设备，我好参考参考，反而在搭建WINDOWS域核心架构方面，让我费神更多。
引用:原帖由 huang28b 于
16:56 发表
各位好！学弟这有一个工程，请大家帮忙分析一下，给些建议或方案。先谢谢！
本工程详细情况及工程需求如下：
&&详细情况和布局：
&&1、公司总部在市A区，有80台电脑，3台网络打印机，3台对内服务器，共8个部门；大小会议室和接待室都有无线 ... 这个要求看着复杂其实挺简单的。主要2个部分，一个是局域网规划基本上楼主已经了然于胸，只是型号选择上想求个建议；另一个互联网安全接入问题，主要矛盾集中在设备和功能的迭代上。我觉得应该抛去局域网规划重点看互联网安全接入。防火墙和上网行为管理不冲突，可以考虑上综合性设备，比如UAM。VPN的安全性是要单独拿出来考虑的，因此建议采购独立的VPN网关+CA服务器的模式来保证。最后一个重点是A区的五条光纤和B区的一条光纤+数条200M ADSL的带宽整合问题。这是个技术性很强的项目，普遍一点的做法是弄套类似网吧的多线路由跑个带宽叠加，由设备内置策略来自由选路。这种效果看似美妙其实很差，因为很多不确定性的因素导致了不可信。我的建议是根据用户的流量需求定制手工的路由表，可以以部门为对象指定，也可以应用为对象指定。例如，A区就可以部门为对象指定，B区则以应用+部门来综合指定，因为B区的带宽看似总共有很大，其实ADSL只能算1/3光纤带宽。
至于设备选型，思科华为应该都超过25万的预算了，可以考虑锐捷中兴一类的纯国产。请问德国对法国哪队赢的几率大些？_百度知道