1.網路畢竟還是要通的, 做該有的ACL即可, 設得太刁鑽也只是累了自己跟設備.

2.是的, 並非所有FW都支援單一實體介面bind多個VLAN. (但有支援的也很多就是了)

3.VLAN trunk拉到FW上代表FW是所有routing的負責人, 所有跨VLAN封包的交換都要靠

FW做, 但我相信3550在packet forwarding能力是勝過FW不少的, 所以基於效能考慮,

並不建議把所有VLAN拉到FW, 讓3550有事點做.

4. VTP 是 Cisco proprietary Layer 2 protocol, 其他家沒有, 所以有他廠的交換機串聯

時不能用這個搞, 不過vlan trunk有標準的802.1Q, 各家都有做, 基本上可以互通, 用這個

代替VTP就沒問題了.

5.session management的關鍵,各種FW的眉角各不相同, 所以未必RAM是唯一限制,

只是常見的限制而已, 而Netscreen 50 FW的運作是 pre-allocate memory, 在一開機

之後就已經先預留滿載session時會用到的總記憶體量, 所以能夠確保滿載時不會有記憶體

不夠用的情況, 你可以從web UI看到memory使用量在剛開機後就已飆很高, 即使沒有什麼

流量也一樣, 那就是已經將記憶體預留的最好證據. ScreenOS是很精鍊的real time OS,

才幾MB的大小卻可以跑出上百種功能與設定, 應該不是Linux FW短期可追上的.

從pc指定L3就好吧不需多此一舉，管理起來也方便
而你圖上3550只有vlan 70，是你沒用他來當VLAN route嗎？
他performance應該比2960好吧！

既然說到VTP的部分，小弟剛好也有一個疑問?
雖然VTP可以在單一的vtp server上 create很多vlan 但是好像卻不能
設定實體port的rang範圍到其他的sw上面 這樣感覺只是你create很多vlan
而你還是要到其他的sw上面做vlan port的rang 等於好像沒有事半功倍的效果
是嗎??還是小弟不知道VTP有設定vlan完之後還可以設定port的rang要給哪個vlan (不知道Raziel大大聽得懂我說的意思嗎 好像有點邏輯= =)


接著說到NS 50 果然也被說重了 沒錯 他一開機ram幾乎就吃很多掉了
(在gui介面的確有看到吃很大)
但是session 真的吃很少
才幾MB的大小卻可以跑出上百種功能與設定
(現在想想真的是非常認同)
一開始原本還想說 如果用各q9550+4G ram+Linux
看效能有沒有辦法超過NS50 追上NS 208 XD
(我太天真了 呵呵)

不行~ 觀念不對 :think:

default gateway 要看"是誰的"default gateway.(以下簡寫DG)

switch的DG是給switch自己用的, client PC送過來的封包, 如果沒有它自己的DG,

是不會經由L2 switch的DG再幫client轉送到3550的. 所以client的PC需要有自己的DG,

而這個DG就是L2 vlan的終點, 也就是必須設在L3 設備上. 跟你2960有沒有DG是無關的.

client要直接把3550 上面同vlan的.254 IP 當作自己的DG, 不是設成L2的管理IP. :flash:

前面沒仔細看出你這個問題, 這也大概是你trace route有問題的癥結點.

現在這樣你整個IP規劃有頗嚴重的錯誤.


舉其中一個例子, 其他你舉一反三去改... e1=port1,以此類推.....

假設vlan50與60在2960上分別使用e1~e8 與e9~e16,以e17 uplink連到3550的e3,

2960 e17設802.1q trunk帶兩個VLAN ID(自己選吧), 3550 e3 也同樣設802.1Q,與同樣的VLAN ID.

在e3上bind 2個IP,分別是10.1.50.254與10.1.60.254各自對應到兩個VLAN ,

vlan 50與60內client的DG分別指到這兩個對應的.254 IP. 至於2960的管理IP就另外找.

Good Luck..... :think:

感謝大大指教^^
我懂您的意思囉
只是我一開始想說如果把所有default gateway直接只3550 是不是會造成他很忙碌 一開始蠢蠢得這樣想 經過各位大大講解 我了解您的意思了 謝謝囉^^ :yeah:

意思就是說 client的電腦 他們所指向的DG 都是在3550 上面所設定的IP對吧
3550 建立vlan 10 vlan 20 vlan 30 vlan 40 ....etc 那他們的interface 的IP就是 其他SW&client的gateway 而L2 2960的SW也要只向3550當作DG
right??

YOU GOT IT!! :cool:

題外話一下
小弟感覺Raziel大大您真的對network&security非常的熟悉 :)
要想把這些東西搞懂 是不是去SI公司會比較好呢?(可以常碰)
小弟在一般公司當MIS+OP人員 感覺碰到網路的東西真的很少
都是自己看書 但是網路這東西對我來一下子沒去讀 很快就會忘記
尤其是eigrp ospf 真的是~沒碰觀念一下子就忘記
也可能平常都碰不到的原因....順便問一下現在的SI景氣是否也不太好呢
(長久來說，小弟是蠻想找SI的工作走 :hungry: )

熟悉是還好,這些還算是很基本的.

當然在SI工作是比較會做到這些事情,不過要選在做網路為主的SI才會比較專精這些東西.

SI還是有分很多種不同專長, 網路/套裝軟體/資料庫/AP開發...自己找個有興趣的來做就好.

網路業我是認為還會持續發展, ˋ至少還有十幾年可以走. 景氣雖然對什麼行業都有影響,

但對工作者來說, 做SI技術人員的過程就是在培養自己的技術能力, 累積自己的證照與經驗

這些都會奠定自己未來的身價. 不景氣時, 好手依舊會有工作,價碼依舊在某個水位, 而且

網路的知識一通百通, 不同產品只是指令不同, 算是knowhow保值性相對還不錯的領域.

不過這種工作要學的東西很多,若跟不上,自然也容易被淘汰, 跟MIS/OP 的穩定有很大不同

自己可以評估一下是否想挑戰.

是呀~~si的環境和mis的環境是不一樣的，
我是一位曾經在mis和你一樣有想法到si界的mis，
不過我去完si界後又回到mis領域了，
不過在si界那時候學到的東西真的很穩，
我只能說掌握基本概念，相信自已的概念，當然這是經過求證的概念。
再來學什麼都很快~
網路七層要懂、通，會有助你學習網路方面的知識
我大約的講了一下，如有得罪之處請見諒