一个月内,我们公司将搬到一个新的办公地点,大约有 35 名员工,而我作为唯一的系统管理员,负责为所有四个楼层设置新网络,我希望听听您的想法和建议,以便如何最好地完成这项工作。
到目前为止,我所知道的是,三层楼将有一个 9U 交换机机柜,其中一层楼将有一个完整的机架(IT 部门楼层)。在 IT 部门楼层,我们将有两个来自不同服务提供商的传入连接。
所以我的问题是......
您要使用什么设备来完成这项工作?在 IT 部门楼层以及其他三层。
您会对局域网本身使用什么技术?
由于其中一个服务提供商仅用于故障转移目的,您将如何处理第一个服务提供商的中断,即故障转移到第二个服务提供商?(我不介意手工劳动,但如果可以不用手工劳动,那当然是最好的方法)
正如我所说,这是一张空白纸,任何人都可以填写,我心中已经有了自己的想法,但我想听听其他人的观点以及有经验的人的意见,请详尽一点。:-)
编辑:为了实现远程办公的目的,我们还需要在任何正在使用的路由器上配备某种 VPN 功能。
答案1
我会选择以下内容。
每层楼都铺设两套 CAT6 电缆,连接到机柜。另一端终止于 IT 楼层。每层楼都使用托管交换机,建议使用 1 GB 端口。我建议为未来增长而使用托管交换机。使用一套 CAT6 电缆连接每台交换机。保留第二套以备不时之需。如果可能,请在现场保留一个备用交换机。
我个人会在 IT 楼层同时使用交换机和路由器,这样每个楼层都可以有单独的子网。路由器不是必需的,但它可以为未来的增长提供更多空间。在发展过程中解开带有静态 IP 的子网并不是一件有趣的事情。由于您有一张白纸,这将是一个好时机。
就您对故障转移/防火墙配置的要求而言,有很多选择。几乎任何产品都可以处理手动故障转移,只要您可以进入建筑物并从内部进行更改即可。
产品推荐有点超出范围,但我将分享一些额外的想法 - Cisco 和 Juniper 制造了优质的网络设备,包括路由器和交换机。HP 和 Dell 制造了不错的低成本交换机,但它们在检测网络环路的方式上可能存在一些兼容性问题。我不太喜欢 Cisco ASA 系列防火墙。SonicWalls、Forefront 和各种 Linux 衍生的防火墙对我都很好。
答案2
仅当您的所有连接都是出站连接时,您站点本地的某种故障转移(例如,当 FOO-ISP 断线时,将外部网关上的以太网电缆从 FOO-ISP 切换到 BAR-ISP)才有意义。否则,您将需要自己的网络块(分配给您公司的一组 IP 地址),并在外部路由器上运行通往两个 ISP 的 BGP(问题:您是否在“最后一英里”有物理备份,以防有人用反铲挖土机在寻找埋地电缆之前决定挖掘?)以便在其中一个发生中断时自动切换。
我赞同@Tim Brigham 使用智能交换机的建议,因为它们具有各种各样的功能,当用户决定开始随机将电缆插入端口时,这些功能可以帮您节省开支 - 而且还可以将您的数据柜锁定,并且只有需要的人才能使用钥匙,对吗?
对于楼层间布线,我会将光纤从每个楼层的交换机连接到中央路由器,以便将来轻松升级速度 - 是的,千兆以太网是您应该安装的最低规格。有人会试图通过线路传输大量数据,而仅使用 100mbit 以太网进行传输会让人抓狂。如今,任何值得购买的智能交换机都至少有一对 mini-GBIC 端口 - 您甚至可能会幸运地找到带有收发器的交换机。
您需要将 GBIC 与光纤匹配(就波长而言)。我发现的另一件事是,如果可能的话,最好在您的商店中保留一个品牌和型号的 GBIC,因为它们一起工作比随机配对更好。最坏的情况是,您将它们成对保存。
我做的另一件事是将 VoIP 网络与数据网络物理分离。是的,这需要两倍的基础设施,如果有人决定插入错误的端口,就会很麻烦,但这可以让电话保持正常,即使有人滥用网络/交换机进行大量数据传输。
那么,您何时分配子网呢?不要按顺序放置它们。例如,不要将 10.0.1.x 用于一楼,将 10.0.2.x 用于二楼,等等。您有大量的地址空间 - 将其分散开来,因为人们会像您难以置信的那样仔细查看地址,并且您不想在工作日期间被迫重新编号/重新设置网络掩码。