我是第一次担任网络工程师。我的预算不多,所以我需要学习所有必要的技能,而无需聘请一大堆供应商。我负责在新地点构建一个 350 端口网络。我计划使用思科小型企业的几台千兆交换机。
我注意到我们旧位置的网络只有一个常规 10/100 端口插在交换机之间。它们以菊花链形式排列在一起,而不是以分层方式排列。
如果有必要的话,我将使用 VLAN 将访客无线网络与公司网络分开。
新的交换机有 mini-gbic 可用,但我的路由器只有千兆以太网端口。
为实现最大可靠性、冗余度和速度,最好的设置方法是什么?路由器是可以接受的单点故障,但如果其中一个交换机发生故障,我不希望整个网络瘫痪。我可以在交换机之间使用多个端口来创建冗余中继吗?
谢谢!(来自一个菜鸟)
-乔纳森
答案1
您需要详细考虑网络中的流量流动方式。确定诸如访问内部网站和文件服务器以及互联网访问等的带宽要求。这将指导您如何规划核心基础设施,以便工作站组在发送流量的方向上拥有足够的带宽,以及如何构建网络以适应流量向某些节点的集中。通常,结构应该是树状的,尽可能直接链接到流量集中点。
第二件要考虑的事情是广播域的大小。通常,过大的广播域会降低网络性能(因为 DHCP 流量、ARP、某些 Windows 网络功能和许多其他因素会导致广播,这可能会产生累积效应。您不希望广播流量淹没网络中的每个链接。限制广播域是通过子网划分和规划第 2 层拓扑来实现的;VLAN 可以帮助实现这一点,更简单的策略也可以实现这一点,例如设置少量交换机来为子网上的一组相关工作站提供服务,并使用路由器。请记住,通常需要为每个子网提供路由和 DHCP。子网划分策略的范围从部门子网到建筑物每个楼层的子网。350 台设备绝对足够了,您需要担心广播域的大小。
此外,您还应考虑网络中哪些区域具有特定的安全隐患。显然,您需要为访客网络设置一个特定的子网(可能还有 VLAN),并设置防火墙以防止访客网络访问内部服务。根据您的业务领域,您可能还希望使用类似的策略将某些业务部门的网络与其他业务部门的网络隔离开来。
端口安全也很重要。考虑实施一项策略,禁用未使用的网络端口或将其置于无连接的 VLAN 上。还考虑将大多数端口的每个访问端口限制为一个 MAC 地址,以防止未经授权的集线器或无线网络。
您可以通过多种方式添加冗余。在第 2 层,您可以利用生成树在交换机之间创建冗余链接(在您的网络图中将显示为循环),这样当一个交换机或链接发生故障时,仍然会有一条路径供流量绕过它。此功能不同于路由。在第 3 层,策略类似 - 确保每个路由器都有一条通往您预计流量集中的地方(您的防火墙和边界网关)的辅助路径。
如果您对其中任何特定部分感到疑惑,请随意提出新问题 - 但如果其中任何部分让您感到困惑,您应该进行大量学习(例如查看 CCNA 学习材料)或聘请其他人来做这件事。