我目前正在设计办公室的网络,目前规模相对较小,但计划发展得非常快。设计基本完成,问题出现在实施过程中。因此,场景如下:
4 个子网
- 10.70.0.0/24
- 10.70.1.0/24
- 10.70.2.0/24,带 DHCP
- 10.70.3.0/24
以及 DMZ 网络
- 10.10.10.0/24
其中一个子网必须具有 DHCP,因为它是为托管办公室中的所有计算机而设计的。我们目前拥有的硬件是防火墙,这是我们与外部网络的接口,它有 5 个接口,其中一个用于从 ISP 获取连接。
与该防火墙连接的是第 3 层交换机 HP procurve 2650。
关键是我不知道如何实现它们。我读过一些资料说我也应该使用 VLAN,而且这样做没问题,但我该如何连接整个网络呢?
此外,我们有 2 个 Active Directory 服务器,它们是 10.70.0.0/24 网络的一部分,并且作为默认网关的防火墙具有 10.70.0.1 地址。
答案1
如果您不是经验丰富的管理员,那么设置具有多个子网和 VLAN 的全新网络将非常具有挑战性。
虚拟局域网
首先,让我们解释一下 VLAN。简单来说,在交换机上设置 VLAN 会将其划分为几个单独的交换机。因此,如果我使用 48 端口交换机,我可以设置两个 VLAN,并拥有相当于两个 24 端口交换机的功能。
某些防火墙还支持 VLAN,并可以设置为通过单个接口与多个不同的 VLAN 通信,而不必运行多条电缆。防火墙的文档应该会告诉您是否可以这样做以及如何设置。
子网
每个子网(需要与子网外部、其他子网或互联网进行通信)都需要一个默认网关在该子网内。因此,您的防火墙实际上需要具有 10.70.0.1、10.70.0.2、10.70.0.3 和 10.70.0.10 之类的 IP 地址。
子网之间的通信只能通过默认网关进行,因此子网之间的所有流量都将通过防火墙。如果您需要过滤子网之间的流量,这可能是一件好事;但如果防火墙速度很慢并成为瓶颈,这可能是一件坏事。
我强烈建议不要像这样划分网络,而是使用更少、更大的子网。首先,一个子网用于服务器,另一个子网用于客户端。如果您认为网络会快速增长,请使用 /16 子网而不是 /24。您仍然可以选择将特定范围用于特定目的。
未来扩展
如果您使用 /16 网络(例如 10.50.xxx.xxx),则可以为所有服务器设备分配 10.50.0.xxx 范围内的地址,并设置 DHCP 以分配 10.50.2.xxx 范围内的地址。由于它们都在同一个子网上,因此它们可以轻松相互通信。稍后,如果您开始用完 DHCP 地址,您可以简单地开始分配 10.50.3.xxx 范围内的 DHCP 地址,而无需重新配置任何内容。
将来,当您扩展业务、积累更多经验并决定需要将某些服务器与网络的其余部分隔离时,您可以在防火墙上设置另一个接口,并开始为这些系统使用另一个范围(如 10.51.0.0/24)。然后设置 VLAN,或获取第二个交换机。以后很容易添加。如果您现在不需要它,我不会从它开始。您的网络越复杂,故障排除就越困难。
如果您真的想聪明一点,那么在选择用于不同目的的地址范围时,请选择以后可以轻松进行子网划分的地址范围,这样,如果您想隔离它们,只需更改所有地址的子网掩码即可。这往往比更改服务器 IP 地址更容易。