运维菜鸟：如何设计最基础的网站服务器和网络设备拓扑结构？ 10 台服务器

前端一个防火墙 一个内网交换机 一个外网交换机
机房线路--》防火墙--》外网交换机--》外网服务器
内网交换机--》mysql服务器 web服务器
机器上的网卡 一个做内网 一个做外网 也可以做聚合 大概是这样

三层交换机就OK了。
剩下就是策略配置了

@jwnlive 你的这个方案好像可以用一个 交换机搞定，在1个交换机划分2个VLAN后就可以。
不过，貌似通过交换机的方式感觉不够灵活吧，我感觉 让一个 路由器 在最前端是 最灵活的吧？

这规模好像用云服务器比较划算

@xenme 三层交换机？什么概念，能具体说说吗？

@Ghoul2005 是的，通常云可以，但是我们的应用需要自己跑，所以就 主机托管到 IDC 了

@yanerweb 带路由功能的交换机。
IDC给力的就是IP而已，所以，不需要拨号啥的，一个设备，这样就可以只占用1U的位置。
路由，VLAN，聚合啥的就看交换机功能了。

IDC 线路 - 防火墙（兼职路由器） - 交换机（2 VLAN）
一个 vlan 里放 Nginx，也就是直接对外的服务器。
另一个 vlan 放 webapp 和 mysql。

策略上限制仅允许 nginx （特定端口）进入 内部 vlan，其他拒绝。

@rrfeng VLAN是2层的，端口已经是三层以上了。

@xenme 高级 acl 支持协议或者端口识别

防火墙3个网口：
1个网口接公网
1个网口做DMZ区，接nginx服务器，防火墙做静态映射到nginx服务器
1个网口连交换机，交换机后面连web服务器和Mysql服务器

另外如果是三层交换机的话，web应用和mysql可以放2个vlan，当中做ACL保护mysql
或者有内网防火墙的话mysql可以放内网防火墙后面。这样外层防火墙被攻破的话，还有内网防火墙保护mysql服务器。

@xenme 你说的这个有 路由、VLAN、聚合、交换 功能的 “交换机” 大概多少钱那？ 能支持 200M 的带宽出口吗？ 是 比较贵的 交换机 吗？

|
接口1接IDC
|
____|_____
|—防火墙— |
|_________|
| |
接口2 接口3
| |
| |
______vlan1__vlan2_____
| |
| 交换机 |
|_____________________|
| |
vlan1 vlan2
| |
| |
| |
Ngnix和web 数据库服务器
在同一个vlan 独立一个vlan
网关在防火墙接口2 网关防火墙接口3



所有访问控制策略全部在防火墙上三个区域实施（untrust，trust，data）

(⊙o⊙)… 居然变形了 ~~~~~ /(ㄒoㄒ)/~~

@ccseven 你描述的“防火墙”功能好强大，貌似包括了“路由”的功能，有什么 型号 推荐吗？

@yanerweb 请到马云家 搜索 防火墙， 看中哪个价格合适，功能不用担心，肯定满足。性能你没提你预计的业务量，按我掐指一算也无需担心！ O(∩_∩)O~~~~

IDC如果提供安全防护的话就直接一台三层交换机搞定

@dingjssc 一个“社区”再安全，我还是想在我的“房子”装个大门！
何况 你去马云家看看，防火墙是有多贱卖啊~~~楼主这个需求，不考虑业务量我买个100多juniper淘汰防火墙都妥妥的满足功能性，性能上没准还能满足他业务量呢 (⊙o⊙)…

@yanerweb 三层网管型全千兆交换机，直接某宝搜。
三层带路由功能，网管型，一般都支持VLAN以及部分ACL功能，全千兆交换机，能满足你的吞吐量。
企业级的是贵点。
现在防火墙好多都是带路由功能的。

即让是IDC机房，基本不考虑网络拓扑了吧？
每台主机都可以接到思科75上面，你规划下怎么做负载均衡就可以了。