一般的网络拓补图是这样子的吗

树欲静

leort

3560不可能用来做出口的,因为用不了NAT
除非你光猫调成路由模式,但没人这麽搞的
还有一种可能就是你用的5500 6500 6800这种框式交换机做核心层(巨贵无比,一般用在数千人以上的企业)
另外这些框式设备有的还要配合特定版本的引擎板卡才能做NAT

只能说你给的这个网络拓普有很多不合理的地方 就1台接入交换机就不用分层了
一台接入最多52口,一个C类的主类网段就够用了,想要抑制广播才再划分VLAN吧
如果真要搞这么小型的网络(50个终端)就直接用接入交换机上连出口的防火牆 (4层/7层) 就可以了
因为分层一般用于大型企业 优点在于方便定位故障和模块化的设计可以降低单点故障导致整个网络挂掉的风险

那换个场境假设规模大一点点 600人吧
计上那些什么打印机,电脑,杂七杂八的 大概800个终端
按你给的型号来设计的话,接入层用17台48口2960(现在基本都用9200) 汇聚用2台48口3850堆叠吧(3560不支持堆叠,但现在基本都用9300) 核心直接用下一代防火牆双机热备比较符合大部分企业现网环境

首先汇聚层堆叠 从物理上的两台变成逻辑上的一台
每台接入层分别使用最少两个10G口(预算真不够的话用1G电口也可以)做port-channel用trunk分別上连到两台汇聚交换机 确保了冗馀性,高可用性和交换带宽

然后配置方面
接入层主要做2层安全 和 一些基本的 vlan分段 隔离冲突域
汇聚层用SVI做VLAN间路由,ACL,路由策略等 再用3层口上连到核心层
核心层现在绝大部分基本上也是用下一代防火牆 把加密了的封包拆开检查 没问题才重签凭证放行(SSL inspection)
这个过程肯定是会把整体internet网速降低,而且防火牆可能标示1G带宽但开满IPS 防病毒可能只剩200M 但大部分企业其实也就上上网,不会P2P下载那些 东西向流量比南北向要多的时候 其实用下一代防火牆也是很好的选择
QOS做好基本上没问题,一般QOS就把老闆设成满速好让他看股票 小电影那啥的
领导的就多给点带宽 普通员工给个几兆左右就够了

但并不是说只能用防火牆当核心,这是性能和安全性的选择
只是这是企业环境,一旦中了毒是要找人背锅的
用户不懂电脑,老闆不懂技术,只知道每个月花钱请了IT 网管还中毒 到时候你懂的

soumns

你这张图里边只能说是小型企业园区办公网的网络拓扑图。从功能上来看，其实分为园区网，数据中心，运营商网络等等这么几类网络。从数量上来看通常稍微大型一点的网络都是很多PC 连接到接入层，很多接入层设备链接到汇聚层，再到核心层，再从网络出口出去的。我看你这个图里边特意区分了路由器和交换机。其实现在核心层的交换机的能力完全可以直接连到外网出口了。你这个图里边还缺防火墙。通常进到企业内部是需要防火墙做策略控制的出去的。

树欲静

soumns 发表于 2021-5-8 21:34
你这张图里边只能说是小型企业园区办公网的网络拓扑图。从功能上来看，其实分为园区网，数据中心，运营商网 ...

我的认知太浅了。也就是说，核心交换机当边界路由了，我图中路由器不需要也可以。是这样么？

soumns

树欲静 发表于 2021-5-16 16:11
我的认知太浅了。也就是说，核心交换机当边界路由了，我图中路由器不需要也可以。是这样么？

你可以理解为现在的网络设备发展的很快。其实很多交换机都具备了路由器的功能。只不过路由能力上会稍差一点。但是小型的网络中是足够用的。在运营商这种超大网络里，核心路由器的路由条目数要在几十万条左右。这种数量级的交换机是很少有能做到的。但是一般小型的网络，只用带路由功能的交换机是完全足够了的。