核心设备，一般的中大型网络建议买3层交换机，三层交换机具有连接大型网络的能力，功能基本上可以取代某些传统路由器，但是价格却接近二层交换机。现在一台百兆三层交换机的价格只有几千元，与高端的二层交换机的价格差不多。另外可以在访问列表中进行设置，屏蔽掉一些病毒常用端口，以避免一些病毒在网络内部相互感染和传播。

   本人通过在大中型校园网络和网吧中经常测试，CISCO3550、3750都是不错的设备，但价格高了一点。性价比较好的是，锐捷的3750、华为的37等，价格便宜的有中兴的5928、博达的3224，中兴的T40也是可以的。

   另外，在网络入口上，通常采取硬件防火墙、代理服务器、也有很多采用的是市场上用的宽带路由器和常用以前的老式的网络接入路由器（思科的2514、2516、3600等）。在网络的接口上我们主要针对没有多的公网地址，而做内部私有地址的转换功能。由于中间有三层交换机的存在，网络接入路由器的价格也是比较高的，所以一般不采用网络接入路由器。效果最好的是采用硬件防火墙，本身可以做很多应用规则对网络攻击有很好的防范，同时也提供地址转换功能。如：FORTNET200、NETSCREEN等都是很好的，但价格比较高。代理服务器：可以有二种类型，一种是采用市场上现有的代理服务器软件，安装在一台个人计算机上，这种方式使用起来比较方便，但不够灵活；还有一种是自己用LINUX做一个代理服务器（通常叫软路由），这样的价格比较便宜，就需要一般的PC配置二张好的网卡就可以了，自己可以灵活配置很多规则，但代理服务器配置起来比较麻烦，对于一般的网络管理人员来说可能有点不方便。还有就是，市场上使用的宽带路由器，这种方式是现在小型网吧使用的最多的，价格也是最便宜的，同时也是最方便的。

   以我个人的经验，一般大型的网吧最好采用硬件防火墙，拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等，有效地抗击各种攻击，保护内部网络安全和正常运行；中型的网络采用代理服务器方式，代理服务器最好自己通过LINUX配置，这样可以根据实际情况合理做好应用规则和合理分配缓存区域；小型的网吧可以采用宽带路由器（一般DLINK的比较多），价格便宜，配置管理方便。

   中小城市网吧虽然规模都不大，但随着网络应用的增加，网民需求也越来越高，所以能在网络接入与局域网组网上打好基础，是重中之重，以上为我个人一些实际组网的经验，希望对大家有所帮助。