我目前正在为埃塞俄比亚的一所大学规划大型网络基础设施,希望大家对我的规划提出意见。请记住,我以前从未做过网络。校园覆盖 80 栋建筑,包括实验室、行政、教学和宿舍。所有建筑都将配备有线、无线、VoIP 和打印机。每栋建筑有 3 层,并配有教职员工和学生电脑。
数据中心将提供 SAN 存储和软件 PBX。部署是 Win2k8。我在整个安装过程中使用 Cisco 设备,包括 Cisco 6500 L3 核心交换机,通过 1Gbps 或 10Gbps 光纤连接(MM 和 SM)连接到 5 个通信室。每个通信室还配有 Cisco 6500 L3 交换机。每栋建筑都使用 1Gbps 光纤连接(MM)连接到最近的通信室。每栋建筑都将配备 Cisco 2960 L2 交换机,上行链路连接到 1 楼和 2 楼。
我使用 vlan 来分离子网,如下所示:
楼 1 -> VLAN 10 -> 有线计算机 -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0
1 号楼 -> VLAN 11 -> 学生电脑 -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0
建筑物 1 -> VLAN 12 -> 无线计算机 -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0
建筑物 1 -> VLAN 13 -> VoIP 电话 -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0
建筑 1 -> VLAN 14 -> 打印机和设备 -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0
2 号楼 -> VLAN 20 -> 有线计算机 -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0
2 号楼 -> VLAN 21 -> 学生电脑 -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0
楼 2 -> VLAN 22 -> 无线计算机 -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0
建筑物 2 -> VLAN 23 -> VoIP 电话 -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0
建筑物 2 -> VLAN 24 -> 打印机和设备 -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0
80 号楼 -> VLAN 800 -> 有线计算机 -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0
80 号楼 -> VLAN 801 -> 学生电脑 -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0
80 号楼 -> VLAN 802 -> 无线计算机 -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0
建筑物 80 -> VLAN 803 -> VoIP 电话 -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0
建筑物 80 -> VLAN 804 -> 打印机和设备 -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0
所有建筑物 -> VLAN 199 -> 管理和本机 -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 我已将 IP 地址映射到 vlan,因此可以轻松地将 IP 地址追踪到物理位置。
问题:1、我是否应该将所有 VoIP 电话放在同一个 VLAN 上,还是像上面所做的那样,为每栋建筑设置单独的 VLAN?
2、问题与 1 相同,但针对打印机?
3、我计划使用 Cisco 6500 L3 交换机在 VLAN 之间进行 VLAN 间路由。这会是一个好的解决方案吗?如果我使用 L3 交换机路由,是否还需要路由器或硬件防火墙?我从 ISP 获得的宽带输入是 RJ-45 以太网连接。
4、由于我在这方面完全是新手,所以对我的实现的任何其他评论都将不胜感激。
提前致谢
答案1
我有几个顾虑,首先是 VLAN 的大小 - 在学生环境中,您真的希望每个 VLAN 有 4k 台机器吗?想象一下,在这种环境中缩小问题机器/用户的范围会有多困难,再加上可能受这些问题机器影响的用户数量?我自己会倾向于使用更小的 VLAN。
其次,我更担心那些认为自己是初学者的人设计和实施如此相对庞大而复杂的网络——我会考虑聘请一些专业人士。
答案2
在我看来,你可以把它们全部放在一个 vlan 中(更适合 vlan 管理),但你也可以查看替代方案,让它们保持你最初设计的样子(更适合地理管理)
我总是将打印机拆分到它们所分配到的 VLAN 中(例如:营销部门的打印机位于营销部门 VLAN 中)
尽管使用“单板路由器”进行 VLAN 间路由更容易,但如果您可以使用 L3 交换机进行路由,从性能的角度来看会更好。(但设置起来有点困难)
您如何管理无线 VLAN?每个 VLAN 一个接入点?
附言:对于网络新手来说,你肯定拥有一些不错的设备:)
答案3
我注意到您没有根据风险或服务质量区分任何网络/计算机类型。
我会考虑一下你的网络上的哪些机器可能包含敏感数据(医疗/个人/财务),并为它们创建单独的 VLAN,以便你能够管理和审计访问权限。大学往往具有开放和自由访问的文化,但你需要考虑在必要时锁定访问权限,以防止欺诈、勒索、数据破坏等。
还要看看您的 VOIP 套件位于何处 - 如果它全部位于纯逻辑 VLAN 上,那么请确保为其设置了 QoS,否则当网络繁忙时您会发现 VOIP 无法使用。
VOIP 更新:VOIP 对延迟、抖动和其他问题更为敏感,而 TCP/IP 则基本不受这些问题的影响。数据包可能在奇怪的时间到达,甚至可能无序到达,而 TCP/IP 堆栈可以很好地重建信息流。对于语音流量,您很容易注意到抖动或丢失的数据包,并且超过非常低的阈值,语音流量将变得不可用。您可以通过增加延迟(以允许缓冲更多数据包)来提高质量,但这也会让用户感到烦恼。QoS(服务质量)允许您在路由器级别以牺牲数据流量为代价优先处理时间敏感的流量。您的数据仍会通过,但由于它对时间问题更不敏感,因此它往往无关紧要。
但我的主要意见是 - 认真地找一个专业人士;这不是一个小型网络,祝你好运,希望一切顺利。