防火墙旁挂的问题？

这样不能实现防火墙功能吧，大部分都是要让防火墙作为网关或者网桥模式部署的。建议你咨询下技术支持。如果你一定用旁路模式，只能实现行为管理的功能，而且直接用windows软件就可以（比如:WFilter)，不一定要设备的。既然有设备，还是考虑网桥或者网关模式。

一个大型企业怎么来规划网络，比如1000台电脑，怎么选择交换机、路由器和防火墙，有哪些好的建议吗？

对于1000多个节点的企业组网，需要考虑网络规划，网络可靠性设计，网络安全设计等，不仅仅是购买交换机，路由器和防火墙的问题。下文针对这个问题说一说。

需求分析

• 与不同的业务部门进行沟通，了解每个时间段的业务量，组网结构需要满足业务部门的需求；
  

• 针对这种中大型局域网，需要根据部门或者位置划分VLAN,每个部门对应一个VLAN和网段，不同VLAN的数据在三层汇聚交换机或者核心交换机中交换数据；
  

• 如下表所示，给出了一个VLAN划分和IP端的划分，根据实际情况进行规划。
  

网络拓扑结构

• 网络拓扑结构如下图所示，内部网络采用三层结构，核心层，汇聚层，接入层。其中核心层用来完成数据的高速转发，核心层设备最好部署两台，增加整个网络的了可靠性。接入层设备用来实现办公电脑的接入，无线AP的接入，并且完成上网认证等；
  

