我对新基础设施的设计确实感到困惑。让我来解释一下我们的场景。我的任务是彻底重建我们的网络基础设施。
要求是隔离我们的生产、开发/IT、实用程序/测试、iSCSI 和办公室用户流量。让我困惑的问题是动态 DHCP。
让我解释一下。
我和我们的普通用户以及开发团队位于同一个办公室。除了域控制器和我们的 Exchange 服务器之外,我不想允许普通用户通过 LAN IP 地址访问我们的生产机器。但是我需要允许 IT/Dev 访问。每个 VLAN 都有一个单独的子网,我们所有的交换机都是 L3。我的核心交换机将是 Juniper EX4200 堆栈,我们总部的交换机将是 Juniper EX2200 POE。
我确信可以通过几种方式实现这一点,但管理似乎会变得非常困难。我想到了一些想法:
1)具有多个 DHCP 服务器范围并通过静态输入 MAC 地址来限制每个 MAC 地址。
2)为 DEV/IT 静态设置 IP 地址
3)可能让交换机分发 DHCP
然而,以上这些似乎都不是好的选择。我似乎错过了一些非常简单的东西,但我不知道是什么。
答案1
我不是网络专家,但你要找的术语是 IP Helper。对于 Juniper,我相信他们称之为 DHCP Relay。 这个文件解释如何配置 EX 系列交换机以使用 DHCP 中继。
基本设计和流程如下:将您的网络划分为多个 VLAN。
- Vlan 1 可以是您的生产服务器(例如 10.1.0.0)
- Vlan 2 可以作为您的开发服务器(例如 10.2.0.0)
- Vlan 3 可以是您的业务(用户)网络(例如 10.3.0.0)
- Vlan 9 可以作为您的内部 DMZ(例如 10.9.0.0)
将 DHCP 服务器置于 vlan 9
在交换机上,将每个 vlan 的 IP 助手 (用于 DHCP) 设置为 vlan 9 中 DHCP 服务器的 IP 地址。
在 DHCP 服务器上,添加将联系 DHCP 服务器的每个范围(10.1.、10.2.、10.3.、10.9. 等)。
每个 VLAN 中的计算机在需要 IP 地址时都会发送 DHCP 发现数据包。交换机将接收该数据包,并将其从子网(DHCP 仅向其自己的子网广播)转发到您为 DHCP 服务器指定的 IP。DHCP 服务器会检测计算机所在的子网,选择正确的范围,并在其各自的子网中为计算机提供可用的 IP。
当然,服务器和其他基础设施项目应该始终有一个静态 IP 地址(甚至不仅仅是保留的 DHCP 地址)