Новый дизайн сети от нуба. VLAN, IP-адреса, оборудование и т. Д. Любые комментарии, пожалуйста

8

В настоящее время я планирую крупную сетевую инфраструктуру для университета в Эфиопии и хотел бы, чтобы люди прокомментировали мое планирование. Пожалуйста, имейте в виду, что я никогда раньше не общался. Кампус охватывает 80 зданий, включая лаборатории, администрацию, учебные и общежития. Все здания будут иметь проводной, беспроводной, VoIP и принтеры. Каждое здание имеет 3 этажа и сочетает в себе компьютеры для персонала и студентов.

Центр обработки данных обеспечит хранилище SAN и программную АТС. Развертывание Win2k8. Я использую оборудование Cisco на протяжении всей установки с включением основных коммутаторов Cisco 6500 L3 с оптоволоконным соединением 1 Гбит / с или 10 Гбит / с (MM и SM) в 5 комнатах связи. В каждой комнате связи также есть коммутатор Cisco 6500 L3. Каждое здание подключено к ближайшей комнате связи с помощью оптоволоконного соединения 1 Мбит / с (MM). Каждое здание будет иметь коммутатор Cisco 2960 L2 с восходящей линией связи на этаж 1 и 2.

Я использую VLAN для разделения подсетей следующим образом:

Здание 1 -> VLAN 10 -> Проводные компьютеры -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Здание 1 -> VLAN 11 -> Студенческие компьютеры -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Здание 1 -> VLAN 12 -> Беспроводные компьютеры -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Здание 1 -> VLAN 13 -> Телефоны VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Здание 1 -> VLAN 14 -> Принтеры и устройства -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Здание 2 -> VLAN 20 -> Проводные компьютеры -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Корпус 2 -> VLAN 21 -> Студенческие компьютеры -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Здание 2 -> VLAN 22 -> Беспроводные компьютеры -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Здание 2 -> VLAN 23 -> Телефоны VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Здание 2 -> VLAN 24 -> Принтеры и устройства -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Building 80 -> VLAN 800 -> Проводные компьютеры -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Building 80 -> VLAN 801 -> Студенческие компьютеры -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Building 80 -> VLAN 802 -> Беспроводные компьютеры -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Здание 80 -> VLAN 803 -> Телефоны VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Building 80 -> VLAN 804 -> Принтеры и устройства -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Все здания -> VLAN 199 -> Управление и собственное оборудование -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Я сопоставил IP-адрес с виртуальной локальной сетью, чтобы было легко отслеживать IP-адреса в физических местах.

Вопросы: 1. Должны ли я иметь телефоны VoIP на одном и том же VLAN или отдельном VLAN для каждого здания, как я делал выше?

2, те же вопросы, что и 1, но для принтеров?

3, я планировал, чтобы коммутаторы Cisco 6500 L3 выполняли маршрутизацию между vlan между vlan. Будет ли это хорошим решением. Нужен ли мне также маршрутизатор или аппаратный брандмауэр, если я использую маршрутизацию L3-коммутатора? Мой широкополосный вход от интернет-провайдера - RJ-45 Ethernet соединение.

4, Любой другой комментарий о моей реализации будет принята с благодарностью, так как я полностью нуб на этом.

заранее спасибо

networking cisco ip vlan Stokie Mike
источник
8
«Пожалуйста, имейте в виду, что я никогда раньше не общался». - Как, черт возьми, вы получили этот контракт?
Том О'Коннор
6
Я испугался. Никогда прежде слова «Наймите профессионала» не были более подходящими.
Том О'Коннор
2
Если это не домашний вопрос, я думаю, что вы, возможно, захотите перечитать комментарии @ Тома, пока не наймете кого-нибудь еще, чтобы сделать это.
Джскотт
7
Мне трудно понять, что есть бюджет для всего этого комплекта, но нет бюджета, чтобы нанять кого-то, чтобы правильно его настроить.
Никгрим
11
Я не удивлен, что кто-то без опыта делает это. Квалифицированные рабочие невероятно трудно найти в Африке. Оборудование может быть пожертвовано, возможно, не было бюджета для покупки оборудования. Там может быть буквально нет денег, чтобы потратить на эти проекты. Найм профессионала может быть и речи. Если этот человек этого не делает, то у него нет сети.
Рори

Ответы:

4

У меня есть пара проблем, во-первых, размер ваших VLAN - вы действительно хотите 4k машин на VLAN в студенческой среде? представьте себе, насколько труднее будет сузить проблемные машины / пользователей в этой среде, а также количество пользователей, потенциально подверженных влиянию этих проблемных машин? Я был бы соблазн пойти на гораздо более мелких VLAN самостоятельно.

Во-вторых, я больше беспокоюсь о ком-то, кто считает себя новичком, разрабатывающим и внедряющим такую ​​сравнительно большую и сложную сеть, - я бы подумал о привлечении некоторых профессионалов.