• 路由器连接运营商提供的出口网络；
  

• 防火墙连接在出口路由器和内网核心交换机之间，用于保护内网，阻拦非法访问；
  

• 如果企业有对外服务，比如对外网站，邮件等，需要将这些服务器连接到防火墙的DMZ区域。
  

IP地址的分配

• 业务服务器和监控，打印机等应该使用静态地址，以便于管理控制；
  

• 网络设备的IP地址使用32位掩码的地址，与办公网等隔离，防止非授权人员随意配置网络设备；
  

• 网络设备的互联地址使用30位掩码的地址，比如静态路由器，OSPF路由的互联地址等，节约ip地址的同时可以提高收敛速度；
  

• 办公电脑,无线终端的IP地址，建议使用DHCP服务器根据不同部门的VLAN进行自动分配。
  

一种新的组网方案

• 可以考虑PON网络，即无源光网络，采用了类似与运营商网络的结构组建企业网，由OLT、ODN、ONU组成；
  

• OLT设备连接上游核心交换机，ODN连接ONU，实现接入，全程使用了光网络，用光纤代替双绞线，用分光器代替了汇聚交换机；
  

• 这种组网方式适合初次组网，一次性投资比较大，但是后期管理维护费用会低很多；
  

• 网络结构参考下图。
  

总结

这里只是对企业网络的建设做个简要的介绍，还需要考虑机房建设，综合布线等各类问题。

对于企业网的组建，大家有什么看到呢，欢迎在评论区，留言讨论。

如需更多帮助，请私信关注，谢谢。

Ac控制器直连还是旁挂？该怎么做？

首先建议AC旁挂的组网，这样组网更安全，也便于你后续故障快速定位和处理。

没有你数据规划，大题说下配置思路：

AR到两个运营商两个上行，建议做动态路由，用ospf cost值区分平时主用哪个，再全局下配置bfd 关联两个接口，再引用到ospf里就可以了。

AC上的业务做集中转发，你组网里没有专门的认证服务器，那就做免认证的。

交换机就纯二层透传。

配置很简单，其他基础配置相信你也都知道，如果有需要讨论的欢迎留言，谢谢查看。

公司有150人网络需要怎么部署？

感谢悟空小秘书的邀请。

根据我所知道的回答一下这个问题。

首先梳理一下题主的问题和需求：

• 组网终端数：人数150人左右，加上办公设备、监控设备、无线设备，接入终端数估计在500左右；
  

• 无线需求：使用ac+ap的方式部署无线网络；
  

• 网络安全：需要上网行为管控。
  

根据题主提出的几个要求，这里给出一个组网方案，仅供参考，如有不当之处，请在评论区，留言讨论。

网络拓扑和设备的选择

• 网络结构建议采用两层结构，核心层和接入层；
  

• 核心层：核心层设备用于完成企业内网的高速数据转发，各个VLAN的接口地址，即网关地址可设置在核心层交换机；
  

• 由于核心层设备是整个网络的关键所在，影响到整个网络的稳定性、可靠性。建议使用两台核心层设备，开启VRRP协议进行网关冗余、开启LACP协议链路聚合，提高可靠性；
  

• 核心层设备可以参考华为的S9300系列的交换机，S5700系列的交换机也可以满足需求；
  

• 接入层设备：用于连接用户终端，无线AC控制器等，性能指标方面参考华为的S1700、S2700系列的交换机。
  

IP地址规划

• 500多个终端地址，可以考虑用多个C类私有地址组网，比如192.168.0.0、192.168.1.0等，也可用一个B类私有地址比如172.16.0.0，然后划分子网的方式；
  

• 500多个终端根据部门、功能等划分不同的VLAN，用于隔离广播域，同时为了方便网络管理；
  

• 服务器、监控等使用静态IP地址，办公终端等根据VLAN使用DCHP自动分配IP地址；
  

• 网络设备采用32位掩码，全网统一规划。
  

无线接入方式

• 题主要求无线接入使用AC+AP的方式，将AC管理器连接到接入交换机，对所有的AP进行集中管理；
  

• 在部署AP时，要注意信道的干扰问题，使用完全相互隔离的频道，防止无线AP之间的信道干扰。AP信道设置如下图所示：
  

网络安全需求

• 接入控制，可以使用成熟的802.1x接入认证，认证数较少时，可以考虑交换机设备认证，由于有500多个终端设备，建议使用radius服务器进行统一认证，绑定mac地址和ip地址，实现接入控制；
  

• 题主要求对网络流量进行监控，可以考虑部署天融兴等厂商提供的IDS或者IPS设备，对网络流量进行监控。
  

对于组建企业局域网，大家有什么看法呢，欢迎在评论区，留言讨论。

如需更多帮助，请私信关注。谢谢

10人以下、100人以下小型局域网应该如何组建？

局域网是当下互联网盛行时代最基本的网络单元，构建一个适合自己网络应用的局域网是实现畅通网络办公的基础，需重视。

10人以下的局域网

如果每个点比较近，在80米范围内。带宽申请200M兆的普通宽带即可，设备选择企业级无线路由器，交换机选择24口百兆，品牌选择华三，华硕，网件等均可。如果超过80米，最好用单模光纤接入。IP规划才用C类私有地址，即192.168.1.0/24。

100人以下的局域网

• 最好按照部门或者相关属性分几个VLAN，从而更好管理。带宽可以申请企业互联网专线50M，实现网络上行和下行对等，保障企业办公之需。
  

• 对标10人以下的企业网，综合布线部分没有什么区别，严格按照弱电标准布线，距离在80米范围内，超过距离的用光纤，接线标准用568B。
  

• 设备成员，路由器采用企业级路由器涵盖上网行为管理功能1台，千兆三层交换机1台，普通24口交换机5台。
  

• 无线部分采用AC+AP模式，购置一台POE路由器，管理AP，所有AP均从路由器部分获得地址，接入网络。品牌可以选择大厂中等型号企业级设备。
  

• IP规划部分，有线IP地址和无线IP地址分为两个网段，在三层交换机设置相关设备互访，比如共享的网络打印机，服务器等。无线和有线网段分开为了避免广播风暴，另外可以针对无线设置流控，保证有线办公网络畅通。
  

• 100人以下的网络需要购置一个2.1米的机柜，放置线缆和设备，美观大方。
  

各位老铁对于100人的局域网由什么高见请留言讨论，关注可以成为朋友。