请问选择什么防火墙和多大的出口带宽？

seabillow

校园网，内部现在有57个网段（vlan），每个网段最多有80台机
拓扑为
内网－－》防火墙－－》cisco2950的交换机－－》电信。
交换机主要用作监控和测试，
  在出口做nat接入广州城域网100Mbps带宽，ippool有7个公网ip，
学生上网时间比较集中，
现在使用的这款防火墙是oem netscreen的 ，星期天在防火墙上做了对每个网段出口流量限制后，昨天晚上出现每20来分钟防火墙就几乎不转发包的问题，（我在出口交换机用sniffer抓包，平时都是使用率100％，100Mbps，但出现情况后就只有20Mbps，这段时间电信端没有问题。）

我想问下各位大侠，象我这种情况，下学期上网人数还会增加一倍（总共大概7000），出口要多大的带宽才能满足要求（用户要求上网至少要比adsl快），用什么型号的防火墙才行？

blues1205

看看这个

http://www.chinaunix.net/jh/29/66728.html

jonfan

采用那种防火墙不是主要，关键是计算出学校做高峰值的带宽和对话书数，才能确定使用100m墙还1000m墙的型号！

fushuyong

带宽其实倒是你要考虑的第二位的因素，你需要考虑的第一位因素是，你的防火墙的并发请求响应能力，如果并发响应能力不够的话，你有再高的出口带宽，防火墙都会限制了带宽的使用，发挥不出带宽的作用。 关于并发请求数量的简单计算公式是   节点数量X15＝总并发请求数。如果你有7000个用户，那么这数量应该是105K，你需要一个并发请求响应能力高于这个数值的防火墙。

blues1205

为什么是乘15呢？？很有可能大于15呀。。

Robinhood

15有可能是经验数据，在节点下还有代理时（特别是学校）确实可能超过。
本案的问题与并发流量有很大关系，看来防火墙能力不够了（不是品牌的问题）。
但强烈建议，不要使用Cisco的任何产品，实际对比结果：任何一款Cisco产品的能力都远不及一台Linux机器，而且操作复杂晦涩。
如果穷，为什么不用Linux？如果不在乎花钱，为什么不买Netscreen？

百日鬼

但是有一个问题，PIX设备只能指定一个Inside口，我没有看见你的网络结构，如果需要划分多个Inside口我建议你们使用Quidway& Eudemon1000 系列防火墙

Robinhood

PIX 535十五万都买不到吧？有那么多钱，只要手一挥，国产防火墙会来一堆人，就让他们免费给你出方案，也省得来论坛发帖子了。谁能保证性能就买谁的，合同上签好赔偿条款，而且3个月后付款～
要买Cisco可就没这个待遇了。
还有，买台高配的PC Server能花多少钱？CPU肯定不是可怜的PIII 1G，再找Linux专业厂商定制防火墙，也不过花个10万块（包括你的回扣，呵呵）。
总之，Cisco Solution=冤大头。

seabillow

看了这么多大侠的帖子，小弟在此谢过了     
国产的防火墙试用了不少，天网的，易尚的，fortinet的，天容信的，神州数码的，，，100m，1000m都试了，
现在反映上网好慢，内网有病毒是肯定的了，而且也有人搞ddos攻击，可是我也担心外网带宽不够，现在是100mbps，这边学生上网都比较疯狂，打连线游戏特别多，bt特多，而且端口都没有做任何限制。
晚上几乎都在上网了。

Robinhood

既然对用户那么透明，不如不用防火墙啊...就像是运营商。