Chopper3
источник
«Я сам соблазнился бы пойти на гораздо меньшие VLAN», так что вы бы предложили разделить виртуальные локальные сети, скажем, на уровни (0,1,2), каждый из которых имеет меньшее количество компьютеров?
Stokie Mike
Я согласен на привлечение профессионалов, но я волонтер, оказывающий как можно больше помощи. Я оценивал различные компании за профессиональные советы и, честно говоря, я бы сказал, что знаю больше и стоил намного дешевле,
смеется
И я намного более надежен - я надеюсь :)
Stokie Mike
3
Да, в основном, меньшие vlans, то есть разбить его по полу / физическим сегментам и т. Д. О, и приятно, что вы делаете все возможное, но на самом деле ничто не заменит опыт и квалификацию.
Chopper3
Я добавил в свой дизайн больше vlan, которые включают StaffManagement и студенческие этажи для общежитий; уменьшит влияние взлома и распространения вирусов. Спасибо огромное за вашу помощь. Я полностью согласен с вашим комментарием об опыте, но я открыт для советов и провожу много исследований.
Стоки Майк
1

  1. На мой взгляд, вы можете поместить их все в один vlan (лучше для управления vlan), но вы также можете просмотреть альтернативу, оставив их такими, какими вы их изначально проектировали (beeter для географического управления)

  2. Я всегда разделяю принтеры по назначенным им сетям (например, отдел маркетинга. Принтер находится в отделе маркетинга. Vlan)

  3. Хотя маршрутизацию между виртуальными локальными сетями проще выполнить с помощью «router-on-a-stick», если бы вы могли использовать коммутатор L3, это будет лучше с точки зрения производительности. (но немного сложнее настроить)

  4. Как вы управляете своими беспроводными сетями? одна точка доступа на VLAN?

PS: для начинающих в сети вы наверняка приобрели себе хорошее оборудование :)


источник
Привет, спасибо за ваш вклад, мне очень помогает. Это хороший комплект, я предпочитаю организацию закупки надежного оборудования, мой предшественник приобрел неуправляемые коммутаторы, которые просуществовали всего несколько месяцев. Надеемся, что комплект Cisco скоро появится. 1, мне нравится идея отдельных сетей VLAN для VoIP, так как я могу определить местоположение по номеру VLAN. 2, так что вы бы порекомендовали поместить принтеры в тот же VLAN, что и компьютер, проще. 3, L3 Inter-Vlan мое предпочтение, имитировали его в Packet-Tracer. 4. Размещал все беспроводные точки доступа для одного здания в 1 vlan, другое здание использует другой vlan
Stokie Mike
4. Опять же с беспроводным, какое оборудование вы используете? сколько точек доступа в сети? из чего сделаны здания? Стены позволяют радиоволнам проходить через? Каналы перекрываются? Есть ли необходимость в безопасности? Шифрование? (Просто еще несколько мыслей от макушки)
Хорошо, я начинаю с 50 точек доступа, расположенных в 15 небольших зданиях. Между одним и двумя точками доступа используется на этаже. В зданиях очень продуманные бетонные стены с закладными стальными решетками. Я выяснил, что радиоволны будут проходить через 3 стены подряд. Изменения будут перекрываться между этажами - это нормально? Я считаю, что нет необходимости в безопасности, будет использовать сервер RADIUS с аутентификацией LDAP. Спасибо
Стоки Майк
1

Я заметил, что вы не различали какие-либо сети / типы компьютеров по степени риска или качеству обслуживания.

Я хотел бы подумать о том, какие машины в любой из ваших сетей могут содержать конфиденциальные данные (медицинские / личные / финансовые), и создать для них отдельные VLAN, чтобы вы могли управлять и контролировать доступ. В университетах, как правило, существует культура открытого и свободного доступа, но при необходимости необходимо ограничить доступ, чтобы предотвратить мошенничество, шантаж, уничтожение данных и т. Д.

Также посмотрите, где находится ваш комплект VOIP - если все это в чисто логических сетях VLAN, убедитесь, что для него установлено QoS, иначе, когда сети заняты, вы обнаружите, что VOIP непригоден для использования.

Обновление VOIP : VOIP гораздо более чувствителен к задержкам, джиттеру и другим проблемам, от которых TCP / IP больше всего подвержен. Пакеты данных могут поступать в нечетное время или даже не в порядке, и стек TCP / IP довольно хорошо перестраивает информационный поток. С голосовым трафиком вы легко заметите дрожание или пропущенные пакеты, и голосовой трафик, превышающий действительно низкий порог, становится непригодным. Вы можете улучшить качество, добавив задержку (чтобы разрешить буферизацию большего количества пакетов), но это также раздражает пользователей. QoS (качество обслуживания), которое позволяет вам делать на уровне маршрутизатора, - это приоритезация трафика, чувствительного ко времени, за счет трафика данных. Ваши данные по-прежнему будут передаваться, но, поскольку они более защищены от временных проблем, это не имеет значения.

Но мои главные комментарии были бы - серьезно, получить профессионала в; это не маленькая сеть, и удачи с ней, надеюсь, что все пройдет хорошо.

Рори Олсоп
источник
В моем оригинальном дизайне было больше vlan для разделения конфиденциальных данных, но мне сказали, что мне нужно много vlans. Думаю, я вернусь к своему первоначальному дизайну VLAN. Не могли бы вы объяснить: «Также посмотрите, где находится ваш комплект VOIP - если он все находится в чисто логических VLAN, убедитесь, что для него установлено QoS, иначе, когда сети заняты, вы обнаружите, что VOIP непригоден». Получить профессионала в этом случае невозможно, и университет обратился за помощью к добровольцам.
Стоки Майк
Это также очень захватывающий проект и прекрасная возможность для меня и университета. Я видел другие инсталляции, сделанные профессионалами - очень плохо реализованные и ненадежные. Еще раз спасибо.
Stokie Mike
@Stokie - быстрое обновление VOIP и QoS для вас.
Рори Олсоп
Спасибо agian за вашу помощь. Я использую коммутатор L3 для маршрутизации между виртуальными сетями. Могу ли я выполнить QoS там (Cisco 6500 Sup 720)?
Стоки Майк
Найдена некоторая информация о QoS и Cisco 6500 на cisco.com/en/US/products/hw/switches/ps708/...
Stokie Mike