300左右用户测试环境架设请教!

wyz5403

现在的网络拓扑如下：

Internet - Firewall - Core Switch - ISA Server  
                                  |
                         L2 Switch --- Users


问题：
1.Panabit是否能与ISA Server配合使用？
2.如果1中答案是肯定的话，那Panabit改如何部署，两张网卡桥接模式串在Core Switch与ISA Server中间吗？ Panabit是该串在ISA Server WAN网卡还是LAN网卡(ISA 默认需要两张网卡配置).

能否给一个简单的Panabit部署示意图,说明网卡的连接方式！?

3.我想用标准版本做测试，这个没有问题吧？

panabit

你可以放在l2 switch和core switch之间。
可以用标准版测试，不过标准版不支持这么多用户数。

wyz5403

原帖由 panabit 于 2007-10-15 13:55 发表
你可以放在l2 switch和core switch之间。
可以用标准版测试，不过标准版不支持这么多用户数。

这样子的话会大大增加网络的风险，一旦Panabit出现故障，所有网络服务将不可使用，非常危险！
所以才考虑部署在用户Internet出口即ISA Server端的。

我最想知道的就是Panabit与ISA Server的配合使用，其它位置不予考虑！

wyz5403

还有，就是用户使用的是代理服务器上网的，走80端口，我不知道Panabit识别引擎是如何工作的。

在代理的这种环境下如果部署在L2 Switch与Core Switch之间，Panabit仍可以正确识别数据吗？

panabit

你可以先采取旁听的方式部署panabit，如果一段时间后没有问题，就可以桥接进取。
一般都采取这样的测路部署。

wyz5403

原帖由 panabit 于 2007-10-15 15:42 发表
你可以先采取旁听的方式部署panabit，如果一段时间后没有问题，就可以桥接进取。
一般都采取这样的测路部署。

想请教一下旁听方式如何部署配置Panabit？ 是需要交换机的支持的吧？

另问题不在于Panabit是否有问题，而在于 Core Switch- Panabit - L2 Switch肯定是不为企业接受的。部署Panabit初衷是为了过滤Internet数据，为了达到此目的部署与LAN间增加了一个很大的可疑故障点，甚至严重影响到关键LAN内的业务数据传送，这是得不补失的！

Lucifer

过滤Internet数据？你想做行为控制的话这个不适合你哦。如果用户数量达到300可以考虑用专业版配合支持bypass功能的板子故障率就很低了。另外我是部署在核心出口处连续运行快达到150天了。看你这套拓扑也不是互联网依赖型企业，找台旧电脑装个标准版做简单的流量整形就可以了。很多昂贵的设备对协议的识别还真没有这个强大

baggio

您好：

     1、要使用Panabit做流量控制，必须采取桥接的方式部署。 （旁路方式只可以做分析）
  
     2、从您的拓扑看，Firewall也是故障点，单点故障是部署于主干链路的每一个网络设备都要面对的问题。一个系统/设备的稳定性如何，只有实际应用后才知道。当然，您可以先做一番是否可用的风险评估。

     3、网站“文档”栏目中提供的“Panabit运行实例简介”，是一个目前仍在实际运行的ISP案例，其网络出口为200M，用户数以千计。具体的应用情况与稳定性详见:   http://www.panabit.com/document/panabit_run_jianjie.html

wyz5403

原帖由 baggio 于 2007-10-15 21:58 发表
您好：

     1、要使用Panabit做流量控制，必须采取桥接的方式部署。 （旁路方式只可以做分析）
  
     2、从您的拓扑看，Firewall也是故障点，单点故障是部署于主干链路的每一个网络设备都要面对的问题。 ...

不瞒你说，300数量只本集团内的一个小公司，IT老板的意思是想部署这么一套设备以管控Internet应用，得以实现的话可能会部署在近2000电脑的环境中，此环境下Firewall是双PIX做Redundant的。公司的核心IT服务有Mail SAP Oracle DB... 关键业务肯定是要得以保证稳定的！

如果可以的话可以付费请你们提供技术支援与部署支持并购买专业版本的。 当然，也得我自己先测试一下实际的应用效果如何，肚里有量才好跟老板提出项目计划。

我先行测试，如果成功的话有机会发测试报告上来吧！呵呵！

time

ISA server，如果记得没有错的话，就是原来的MS Proxy的后续版本，把防火墙的功能与缓存（Cache Server）的功能合在一起，工作方式是在交换机上端口重定向，把80端口的数据包经过ISA，代理缓存，从而实现了客户端的透明缓存，节省出网流量，提高响应速度。此时ISA就类似直接连接交换机的一台PC。如果将Panabit串接在交换机与ISA之间，可以串接工作，不会影响你的应用，也会根据经过ISA的流量进行识别，但不知进出往流量有多少经过交换机重定向到ISA，如果所有的流量都经过ISA的话，串接在之间，可以限速控制，如果流量小的话，意义不大。

Panabit最好的位置是L2与core之间。可以先在交换机的镜像端口上做流量分析测试，如果到达ISA的流量比较大，仅想对这部分流量处理，可以串接在core与ISA试试，我们没有经历过此案例，您试试吧，有什么情况再一起告诉我们和大家。Panabit做限速控制，是一种纯网桥工作方式，桥上不需要配IP地址，所以不改变原有网络的配置，不需要任何设备的配合，就当着一个网线加长连接器看就行了，一旦接入网络，Panabit就会分析数据包工作。