|
||
|
Elite Member
  
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
1.網路畢竟還是要通的, 做該有的ACL即可, 設得太刁鑽也只是累了自己跟設備. 2.是的, 並非所有FW都支援單一實體介面bind多個VLAN. (但有支援的也很多就是了) 3.VLAN trunk拉到FW上代表FW是所有routing的負責人, 所有跨VLAN封包的交換都要靠 FW做, 但我相信3550在packet forwarding能力是勝過FW不少的, 所以基於效能考慮, 並不建議把所有VLAN拉到FW, 讓3550有事點做. 4. VTP 是 Cisco proprietary Layer 2 protocol, 其他家沒有, 所以有他廠的交換機串聯 時不能用這個搞, 不過vlan trunk有標準的802.1Q, 各家都有做, 基本上可以互通, 用這個 代替VTP就沒問題了. 5.session management的關鍵,各種FW的眉角各不相同, 所以未必RAM是唯一限制, 只是常見的限制而已, 而Netscreen 50 FW的運作是 pre-allocate memory, 在一開機 之後就已經先預留滿載session時會用到的總記憶體量, 所以能夠確保滿載時不會有記憶體 不夠用的情況, 你可以從web UI看到memory使用量在剛開機後就已飆很高, 即使沒有什麼 流量也一樣, 那就是已經將記憶體預留的最好證據. ScreenOS是很精鍊的real time OS, 才幾MB的大小卻可以跑出上百種功能與設定, 應該不是Linux FW短期可追上的. |
||||||||
2009-01-12, 10:36 PM
#11
|
|
|
Basic Member
加入日期: Mar 2008 您的住址: 台北
文章: 20
|
引用:
從pc指定L3就好吧不需多此一舉,管理起來也方便 而你圖上3550只有vlan 70,是你沒用他來當VLAN route嗎? 他performance應該比2960好吧! |
|||
|
2009-01-12, 10:56 PM
#12
|
|
|
Major Member
 加入日期: Jun 2005
文章: 152
|
引用:
既然說到VTP的部分,小弟剛好也有一個疑問? 雖然VTP可以在單一的vtp server上 create很多vlan 但是好像卻不能 設定實體port的rang範圍到其他的sw上面 這樣感覺只是你create很多vlan 而你還是要到其他的sw上面做vlan port的rang 等於好像沒有事半功倍的效果 是嗎??還是小弟不知道VTP有設定vlan完之後還可以設定port的rang要給哪個vlan (不知道Raziel大大聽得懂我說的意思嗎 好像有點邏輯= =) 接著說到NS 50 果然也被說重了 沒錯 他一開機ram幾乎就吃很多掉了 (在gui介面的確有看到吃很大) 但是session 真的吃很少 才幾MB的大小卻可以跑出上百種功能與設定 (現在想想真的是非常認同) 一開始原本還想說 如果用各q9550+4G ram+Linux 看效能有沒有辦法超過NS50 追上NS 208 XD (我太天真了 呵呵)
__________________
"PCDVD" 讓我學會了"敗家" 
|
|
|
2009-01-13, 12:40 AM
#13
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
不行~ 觀念不對  default gateway 要看"是誰的"default gateway.(以下簡寫DG) switch的DG是給switch自己用的, client PC送過來的封包, 如果沒有它自己的DG, 是不會經由L2 switch的DG再幫client轉送到3550的. 所以client的PC需要有自己的DG, 而這個DG就是L2 vlan的終點, 也就是必須設在L3 設備上. 跟你2960有沒有DG是無關的. client要直接把3550 上面同vlan的.254 IP 當作自己的DG, 不是設成L2的管理IP.  前面沒仔細看出你這個問題, 這也大概是你trace route有問題的癥結點. 現在這樣你整個IP規劃有頗嚴重的錯誤. 舉其中一個例子, 其他你舉一反三去改... e1=port1,以此類推..... 假設vlan50與60在2960上分別使用e1~e8 與e9~e16,以e17 uplink連到3550的e3, 2960 e17設802.1q trunk帶兩個VLAN ID(自己選吧), 3550 e3 也同樣設802.1Q,與同樣的VLAN ID. 在e3上bind 2個IP,分別是10.1.50.254與10.1.60.254各自對應到兩個VLAN , vlan 50與60內client的DG分別指到這兩個對應的.254 IP. 至於2960的管理IP就另外找. Good Luck..... |
|
|
2009-01-13, 12:44 AM
#14
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
感謝大大指教^^ 我懂您的意思囉 只是我一開始想說如果把所有default gateway直接只3550 是不是會造成他很忙碌 一開始蠢蠢得這樣想 經過各位大大講解 我了解您的意思了 謝謝囉^^ 
__________________
"PCDVD" 讓我學會了"敗家"
|
|
|
2009-01-13, 12:56 AM
#15
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
意思就是說 client的電腦 他們所指向的DG 都是在3550 上面所設定的IP對吧 3550 建立vlan 10 vlan 20 vlan 30 vlan 40 ....etc 那他們的interface 的IP就是 其他SW&client的gateway 而L2 2960的SW也要只向3550當作DG right??
__________________
"PCDVD" 讓我學會了"敗家"
|
|
|
2009-01-13, 01:05 AM
#16
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
YOU GOT IT!!  |
|
|
2009-01-13, 01:17 AM
#17
|
|
|
Major Member
加入日期: Jun 2005
文章: 152
|
引用:
題外話一下 小弟感覺Raziel大大您真的對network&security非常的熟悉  要想把這些東西搞懂 是不是去SI公司會比較好呢?(可以常碰) 小弟在一般公司當MIS+OP人員 感覺碰到網路的東西真的很少 都是自己看書 但是網路這東西對我來一下子沒去讀 很快就會忘記 尤其是eigrp ospf 真的是~沒碰觀念一下子就忘記 也可能平常都碰不到的原因....順便問一下現在的SI景氣是否也不太好呢 (長久來說,小弟是蠻想找SI的工作走  )
__________________
"PCDVD" 讓我學會了"敗家"
|
|
|
2009-01-13, 01:25 AM
#18
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
熟悉是還好,這些還算是很基本的. 當然在SI工作是比較會做到這些事情,不過要選在做網路為主的SI才會比較專精這些東西. SI還是有分很多種不同專長, 網路/套裝軟體/資料庫/AP開發...自己找個有興趣的來做就好. 網路業我是認為還會持續發展, ˋ至少還有十幾年可以走. 景氣雖然對什麼行業都有影響, 但對工作者來說, 做SI技術人員的過程就是在培養自己的技術能力, 累積自己的證照與經驗 這些都會奠定自己未來的身價. 不景氣時, 好手依舊會有工作,價碼依舊在某個水位, 而且 網路的知識一通百通, 不同產品只是指令不同, 算是knowhow保值性相對還不錯的領域. 不過這種工作要學的東西很多,若跟不上,自然也容易被淘汰, 跟MIS/OP 的穩定有很大不同 自己可以評估一下是否想挑戰. |
|
|
2009-01-13, 07:17 AM
#19
|
|
|
New Member
加入日期: Sep 2005
文章: 1
|
是呀~~si的環境和mis的環境是不一樣的,
我是一位曾經在mis和你一樣有想法到si界的mis, 不過我去完si界後又回到mis領域了, 不過在si界那時候學到的東西真的很穩, 我只能說掌握基本概念,相信自已的概念,當然這是經過求證的概念。 再來學什麼都很快~ 網路七層要懂、通,會有助你學習網路方面的知識 我大約的講了一下,如有得罪之處請見諒 |
|
2009-02-18, 06:09 PM
#20
|
|
